Разработка политик и требований для обеспечения информационной безопасности интернет магазина
advertisement
Министерство образования и науки Российской Федерации федеральное государственное бюджетное образовательное учреждение высшего образования «Российский экономический университет имени Г.В. Плеханова» Институт цифровой экономики и информационных технологий Кафедра прикладной информатики и информационной безопасности КУРСОВАЯ РАБОТА по дисциплине «Технологии построения защищённых автоматизированных систем » на тему «Разработка политик и требований для обеспечения информационной безопасности интернет магазина “Хобби Геймз ”» Выполнил студент группы ДКБ-151б очной формы обучения ИЦЭиИТ Яременко Владислав Кириллович Научный руководитель: Козырев Пётр Александрович Дата: Оценка: Подпись: Москва – 2019 Содержание Содержание 1 Введение 2 Глава 1. Описание объекта защиты 3 Глава 2. Анализ рисков информационной безопасности «Хобби Геймз» 5 Глава 3. Корпоративная политика информационной безопасности «Хобби Геймз» 9 Заключение 16 Список литературы 17 Приложение 1. Базовые нормативные документы, служащие источниками положений политики информационной безопасности компании 19 1 Введение Целью данной курсовой работы является анализ рисков информационной безопасности компании информационной «Хобби безопасности Геймз», компании и составление политики предложение мер по минимизации вышеуказанных рисков. Объектом изучения данной курсовой работы является система информационной безопасности компании «Хобби Геймз». Предметом изучения данной курсовой работы являются меры по совершенствованию системы информационной безопасности компании «Хобби Геймз». Результатом выполнения курсовой работы является разработанная политика безопасности компании «Хобби Геймз» в комплекте с частными политиками нижнего уровня. 2 Глава 1. Описание объекта защиты Интернет-магазин «Хобби Геймз» представляет собой электронный бизнес. Компания имеет свой собственный склад, где и хранит все товарные запасы (складское оборудование интегрировано с системой бухгалтерского учета магазина - конфигурация БД: 1С). Сам товар доставляется клиенту курьерской службой. Возможен самовывоз (в этом случае клиент при оформление доставки или отправки на почту заполняет специальную форму, в которой указывает адрес доставки). Клиент может рассчитаться наличными средствами с курьером, после того как будет доставлен товар или осуществить перевод средств на банковский счет интернет-магазина при оформлении заказа. Компания состоит из генерального директора (владельца), бухгалтера, системного администратора, двух курьеров, оператора call-центра и одного заведующего складом. Узлы хранения Информация Персональные Сервер 1С данные Данные клиентов Обрабатывающие Ценность узлы информации Сервер 1С, АРМ бухгалтера Веб-сервер Веб-сервер, АРМ заведующего складом, 8 АРМ 10 call-центра Данные Сервер БД Сервер БД видеонаблюдения Данные бухгалтерской о Сервер 1С 4 Сервер 1С, АРМ бухгалтера 7 отчётности 3 Данные об АРМ системного АРМ системного IT-инфраструктуре администратора администратора Финансовая Сервер 1С Сервер 1С, АРМ информация бухгалтера 3 6 компании База товаров данных Сервер БД Сервер БД, АРМ бухгалтера, заведующего АРМ 7 складом Таблица 1 - Информация, с которой работает компания Рис. 1 - Схема ИТ-инфраструктуры компании 4 Глава 2. Анализ рисков информационной безопасности «Хобби Геймз» Оценка риска обеспечивает [9]: - понимание потенциальных опасностей и воздействия их последствий на достижение установленных целей организации; - получение информации, необходимой для принятия решений; - понимание опасности и ее источников; - идентификацию ключевых факторов, формирующих риск, уязвимых мест организации и ее систем; - возможность сравнения риска с риском альтернативных организаций, технологий, методов и процессов; - обмен информацией о риске и неопределенностях; - информацию, необходимую для ранжирования риска; - предотвращение новых инцидентов на основе исследования последствий произошедших инцидентов; - выбор способов обработки риска; - соответствие правовым и обязательным требованиям; - получение информации, необходимой для обоснованного решения о принятии риска в соответствии с установленными критериями; - оценку риска на всех стадиях жизненного цикла продукции. На основе собранной проанализированной информации была разработана матрица рисков (Таблица 2). Риск Источник угрозы Покупатель Угроза Вероятно сть (0-1) Кража товара 0,3 Ущер Коэф б ф. (0-10) 5 1,5 5 Физическое воздействие/поломка 0,1 3 0,3 0,6 4 2,4 0,5 5 2,5 0,2 7 1,4 0,4 7 2,8 0,3 6 1,8 некорректная настройка 0,5 8 4 товара/оборудования Хищение товара/оборудования Модификация оборудования/ПО Сотрудник Саботаж бизнес-процессов Физическое воздействие/поломка товара/оборудования Несанкционированный доступ Подрядчик Умышленная оборудования/ПО Таблица 2 -Матрица рисков информационной безопасности компании Рекомендации по минимизации рисков. На основе матрицы рисков были предприняты три варианта решений для минимизации рисков: Минимизация риска. Рекомендуется предпринять активные действия для уменьшения до допустимого остаточного уровня возможного ущерба от любого проявления уязвимостей [3]; Принятие риска (отслеживание). Следует принять значение данного риска, но предпринять активные действия для обнаружения любой попытки 6 использовать остаточные уязвимости с тем, чтобы ограничить ущерб; Аутсорс. Осуществить передачу определённых видов или функций производственной деятельности другой компании, действующей в нужной области обеспечения ИБ. Для минимизации рисков были разработаны следующие рекомендации: В работе следует использовать лицензионные версии операционных систем и программного обеспечения; Устанавливать обновления для используемого ПО сразу после их появления; Применять сертифицированные средства криптографической защиты информации; Применять и обновлять средства антивирусной защиты; Применять программные средства идентификации терминалов; Своевременно делать резервные копии и наиболее важные данные хранить удаленно. Создать возможность перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов. Использовать программные средства для идентификации пользователей и определения их полномочий. На основе проведенного исследования была составлена Таблица 3 с принятыми решениями по угрозам ИБ. Риск Источник угрозы Угроза Решение Новая Новый вероятность коэфф. (0-1) Покупатель Кража товара Принятие 0,3 1,5 7 Физическое воздействие/поло мка товара/оборудова ния Минимизац ия (Контроль 0,05 0,15 допуска) Минимизац Хищение ия товара/оборудова (Организаци 0,3 ния онные 1,2 меры) Модификация оборудования/ПО Принятие 0,5 2,5 (Организаци 0,1 0,7 Минимизац Сотрудник Саботаж бизнес-процессов ия онные меры) Минимизац Физическое ия воздействие/поло (Обучение мка сотрудников 0,1 товара/оборудова , ния организацио 0,7 нные меры) Несанкционирова Подрядчик нный доступ Аутсорс Умышленная Принятие некорректная угрозы 0,2 1,2 0,5 4 8 настройка оборудования/ПО Таблица 3 - Минимизация рисков информационной безопасности компании 9 Глава 3. Корпоративная политика информационной безопасности «Хобби Геймз» 1. Понятия и определения В настоящей Политике использованы термины с соответствующими определениями согласно «ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» [1], «Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации» [4], «ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» [5], «ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» [6] и Федеральному закону от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации" [8] 2. Область действия Основными объектами защиты системы информационной безопасности Хобби Геймз являются: - информационные ресурсы, содержащие коммерческую тайну, персональные данные физических лиц, данные о полезных контактах компании, сведения ограниченного распространения, а также открыто распространяемая информация, необходимая для работы Хобби Геймз, независимо от формы и вида ее представления; - информационные ресурсы, содержащие конфиденциальную информацию; - информационная инфраструктура, включающая в себя системы обработки и анализа информации, технические и программные 10 средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, а также объекты и помещения, в которых размещены подобные системы. 3. Цели и задачи Основными целями обеспечения ИБ являются: - соответствие требованиям законодательства, требованиям надзорных и регулирующих органов; - повышение стабильности функционирования "Хобби Геймз" в целом; - достижение адекватности мер по защите от реальных угроз информационной безопасности; - предотвращение и/или снижение ущерба от инцидентов информационной безопасности; - обеспечение стабильности функционирования "Хобби Геймз" (обеспечение непрерывности его бизнеса) посредством обеспечения необходимой доступности информационных активов и информационной инфраструктуры "Хобби Геймз"; - повышение доверия к "Хобби Геймз" со стороны клиентов, контрагентов, партнеров, инвесторов и общественности в целом; - предотвращение или снижение ущерба от инцидентов ИБ посредством обеспечения целостности информационных активов и информационной инфраструктуры "Хобби Геймз" и обеспечения конфиденциальности чувствительных информационных активов "Хобби Геймз"; - защита законных прав "Хобби Геймз" и работников, в случаях неправомерного использования или злоупотребления информационной инфраструктурой и информационными активами; 11 - формирование взвешенного подхода к защите от угроз ИБ посредством применения экономически и технически обоснованных, а также необходимых и достаточных защитных мер информационной безопасности. 4. Методы обеспечения информационной безопасности Хобби Геймз и описание общей концепции системы безопасности компании Неисполнение или некачественное исполнение сотрудниками Хобби Геймз и пользователями информационных систем обязанностей по обеспечению информационной безопасности должно повлечь лишение доступа к информационным системам Хобби Геймз, а также применение к виновным лицам административных мер воздействия, степень которых определяется установленным в компании порядком, либо требованиями законодательства. Стратегия Хобби Геймз в части противодействия угрозам информационной безопасности заключается в реализации взаимодополняющих мер по обеспечению безопасности: от организационных мер на уровне руководства Хобби Геймз, до специализированных мер информационной безопасности по каждому выявленному в риску, основанных на оценке рисков информационной безопасности Хобби Геймз, проводимой аналитиками. Система менеджмента информационной безопасности Хобби Геймз основывается на осуществлении следующих процессов: планирование, реализация и эксплуатация защитных мер, проверка, совершенствование соответствующих требованиям стандарта ИСО/МЭК 27001 и положениям международных стандартов по обеспечению информационной безопасности. 12 5. Источники угроз и угрозы ИБ Хобби Геймз Все потенциальные угрозы безопасности информации делится на три класса: антропогенные, техногенные и естественные (природные). Антропогенные угрозы обусловлены человеческой деятельностью. Среди них можно выделить угрозы, возникающие в результате как преднамеренных, так и непреднамеренных действий человека. Техногенные угрозы обусловлены воздействиями на объект физических процессов техногенного характера, технического состояния окружения объекта или его самого, не обусловленных напрямую деятельностью человека. Естественные (природные) угрозы обусловлены воздействиями на объект угрозы физических процессов природного характера, стихийных природных явлений и состояний физической среды. Источники угроз по отношению к инфраструктуре Хобби Геймз могут быть как внешними, так и внутренними. 6. Модель нарушителя По отношению к периметру Хобби Геймз, нарушители делятся на внешних и внутренних. Внутренние нарушители. Внутренними нарушителями могут являться легальные пользователи информационных и иных систем компании, а также сотрудники компании, не являющиеся легальными пользователями систем Хобби Геймз и не допущенные к ресурсам таких систем, но имеющие доступ к зданиям и помещения компании. Внешние нарушители. Внешними нарушителями могут являться: - бывшие сотрудники компании - клиенты компании 13 - конкурирующие компании и их контрагенты - случайно или специально проникнувшие в корпоративную информационную систему Хобби Геймз лица - посетители помещений компании 7. Роли В информационных системах Хобби Геймз присутствуют следующие роли субъектов доступа: Подрядчик - стороннее лицо, являющееся представителем компании, с которой у Хобби Геймз заключён договор об обслуживании информационных систем или отдельных их компонентов, оказывающее услуги по установке и/или настройке информационных систем Хобби Геймз или отдельных их компонентов. Подрядчик имеет доступ только к компонентам системы, нуждающимся в установке/настройке только под контролем системного администратора по информационной безопасности или Куратора; Пользователь - сотрудник Хобби Геймз, имеющий доступ к части информационных и иных систем компании только в рамках осуществления служебных полномочий и несущий полную ответственность за свои действия вне зависимости от умысла; Руководитель - член руководящего состава Хобби Геймз, имеющий практически неограниченный доступ к информационной системе конкретного подразделения компании; Системный администратор - сотрудник Хобби Геймз, несущий ответственность за функционирование информационных систем Хобби Геймз и имеющий к ним неограниченный доступ. 14 8. Ответственность Ответственность за поддержание положений данной Политики в актуальном состоянии, создание, внедрение и внесение изменений в процессы системы менеджмента информационной безопасности Хобби Геймз лежит на руководстве и системном администраторе Хобби Геймз. 9. Правила пересмотра Пересмотр настоящей Политики должен осуществляться не менее одного раза в 12 месяцев. Внеплановый пересмотр настоящей Политики может производится по результатам проведения аудитов информационной безопасности либо по прямому приказу генерального директора компании. Политика работы с электронной почтой Электронная почта одно из самых важных средств коммуникации в деловом мире. Сообщения быстро и удобно передаются по внутренним сетям и всему миру через интернет. Тем не менее, существуют риски при ведении бизнеса с помощью электронной почты, так как по сути электронная почта небезопасна, особенно за пределами корпоративной сети. Сообщения могут быть перехвачены, записаны, прочитаны, изменены и перенаправлены кому угодно. Случайные комментарии могут быть поняты неправильно и привести к нарушению контрактов или судебным разбирательствам. Пользователи электронной почты должны избегать деятельность, нарушающую информационную безопасность Хобби Геймз. Корпоративная электронная почта должна использоваться в рамках должностных обязанностей. Все сообщения электронной почты в информационных системах и сетях Хобби Геймз считаются собственностью Хобби Геймз. Не используйте электронную почту: Для отправки конфиденциальной/секретной информации если она не зашифрована криптографическим ПО, разрешенным к использованию в 15 компании; Для создания, отправки, пересылки или хранения сообщений или вложений, которые могут считаться незаконными или оскорбительными; Для установления отношений с третьими сторонами, например, для заключения контрактов на покупку или продажу, отправки предложений о работе или прайс-листов, если это не входит в ваши служебные обязанности. Не изменяйте и не удаляйте уведомления, автоматически вставляемые в конце писем; В личных и благотворительных целях, не связанных с бизнесом организации; Образом, который может быть интерпретирован как официальная позиция или высказывание организации; Для отправки сообщения с чужого почтового ящика или от чужого имени (включая использование поддельного поля «ОТ»). Проявляйте профессиональное благоразумие при использовании электронной почты. Тщательно проверяйте сообщения перед отправкой, особенно при общении с внешними контрагентами. Не раскрывайте без необходимости возможно непубличную информацию в сообщениях, уходящих за пределы компании. Сообщения электронной почты автоматически сканируются в информационных системах на наличие вредоносных программ и спама. К сожалению, процесс сканирования недостаточно эффективен (например, сжатые и шифрованные просканированы), поэтому сообщения не могут быть нежелательная/сомнительная полностью почта иногда попадает к пользователям. Удаляйте такие сообщения или сообщайте о них в службу поддержки. 16 Заключение Результатом выполнения данной курсовой работы является система мер для минимизации рисков и совершенствования информационной безопасности компании Хобби Геймз и разработка политики информационной безопасности с частными политиками нижних уровней. Данная система мер позволяет снизить вероятность реализации угроз информационной безопасности путем инструктажа сотрудников о принципах безопасной работы с оборудованием компании и введения строгой ответственности за нарушения правил информационной безопасности. 17 Список литературы 1. ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель [Электронный ресурс]. http://docs.cntd.ru/document/1200101777 . - Режим (Дата доступа: обращения: 25.10.2018) 2. ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности [Электронный ресурс]. - Режим доступа: http://docs.cntd.ru/document/1200105710 . (Дата обращения: 25.10.2018) 3. ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности [Электронный ресурс]. - Режим доступа: http://docs.cntd.ru/document/1200105711 . (Дата обращения: 25.10.2018) 4. ГОСТ Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации [Электронный ресурс]. - http://docs.cntd.ru/document/1200039555 . Режим (Дата доступа: обращения: 25.10.2018) 5. ГОСТ Р 51275-2006 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения [Электронный ресурс]. - Режим доступа: 18 http://docs.cntd.ru/document/gost-r-51275-2006 . (Дата обращения: 25.10.2018) 6. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология (ИТ). Методы и средства обеспечения менеджмента информационной [Электронный ресурс]. безопасности. Системы безопасности. Требования Режим доступа: - http://docs.cntd.ru/document/1200058325 . (Дата обращения: 25.10.2018) 7. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности [Электронный ресурс]. - Режим доступа: http://docs.cntd.ru/document/1200103619 . (Дата обращения: 25.10.2018) 8. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных информации" [Электронный технологиях ресурс]. - и о Режим http://www.consultant.ru/document/cons_doc_LAW_61798/ . защите доступа: (Дата обращения: 25.10.2018) 9. ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология (ИТ). Методы и средства обеспечения менеджмента информационной безопасности. безопасности. Системы Руководство по реализации системы менеджмента информационной безопасности. - Введ. 2013-12-01. М.: Стандартинформ, 2014 19 Приложение 1. Базовые нормативные документы, служащие источниками положений политики информационной безопасности компании Нормативный Присутствует/отсутствует Обоснование документ ГОСТ Р ИСО/МЭК Присутствует Для строгого 15408-1-2012 определения Информационная терминологии, технология Методы (ИТ). и средства используемой в процессе построения обеспечения системы безопасности. информационной Критерии оценки безопасности и других безопасности ИТ-систем информационных организации технологий. Часть 1. Введение и общая модель. ГОСТ Р ИСО/МЭК Присутствует Для 15408-2-2013 формального Информационная определения технология Методы и (ИТ). средства требований информационной обеспечения безопасности безопасности. ИТ-системам Критерии оценки строгого к организации безопасности 20 информационных технологий. Часть 2. Функциональные компоненты безопасности ГОСТ Р ИСО/МЭК Присутствует Для 15408-3-2013 формального Информационная определения технология Методы и (ИТ). требований средства информационной обеспечения безопасности безопасности. системе Критерии строгого оценки к информационной безопасности безопасности информационных организации технологий. Часть 3. Компоненты доверия к безопасности ГОСТ Р 50922-2006 Защита информации. Основные термины и определения Отсутствует Отсутствие необходимости проводить стандартизацию системы информационной безопасности внутри организации 21 Р 50.1.053-2005 Присутствует Для строгого Информационные определения технологии. Основные терминологии, термины используемой и в определения в области процессе построения технической системы технической защиты информации защиты информации организации ГОСТ Р 51188-98 Отсутствует Испытания программных средств на наличие компьютерных вирусов ГОСТ Р Защита 51275-2006 Присутствует информации. Несоответствие стандарта новым методикам защиты информации и информационным технологиям Необходимость учёта факторов, Объект действующих информатизации. степень безопасности Факторы, информации воздействующие информацию. на Общие организации на в ненадёжной среде положения ГОСТ Р ИСО/МЭК Присутствует Необходимость 27001-2006. строгой Информационная формализации технология. Методы и требований средства управлению обеспечения к 22 безопасности. Системы информационной менеджмента безопасностью информационной организации в безопасности требования ГОСТ Р ИСО/МЭК Присутствует Необходимость 27002-2012 строгой Информационная формализации правил технология Методы (ИТ). и средства обеспечения и информационной безопасностью безопасности. норм управления Свод в организации правил менеджмента информационной безопасности ГОСТ Р 51898-2002 Отсутствует Отсутствие Аспекты безопасности. необходимости Правила включения в проводить стандарты стандартизацию системы информационной безопасности внутри организации Федеральный закон от Присутствует Содержит 27.07.2006 N 149-ФЗ определение понятия 23 (ред. от 19.07.2018) "Об «Защита информации» информации, информационных технологиях и о защите информации" Федеральный закон от Присутствует Регулирует 30 декабря 2008 г. N деятельность 307-ФЗ сотрудников "Об аудиторской организации деятельности" Федеральный закон от Присутствует Регулирует порядок 29 июля 2004 г. N обращения с 98-ФЗ документами "О коммерческой тайне" организации под грифом «Коммерческая тайна» Постановление Присутствует Конкретизирует Правительства РФ от отдельные 21 ноября 2011 г. N 957 деятельности "Об сотрудников организации лицензирования отдельных моменты организации видов деятельности" Руководящий документ Присутствует Содержит ФСТЭК. защищённости Средства критерии 24 вычислительной техники. Защита ИТ-систем от организации, несанкционированного используемые доступа к информации. проведении Показатели информационной защищенности от несанкционированного при аудита безопасности организации доступа к информации Руководящий документ Присутствует Содержит ФСТЭК. защищённости защиты Средства информации. критерии финансовых Защита информации в автоматизированных контрольно-кассовых систем машинах и организации, используемые при автоматизированных проведении кассовых информационной системах. Классификация безопасности контрольно-кассовых организации аудита машин, автоматизированных кассовых систем и требования по защите информации 25
