Федеральне агентство з освіти РФ
Державна освітня установа вищої професійної освіти
Пензенська ДЕРЖАВНИЙ УНІВЕРСИТЕТ
Кафедра «Інформаційна безпека систем і технологій»
ЗВІТ
Про курсову праців
АНАЛІЗ ЗАГРОЗ ТА РОЗРОБКА ПРОПОЗИЦІЙ ЩОДО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ УКРАЇНИ У ПРАВООХОРОННОЇ І СУДОВОЇ СФЕРАХ
Керівник КР
Виконавець ПЗ
Нормоконтролер
Пенза, 2006
РЕФЕРАТ
Пояснювальна записка містить 52 с., 1 дод., 15 табл., 2 джерела.
ІНФОРМАЦІЙНА БЕЗПЕКА, СФЕРА ОБОРОНИ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ, ЗАГРОЗА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ, РИЗИК ІНФОРМАЦІЙНОЇ БЕЗПЕКИ, ЗАХОДИ ОБСПЕЧЕНІЯ, ОЦІНКА РИЗИКУ ВІД РЕАЛІЗАЦІЇ ЗАГРОЗ, РЕКОМЕНДАЦІЇ ЩОДО ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Об'єктом дослідження є модель забезпечення інформаційної безпеки у сфері оборони Російської Федерації.
Метою виконання даної роботи є оцінка стану систем захисту інформації в даній сфері, аналіз загроз інформаційної безпеки, проведення оцінки ризиків від реалізації можливих загроз і вироблення рекомендацій щодо забезпечення інформаційної безпеки у сфері оборони.
У результаті виконаної роботи необхідно виявити і ідентифікувати всі елементи моделі загроз, описаної в ДСТУ ISO / IEC 15408, і запропонувати модель забезпечення інформаційної безпеки у сфері оборони.
ЗМІСТ
Реферат 2
Завдання на курсове проектування 4
Нормативні посилання 6
Терміни та визначення 7
Позначення та скорочення 9
Введення 10
1. Ідентифікація загроз, джерел загроз об'єктів забезпечення та заходів забезпечення інформаційної безпеки Російської Федерації 11
2. Визначення відносин елементів моделі інформаційної безпеки Російської Федерації 15
3. Оцінка ризиків реалізації загроз інформаційної безпеки Російської Федерації 22
4. Розробка повного опису загроз на основі моделі ДСТУ ISO / IEC 15408 1936
Висновок 48
Список використаних джерел 49
Додаток А 50
ЗАТВЕРДЖУЮ
Завідувач кафедрою ІБСТ доцент,. "___"__________________ __ _ 2006
ЗАВДАННЯ
на курсову роботу
за темою Особливості забезпечення інформаційної безпеки Російської Федерації в різних сферах суспільного життя
1 Дисципліна - Основи інформаційної безпеки
2 Варіант завдання - сфера оборони
3 Студент. Група
4 Вихідні дані на курсовий проект:
- Повинні бути ідентифіковані загрози, джерела загроз, уразливості, нападу, об'єкти забезпечення ІБ та заходи по забезпеченню для сфери оборони РФ на підставі Доктрини інформаційної безпеки (ІБ) РФ;
- Повинні бути побудовані матриця відносин «джерела загроз» - «загрози», «загрози» - «нападу», «нападу» - «уразливості», «вразливості» - «об'єкти захисту»; «заходи забезпечення ІБ» - «загрози»;
- Повинні бути заповнені матриця поєднань ймовірностей реалізації загроз та можливої шкоди і таблиця оцінки ризиків;
- Повинно бути розроблені повні описи загроз за моделлю ДСТУ ISO / IEC 15408;
- Повинен бути розроблений граф моделі ІБ РФ в заданій сфері суспільного життя.
5 Структура проекту
5.1 Зміст роботи:
- Аналіз і структурування загроз, об'єктів забезпечення та основних напрямів забезпечення інформаційної безпеки у сфері оборони;
- Розробка методики оцінки ризику реалізації загроз ІБ РФ;
- Розробка описів загроз і графа моделі ІБ РФ у сфері оборони.
5.2 Графічна частина
граф моделі забезпечення ІБ РФ у сфері оборони.
6 Календарний план виконання проекту
6.1 Термін виконання за розділами:
затвердження ТЗ 10.03.06 р.;
розробка матриці відносин 31.03.06 р.;
оцінка ризиків, розробка описів загроз і графа 21.04.06 р.;
оформлення та перевірка пояснювальної записки 12.05.06 р.;
захист курсової роботи 26.05.06 р.
Дата захисту проекту "" травня 2006
Керівник проекту В. М. Алексєєв
Завдання отримав "" лютого 2006 р
Студент.
Нормоконтролер
НОРМАТИВНІ ПОСИЛАННЯ
У цьому пояснювальній записці використані посилання на такі стандарти:
ДСТУ ISO / IEC 15408 - 2002 Критерії оцінки безпеки інформаційних технологій.
ТЕРМІНИ І ВИЗНАЧЕННЯ
У цьому пояснювальній записці застосовують такі терміни з відповідними визначеннями:
інформаційна безпека Російської Федерації - стан захищеності її національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особистості, суспільства і держави (Доктрина інформаційної безпеки Російської Федерації).
інформаційна сфера - сукупність інформації, інформаційної інфраструктури, суб'єктів, які здійснюють збір, формування, розповсюдження і використання інформації, а також системи регулювання виникаючих при цьому громадських відносин (Доктрина інформаційної безпеки Російської Федерації).
загроза - це потенційна можливість завдання шкоди.
захист інформації - діяльність, спрямована на запобігання витоку інформації, що захищається, несанкціонованих і ненавмисних дій на захищає інформацію (ГОСТ Р 50-922).
збиток: Нанесення фізичного пошкодження або іншої шкоди здоров'ю людей, або шкоди майну, або навколишньому середовищі (ГОСТ Р 51-898).
ризик - поєднання ймовірності нанесення шкоди і тяжкості цього збитку (ГОСТ Р 51-898).
несанкціонований доступ до інформації - отримання інформації, що захищається зацікавленим суб'єктом з порушенням правових документів або власником власником інформаційних прав або правил доступу до інформації, що захищається (ГОСТ Р 51-898).
цілісність інформації - властивість інформації і АС зберігати незмінність або виявляти факт зміни інформації з забезпеченням неспростовності джерела інформації та неспростовності одержувача інформації.
безпека - відсутність неприпустимого ризику (ГОСТ Р 51-898).
ПОЗНАЧЕННЯ І СКОРОЧЕННЯ
РФ
-
Російська Федерація
ІБ
-
інформаційна безпека
ЗС РФ
-
Збройні сили Російської Федерації
АС
-
автоматизована система;
ІС
-
Інформаційна система
ІТКМ
-
Інформаційно-телекомунікаційна система
ВСТУП
В даний час людина живе в інформаційному суспільстві і бере активну участь в інформаційних процесах. Все життя людського суспільства залежить від інформації. І немає нічого дивного, що на безпеку інформації може хтось посягати. Таким чином, перед суспільством постає завдання забезпечення інформаційної безпеки.
Органом, що займається безпекою держави в цілому в Російській Федерації є Рада безпеки РФ. У нього входить Міжвідомча комісія з інформаційної безпеки. У її штат входять фахівці з інформаційної безпеки, аналітики, що займається розробкою теоретичних і практичних рекомендацій, дотримання яких допоможе забезпечити інформаційну безпеку життєдіяльності держави.
Забезпечення інформаційної безпеки в різних сферах життєдіяльності суспільства має свої особливості, пов'язані зі специфікою об'єктів забезпечення. «Доктрина інформаційної безпеки РФ» - основний нормативний документ, який містить рекомендації щодо забезпечення ІБ РФ. У ньому описані загрози та об'єкти забезпечення ІБ у всіх виділених сферах і загальні положення щодо забезпечення ІБ.
Виконання курсової роботи, викликане необхідністю перегляду, коректування і доповнення існуючих даних, наведених в «Доктрині інформаційної безпеки Російської Федерації».
1. ІДЕНТИФІКАЦІЯ ЗАГРОЗ, ДЖЕРЕЛ ЗАГРОЗ, ОБ'ЄКТІВ ЗАБЕЗПЕЧЕННЯ І ЗАХОДІВ ЗАБЕЗПЕЧЕННЯ ІБ РОСІЙСЬКОЇ ФЕДЕРАЦІЇ У СФЕРІ ОБОРОНИ
Інформаційна безпека РФ, будучи однією із складових національної безпеки в цілому, стала однією з найважливіших завдань держави у світі все більш і більш зростаючу роль інформації в суспільстві. Також, поза сумнівом, інформаційна безпека країни має суттєвий вплив на ступінь захищеності національних інтересів Росії на світовій арені і в різних сферах суспільного життя самої країни.
Забезпечення інформаційної безпеки в різних сферах суспільного життя має свої особливості, пов'язані з особливостями об'єктів забезпечення. У кожній сфері для забезпечення інформаційної безпеки використовуються різні методи її забезпечення, більшою чи меншою мірою ефективні. Перед фахівцями щодо забезпечення ІБ стоїть завдання оцінити ефективність методів захисту, розробити ряд рекомендацій щодо поліпшення захисних заходів. Таким чином проводиться аналіз загроз і оцінка ризику ІБ РФ в окремо взятій сфері суспільного життя.
Процес аналізу починається з визначення основних загроз, їх джерел, об'єктів і методів забезпечення ІБ. На основі тексту «Доктрини ...» у сфері оборони виділені наступні загрози ІБ (Таблиця 1) та їх джерела (Таблиця 2).
Таблиця 1 - Перелік загроз ІБ
№ загрози
Загроза
1
всі види розвідувальної діяльності зарубіжних держав
2
інформаційно-технічні дії (у тому числі радіоелектронна боротьба, проникнення в комп'ютерні мережі) з боку ймовірних противників
3
диверсійно-підривна діяльність спеціальних служб іноземних держав, здійснювана методами інформаційно-психологічного впливу
4
діяльність іноземних політичних, економічних і військових структур, спрямована проти інтересів Російської Федерації в сфері оборони
5
порушення встановленого регламенту збору, обробки, зберігання та передачі інформації, що у штабах і установах Міністерства оборони Російської Федерації, на підприємствах оборонного комплексу
6
навмисні дії, а також помилки персоналу інформаційних і телекомунікаційних систем спеціального призначення
7
ненадійне функціонування інформаційних і телекомунікаційних систем спеціального призначення
8
можлива інформаційно-пропагандистська діяльність, підриває престиж Збройних Сил Російської Федерації та їх боєготовність
9
невирішеність питань захисту інтелектуальної власності підприємств оборонного комплексу, що призводить до витоку за кордон найцінніших державних інформаційних ресурсів
Таблиця 2 - Перелік джерел загроз ІБ
№ джерела
Джерело загроз
1
Спеціальні служби іноземних держав
2
Деякі терористичні і радикально налаштовані організації чи політичні структури
3
Персонал інформаційних і телекомунікаційних систем спец призначення
4
Інформаційні та телекомунікаційні системи спец призначення
5
Деякі засоби масової інформації і громадські організації, що здійснюють негативну пропаганду ЗС РФ
На основі ідентифікованих загроз та їх джерел були складені таблиці нападів, можливих у даній сфері, і вразливостей, якими ці напади можуть скористатися. Вони наведені в таблицях 3 і 4
Таблиця 3 - Перелік нападів
№ нападу
Напад
1
Несанкціонований доступ до інформаційних ресурсів, порушення конфіденційності і цілісності
2
Пропаганда негативного ставлення до процесу постійного планового озброєння і Збройним Силам РФ взагалі і спроба примусового відмови від озброєння
3
Поява великої кількості терористичних і радикальних організацій
4
Некоректна робота з конфіденційною інформацією інформаційних баз спеціального призначення і компонентами системи
Таблиця 4 - Перелік вразливостей
№ уразливості
Уразливість об'єкта забезпечення
1
Можливість несанкціонованого доступу до інформаційних ресурсів систем спеціального призначення
2
Можливість психологічного впливу на громадськість, формування певної думки про ЗС РФ
3
Відмова, вихід з ладу інформаційних і телекомунікаційних систем спеціального призначення
4
Недостатнє фінансування
5
Відставання вітчизняного оборонного комплексу, низький рівень розвитку засобів підвищення захищеності систем спеціального призначення
Перш за все уразливості притаманні будь-яким об'єктам забезпечення ІБ. Об'єкти забезпечення у сфері оборони вже виділені в «Доктрині ...» і наведені в таблиці 5.
Таблиця 5 - Перелік об'єктів забезпечення ІБ
№ об'єкта
Об'єкт
1
інформаційна інфраструктура центральних органів військового управління та органів військового управління видів Збройних Сил Російської Федерації і родів військ, об'єднань, з'єднань, військових частин та організацій, що входять до Збройних Сил Російської Федерації, науково-дослідних установ Міністерства оборони Російської Федерації
2
інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ, які виконують державні оборонні замовлення або займаються оборонної проблематикою
3
програмно-технічні засоби автоматизованих і автоматичних систем управління військами та зброєю, озброєння і військової техніки, оснащених засобами інформатизації
4
інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів
Таким же чином в «Доктрині ...» виділені заходи забезпечення інформаційної безпеки РФ у сфері оборони. Наскільки вони ефективні і на які погрози направлені, ми розглянемо пізніше. Перелік заходів забезпечення ІБ наведені в таблиці 6.
Таблиця 6 - Перелік заходів забезпечення ІБ
№ заходи
Міра забезпечення ІБ у сфері оборони
1
систематичне виявлення загроз і їх джерел, структуризація цілей забезпечення інформаційної безпеки у сфері оборони та визначення відповідних практичних завдань
2
проведення сертифікації загального та спеціального програмного забезпечення, пакетів прикладних програм і засобів захисту інформації в існуючих та створюваних автоматизованих системах управління військового призначення і системах зв'язку, які мають у своєму складі елементи обчислювальної техніки
3
постійне вдосконалення засобів захисту інформації від несанкціонованого доступу, розвиток захищених систем зв'язку та управління військами і зброєю, підвищення надійності спеціального програмного забезпечення
4
вдосконалення структури функціональних органів системи забезпечення інформаційної безпеки у сфері оборони та координація їх взаємодії
5
удосконалення прийомів і способів стратегічної і оперативної маскування, розвідки та радіоелектронної боротьби, методів і засобів активної протидії інформаційно-пропагандистським і психологічним операціям ймовірного супротивника
6
підготовка фахівців в області забезпечення інформаційної безпеки у сфері оборони
Таким чином, на першому етапі виконання аналізу загроз нами були ідентифіковані всі елементи множин загроз, джерел, об'єктів і заходів забезпечення ІБ РФ у сфері оборони.
2. ВИЗНАЧЕННЯ ВІДНОСИНИ ЕЛЕМЕНТІВ МОДЕЛІ ІБ РФ У СФЕРІ ОБОРОНИ
У "Доктрині" не визначаються відносини між різними елементами, хоча саме взаємодія різних факторів, що впливають на безпеку, має істотне значення для оцінки їх кінцевої значущості та, відповідно, для визначення найбільш доцільних і ефективних заходів і засобів підвищення рівня безпеки.
Тому на даному етапі роботи необхідно експертним методом встановити відносини між наступними видами елементів:
«Джерела загроз» - «загрози», тобто встановити який джерело які загрози породжує;
«Загрози» - «нападу», тобто встановити яка загроза через які нападу реалізується;
«Нападу» - «уразливості», тобто встановити яке напад які уразливості використовує;
«Вразливості» - «об'єкти захисту», тобто встановити яка вразливість якого об'єкту захисту належить;
«Заходи забезпечення ІБ» - «загрози», тобто встановити яка захисна міра який загрозу протистоїть.
Результати такого аналізу представлені в матричній формі на основі припущення, що між елементами безлічі можна встановити якесь бінарне відношення «є причиною». У таблиці 7 наведено матриця відносин «джерела загроз - загрози». «1» відповідає припущення, що дане джерело породжує дану загрози - «0» - відсутність відносин між цими елементами множин. Порядкові номери елементів наведені вище в таблицях 1 і 2.
Таблиця 7 - Матриця відносин «джерела загроз» - «загрози»
Загрози | ||||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ||
Джерела загроз | 1 | 1 | 1 | 1 | 0 | 0 | 0 | 0 | 0 | 0 |
2 | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 1 | |
3 | 0 | 0 | 0 | 0 | 1 | 1 | 1 | 0 | 0 | |
4 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 0 | |
5 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 |
На даному етапі необхідно пояснити, яким чином здійснюється аналіз визначення відносин між елементами даних множин. Джерело загроз 1 - спеціальні служби іноземних держав - незалежно від відносин з РФ мають пряму зацікавленість як в отриманні конфіденційної інформації про розробки оборонного комплексу РФ, так і у впливі на неї, що приводить до утруднення діяльності з подальшим розробок і досліджень в даній сфері. Таким чином, джерело 1 має відносини з першими трьома погрозами, відповідно, розвідувальною діяльністю іноземних спецслужб, інформаційно технічними та інформаційно-психологічними впливами з боку ймовірних (можливо неявних) противників. Джерело загроз 2 - деякий терористичні і радикально налаштовані політичні та громадські організації - безсумнівно здійснюють деяку діяльність по відношенню до РФ, можливо через будь-які іноземні політичні та військові структури - загроза 2. Також громадські політичні організації, можливо, ненавмисно ігнорують рішення питань захисту інтелектуальної власності, що призводить до витоку розробок та цінних інформаційних ресурсів за кордон, що породжує загрозу 9. Джерело загроз 3 породжує загрози 5, 6 і 7 тому, що персонал і користувачі інформаційних і телекомунікаційних систем спеціального призначення, взаємодіючи з ними, випадково або навмисно порушують встановлені порядок збору, обробки, зберігання та передачі інформації, викликають відмови і збої систем. Взагалі кажучи, помилки користувачів і персоналу в 80% випадків є причинами порушення таких властивостей інформації як цілісність, доступність і, іноді, конфіденційність. Джерелом загроз також є і самі ІТКМ спеціального призначення. Їх збої і відмови можуть бути викликані та їх недостатньою надійністю і просто якимись суб'єктивними чинниками. Тому джерело загроз 4 пов'язаний із загрозою 7.
І нарешті, джерело загроз 5 породжує загрози 8 і 9. Деякі засоби масової інформації і громадські організації всередині країни здійснюють пропагандистську діяльність, що знижує авторитет ЗС РФ.
У таблиці 8 наведено матриця відносин погроз і нападів. Для зручності розташування матриця переорієнтована. Номери елементів множин взяті з таблиць 1 і 3
Таблиця 8 - Матриця відносин «загрози» - «нападу»
Загрози | ||||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ||
Напади | 1 | 1 | 1 | 0 | 0 | 0 | 1 | 0 | 0 | 0 |
2 | 0 | 0 | 1 | 1 | 0 | 0 | 0 | 1 | 1 | |
3 | 0 | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | |
4 | 0 | 0 | 0 | 0 | 1 | 1 | 1 | 0 | 0 |
Розглянемо цю матрицю. Через напад 1 - несанкціонований доступ до інформаційних ресурсів та порушення їх цілісності - реалізуються загрози 1, 2 і 6. Загроза розвідувальної діяльності з боку іноземних спецслужб реалізується в несанкціонований доступ, який може здійснюватися як віддаленим противником, що знаходяться поза контрольованої зони, так і безпосередньо противником, що знаходяться в контрольованій зоні, наприклад, агентом або з допомогою закладок. Також цілком можливо знищення частини інформації або всієї інформації методом інформаційно-технічних впливів. Також навмисні дії персоналу, метою яких може бути або самоствердження, або злий умисел, можуть призвести до несанкціонованого доступу та порушення цілісності. Напад 2 має відношення з погрозами 3,4,8 і 9. Це можна обгрунтувати наступним чином: абсолютно очевидно, що диверсійно-підривна діяльність іноземних держав і діяльність іноземних політичних і військових структур спрямована на примусовий відмову від озброєння і пониження авторитету ЗС РФ на світовій арені. Загроза можливої пропагандистської діяльності, що знижує престиж ЗС РФ і невирішеність питань захисту інтелектуальної власності, що призводить до витоку інформаційних ресурсів за кордон реалізується через пропаганду негативного ставлення до процесу постійного озброєння, що підриває боєздатність ЗС РФ.
Через напад 3 - поява великого числа терористичних і радикальних організацій - реалізується загроза інформаційно-технічних впливів, здійснюваних різними методами і з різними цілями. Напад 4 має відношення з погрозами 5, 6 і 7 тому, що всі ці загрози пов'язані з некоректною роботою з інформаційними ресурсами спеціальних ІТКМ або їх компонентами. Випадкові чи навмисні дії, порушення встановленого регламенту взаємодії з інформацією і, як підсумок, ненадійне функціонування компонентів системи реалізується через це напад.
У таблиці 9 наведено матриця відносин «нападу» - «уразливості», що ілюструє результати аналізу, яке напад, яку вразливість використовує. Номери елементів безлічі взяті з таблиць 3 і 4.
Таблиця 9 - Матриця відносин «нападу» - «вразливості»
Уразливості | ||||||
1 | 2 | 3 | 4 | 5 | ||
Напади | 1 | 1 | 0 | 0 | 0 | 1 |
2 | 0 | 1 | 0 | 1 | 0 | |
3 | 0 | 1 | 0 | 0 | 0 | |
4 | 1 | 0 | 1 | 0 | 1 |
Розглянемо тепер цю матрицю. Аналіз ставлення нападів і вразливостей особливо важливий, тому що ілюструє відносини об'єкта забезпечення з ворожим середовищем, показуючи, які недоліки - вразливості, можуть використовувати реалізації загроз. Напад 1 - несанкціонований доступ до інформаційних ресурсів спеціальних ІТКМ і порушення їх цілісності - використовує уразливості 1 і 5. Сама можливість несанкціонованого доступу до ресурсів породжує ризик несанкціонованого доступу. Також відставання вітчизняного оборонного комплексу і низький рівень розвитку засобів підвищення захищеності дозволяють порушнику або ймовірного противника докладати менше зусиль для здійснення несанкціонованого доступу. Напад 2 має відносини з уразливими 2 і 4, так як пропаганда негативного ставлення до ЗС РФ не може здійснюватися безпідставно. Можливість впливу на громадську думку і формування певного ставлення є вразливістю, якою можуть скористатися при здійсненні пропагандистської діяльності. Також недостатнє фінансування оборонного комплексу країни знижує його престиж в очах громадськості і може стати приводом для пропаганди. Вразливістю 2 користується і напад 3 - поява великого числа терористичних і радикальних організацій. Метою дії терористичних організацій є саме вплив на громадську думку і на суспільство взагалі. Можливість такого впливу є «лазівкою», якою легко скористатися. Напад 4 використовує уразливості 1,3 і 5. Хибна, або навмисно неправильна робота з конфіденційною інформацією має можливість здійснюватися через можливість несанкціонованого доступу або відмов і збоїв у роботі компонентів ІТКМ. У деяких випадках подібний напад можливо з-за низького рівня розвитку захисних засобів у системах.
У таблиці 10 приведено матриця відносин «вразливості» - «об'єкти забезпечення». Номери елементів множин відповідають номерам у таблицях 4 і 5.
Таблиця 10 - Матриця відносин «вразливості» - «об'єкти забезпечення ІБ»
Об'єкт захисту | |||||
1 | 2 | 3 | 4 |
Уразливість | 1 | 1 | 1 | 0 | 1 |
2 | 1 | 0 | 0 | 0 | |
3 | 0 | 0 | 1 | 1 | |
4 | 0 | 0 | 1 | 0 | |
5 | 0 | 1 | 1 |
У даній матриці визначається, якому об'єкту належить яка вразливість. Таким чином відслідковується, яке напад на який об'єкт направлено.
Об'єкту 1 притаманні уразливості 1 і 2. Інформаційна інфраструктура центральних органів військового управління незахищена від несанкціонованого доступу до її інформаційних ресурсів і від впливу на громадську думку, яке пов'язане безпосередньо з діяльністю органів управління видами і родами військ. Інформаційні ресурси підприємств оборонного комплексу і науково-дослідних центрів мають в якості вразливостей можливість несанкціонованого доступу до них. Для об'єкта 3 - програмно-технічних засобів і автоматичних засобів управління військами і озброєнням - уразливими є уразливості 3,4 та 5. Відмови і збої в роботі систем спеціального призначення, недолік фінансування, і як наслідок - відставання вітчизняного оборонного комплексу і низький рівень розвитку засобів захисту призводять до збільшення ризику для даного об'єкта забезпечення ІБ. І нарешті, для об'єкта 4 характерні уразливості 1,3 і 5. для інформаційних ресурсів та систем зв'язку військ вразливістю є можливість несанкціонованого доступу до них, відмова і виходи з ладу компонентів ІТКМ і відставання вітчизняного оборонного комплексу.
Таблиця 11 містить матрицю відносин «заходи забезпечення ІБ» - «загрози». Номери елементів множин відповідають номерам елементів таблиць 1 і 6.
Таблиця 11 - Матриця відносин «заходи забезпечення ІБ» - «загрози»
Загрози | ||||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ||
Міра забезпечення ІБ | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 | 1 |
2 | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 0 | |
3 | 1 | 1 | 0 | 0 | 0 | 1 | 0 | 0 | 0 | |
4 | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 0 | |
5 | 1 | 1 | 1 | 0 | 0 | 0 | 0 | 1 | 0 | |
6 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 1 |
Міра забезпечення 1 - систематичне виявлення загроз та їх джерел - спрямовані на виявлення всіх можливих небезпек у даній сфері суспільного життя. Отже, вона спрямована на нейтралізацію всіх загроз. Міра забезпечення 2 спрямована тільки на загрозу 7. Проведення сертифікації програмного та технічного забезпечення направлено на перевірку виконання компонентами систем покладених на них завдань у певних умовах, тобто на перевірку і підвищення надійності. Міра забезпечення 3 - постійне вдосконалення засобів захисту інформації від несанкціонованого доступу - протистоїть загрозам 1,2 і 6. Розвиток захищених систем і підвищення рівня засобів захисту від несанкціонованого доступу спрямовані на захист від усіх видів розвідувальної діяльності та інформаційно-технічних впливі з боку ймовірних противників. Також постійне вдосконалення у сфері захисту від несанкціонованого доступу дозволяє знизити збитки від помилок і навмисних дій персоналу і користувачів. Міра забезпечення 4 спрямована на нейтралізацію загроз 6 і 7. Удосконалення структури органів системи забезпечення інформаційної безпеки знижує можливість здійснення помилок користувачів і персоналу та підвищує надійність ІТКМ та її компонентів. Так як вдосконалення прийомів і методів протидії інформаційним, диверсійних і психологічним впливам противника і розвідці безпосередньо спрямоване на нейтралізацію загроз розвідувальної діяльності, інформаційно-пропагандистської діяльності ймовірного супротивника з числа іноземних держав і міжнародних організацій та пропаганди негативного ставлення до ЗС РФ всередині країни, міра забезпечення ІБ 5 має відношення з погрозами 1,2,3 і 8. І нарешті, міра забезпечення 6 - підготовка кваліфікованих фахівців в області забезпечення ІБ у сфері оборони - спрямована на вирішення загрози 9, пов'язаної з витоком цінних інформаційних ресурсів за кордон. Підготовлювані фахівці повинні заповнити пробіл, який залишається після такого роду витоку.
3. ОЦІНКА РИЗИКІВ РЕАЛІЗАЦІЇ ЗАГРОЗ У СФЕРІ ОБОРОНИ
Після аналізу відносин між елементами множин, виділених у процесі ідентифікації, була проведена оцінка ризиків. Цей процес дозволяє мінімізувати витрати ресурсів на захист. У процесі аналізу можливих і виявлення актуальних для активів організації загроз оцінювався ризик, що виникає внаслідок потенційного впливу певної загрози.
Відомо безліч різних методик аналізу та оцінки ризиків (переважно закордонних). Всі вони дозволяють отримати лише якісну їх оцінку на основі експертних методів. Для даної курсової роботи використовувалася методика, розроблена на основі викладеної в технічному звіті ISO TR 13569 [2].
Вона полягає в наступному. Оцінка ризику здійснюється за допомогою оцінки можливості реалізації загроз безпеці, пов'язаних з уразливими, властивими тим чи іншим об'єктам захисту. На основі аналізу впливу загроз, їм приписується високий, середній або низький рівень ризику по кожній зоні локалізації вразливостей.
Оцінювалися всі загрози, вразливості та ризики для забезпечення впевненості в тому, що процес оцінки ризиків в організації є повним. У таблиці 12 наведені компоненти оцінки ризику.
Таблиця 12 - Компоненти процесу оцінки ризиків
Якщо хто-небудь захоче простежити загрози | Через зони вразливостей | То вони приведуть в результаті до якого-небудь з наступних ризиків |
Всі види розвідувальної діяльності зарубіжних держав; інформаційно-технічні дії (у тому числі радіоелектронна боротьба, проникнення в комп'ютерні мережі) з боку ймовірних противників; Диверсійно-підривну діяльність спеціальних служб іноземних держав, здійснювана методами інформаційно-психологічного впливу; Діяльність іноземних політичних, економічних і військових структур, спрямована проти інтересів Російської Федерації в сфері оборони. Порушення встановленого регламенту збору, обробки, зберігання та передачі інформації, що у штабах і установах Міністерства оборони Російської Федерації, на підприємствах оборонного комплексу; Умисні дії, а також помилки персоналу інформаційних і телекомунікаційних систем спеціального призначення; Ненадійне функціонування інформаційних і телекомунікаційних систем спеціального призначення; Можлива інформаційно-пропагандистська діяльність, підриває престиж Збройних Сил Російської Федерації та їх боєготовність; Невирішеність питань захисту інтелектуальної власності підприємств оборонного комплексу, що призводить до витоку за кордон найцінніших державних інформаційних ресурсів | Інформаційна інфраструктура центральних органів військового управління; Інформаційні ресурси підприємств оборонного комплексу і науково-дослідних установ; Програмно-технічні засоби автоматизованих і автоматичних систем управління військами і зброєю; Інформаційні ресурси, системи зв'язку та інформаційна інфраструктура інших військ, військових формувань і органів. | Грошова втрата. Втрата продуктивності. Труднощі в діяльності |
При проведенні оцінки ризиків розглядаються три основні категорії втрат. Вони самі і їх опис наведено в таблиці 13
Таблиця 13
Категорії можливих втрат
Опис
Грошова втрата
Грошова втрата визначається як втрата цінностей або збільшення вартості або витрат. У сумнівних випадках необхідно класифікувати більш високий ризик грошової втрати або вище можливе значення втрати, більш високий ризик функціонування діяльності.
Втрата продуктивності
Втрата продуктивності відбувається тоді, коли персонал не здатний продовжувати виконання своїх обов'язків або коли необхідно повторювати службові обов'язки. Переривання роботи або дублювання зусилля можуть призводити до недоступності робочих функцій або до некоректності результатів
Труднощі діяльності
Ця категорія стосується ситуацій, що впливають на встановлення суспільної довіри. Слід враховувати також конфіденційність, точність і узгодженість
Матриця оцінки ризиків розділена на зони локалізації вразливостей. В рамках кожної уразливості перераховуються потенційні загрози. Праворуч від кожної загрози наводяться рівні в рамках категорій втрат.
Матриця заповнюється доданням рівня ризику-високого (В), середнього (С) або низького (Н) - щоб показувати залежність кожної загрози від кожної із зон локалізації уразливості з урахуванням заповнення раніше матриці «загрози» - «об'єкт забезпечення ІБ».
Опис рівнів ризику:
Високий: значна грошова втрата, втрата продуктивності або труднощі, є результатом загрози, внаслідок відповідної уразливості.
Середній: номінальна грошова втрата, втрата продуктивності або трапляються труднощі.
Низький: або мінімальна можливість грошової втрати, втрати продуктивності, які труднощі, або взагалі нічого.
Матриця оцінки ризиків наведена в таблиці 14.
Таблиця 14 - Матриця оцінки ризиків
ЗОНА ВРАЗЛИВОСТІ інформаційна інфраструктура центральних органів військового управління ... | Ризик грошової втрати | Ризик втрати продуктивності | Ризик ускладнення діяльності | ||||||
всі види розвідувальної діяльності зарубіжних держав | Н | З | У | ||||||
інформаційно-технічні впливу з боку ймовірних противників | З | У | Н | ||||||
диверсійно-підривна діяльність спеціальних служб іноземних держав | З | Н | У | ||||||
діяльність іноземних структур проти інтересів Російської Федерації | Н | Н | З | ||||||
порушення встановленого регламенту роботи з інформацією на підприємствах оборонного комплексу | З | У | З | ||||||
навмисні дії, а також помилки персоналу | З | У | У | ||||||
ненадійне функціонування систем спеціального призначення | З | У | Н | ||||||
можлива інформаційно-пропагандистська діяльність, підриває престиж ВСРФ | З | З | У | ||||||
... Витік за кордон найцінніших державних інформаційних ресурсів | У | З | Н | ||||||
всі види розвідувальної діяльності зарубіжних держав |