Главная Учебники - Разные Лекции (разные) - часть 14
|
ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННО-КОММУНИКЦИОННЫХ ТЕХНОЛОГИЙ
по дисциплине : «Правовоеобеспечениеинформационнойбезопасности» по теме: «ФОРМИРОВАНИЕ ЗАДАЧ ПО СОЗДАНИЮ АККРЕДИТОВАННОГО ЦЕНТРА СЕРТИФИКАЦИИ КЛЮЧЕЙ КАК ОТДЕЛЬНОГО ПОДРАЗДЕЛЕНИЯ БАНКА» Студента группы БСД-41 Иванова Владимира (ник на форуме DUB41_Ivanov) Тема на форуме: http://www.security.ukrnet.net/modules/newbb/viewtopic.php?topic_id=647&forum=41#2356 КИЕВ-2012 СОДЕРЖАНИЕ
ВСТУПЛЕНИЕ 3 1 НОРМАТИВНО- ПРАВОВАЯ БАЗА 4 2 ОСНОВНЫЕ ЗАДАЧИ НА ЭТАПЕ СОЗДАНИЯ ЦСК 5 3 АНАЛИЗ РИСКОВ 8 4 РЕКОМЕНДАЦИИ ПО РИСКАМ 10 5 ИСПОЛЬЗОВАНИЕ ИНСТРУМЕНТОВ СУИБ «МАТРИЦА» 12 ВЫВОДЫ 14 СПИСОК ЛИТЕРАТУРЫ 15 ВСТУПЛЕНИЕ
На сегодняшний день популярно использовать новые технологии позволяющие упростить ведение бизнеса. Они позволяют, не отходя от рабочего места заключать контракты, проводить операции с собственными денежными счетами и подавать отчёты в государственные структуры. Такого рода операции, требуют создание чёткого механизма проверки и подтверждения личности, а также неизменности передаваемых данных. Для этого принято использовать электронную цифровую подпись(ЭЦП). Предоставлением услуги ЭЦП занимаются аккредитованные центры сертификации ключей(ЦСК). Актуальным является то, что сейчас интерес к ЭЦП появился не только у предпринимателей, а и у «простого» населения. Люди хотят не выходя из дома покупать товары, пополнять счёт на мобильном, расплачиваться за коммунальные услуги, подавать документы в пенсионный фонд иналоговую службу и т. д.Но на сегодняшний день в Украине, например, налоговая служба работает только с 6 центрами. Можно сказать, что ниша по предоставлению данной услуги занята не полностью, именно поэтому хотелось бы рассмотреть этот сегмент рынка. Целью написания а является формирование задач по созданию аккредитованного центра сертификации ключей как отдельного подразделения банка. Решение этой задачи сводиться к: исследовать нормативно- правовую базу в области предоставления услуги электроннойцифровой подписи; при помощи инструмента «СУИБ Матрица» необходимо создать перечень задач, объектов и угроз; проанализировать результаты и предложить своирешения. 1.
НОРМАТИВНО- ПРАВОВАЯ БАЗА
В работе используются следующие документы: 1. Закон Украины «Об электронной цифровой подписи» от 22.05.2003 г. ; 2. Закон Украины «Об электронных документах и электронном документообороте» от 22.05.2003 г.; 3. Правила усиленной сертификации. Утвержденные приказом ДСТСЗИ СБ Украины №3 от 13.01.2005 г. и зарегистрированных в Министерстве юстиции Украины по №104/10384 от 27.01.2005 г. (с изменениями согласно Приказу № 50 от 10.05.2006 «О внесении изменений к Правилам усиленной сертификации»).; 4. Приказ № 50 от 10.05.2006 «О внесении изменений к Правилам усиленной сертификации» Департамента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины.; 5. Постановление Кабинета Министров Украины от 13.07.2004 г. №903 «Об утверждении Порядка аккредитации центра сертификации ключей». ; 6. Постановление Кабинета Министров Украины от 28.10.2004 г. №1452 «Об утверждении Порядка применения электронной цифровой подписи органами государственной власти, органами местного самоуправления, предприятиями, учреждениями и организациями государственной формы собственности». ; 7. Изпостановление Правления Национального банка Украины 17.06.2010 № 284: О центрах сертификации ключей банков Украины; 8. Изпостановление Правления Национального банка Украины 17.06.2010 № 284: О правилах оформления Регламента работы центров сертификации ключей банков Украины. На основе информации из этих источников заполняется СУИБ «Матрица». 2.
ОСНОВНЫЕ ЗАДАЧИ НА ЭТАПЕ СОЗДАНИЯ ЦСК
С помощью «Матрицы» были выделены 15 задач, решение которых позволит создать ЦСК и подать необходимые документы для его аккредитации. На их основе были созданы следующие схемы. Этот этап можно разделить на 3 части. Первая из них направленна на создание административных единиц, служб, создание рекомендаций по подбору персонала и его непосредственному подбору(сх.1). Схема 1. Первая часть этапа создания ЦСК Вторая часть относиться к созданию политики безопасности на основе которой разрабатываютсяпроектыкомплексной системы защиты информации и программно-технического комплекса предоставления услуги. После устанавливаться все средства по проекту(сх.2). Схема 2. Вторая часть этапа создания ЦСК В третей частируководитель ЦСК и представители служб создают внутренние документы, проводятся проверки, и подаются документы на аккредитацию (Сх.3). Схема 2. Вторая часть этапа создания ЦСК Таким образом выглядит иерархия задач созданных с помощью СУИБ «Матрицы». В каждой задаче присутствуют риски её не выполнения или ухудшения предполагаемого результата. При помощи анализа рисков можно установить каким аспектам необходимо уделить наибольшее внимание. И какие средства применить для их понижения вероятности их успешного проявления или уменьшения их вреда. 3.
АНАЛИЗ РИСКОВ
Одной из самих важных составляющих является оценка рисков. Далее наведена таблица рисков(табл.1). Таблица 1. Оценка рисков на этапе создания ЦСК ЗАГРОЗА АКТИВ ОЦІНКА РИЗИКУ ЧАСТОТА ЗБИТОК Раскрытие характеристик сис-мы
Все активы
15
3
5
Раскрытие характеристик сис-мы
Электронно-вычисл. сис-мы
12
3
4
Доступ к объекту не имея прав
Все активы
10
2
5
Некорректныеустанов./настройка Программное обеспечение 9 3 3 Атака/утечка инф. эл.-магн. канал. Электронно-вычисл. сис-мы 8 2 4 Финансов.пробл. реализации Проектпрог.-тех. комплекса 8 2 4 Финансов.пробл. реализации Проект КСЗИ 8 2 4 Недобросовестность персонала Персонал 3 1 3 Халатность оформления док. Документы в бумажном виде 2 1 2 Максимальная частота и убыток равны 5. Поэтому за значение риска после которого стоит обратить особое внимание возьмём 3*3=9. Все риски оцененные выше 9 будут тщательно рассмотрены(выделены в таблице). И даны рекомендации по понижению этой оценки(гр.1).
ІІІ І ІІ На графике видно, что самые опасные риски это: 1.
Раскрытие характеристик сис-мы всех активов 2.
Раскрытие характеристик сис-мы, только электронно вычислительных систем. 3.
Доступ к объекту не имея прав, относящийся ко всем активам. Первый риск связан с раскрытием характеристик системы, например, уволенный недобросовестный сотрудник может передать информацию о том, какое оборудование используется, какими программами осуществляется защита, когда смена охраны, персональная информация сотрудников и т.д. Зная это, злоумышленники могут подготовить тщательный план по сбору информации, проникнуть на защищённый объект, завладеть данными, располагая знаниями о недостатках оборудования, программ охраны и т. д. Второй риск менее опасен так как здесь пойдёт речь об электронно-вычислительных системах. Информацию о них можно получить, используя программные продукты посылающие запрос, в ответ на которые оборудование или ОС может раскрывать своё название, топологию сети и т.д. Убытки от этого риска меньше, хотя он и приводит к утечке информации. Третий риск связан с доступом к объектам, не имея на это прав. Злоумышленник, незаконно попав на объект, может вывести из строя системы, скопировать важную информацию, установить закладки и т.д. Охарактеризовав риски можно, предложить рекомендации по понижению их уровня. 4.
РЕКОМЕНДАЦИИ ПО РИСКАМ
Для того чтобы перевести самые опасные риски в область «не критичных» необходимо проанализировать график 1. На нём видно, что 1 и 3 угрозы при их «удачном» проявлении принесут, максимальны урон, несмотря на это третья наименее вероятная, поэтому рациональнее было бы двигаться по пути уменьшения убытков при её возникновении. Что касается 1 угрозы здесь необходимо понизить частоту и возможные убытки. Риск 2 как и 3 можно уменьшать за счёт уменьшения убытков. Получив предыдущие заключения можно предложить следующий путь: поскольку 1 и 2 риски схожи по угрозе, понижение частоты её появления положительно скажется сразу на обоих рисках; 1,2,3 риски не должны приносить настолько сильные убытки Непосредственные рекомендации: 1. Маскировать оборудование, пользоваться тонированными окнами, постоянно устанавливать новые обновления для препятствия утечки через бреши в системе. (Риск1.частота= -0,5 ;Риск2.частота=-0,5) 2. Устанавливать ПО следящие за сканированием портови попытками отправлять запросы с последующим блокированиемIP 3. Установить жесткий контроль за тем чтобы сотрудник попадал в только в те места, куда ему положено, и не располагал информацией об оборудовании соседнего отдела. 4. Дублирование важных элементов и узлов, двойное копирование важных документов, сервер с копиями и резервный сервер. 5. Быстрое восстановление системы 6. Невозможность использовать данные полученные незаконным путём. Передача информации в соответствующие структуры, для блокирования счетов, ключей, операций. 7. Установка средств позволяющих установить личность злоумышленника и отсудить у него убытки, полученные в ходе его действий. Итого суммарная польза от действий: Риск1: частота= -1,5; убытки= -3 - частота=2; убытки=2; Оценка: 4. Риск2: частота= -1,5; убытки= -3-частота=2; убытки=1; Оценка: 2. Риск3: частота= -0,5; убытки= -3-частота=2; убытки=2;Оценка: 4. За счёт проведения мероприятий все риски не превышают ранее выбранный уровень. 5.
ИСПОЛЬЗОВАНИЕ
ИНСТРУМЕНТОВ
СУИБ «МАТРИЦА»
В своей роботе я решил сформировать отчёты по направлению программно-технические меры. Некоторые из них. Установить ОС, программы по проэкту ПТК произвести их настройку.
Кодирівнів:
Об'єкт
Центр сертификации ключей Коли поставлена
01.01.2011 Керівник
Основи
Строк виконання
01.12.2012 Відповідальний
Керівник
Системный администратор Людино-годин
5 Відповідальний
Спец. прогр. сред.служ. сист. Статус
Постійна Заходи
Установка и настройка прогр. Оновлена
08.01.2012 Засоби
ПО: БД, оп.сист., администр., Код задачі
11 Етап
Создание ЦСК Виконавці
Змістетапів
Сис. админ. - Коротков М. А. Активи
Програмное обеспечение Спец. по ПОсист.админ. - Голодюк К.В. Загрози
Некоректныеустанов./настройка Оцін. ризику
9 Вимоги
Правильность роботы системы Вирішення
Проверка функционирован. Впровадження
Независимая экспертиза Контроль
Контроль эксперт. комисией банка Стан
Установить ПО: баз данных, серверное, робочих мест и т.д. Проблеми
Контроль поручить эксперт.комис. банка. Зауваження
Установить средства контоля и ограничения доступа на объект ЦСК в соответствии с
проэктной документацией КСЗИ.
Кодирівнів:
Об'єкт
Центр сертификации ключей Коли поставлена
01.01.2011 Керівник
Основи
Строк виконання
01.12.2012 Відповідальний
Керівник
Администратор безопасности ЦСК Людино-годин
5 Відповідальний
Спец. по технич. средствам служ. ЗИ Статус
Постійна Заходи
Установка охранных систем Оновлена
08.01.2012 Засоби
Камеры, сигнализ., пульт ох, код Код задачі
6 Етап
Создание ЦСК Виконавці
Змістетапів
Админ. Безопасности - Каштан А. Б. Активи
Все активы Руководитель сл. ЗИ ЦСК- Карпов Д.А. Спец. Загрози
Доступ к объекту не имея прав по тех. ср. ЗИ ЦСК-Жолудь В.У. Оцін. ризику
10 Вимоги
Прав. настр.тех. средств контр. Вирішення
Устан. средств по проэкту Впровадження
Ввод в эксплуатацию системы Контроль
Контр. СБ б и отвецтвенных за ИБ Стан
Поручить ответственному специалисту устанавливать и настраивать охранные системы. Проблеми
Контроль возложить на СБ банка и отвецтвенных лиц в ЦСК. Зауваження
В последующем назначить лиц отвечающих за контрольно- пропускной режим Эти отчёты удобны тем, что можно распечатать и раздать их исполнителям, в них сразу всё сформировано. Также, на мой взгляд интересен инструмент «Статистика задач и знаний» с его помощью, я определ нагрузку на каждого сотрудника(таб.1). Відповідальний Задач Руководитель ЦСК 4 Спец. по технич. средствам служ. ЗИ 2 Нач. служб и администраторы 2 Системный администратор 1 Администратор безопасности ЦСК 1 Спец. по тех. сред.служ. сист. админстр 1 Спец. прогр. сред.служ. сист. админстр 1 Нач. служ. защиты информации 1 Cпец. по програм. средствам служ. ЗИ 1 Начальник отдела кадров 1 Общий итог 15 Видна неравноценная нагрузка на руководителя ЦСК, поэтому необходимо ему предоставить помощника или распределить некоторые задачи среди администраторов. ВЫВОДЫ
С помощью СУИБ «Матрицы» на основе нормативно- правовых документов можно решить много задач.Это достигается путём разбивания одной задачи на мелкие задания в которых есть ответственный и ей присущие угрозы. Все задания легко формируются в один файл, что позволяет раздать их исполнителю. Также интересен анализ рисков проведя который можно увидить в каком направлении стоит совершенствовать защиту, и чем можно принебречьсекономив средства. Выполнение роботы позволило мне разобраться в нюансах открытия аккредитованного центра сертификации ключей как подразделения банка, пошагово расписать действия, понять какие могут проявляться угрозы и как максимально защититься от них. СПИСОК ЛИТЕРАТУРЫ
1. Домарев В.В. Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с. 2. http://zakon.rada.gov.ua
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||