Разработка политики информационной безопасности при использовании корпоративного портала (на примере Частного образовательного учреждения высшего образования «Московский университет имени С.Ю. Витте

-Работа с доверительными VPN сетями. Используются в случаях, когда передающая среда является надёжной и необходимо реализовать работу с виртуальной подсетью внутри большей сети. Обеспечивать защиту информации в данном случае проводить не нужно. К данному классу систем относятся: MPLS и L2TP. Указанные типы протоколов уже обеспечивают защиту канала передачи данных. Компоненты сети [16]:сервер (координатор, администратор);модуль взаимодействия с удостоверяющими центрами для необходимости своевременной актуализации сертификатов;клиентское программное обеспечение;модуль работы с хранилищем сертификатов;систему обмена публичными ключами;систему актуализации приватных ключей;модуль работы с отозванными сертификатами.Система управляет передачей данных по сети, используя протоколы UDP или TCP с использованием драйверов TUN/TAP. Протоколы UDP и драйвер TUN позволяют подключаться к серверу OpenVPN со стороны клиентов, расположенных за NAT. Для VPN - соединений выбираются произвольные порты, имеется возможность для обхода ограничений, установленных на файерволах, через которые предоставляется доступ из внутреней сети к внешним ресурсам (если такие ограничения устанолены).Алгоритмы обеспечения безопасности и использования средств криптографии реализованы с использованием библиотеки OpenSSL, а также протокола транспортного уровня Transport Layer Security (TLS). Также возможно подключение библиотеки PolarSSL.В указанных библиотеках могут использоваться как симметричные и ассиметричные алгоритмы шифрования. При симметричном шифровании передача данных на все сетевые узлы сети проводится с использованием единого секретного ключа, что предполагает возникновение проблема безопасности, если ключ передается по незащищенным каналам.При асимметричном шифровании используются ключи двух типов — публичные (открытые) и приватные (секретные). Публичные ключи проводят шифрование данных, а приватные — расшифровку. Криптографические операции основаны на сложных математических алгоритмах. Приватные ключи должны находиться в защищенных хранилищах, не пересылаться по незащищенным каналам связи. Передача публичных ключей возможна лишь с использованием технологий защищенного файлового обмена.Посредством приватного ключа обеспечивается идентификация абонента, участвующего в системе файлового обмена. В некоторых случаях VPN-сети могут подвергаться «атакам посредников». Указанный тип атаки создает возможности для подключения злоумышленников к каналам передачи данных для их прослушивания. В случае успеха атаки, сетевой трафик может подвергаться модификации, удалению, несанкционированному копированию.При проведении аутентификации протоколами TLS используется инфраструктура публичных ключей (Public Key Infrastructure, PKI) и технология асимметричной криптографии.Расшифровка трафика при отсутствии на стороне злоумышленника приватных ключей также может реализовываться с использованием технологий атак на криптографические системы. В силу того, что внешние атаки на криптосистемы требуют больших временных затрат и вычислительных мощностей, реализация атак возможна только с объектами информации, которые имеют соответствующую стоимость.Хотя с увеличением размера ключей возрастает необходимое время на расшифровку данных, полной гарантии защиты передаваемых давать нельзя. Системы VipNet предполагают следующие варианты авторизации пользователей в системе [8]:вход с использованием предустановленного ключа (наиболее простой метод);вход с использованием сертификата;авторизация через ввод логина и пароля.Выпуск сертификатов производится удостоверяющими центрами. Заверение сертификатов, производится аккредитованными доверенными организациями, выполняющими роль удостоверяющих центров.Создание открытых ключей, предоставляемых для публичного использования, могут производить Университета, имеющие аккредитацию на ведение данной деятельности и имеющие опубликованный открытий ключ, доступный для абонентов системы файлового обмена в криптографических системах.Если сеть VPN разворачивается для решения задач внутреннего документооборота, то создается самостоятельный удостоверяющий центр, выпускающий самоподписанные сертификаты. Полномочия таких сертификатов не выходят за пределы Университета, соответственно их использование возможно только в системах внутреннего документооборота.Самоподписанные сертификаты в системе VipNet используются как публичные ключи, посредством которых на узлах сети VPN производится шифрование трафика. Для расшифровки данных в данном случае используются приватные ключи.Создание сертификатов производится в соответствии со стандартом X.509. Данный стандарт определяет форматы данных и процедуры распределения открытых ключей с помощью сертификатов, снабженных электронными подписями.В системе реализована автоматизированная система оборота сертификатов.Подсистемы системы защиты передачи данных в беспроводных сетях включают [22]:Клиентскую часть, устанавливаемую на сетевых узлах, которая обеспечивает возможности установки связи с сервером администрирования и защиту передаваемых данных путем шифрования и фильтрации сетевых пакетов по правилам, установленным на стороне администратора;Серверную часть (Координатор), которая производит фильтрацию передаваемого трафика за пределы локальной сети;Консоль Администратора, используемую для создания правил фильтрации трафика, использования алгоритмов шифрования, управление рабочими местами пользователей, подключаемыми учетными записями.В системе обеспечено предоставление следующих сервисов [17]:Режима внутреннего обмена сообщениями и файлами, в которой обеспечивается выполнение требований к защите;Режима работы с корпоративным защищенным сервером электронной почты;Возможности автоматизации файлового обмена по FTP (настройка правил пересылки файлов определенным группам абонентов, которые настраиваются в соответствии с масками файлов). Основной функцией аппаратно-программного комплекса шифрования (АПКШ) «Континент» является обеспечение безопасности передачи данных через общедоступные (незащищенные) сети посредством использования криптографических методов, что предполагает передачу данных через открытые каналы зашифрованном виде. В АПКШ «Континент» входят компоненты, посредством которых обеспечивается удаленный доступ пользователей к информационным ресурсам защищенной корпоративной сети с сетевых узлов, находящихся в удаленных сегментах сети. Для получения доступа к информационным ресурсам необходимо установить клиентскую часть системы «Континент-АП», которая позволяет установить соединения с удаленными серверами с проведением проверки пользовательских полномочий. В системе, в которую проведена установка АПКШ «Континент», проводится установка виртуального сетевого устройства, настройки которого проводятся администратором.Для получения сертификата ключа аутентификации «Континент-АП» необходимо выполнить: - Сформировать закрытый ключ аутентификации, файл запроса на получение сертификата аутентификации; - Передать заявку и запрос на получение сертификата ключа аутентификации на Сервере доступа;- установить полученный сертификата в клиентскую часть системы Континент-АП. Шифрование канала проводится как с использованием собственного криптопровайдера «Континент-АП», либо с подключением криптографических модулей системы «Крипто-Про».Основные возможностии системы «Континент» [6]:Наличие модуля криптографической защиты данных;Передача трафика в зашифрованном виде реализована с использованием российских криптографических алгоритмов в рамках требований ГОСТ 28147-89 в режиме гаммирования с обратной связью.Возможность аутентификации / идентификации удаленных пользователейВозможность идентификации и аутентификации удаленных пользователей при установке соединения между абонентскими пунктами и сервером доступа "Континент" с использованием сертификатов открытых ключей. Реализация схемы основана на сертификатах стандарта X.509. Возможно использование двух вариантов работы с сертификатами: в качестве доверенного центра сертификации использование сервера доступа –и доверенного центра - внешнего центра сертификации. Также возможна интеграция с «УЦ КриптоПро».Наличие модуля поддержки ключевых носителей различного видаВозможно использование в качестве ключевых носителей различных видов накопителейСуществует возможность хранения ключей на сертифицированных носителях.Возможность предоставления удаленного доступа пользователей к ресурсам защищаемой сети через шифрованные каналыВозможность подключения пользователей с мобильных устройств;Обеспечение приемлемых скоростных характеристик при шифровании канала Возможность поддержки динамически назначаемых IP-адресов.Возможность назначения правил фильтрации и прав доступа пользователей к информационным ресурсам защищенной сети.Прозрачный обмен трафиком с защищенными сегментами сети для любых прикладных приложений (в том числе VoIP и видеоконференций).Доступ как по выделенным, так и коммутируемым каналам связи с использованием различных способов подключения к сети Интернет посредством технологий: Dial-UP, xDSL, выделенная линия, Wi-Fi, GPRS, 3G, WiMAX, спутниковые каналы связи.Наличие интегрированного межсетевого экранаВыводыВ рамках проекта по защите от атак на Web-ресурсы корпоративного портала Университета им.Витте предложено:- проведение настройки сетевого оборудования;- использование систем VPN;- использование сканеров уязвимостей.Внедрение указанных предложений обеспечит возможности стабильного функционирования Web-ресурсов Университета и минимизацию вероятности успешной реализации внешних атак.ОЦЕНКА экономической ЭФФЕКТИВНОСТИ ПРОЕКТА4.1. Оценка целевой эффективности предложенийВ таблице 11 приведен календарный план проекта внедрения предложений по совершенствованию системы защиты информации в Университете.Таблица 11 - Календарный план проекта внедрения предложений по совершенствованию системы защиты системы защиты информации в УниверситетеЭтап реализации проектаПродолжи-тельностьДата началаДата завершенияНазвания ресурсовВнедрение системы защиты информации7 днейПн 08.02.2022Вт 16.02.2022 Анализ технологии защиты информации в Университете2 днейПн 08.02.2022Вт 09.02.2022Инженер по информационной безопасности Выявление видов угроз2 днейСр 10.02.2022Чт 11.02.2022Руководитель проекта; Инженер по информационной безопасности Выбор типов инженерно-технических решений 3 днейПт 12.02.2022Вт 16.02.2022Руководитель проектаВыбор типов программных решений6 днейСр 17.02.2022Ср 24.02.2022Расчет рисков утечек данных2 днейСр 17.02.2022Чт 18.02.2022ИТ-специалистАнализ требований техники безопасности при использовании системы2 днейПт 19.02.2022Пн 22.02.2022ИТ-специалист Определение требований к классу защищенности2 днейПт 19.02.2022Пн 22.02.2022Инженер по информационной безопасности Выбор модули оборудования2 днейВт 23.02.2022Ср 24.02.2022Администратор; ИТ-специалист; Система физической защитыАнализ характеристик оборудования9 днейЧт 25.02.2022Вт 07.03.2022Опытная эксплуатация системы5 днейЧт 25.02.2022Ср 01.03.2022ИТ-специалист Тестирование предложений по защите информации 2 днейЧт 02.03.2022Пт 03.03.2022ТестировщикОтработка ошибок, выявленных в ходе опытной эксплуатации2 днейПн 06.03.2022Вт 07.03.2022ИТ-специалист;ТестировщикМонтаж оборудования4 днейСр 08.03.2022Пн 13.03.2022Издание приказа о внесении изменений в систему информационной безопасности2 днейСр 08.03.2022Чт 09.03.2022Администратор; Инженер по информационной безопасности Определение пользователей системы1 деньПт 10.03.2022Пт 10.03.2022ИТ-специалистАнализ результатов внедрения системы1 деньПн 13.03.2022Пн 13.03.2022Руководитель проекта; Инженер по информационной безопасности; ИТ-специалистКак показано в таблице 11, разработка проекта обеспечения защиты информации, связанного с внедрением защиты Web-ресурсов от внешних атак, включает этапы:Анализ стоимости и категории защищенности информации, предаваемой через оптические каналы;Разработка модели угроз;Выбор методов обеспечения защиты информации от атак;Разработка технического задания на реализацию проекта;Выбор аппаратных решений, в максимальной степени обеспечивающих возможности защиты Web-ресурсов;Опытная эксплуатация системы;Внедрение системы в эксплуатацию;Разработка организационных мер по защите информации.Значение рассчитанного уровня риска, при превышении значения в 26, признается актуальным. В таблице 12 показан расчет уровня рисков по защите от актуальных угроз, связанных с атаками на Web-ресурсы Университета.Таблица 12 - Оценка степени риска в существующей системе защиты информации Объект защитыУгроза№ в базе ФСТЭКCUVRОценка рискаИнформационные ресурсы в области учета данных о студентахУгроза несанкционированного восстановления удалённой защищаемой информации07133424СредняяУгроза несанкционированного копирования защищаемой информации08833636ВысокаяУгроза утраты носителей информации15633424СредняяУгроза хищения средств хранения, обработки и (или) ввода/вывода/передаче информации16033424СредняяИнформационные ресурсы в области автоматизации учебного процессаУгроза несанкционированного восстановления удалённой защищаемой информации07123636ВысокаяУгроза несанкционированного копирования защищаемой информации08823742ВысокаяУгроза утраты носителей информации15623742ВысокаяУгроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации16023742ВысокаяУгроза неправомерного ознакомления с защищаемой информацией 03634560ВысокаяДалее проведена оценка рисков, связанных с сетевыми атаками после внедрения мер по защите информации (таблица 13).Таблица 13 - Оценка рисков, связанных с утечками информации после внедрения защитных мерОбъект защитыУгроза№ в базе ФСТЭКПланируемые мерыC2U2V2R2Оценка рискаИнформационные ресурсы в области учета данных о студентахУгроза несанкционированного восстановления удалённой защищаемой информации071Внедрение системы VPN, настройка роутера, СЗИ3319НизкаяУгроза несанкционированного копирования защищаемой информации088Внедрение системы VPN, настройка роутера, СЗИ33218СредняяУгроза утраты носителей информации156Внедрение системы VPN, настройка роутера, СЗИ3319НизкаяУгроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации160Внедрение системы VPN, настройка роутера, СЗИ33218СредняяИнформационные ресурсы в области автоматизации учебного процессаУгроза несанкционированного восстановления удалённой защищаемой информации071Внедрение системы VPN, настройка роутера, СЗИ2316НизкаяУгроза несанкционированного копирования защищаемой информации088Внедрение системы VPN, настройка роутера, СЗИ2316НизкаяУгроза утраты носителей информации156Внедрение системы VPN, настройка роутера, СЗИ23212НизкаяУгроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации160Внедрение системы VPN, настройка роутера, СЗИ2316НизкаяУгроза неправомерного ознакомления с защищаемой информацией 036Внедрение системы VPN, настройка роутера, СЗИ34336ВысокаяПроведенные расчеты показывают, что при внедрении предложений по внедрению системы шифрования данных и физической защиты вероятность реализации рисков инцидентов информационной безопасности снижается. Диаграмма снижения рисков успешной реализации атак на Web-ресурсыприведена на рис.36.Рисунок 36 – Снижение уровня рисков успешной реализации атак на Web-ресурсы при внедрении системы4.2. Технико-экономическое обоснованиеС помощью метода экспертных оценок проведем оценку возможного ущерба от утечки персональных данных. В таблице 14 приведен характеристики экспертных оценок по расчету ущерба, связанного с атаками на Web-ресурсы.Таблица 14 - Характеристики экспертных оценок по расчету ущерба, связанного с атаками на Web-ресурсыВопросЭксперты12345Ущерб от утечекконфиденциальной информации через трафик Web-ресурсов Университета10910810Вероятность утечек конфиденциальной информации через трафик Web-ресурсов Университета0,050,050,040,050,03Ожидаемая величина ущерба от утечек конфиденциальной информации через трафик Web-ресурсов Университета0,50,450,40,40,3Ущерб от перебоев в работе Web-серверов2020252020Вероятность перебоев в работе Web-серверов0,050,050,050,040,05Ожидаемая величина ущерба от перебоев в работе Web-серверов111,250,81Ущерб от необходимости восстановления работоспособности Web-сервера23342Вероятность необходимости восстановления работоспособности Web-сервера0,040,050,050,040,05Ожидаемая величина ущерба от необходимости восстановления работоспособности Web-сервера1.581.61.81.361.4Таким образом, ущерб, связанный с нарушениями требований защиты информации, оценивается в Далее проведена оценка затрата, связанных с реализацией мероприятий по проекту системы защиты информации.Величина затрат на программное обеспечение:стоимость приобретения лицензий на внедряемые программные решения: 15000руб.;стоимость аппаратных ключей защиты: 25000 руб. Таким образом, величина вложений, связанных с эксплуатацией программных и аппаратных средств оценивается в 40000руб.Проведем оценку организационных затрат, связанных с внедрением информационной системы.1. Стоимость электроэнергии, потребляемой оборудованием специалистов в рамках работы над проектом:,(4)где Р – значение мощности используемых устройств, кВт/ч;Цэл– величина тарифа за 1 кВт/ч потребляемой электроэнергии, руб.;Ти – продолжительность работы специалистов над проектом системы защиты информации, ч.Мощность оборудования, установленного на рабочем месте специалистов, работающих над реализацией проекта - 0,5 кВт. Продолжительность работы над реализацией проекта – 40 рабочих дней. Стоимость тарифной единицы электроэнергии – 5,5руб.Зэл = 0,5*5,5*40*8 = 880 руб.2. Расходы, связанные с заработной платой привлеченных специалистов.Тарифная ставка специалиста, привлеченного к созданию системы - 45000руб. Для реализации проекта привлечено 2 сотрудника на срок 40 рабочих дней. Оценка затрат на оплату труда привлеченных сотрудников:С учетом дополнительных выплат по оплате труда:Здоп = 0,15*163363 = 24545 руб.Величина фонда оплаты труда специалистов:Фзп = Зосн + Здоп = 163636 + 24545 = 188181 руб.3. Оценка затрат, связанных с амортизацией оборудования. Формула расчета вложений по данной статье:,(5)где Фперв –стоимость используемого при разработке оборудования; Ти – длительность использования оборудования в процессе создания системы; На – норма амортизации;Фэф – годовой эффективный фонд времени работы оборудования, для односменной работы он составляет Фэф = 360 дней.,(6) - срок амортизации;Срок амортизации компьютерной техники составляет 60 мес., в годовом выражении норма амортизации:Величина издержек, связанных с амортизацией оборудования стоимостью 55 тыс.руб.:Таким образом, оценка затрат, связанных с организацией разработки системы, составляет:4. Оценка прочих расходов, связанных с созданием системы:Страховые взносы: Величина накладных расходов принимается равной 0,2 от прямых затрат:Величина прочих расходов:Затраты на реализацию технологии защиты информации:Величина затрат, связанных с проведением исследований составляет 50% от бюджета проекта. Общая стоимость проекта составит:Ц = 284793 + 142396 + 40000 = 484279 руб.На рисунке 37приведено сравнение ожидаемой величины ущерба от успешной реализации атак на Web-приложения и стоимости мероприятий по защите информации.Рисунок 37 - Сравнение ожидаемой величины ущерба от утечек ПДн и стоимости мероприятий по защите информацииТаким образом, экономический эффект от внедрения системы связан с потенциальным снижением издержек от реализации угроз информационной безопасности. Расчеты показали, что предложения по внедрению программных и аппаратных решений могут быть рекомендованы к внедрению в условиях Университете. Выводы по разделуВ рамках предложений в области архитектуры системы защиты информации в Университете предложено использование программных и инженерно-технических решений, обеспечивающих возможности снижения уровня рисков реализации угроз информационной безопасности. Экономический эффект от внедрения системы связан с потенциальной возможностью сокращения издержек, вызванных ущербом от реализации угроз информационной безопасности. ЗаключениеВ рамках данной работы проведен анализ систем обеспечения защиты Web-ресурсов ЧОУ ВО «Московский Университет им.Витте» от внешних атак. Специфика проведения внешних атак связана со сложностью обнаружения, а успешная реализация атаки может привести к краже персональных данных, а также оперативной информации.В теоретической части работы проведен анализ алгоритмов проведения сетевых атак, классификация признаков реализации атак на отказ в обслуживании. Показано, что проведение атак на распределенные системы может привести как к отказам в работе прикладных программных систем, так и к невозможности проведения обмена данными между сегментами ИТ-инфраструктуры. Отсутствие возможности обмена данными между сегментами распределенных систем не позволяет получать консолидированную информацию, проводить ее актуализацию, что создает сложности в выполнении операций, связанных с должностными функциями специалистов предприятий.В качестве механизмов защиты от атак на отказ в обслуживании рассматриваются:настройка сетевого оборудования, установленного между корпоративной сетью и внешними сетевыми ресурсами;использование систем фильтрации трафика;использование систем шифрования трафика;использование VPN-систем.Список использованных источниковСКЗИ «Континент-АП». Общая характеристика. [Электронный ресурс]. Режим доступа: https://www.securitycode.ru/products/skzi-kontinent-ap/Аникин Д. В. Информационная безопасность и защита информации: учебное пособие / Д.В. Аникин. - Барнаул: Изд-во Алтайского государственного университета, 2018. - 196 с.Ахметов И. В., Карабельская И. В., Губайдуллин И. М., Сафин Р. Р. Моделирование бизнес-процессов: учебное пособие. - Уфа: Уфимский государственный университет экономики и сервиса, 2015. - 67 с. Бабиева Н. А., Раскин Л. И. Проектирование информационных систем: учебно-методическое пособие / Н. А. Бабиева, Л. И. Раскин. - Казань: Медицина, 2014. – 200с.Баранников Н. И., Яскевич О. Г. Современные проблемы проектирования корпоративных информационных систем / Н. И. Баранников, О. Г. Яскевич; ФГБОУ ВО "Воронежский гос. технический ун-т". - Воронеж: Воронежский государственный технический университет, 2014. - 237 с. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Белобородова Н. А. Информационная безопасность и защита информации : учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта : УГТУ, 2016. - 69 с.Благодаров А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сГорев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск :ОмА МВД России, 2016. - 87 с. Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва: Горячая линия - Телеком, 2016. - 304 с. Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Михайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.Михалевич Е.В. Обработка персональных данных: анализ законодательства и судебной практики / Е.В. Михалевич. - Москва : ФГБУ "Редакция "Российской газеты", 2019. - 143 с. Никифоров С. Н. Защита информации: защита от внешних вторжений : учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: СПбГАСУ, 2017. - 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 107 с. Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова. - Хабаровск : Изд-во ТОГУ, 2018. – 81с.