Методы защиты информации (Основы информационной безопасности). Анализ информационных рисков интернет-магазина «Эльдорадо»

При этом статистические данные показывают, что протяжении последних лет руководители крупных и средних организаций больше обеспокоены угрозами, исходящими от действий собственных сотрудников (рисунок 7.1).Рисунок7.1. Соотношение опасности внутренних и внешних нарушителей [14]Такое соотношение опасности между внутренними и внешними угрозами обусловлена тем, что халатность сотрудников и их действия по рассылке материалов рекламного характера, а также саботажу деятельности, в совокупности, наносят большой ущерб компаниям (организациям). Топ-менеджмент, как и непривилегированные сотрудники, склонен к нарушению установленных правил безопасности. Причем это касается не только незаконного распространения информации ограниченного доступа (собственно утечки данных) но и действий, которые прямо направлены на причинение ущерба работодателю (например, из мести) и ведут к блокированию или уничтожению данных.Как отмечалось выше наибольшую опасность для хищения информации, представляют внутренние нарушители, которые в зависимости от особенностей поведения, опыта работы в сфере информационных технологий и мотивации можно разделить на «халатных», «манипулируемых», «обиженных», «нелояльных», «подрабатывающих» и «внедренных» (таблица 7.1). Таблица 7.1Характеристика типов нарушителей Тип инсайдеровОсобенности поведенияОпыт работы в сфере информационных технологийМотивацияУмыселКорыстьХалатныеНевнимательные, неосторожныеНизкийНетНетМанипулируемыеСтавшие жертвами мошенничестваНизкийНетНетОбиженные (cаботажники)Собирающиеся продолжать работу, но считающие , что их деятельность не была по достоинству оценена (низкая зарплата, невысокая должность, отсутствие поощрений и .т.д.)СреднийДаНетНелояльныеСобирающиеся увольняться с работы и осуществляющие сбор любой информации на всякий случайСреднийДаНетПодрабатывающиеРешившие дополнительно заработать, или ставшие жертвами шантажаСреднийДаДаВнедренныеУстраивающиеся на работу в подразделения по защите информации с хорошими рекомендациями, работающие до момента получения прав доступа к информационным ресурсамВысокий, могут использовать программно-аппаратные средства взлома системы защиты информацииДаДаХарактер угроз действий различных типов нарушителей представлен в таблице 7.2.Таблица 7.2 Характер угроз действий типовых инсайдеровТип инсайдеровЦелиХарактер угрозДействия при отказе доступа к активамПостановка задачСкрытие фактов атакиХалатныеНетНенаправленныеОбращение к коллегам или администраторуНетНетМанипулируемыеНетНеумышленныеОбращение к коллегам или администраторуПутем мошенни-честваНетОбиженные (cаботажники)Нанесение ущерба, компрометация, шантажНаправленные на нарушение конфиденциальности и целостностиИзменение целей атаки (уничтожение материальной собственности)Самостоя-тельноДаНелояльныеХищение баз данных, персональных данных клиентов,интеллектуальной собственностиНенаправленные (уносят максимум информации не вникая в ее ценность)Имитация уважительной причиныСамостоя-тельноНетПодрабатывающиеЗаработок путем продажи информацииНаправленные на нарушение конфиденциаль-ностиОтказ от атаки, изменение целей атаки, имитация уважительной причины, подкуп коллег, взлом системы защитыСамостоя-тельно или под руководством внешнего заказчикаДаВнедренныеХищение, модифика-ция или уничтоже-ние информационных ресурсовНаправленные на нарушение конфиденциальности целостности, сохранности и доступностиВзлом системы защитыПод руководством внешнего заказчикаДаВербальное описание действий инсайдеров по реализации каждой из угроз представлены в таблице 7.3.Таблица 7.3Характерные признаки реализации инсайдерских угрозНаименование угрозыПреследуемые целиСредства реализации угрозыУтечка информацииВынос информации за пределы контролируемой зоны для последующей передачи ее заинтересованным лицам1. Распечатка документов или его части на принтере;2. Копирование информации на внешний МНИ (СD/DVD — диск, USB - носители, жесткий диск и др.)Кража информации по неосторожностиНет1. Копирование информации на внешний МНИ (СD/DVD — диск, USB - носители, жесткий диск и др.) и его утрата;2. Публикация в социальных сетях личных фотографий на фоне которых видно документы, содержащие информацию ограниченного распространенияСаботаж Нанесение ущерба, шантаж компрометация1. Копирование информации на свой носитель с одновременным уничтожением ее на ПЭВМ;2. Уничтожение ПЭВМ, бумажных и машинных носителей информации 8. Анализ потенциального ущерба, наносимого злоумышленниками при реализации атакПод ущербом будем понимать результат изменения нормальной работыинтернет-магазина в результате атак нарушителей. При этом магазин может понести прямые финансовые потери, потери нематериального характера и непрямы е финансовые потери. Прямые финансовые потери, связанны с отказом клиентов от совершения покупки, хищением товаров в результат мошеннических действий, ущерб от потери важной информации (удаление данных с интернет сайта). Кроме того, в случае атаки типа «Отказ в обслуживании», возникнут прямые затраты из-за срыва регламента рабочего времени сотрудников. При заражении сайта интернет магазина вредоносными программами, необходимо затратить дополнительные финансовые средства на оплату труда специалистов по восстановлению нарушенной работоспособности.ЗаключениеПоставленная в курсовой работе цель достигнута, задачи решены. В ходе анализа структуры интернет-магазина «Эльдорадо» были выявлены основные достоинства данного способа электронной коммерции. Магазин является одним из крупнейших поставщиков электронной и бытовой техники с годовым оборотом около 420 милиардов рублей. Такой финансовый оборот компании свидетельствует о высоком качестве реализованных бизнес-процессов в компании, а также высоком доверии клиентов.В ходе анализа информационной системы интернет-магазина «Эльдорадо» была определена структура интернет сайта магазина и определено, что информация о товарах и услугах храниться в электронном виде на сервере компании.При анализе средств защиты информации были определены основные задачи, которые должны решаться системой защиты к основных из которых относят разграничение полномочий пользователей по доступу к информационным ресурсам магазина, обеспечение защиты информации, размещаемой на сайте магазина от несанкционированного удаления или вводу ложной информации, обеспечение круглосуточного доступа клиентов и сотрудников к информационным ресурсам магазина, обеспечение защиты платежных операций, совершаемых в интернет-магазине.Не смотря на созданную систему защиты существуют уязвимости информационной безопасности, используя которые злоумышленник может получить доступ к информационным ресурсам магазина. Основными уязвимостями являются инъекции SQL в программный код, проблемы аутентификации, межсайтовый скриптинг, ошибки контроля доступа, неверная конфигурация серверного оборудования, межсайтовая подделка запроса, использование уязвимостей компонентов, уязвимости протоколов взаимодействия приложений.С целью своевременного выявления и устранения выявленных уязвимостей администраторы сайтов, и разработчики программных кодов клиентских приложений и специалисты отдела информационной безопасности должны использовать процессный подход к функционированию интернет-магазина. Процессный подход предполагает непрерывную оценку рисков информационной безопасности функционирования интернет-магазина, выявление угроз и принятие мер по их нейтрализации.Для определения рисков проанализированы все имеющиеся информационные ресурсы интернет-магазина, построена модель потенциального нарушителя, проанализирован потенциальный ущерб, который может быть нанесен злоумышленниками. Далее с использованием когнитивное моделирование оценки информационных рисков и методов автоматизации анализа и управления информационными рисками, реализованные в программном средстве FCMBuilder были оценены информационные риски, а также выработаны рекомендации по совершенствованию системы защиты интернет-магазинаСписок используемых источниковЭльдорадо [Электронный ресурс] URL: https://www.eldorado.ru/company/press-center/(дата обращения 20.04.2020).Федеральный закон Российской Федерации от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс] URL: www.consultant.ru (дата обращения 06.05.2020).Анин Б.Ю. Защита компьютерной информации / Б.Ю. Анин. — СПб.: БХВ – Петербург, 2000. 384 с.Зегжда Д.П. Основы безопасности информационных систем / Д.П. Зегжда, A.M. Ивашко. М.: Горячая линия - Телеком, 2000. - 452 с.Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. / М.А. Иванов. – М.: КУДИЦ-ОБРАЗ, 2001.-368 с.Корячко, В.П. Корпоративные сети: технологии, протоколы, алгоритмы / В.П. Корячко, Д.А. Перепелкин. - М.: Гор. линия-Телеком, 2013. - 219 c.Никонов В.И. Методы защиты информации в распределенных компьютерных сетях с помощью алгоритмов маршрутизации / В.И. Никонов // Доклады ТУСУР. 2010. - № 1 (21) , ч.2 - с. 219-224.Олифер, В.Г. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. Стандарт третьего поколения / В.Г. Олифер, Н.А. Олифер.. - СПб.: Питер, 2013. - 944 c;Панасенко С.П. Алгоритмы шифрования. Специальный справочник / С.П. Панасенко СПб.: БХВ-Петербург, 2009. - 576 с.Романец Ю.В. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин — М.: Радио и связь, 2001. – 376с.Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства / В.Ф. Шаньгин М.: ДМК-Пресс, 2008. – 544с.Козиол, Дж. Искусство взлома и защиты систем / Дж. Козиол, Д. Личфилд, Д.Эйтел и др. – СПб.Питер, 2006. –416 с.Малюк, А.А. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В.Пазизин, Н.С.Погожин. – М.:Горячая линия-телеком, 2001. – 148 с.Торокин, А.А. Основы инженерно-технической защиты информации / А.А.Торокин. – М.:Ось-89, 1998. – 336 с.Аверченков, В.И. Методы и средства инженерно-технической защиты информации / В.И.Аверченков, М.Ю.Рытов, А.В.Кувыклин, Т.Р.Гайнулин. – М.: Телеком, 2011. – 386 с.