Анализ рисков информационной безопасности предприятия с помощью средства оценки безопасности Microsoft Security Assessment Tool
Начиная с серии вопросов о бизнес-модели компании, MSAT создает профиль бизнес-риска (BRP), измеряя риск, связанный с действиями компании, согласно отраслевым и бизнес-моделям, определенным BRP. Вторая серия вопросов предназначена для составления списка мер безопасности, развернутых компанией с течением времени. Вместе эти меры безопасности образуют уровни защиты, предоставляя большую… Читать ещё >
Анализ рисков информационной безопасности предприятия с помощью средства оценки безопасности Microsoft Security Assessment Tool (реферат, курсовая, диплом, контрольная)
Описание MSAT
Инструмент оценки безопасности Microsoft Security Assessment Tool (MSAT) предназначен для помощи организациям в оценки уязвимостей ИТ-среды. Он позволяет предоставить список расставленных по приоритетам проблем и список рекомендаций по минимизации этих угроз, а затем регулярно проверять способность инфраструктуры отвечать на эти угрозы [13].
MSAT применяет целостный подход к измерению уровня безопасности и охватывает такие темы, как персонал, процессы и технологии. Основные возможности MSAT.
- 1. Предоставляет понятную, исчерпывающую и постоянную осведомленность об уровне безопасности.
- 2. Описывает инфраструктуру эшелонированной защиты, соответствующую отраслевым стандартам.
- 3. Предоставляет подробные, постоянные отчеты, сравнивающие базовые показатели с достигнутыми успехами.
- 4. Описывает проверенные рекомендации и расставленные по приоритетам действия по улучшению безопасности.
- 5. Предоставляет структурированные рекомендации от компании Microsoft в зависимости от отраслевой принадлежности.
Опросник MSAT состоит из более 200 вопросов, охватывающих инфраструктуру, приложения, операции и персонал. Вопросы, связанные с ними ответы и рекомендации выводятся из общепринятых практических рекомендаций, стандартов, таких как ISO 27 000 и NIST-800.x, а также рекомендаций и предписаний от группы надежных вычислений Microsoft и других внешних источников по безопасности.
Начиная с серии вопросов о бизнес-модели компании, MSAT создает профиль бизнес-риска (BRP), измеряя риск, связанный с действиями компании, согласно отраслевым и бизнес-моделям, определенным BRP. Вторая серия вопросов предназначена для составления списка мер безопасности, развернутых компанией с течением времени. Вместе эти меры безопасности образуют уровни защиты, предоставляя большую защищенность от угроз безопасности и конкретных уязвимостей. Каждый уровень вносит вклад в комбинированную стратегию глубокой защиты. Их сумма называется индексом глубокой защиты (DiDI). Затем BRP и DiDI сравниваются, чтобы измерить распределение угроз по областям анализа — инфраструктуре, приложениям, операциям и людям.
Помимо вышеупомянутых показателей MSAT также измеряет уровень безопасности организации. Уровень безопасности подразумевает развитие высокоэффективных и стабильных методик обеспечения безопасности. При низком значении используется ограниченное число методов защиты, а действия предпринимаются постфактум. При высоком значении практикуются устоявшиеся и проверенные процессы, которые позволяют компании предпринимать упреждающие меры и при необходимости реагировать еще эффективнее и согласованнее.
MSAT предназначена для широкого охвата областей потенциального риска в среде, а не для предоставления глубокого анализа конкретных технологий или процессов. Поэтому, средство не может оценивать эффективность примененных мер безопасности. Его следует использовать как предварительное руководство, помогающее в разработке базовых показателей для концентрации на конкретных областях, требующих более пристального внимания. MSAT можно запускать регулярно.
В таблице 6 перечислены области, включенные в оценку угроз безопасности.
Таблица 6. Категории оценки и их важность.
Инфраструктура. | Важность для безопасности. |
Защита периметра. | Защита периметра касается безопасности на границах сети, где внутренняя сеть соединяется с внешним миром. Она составляет первую линию обороны против нарушителей. |
Проверка подлинности. | Строгие процедуры проверки подлинности для пользователей, администраторов и удаленных пользователей предотвращают получение доступа к сети чужаками путем использования локальных и удаленных атак. |
Управление и наблюдение. | Управление, наблюдение и правильное ведение журнала имеют ключевое значение для поддержки и анализа ИТ-сред. Эти средства еще более важны после того, как атака произошла и требуется анализ инцидента. |
Рабочие станции. | Защита отдельных рабочих станций является ключевым фактором в защите любой среды, особенно когда разрешен удаленный доступ. Рабочие станции должны обладать мерами безопасности для защиты от распространенных атак. |
Приложения. | Важность для безопасности. |
Развертывание и использование. | Когда ключевые для бизнеса приложения развертываются в производственной среде, необходимо защитить безопасность и доступность этих приложений и серверов. Постоянное обслуживание важно для надежного исправления ошибок безопасности и избегания внесения в среду новых ошибок. |
Проектирование приложений. | Проектирование, которое не в должной мере решает вопросы с такими механизмами безопасности, как проверка подлинности, авторизация и проверка данных, может позволить взломщикам воспользоваться уязвимостями безопасности и таким образом получить доступ к важной информации. Безопасные методологии разработки приложений являются ключом к обеспечению того, что разработанные самостоятельно или подрядчиком приложения решают проблемы с моделью угроз, способной создать уязвимости в защите организации. Целостность и конфиденциальность данных является одной из крупнейших забот для любого бизнеса. Потеря или кража данных может отрицательно сказаться на прибыли организации, равно как и на ее репутации. Важно понимать, как приложения обрабатывают ключевые для бизнеса данные и как эти данные защищены. |
Эксплуатация. | Важность для безопасности. |
Среда. | Безопасность компании зависит от рабочих процедур, процессов и рекомендаций, примененных к среде. Они повышают безопасность организации, включая в себя больше, чем просто технологии. Точное документирование среды и наличие руководств имеют ключевое значения для способности рабочей группы управлять, поддерживать и обслуживать безопасность среды. |
Политика безопасности. | Корпоративной политикой безопасности именуется коллекция отдельных политик и рекомендаций, существующих для управления безопасным и верным использованием технологии и процессов внутри организации. Эта область охватывает политики, касающиеся всех типов безопасности, таких как безопасность пользователя, системы и данных. |
Резервное копирование и восстановление. | Резервное копирование и восстановление имеют ключевое значение для поддержания бесперебойности бизнес-операций в случае несчастья или сбоя оборудования/программного обеспечения. Отсутствие должных процедур резервного копирования и восстановления может привести к значительным потерям данных и продуктивности. Под угрозой может оказаться репутация компании и торговой марки. |
Управление исправлениями и обновлениями. | Хорошее управление исправлениями и обновлениями важно в обеспечении безопасности ИТ-среды организации. Своевременное применение обновлений и исправлений необходимо, чтобы помочь в защите от известных и потенциальных уязвимостей. |
Персонал. | Важность для безопасности. |
Требования и оценки. | Требования безопасности должны быть понятны всем, кто принимает решения, чтобы их технические и бизнес-решения улучшали безопасность, а не конфликтовали с ней. Регулярные оценки сторонними консультантами могут помочь компании в обозрении, оценке и определении областей для улучшений. |
Политики и процедуры. | Четкие, практичные процедуры по управлению отношениями с поставщиками и партнерами могут помочь в предотвращении создания угроз компании. Процедуры, охватывающие наем и увольнение сотрудников, могут помочь защитить компанию от беспринципных или обозленных сотрудников. |
Подготовка и осведомленность. | Сотрудники должны быть обучены и осведомлены о политиках безопасности и о том, как безопасность касается их обязанностей, чтобы они случайно не подвергли компанию большей угрозе. |
Результаты оценки MSAT
На основании ответов на предложенные в опроснике MSAT вопросы был сформирован подробный отчет о текущем состоянии уровня безопасности на рассматриваемом предприятии. Этот отчет представлен в Приложении.
Далее выделю основные моменты.
— профиль риска для бизнеса (ПРБ (BRP)): величина измерения риска, которому подвергается организация, в зависимости от бизнес-среды и отрасли, в условиях которых она конкурирует.
Показатель ПРБ находится в диапазоне от 0 до 100, где более высокая оценка подразумевает более высокий показатель потенциального риска для бизнеса в данной специфической области анализа. Важно отметить, что нулевое значение в данном случае невозможно, так как деловая деятельность сама по себе подразумевает наличие какого-то уровня риска. Кроме того, важно понимать, что существуют определенные аспекты ведения бизнеса, для которых отсутствует прямая стратегия снижения риска.
— индекс эшелонированной защиты (DiDI): величина измерения защитных мер по обеспечению безопасности, используемых в отношении персонала, процессов и технологий для снижения рисков, выявленных на предприятии.
Индекс DiDI также находится в диапазоне от 0 до 100. Высокий показатель свидетельствует о среде, в которой было принято множество мер для развертывания стратегий эшелонированной защиты в конкретной области. Показатель DiDI не отражает общей эффективности безопасности или же ресурсы, затраченные на безопасность. Это, скорее, отражение общей стратегии, использованной для защиты среды.
На первый взгляд, может показаться, что низкий показатель ПРБ и высокий показатель DiDI — это хороший результат, но это не всегда так. Масштаб данной самооценки не предусматривает все факторы, которые следует принять во внимание. При значительной диспропорции между показателями ПРБ и DiDI в конкретной области анализа рекомендуется изучить ее как можно глубже. При анализе результатов важно учитывать индивидуальные показатели, как для ПРБ, так и DiDI, по отношению друг к другу. Стабильная среда, вероятно, будет представлена сравнительно одинаковыми показателями во всех областях. Разница между показателями DiDI — это явный признак того, что общая стратегия безопасности базируется на одной методике снижения риска. Если стратегия обеспечения безопасности не уравновешивает аспекты, связанные с персоналом, процессами и технологиями, то для среды существует вероятность повышенной уязвимости для злонамеренных атак.
Несмотря на то, что по всем областям анализа индекс DiDI превосходит индекс BRP и создается впечатление высокой защищенности предприятия, результирующая таблица уровня безопасности выглядит следующим образом.
Таблица 7. Общий анализ уровня безопасности.
Области анализа. | Сравнение риска и защиты. | Уровень безопасности. |
Инфраструктура. | ||
Приложения. | ||
Операции. | ||
Персонал. |
Уровень безопасности — это величина измерения способностей организации к эффективному использованию инструментов, доступных для создания стабильного уровня безопасности по многим дисциплинам.
Исходя из ответов на вопросы, связанных с оценкой рисков, имеющимся на предприятии защитным мерам присвоены рейтинги (таблица 8).
Таблица 8. Рейтинги существующих мер безопасности.
Инфраструктура. | |
Защита по периметру. | |
Правила и фильтры межсетевого экрана. | |
Антивирус. | |
Антивирус — Настольные компьютеры. | |
Антивирус — Серверы. | |
Удаленный доступ. | |
Сегментация. | |
Система определения вторжения (IDS). | |
Беспроводная связь. | |
Проверка подлинности. | |
Административные пользователи. | |
Внутренние пользователи. | |
Пользователи с удаленным доступом. | |
Политики паролей. | |
Политики паролей — Учетная запись администратора. | |
Политики паролей — Учетная запись пользователя. | |
Политики паролей — Учетная запись для удаленного доступа. | |
Неактивные учетные записи. | |
Управление и контроль. | |
Нарушения безопасности: реагирование и создание отчетов. | |
Защищенная сборка. | |
Физическая безопасность. | |
Приложения. | |
Развертывание и использование. | |
Балансировка нагрузки. | |
Кластеризация. | |
Восстановление приложений и данных. | |
Независимый сторонний поставщик программного обеспечения. | |
Внутренняя разработка. | |
Уязвимые места в системе. | |
Схема приложения. | |
Проверка подлинности. | |
Политики паролей. | |
Авторизация и управление доступом. | |
Ведение журнала. | |
Подтверждение ввода. | |
Методологии разработки систем безопасности программного обеспечения. | |
Хранение данных и связь. | |
Шифрование. | |
Шифрование — Алгоритм. | |
Операции. | |
Среда. | |
Узел управления. | |
Узел управления — Серверы. | |
Узел управления — Сетевые устройства. | |
Политика безопасности. | |
Классификация данных. | |
Утилизация данных. | |
Протоколы и службы. | |
Правильное использование ресурсов. | |
Управление учетными записями. | |
Управление. | |
Политика безопасности. | |
Управление средствами исправления и обновления. | |
Документация о сети. | |
Поток данных приложений. | |
Управление средствами исправления. | |
Управление изменениями и конфигурация. | |
Архивация и восстановление. | |
Файлы журнала. | |
Планирование аварийного восстановления и возобновления деятельности предприятия. | |
Архивация. | |
Резервные носители. | |
Архивация и восстановление. | |
Персонал. | |
Требования и оценки. | |
Требования по безопасности. | |
Оценки безопасности. | |
Политика и процедуры. | |
Проверка в фоновом режиме. | |
Политика отдела кадров. | |
Сторонние взаимосвязи. | |
Обучение и осведомленность. | |
Осведомленность о безопасности. | |
Обучение в области безопасности. |
В некоторых областях анализа существует недостаток передовых методик, и для повышения безопасности среды они требуют усовершенствования. В таблице 9 представлены приоритетные меры по защите информации, которые необходимо предпринять.
Таблица 9. Приоритет необходимых мер безопасности.
Высокий приоритет. | Средний приоритет. | Низкий приоритет. |
ѕ Защищенная сборка ѕ Сегментация. ѕ Уязвимые места в системе. ѕ Алгоритм шифрования ѕ Удаленный доступ. | ѕ Ведение журнала. ѕ Сторонние взаимосвязи. ѕ Файлы журнала. ѕ Резервные носители. ѕ Оценки безопасности. | ѕ Политика правильного использования ресурсов. ѕ Архивация. ѕ Антивирус — Настольные компьютеры. ѕ Антивирус — Серверы. ѕ Политики паролей — Учетная запись администратора. |