Professional Documents
Culture Documents
Tanchynec Bakalavr
Tanchynec Bakalavr
До захисту допущено
В.о. завідувача кафедри
«_____»_____________2021 р.
Дипломна робота
на здобуття ступеня бакалавра
за освітньо-професійною программою «Системи, технології та
математичні методи кібербезпеки»
спеціальності: 125 «Кібербезпека»
ЗАТВЕРДЖУЮ
В.о. завідувача кафедри
__________ Микола ГРАЙВОРОНСЬКИЙ
(підпис)
«___»_____________2021 р.
ЗАВДАННЯ
на дипломну роботу здобувачу вищої освіти
РЕФЕРАТ
Дипломна робота має обсяг 61 сторінка, містить 4 рисунки, 2 таблиці та 17
посилань.
З кожним роком інформаційна безпека стає все більш вагомою частиною
будь-якого підприємства. Впровадження низки контролів та заходів для
забезпечення захищеності інформації потребує великих вкладень та глибокого
залучення співробітників зі сторони підприємства. Для ефективного
провадження СУІБ все частіше застосовують методологію, що базується на
поетапному впровадженні нормативної документації, технічних та
управлінських рішень з інформаційної безпеки у процеси підприємства. Також
цікавість до даної теми зумовлена тим, що велика кількість державних об’єктів
критичної інфраструктури є потенційними цілями кібератак та потребує
впровадження низки рішень з інформаційної безпеки.
Об’єктом дослідження є стратегія інформаційної безпеки
Предметом дослідження є державні та міжнародні стандарті з
інформаційної безпеки, а також методики розробки стратегії інформаційної
безпеки.
Метою роботи є визначення застосовних державних стандартів до об’єктів
критичної інфраструктури, порівняння державних та міжнародних стандартів ІБ,
розробка операційної моделі для аналізу стану інформаційної безпеки
підприємства, розробка «дорожньої карти» створення стратегії ІБ.
Дана робота містить огляд на актуальні державні стандарти, визначення
об’єктів критичної інфраструктури відповідно до чинного законодавства,
порівняльний аналіз міжнародних та державних стандартів ІБ, операційну
модель для оцінки стану ІБ підприємства, модель цільового стану технічної
архітектури ІБ підприємства, «дорожню карту» розробки стратегії ІБ.
Ключові слова: стратегія IБ, критична інфраструктура, кiбербезпека
5
ABSTRACT
The thesis has a volume of 61 pages, contains 4 figures, 2 tables and 17
references.
Every year, information security is becoming an increasingly important part of
any business. The implementation of a number of controls and measures to ensure the
security of information requires large investments and deep involvement of
employees from the enterprise. For the effective implementation of ISMS increasingly
used methodology based on the gradual implementation of regulatory documentation,
technical and management solutions for information security in enterprise processes.
Also, the interest in this topic is due to the fact that a large number of government
critical infrastructure objects are potential targets of cyberattacks and require the
implementation of a number of information security solutions.
The object of research is information security strategy
The subject of the research is state and international standards on information
security, as well as methods of developing information security strategy.
The purpose of the work is to determine the applicable state standards for
critical infrastructure, compare national and international IS standards, develop an
operational model for analyzing the state of information security of the enterprise,
develop a "road map" to create an IS strategy.
This work contains an overview of current state standards, identification of
critical infrastructure in accordance with current legislation, comparative analysis of
international and state IS standards, operational model for assessing the state of IS
enterprise, model of target state of technical architecture of IS enterprise, "road map"
of strategy development IB.
Ну Key words: IS strategy, critical infrastructure, cybersecurity
6
ЗМІСТ
ВСТУП .......................................................................................................................... 9
ВИСНОВКИ ................................................................................................................ 57
ВСТУП
Питання інформаційної безпеки об’єктів критичної інфраструктури постає
у сучасному світі з кожним роком все частіше. Відомо, щонайменше, 2 успішно
атаки (Stuxnet [1] та Blackout [2]) на об’єкти критичної інфраструктури, що
завдали значної шкоди підприємствам, державі та суспільству та зупинили
роботу підприємств на значний термін. Причин успішної реалізації кібератак є
декілька: недостатньо захищена інфраструктура підприємства, відсутність
технічних або програмних рішень для виявлення потенційних загроз, недостатня
кількість проведених навчальних заходів для персоналу з питань інформаційної
безпеки, відсутність планів та процедур відновлення роботи після атаки. Для
запобігання
реалізації можливих ризиків необхідно впровадити низку стандартів та вимог,
яких необхідно дотримуватись для побудови системи управління інформаційною
безпекою або комплексної системи захисту інформації.
Актуальність роботи. Інформаційна безпека та її забезпечення є
актуальним завданням для будь-якого підприємства по всьому світу. Для
системного підходу та впровадження рішень та процесів інформаційної безпеки,
ще у 1998 році був розроблений стандарт BS 7799 [3], який описував механізми
контролю необхідні для побудови СУІБ у організаціях, засновуючись на
найкращих світових практиках в даній області. З роками цей стандарт
змінювався, розширявся та створювались додаткові стандарти, що покривали
нові сфери інформаційної безпеки. Сьогодні нащадками цього стандарту є
сімейство стандартів ISO/IEC 27000.
На державному рівні Україна також має свої стандарти, що регламентують
створення системи управління інформаційною безпекою для об’єктів критичної
інфраструктури. Нажаль, більшість систем інформаційної безпеки державних
підприємств є застарілими, а процес автоматизації та оновлення обладнання не
10
Висновки до розділу 1
Управління ризиками ІБ
Процеси ІБ
Корпоративне управління й
організаційна структура
УВТС ЗБК УВ
Дизайн і архітектура
• оцінка узгодженості поточного набору технічних рішень ІБ з ІТ
інфраструктурою організації
• оцінка достатності поточного набору рішень для захисту від
ландшафту загроз організації
• оцінка актуальності підходу до вибору технологій забезпечення ІБ
• вимірювання ефективності використовуваних рішень, аналіз з боку
керівництва і постійне покращення
Технічна реалізація
30
Висновки до розділу 2
3.2.2.1 Хто?
При аналізі моделі порушника інформаційної безпеки, необхідно
сфокусуватися на зловмисниках, які становлять найбільшу загрозу для
підприємства. В нашому випадку енергетичний сектор знаходиться в середовищі
з високим рівнем загроз, як об'єкт критичної інфраструктури. Енергетична галузь
схильна до великої кількості атак, спрямованих на промислові системи, що
управляють автоматизованими виробничими процесами.
Відповідно до історичного досвіду, нових тенденцій і аналізу загроз для
енергетичного сектору, основними дійовими особами, що реалізують загрози
(зловмисниками) є такі суб'єкти:
• Зловмисник, підтримуваний державою - спонсорований державою
хакер або злочинна організація, націлені на енергетичний сектор з
наміром завдати шкоди критичній інфраструктурі країни:
o мають великі внутрішні ресурси для підготовки та реалізації
атак
36
3.2.2.2 Що?
3.2.2.3 Як?
1 2 3 4
Одержання доступу Критичний
до технологічної
Технологічна
мережі з
інфраструктура
корпоративної
мережі
Неправильна Високий 1.Контроль вимог ІБ при взаємодії з
конфігурація підрядниками
програмного або 2. Сегрегація і сегментація технологічної
Технологічна мережі
апаратного
інфраструктура 3. Система захисту технологічних систем
забезпечення
технологічних (Industrial Cybersecurity System)
систем 4. Впровадження стандартів безпечного
налаштування обладнання
Порушення Середній
5. Поведінковий аналіз користувачів
функціонування
(UEBA)
технологічних
Технологічна 6. Система управління правами
систем через
інфраструктура привілейованих користувачів (PAM)
установки
7. Моніторинг подій ІБ в технологічній
неперевірених
інфраструктурі (SOC)
оновлень
8. Регулярні тренінги та заходи щодо
Отримання доступу Критичний
підвищення обізнаності в області ІБ
до технологічної
9. Контроль використання знімних носіїв
мережі за
Технологічна інформації, включаючи попередню
допомогою атаки на
інфраструктура перевірку на наявність шкідливого ПЗ і
підрядників, які
заборона на використання носіїв для
обслуговують
особистих цілей
систему
10. Регулярне і своєчасне оновлення
Фішингова атака Високий технологічних систем
через електронну 11. Реалізація рольової моделі доступу
пошту 12. Система захисту від цілеспрямованих
Корпоративна співробітника з атак в корпоративній мережі (Breach
інфраструктура метою зараження detection system)
корпоративної 13. Контроль підключень до корпоративної
мережі шкідливим мережі (система NAC)
ПЗ 14. Система контролю доступу (IAM)
Неавторизоване Високий 15. Система захисту хмарних сервісів
підключення до (CASB)
хмарних сервісів 16. Система захисту бази даних (DBS)
Корпоративна підприємства з
інфраструктура використанням
облікових даних
співробітника
41
1 2 3 4
DDoS атака на Високий
портал
обслуговування 1. Система захисту від веб-атак (WAF)
Корпоративна
клієнтів 2. Перегляд договорів з постачальниками
інфраструктура
послуг на відповідність вимогам ІБ
Розміщення Високий
шкідливого коду в
виконавчих файли
Корпоративна при розробці ПЗ, що Впровадження стандарту безпечної
інфраструктура призводить до появи розробки ПО
критичних
вразливостей в
ньому
Висновки до розділу 3
ВИСНОВКИ