Защита удаленного доступа

Активная разработка и внедрение во все сферы человеческой деятельности информационных технологий повлекло за собой всеобщую информатизацию. Практически у каждой компании есть своя информационная система, которые часто подвержены атакам злоумышленников. Все большее число услуг стали оказываться в цифровом виде, что означает необходимость предоставления сотрудникам, клиентам и деловым партнерам удаленный доступ без ущерба для безопасности.

Понятие безопасного удаленного доступа значительно изменилось за последние несколько лет в результате появления новых технологий. По своей сути, безопасный удаленный доступ предполагает независимое от местоположения подключение между корпоративными пользователями и централизованными приложениями, ресурсами и системами, как облачными, так и локальными.

Введение 3

1   Защита удаленного доступа 5

1.1 Виртуальные частные сети (VPN) 5

1.2 Модель безопасности с нулевым доверием 10

1.3 Технология безопасного пограничного доступа (SASE) 15

1.4 Облачная безопасность 19

1.5 Управление идентификацией и доступом (IAM) 24

1.6 Управление привилегированным доступом (RAM) 33

2 Оценка угроз безопасности АО «Уфанет» 38

2.1 Информация об объекте защиты 38

2.2 Определение источников угроз безопасности 43

2.3 Определение базового уровня защищенности 50

2.4 Определение негативных последствий от реализации угроз безопасности информации 52

2.5 Определение актуальных угроз 53

3 Совершенствование системы защиты информации при удаленной работе с сетевым оборудованием 55

3.1 Анализ эффективности имеющейся системы защиты информации 55

3.2 Предложения по совершенствованию системы защиты информации 78

3.3 Оценка экономической стоимости 80

Заключение 83

Список использованных источников 86

Приложение А. 92

Нормативно-правовые акты

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993, вступила в силу 25.12.1993) (с учетом поправок, внесенных законами РФ о поправках к Конституции РФ от 30 декабря 2008 г. № 6-ФКЗ, от 30.12.2008 г. № 7-ФКЗ, от 05.02.2014 №2-ФКЗ, от 21.07.2014 № 11-ФКЗ, 14.03.2020 № 1-ФКЗ). – URL: http://www.consultant.ru/document/cons_doc_LAW_83686/0f334820a01eb926456dffbdd538df9386db44cc/#dst100008/ (дата обращения 14.02.2022) - Текст: электронный.

2. Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ (ред. от 25.03.2022) (с изм. и доп., вступ. в силу с 05.04.2022). – URL: http://www.consultant.ru/document/cons_doc_LAW_10699/5c337673c261a026c476d578035ce68a0ae86da0/ (дата обращения 11.04.2022) - Текст: электронный.

3. Гражданский кодекс Российской Федерации, часть 4 (ред. от 11.06.2021) (с изм. и доп., вступ. в силу с 01.01.2022). – URL: http://www.consultant.ru/document/cons_doc_LAW_64629/ (дата обращения 11.04.2022) - Текст: электронный.

4. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 30.12.2021) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.01.2022). – URL: http://www.consultant.ru/document/cons_doc_LAW_61798/ (дата обращения 16.02.2022). - Текст: электронный.

5. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных» (с изм. и доп., вступ. в силу с 02.07.2021). – URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения 16.02.2022). - Текст: электронный.

6. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». – URL: http://www.consultant.ru/document/cons_doc_LAW_220885/ (дата обращения 16.02.2022). - Текст: электронный.

7. Федеральный закон от 06.04.2011 № 63-ФЗ (ред. От 02.07.2021) «Об электронной подписи» (с изм. и доп., вступ. в силу с 01.03.2022). – URL: http://www.consultant.ru/document/cons_doc_LAW_112701/ (дата обращения 18.03.2022). - Текст: электронный.

8. Федеральный закон от 27.12.2002 № 184-ФЗ (ред. от 02.07.2021) «О техническом регулировании» (с изм. и доп., вступ. в силу с 23.12.2021). – URL: http://www.consultant.ru/document/cons_doc_LAW_40241/ (дата обращения 22.03.2022). - Текст: электронный.

9. Указ Президента РФ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации». – URL: http://www.consultant.ru/document/cons_doc_LAW_208191/ (дата обращения 26.02.2022). - Текст: электронный.

10. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». – URL: http://www.consultant.ru/document/cons_doc_LAW_137356/ (дата обращения 16.02.2022). - Текст: электронный.

11. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных». – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g/ (дата обращения 18.04.2022). - Текст: электронный.

12. Приказ ФСТЭК от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры российской федерации и обеспечению их функционирования». – URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/158/ (дата обращения 18.04.2022). - Текст: электронный.

13. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн (Утверждены ФСБ РФ 21.02.2008 № 149/6/6-622) и в других руководящих и нормативных документах. – URL:  http://www.consultant.ru/document/cons_doc_LAW_126991/89d80d1faf452dc2ebd22116b439f54ef26c5bb1/ (дата обращения 03.04.2022). - Текст: электронный.

14. Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка) (утв. приказом ФСТЭК России от 2 июня 2020 г. № 76). – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/2126-vypiska-iz-trebovanij-po-bezopasnosti-informatsii-utverzhdennykh-prikazom-fstek-rossii-ot-2-iyunya-2020-g-n-76/ (дата обращения 03.04.2022). - Текст: электронный.

15. Методический документ «Методика оценки угроз безопасности информации» утвержден ФСТЭК России 5 февраля 2021 г. – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g/ (дата обращения 11.05.2022). - Текст: электронный.

16. ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия. – URL: https://docs.cntd.ru/document/1200112883/ (дата обращения 11.03.2022). - Текст: электронный.

17. ГОСТ Р 56545-2015 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей. – URL: https://docs.cntd.ru/document/1200123701/ (дата обращения 11.03.2022). - Текст: электронный.

18. ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. – URL: https://docs.cntd.ru/document/1200123702/ (дата обращения 11.03.2022). - Текст: электронный.

19. ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения. – URL: https://docs.cntd.ru/document/1200135524/ (дата обращения 11.03.2022). - Текст: электронный.

20. ГОСТ Р ИСО/МЭК 15408-1 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. – URL: https://docs.cntd.ru/document/1200101777/ (дата обращения 27.04.2022). - Текст: электронный.

21. ГОСТ Р ИСО/МЭК 15408-2 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. – URL: https://docs.cntd.ru/document/1200105710/ (дата обращения 27.04.2022). - Текст: электронный.

22. ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. – URL: https://docs.cntd.ru/document/1200105711/ (дата обращения 27.04.2022). - Текст: электронный.

23. ГОСТ Р ИСО/МЭК 18045 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. – URL: https://docs.cntd.ru/document/1200105309/ (дата обращения 27.04.2022). - Текст: электронный.

24. ГОСТ Р ИСО/МЭК 27033-1 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепция. – URL: https://docs.cntd.ru/document/1200089172/ (дата обращения 30.04.2022). - Текст: электронный.

25. ГОСТ Р 58771-2019. Менеджмент риска. Технологии оценки риска. – URL: https://docs.cntd.ru/document/1200170253/ (дата обращения 30.04.2022). - Текст: электронный.

26. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. – URL: https://docs.cntd.ru/document/1200084141/ (дата обращения 3.05.2022). - Текст: электронный.

27. ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. – URL: https://docs.cntd.ru/document/1200068822/ (дата обращения 3.05.2022). - Текст: электронный.

Учебники

28. Городнова, А. А. Развитие информационного общества: учебник и практикум для академического бакалавриата / А. А. Городнова. – Москва: Юрайт, 2019. – 243 с. - ISBN 978-5-9916-9437-7. - Текст: непосредственный.

29. Полякова, Т.А. Организационное и правовое обеспечение информационной безопасности: учебник и практикум для бакалавриата и магистратуры / Т. А. Полякова, А. А. Стрельцов, С. Г. Чубукова [и др.] – Москва: Юрайт, 2018. – 325 с. - ISBN 978-5-534-03600-8. - Текст: непосредственный.

Учебные пособия

30. Вострецова, Е.В. Основы информационной безопасности: учебное пособие для студентов вузов / Е.В. Вострецова. – Екатеринбург: Изд-во Уральского ун-та, 2019. - 204 с. - ISBN 978-5-7996-2677-8. - Текст: непосредственный.

31. Грибунин, В.Г. Комплексная система защиты информации на предприятии: учебное пособие / В.Г. Грибунин. – Москва: Мир, 2017. - 356 с. - ISBN 643-4-7695-7854-7. - Текст: непосредственный.

32. Казарин, О. В. Основы информационной безопасности: надежность и безопасность программного обеспечения: учебное пособие для среднего профессионального образования / О.В. Казарин, И.Б. Шубинский. – Москва: Юрайт, 2019. - 342 с. - ISBN 978-5-534-10671-8. - Текст: непосредственный.

33. Кияев, В.И. Комплексная информационная безопасность в управлении современным предприятием: учебное пособие/ В.И. Кияев, А.В. Саитов. – Санкт-Петербург: Изд-во Санкт-Петербургского гос. экономического ун-та, 2016. - 222 с. - ISBN 978-5-7310-3648-1. - Текст: непосредственный.

34. Петраков, А.В. Основы практической защиты информации: учебное пособие / А.В. Петраков. – Москва: РадиоСофт. 2015. - 504 с. - ISBN 978-5-93274-121-4. - Текст: непосредственный.

Интернет ресурсы

35. Банк данных угроз безопасности информации ФСТЭК. – URL: https://bdu.fstec.ru/threat/ (дата обращения 07.03.2021).

36. Рейтинг «CNews Telecom 2020: Крупнейшие телекоммуникационные компании России». – URL: https://www.cnews.ru/reviews/telekom_2020/review_table/2ed67a5a049701584ddd515f2216d94452d644aa/ (дата обращения 21.05.2021).