Анализ состояния и методология обеспечения информационной безопасности в процессах управления. Анализ информационной безопасности предприятия Анализ системы обеспечения информационной безопасности

Санкт-Петербургский Государственный Электротехнический Университет

Курсовой проект

по дисциплине: Методы и средства защиты компьютерной информации.

Тема: "Анализ безопасности информационных объектов"

Выполнил: Павлова А.В.

Группа: 9051

Факультет: ОФ

Санкт-Петербург, 2014 г.

1. Постановка задачи

Выбор объекта защиты

Цели безопасности

Специализация объекта защиты

2. Аналитический этап

Требования к СЗИ

Варианты СЗИ

4. Политика безопасности

1. Постановка задачи

Выбор объекта защиты

В качестве объекта защиты в ходе выполнения данного курсового проекта будет рассматриваться корпоративная локальная сеть ООО "Диалог ИТ".

Основным видом деятельности компании является оказание услуг по автоматизации деятельности предприятий на базе программных продуктов 1С и других производителей. Вопрос защиты информации стоит достаточно остро, т.к. в корпоративной базе данных хранятся конфиденциальные данные клиентов, а также от целостности локальной сети зависит работа более 90 пользователей.

Определение проблемы безопасности

Для выбранного объекта защиты остро строят вопросы как защиты конфиденциальных данных (как клиентов компании, так и личных данных сотрудников организации), целостности данных (баз данных клиентов и самого предприятия), так и доступности данных (имеет большое значение скорость доступа к данным).

Цели безопасности

Исходя из трех проблем безопасности, в данном случае перед нами стоит 3 цели:

при защите конфиденциальных данных целью будет являться полная защита, близкая к 100 %, т.к. утечка даже небольшого количества данных может нанести серьезный финансовый урон.

корпоративная сеть защита информация

при обеспечении целостности данных нашей целью будет также стремление к полной защите данных. Допустимой может быть лишь потеря данных за небольшой период времени - не более 1 дня.

при обеспечении доступности данных наша цель также максимальна: перебой в доступе к данным внутри компании допустим не более чем на 2-3 ч, к данным клиентов компании (в случае если это непрерывное производство) - не более чем на 1-1,5 ч.

Специализация объекта защиты

Рис. 1

Рис. 2

Локальная сеть организации разбита на 4 виртуальные подсети, взаимодействие которых обеспечено с помощью коммутатора 3com 5500. Это сделано с целью увеличения полезной скорости локальной сети. Безопасность сети со стороны сети Internet обеспечивается Firewall.

Сервер demo. dialog, предназначенный для предоставления демо-доступа клиентов компании к базам данных и своим сервисам, не располагается в локальной сети компании, т.к. в данном случае нет необходимости предоставлять эти сервисы для внешних пользователей именно внутри локальной сети. (Рис.1)

Сервер корпоративного портала (Рис.2): со стороны Интернета открыт только 80-й порт. Остальные порты закрыты.

Спецификация виртуальных серверов (используемое ПО - ESXi, VMware и Hyper-V, Microsoft):

контроллера домена (используется служба Active Directory);

СУБД для баз данных 1С (MsSQL);

сервер корпоративной антивирусной защиты (антивирусная защита Kaspersky), совмещенный с файловым хранилищем пользователей локальной сети;

сервер мониторинга (следит за состоянием серверов в сети и анализирует их производительность);

сервер разработки (для ведения совместной разработки программистов компании);

сервер резервного копирования. Архивной копирование производится ежедневно - в ночное время, в периоды наименьшей нагрузки сети.

2. Аналитический этап

Структура системы факторов риска

Определим элементы множеств источником угроз, угроз и факторов риска и связи между ними.

Сначала дадим основные определения.

Источник угроз - потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза - событие, которое прямо или косвенно способно нанести ущерб защищаемому объекту путем воздействия на его компоненты.

Угрозы, которые непосредственно воздействуют на компоненты защищаемого объекта, назовем событиями риска.

Антропогенные источники угроз.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления.

В качестве антропогенного источника угроз можно рассматривать человека, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта.

Возможные источники угроз данного типа для рассматриваемой сети:

злоумышленник (преступник, хакер, недобросовестный партнер компании);

пользователь, не обладающий достаточным уровнем квалификации или получивший несанкционированный доступ к ресурсам сети;

администратор сети.

Техногенные источники угроз.

Эти источники угроз менее прогнозируемые, и напрямую зависят от свойств техники.

Техногенными источника угроз для наших данных могут быть:

неполадки в инженерных сетях здания (водоснабжения, электричества и т.п.);

неполадки в технических средствах;

Стихийные источники угроз.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту, под ними понимаются прежде всего природные катаклизмы.

Из данного вида угроз информационным данным нашей организации могут рассматриваться:

наводнение (это связано с местонахождением офиса компании неподалеку от реки, а также с расположением в Северо-Западном Федеральном округе);

непредвиденные обстоятельства подобного типа (от землетрясения до угрозы ядерной атаки).

Общий перечень возможных угроз от вышеперечисленных источников:

·Перебой в электропитании;

·Утеря архивных данных информационных систем;

·Сбой в работе серверов, компьютеров пользователей;

·Физическое повреждение компьютерной техники;

·Утеря или повреждение данных в результате ошибок ПО;

·Утеря или повреждение данных в результате действий компьютерных вирусов;

·Несанкционированное копирование, уничтожение или изменение данных;

·Утечка конфиденциальной информации.

События риска:

утеря информационных данных и доступа к ним;

изменение данных;

утечка конфиденциальных данных.

Компонентами информационной системы нашей компании являются:

.Сервер

2.Компьютер пользователя

.Канал связи

.ПО.

Для представления общего вида структуры системы факторов риска построим граф.

В связи с тем, что связей в данной структуре достаточно много, т.к. те или иные источники угроз могут представлять различные угрозы для защищаемых нами данных, внесем эти данные в программный пакет Security Analysis.

Алгоритмизация матрицы отношений

Исходные данные:

Зададим отношения последовательно между источниками угроз, угрозами и компонентами защиты.

Источники угроз - Угрозы:

Угрозы - Угрозы:

Угрозы - Компоненты защиты:

Введем весовые коэффициенты в полученную в результате работы программы матрицу отношений W.

Определение и анализ профиля риска

Ниже приведен рассчитанная транзитивная матрица V, определяющая источники угроз и угрозы, которые наиболее значимы для рассматриваемой системы.

Информацию из таблицы более наглядно представить в виде диаграмм (отдельно для источников угроз и угроз).

Влияние источников угроз.

Влияние угроз.

Наиболее значимые с точки зрения защиты информации компоненты системы.

Проанализировав полученные программный пакетом данным, можно сделать вывод о том, что наиболее серьезными источниками угроз для рассматриваемой нами системы являются:

действия злоумышленников (хакеры, недобросовестные партнеры);

отказ инженерных сетей (электросеть, водоснабжение, система кондиционирования и т.п.);

несанкционированные действия пользователей;

потеря или изменение данных из-за некачественного ПО.

На другие источники угроз, выявленные нами на первом этапе, также следует обратить внимание при разработке политики безопасности компании.

Наиболее остро стоят угрозы утечки, потери и искажения данных информационных систем компании, а также сбой в работе сервера и компьютерной техники, которые приводят к простою рабочего процесса компании и приводят непосредственно к финансовым убыткам.

Из последней диаграммы о весах компонентов защиты видно, что основной задачей является защита сервера. Безопасное ПО имеет наименьший вес среди компонентов, однако, на мой взгляд на эту проблему также стоит обратить внимание.

3. Синтез системы защиты информации (СЗИ)

Требования к СЗИ

На данном этапе после получения данных о наиболее опасных для нашей системы источников угроз и угроз, необходимо разработать политику безопасности компании с описанием непосредственных средств защиты.

Варианты СЗИ

Источник угроз - действия злоумышленника.

.Для уменьшения потенциальной опасности подключения злоумышленника к беспроводной сети, необходимо минимизировать зону распространения сигнала Wi-Fi за пределами территории компании. Сделать это можно, например, уменьшением мощности передатчика на точке доступа. Такие настройки позволяют производить практически все современные программные прошивки устройств. Однако это необходимо проделать только там, где это действительно нужно, иначе можно ухудшить качество приема и зону внутреннего покрытия для собственных задач компании. Также необходимо исключить возможность физического подключения к проводам локальной сети предприятия: они должны быть проведены либо через полоток, либо спрятаны в стены.

2.Авторизация и аутентификация позволят входить в сеть и использовать сетевые ресурсы только авторизованным пользователям сети. Для защиты нужд нашей компании в условиях ограниченного бюджета подойдет вариант авторизации с помощью паролей пользователей. Пароль должен меняться не реже, чем раз в 30-40 дней, при чем при смене пароля пользователь должен быть ограничен в вводе пароля, который он использовал в предыдущие 5 раз. Служба Active Directory и возможности СУБД MsSQL позволят нужным образом разграничить права пользователей в системе документооборота, почты и других сетевых ресурсов.

.Система контроля и управления доступом - СКУД - позволит ограничить вход в помещения компании только сотрудникам организации и надежным партнерам. Осуществляться контроль доступа на территорию офиса будет с помощь смарт-карт. Эта система также позволит отделу кадров контролировать посещаемость сотрудниками и более эффективно бороться с опозданиями.

Источник угроз - отказ сетей.

.Установка источника бесперебойного питания на сервер для отказоустойчивости его работы при перебоях в электричестве.

2.Серверная комната должна быть расположена в отдельном хорошо проветриваемом помещении, оборудованном кондиционером, находящемся на достаточном удалении от таких инженерных сетей, как система водоснабжения и канализации.

Источник угроз - использование некачественного ПО.

2.Пользователи не должны допускаться к самостоятельной установке несертифицированного ПО на свои рабочие станции. Для этого им не должны быть доступны административные права на ПК. Таким образом системный администратор сможет исключить возможность установки некачественного или вредоносного ПО.

.Использование антивирусного программного обеспечения как на рабочих станциях пользователей, так и на сервере. Для этих целей в нашей сети выделен отдельный виртуальный сервер.

Угроза - потеря, искажение или утечка данных.

.Проблему потери данных позволит решить резервное копирование. Копирование должно производиться не реже, чем 1 раз в сутки. Желательно, в ночное время, когда нагрузка на сервер минимальна. Для этих целей существует большое количество специализированного программного обеспечения.

2.Также эту угрозу поможет снизить правильно настроенный Firewall. Для того, чтобы своевременно обнаружить, например, сканирование сетей компании извне, можно также воспользоваться специальным программным обеспечением.

Угроза - сбой в работе сервера.

.Помимо сервера архивного копирования, должен быть резервный сервер, который, в случае критического отказа основного сервера, возьмет на себя часть нагрузки для выполнения наиболее важных задач.

2.Также при возможности необходимо разбить задачи на отдельные сервера. Это позволит уменьшить потери (как временные, так и финансовые) в случае отказа одного из них.

Оценки результативности предложенных СЗИ

Вариант №1.

·

·Установка ИБП.

·Firewall.

Вариант № 1 обеспечивает только 50-процентную защиту от угроз и их источников. Данный уровень недопустим при работе с данными не только своей организации, но и базами данных клиентов.

Вариант №2.

·Разбиение серверов.

·Антивирусное ПО.

·СКУД.

Вариант №2 еще менее эффективен в защите данных компании, чем Вариант №1.

Как видно из результатов двух предыдущих вариантов, несмотря на то, что сами по себе средства защиты (авторизация + аутентификация, установка ИБП, антивирусное ПО и Firewall) достаточно эффективны, комбинация только трех средств мало меняет ситуацию. В связи с этим, считаю необходимым расширить перечень средств защиты для обеспечения информационной безопасности в компании.

Вариант № 3.

·Авторизация + аутентификация.

·Firewall

·Установка ИБП.

·Резервное копирование.

·Разбиение серверов.

·СКУД.

·Антивирусное ПО.

·Лицензионное ПО.

Эффективность в 83,5% вполне приемлема на данном этапе. Таким образом рассмотренный в Варианте № 3 комплекс средств защиты можно считать эффективным и вполне применимым на практике. Также можно сказать, что в связи с тем, что оценки влияния тех или иных средств защиты выставлялись субъективно, а также с тем, что как мы увидели на графе структуры нашей системы, все угрозы и источники угроз очень тесно связаны друг с другом, - каждое средство защиты может оказывать и на другие сущности вполне ощутимое косвенное влияние. Исходя из этого, можно сделать предположение, что реальный уровень обеспечиваемой защиты будет все же выше предложенного программой.

4. Политика безопасности

Целью создания политики безопасности является обеспечение максимально возможной информационной безопасности в компании.

Руководство компании отвечает за информирование сотрудников относительно данной политики; гарантирует, что каждый сотрудник ознакомился с данным сводом правил. Руководство отдела Системной интеграции обязуется взаимодействовать со всеми сотрудниками по вопросам безопасности.

Сотрудники, ставя подпись под данным документом, подтверждают, что ознакомлены с политикой безопасности в компании и обязуются соблюдать освещенные в ней правила.

Отдел Системной интеграции отвечает за обеспечение непрерывного функционирования компьютерной техники, а также за обеспечение защиты серверов компании в соответствии с политикой безопасности.

Отказ от соблюдения правил настоящей политики может подвергнуть данные компании, а также сведения клиентов фирмы и сотрудников организации, недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в сети фирмы. Нарушения стандартов, процедур или руководств, поддерживающих эту политику, могут привести к дисциплинарной ответственности согласно законодательству РФ.

Общие правила работы в сети.

1. За каждым ПК должен быть закреплен оператор, который ответственен за соблюдение всех политик и процедур, связанных с использованием данного компьютера. Операторы должны быть обучены и обеспечены соответствующими руководствами так, чтобы они могли корректно соблюдать все правила настоящей политики.

Для предотвращения распространения вредоносного программного обеспечения, не допускается самостоятельная установка ПО пользователям ЛВС.

Системный администратор должен еженедельно представлять отчеты о состоянии безопасности системы, действиях пользователей, не согласующихся с политикой безопасности и общем состоянии сети и серверов руководству компании. В случае возникновения внештатных ситуаций - сообщить руководству о причинах их возникновения и возможных путях их решения.

Ответственность системного администратора (СА).

1. СА ответственен за управление правами доступа всех пользователей к данным, программам и сетевым ресурсам компании.

СА обязан контролировать все связанные с защитой информации события, а также расследовать любые реальных или подозреваемые им нарушения политики безопасности.

Администратор отвечает за установку, поддержание и защиту программного обеспечения и корпоративных файлов на сервере ЛВС, используя доступные ему механизмы и процедуры защиты.

СА обязан производить регулярное сканирование серверов ЛВС антивирусным программным обеспечением.

СА отвечает за своевременное резервное копирование информации с пользовательских компьютеров и серверов и за сохранение резервной копии БД на резервном сервере. Копирование должно производиться в период наименьшей нагрузки на ресурсы ЛВС.

Администратор сети обязан проводить еженедельные инспекции каналов передачи данных на предмет обнаружения обрывов, неисправностей и повреждения экранирующей оболочки. В случае их повреждений принять необходимые меры в целях обеспечения работоспособности ЛВС.

Безопасность сервера.

1. Перечень людей, допущенных к работе с сервером, содержится в специальном списке, право на редактирование которого имеет только руководитель отдела Системной интеграции.

Температура в помещениях, где размещаются серверы, не должна превышать 35 градусов по

Цельсию в пиковом значении. С целью поддержания этих условия в этих помещениях установлены системы кондиционирования. Слежение за работоспособностью этих систем также входит в обязанности СА.

Обновление ПО должно быть равномерным на всех станциях и производиться по расписанию, которое задается руководителем отдела Системной интеграции (ОСИ). Процесс обновления должен проводиться в период наименьшей загруженности сети и рабочих станций пользователей в целях безостановочного рабочего процесса.

Запрещается нахождение посторонних лиц в помещениях с серверами.

Канал передачи данных, который подходит от провайдера к северной, должен быть надежно экранирован и укрыт кожухом.

Правила доступа в серверные помещения.

1. Пользователи не имеют права доступа к серверам и серверной технике. Исключение составляют лица из п.1 разд. "Безопасность сервера".

Сотрудники ОСИ обладает доступом к серверу и его ПО.

Ответственность сотрудников.

1. Сотрудники компании обязуются использовать доступные им механизмы безопасности для защиты конфиденциальности и целостности их собственной информации и информации компании.

Каждый сотрудник обязан следовать местным процедурами защиты критических данных, а также процедурам безопасности самой ЛВС фирмы; использовать механизмы защиты файлов для поддержания соответствующего управления доступом к файлам.

Сотрудник отвечает за своевременно уведомление СА или другого сотрудника ОСИ либо члена руководства о нарушении защиты информации или об обнаруженном отказе технических средств.

Исполнение политики

Персональные рабочие станции.

1. Работа пользователей за персональными рабочими станциями происходит в режиме с пониженным уровнем прав доступа для уменьшения риска проникновения вредоносного ПО в ЛВС.

Работа с административными правами разрешена только системному администратору и другим сотрудникам ОСИ.

Используемые пароли

Каждые 40 дней каждый пользователь обязан сменить используемый им пароль от рабочей станции. Данный пароль должен соответствовать общепринятым стандартам безопасности: состоять из не менее чем 8 символов, содержать строчные и прописные буквы и, как минимум, одну цифру.

Профиль пользователя.

1. Пользователи - все сотрудники компании, кроме системного администратора и других сотрудников ОСИ, обладающие доступом к рабочим станциям ЛВС. Они отвечают за использование доступных им сетевых ресурсов организации в соответствии с данной политикой безопасности.

Пользователь несет ответственность за приписанное к нему техническое обеспечение, он должен быть достаточно квалифицирован и обеспечен соответствующими руководствами так, чтобы мог корректно соблюдать все требования настоящей политики.

При обнаружении нарушения защиты или сбоя в работе технических средств, пользователь обязан незамедлительно обратиться в ОСИ.

Пользователям запрещается использование неучтенных носителей информации, при такой необходимости пользователь должен обратиться к СА.

Пользователь, ни при каких обстоятельствах, не должен разглашать полученные аутентификационные данные другим пользователям ЛВС и посторонним лицам.

В OOO «Антикор» имеются нормативно-правовые и организационно-распорядительные документы такие как:

1. Регламент информационной безопасности:

· доступ сотрудников к служебной информации, составляющей коммерческую тайну;

2. Регламенты использования сети Internet, электронной почты ЗАО «Антикор».

С целью более эффективного исполнения регламентов в ЗАО «Антикор» настроена служба Active Directory на Windows Server 2003. Она позволяет настраивать и контролировать информационную безопасность.

Active Directory имеет следующую структуру:

· Доменные службы Active Directory - централизованные хранилища сведений о конфигурации, запросах на проверку подлинности, а также сведений о всех объектах, хранящихся в лесе. С помощью Active Directory можно эффективно управлять пользователями, компьютерами, группами, принтерами, приложениями и другими поддерживающими службы каталогов проектами из единого безопасного, централизованного места.

· Аудит. Все изменения объектов Active Directory записываются, поэтому известно, что именно изменилось, какое значение имеет измененный атрибут сейчас и какое значение он имел ранее.

· Точная настройка политики паролей. Политики паролей можно настроить для отдельных групп внутри домена. Правило, согласно которому для каждой учетной записи домена используется одна и та же политика паролей, больше не действует.

· Повышение эффективности управления учетными записями пользователей, применяемыми в качестве удостоверений для служб. Поддержка паролей учетных записей служб (учетных записей пользователей, применяемых в качестве удостоверений для служб) - одна из тех задач, которые отнимают у ИТ-специалистов больше всего времени. Если пароль учетной записи службы изменяется, службам, которые используют соответствующее удостоверение, также необходимо указать новый пароль. Чтобы разрешить эту проблему, Windows Server 2008 R2 поддерживает новый компонент - управляемые учетные записи служб. который при изменении пароля учетной записи службы автоматически изменяет пароли для всех служб, использующих эту учетную запись.

· Служба сертификатов Active Directory. В большинстве организаций сертификаты используются для удостоверения пользователей и компьютеров и для шифрования данных при их передаче по незащищенным подключениям. Службы сертификатов Active Directory применяются для повышения безопасности за счет связывания идентификационных данных пользователя, устройства или службы с соответствующим закрытым ключом. Сертификат и закрытый ключ хранятся в Active Directory, что помогает защитить идентификационные данные; службы Active Directory становятся централизованным хранилищем для получения приложениями соответствующей информации по запросу.

Настройку и поддержку информационной безопасности и защиты информации осуществляет - узкий круг IT специалистов, IT отдела. Начальник IT отдела отвечает за контроль и работоспособность информационной безопасность и защиты информации.

Обеспечение информационной безопасности и защиты информации на уровнях:

· Программный - Microsoft Windows Server 2003, Active Directory:

а) права доступа (к операционной системе Windows XP, Windows Server, Терминальный доступ Windows Server);

б) права пользователя системы (разграничены права доступа пользователей 1с Бухгалтерия, CRM Fresh Office, файловый сервер);

в) парольная защита, доступ к базе (установлены пароли на программные продукты, такие как: Касперский, 1с Бухгалтерия, CRM Fresh Office);

· Аппаратный - бекапы (резервное копирование) серверов.

Также ведется защита информационного Web-портала компании ЗАО «Антикор», используются средства защиты от внешних угроз:

Ежеквартальная смена паролей на доступ к базам данных SQL

Ежеквартальная смена паролей на доступ к FTP серверу

Производится бекап (базы SQL, FTP файлов) 4 раза в месяц

В «Антикор» производится постоянный мониторинг наиболее опасных угроз информационной безопасности:

1) Утечка данных;

2) Халатность служащих;

3) Вирусы;

4) Хакеры;

5) Кража оборудования;

6) Аппаратные и программные сбои.

В ЗАО «Консультант Плюс» функционирует политика безопасности.

В компании действуют следующие нормативно-правовые документы в области защиты информации и информационной безопасности (ИБ):

  • - Положение о конфиденциальной информации
  • - Положение об использовании программного обеспечения
  • - Положение об использовании электронной почты
  • - Положение об использовании сети Интернет
  • - Положение об использовании мобильных устройств и носителей информации
  • - Правила внутреннего трудового распорядка
  • - Приказ о введении политики информационной безопасности
  • - Приказ о введении Правил внутреннего трудового распорядка
  • - Приказ о введении внутриобъектового пропускного режима

За исполнение этих нормативно-правовых документов отвечают начальник службы безопасности и начальник отдела системного администрирования.

В трудовых договорах сотрудников предприятия есть пункт, посвященный неразглашению конфиденциальной информации в течение срока действия договора, а также трех лет после его прекращения. Сотрудники обязаны выполнять все относящиеся к ним требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны и иной конфиденциальной информации Работодателя, соблюдению внутриобъектового и пропускного режимов.

При использовании сотрудниками электронной почты запрещено:

  • 1) Использовать электронную почту в личных целях.
  • 2) Передавать электронные сообщения, содержащие:

a. конфиденциальную информацию,

b. информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя.

d. Информацию, файлы или ПО, способные нарушить или ограничить функциональность программных и аппаратных средств корпоративной сети.

  • 3) Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
  • 4) По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
  • 5) Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).
  • 6) Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
  • 7) Шифровать электронные сообщения без предварительного согласования с администраторами ИС.

При использовании сети Интернет запрещено:

  • 1) Использовать предоставленный Организацией доступ в сеть Интернет в личных целях.
  • 2) Использовать специализированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет.
  • 3) Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Организации.
  • 4) Публиковать, загружать и распространять материалы содержащие:

a) Конфиденциальную информацию,

b) Информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности.

  • 5) Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
  • 6) Вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности аппаратных и программных средств, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию.
  • 7) Фальсифицировать свой IP-адрес, а также прочую служебную информацию.

В ЗАО «Консультант Плюс» разрешено применение ограниченного перечня коммерческого ПО (согласно Реестру разрешенного к использованию программного обеспечения) и бесплатного ПО (необходимого для выполнения производственных задач). Пользователям запрещается устанавливать на свои ПК прочее программное обеспечение.

В ИС ЗАО «Консультант Плюс» допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО.

На программном уровне предпринимается управление доступом на основе ролей в службе каталогов Microsoft Active Directory, а также при доступе к СУБД. Эта же служба осуществляет управление паролями пользователей: у каждого пароля есть срок действия, по истечении которого пользователь вынужден задать другой пароль; система не позволяет ввести слишком короткий или слишком простой пароль. Таким образом достигается защита от несанкционированного доступа к системе.

Для защиты ЛВС и компьютеров от внешних угроз используется пакет Kaspersky Enterprise Space Security, который выполняет следующие функции:

  • 1) Защита от хакерских атак. Современные хакеры используют для атак кейлоггеры (клавиатурные шпионы) и руткиты - программы, которые позволяют получить несанкционированный доступ к данным и при этом избежать обнаружения. Антивирусное ядро эффективно нейтрализует эти угрозы, предотвращая несанкционированный доступ к компьютерам корпоративной сети.
  • 2) Защита от фишинга. База URL-адресов фишинговых сайтов постоянно пополняется; с ее помощью распознаются и блокируются подозрительные ссылки, а также фильтруются фишинговые электронные сообщения, повышая уровень защиты ЛВС.

дипломная работа

1.2.4 Анализ системы обеспечения информационной безопасности и защиты информации

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.

Увеличение объемов хранимой и передаваемой информации приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере "ГУП ОЦ "Московский Дом Книги" и воздействию на процессы ее функционирования.

Усложнение применяемых технологий и процессов функционирования "ГУП ОЦ "Московский Дом Книги" приводит к тому, что аппаратно-программные средства, используемые в "ГУП ОЦ "Московский Дом Книги", объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.

Отсутствие в "ГУП ОЦ "Московский Дом Книги" необходимых средств защиты в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной безопасности "ГУП ОЦ "Московский Дом Книги" можно представить в виде, совокупности следующих уровней:

Уровень 1 - Руководство организации;

Уровень 2 - Подразделение ОИБ;

Уровень 3 - Администраторы штатных и дополнительных средств защиты;

Уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);

Уровень 5 - Конечные пользователи и обслуживающий персонал.

При разработке программного обеспечения в "ГУП ОЦ "Московский Дом Книги" следуют основным стандартам, регламентирующим:

Показатели качества программных средств;

Жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;

Тестирование программных средств для обнаружения и устранения дефектов программ и данных;

Испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.

Таблица 1.3. Международные стандарты, направленные на обеспечение технологической безопасности

ISO 09126:1991. ИТ.

Оценка программного продукта. Характеристики качества и руководство по их применению.

ISO 09000-3:1991.

Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения.

Процессы жизненного цикла программных средств.

ANSI/IEEE 829 - 1983.

Документация при тестировании программ.

ANSI/IEEE 1008 - 1986.

Тестирование программных модулей и компонент ПС.

ANSI/IEEE 1012 - 1986.

Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.

Для защиты информации от внешних угроз в "ГУП ОЦ "Московский Дом Книги" используется межсетевой экран - программный или аппаратный маршрутизатор, совмещённый с firewall. Эта система позволяет осуществлять фильтрацию пакетов данных.

В компании также имеются нормативно-правовые и организационно-распорядительные документы такие как:

1. Регламент информационной безопасности:

· доступ сотрудников к служебной информации, составляющей коммерческую тайну;

· доступ к использованию программного обеспечения, сконфигурированного персонального под "ГУП ОЦ "Московский Дом Книги".

2. Регламенты использования сети Internet, электронной почты "ГУП ОЦ "Московский Дом Книги".

Автоматизация работы старшего администратора пансионата ФГУП "ОК "Рублево-Успенский" УДП РФ

Система информационной безопасности предприятия охватывает все составные части информационной инфраструктуры, описанные в настоящем проекте, и обеспечивает целостность, конфиденциальность и доступность информации...

Анализ информационных системы предприятия ОАО "Уралтранснефтепродукт"

В связи с участившимися случаями терактов, кражи нефти, данная тема получила свое широкое распространение, так как помимо этих видов угроз существует конкуренция на рынке услуг, связанных с нефтью...

Выбор и обоснование приобретения информационной системы для автоматизации на примере ООО "1С Бит"

Для обеспечения безопасности и защиты информации руководством компании принято решение прибегнуть к помощи компании "Лаборатория Касперского"...

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

По способам осуществления все меры защиты информации...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

Информационная безопасность в ГУП ОЦ "Московский дом книги"

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: 1...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом...

Проектирование и разработка информационной системы для учета ремонтных работ и обслуживания оргтехники фирмы ООО "Компьютерный мир" г. Самара

Создание систем информационной безопасности в ИС основывается на следующих принципах: системный подход, принцип непрерывного развития системы, разделение и минимизация полномочий, полнота контроля и регистрация попыток...

Разработка модуля бизнес-процесса отдела по работе с клиентами и склада на основе конфигурации базовой модели "1С"

Разработка модуля по автоматизации бизнес-процессов отдела работы с клиентами и склада ООО "ЖилРемСтрой" на основе конфигурации базовой модели 1С

В обществе имеются нормативно-правовые и организационно распорядительные документы: 1.Регламент информационной безопасности: · доступ сотрудников к служебной информации...

Разработка модуля экспорта отчетной документации

Для защиты от внешних угроз операционная система (Windows XP SP3), которая установлена на всех персональных компьютерах сотрудников фирмы ТД «Нимфа», защищена лицензионным программным продуктом Kaspersky Antivirus 6.0 и Kaspersky Internet Security 6.0...

Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

На предприятии, как мы может увидеть в таблице 9, большинство уязвимостей связаны с недостаточным надзором за помещениями. Так как предприятие ОАО "Расчет" снимает помещение у другого предприятия, которое обеспечивает проходную систему...

В компании OOO «...» имеются нормативно-правовые и организационно-распорядительные документы такие как:

  • 1. Регламент информационной безопасности:
    • · доступ сотрудников к служебной информации, составляющей коммерческую тайну;
    • · доступ к использованию программного обеспечения, сконфигурированного персонального под ООО «...» (1С Бухгалтерия; CRM Fresh Office - Система управления клиентами и партнерами; файловое хранилище).
  • 2. Регламенты использования сети Internet, электронной почты ООО «...».

С целью более эффективного исполнения регламентов в ООО «...» настроена служба Active Directory на Windows Server 2003. Она позволяет настраивать и контролировать информационную безопасность.

Active Directory имеет следующую структуру:

  • · Доменные службы Active Directory -- централизованные хранилища сведений о конфигурации, запросах на проверку подлинности, а также сведений о всех объектах, хранящихся в лесе. С помощью Active Directory можно эффективно управлять пользователями, компьютерами, группами, принтерами, приложениями и другими поддерживающими службы каталогов проектами из единого безопасного, централизованного места.
  • · Аудит. Все изменения объектов Active Directory записываются, поэтому известно, что именно изменилось, какое значение имеет измененный атрибут сейчас и какое значение он имел ранее.
  • · Точная настройка политики паролей. Политики паролей можно настроить для отдельных групп внутри домена. Правило, согласно которому для каждой учетной записи домена используется одна и та же политика паролей, больше не действует.
  • · Повышение эффективности управления учетными записями пользователей, применяемыми в качестве удостоверений для служб. Поддержка паролей учетных записей служб (учетных записей пользователей, применяемых в качестве удостоверений для служб) -- одна из тех задач, которые отнимают у ИТ-специалистов больше всего времени. Если пароль учетной записи службы изменяется, службам, которые используют соответствующее удостоверение, также необходимо указать новый пароль. Чтобы разрешить эту проблему, Windows Server 2008 R2 поддерживает новый компонент -- управляемые учетные записи служб. который при изменении пароля учетной записи службы автоматически изменяет пароли для всех служб, использующих эту учетную запись.
  • · Служба сертификатов Active Directory. В большинстве организаций сертификаты используются для удостоверения пользователей и компьютеров и для шифрования данных при их передаче по незащищенным подключениям. Службы сертификатов Active Directory применяются для повышения безопасности за счет связывания идентификационных данных пользователя, устройства или службы с соответствующим закрытым ключом. Сертификат и закрытый ключ хранятся в Active Directory, что помогает защитить идентификационные данные; службы Active Directory становятся централизованным хранилищем для получения приложениями соответствующей информации по запросу.
  • · Встроенный протокол SCEP. Можно выдавать сертификаты сетевым устройствам, например маршрутизаторам.
  • · Сетевой ответчик. Записи в списке отзывов сертификатов (CRL) можно возвращать запросившей стороне в виде откликов отдельных сертификатов вместо отправки всего CRL. Это снижает сетевой трафик, расходуемый при проверке сертификатов клиентскими системами.
  • · PKI предприятия (представление PKI). Это средство управления дает возможность администратору служб сертификации управлять иерархией центра сертификации (ЦС) для определения общей работоспособности ЦС и устранения неполадок.
  • · Службы федерации Active Directory(AD FS). Представляют собой безопасное, расширяемое решение управления доступом с возможностью интернет-масштабирования, которое позволяет организациям осуществлять проверку подлинности пользователей из других организаций. При помощи AD FS в Windows Server 2003 можно простым и безопасным способом предоставлять внешним пользователям доступ к ресурсам домена вашей организации. Службы AD FS также упрощают интеграцию между недоверенными ресурсами и ресурсами домена в вашей организации.
  • · Контроль проверки подлинности. В Windows Server 2008 R2 службы федерации Active Directory поддерживают контроль проверки подлинности -- новую возможность, с помощью которой администраторы могут устанавливать политики проверки подлинности для учетных записей, проходящих проверку подлинности в федеративных доменах. Это позволяет выполнять проверку подлинности с помощью смарт-карт и использовать другие сценарии проверки подлинности.
  • · Службы управления правами Active Directory. Интеллектуальная собственность любой организации нуждается в надежной защите. Службы управления правами Active Directory (AD RMS) входят в состав Windows Server 2008 R2 и предназначены для того, чтобы разрешать доступ к файлам только тем пользователям, которые имеют на это право. Службы AD RMS защищают файл путем перечисления прав, которыми пользователь обладает в отношении данного файла. Права можно настроить таким образом, чтобы дать возможность пользователю открывать, изменять, печатать, перенаправлять информацию или выполнять другие действия с ней. При помощи AD RMS можно защищать данные, даже когда они распространяются за пределами вашей сети.

Преимущества:

  • 1. Постоянная защита. Можно защитить содержимое, передаваемое за пределы организации. Можно указать, кому разрешается открывать, изменять, печатать содержимое или управлять им, и все назначенные права сохраняются вместе с содержимым.
  • 2. Шаблоны политики прав на использование. Если имеется общий набор прав, которые применяются для управления доступом к информации, то можно создать шаблон политики прав на использование и применить его к содержимому. В этом случае не придется заново создавать параметры прав на использование для каждого отдельного файла, который требуется защитить. Данная служба позволяет защитить и предотвратить не санкционированный доступ к следующей информации (корпоративная информация, программные продукты 1С Бухгалтерия, CRM Fresh Office).

Настройку и поддержку информационной безопасности и защиты информации осуществляет - узкий круг IT специалистов, IT отдела. Начальник IT отдела отвечает за контроль и работоспособность информационной безопасность и защиты информации.

Обеспечение информационной безопасности и защиты информации на уровнях:

  • · Программный - Microsoft Windows Server 2003, Active Directory:
    • а) права доступа (к операционной системе Windows XP, Windows Server, Терминальный доступ Windows Server);
    • б) права пользователя системы (разграничены права доступа пользователей 1с Бухгалтерия, CRM Fresh Office, файловый сервер);
    • в) парольная защита, доступ к базе (установлены пароли на программные продукты, такие как: Касперский, 1с Бухгалтерия, CRM Fresh Office);
    • г) ведение логов и так далее (ведется контроль логов, Windows Server пользователи, контроль трафика интернет, контроль почты).
  • · Аппаратный - бекапы (резервное копирование) серверов.

Также ведется защита информационного Web-портала компании ООО «...», используются средства защиты от внешних угроз:

  • - ежеквартальная смена паролей на доступ к управлению (cms) web порталом
  • - ежеквартальная смена паролей на доступ к базам данных SQL
  • - ежеквартальная смена паролей на доступ к FTP серверу
  • - производится бекап (базы SQL, FTP файлов) 4 раза в месяц

В ООО «...» производится постоянный мониторинг наиболее опасных угроз информационной безопасности:

  • 1) Утечка данных;
  • 2) Халатность служащих;
  • 3) Вирусы;
  • 4) Хакеры;
  • 5) Кража оборудования;
  • 6) Аппаратные и программные сбои.

Из списка угроз видно, что первое место в иерархии опасностей информационного обеспечения компании ООО «...» занимает утечка данных. А именно нарушается конфиденциальность следующих информационных блоков: персональные данные; финансовые отчеты, детали конкретных сделок, интеллектуальная собственность компании; бизнес-планы. Поэтому руководители отделов компании ведут ежедневный мониторинг своих подчиненных, it-отдел контролирует права доступа к корпоративной информации на файловый сервер, производит мониторинг электронной почты сотрудников, контролирует интернет канал путем закрытия доступа к социальным сетям и личной почте.

К сожалению, наиболее опасным каналом по-прежнему остаются мобильные накопители, компания старается ограничить сотрудников от копирования информации и передачу ее между собой и третьим лицам на мобильных накопителях.

Если утечку информации удается предотвратить, сотрудник несет ответственность за нарушение внутренней ИБ. К нарушителю применяются одна или несколько санкций:

  • 1) Выговор;
  • 2) Строгий выговор;
  • 3) Штраф;
  • 4) Принудительно-«добровольное» увольнение из компании;
  • 5) Увольнение из компании согласно статьи Трудового кодекса и с заведением личного уголовного дела.

Что еще почитать

Космос толкование сонника Приснилось что лечу в космос Видеть во сне полет журавлиного клина предвещает мрачные перспективы в коммерческих делах. Если летящие журавли...
Александр Пушкин — Узник: Стих 1. Творчество А. С. Пушкина и М. Ю. Лермонтова.2. Своеобразие стихотворений «Узник» каждого из поэтов.3. Сходство и...
Шприц-тюбик с обезболивающим: последовательность применения Изобретение предназначено для использования при инъекциях. Шприц-тюбик состоит из корпуса-ампулы с веществом и поршнем...