Файл: Назначение и структура системы защиты информации коммерческого предприятия (ООО «Санвэйс» ).pdf

- программные информационные ресурсы информационной инфраструктуры ООО «Санвэйс», содержащие общее и специальное программное обеспечение, резервные копии программного обеспечения, программное обеспечение средств ЗИ.

Источники информации для осуществления несанкционированного доступа:

- общая информация - это информация о назначения и общих характеристиках информационной инфраструктуры ООО «Санвэйс»;

- эксплуатационная информация - это информация, полученная из эксплуатационной документации;

- чувствительная информация - это информация, дополняющая эксплуатационную информацию об информационной инфраструктуре ООО «Санвэйс».

В частности, нарушитель доступа может иметь:

- данные об уязвимостях технических, программных и программно-технических средств информационной инфраструктуры ООО «Санвэйс»;

- данные о реализованных в системе принципах и алгоритмах защиты;

- сведения об информационных ресурсах информационной инфраструктуры ООО «Санвэйс»:

1. порядок и правила создания, хранения и передачи информации;

2. структура и свойства информационных потоков;

- данные об организации работы, структуре и используемых технических, программных и программно-технических средствах информационной инфраструктуры ООО «Санвэйс».

Состав имеющихся у нарушителя средств, которые он может использовать для несанкционированного доступа, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах информационной инфраструктуры ООО «Санвэйс» конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Предполагается, что нарушитель имеет: штатные средства информационной инфраструктуры, доступные в свободной продаже и доступе технические средства и программное обеспечение.

Инфраструктура ООО «Санвэйс» содержит следующие информационные ресурсы:

1. информация, относящаяся к коммерческой тайне:

- заработная плата сотрудников,

- договоры с поставщиками и покупателями,

- технологии производства;

2. защищаемая информация (ограниченного доступа) фирмы:

- трудовые договора работников,

- личные дела сотрудников,

- материалы отдела снабжения,

- личные карты сотрудников,

- содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,

- прочие разработки и документы для внутреннего пользования.

3. Открытая информация фирмы ООО «Санвэйс»:

- информация маркетинговой деятельности фирмы;

---

- информация на web-сайте фирмы и буклеты;

- устав и учредительный документ;

- информация отдела продаж фирмы;

- прайс-лист продукции.

Рассмотрим категории персональных данных и определим информацию отделов ООО «Санвэйс», подлежащую защите:

Категория 1 - персональные данные сотрудников, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Категория 2 - персональные данные сотрудников, позволяющие идентификацию персональных данных и получение о сотруднике дополнительную информацию, за исключением персональных данных, относящихся к категории 1.

Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных.

Категория 4 - обезличенные и (или) общедоступные персональные данные.

Ввиду того, что деятельность ООО «Санвэйс» не связана с информацией, относящейся к категории 1, рассмотрим классификацию отделов по категориям К2, К3, К4.

К категории 2 относится информация:

• • Бухгалтерии и финансового отдела (БФО);
  • Кадровой деятельности;
  • Юридической деятельности;
  • Отдела ИТ.

К категории 3 относится информация:

• • Отдела снабжения;
  • Дирекции.

К категории 4 относится информация:

• • • Отдела продаж;
    • Маркетинговой деятельности;

Директорат фирмы, в которую входят: директор, заместитель директора по общим вопросам - используют информацию, относящуюся к категории 3^[6].

Детализация сетевого и программного обеспечения фирмы

Локальные вычислительные сети ООО «Санвэйс» построены на базе стандартных сетевых решений. В состав ЛВС ООО «Санвэйс» входит:

• • • серверное оборудование, расположенное в отдельной стойке (шкафу);
    • автоматизированные рабочие места пользователей ООО «Санвэйс».
    • общее коммутационное оборудование и структурированная кабельная система;

Обмен данными между ООО «Санвэйс» и налоговой службой, пенсионным фондом, сбербанком осуществляется через внешние сети. Средство защиты информации ПК «Спринтер» используется для криптографической защиты данных отдела бухгалтерского учета и отчетности при передачи отчетов в налоговую службу и пенсионный фонд, Средство защиты информации «Бикрипт КСБ-С» используется для криптографической защиты данных отдела бухгалтерии при передачи файлов в Сбербанк РФ.

---

В ООО «Санвэйс» используется: сертифицированное, лицензионное и свободно распространяемое ПО (см. таблицы 4 - 5).

Таблица 3

Сертифицированное ПО ООО «Санвэйс»

Наименование продукта	Количество
Microsoft Windows 7 Professional	20
Microsoft Office 2010	20
Microsoft Windows Server 2008 R2 EE	3

Таблица 4

Лицензионное ПО ООО «Санвэйс»

№ п/п	Наименование программного средства	Тип лицензии	Количество	Срок действия
1	Правовая база данных «Консультант +»	Электронная с подпиской	2	1 год
2	Информационная система «Делопроизводство 3.0»	Box	4	Бессрочная
3	1С-Бухгалтерия 8	Box	3	Бессрочная

Следовательно, в информационной инфраструктуре ООО «Санвэйс» реализован многопользовательский режим обработки информации с разграничением прав доступа, который регламентируется действующим законодательством Российской Федерации, документами ООО «Санвэйс» и осуществляется в соответствии с должностными инструкциями.

Категории вероятных нарушителей режима доступа.

По признаку принадлежности информационной инфраструктуры все нарушители делятся на две группы:

- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ООО «Санвэйс»;

- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ООО «Санвэйс».

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны. Предполагается, что внешний нарушитель может осуществлять попытки доступа и негативного воздействия на передаваемую по каналам связи информацию. Возможности внутреннего нарушителя существенным образом зависят от допуска физических лиц внутрь контролируемой зоны и контроля за порядком в зонах накопления информации ограниченного доступа.

По отношению к защищаемым активам выделяются следующие категории лиц:

---

- администраторы информационной инфраструктуры (категория I);

- технический персонал инфраструктуры (категория II);

- пользователи инфраструктуры ООО «Санвэйс» (категория III);

- внешними пользователи других систем (категория IV);

- работники ООО «Санвэйс», имеющие санкционированный доступ к ресурсам информационной инфраструктуры ООО «Санвэйс», но не имеющие права доступа к этим ресурсам (категория V);

- обслуживающий персонал подразделений ООО «Санвэйс» (охрана, работники инженерно-технических служб и т.д.) (категория VI);

- уполномоченный персонал разработчиков, который имеет право на техническое обслуживание и модификацию компонентов инфраструктуры ООО «Санвэйс» (категория VII).

Предполагается, что к лицам категорий I и II ввиду их исключительной роли в инфраструктуре ООО «Санвэйс» должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Поэтому указанные лица исключаются из числа вероятных нарушителей.

К лицам категории III относятся пользователи инфраструктуры ООО «Санвэйс», которые являются сотрудниками подразделений (например - заместитель по кадрам).

Лица категорий IV, V и VI, в соответствии с «Базовой моделью угроз персональных данных при их обработке в информационных системах персональных данных», утвержденной ФСТЭК России от 18 февраля 2008 года, соответствуют потенциальными нарушителями первой категории (лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн).

Лица категории VII - соответствуют потенциальными нарушителями седьмой категории (программисты-разработчики (поставщики) и лица, обеспечивающие его сопровождение на защищаемом объекте) и восьмой категории (разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн).

Следовательно - лица категорий III-VII относятся к вероятным нарушителям режима безопасности и доступа.

2.3. Разработка системы информационной безопасности ООО «Санвэйс»

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа реализуется в рамках системы защиты информации от несанкционированного доступа, условно состоящей из следующих четырех подсистем: управления доступом; регистрации и учета; криптографической; обеспечения целостности.

---

Подсистема управления доступом:

- должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю;

- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета:

- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова;

- должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию;

- должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

- должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

- должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа;

- должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей;

Подсистема обеспечения целостности:

- должна быть обеспечена целостность программных средств защиты информации от несанкционированного доступа, а также неизменность программной среды;

- должна осуществляться физическая охрана СВТ (устройств и носителей информации;

- должно проводиться периодическое тестирование функций средств защиты информации от несанкционированного доступа при изменении программной среды и персонала с помощью тест - программ, имитирующих попытки несанкционированного доступа;

- должны быть в наличии средства восстановления средств защиты информации от несанкционированного доступа, предусматривающие ведение двух копий программных средств защиты информации от несанкционированного доступа и их периодическое обновление и контроль работоспособности.

Целью данного дипломного проекта является повышение эффективности работы ООО «Санвэйс» посредством выбора решения по организации защиты информации от несанкционированного доступа в корпоративной сети фирмы. В первом разделе были рассмотрены общие вопросы, связанные с проблемами несанкционированного доступа в корпоративной сети, а также проанализирован объект защиты. Программно-технические средства защиты должны обеспечивать разграничение доступа к информационным ресурсам, программам, к базам данных, интернету и сетевым принтерам.

---