Файл: Назначение и структура системы защиты информации коммерческого предприятия (ООО «Санвэйс» ).pdf
Добавлен: 29.06.2023
Просмотров: 89
Скачиваний: 2
СОДЕРЖАНИЕ
1. Теоретические аспекты системы защиты информации коммерческого предприятия
1.1. Назначение и задачи системы обеспечения информационной безопасности коммерческого предприятия
1.2 Основные каналы утечки информации
2. Проектирование и разработка системы информационной безопасности коммерческого предприятия
2.1 Анализ угроз информационной безопасности ООО «Санвэйс»
2.2. Определение области применения системы информационной безопасности
2.3. Разработка системы информационной безопасности ООО «Санвэйс»
2. Проектирование и разработка системы информационной безопасности коммерческого предприятия
2.1 Анализ угроз информационной безопасности ООО «Санвэйс»
ООО «Санвэйс» является энергетическим предприятием. Основные информационные потоки предприятия можно разделить на следующие блоки:
1. Планирование и бюджетирование (план-прогноз продаж; финансовое планирование: синхронное планирование и оптимизация).
2. Управление сбытом (управление взаимоотношениями с клиентами; ведение реестра договоров на поставку продукции; формирование приказов на отгрузку продукции; учет расчетов с покупателями, учет лицевых счетов; электронная коммерция; печать приказов и страховых квитанций).
3. Управление персоналом (нормирование трудозатрат, штатное расписание и кадровый учет; табельный учет; подготовка отчетности для ПФР).
4. Бухгалтерский учет (главная книга и баланс; учет основных средств и капвложений: подготовка документации по поступлению, выбытию и перемещению основных средств, расчет амортизационных отчислений, формирование возрастной структуры оборудования; финансовые средства и расчеты: расчет заработной платы, учет кредитов сотрудникам; прочие бухгалтерские операции; подготовка отчетности для ГНИ).
5. Управление финансами и экономический анализ хозяйственной деятельности (калькуляция плановой и фактической себестоимости продукции; формирование и анализ производственной себестоимости продукции по статьям затрат; сравнительный анализ плановой и фактической себестоимости; формирование бюджетов и контроль их исполнения; анализ рентабельности).
6. Маркетинг (прогнозирование состояния рынка сбыта готовой продукции; планирование рекламных компаний; прогноз изменения рынков сырья и основных материалов).
7. Подсистема электронного документооборота (контроль исполнения поручений; реестр служебных записок; управление нормативно-технической документацией; договора на поставку продукции, на снабжение).
8. Служебное администрирование и управление политикой безопасности (управление доступом: настройка полномочий пользователей, организация пользовательских групп, ограничение доступа к данным; поддержание логической и физической целостности данных системы; операционный мониторинг действий пользователей.
Организационная инфраструктура фирмы ООО «Санвэйс» приведена на рисунке 3.
Директор(1)
Главный
Бухгалтер (1)
Бухгалтер
(1)
Экономист
(1)
Зам. директора по кадрам (1)
Юрист
(1)
Менеджер
по снабжению (1)
Старший менеджер
(1)
Заместитель директора (1)
Товароведы (2)
Кладовщики
(2)
Отдел
снабжения (3)
Финансовый отдел
(3)
Отдел
продаж
(7)
Продавцы
(4)
Маркетолог
(1)
Отдел
ИТ
(2)
Рисунок 3 - Организационная инфраструктура предприятия
Внутреннее информационное поле ООО «Санвэйс» объединяет следующую информацию:
- первичные документы фирмы;
- данные внутреннего документооборота (бумажного и электронного), включая приказы и распоряжения руководителя;
- данные бухгалтерского учета и другой обязательной отчетности за текущий и прошлые периоды.
Все компьютеры инфраструктуры объединены в единую корпоративную сеть ООО «Санвэйс».
Чтобы обеспечить защиты конфиденциальности информации в первую очередь необходимо классифицировать отделы фирмы ООО «Санвэйс» по степени важности хранящихся и используемых в работе данных.
Категории информации:
- служебная тайна;
- персональные данные;
- коммерческая тайна;
- открытые регламентные ресурсы.
ООО «Санвэйс» является коммерческой структурой, следовательно, служебная тайна и персональные данные должны быть надежно защищены. Исходя из категории, к отделам будут применяться определенные степени защиты:
-
- возможность пользоваться внешними носителями;
- интернет (с возможностью выхода на посторонние сайты или полный запрет;
- доступ к файл-серверу;
- доступ к 1С предприятию;
- возможность пользования другими почтовыми ящиками;
- возможность внесения изменений данных документации (по согласованию с директором фирмы).
Каждый сотрудник имеет свой почтовый ящик. Доступ к социальным сетям в фирме должен быть полностью закрыт. Целостность и доступность информации осуществляется путем координации руководителем деятельности сотрудников. Определение прав доступа и разрешений на внесения изменений данных документаций.
ООО «Санвэйс» имеет файловый сервер, через который проходит основной поток документов и файлов. Также имеются справочные и бухгалтерские системы 1С. Все сетевые ресурсы обладают строго ограниченным доступом. Пользователи обладают возможностью получить доступ к какому-либо ресурсу только после согласования с руководителем отдела или системным администратором, после чего осуществляется доступ к данным ресурсам.
В ООО «Санвэйс» используются сетевые базы данных, такие как 1С. Доступ к ним имеют многие сотрудники не только те, которые непосредственно работают с ними. А также используются локальные сетевые ресурсы, которые хранятся на файл-сервере, там же хранятся документы, которые могут потребоваться многим сотрудникам.
Сбор информации происходит через сервер, хранение осуществляется на нем же, обмен информацией между базами данных осуществляется с помощью программного обеспечения, резервное копирование данных осуществляется на специально выделенный жесткий диск.
В системе безопасности существуют следующие средства защиты информации: физические, аппаратные, программные, криптографические и комбинированные методы (способы) и средства защиты информации.
Приведем примерный перечень угроз актуальных для ООО «Санвэйс» и мер по противодействию этим угрозам (таблица 1).
Таблица 1
Примерный перечень актуальных угроз и мер по противодействию угрозам
№ |
Угроза безопасности ПДн |
Степень актуальности |
Меры по противодействию угрозе |
|
Технические |
Организационные |
|||
1 |
Кража носителей информации |
актуальная |
Инструкция для персонала |
|
2 |
Кража паролей |
актуальная |
Инструкция пользователя, учет паролей |
|
3 |
Кражи, модификации, уничтожения информации. |
актуальная |
Настройка средств защиты, политика безопасности |
Резервное копирование и инструкция пользователя |
4 |
Несанкционированное отключение средств защиты |
актуальная |
Настройка средств защиты |
Инструкция администратора безопасности |
5 |
Действия вредоносных программ (вирусов) |
актуальная |
Антивирусное ПО |
Инструкция по антивирусной защите |
6 |
Недекларированные возможности ПО |
актуальная |
Настройка средств защиты |
Сертификация |
7 |
Установка ПО не связанного с исполнением обязанностей |
актуальная |
Настройка средств защиты, политика безопасности |
Инструкция пользователя, инструкция администратора безопасности |
8 |
Непреднамеренная модификация (уничтожение) информации сотрудниками |
актуальная |
Настройка средств защиты, политика безопасности |
Инструкция пользователя |
9 |
Выход из строя аппаратно-программных средств |
актуальная |
Резервное копирование |
Охрана, Инструкция для персонала |
10 |
Сбой системы электроснабжения |
актуальная |
Использование ИБП, резервное копирование |
Охрана |
11 |
Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке |
актуальная |
Настройка средств защиты, политика безопасности |
Инструкция для персонала, подписка о не разглашении |
12 |
Перехват в пределах контролируемой зоны |
актуальная |
Средства криптографической защиты, физическая зашита канала |
Охрана |
13 |
Угрозы удаленного запуска приложений. |
актуальная |
Межсетевой экран, Антивирусное ПО |
|
14 |
Угрозы внедрения по сети вредоносного ПО |
актуальная |
Межсетевой экран, Антивирусное ПО |
|
15 |
Угрозы утечки видовой информации |
актуальная |
Инструкция пользователя |
|
Перечень угроз неактуальных для ООО «Санвэйс» и мер по противодействию этим угрозам приведен в таблице 2.
Таблица 2.
Примерный перечень неактуальных угроз и мер по противодействию угрозам
№ |
Угроза безопасности ПДн |
Степень актуальности угрозы |
Меры по противодействию угрозе |
|
Технические |
Организационные |
|||
1 |
Кража ПЭВМ |
неактуальная |
Пропускной режим, охрана, видеонаблюдение |
|
2 |
Вывод из строя узлов ПЭВМ, каналов связи |
неактуальная |
Пропускной режим, охрана, видеонаблюдение |
|
3 |
Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации |
неактуальная |
Межсетевой экран |
Инструкция пользователя, инструкция администратора безопасности |
Таким образом, можно сделать следующие выводы:
1. Неактуальность кражи компьютеров, ноутбуков. В здании существует система круглосуточной охраны, двери - закрываются на замок, вынос компьютерной техники за пределы здания возможен только по специальным пропускам.
2. Неактуальность вывода из строя узлов ПЭВМ, каналов связи. В здании существует система круглосуточной охраны, двери закрываются на замок.
3. Неактуальность действий, направленных на перехват ПЭМИН и акустической информации. Основной объем ПДн консолидировано хранится на сервере БД, сервер БД размещен в отдельном помещении внутри охраняемой зоны,
Виду того, что вероятность проникновения внешних нарушителей или физического уничтожения данных минимальна - необходимо дорабатывать программно-аппаратный комплекс средств защиты компьютерной информации. Для этого необходимо:
- разработать контекстные и DFD-диаграммы по информационной безопасности и защите от несанкционированного доступа;
- обеспечить защиту сетевого периметра и выбрать межсетевой экран;
- выбрать криптографические средства защиты от несанкционированного доступа;
- определить средства обнаружения вторжений;
- выбрать систему антивируса;
- рассмотреть возможность выбора и установки комплексных средств защиты информации от несанкционированного доступа.
2.2. Определение области применения системы информационной безопасности
В основном информационная инфраструктура фирмы используется по следующим направлениям:
ведение маркетинга;
- ведение кадрового учета;
- ведение бухгалтерского учета;
- сбор, учет, накопление, хранение, обработка и анализ информации, связанной с деятельностью фирмы;
- формирование отчетов, относящихся к деятельности ООО «Санвэйс»;
- организация электронного документооборота фирмы.
Информационная инфраструктура ООО «Санвэйс» представляет собой информационную систему, имеющую подключения к сетям связи общего пользования и сетям информационного обмена. Исходя из этого, все информационные потоки можно разделить на две основные группы - внутренние и внешние.
К внешним информационным потокам относится передача информации во внешние информационные системы (Федеральную налоговую службу, Сбербанк РФ, Пенсионный фонд РФ и др.);
К внутренним информационным потокам ООО «Санвэйс» относятся:
- сбор (ввод) целевой информации;
- обработка первичных бухгалтерских данных и данных кадрового учета;
- просмотр, создание архивных копий, вывод на печать и др.;
- обмен служебной информации (приказы, распоряжения и др.);
- разрешения на доступ к целевой информации;
- передача запрошенной целевой информации;
- процессы авторизации пользователей информационной инфраструктуры, запросы на получение доступа к целевой информации в соответствии с правилами доступа на предоставление целевой информации.
Определение информации, подверженной угрозам несанкционированного доступа.
Информационными ресурсами потенциально подверженными угрозам несанкционированного доступа являются следующие:
1. Целевая информация:
-коммерческая тайна ООО «Санвэйс»;
- персональные данные работников ООО «Санвэйс» и других физических лиц, которым становятся известны ООО «Санвэйс» при осуществлении своей деятельности.
2. Технологическая информация:
- конфигурационные данные и другая информация по технологиям, программным и техническим средствам, используемым для накопления, хранения, обработки, передачи и защиты информации ООО «Санвэйс»;
- служебная информация средств защиты информации (идентификаторы, пароли, таблицы разграничения доступа, криптографические ключи, информация журналов аудита безопасности и др.).
3. Программное обеспечение: