Файл: Назначение и структура системы защиты информации коммерческого предприятия (ООО «Санвэйс» ).pdf
Добавлен: 29.06.2023
Просмотров: 94
Скачиваний: 2
СОДЕРЖАНИЕ
1. Теоретические аспекты системы защиты информации коммерческого предприятия
1.1. Назначение и задачи системы обеспечения информационной безопасности коммерческого предприятия
1.2 Основные каналы утечки информации
2. Проектирование и разработка системы информационной безопасности коммерческого предприятия
2.1 Анализ угроз информационной безопасности ООО «Санвэйс»
2.2. Определение области применения системы информационной безопасности
2.3. Разработка системы информационной безопасности ООО «Санвэйс»
- программные информационные ресурсы информационной инфраструктуры ООО «Санвэйс», содержащие общее и специальное программное обеспечение, резервные копии программного обеспечения, программное обеспечение средств ЗИ.
Источники информации для осуществления несанкционированного доступа:
- общая информация - это информация о назначения и общих характеристиках информационной инфраструктуры ООО «Санвэйс»;
- эксплуатационная информация - это информация, полученная из эксплуатационной документации;
- чувствительная информация - это информация, дополняющая эксплуатационную информацию об информационной инфраструктуре ООО «Санвэйс».
В частности, нарушитель доступа может иметь:
- данные об уязвимостях технических, программных и программно-технических средств информационной инфраструктуры ООО «Санвэйс»;
- данные о реализованных в системе принципах и алгоритмах защиты;
- сведения об информационных ресурсах информационной инфраструктуры ООО «Санвэйс»:
1. порядок и правила создания, хранения и передачи информации;
2. структура и свойства информационных потоков;
- данные об организации работы, структуре и используемых технических, программных и программно-технических средствах информационной инфраструктуры ООО «Санвэйс».
Состав имеющихся у нарушителя средств, которые он может использовать для несанкционированного доступа, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах информационной инфраструктуры ООО «Санвэйс» конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Предполагается, что нарушитель имеет: штатные средства информационной инфраструктуры, доступные в свободной продаже и доступе технические средства и программное обеспечение.
Инфраструктура ООО «Санвэйс» содержит следующие информационные ресурсы:
- информация, относящаяся к коммерческой тайне:
- заработная плата сотрудников,
- договоры с поставщиками и покупателями,
- технологии производства;
2. защищаемая информация (ограниченного доступа) фирмы:
- трудовые договора работников,
- личные дела сотрудников,
- материалы отдела снабжения,
- личные карты сотрудников,
- содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,
- прочие разработки и документы для внутреннего пользования.
3. Открытая информация фирмы ООО «Санвэйс»:
- информация маркетинговой деятельности фирмы;
- информация на web-сайте фирмы и буклеты;
- устав и учредительный документ;
- информация отдела продаж фирмы;
- прайс-лист продукции.
Рассмотрим категории персональных данных и определим информацию отделов ООО «Санвэйс», подлежащую защите:
Категория 1 - персональные данные сотрудников, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Категория 2 - персональные данные сотрудников, позволяющие идентификацию персональных данных и получение о сотруднике дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных.
Категория 4 - обезличенные и (или) общедоступные персональные данные.
Ввиду того, что деятельность ООО «Санвэйс» не связана с информацией, относящейся к категории 1, рассмотрим классификацию отделов по категориям К2, К3, К4.
К категории 2 относится информация:
-
- Бухгалтерии и финансового отдела (БФО);
- Кадровой деятельности;
- Юридической деятельности;
- Отдела ИТ.
К категории 3 относится информация:
-
- Отдела снабжения;
- Дирекции.
К категории 4 относится информация:
-
-
- Отдела продаж;
- Маркетинговой деятельности;
-
Директорат фирмы, в которую входят: директор, заместитель директора по общим вопросам - используют информацию, относящуюся к категории 3[6].
Детализация сетевого и программного обеспечения фирмы
Локальные вычислительные сети ООО «Санвэйс» построены на базе стандартных сетевых решений. В состав ЛВС ООО «Санвэйс» входит:
-
-
- серверное оборудование, расположенное в отдельной стойке (шкафу);
- автоматизированные рабочие места пользователей ООО «Санвэйс».
- общее коммутационное оборудование и структурированная кабельная система;
-
Обмен данными между ООО «Санвэйс» и налоговой службой, пенсионным фондом, сбербанком осуществляется через внешние сети. Средство защиты информации ПК «Спринтер» используется для криптографической защиты данных отдела бухгалтерского учета и отчетности при передачи отчетов в налоговую службу и пенсионный фонд, Средство защиты информации «Бикрипт КСБ-С» используется для криптографической защиты данных отдела бухгалтерии при передачи файлов в Сбербанк РФ.
В ООО «Санвэйс» используется: сертифицированное, лицензионное и свободно распространяемое ПО (см. таблицы 4 - 5).
Таблица 3
Сертифицированное ПО ООО «Санвэйс»
Наименование продукта |
Количество |
Microsoft Windows 7 Professional |
20 |
Microsoft Office 2010 |
20 |
Microsoft Windows Server 2008 R2 EE |
3 |
Таблица 4
Лицензионное ПО ООО «Санвэйс»
№ п/п |
Наименование программного средства |
Тип лицензии |
Количество |
Срок действия |
1 |
Правовая база данных «Консультант +» |
Электронная с подпиской |
2 |
1 год |
2 |
Информационная система «Делопроизводство 3.0» |
Box |
4 |
Бессрочная |
3 |
1С-Бухгалтерия 8 |
Box |
3 |
Бессрочная |
Следовательно, в информационной инфраструктуре ООО «Санвэйс» реализован многопользовательский режим обработки информации с разграничением прав доступа, который регламентируется действующим законодательством Российской Федерации, документами ООО «Санвэйс» и осуществляется в соответствии с должностными инструкциями.
Категории вероятных нарушителей режима доступа.
По признаку принадлежности информационной инфраструктуры все нарушители делятся на две группы:
- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ООО «Санвэйс»;
- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ООО «Санвэйс».
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны. Предполагается, что внешний нарушитель может осуществлять попытки доступа и негативного воздействия на передаваемую по каналам связи информацию. Возможности внутреннего нарушителя существенным образом зависят от допуска физических лиц внутрь контролируемой зоны и контроля за порядком в зонах накопления информации ограниченного доступа.
По отношению к защищаемым активам выделяются следующие категории лиц:
- администраторы информационной инфраструктуры (категория I);
- технический персонал инфраструктуры (категория II);
- пользователи инфраструктуры ООО «Санвэйс» (категория III);
- внешними пользователи других систем (категория IV);
- работники ООО «Санвэйс», имеющие санкционированный доступ к ресурсам информационной инфраструктуры ООО «Санвэйс», но не имеющие права доступа к этим ресурсам (категория V);
- обслуживающий персонал подразделений ООО «Санвэйс» (охрана, работники инженерно-технических служб и т.д.) (категория VI);
- уполномоченный персонал разработчиков, который имеет право на техническое обслуживание и модификацию компонентов инфраструктуры ООО «Санвэйс» (категория VII).
Предполагается, что к лицам категорий I и II ввиду их исключительной роли в инфраструктуре ООО «Санвэйс» должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Поэтому указанные лица исключаются из числа вероятных нарушителей.
К лицам категории III относятся пользователи инфраструктуры ООО «Санвэйс», которые являются сотрудниками подразделений (например - заместитель по кадрам).
Лица категорий IV, V и VI, в соответствии с «Базовой моделью угроз персональных данных при их обработке в информационных системах персональных данных», утвержденной ФСТЭК России от 18 февраля 2008 года, соответствуют потенциальными нарушителями первой категории (лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн).
Лица категории VII - соответствуют потенциальными нарушителями седьмой категории (программисты-разработчики (поставщики) и лица, обеспечивающие его сопровождение на защищаемом объекте) и восьмой категории (разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн).
Следовательно - лица категорий III-VII относятся к вероятным нарушителям режима безопасности и доступа.
2.3. Разработка системы информационной безопасности ООО «Санвэйс»
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа реализуется в рамках системы защиты информации от несанкционированного доступа, условно состоящей из следующих четырех подсистем: управления доступом; регистрации и учета; криптографической; обеспечения целостности. |
Подсистема управления доступом:
- должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю;
- должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
- должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
- должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Подсистема регистрации и учета:
- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова;
- должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию;
- должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
- должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
- должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа;
- должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей;
Подсистема обеспечения целостности:
- должна быть обеспечена целостность программных средств защиты информации от несанкционированного доступа, а также неизменность программной среды;
- должна осуществляться физическая охрана СВТ (устройств и носителей информации;
- должно проводиться периодическое тестирование функций средств защиты информации от несанкционированного доступа при изменении программной среды и персонала с помощью тест - программ, имитирующих попытки несанкционированного доступа;
- должны быть в наличии средства восстановления средств защиты информации от несанкционированного доступа, предусматривающие ведение двух копий программных средств защиты информации от несанкционированного доступа и их периодическое обновление и контроль работоспособности.
Целью данного дипломного проекта является повышение эффективности работы ООО «Санвэйс» посредством выбора решения по организации защиты информации от несанкционированного доступа в корпоративной сети фирмы. В первом разделе были рассмотрены общие вопросы, связанные с проблемами несанкционированного доступа в корпоративной сети, а также проанализирован объект защиты. Программно-технические средства защиты должны обеспечивать разграничение доступа к информационным ресурсам, программам, к базам данных, интернету и сетевым принтерам.