Файл: Назначение и структура системы защиты информации коммерческого предприятия (ООО «Санвэйс» ).pdf
Добавлен: 29.06.2023
Просмотров: 85
Скачиваний: 2
СОДЕРЖАНИЕ
1. Теоретические аспекты системы защиты информации коммерческого предприятия
1.1. Назначение и задачи системы обеспечения информационной безопасности коммерческого предприятия
1.2 Основные каналы утечки информации
2. Проектирование и разработка системы информационной безопасности коммерческого предприятия
2.1 Анализ угроз информационной безопасности ООО «Санвэйс»
2.2. Определение области применения системы информационной безопасности
2.3. Разработка системы информационной безопасности ООО «Санвэйс»
Построение модели корпоративной безопасности и защиты от несанкционированного доступа.
Главная цель любой системы корпоративной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств. Для этого необходимо:
- отнести информацию к категории ограниченного доступа (служебной тайне);
- прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
- создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
- создать механизм и условия оперативного реагирования на угрозы информационной безопасности;
- создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.
Структура модели.
При выполнении работ можно использовать модель построения корпоративной системы защиты информации, основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология - методы защиты - критерии оценки информационной безопасности”, стандарту ISO/IEC 17799 «Управление информационной безопасностью» и ГОСТ Р ИСО/МЭК ТО 15446-2008.
Рассматриваются следующие объективные факторы[7]:
- угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
- уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
- риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности.
Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.
Технические решения по защите информационной системы
Разработка контекстных и DFD-диаграммы инфраструктуры ООО «Санвэйс» по направлению информационной безопасности и защите от несанкционированного доступа
Модель информационной безопасности фирмы представлена на рисунке 4.
Рисунок 4 - Диаграмма уровня А-0 «Обеспечение информационной безопасности»
Информация, поступающая на предприятие проходит несколько стадий обработки на наличие программных, сетевых и физических угроз безопасности, прежде чем поступит в использование сотрудниками организации.
За безопасностью следит главным образом системный администратор, который настраивает все программные и аппаратные средства для защиты предприятия. Все это регламентируется регламентом предприятия, политикой безопасности и должностными инструкциями. В результате сотрудники получают безопасную информацию, также формируется отчет о событиях обработки.
Декомпозиция блока «Обеспечение информационной безопасности» представлена анна рисунке 5.
Рисунок 5 - Декомпозиция диаграммы уровня А-0
Поступающая информация проходит стадию анализа, где выявляются угрозы, которые она может нанести, далее применяются средства для устранения этих угроз и происходит распределение информации по уровням защиты (административный, программно-технический, законодательный, организационный). Далее применяются средства для дальнейшей защиты информации. Все это в соответствии с нормативными и правовыми актами, действующими на предприятии.
DFD-диаграмма представлена на рисунке 6.
Рисунок 6 - Диаграмма DFD уровня А-1 «Анализ информации»
На данной диаграмме представлен процесс работы пользователя и системы, который рекомендуется к внедрению в инфраструктуре ООО «Санвэйс».
В Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5.02.2010 № 58, содержатся требования к подсистемам: управления доступом; регистрации и учёта; обеспечения целостности; анализа защищённости; обеспечения безопасного межсетевого взаимодействия; обнаружения вторжений, антивирусной защиты.
В соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденном постановлением Правительства Российской Федерации от 17 ноября 2007 года N 781 в системе защиты персональных данных могут применяться шифровальные (криптографические) средства защиты информации.
Установка межсетевого экрана - внешней защиты от несанкционированного доступа.
При выборе реализации учитываем, что для объекта защиты 1Г класса необходимо выбрать средства МЭ не ниже 4 класса защиты. Межсетевые экраны предназначены в первую очередь для защиты компьютерных сетей или отдельных узлов от внешних атак. Межсетевой экран делает возможной фильтрацию входящего и исходящего трафика, идущего через систему. Для корпоративной сети фирмы ООО «Санвэйс» был выбран программный межсетевой экран UserGate Proxy & Firewall 5.2 F, который является эффективной альтернативой дорогостоящим программным и аппаратным межсетевым экранам и маршрутизаторам, используемым для защиты конфиденциальной информации и данных в защищенных системах.
Продукт использует комплексный подход к обеспечению безопасности локальной сети и современные методы борьбы с Интернет-угрозами, предназначен для организации безопасного межсетевого взаимодействия, учета трафика и защиты локальной сети организации от внешних угроз и яыляется cертифицированным средством межсетевого экранирования и безопасного доступа в Интернет для защищенных систем.
Данное комплексное решение UserGate Proxy позволяет:
- поддерживать передачу трафика через протоколы PPTP и L2TP для соединения VPN-сервера с VPN-клиентами локальной сети с дальнейшей публикацией сетевых ресурсов с целью удаленного использования;
- определять политику доступа в Интернет и осуществлять полный контроль над использованием Интернет-трафика в компании с ведением подробной статистики;
- создавать правила для контроля скорости передачи данных между локальной сетью и Интернетом с ограничением объема трафика и времени пребывания в сети для пользователей и групп;
- упростить сетевое администрирование.
Сертификаты: ФСТЭК России №2076 от 19 апреля 2010 г. - программный комплекс UserGate Proxy & Firewall 5.2 F, на соответствие ЗБ и имеет оценочный уровень доверия ОУД2 для ОК, по 4 классу РД МЭ, 4 уровень - РД НДВ, может использоваться при создании АС до класса 1Г включительно.
Установка криптопровайдера в системе защиты данных от несанкционированного доступа.
Криптографические средства защиты от несанкционированного доступа должны соответствовать следующим ГОСТам по криптографии:
- ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
- ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования;
- ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
Особый интерес представляет средство криптографической защиты информации «ViPNet CSP» (может использоваться для защиты информации в АС до 1В и ИСПДн до 1 класса включительно), которое[8]:
- предназначено для формирования ключей шифрования и ключей электронной подписи, шифрования и имитозащиты данных;
- обеспечения целостности и подлинности информации. СКЗИ «ViPNet CSP» может использоваться в государственных и коммерческих структурах, а так же физическими лицами путем встраивания в прикладное программное обеспечение (ПО);
- обеспечивает хранение и обработку персональных данных, конфиденциальной, служебной, коммерческой и др. информации, не содержащей сведений, составляющих государственную тайну, а также обеспечивает обмен такой информацией и юридическую значимость электронного документооборота.
СКЗИ «ViPNet CSP» предназначено не только для использования в программном обеспечении ViPNet производства ОАО «ИнфоТеКС», но и для встраивания в прикладное программное обеспечение других производителей и для поставки конечным пользователям и обеспечивает:
- Создание ключей электронной подписи по алгоритму ГОСТ Р 34.10-2001. Проверку электронной подписи по алгоритму ГОСТ Р 34.10-94, вычисление и проверку электронной подписи по алгоритму ГОСТ Р 34.10-2001.
- Хэширование данных в соответствии с алгоритмом ГОСТ Р 34.11-94.
- Шифрование и имитозащиту данных в соответствии с алгоритмом ГОСТ 28147-89. Генерацию случайных и псевдослучайных чисел, сессионных ключей шифрования.
- Аутентификацию и выработку сессионного ключа при передаче данных по протоколам SSL/TLS. Хранение сертификатов открытых ключей непосредственно в контейнере ключей.
- Поддержку различных устройств хранения ключей (eToken, ruToken, Shipka и др.).
Для осуществления функций шифрования и проверки электронной подписи криптопровайдер ViPNet CSP использует открытый ключ, находящийся в сертификате того пользователя, которому адресован зашифрованный документ или от которого поступил документ с электронной подписью. Для расшифрования и формирования электронной подписи криптопровайдер использует закрытый ключ пользователя, который совершает данные операции (тот ключ, который будет указан самим пользователем).
Пользователю А необходимо передать пользователю В конфиденциальное сообщение Outlook:
- Пользователь А запрашивает из сетевого хранилища сертификат открытого ключа пользователя В и сопоставляет его с контактом В в программе Outlook.
- А зашифровывает документ с использованием открытого ключа из сертификата В.
- А отправляет пользователю В зашифрованное сообщение.
- В расшифровывает документ с помощью своего закрытого ключа.
Таким образом пользователь В получает конфиденциальное сообщение от пользователя А.
Если сообщение перехватит злоумышленник, прочитать письмо ему не удастся, поскольку у него нет закрытого ключа пользователя В. Если пользователь В не сможет расшифровать сообщение, пришедшее от А, это значит, что письмо было изменено сторонними лицами или повреждено в процессе пересылки. В этом случае В может запросить у пользователя А повторную отправку сообщения.
Процесс формирования и проверки электронной подписи (ЭП) представлен ниже.
- Пользователю А необходимо заверить документ (например, сообщение Outlook) электронной подписью, для того чтобы остальные пользователи не смогли внести в него изменения и каждый мог удостовериться, что автор данного документа - пользователь А;
- Пользователь А подписывает документ своим закрытым ключом.
- А отправляет данный документ всем заинтересованным лицам (пользователи В, C и D) или выкладывает для общего доступа.
- Пользователь В запрашивает в Хранилище сертификатов сертификат открытого ключа А.
- В проверяет документ с помощью открытого ключа А, который находится в его сертификате.
СКЗИ «ViPNet CSP» предназначено для работы на IBM-совместимых компьютерах (стационарных, переносных или мобильных) со следующей рекомендуемой конфигурацией: процессор с архитектурой x86 или x86-64; ОЗУ - не менее 512 Мбайт; свободное место на жестком диске - не менее 30 Мбайт.
Для обеспечения класса выше К1 необходимо использование сертифицированных ФСБ России устройств типа «электронный замок» (аппаратно-программный модуль доверенной загрузки) по классу не ниже 2В. В настоящее время поддерживается «электронный замок» «Соболь» (версии 2.0).
Добавление сертификата в контейнер и окно свойств сертификата
Операционные системы: MS Windows: Microsoft XP SP3 (32-разрядная) /Server 2003 (32-разрядная) /Vista SP2 (32/64-разрядная) /Windows 7 (32/64-разрядная) /Windows Server 2008 (32/64-разрядная) /Windows Server 2008 R2 (64-разрядная); SuSe Linux Enterprise Server 10, Slackware Linux 12.0, RedHat Enterprise Linux 4, SuSe Linux Enterprise Server 10 SP1,SP2, SuSe Linux 10.0, Slackware Linux 10.2, Ubuntu 8.04 LTS Desktop, Debian Etch 4.0 r1, Linux XP 2008 Server, Linux XP 2008 Desktop Secure Edition, Open SuSe Linux 11.1.
Дополнительное ПО: Internet Explorer 6.0 (SP1) и выше; антивирусные программы - рекомендуются. Запрещается: пользоваться измененными или отладочными версиями ОС, такими как, например, Debug/Checked Build.
Набор низкоуровневых криптографических функций (криптопровайдер) - динамическая библиотека itccsp. dll для платформы Windows, предназначенная для встраивания в приложения, использующие вызовы криптографических функций через интерфейс, аналогичный Microsoft CryptoAPI 2.0. Набор низкоуровневых криптографических функций - динамическая библиотека ITCPKCS11. DLL для платформы Windows, предназначенная для встраивания в приложения, использующие вызовы криптографических функций через интерфейс, RSA Security Inc. PKCS #11 Cryptographic Token Interface.