Файл: Отчет ознакомительная практика Выполнил(а) студент(ка) группы Фамилия И. О. дата подпись.docx
Добавлен: 24.10.2023
Просмотров: 222
Скачиваний: 6
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Количество рабочих мест в одной рабочей группе: 2 или 1
Количество ПК – по числу рабочих мест – 35 шт.
Количество телефонов: по 1 ТА и 1 IР в каждой рабочей группе – 23 ТА и 25 IР и 3 видеотерминала для рабочих групп.
Общие серверы, расположенные в здании А: File server; E-mail server; FTP-server.
Серверы рабочих групп в здании А: SQL Server; FTP Server; Small office; Database server. Всего в здании А расположен 79 серверов.
Департамент безопасности расположен в 3-х этажном здании В. Всего в здании расположено 8 рабочих мест и сформировано 3 рабочих группы.
Количество рабочих мест на одном этаже: 1 этаж – 4 чел; 2 этаж – 2 чел; 3 этаж – 2 чел.
Количество ПК – по числу рабочих мест – 8 шт. Количество телефонов: 5 ТА и 3 IP.
Общие серверы, расположенные в здании В: File server; E-mail server;
Серверы рабочих групп в здании В: SQL Server; FTP Server; Small office; Database server. Всего в здании В расположено 14 серверов.
Департамент по контроллингу располагается в 2-х этажном здании С. В здании расположено 5 рабочих мест и сформировано 2 рабочих групп: по 5 ПК, 3 ТА и 1 IР-телефон.
В настоящее время в каждом здании имеются небольшие ЛВС, которые объединены в единую корпоративную сеть. Между всеми зданиями А, В и С имеются волоконно-оптические линии связи.
Здание А имеет корпоративный доступ к Интернету по выделенной линии, для чего в серверное помещение проведён оптоволоконный кабель от 2-х Интернет-провайдеров, закреплённый в монтажной панели.
- 1 2 3 4 5 6 7 8
Общая защищенность информационных процессов
Рассмотрим достоинства и недостатки программных и аппаратных средств защиты информации.
Законодательные и морально-этические меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение [10].
Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случаях они являются единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.
Организационные меры играют значительную роль в обеспечении безопасности компьютерных систем. Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе [11].
Этим мерам присущи серьезные недостатки, такие как:
- низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить);
- дополнительные неудобства, связанные с большим объемом рутинной и формальной деятельности.
Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами.
Физические и технические средства защиты призваны устранить недостатки организационных мер, поставить прочные барьеры на пути злоумышленников и в максимальной степени исключить возможность неумышленных (по ошибке или халатности) нарушений регламента со стороны персонала и пользователей системы [10].
Даже при допущении возможности создания абсолютно надежных физических и технических средств защиты, перекрывающих все каналы
, которые необходимо перекрыть, всегда остается возможность воздействия на персонал системы, осуществляющий необходимые действия по обеспечению корректного функционирования этих средств (администратора АС, администратора безопасности и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое "ядро безопасности". В этом случае, стойкость системы безопасности будет определяться стойкостью персонала из ядра безопасности системы, и повышать ее можно только за счет организационных (кадровых) мероприятий, законодательных и морально-этических мер.
Но даже имея совершенные законы и проводя оптимальную кадровую политику, все равно проблему защиты до конца решить не удастся [13].
Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть абсолютно уверенным, и в отношении которого невозможно было бы предпринять действий, вынуждающих его нарушить запреты.
Во-вторых, даже абсолютно надежный человек может допустить случайное, неумышленное нарушение.
Построение системы обеспечения безопасности информации в АС и ее функционирование должны осуществляться в соответствии со следующими основными принципами, представленными в таблице 2.1.
Таблица 2.1 – Основные принципы построения системы безопасности
| Принцип | Описание | ||
| законность | Предполагает осуществление защитных мероприятий и разработку системы безопасности информации в АС в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. | ||
| системность | Системный подход к защите информации в АС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности в АС. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей, пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности. | ||
| комплексность | Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты. | ||
| непрерывность | Защита информации - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования. | ||
| своевременность | Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. | ||
| преемственность и непрерывность совершенствования | Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации и воздействия на компоненты АС, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области. | ||
| разумная достаточность | Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала | ||
| персональная ответственность | Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму. | ||
| разделение функций | Принцип Разделения функций, требует, чтобы ни один сотрудник организации не имел полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Все такие операции должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам. Кроме того, необходимо предпринимать специальные меры по недопущения сговора и разграничению ответственности между этими сотрудниками. | ||
| минимизация полномочий | Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей. | ||
| взаимодействие и сотрудничество | Предполагает создание благоприятной атмосферы в коллективах подразделении. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений обеспечения безопасности информации. | ||
| гибкость системы защиты | Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на уже работающую систему, не нарушая процесса ее нормального функционирования. | ||
| открытость алгоритмов и механизмов защиты | Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна. | ||
| простота применения средств защиты | Механизмы зашиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). | ||
| научная обоснованность и техническая реализуемость | Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации. | ||
| специализация и профессионализм | Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными сотрудниками (специалистами подразделений обеспечения безопасности информации). | ||
| взаимодействие и координация | Предполагают осуществление мер обеспечения безопасности информации на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при разработке и функционировании АС и ее системы защиты информации, подразделений и специалистов органов МВД специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в АС, координации их усилий для достижения поставленных целей Гостехкомиссией России (на этапе разработки и внедрения АС) и подразделениями безопасности органов МВД (на этапе функционирования системы). | ||
| обязательность контроля | Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль за деятельностью любого пользователя, каждого средства зашиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей. | ||
Проанализировав информационную безопасность предприятия можно сделать вывод, что в информационной безопасности есть недостатки [15]:
- отсутствие паролей доступа в систему;
- отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);
- нерегулярное обновление баз программы антивируса и сканирование рабочих станций;
- большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;
- не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области;
- не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя.
- 1 2 3 4 5 6 7 8
Состояние организационно-сопроводительных документов
Сотрудники должны соблюдать меры по обеспечению информационной безопасности, а именно:
По возможности не допускать нахождение посторонних лиц в помещениях, в которых ведутся работы с секретной и конфиденциальной информацией. Если же посторонние лица все же были допущены (уборщицы, электрики, и другие сотрудники, не относящиеся к данному предприятию, а так же сотрудники, не имеющие соответствующего уровня доступа), то следует следить за ними, во избежание утечки информации.
Сотрудники не должны самостоятельно устанавливать либо изменять параметры установленного программного обеспечения.
Интернет должен использоваться только для работы.
На предприятии реализованы дополнительные сопроводительные документы, включающие журналы доступа в серверную комнату, журнал тестирования средств информационной защиты, форму на согласие обработки персональных данных как для клиентов, так и для сотрудников организации.
-
Разработка модели нарушителя
Модель угроз является методическим документом, который предназначен для работников АО «Дальневосточная генерирующая компания» в г. Хабаровске и используется при создании ИС, обрабатывающей защищаемую информацию, выборе технических и программных средств защиты информации, проведении работ по технической защите информации.
Модель угроз предназначена для решения следующих задач:
- анализа защищенности информационной системы (ИС) от угроз безопасности защищаемой информации (ЗИ) в ходе организации и выполнения работ по обеспечению безопасности информации и дальнейшего функционирования ИС;
- разработки системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса ИС;