Файл: Назначение и структура системы защиты информации коммерческого предприятия (Классификация сетевых атак и основные методы защиты от них).pdf

Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.

Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.

ГЛАВА 2. АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ

2.1 Краткая характеристика предприятия

НПО «Ассоциация К» — холдинговая компания, состоящая из группы научно-производственных предприятий различного профиля деятельности, но объединенных единой целью — разработкой, производством и продвижением на рынок огнезащиты высококачественных продукции и услуг для обеспечения пожарной безопасности зданий и сооружений промышленного и гражданского назначения и защиты людей от влияния вредных факторов техногенного характера.

Профили деятельности:

• организационно-методическое и научно-техническое сопровождение производственной деятельности подведомственных предприятий; их информационное и юридическое обеспечение, подбор и подготовка кадров, материально-техническое обеспечение, предоставление транспортных услуг;
• проектирование схем и систем противопожарной защиты, пассивных и активных средств пожаротушения, обеспечивающих пожарную безопасность зданий, сооружений; разработка новой продукции и услуг, проектов огнезащиты;
• производство и продажа противопожарных изделий, оборудования, составов, красок и пропиток;
• производство работ по повышению огнестойкости металлических, железобетонных и деревянных конструкций, электрических кабелей, воздуховодов, каналов дымоудаления, ковровых изделий и др., а также работ по монтажу пожарно-технических изделий и оборудований, систем пожарной и охранной сигнализации, установок пожаротушения и сервисному обслуживанию, проведению мониторинга смонтированного оборудования, как собственного, так и других фирм;
• проектирование, разработка, изготовление противопожарных преград: противопожарных дверей, остекленных перегородок, окон, ворот и другого оборудования.

2.2 Бизнес-процессы верхнего уровня рассматриваемого предприятия

Ниже перечислены процессы верхнего уровня НПО «Ассоциация К».

Процессы управления:

1. управление ресурсами;
2. процессы менеджмента качества.

Основные процессы:

1. прохождение заказа;
2. проектирование и разработка;
3. управление производством;
4. контроль;
5. поставка и сервис.

Обеспечивающие процессы:

1. управление персоналом;
2. техническое обслуживание оборудования и средств механизации;
3. закупки;
4. управление контрольно-измерительными средствами.

Управление процессами осуществляется в направлении наибольшего удовлетворения потребителей как внешних, так и внутренних, поэтому производится мониторинг и оценка удовлетворённости потребителей, что является основой для улучшения (совершенствования) бизнес-процессов.

На рисунке 2.1 изображена диаграмма модели процессов холдинга согласно стандарту ГОСТ ISO 9001-2015.

Рис. 2.1 - Модель процессов НПО «Ассоциация К» согласно ГОСТ ISO 9001-2015

2.3 Основные этапы построения систем защиты информации

Для достижения цели повышения информационной безопасности на рассматриваемом предприятии, необходимо полностью или частично следовать нижеописанным этапам построения защищенных систем.

1. Выявление конфиденциальной информации, которую необходимо защищать, а также источников угроз (частных лиц и организаций), которых эти сведения могут интересовать.
2. Выявление возможных точек нападения.
3. Анализ уязвимостей (каналы утечки и НСД, вероятность реализации угроз, модель действий нарушителя, анализ и оценка рисков).
4. Выбор контрмер, обеспечивающих информационную безопасность.
5. Проверка системы защиты информации (оценка эффективности, тестирование).
6. Составление плана защиты информации.
7. Реализация плана защиты информации.

2.4 Конфиденциальная информация предприятия

Согласно действующему законодательству РФ организация — владелец информации вправе сама определять перечень отнесения тех или иных сведений к конфиденциальной информации. ФЗ «Об информации, информационных технологиях и защите информации» определяет лишь понятие «конфиденциальности». «Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Эта информация имеет действительную или потенциальную коммерческую ценность для предприятия в силу недоступности третьим лицам.

Перечень конфиденциальных сведений базируется на основных бизнес-процессах компании.

1. Данные о потребностях организации в персонале, составе и численности работников, уровне их квалификации, опыте работы.
2. Учебные пособия входящего в состав холдинга учебного центра по пожарной безопасности.
3. Информация о наличии и стоимости готовой продукции (остатки на складах, в цехе, в незавершенном производстве, прайс-листы и др.).
4. Информация об объемах работ, поставках, сроках исполнения по договорам.
5. Клиентская база.
6. Ценовая политика и порядок расчетов.
7. Проектная, конструкторская, сопроводительная документация.
8. Хранившаяся в базах данных информация о потенциальных или действительных заказах, коммерческих предложениях, договорах, проектах и др.
9. Полученная от клиентов информация о качестве выполненных работ и поставленной продукции, рекламации и другие претензии и замечания.
10. Проекты схем и систем противопожарной защиты, пассивных и активных средств пожаротушения, обеспечивающих пожарную безопасность зданий и сооружений.
11. Разработки новых и модифицированных видов огнезащитных составов, красок, пропиток.
12. Разработки новых изделий и пожарно-технического оборудования, технологий.
13. Результаты архитектурного и технологического проектирования объектов.
14. Технологические регламенты.
15. Информация о проведенных экспертизах проектов в пожарной безопасности.
16. Производственные прогнозы, планы развития и совершенствования производства.
17. Нормы расходов сырья, материалов, чертежи.
18. Информация о потребностях в сырье, материалах, полуфабрикатах и комплектующих изделиях.
19. Наличие и состояние производственных мощностей и возможностей производства.
20. Данные о поставщиках, заключенных с ними договорах и история взаимоотношений. Реестр утвержденных поставщиков.
21. Реестры (информационные базы) учета договоров и коммерческих предложений, сведения об их реализации.
22. Каталог комплектующих материалов (с характеристиками и модификациями), необходимый для формирования заказа на изготовление противопожарного оборудования.
23. Документы контроля качества изготовляемой продукции.
24. Схемы размещения сырья, материалов, готовой продукции на складах.
25. Документы системы менеджмента качества (Руководство по качеству, Положения об отделах, описание бизнес-процессов, структуры холдинга и т.д.).
26. Протоколы испытаний готовой продукции, данные о результатах контроля.
27. Документы внутренних аудитов, перспективный план развития компании.
28. Регламенты технического обслуживания и ремонта технологического оборудования.
29. Нормативно-техническая документация.
30. Финансовая информация: затраты на производство, себестоимость, накладные расходы, минимальные цены.
31. Маркетинговые исследования (технические возможности и цены конкурентов).
32. Конкурсная документация.
33. Платежные документы, данные об экономических показателях.
34. Приказы и поручения руководства компании, другие локальные нормативно-правовые акты.
35. Регистрируемая входящая и исходящая корреспонденция.
36. Бюджеты, бухгалтерские балансы, сведения об оплате труда, акты выполненных работ.
37. Первичные документы бухгалтерского учета.
38. Телефонные справочники.
39. Сведения об используемом программном обеспечении, средствах вычислительной техники, СКЗИ, средствах защиты информации.
40. Документы и сведения, содержащие данные о системе охранно-пожарной сигнализации, графике работы сотрудников охраны, схемы размещения камер видеонаблюдения, систем контроля доступа.

2.5 Территориальная структура предприятия

НПО «Ассоциация К» имеет следующую территориально-распределенную структуру (рисунок 2.2).

Рис. 2.2- Территориальная структура предприятия

1. Центральный офис — расположен на принадлежащей компании территории промышленной зоны в деревне Машково Московской области и представляет собой несколько офисных зданий. Здесь же располагается химическое производство огнезащитных составов, красок и пропиток. Территория огорожена по периметру и имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Проезд автотранспорта на территорию осуществляется через автоматические ворота. Электропитание на территорию подается по двум независимым линиям, основной и резервной, переключение между которыми осуществляется в ручном режиме в течение регламентированного времени (10 минут). Подключение к Интернету организовано по двум независимым каналам связи от разных провайдеров Интернета (основной канал — оптико-волоконная линия, резервный — направленный Wi-Fi). Переключение между ними в случае аварии осуществляется автоматическим способом. Доступ в серверные комнаты, а также в некоторые закрытые помещения осуществляется с использованием электронной системы контроля доступа с последующим дублированием механическими замками. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Офисные здания и производственные цеха соединены между собой оптико-волоконной линией связи. Количество рабочих мест (компьютер/ноутбук) в офисе — около 250.
2. Представительский офис в г. Москва — расположен на территории двухэтажного арендуемого здания и примыкающей к нему огороженной автомобильной стоянкой. Имеет два выхода из здания, один на городскую улицу, второй во внутренний двор со стоянкой, въезд и выезд с которой производится через автоматические ворота. Офис имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Аналогично центральному офису доступ в серверную комнату и другие критически важные объекты осуществляется с помощью системы контроля доступа. Резервного электропитания в офисе нет, но имеется в наличие дизель-генератор, время на ввод в эксплуатацию которого составляет около 1-го часа. Подключение офиса к Интернету организовано по двум каналам связи, основному — по витой паре, и резервному — по технологии ADSL. Переключение осуществляется автоматическим способом. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе — около 50.
3. Региональный офис — расположен в г. Алексин Тульской области. Представляет собой огороженную территорию, на которой располагаются офисное здание и цех по производству противопожарных изделий и оборудования. Охрана и контроль доступа в офисе обеспечиваются по той же схеме, как и в центральном офисе. Есть резерв электропитания, два интернет-канала (основной — оптико-волоконный, резервный — ADSL). Серверная комната совмещена (смежное расположение) с кабинетом системного администратора, доступ в кабинет осуществляется только по электронным пропускам. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверной комнате, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе — около 70.
4. Представительство в г. Санкт-Петербург — располагается в нежилых (коммерческих) помещениях многоквартирного дома. Количество рабочих мест сотрудников представительства — около 10. Офис оборудован домофоном для обеспечения контроля доступа посторонних лиц, в нерабочее время закрывается на ключ и ставится под охрану. Электропитание подается от сети многоквартирного дома, Интернет проводной по выделенной линии, резерва нет. Серверное оборудование отсутствует.
5. Представительство в г. Сочи — располагается на территории офисного центра. Численный состав сотрудников представительства — 5 человек. Офис в нерабочее время закрывается на ключ, охраняется службой охраны бизнес-центра. Резерва электропитания и Интернета нет. Серверное оборудование отсутствует.
6. Филиалы в районах расположения объектов строительства. Представляют собой арендованные помещения или строительные «вагончики» с числом сотрудников от 1 до 5. Как правило, обеспечиваются мобильным интернетом, но может присутствовать и проводное подключение к Интернету (со статическим IP-адресом) для обеспечения IP-телефонией и программным VPN-туннелем с центральным офисом.

Весь информационный обмен между территориальными структурами холдинга производится через глобальные сети посредством защищенных VPN-туннелей, обеспечивающих инкапсуляцию, проверку подлинности и шифрование данных. Помимо этого в каждом подразделение развернута аналоговая телефония (количество линий зависит от размера филиала), обеспечивающая резервную телефонную связь между ними в случае возникновения проблем с Интернетом.

ГЛАВА 3. РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ПЕРЕДАЧИ ДАННЫХ

1. Необходимо развернуть межсетевые экраны во всех офисах и подразделениях компании, где они еще не развернуты, а также регулярно проверять их работу. Согласно описанной выше инфраструктуре рассматриваемого предприятия допускается организация локальных сетей без сетевого экрана, что повышает риск нарушения безопасности данных. Следует избегать таких топологий и стараться размещать в филиалах как минимум экраны уровня «малого бизнеса», такие как D-Link NetDefend UTM Firewall.
2. Желательно развернуть межсетевые экраны для конкретных серверных ресурсов внутри сети и обеспечить фильтрацию трафика для предотвращения несанкционированных подключений. В настоящий момент в корпоративной сети межсетевые экраны размещаются только по периметру.
3. Необходимо выделить публичные ресурсы в DMZ-зону и ограничить к ней доступ из общей сети. Для рассматриваемого предприятия этими ресурсами могу служить почтовый и терминальный сервер, а также сервер IP-телефонии.
4. Необходимо установить антивирусное программное обеспечение на все серверы и настольные компьютеры предприятия. В настоящий момент на почтовом сервере, шлюзе доступа, файловом сервере и сервере резервного копирования нет антивирусного ПО. Для этих серверов на операционной системе CentOS можно использовать, например, Clam AntiVirus (ClamAV) — свободно распространяемый антивирус, работающий в UNIX-подобных операционных системах. Также нужно регулярно обновлять сигнатуры вирусов и настроить централизованное управление.
5. Рекомендуется рассмотреть возможность развертывания многофакторной проверки подлинности для VPN-соединений. В настоящий момент используется доменная авторизация.
6. Необходимо обеспечить полную сегментацию сети посредством технологии VLAN. В рассматриваемой инфраструктуре VLAN не используется, хотя большая часть сетевого оборудования (производителя HP) эту функцию поддерживает. Необходимо выделить в отдельные VLAN-ы схожие ресурсы (серверные и другие), также целесообразно использовать сегментацию по подразделениям.
7. Необходимо рассмотреть возможность развертывания сетевых и узловых систем обнаружения вторжений (IDS) для определения и уведомления об атаках в корпоративной сети. Основная проблема заключается в том, что такие системы, как правило, слишком дороги и требуют более детальной проработки экономической целесообразности их применения, соотнося стоимость внедрения с возможными последствиями ущерба. Однако, можно попробовать использовать свободно распространяемые IDS/IPS. Примером такой системы может служить достаточно известная система Snort. Следует учитывать тот факт, что для развертывания и анализа полученной информации такой системы потребуются дополнительные компетенции.
8. Рекомендуется отключить широковещательную рассылку SSID в беспроводной сети (не отключено), проводить регулярную смену паролей и использовать стойкие алгоритмы шифрования (производится). Желательно рассмотреть возможность использования VPN и в беспроводной сети.
9. Для административных пользователей желательно рассмотреть возможность внедрения многофакторной проверки подлинности помимо использования сложного пароля.
10. Для удаленных пользователей сети необходимо рассмотреть возможность внедрения многофакторной проверки подлинности помимо использования сложного пароля и предоставлять удаленный доступ только тем сотрудникам, которым он реально необходим.
11. Рекомендуется регулярно проводить аудит удаленных пользователей на предмет актуальных обновлений своих систем. В настоящий момент данная процедура не регламентирована.
12. Для создания безопасных рабочих станций рекомендуется создать уникальный образ для каждого типа рабочих станций. Следует регулярно следить за актуализацией этих образов.
13. Необходимо рассмотреть возможность установки персональных межсетевых экранов на рабочие станции пользователей. В настоящий момент такие экраны развернуты только на некоторых компьютерах сети.
14. Рекомендуется использовать программное обеспечение шифрования данных на диске для рабочих станций пользователей. В рассматриваемой сети целесообразно выделять ряд наиболее критичных с точки зрения безопасности рабочих станций и установить там данное программное обеспечение. Такими рабочими станциями могут быть, например, компьютеры научно-исследовательской лаборатории.
15. Рекомендуется рассмотреть возможность отказа от использования систем удаленного наблюдения и контроля.
16. Необходимо обеспечить размещение сетевого оборудования в закрытых шкафах/стойках. В настоящий момент оборудование уровня доступа располагается на этажах в открытом доступе. Для выполнения этого пункта достаточно в местах размещения произвести монтаж закрытых шкафов с доступом только для ИТ-персонала.
17. Рекомендуется использовать средства обеспечения физической безопасности для персональных компьютеров. Для переносных компьютеров использовать дополнительные кабельные замки.
18. Для серверов, расположенных в серверной комнате также рекомендуется использовать запираемые шкафы или стойки. Это позволит уменьшить риск несанкционированного использования.