Файл: Назначение и структура системы защиты информации коммерческого предприятия.pdf
Добавлен: 25.04.2023
Просмотров: 217
Скачиваний: 2
СОДЕРЖАНИЕ
1. Теоретические основы защиты информации в коммерческих предприятиях
1.1. Основные понятия по защите информации
1.2. Методы и средства защиты информации
2. Система защиты информации коммерческого предприятия на примере ООО «Экопрог»
2.1. Характеристика предприятия
2.2. Система защиты информации на предприятии
Пользователи имеют так же возможность работать на не доверенных компьютерах в двух режимах: обычный режим (без доступа к сервисам доверенной распределенной информационной системы) и режим доверенного сеанса связи, в рамках которого обеспечивается защищённая работа с сервисами распределенной информационной системы. Выбор режима работы осуществляет пользователь.
Средства защиты имеют сертификаты ФСТЭК и ФСБ России.
Стоит отметить, что организованная на предприятии система информационной безопасности не в полной мере соответствует современным требованиям.
2.3. Анализ существующих угроз
Оценка угроз активам компании ООО «ЭкоПрог» проводится 1 раз в год. Основанием служит ежегодный приказ Генерального директора о проведении проверки уязвимости информационных ресурсов компании. Оценку проводят сотрудники департамента безопасности бизнеса и системные администраторы компании.
Отчёт о результатах оценки угроз приводятся в форме таблицы, например:
№ |
Группы угроз |
Уровень |
Примечание |
Угрозы утечки конфиденциальной информации |
|||
1 |
Утечка конфиденциальной информации из сети по каналам связи. Не целевое использование компьютерного оборудования. |
С |
Квалификация сотрудников достаточно низкая и большинство каналов перекрыто. |
2 |
Утечка конфиденциальной информации на мобильных устройствах. |
В |
Ограничен список лиц, работающих на мобильных устройствах. |
3 |
Прослушивание внешних каналов связи злоумышленниками. |
Н |
Угроза не соответствует ценности ресурсов. |
B – высокая вероятность; C – средняя вероятность; H – низкая вероятность.
Результаты оценки угроз активам ООО «ЭкоПрог» приведены в таблице 4.
Таблица 4
Результаты оценки угроз активам
Группа угроз Содержание угроз |
Маркетинговые документы |
Документы пользователей и подразделений |
Базы данных |
Электронная почта |
Серверное помещение |
Резервные копии ИС |
Угрозы, обусловленные преднамеренными действиями |
||||||
|
низкая |
высокая |
||||
1.2.Утечка конфиденциальной информации из сети по каналам связи (e-mail, web, chst/IM, и т.п.). |
средняя |
средняя |
низкая |
средняя |
||
1.3. Перехват информации на линиях связи путём использования различных видов анализаторов сетевого трафика. |
низкая |
низкая |
низкая |
высокая |
||
1.4. НСД к ресурсам ЛВС компании со стороны внешних злоумышленников. |
низкая |
низкая |
низкая |
средняя |
||
1.5. НСД к резервным копиям данных. |
низкая |
|||||
Угрозы, обусловленные случайными действиями |
||||||
2.1. Утечка КИ |
низкая |
низкая |
низкая |
низкая |
низкая |
|
2.2. Неумышленное раскрытие конфиденциальной информации сотрудниками компании. |
средняя |
средняя |
низкая |
низкая |
||
2.3.Разрушение данных по причине системного сбоя или ошибки ПО, использование не протестированного ПО. |
низкая |
низкая |
низкая |
низкая |
низкая |
|
3.1. Затопление, пожар, ураган, землетрясение и т.п. |
низкая |
низкая |
низкая |
низкая |
низкая |
низкая |
2.4. Меры защиты информации
Применение организационных методов обеспечения информационной безопасности составляет одну из важнейших сторон обеспечения информационной безопасности любой организации.
Информационная безопасность самым непосредственным образом зависит от окружения, в котором она работает. Важное значение здесь приобретает применение мер физической защиты, в состав которых входят:
- физическое управление доступом;
- противопожарные меры;
- защита поддерживающей инфраструктуры;
- защита от перехвата данных;
- защита мобильных систем [10].
Задача мер физического управления доступом состоит в контроле и ограничении входа и выхода сотрудников и посетителей как на общую территорию организации, так и в ее отдельные режимные помещения, например те, где расположены серверы, коммуникационная аппаратура, хранилища машинных носителей и т. п.
Противопожарные меры и меры по защите поддерживающей инфраструктуры призваны свести к минимуму ущерб, вызванный огнем или авариями электропитания, водопровода, отопления и т. п.
Защита от перехвата данных подразумевает применение экранирования помещения, использование различных зашумляющих устройств и т. п. [23]
Для обеспечения надёжной физической безопасности информации компании необходимо обеспечить прочность внутренних стен и конструкций здания, применять кодовые дверные замки, системы пожаротушения, привлекать охранные службы. В ходе работы был обследован офис компании на предмет анализа обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб, после чего можно заявить, что физическая безопасность информационных ресурсов компании обеспечена, так как стены здания, в котором расположен офис компании, обладают достаточным запасом прочности. В офисе имеются кодовые замки, система пожаротушения, а так же служба охраны.
Система приёма новых сотрудников компании обеспечивает безопасность сотрудников.
По завершению анализа организационной и информационной структуры компании, предлагается выбрать для компании упреждающую стратегию обеспечения информационной безопасности.
Данная стратегия требует тщательного обследования потенциальных угроз информационным ресурсам, качественную разработку мероприятий их устранения на стадии разработки информационной системы. Важная часть упреждающей стратегии – это производство оперативного анализа данных, предоставленных центрами изучения проблематики защиты информации, анализ передового опыта в данной сфере, независимый аудит уровня безопасности информации компании.
Выбор программно-аппаратных средств обеспечения информационной безопасности в процессе организации системы защиты информации осуществляется в соответствии с показателями рабочей системы. При этом учитывается ряд важных параметров, а именно: объем передаваемого трафика в информационной системе, возможности расширения ее структуры, качество совместной работы различного оборудования и так далее. Кроме этого в обязательном порядке учитывается тип оборудования. Устройства должны отвечать жестким требованиям по количеству интерфейсов, по их типу, по пропускным способностям и так далее.
Dallas Lock 8.0-K – средство защиты конфиденциальной информации от несанкционированного доступа, в процессе её хранения и обработки.
Является программным комплексом средств защиты информации в информационных системах, осуществляющих обработку персональных данных, в автоматизированных системах.
В программном комплексе Dallas Lock 8.0-K в качестве средств опознавания пользователей используются аппаратные электронные идентификаторы. Поддерживаются ключи Touch Memory, USB-флэш-накопители, USB-брелоки eToken и смарт-карты eToken, ruToken и ruToken ЭЦП.
СЗИ от НСД Dallas Lock 8.0-K:
- защищает конфиденциальную информацию от несанкционированного доступа стационарных и портативных компьютеров, как в составе ЛВС, так и автономных, через локальный, сетевой и терминальный входы;
- обеспечивает дискреционный принцип разграничения доступа к информационным ресурсам согласно списка пользователей и их прав доступа (матрица доступа);
- обеспечивает аудит действий пользователей – без соответствующих прав и санкционированных; ведет журналы регистрации событий;
- контролирует целостность файловой системы и программно-аппаратной среды;
- объединяет защищенные компьютеры для централизованного управления механизмами безопасности;
- приводит автоматизированную систему в соответствие законодательству РФ по защите информации.
Так же существует сертификат совместимости программного комплекса ViPNet Custom 3.2 и СЗИ НСД Dallas Lock 8.0-K
Сертификат ФСТЭК России № 2720 от 25.09.2012 г. удостоверяет, что данная СЗИ НСД соответствует требованиям РД по 4 уровню контроля отсутствия недекларированных возможностей и по 5 классу защищённости средств вычислительной техники, то есть подходит ко всем ИСПДн, эксплуатируемых в компании.
Рисунок 3 – Интерфейс СЗИ от НСД Dallas Lock 8.0-K
Dr.Web Enterprise Security Suite – это комплекс продуктов Dr.Web, включающий элементы защиты всех узлов корпоративной сети и единый центр управления для большинства из них. Он предназначен для обеспечения информационной безопасности:
- рабочих станций, клиентов терминальных серверов и клиентов встроенных систем на платформах Windows, Linux и Mac OS X;
- файловых серверов и серверов приложений (включая терминальные серверы) Windows и Novell NetWare;
- почтовых серверов Unix, Microsoft Exchange, IBM Lotus, Kerio;
- мобильных устройств на основе Windows Mobile.
Компьютеры, на которые устанавливается Dr.Web Enterprise Server 6.0.4, должны удовлетворять следующим требованиям:
Использование Dr.Web Enterprise Security Suite дает следующие преимущества:
- централизованную защиту всех узлов сети – рабочих станций, файловых, почтовых серверов и серверов приложений, в том числе терминальные, мобильных устройств и интернет-шлюзов;
- комплексную защиту рабочих станций от многих существующих угроз благодаря тому, что имеется встроенный антивирус, антиспам, брандмауэр и офисный контроль;
- минимальную совокупную стоимость внедрения по сравнению с конкурирующими программами благодаря возможности развертывания серверов как под Windows, так и под Unix, надежности защиты и простоте установки, встроенной базе данных. Вместе с Dr.Web Enterprise Security Suite компаниям не нужно приобретать дорогостоящее оборудование;
- возможность установки агентской части на уже зараженный компьютер и высокую долю вероятности излечения;
- минимальное использование ресурсов серверов и компьютеров благодаря компактности антивирусного ядра и использованию в нем новейших технологий;
- высокую эффективность обнаружения угроз, включая еще неизвестные вирусы;
- управление всей инфраструктурой защиты сети с одного рабочего места (через Веб-администратора), где бы оно ни находилось;
- реализация необходимых для конкретного предприятия и отдельных групп сотрудников политик безопасности;
- назначение отдельных администраторов для различных групп, что позволяет использовать Dr.Web Enterprise Security Suite как в компаниях с повышенными требованиями к безопасности, так и в многофилиальных организациях;
- настройку политик безопасности для любых типов пользователей, включая мобильных, и для любых станций – даже отсутствующих в данный момент в сети – позволяют обеспечить актуальность защиты в любой момент времени;
- защита любых сетей, в том числе не имеющих доступа в Интернет;
- возможность использования большинства существующих баз данных. При этом в качестве внешних могут выступать Oracle, PostgreSQL, Microsoft SQL Server, любая СУБД с поддержкой SQL-92 через ODBC;
- возможность самостоятельного написания обработчиков событий, что дает прямой доступ к внутренним интерфейсам Центра управления;
- наглядность системы контроля состояния защиты, непревзойденный по эффективности и удобству поиск станций сети;
- возможности выбора списка обновляемых компонентов продукта и контроля перехода на новые версии позволяют администраторам устанавливать только необходимые и проверенные в их сети обновления.
Рисунок 4 – Окно программы Dr.Web Enterprise Security Suite
Полученные разработчиком антивирусных решений сертификаты ФСБ РФ удостоверяют, что продукты Dr.Web соответствуют требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2-му уровню контроля и техническим условиям при выполнении указаний по эксплуатации.
Сертификат ФСТЭК России № 2446 от 20.09.2011 г. удостоверяет, что Dr.Web Enterprise Security Suite соответствует требованиям РД по 2 уровню контроля отсутствия недекларированных возможностей, то есть подходит ко всем ИСПДн, эксплуатируемых в компании.
Для реализации мер по АНЗ предполагается использовать сканер безопасности XSpider 7.8, а также организационные меры.
Программное средство XSpider 7.8 позволяет осуществлять диагностику и мониторинг сетевых компьютеров, сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности.
В состав организационных мер должен входить периодический контроль состояния защищенности ПДн в ИСПДн, при котором должен осуществляться:
- контроль работоспособности, параметров настройки и правильности функционирования ПО и СЗИ;
- контроль состава ТС, ПО и СЗИ.
Периодический контроль осуществляется администратором безопасности ИСПДн, с обязательной регистрацией в Журнале по учету мероприятий по контролю обеспечения защиты ПДн в ИСПДн.
Сертификат ФСТЭК России № 2530 от 26.12.2011 г. удостоверяет, что данный программный комплекс соответствует требованиям РД по 4 уровню контроля отсутствия недекларированных возможностей и может применяться для анализа защищённости автоматизированных систем до класса 1Г включительно и ИСПДн до 1 класса включительно, то есть подходит по требованиям ко всем трём ИСПДн эксплуатируемых в компании.
XSpider 7.8 выполняет следующие задачи:
- полностью идентифицирует сервисы на случайных портах;
- использует эвристический метод определения имен и типов серверов (FTP, HTTP, POP3, SMTP, SSH, DNS) вне зависимости от их ответа на стандартные запросы;
- обрабатывает RPC-сервисы (Windows и *nix) с их полной идентификацией;
- проверяет слабость парольной защиты;
- анализирует контент WEB-сайтов;
- анализирует все скрипты HTTP-серверов (в первую очередь, пользовательских): инъекций кода, SQL инъекций, получения файлов,запуска произвольных программ, межсайтовый скриптинг (XSS), HTTP Response Splitting;
- анализатор структуры HTTP-серверов;
- проводит проверки на нестандартные DoS-атаки;
- имеет специальные механизмы, уменьшающие вероятность ложных срабатываний;
- ежедневно добавляет новые уязвимости и проверки;
- гибкий планировщик заданий для автоматизации работы;
- одновременное сканирование большого числа компьютеров;
- ведет полную историю проверок;
- генерирует отчеты с различными уровнями их детализации;
- имеет встроенную документацию, включающую контекстную справку и учебник.