Файл: ЗАЩИТА СЕТЕВОЙ ИНФРАСТРУКТУРЫ ПРЕДПРИЯТИЯ ( Анализ нормативных требований для защищенности сетевой инфраструктуры предприятия ).pdf
Добавлен: 23.05.2023
Просмотров: 533
Скачиваний: 11
СОДЕРЖАНИЕ
Глава 1. Теоретические и нормативные требования по защите сетевой инфраструктуры предприятия
1.1 Анализ нормативных требований для защищенности сетевой инфраструктуры предприятия
1.3 Анализ угроз и уязвимостей сетевой инфраструктуры предприятия
Глава 2. Практическая реализация защиты сетевой инфраструктуры на примере конкретного предприятия
2.1 Анализ и оценка рисков сетевой инфраструктуры конкретного предприятия
Таким образом, основной организационной мерой должна стать разработка политики информационной безопасности, ознакомление с ее положениями всех сотрудников и строгое им следование.
В состав политики безопасности должны входить документы, регламентирующие работу следующих подсистем (рисунок 1).
Рисунок 1. Состав политики безопасности
На основании данных требований необходимо разработать основные требования по обеспечению информационной безопасности в предприятии, включающие в себя следующие частные документы:
- Регламент использования системы электронного документооборота;
- Правила парольной защиты;
- Правила защиты от вирусов и злонамеренного программного обеспечения.
Кроме того, для определения правил работы с персоналом в случае приема на работу и увольнения с нее, а также в случае возникновения нештатных ситуаций, разработана инструкция по работе с персоналом, включающая:
- Инструкцию по приему на работу и допуску новых сотрудников к работе в АС и наделения их необходимыми полномочиями по доступу к ресурсам системы.
- Инструкцию по увольнению работников и лишения их прав доступа в систему.
- Инструкцию по действиям различных категорий персонала, включая сотрудников отдела безопасности информации, по ликвидации последствий кризисных (аварийных или нештатных) ситуаций, в случае их возникновения.
1.3 Анализ угроз и уязвимостей сетевой инфраструктуры предприятия
Информационные активы – информационные ресурсы или средства обработки информации организации.
Ресурсы информации должны идентифицироваться как массивы и базы данных, документы и массивы документов и так далее, учитывая выявленные сведения о их использованию и владению.
Выделим характеристики применения:
- в прикладных сервисах автоматизированных систем и автоматизированных задачах функциональных подсистемах, решение которых невозможно без информации из этих объектов информации;
- в служебных подразделениях, автоматизированные задачи которых решаются в их же интересах;
- в удаленных объектах информации;
Уровень конфиденциальности – это основной характеристический показатель ОИ.
Распределение информационных активов по категориям – это очень нужное составляющее организации работы по соблюдению безопасности информации предприятия, целями которого есть:
- проектирование нормативно-методической составляющей для разностороннего подхода к защите ресурсов автоматизированных систем предприятия;
- разработка решений по обеспечению организационных мер и распределению программно-аппаратных средств защиты для различных категорий рабочих станций автоматизированной системы предприятия.
Активы предприятия можно разделить на две категории:
- аппаратные ресурсы;
- информационные ресурсы.
Для выделения активов информации в качестве исходных данных используются: перечень сведений составляющих государственную, ведомственную и коммерческую тайны; перечень источников информации в организации. Структурирование информации производится путем классификации информации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам.
К конфиденциальной информации относятся:
- сведения о клиентах предприятия;
- сведения о деятельности предприятия;
- сведения о системе безопасности предприятия;
- служебная информация о финансовом положении предприятия;
- переговоры с клиентами.
Уязвимость информационных активов представляет собой тот или другой минус, следствием которого становится не желательное воздействие на актив со стороны злоумышленников, не квалифицированных работников или вредоносного кода.
Уязвимости системы информации предприятия можно определить некоторыми методами. Их может описать сотрудник фирмы основываясь на собственный опыт. Помимо этого, можно пригласить посторонних специалистов для того, чтобы провести технологический аудит информационной системы и выявить все уязвимости.
На рассмотренном предприятии оценивание уязвимостей активов выполняется соответственно с требованиям ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» на основании применения общего подхода. При выполнении этого применяются такие критерии оценки ущерба от потери конфиденциальности, целостности или доступности активов:
- нарушение закона и/или подзаконных актов;
- уменьшение эффективности бизнеса;
- снижение престижа компании;
- нарушение безопасности личной информации;
- необеспеченность личной безопасности;
- отрицательный эффект с точки зрения обеспечения правопорядка;
- нарушение безопасности коммерческой тайны;
- нарушение общественного порядка;
- финансовые потери;
- нарушение деловых сделок;
- угроза охране окружающей среды.
Результаты оценки уязвимостей формируются в виде списка, где напротив каждой уязвимости приводится назначенная ей оценка риска ИБ, вероятности реализации угроз, оценка стоимости актива.
Наиболее важными источниками угроз безопасности в рассмотренном предприятии информации есть:
- угрозы по каналам утечки вещественной информации;
- угрозы утечки информации по техническим каналам;
- угрозы несанкционированного доступа к информации, которая обрабатывается в ЛВС.
Угрозы утечки информации по техническим каналам состоят из:
- угрозы утечки акустической информации;
- угрозы утечки видовой информации;
- угрозы утечки информации по каналу ПЭМИН.
Основные угрозы безопасности информации для предприятия есть:
- нарушение безопасности информации, которая является служебной или коммерческой тайной, а также личной информации;
- нарушение функционирования компонентов информационной системы, ограничения доступа к информации, нарушение технологических процессов, невозможность решения задач вовремя;
- нарушение целостности информации, программных и других ресурсов, а также подделка документов.
Оценка рисков в рассматриваемой организации организуется в соответствии с требованиями ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» на основе использования общего подхода.
Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.
- Процедура 1. Определение перечня типов информационных активов, для которых выполняются процедуры оценки рисков нарушения ИБ (далее — область оценки рисков нарушения ИБ).
- Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов области оценки рисков нарушения ИБ.
- Процедура 3. Определение источников угроз для каждого из типов объектов среды, определенных в рамках выполнения процедуры 2.
- Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, определенных в рамках выполнения процедуры 2,3.
- Процедура 5. Определение СТП нарушения ИБ для типов информационных активов области оценки рисков нарушения ИБ.
- Процедура 6. Оценка рисков нарушения ИБ.
Результаты оценки рисков предоставляются в виде перечня рисков, каждому из которых определен ранг.
Выводы по главе
В данной главе был проведен анализ нормативных документов и требований, которые они предъявляют до организации защиты сетевой инфраструктуры предприятий, рассмотрены аспекты политики безопасности предприятия и основные организационные меры для защиты его сетевой инфраструктуры; проведен теоретический обзор основных аспектов в анализе рисков и уязвимостей предприятия.
Для дальнейшего закрепления рассмотренного материала необходимо навести практический пример реализации защиты сетевой инфраструктуры предприятия и выбора административно-технических мер для него, для этого необходимо провести анализ существующих средств защиты и провести оценку рисков на предприятии, после чего провести обзор существующих систем защиты инфраструктуры предприятия и выбрать необходимую для нашего рассматриваемого предприятия.
Глава 2. Практическая реализация защиты сетевой инфраструктуры на примере конкретного предприятия
2.1 Анализ и оценка рисков сетевой инфраструктуры конкретного предприятия
Рассмотрим защиту рабочих мест среднего предприятия на примере Управления Федерального агентства по государственным резервам по Центральному федеральному округу - это территориальный орган Федерального агентства по государственным резервам, который осуществляет функции Росрезерва в сфере управления государственным материальным резервом, координирует и контролирует деятельность организаций, которые подведомственные Росрезерву.
Структурная схема технической архитектуры предприятия представлена на рисунке 2.
В качестве рабочих станций используются модель OLDI Office 110 со следующей конфигурацией: процессор Intel® Celeron 430 (Conroe-L,1.80 ГГц, FSB800MHz, 512Kb L2,Socket 775), оперативная память DDR II 1Гб, жесткий диск 250Gb (SATA II), видеокарта Интегрирована в чипсет iG31, сетевая карта 10/100/1000 Мбит/с, звуковая карта 6-канальная, размеры 420 мм х 180 мм х 380 мм.
Из числа серверов в предприятии используются только файл–сервер и сервер базы данных. В качестве аппаратной основы серверов используются Office Server TX 3000R15 со следующими техническими характеристиками: процессор Intel® Core™5 750 (Lynnfield, 2.66ГГц, 8Мб, LGA1156), чипсет Intel 3420, оперативная память DDR3 4096 Mb (pc-10660) 1333MHz, жесткий диск 1000Gb (SATA II, 7200rpm, 32Mb), видеокарта XGI® Z9s (32MB DDR2), оптические накопители DVD±RW, тип корпуса Full Tower, сетевая карта 4х10/100/1000 Мбит/с.
Рисунок 2. Схема технической архитектуры предприятия
Пользовательские сегменты и сервера объединены в сеть при помощи маршрутизатора 3Com13701-ME. Внутри пользовательских сегменов в качестве коммутаторов используются 3COM Gigabit Switch 8 3CGSU08. Оба типа коммутаторов оснащены программными брандмауерами.
Телефонная сеть организована с использованием АТС Panasonic KX-TEM824. В качестве оконечных устройств используются офисные телефоны Panasonic KX-T7710.
В качестве среды передачи данных используется кабель витая пара 5 категории (100BASE-ТX) со скоростью передачи до 100 мбит/сек. В комплекте с каждой рабочей станцией имеется МФУ Xerox Phaser 3100MFP/Х.
Программная архитектура информационной системы наглядно представлена на рисунке 3.
Рисунок 3. Программная архитектура предприятия
На всех компьютерах установлен стандартный пакет программного обеспечения: операционная система Windows7 Pro; пакет MS Office 2007; Avira AntiVir Premium Security Suite; Браузер Mozilla Firefox; Adobe Acrobat 9.0 Professional.
С учетом специфики деятельности отделов персональные компьютеры предприятия имеют следующие дополнительные программные обеспечения (персональные пакеты ПО для отделов): 1С Бухгалтерия:8 (бухгалтерия); Radmin Viewer 3, Remote Administrator v2.2, Total Commander (отдел IT).
Для обеспечения информационной безопасности в предприятии используются RAID-массивы и резервное копирование информации. Для создания RAID-массива используется 8 дисков Seagate ST3600057SS. Это серверные диски с повышенной надежностью и максимальным объемом, и скоростью вращения шпинделя для подобных дисков 600гигабайт при 15 000 обор\м вращение шпинделя. Эти диски объединены в 4 раздела Raid 1. Также предусмотрен план резервного копирования базы данных, в котором созданы следующие этапы: FULL – Полное резервное копирование базы + регламентные задания; DIFF – Дифференцируемый бекап; TL – Бекап Лога.
В предприятии также используется система видеонаблюдения «ForeView», система пожарной сигнализации, охранной сигнализации, система контроля и управления доступом «Elsys». В системе видеонаблюдения используются цветные купольные видеокамеры CNB-DP257.
На основании анализа используемых программных и аппаратных средств обеспечения безопасности произведен анализ выполнения задачи по обеспечению информационной безопасности предприятия, результаты которого приведены в таблице 1.
Таблица 1
Анализ выполнения основных задач по обеспечению информационной безопасности