Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации (База персональных данных).pdf

Для того, чтобы наиболее лучшим образом защитить ЛВС данного предприятия, требуется разделить ее на три части:

Бухгалтерия и кадры;

Инженерно-плановый;

Общий.

Полученная сеть изображена на рисунке 3.1.

Рисунок 3.1 – Защищенная ЛВС.

Организация баз данных также изменится и будет состоять из нескольких частей.

В таблицах БД Server2 будут храниться различные справочники, позволяющие однозначно определить людей, чьи данные будут подвержены индексации на БД Server4 и будут обезличены.

Лишь база данных бухгалтерии останется неизменной и будет включать в себя всю информацию, поскольку она будет использоваться специфической программой «1С Предприятие» версии 8.2, которая не позволяет разделить данные по отдельным файлам.

В качестве СУБД с наилучшей производительностью, наименьшей стоимостью будет предложено использовать MYSQL 5.5, которая также поддерживает SSL протокол, способствующий безопасному и быстрому соединению между клиентом и сервером.

Межсетевым экраном выбран VipNet Office Firewall, который позволяет блокировать или пропускать любые IP-пакеты, проходящие через сетевой адаптер сервера.

Для хранения данных сотрудников будет установлена 1С Предприятие 8.2 с конфигурациями «Зарплата и управление персоналом» и «Бухгалтерия», поскольку на территории Российской Федерации данная среда является наиболее распространенной. Данная версия является более новой и позволяет реализовывать механизмы аутентификации, идентификации, аудита, защиты данных. [28]

Для обнаружения различных атак из сети предложено развернуть систему обнаружения вторжений Honeypot Manager 2.0. Данная система анализирует трафик как на компьютерах, так на сервере и имеет сертификат ФСТЭК. Для обнаружения угроз более локально советуется использовать зонды на всех сегментах сети. [10]

3.2 Программно-аппаратные средства защиты

Для обмена с вышестоящими компаниями и организациями предлагается использование VipNet Client 3.2, который является персональным экраном и криптопровайдером для шифрования. Также он имеет сертификат соответствия Федеральной службы безопасности.

Для защиты машин от атак вирусами требуется установить антивирусное программное обеспечение. Ниже в таблице 3.1 приведена сравнительная таблица антивирусных программ.

Таблица 3.1- Сравнительная характеристика антивирусных программ

Исходя из данной таблицы, ESET NOD32 был выбран наиболее лучшим среди своих аналогов, поскольку является сертифицированным ФСТЭК средством защиты, быстрее и эффективнее остальных обнаруживает угрозы и является относительно недорогим.

Для контроля доступа к важнейшим ресурсам нужно использовать аппаратно-программную систему защиты, такую как «МДЗ-Эшелон», АПМДЗ «КРИПТОН-ЗАМОК», Аккорд-АМДЗ или ПАК «СОБОЛЬ». Такие средств защиты необходимы для воспрепятствования несанкционированному запуску пользовательского компьютера, возможности доступа к конфиденциальной информации и загрузке ОС.

В таблице 3.2 приведен сравнительный анализ данных средств защиты. [27]

Таблица 3.2- Аппаратно-программные средства, сравнение

В качестве программно- аппаратного средства защиты предложено выбрать «МДЗ-Эшелон», поскольку он наравне с аналогами поддерживает практически любую операционную систему и файловую систему, но является наиболее дешевым средством защиты.

3.3 Политика безопасности

На основе полученного устройства сети, ПО, различных средств зашиты должна быть сформирована базовая политика безопасности предприятия для всех пользователей сети и администраторов.

Политика безопасности должна регламентировать:

1)Порядок доступа к информации;

При работе с конфиденциальными источниками руководству необходимо разграничить доступ к ним, назначить ответственных за защиту лиц, которые буду следить за тем, чтобы информацию из таких источников не удаляли, не читали и не копировали те лица, которые к ней не допущены.

Доступ к сети должен осуществляться исключительно по средству индивидуального пароля, который должен оставаться уникальным, тайным.

2)Работу с системами криптографии;

К таким системам должны допускаться лица, имеющие разрешение от вышестоящего руководства. Секретные ключи шифрования должны храниться исключительно в сейфах и под ответственностью уполномоченных лиц, которые должны исключить возможность доступа к носителям ключей неуполномоченных лиц.

Запрещается выводить куда-либо секретные ключи, использовать секретные ключи в неположенных режимах, вводить отличную от ключей информацию на их носители.

В случае компрометации ключей:

прекратить их использование;

остановить все операции, в которых они взаимодействуют;

сменить пароли и ключи;

провести расследование;

отразить результаты расследования в специализированном акте.

3)Физическая безопасность;

Абсолютно все объекты, имеющие отношение к безопасности информации (маршрутизатор, сервера баз данных, файервол), должны находиться в помещении, отделенном от основного, с ограниченным доступом.

Вход в такое помещение возможен только через оснащенную замками металлическую дверь, которая выводится через средства слежения на мониторы охраны.

В помещении должна иметься сигнализация, вентиляция, сейф (для хранения паролей и ключевой информации).

Доступ посторонним лицам должен быть запрещен, а иные лица (обслуживающий, технический персонал) имеют право находиться в помещении исключительно в присутствии работников, имеющих такой доступ.

4)Разграничение доступа;

Обязателен пароль на входе в сеть с возможностью идентифицировать работника, подключившегося к ней, который нельзя разглашать, держать в открытом доступе на бумажном или ином носителе, который в случае компрометации необходимо сменить.

При работе с базами данных также необходим пароль, отличный от всех других паролей, удовлетворяющий необходимым требованиям, который не подлежит разглашению и использованию иными лицами.

Все действия с базами данных должны протоколироваться в специальный журнал операций.

5)Работу с Интернетом;

Работать с ресурсами Интернета разрешено только сотрудникам, имеющим в индивидуальной форме разрешение от руководства.

Запрещается:

Устанавливать и скачивать ПО;

Заходить на сайты, не имеющие отношения к служебным обязанностям;

Распространять адрес почты в нерабочих целях;

Осуществлять рассылку или подписку на рассылку нерабочей информации;

Осуществлять продажу или покупку в непроизводственных целях по средству Интернета.

6)Резервирование информации.

Для обеспечения защиты информации от возможного уничтожения, подмены, распространения необходимо ее дублировать и резервировать специальным образом с использованием аппаратных и физических носителей.

Ответственность за данные действия необходимо возложить на штатных программистов. [12]

3.4 Экономический расчет проекта

Для того чтобы понять во сколько компании обойдется данный проект по защите информации, необходимо провести анализ требуемых средств защиты и их стоимости.

Реализация проекта включает в себя: затраты на покупку ПО и оборудования, затраты на средства защиты, затраты на 1 автоматизированное рабочее место и затраты на организацию сегмента сети. В компании используется 20 ПЭВМ и лишь 16 из них имеют доступ к персональным данным.

Ниже в таблицах 3.3 и 3.4 представлены затраты на покупку средств защиты ЛВС.

Таблица 3.3- Затраты на покупку персональных ЭВМ

Таблица 3.4- Затраты на средства защиты

На ввод в эксплуатацию средств защиты локальной сети потребуется 406129 рублей. Также в таблице 3.5 представлен расчет средств на 1 АРМ.

Таблица 3.5- Расходы на 1 автоматизированное рабочее место

В случае если данное рабочее место будет использоваться для связи с иными организациями, расход на него увеличится на 16240 рублей и будет составлять 23140 рублей.

«Строй-Данс-Ю» не обладает большим бюджетом и данной компании требуется понизить нагрузку на бюджет, ввиду чего будет предложено организовать сегмент сети, на который потребуется определенный объем средств, представленный в таблице 3.6.

Таблица 3.6- Расход средств на организацию сегмента сети

В предложенной главе описан расчет стоимости проекта по защите информации предприятия. Ввиду того, что организация является небольшой, предложены рекомендации по возможному уменьшению нагрузки на бюджет.

Заключение

В работе были рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.

Далее было предложено рассмотреть устройство информационных систем персональных данных. Наиболее подробно были рассмотрены существующие модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей (ЛВС) и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.

После проведения теоретического анализа, была предложена общо система, позволяющая обеспечить безопасность информационной системы компании, которая включает в себя: основные мероприятия по защите ЛВС и базы данных, программные и аппаратные средства защиты, базовую политику безопасности.