Файл: А. В. Ялаев 2018г.pdf

Лист
34 09.03.01.2018.003.ПЗ использующего некоторый ключ, они могут получить половинки ключа и дальше действовать обычным для симметричной расшифровки образом.
1.3.5 Экранирование
Экран
–
это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.
В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует. В более общем случае экран или полупроницаемую оболочку удобно представлять себе как последовательность фильтров. Каждый из них может задержать данные, а может и сразу «перебросить» их «на другую сторону». Кроме того, допускаются передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.
Помимо функций разграничения доступа экраны осуществляют также протоколирование информационных обменов.
Обычно экран не является симметричным, для него определены понятия
«внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана –
устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и после независимо от всех прочих системных защитных средств.

Лист
35 09.03.01.2018.003.ПЗ
Выводы по разделу один:
В данном разделе определены угрозы и опасности несанкционированного доступа к информации, а также проанализированы способы и средства защиты информации в корпоративной сети.

Лист
36 09.03.01.2018.003.ПЗ
2 ЗАЩИТА ИНФОРМАЦИИ В ЛВС ООО «НГМА»
2.1 Состав информации, подверженной угрозам
Информационными ресурсами инфраструктуры
ООО
«НГМА», потенциально подверженными угрозам, являются следующие:
1. Целевая информация: коммерческая тайна ООО «НГМА»; персональные данные работников ООО «НГМА» и других физических лиц, которым становятся известны ООО «НГМА» при осуществлении своей деятельности.
2. Технологическая информация: конфигурационные данные и другая информация по технологиям, программным и техническим средствам, используемым для накопления, хранения, обработки, передачи и защиты информации; служебная информация средств защиты информации
(идентификаторы, пароли, таблицы разграничения доступа, криптографические ключи, информация журналов аудита безопасности и др.).
3. Программное обеспечение: программные информационные ресурсы информационной инфраструктуры ООО «НГМА», содержащие общее и специальное программное обеспечение, резервные копии программного обеспечения, программное обеспечение средств защиты информации.
Инфраструктура ООО «НГМА» содержит следующие информационные ресурсы: информация, относящаяся к коммерческой тайне:

заработная плата;

договоры с поставщиками и покупателями;

технологии производства. защищаемая информация (ограниченного доступа):

трудовые договора;

личные дела работников;

материалы отдела снабжения;

личные карты работников;

Лист
37 09.03.01.2018.003.ПЗ

содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,

прочие разработки и документы для внутреннего пользования; открытая информация;

информация маркетинговой деятельности фирмы;

информация на web-сайте фирмы и буклеты;

устав и учредительный документ;

информация отдела продаж;

прайс-лист продукции.
2.2 Сетевое и программное обеспечение предприятия
Локальные вычислительные сети ООО «НГМА» построены на базе стандартных сетевых решений. В состав ЛВС ООО «НГМА» входит:

серверное оборудование, расположенное в отдельной стойке (шкафу);

автоматизированные рабочие места пользователей;

общее коммутационное оборудование и структурированная кабельная система.
Обмен данными между ООО «НГМА» и налоговой службой, пенсионным фондом, сбербанком осуществляется через внешние сети. Средство защиты информации ПК «Спринтер» используется для криптографической защиты данных отдела бухгалтерского учета и отчетности при передачи отчетов в налоговую службу и пенсионный фонд, Средство защиты информации «Бикрипт
КСБ-С» используется для криптографической защиты данных отдела бухгалтерии при передачи файлов в ОАО «Сбербанк».
В ООО «НГМА» используется: сертифицированное, лицензионное и свободно распространяемое ПО.

Лист
38 09.03.01.2018.003.ПЗ
Таблица 2.1 – Сертифицированное ПО ООО «НГМА»
Наименование продукта
Количество
Microsoft Windows 7 Professional
20
Microsoft Office 2010 20
Microsoft Windows Server 2008 R2 EE
3
Таблица 2.2 – Лицензионное ПО ООО «НГМА»
№ п/п
Наименование программного средства
Тип лицензии
Количество
Срок действия
1
Правовая база данных "Консультант +"
Электронная с подпиской
2 1 год
2
Информационная система "Делопроизводство 3.0"
Box
4
Бессрочная
3 1С-Бухгалтерия 8
Box
3
Бессрочная
Следовательно, в информационной инфраструктуре ООО «НГМА» реализован многопользовательский режим обработки информации с разграничением прав доступа, который регламентируется действующим законодательством Российской Федерации, документами ООО «НГМА» и осуществляется в соответствии с должностными инструкциями.
2.3 Анализ уязвимости предприятия
2.3.1 Возможные способы реализации угроз НСД в ООО «НГМА»
При проведении анализа защищенности информации на предприятии
«НГМА», было установлено, что существует вероятность реализации следующих угроз несанкционированного доступа:

осуществление несанкционированного доступа к защищаемым активам, используя штатные средства инфраструктуры ООО «НГМА»;

Лист
39 09.03.01.2018.003.ПЗ

использование бесконтрольно оставленных штатных средств инфраструктуры ООО «НГМА» или хищение нарушителями и утрата элементов инфраструктуры (в том числе распечаток, носителей информации);

осуществление несанкционированного визуального просмотра защищаемой информации, отображаемой на средствах отображения (экранах мониторов), ознакомления с распечатываемыми документами;

действия по анализу сетевого трафика, сканированию вычислительной сети, атаки, направленные на отказ в обслуживании, выявление парольной информации, подмена доверенного объекта сети, навязывание ложного маршрута сети с использованием нештатных технических и программных средств, доступных нарушителю;

маскировка под администраторов инфраструктуры ООО «НГМА»;

компрометация (просмотр, подбор и т.п.) парольной информации на доступ к информационным ресурсам ООО «НГМА»;

осуществление перехвата управления загрузкой ОС.
Вид ресурсов, потенциально подверженных угрозе
–
целевая и технологическая информация (коммерческая информация).
Нарушаемые характеристики безопасности активов
–
конфиденциальность.
Возможные последствия реализации угрозы – несанкционированное ознакомление с защищаемой информацией.
2.3.2 Оценка актуальности угроз инфраструктуры
В таблице 2.3 представлен перечень актуальных угроз инфраструктуры
ООО «НГМА», выявленный в ходе анализа угроз несанкционированного доступа к информации.

Лист
40 09.03.01.2018.003.ПЗ
Таблица 2.3 – Перечень угроз инфраструктуры ООО «НГМА»
№
Угроза безопасности
ПДн
Степень актуальности
Меры по противодействию угрозе
Технические
Организационные
1
Кража носителей информации актуальная
Инструкция для персонала
2
Кража паролей актуальная
Инструкция пользователя, учет паролей
3
Кражи, модификации, уничтожения информации. актуальная
Настройка средств защиты, политика безопасности
Резервное копирование и инструкция пользователя
4
Несанкционированное отключение средств защиты актуальная
Настройка средств защиты
Инструкция администратора безопасности
5
Действия вредоносных программ (вирусов) актуальная
Антивирусное ПО
Инструкция по антивирусной защите
6
Недекларированные возможности ПО актуальная
Настройка средств защиты
Сертификация
7
Установка ПО не связанного с исполнением обязанностей актуальная
Настройка средств защиты, политика безопасности
Инструкция пользователя, инструкция администратора безопасности
8
Непреднамеренная модификация
(уничтожение) информации сотрудниками актуальная
Настройка средств защиты, политика безопасности
Инструкция пользователя
9
Выход из строя аппаратно- программных средств актуальная
Резервное копирование
Охрана, Инструкция для персонала
10
Сбой системы электроснабжения актуальная
Использование ИБП, резервное копирование
Охрана
11
Разглашение информации, модификация, уничтожение сотрудниками актуальная
Настройка средств защиты, политика безопасности
Инструкция для персонала, подписка о не разглашении

Лист
41 09.03.01.2018.003.ПЗ
№
Угроза безопасности
ПДн
Степень актуальности
Меры по противодействию угрозе
Технические
Организационные допущенными к ее обработке
12
Перехват в пределах контролируемой зоны актуальная
Средства криптографической защиты, физическая зашита канала
Охрана
Прожолжение таблицы 2.3
№
Угроза безопасности
ПДн
Степень актуальности
Меры по противодействию угрозе
Технические
Организационные
13
Угрозы удаленного запуска приложений. актуальная
Межсетевой экран,
Антивирусное ПО
14
Угрозы внедрения по сети вредоносного ПО актуальная
Межсетевой экран,
Антивирусное ПО
15
Угрозы утечки видовой информации актуальная
Инструкция пользователя
16 Кража ПЭВМ неактуальная
Пропускной режим, охрана, видеонаблюдение
17 Вывод из строя узлов
ПЭВМ, каналов связи неактуальная
Пропускной режим, охрана, видеонаблюдение
18
Угроза "Анализ сетевого трафика" с перехватом передаваемой из
ИСПДн и принимаемой из внешних сетей информации неактуальная
Межсетевой экран
Инструкция пользователя, инструкция администратора безопасности
Следовательно, по отношению к инфраструктуре ООО «НГМА» можно сделать следующие выводы:
1. Неактуальность кражи ПЭВМ. В здании введен круглосуточный контроль доступа в контролируемую зону, который осуществляется охраной,

Лист
42 09.03.01.2018.003.ПЗ двери, закрываются на замок, вынос компьютерный техники за пределы здания возможен только по специальным пропускам.
2. Неактуальность вывода из строя узлов ПЭВМ, каналов связи. В здании введен контроль доступа в контролируемую зону, двери закрываются на замок.
3. Неактуальность действий, направленных на перехват ПЭМИН и акустической информации. Основной объем ПДн консолидировано хранится на сервере БД, сервер БД размещен в отдельном помещении внутри контролируемой зоны,
Ввиду того, что вероятность проникновения внешних нарушителей или физического уничтожения данных минимальна
–
необходимо дорабатывать программно-аппаратный комплекс средств защиты компьютерной информации по направлениям:

обеспечить защиту сетевого периметра и выбрать межсетевой экран;

выбрать криптографические средства защиты от НСД;

определить средства обнаружения вторжений и антивируса.
2.4 Рекомендации решений по защите ИС
2.4.1 Установка межсетевого экрана
Одной из первых рекомендаций в ходе анализа защиты данных ООО
«НГМА», является установка межсетевого экрана, которая является внешней защитой от НСД.
Межсетевые экраны предназначены в первую очередь для защиты компьютерных сетей или отдельных узлов от внешних атак Межсетевой экран делает возможной фильтрацию входящего и исходящего трафика, идущего через систему. Для корпоративной сети фирмы был выбран программный межсетевой экран UserGate Proxy & Firewall 5.2 F, который является эффективной альтернативой дорогостоящим программным и аппаратным межсетевым экранам

Лист
43 09.03.01.2018.003.ПЗ и маршрутизаторам, используемым для защиты конфиденциальной информации и данных в защищенных системах.
Продукт использует комплексный подход к обеспечению безопасности локальной сети и современные методы борьбы с Интернет-угрозами, предназначен для организации безопасного межсетевого взаимодействия, учета трафика и защиты локальной сети организации от внешних угроз и является cертифицированным средством межсетевого экранирования и безопасного доступа в Интернет для защищенных систем.
Данное комплексное решение UserGate Proxy позволяет:

поддерживать передачу трафика через протоколы PPTP и L2TP для соединения VPN-сервера с VPN-клиентами локальной сети с дальнейшей публикацией сетевых ресурсов с целью удаленного использования;

определять политику доступа в Интернет и осуществлять полный контроль над использованием Интернет-трафика в компании с ведением подробной статистики;

создавать правила для контроля скорости передачи данных между локальной сетью и Интернетом с ограничением объема трафика и времени пребывания в сети для пользователей и групп;

упростить сетевое администрирование.
Сертификаты: ФСТЭК России №2076 от 19 апреля 2010 г. – программный комплекс UserGate Proxy & Firewall 5.2 F, на соответствие ЗБ и имеет оценочный уровень доверия ОУД2 для ОК, по 4 классу РД МЭ, 4 уровень – РД НДВ, может использоваться при создании АС до класса 1Г включительно.
На рисунках 2.1 – 2.3 представлены примеры функционирования UserGate
Proxy & Firewall. Стоимость продукта 6075 рублей.

Лист
44 09.03.01.2018.003.ПЗ
Рисунок 2.1 – Интерфейс администратора в UserGate Proxy & Firewall
Рисунок 2.2 – Контроль сессий в UserGate Proxy & Firewall

Лист
45 09.03.01.2018.003.ПЗ
Рисунок 2.3 – Настройка ограничений по трафику и межсетевого экранирования
2.4.2 Установка криптопровайдера в системе защиты данных
Криптографические средства защиты от НСД должны соответствовать следующим ГОСТам по криптографии:

ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;

ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования;

ГОСТ
28147-89
Системы обработки информации.
Защита криптографическая. Алгоритм криптографического преобразования.
Особый интерес представляет средство криптографической защиты информации «ViPNet CSP» (может использоваться для защиты информации в
АС до 1В и ИСПДн до 1 класса включительно), которое:

предназначено для формирования ключей шифрования и ключей электронной подписи, шифрования и имитозащиты данных;

обеспечения целостности и подлинности информации. СКЗИ «ViPNet
CSP» может использоваться в государственных и коммерческих структурах, а