Файл: Новиков Сергей Николаевич Новосибирск 2023 техническое задание.docx

Подключение к удалённым офисам компании осуществляется через высокоскоростное подключение к сети Internet c использованием технологии VPN (Virtual Private Network - виртуальная частная сеть), что позволяет организовать защищённый канал связи, обеспечивающий конфиденциальность и целостность данных.

Высокоскоростной выход в интернет всех офисов организации обеспечивается провайдерами с использованием подключения типа GPON (Gigabit passive optical network – пассивная гигабитная оптическая сеть).

1. Информационная безопасность на предприятии

Специализация НПО «Энергия» в области проектирования, монтажа, и технического обслуживания предполагает высокий уровень мер по предотвращению разглашения и утечек конфиденциальной информации.

В целях обеспечения экономической безопасности организации, разработки, управления и координации использования ресурсов обеспечения информационной безопасности, приказом генерального директора НПО «Энергия» в штате сотрудников общего отдела, была создана служба специалистов по обеспечению информационной безопасности, а также сформирован и принят в работу нормативный документ «Положение о коммерческой тайне и конфиденциальной информации» (регламент политики безопасности организации).

Назначение и область применения «Положения о коммерческой тайне и конфиденциальной информации» - настоящие положение описывает процесс защиты коммерческой тайны и конфиденциальной информации. Устанавливает требования к процессу работы со сведениями, составляющими коммерческую тайну, режим конфиденциальной информации, меры и условия защиты таких сведений, а также меры ответственности, применяемые за нарушение требований, установленных настоящим положением. Настоящие положение обязательно к применению всеми работниками предприятия.

Регламентирует положение - уровни доступа и охраны коммерческой тайны и конфиденциальной информации, порядок отнесения сведений к коммерческой тайне и конфиденциальной информации, а также способы защиты охраняемой информации:

• 
  внутренние (сотрудники организации) и внешние(контрагенты) мероприятия по обеспечению защиты информации;
  
• 
  -организационные меры по защите информации (назначение сотрудников ответственных за контроль и обеспечение данного положения);
  
• 
  порядок хранения информации;
  
• 
  психологические способы защиты информации (разъяснительные работы с персоналом, формирование организационной культуры предприятия направленной на выполнение правил трудового распорядка и пресечения бесконтрольной передачи информации;
  
• 
  технические способы защиты информации.
  

---

2. Комплекс технических мер

Для организации технических способов информационной защиты на предприятии предпринят следующий комплекс мер:

1. 
   Во всех подразделения компании установлены физические средства защиты информации, к которым относятся:
   

• 
  пропускные пункты, ограничивающие доступ посторонних лиц, работающие по заданному протоколу доступа (электромеханические и электромагнитные замки, считыватели бесконтактных карт, механические дверные доводчики);
  
• 
  система IP видеонаблюдения и видео фиксации;
  
• 
  система сигнализации взлома и несанкционированного доступа (магнито-контактные, инфракрасные, объёмные-ультразвуковые извещатели);
  
• 
  круглосуточная работоспособность серверного и сетевого оборудования обеспечивается применением системы бесперебойного питания;
  
• 
  система управления и контроля микроклимата серверного помещения;
  
• 
  система автоматического мониторинга и контроля коммуникационного и серверного оборудования с оповещением ответственных сотрудников.
  

9. 
   Применены базовые средства защиты информации:
   

• 
  на всех серверах и рабочих станциях организации установлено специализированное программное обеспечение для обнаружения компьютерных вирусов и борьбы с ними, с регулярным обновление базы данных сигнатур вирусов через собственный Web-сервер;
  
• 
  на сервере корпоративной почты функционирует программа фильтрации нежелательной почты (спама);
  
• 
  основные сетевые устройства - маршрутизаторы, работают согласно правилам и таблицам маршрутизации заданными администратором
  
• 
  для фильтрации сетевого трафика применяются программно-аппаратные межсетевые экраны (Firewall);
  
• 
  все права доступа к сетевым ресурсам организации разграничены согласно правилам, заданным администратором;
  
• 
  для использования программных продуктов автоматизации бизнес-процессов требуется обязательная аутентификация с занесением данных в журнал.
  

10. 
    Для объединения локальных сетей удалённых подразделений организации и головного офиса используется зашифрованный VPN канал.
    
11. 
    Реализована система резервного копирования и аварийного восстановления данных.
    
12. 
    Автоматический мониторинг и диагностика состояния системы позволяет заблаговременно выявить уязвимые места в системе безопасности и предпринять меры по их устранению и совершенствованию системы.
    

---

Система информационной безопасности в организации строится на комплексном применении средств защиты (т.е. по нескольким направлениям), а это значительно уменьшает вероятность возникновения угроз и утечек.

По данным отчёта финансово-экономического отдела предприятия, система информационной защиты является экономически целесообразной (отчёт подготовлен совместно с сотрудниками отдела IT и службы информационной безопасности).

3. Комплекс мер по созданию системы ИБ ЛВС компании

1. Постановка задачи

В ходе выполнения проекта и анализе всей инфраструктуры предприятия было выявлено что в целом система безопасности в том числе, и информационная построены достаточно хорошо и способны отразить большинство существующих и перспективных угроз ИБ.

Однако сфера ИТ развивается стремительно, каждый день появляются новые угрозы, вирусы, взломы, обнаружены уязвимости что может привести к возможным утечкам.

С целью усиления ИБ предприятия НПО «Энергия» планируется произвести комплексную модернизацию сетей и системы ИБ, построить дополнительный рубеж защиты и провести комплекс мер по повышению защищенности предприятия в целом.

Планируемый комплекс мер состоит из следующих задач:

• 
  внедрение системы обнаружения вторжения;
  
• 
  внедрение системы аутентификации сотрудников и доступа
  
• 
  внедрения системы электронной подписи
  
• 
  программная настройка маршрутизаторов Микротик.
  

Разработанный комплекс мер позволит повысить ИБ на предприятии в целом.

2. Внедрение системы обнаружения вторжений

Так как в компании НПО «Энергия» уже развернута система «Комрад» от «НПО «Эшелон», то логично было бы дооснастить сеть решением обнаружения вторжения от этого же производителя.

Рубикон - А, разработки АО «НПО «Эшелон», https://npo-echelon.ru/about/

Данный выбор обусловлен рядом определяющих факторов:

• 
  демократичная стоимость продукта (возможны скидки);
  
• 
  постоянное совершенствование и обновление комплекса, продукт всегда находится в актуальном состоянии и имеет широкие эвристические способности;
  
• 
  широкий функционал;
  
• 
  наличие сертификатов безопасности ФСБ, МО и ФСК;
  
• 
  грамотная техподдержка.
  

Выбор в пользу программно-аппаратного комплекса основывается на том что, информационная сеть филиала как правило является автономной системой и имеет выход во внешнюю сеть через единый шлюз. Таким образом логичнее защищать ядро сети, мониторит весь трафик, проходящий через шлюз и контролировать доступ на нем. К тому же использование программно-аппаратного комплекса позволяет добиться производительности сети в целом.

---

Использование детектора обнаружения вторжения на каждом ПК и сервере влечет большие сложности так как требует большой штат специалистов безопасников, крупные капитальные вложения (так как каждая лицензия стоит от 200 тыс руб. как например система ViPNet IDS) и в свою очередь дополнительно расходует производительный ресурс каждого ПК. Учитывая, что рабочие ПК и офисные терминалы как правило слабо производительны то дополнительная нагрузка на их систему отрицательно скажется на производительности сотрудников и компании в целом.

Для развертывания системы обнаружения вторжения выбрана система Рубикон А, внешний вид которой представлен на рисунке 3.


Рисунок 3 – Программно - аппаратная система Рубикон-А
Комплекс «Рубикон» выполняет функции маршрутизатора, межсетевого экрана и системы обнаружения вторжений. Предназначен для использования в системах ГИС, ИСПДН, АСУ ТП до 1 класса включительно и для защиты информации, содержащей сведения, составляющие государственную тайну.

«Рубикон» на сегодняшний день является единственным межсетевым экраном типа «А» второго класса защиты, сертифицированным ФСТЭК России по новым требованиям (Информационное сообщение «Об утверждении Требований к межсетевым экранам» от 28 апреля 2016 г. № 240/24/1986)

«Рубикон» является программно-аппаратным комплексом, что упрощает его внедрение, эксплуатацию и сопровождение.

Сертификат ФСТЭК России №2574 (действует до 17.02.2018) подтверждает соответствие комплекса «Рубикон» следующим требованиям ФСТЭК России:

• 
  «Требования к межсетевым экранам» (ФСТЭК России, 2016) по 2-му классу защиты и «Профиль защиты межсетевого экрана типа «А» второго класса защиты» ИТ.МЭ.А2.ПЗ;
  
• 
  «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011) по 2-му классу защиты и «Профиль защиты систем обнаружения вторжений уровня сети второго класса защиты» ИТ.СОВ.С2.ПЗ.
  

Расчет общей стоимости для внедрения:

Стоимость системы с учетом внедрения в полной комплектации: 211 500 руб (май 2020).

Задействуется: одна система, устанавливаемая в паре с пограничным маршрутизатором Микротик.

Данная система оптимально подходит для решения задач проекта как с точки зрения технических показателей, так и с точки зрения экономических соображений.

---

3. Проектирование системы аутентификации сотрудников и доступа

Для того чтобы надежно защитить возможные утечки информации и ограничить доступ к ПК и входу в служебные помещения в данном проекте планируется внедрить смарт карты, позволяющие осуществлять пропускной режим, аутентификацию сотрудников при работе с ПК и вести учет рабочего времени каждого сотрудника НПО «Энергия» во время выполнения должностных обязанностей.

Сотрудники работают с критически важными данными, осуществляют финансовые, деловые и рабочие операции, подписывают электронные документы. Для таких сотрудников необходимо иметь единое средство для соблюдения внутрикорпоративных стандартов по информационной безопасности, законодательных требований по электронной подписи, а также требований по доступу в различные категоризированные помещения.

При поступлении на работу каждому сотруднику выдается Смарт карта под личную ответственность. Данная карта чипирована и при контакте со считывающим устройством ведет полное логирование действий пользователя.

Данную систему планируется развернуть во всех отделениях НПО «Энергия» для контроля за действиями сотрудников и учета их рабочего времени.

Проведя аналитический обзор принято решение остановится на продукте Аладин. В данном проекте в качестве аутентификации планируется задействовать электронное удостоверение Аладдин JaСarta.

Электронное удостоверение JaСarta – это универсальная смарт-карта, объединяющая в себе функциональность нескольких карт и пропусков:

• 
  пропуск на территорию и в помещения НПО «Энергия»;
  
• 
  средство доступа в информационные системы компании;
  
• 
  персональное средстве ЭП;
  
• 
  платёжная и зарплатная карта.
  

Согласно выбранной системе смарт карт, в офисах НПО «Энергия» организовано внедрение системы аутентификации и контроля доступа за сотрудниками и проводимыми операциями. Разработанная схема организации, поясняющая работу JaCart представлена на рисунке 4.


Рисунок 4 – Схема организации системы аутентификации


Электронное удостоверение решает следующие задачи:

• 
  повышение уровня безопасности (в том числе при доступе к строго конфиденциальной информации);
  
• 
  юридическая значимость электронного документооборота;
  
• 
  снижение стоимости систем безопасности;
  
• 
  удобство в использовании и управлении картами;
  
• 
  соответствие требованиям законодательства.
  

---