Файл: Описание системы безопасности Характеристика деятельности организации.pdf
Добавлен: 09.01.2024
Просмотров: 22387
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Изм. Лист
№ докум.
Подпись Дата
Лист
24
КП – 09.03.02 – 11 – 15 – ПЗ
Контроль доступа
Основными пользователями информации являются сотрудники организации. Уровень полномочий для каждого свой и зависит от должности сотрудника. Каждый сотрудник может использовать только ту информацию, которая ему положена.
Для каждого сотрудника создается учетная запись, которая обладает своими правами. Одновременное использование одной общей учетной записи разными пользователями запрещено.
Для сотрудников отдела по управлению безопасностью и защиты информации создается учетная запись администратора. Из-за того, что она имеет безграничный круг возможностей, за данными учетными записями ведется постоянный контроль.
Политика допустимого использования информационных ресурсов
На персональных компьютерах
ООО
«ВЕГАС» допускается использование только лицензированного ПО, утвержденного в перечне разрешенного программного обеспечения организации.
Установку и настройку ПО проводит отдел по управлению безопасностью и защиты информации.
Решения о приобретении и установке стороннего программного обеспечения, должно приниматься руководителем отдела, после чего он лично согласовывает это с руководителем отдела по управлению безопасностью и защиты информации.
Документы, подтверждающие покупку лицензированного программного обеспечения, хранятся в планово-экономическом отделе до окончания срока действия лицензии.
Запрещается удаление, изменение, обновление программной конфигурации любым пользователем, кроме администратора.
При возникновении подозрения на наличие компьютерного вируса сотрудник должен обратиться к администратору. После чего администратор должен провести внеплановую проверку антивирусным ПО.
Изм. Лист
№ докум.
Подпись Дата
Лист
25
КП – 09.03.02 – 11 – 15 – ПЗ
Антивирусная политика
Антивирусная политика применяется ко всем компьютерам сети компании. Источниками вирусов могут быть e-mail, Интернет-сайты со скрытыми вредоносными активными элементами, носители информации
(флоппи-диски, CD-диски, flash-диски и пр.), открытые для общего доступа папки и файлы и т.д.
Защита от внешних угроз и вирусов имеет несколько уровней:
антивирусный контроль на почтовом сервере провайдера;
защита от внешних вторжений, вирусов с Интернет-сайтов и трафика во вне с помощью ISA-серверов;
антивирусный контроль файлов и почтовых вложений с помощью антивирусных программ на серверах и рабочих станциях пользователей;
антишпионские сканеры (дополнительно);
персональные брандмауэры (дополнительно).
На всех компьютерах сети должно быть установлено соответствующее стандартам компании антивирусное программное обеспечение, а в некоторых случаях в сочетании с персональным брандмауэром.
Антивирус «патрулирует» жесткий диск и память компьютера на проникновение вируса, а брандмауэр контролирует данные, попадающие и покидающие «внутренний периметр» через Интернет-соединение.
Это программное обеспечение должно выполняться постоянно или настроено для регулярного исполнения по расписанию. Кроме того, антивирусные базы должны обновляться в срок (автоматически или вручную).
Инфицированные вирусами компьютеры должны удаляться из сети до полного уничтожения вирусов.
Все сотрудники, допущенные к работе с информационно- технологическими ресурсами компании, должны владеть навыками работы с антивирусными инструментами.
Изм. Лист
№ докум.
Подпись Дата
Лист
26
КП – 09.03.02 – 11 – 15 – ПЗ
Любая деятельность по намеренному созданию и/или распространению вредоносных программ внутри сети компании (вирусы, черви, трояны, почтовые бомбы и пр.) запрещена.
К любому сотруднику, замеченному в нарушении этой политики, могут применяться дисциплинарные взыскания, вплоть до увольнения с работы.
Приобретение, разработка и обслуживание систем
Все, поступающие в организацию, системы криптографической защиты информации должны быть учтены в соответствующем журнале учета.
Все ключи должны быть защищены от изменения, утери и уничтожения.
Секретные и закрытые ключи должны быть защищены от несанкционированного раскрытия.
Криптографические системы и методы следует использовать для защиты конфиденциальной информации, когда другие средства не обеспечивают адекватной защиты.
Изм. Лист
№ докум.
Подпись Дата
Лист
27
КП – 09.03.02 – 11 – 15 – ПЗ
Глава 3. Выбор оборудования для построения системы защиты
информации
Система защиты информации будет направлена на устранение следующих угроз:
Несанкционированный доступ;
Кража либо уничтожение ценной информации;
Взлом сетевых устройств;
Заражение сети вирусами.
Для обеспечения защиты используются средства организации, если какие- либо средства отсутствуют, то их необходимо ввести в организации.
3.1. Обоснование физических средств для построения системы
защиты информации
В организации существуют физические средства защиты. К ним относят охрану, действующие в отделении банка.
Дополнительно следует установить турникеты, которые бы работали с помощью пропусков, которые есть у сотрудников отделения банка.
Для посторонних лиц, которые пришли, чтобы совершить финансовые операции, следует использовать пропуск сотрудника отделения банка, а также вести за ним постоянный контроль.
Для посторонних лиц, которым необходимы какие-либо другие услуги, выписывать пропуск по их паспортным данным, чтобы в случае чего, иметь на этого человека всю информацию для обращения в полицию.
3.2. Обоснование программно-аппаратных средств для построения
системы защиты информации
Главным программно-аппаратным средством, которое должно использоваться в организации, является межсетевой экран.
Межсетевой экран (МЭ) – комплекс программных и/или аппаратных средств, осуществляющих контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.
Изм. Лист
№ докум.
Подпись Дата
Лист
28
КП – 09.03.02 – 11 – 15 – ПЗ
Функции, которыми должен обладать межсетевой экран согласно документу на сайте ФСТЭК:
Контролировать и фильтровать трафик;
Аутентифицировать пользователей;
Собирать и хранить статистику событий;
Взаимодействовать с другими средствами защиты информации.
Выбор межсетевого экрана состоит из множества факторов, один из которых класс защищенности. ООО «ВЕГАС» обладает классом защищенности
К1.
Для нашей организации выбор стоит между межсетевым экраном 1,2,3 и 4 классов защиты:
4-й класс защиты: применяется в информационных системах 1-го класса защищенности;
межсетевые экраны, соответствующие 3-му, 2-му и 1-му классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая государственную тайну.
Но так как отделение банка в свою очередь редко или вообще не содержит государственную тайну, то нам подойдет межсетевой экран 4 класса защиты.
Также нам необходим межсетевой экран типа A, так как он будет физических находится в серверной организации.
Тип А — межсетевые экраны уровня сети. Устанавливаются на периметре системы или между составляющими одной физически сегментированной сети.
Такие экраны бывают только программно-аппаратными.
При выборе межсетевого экрана физического типа, выбор стоит между компаниями Zyxel и Cisco. Zyxel предлагают бюджетные варианты, когда Cisco, знаменитые своей репутацией, предлагают более дорогие варианты.
Мой выбор пал на межсетевой экран Cisco ASA5516-FPWR-K9, стоимостью 164004,87 руб. Сам МЭ представлен на рисунке 3.
Изм. Лист
№ докум.
Подпись Дата
Лист
29
КП – 09.03.02 – 11 – 15 – ПЗ
Рисунок 3 – Межсетевой экран Cisco ASA5516-FPWR-K9
Cisco ASA с сервисами FirePower предлагает следующие комплексные возможности:
Создание VPN;
Контроль приложений, поддерживающий более 4000 элементов;
Обеспечение высокой эффективности предотвращения угроз, а также автоматизацию ответных мер защиты;
Фильтрация URL-адресов;
Система AMP, которая обеспечивает лучшую в отрасли эффективность обнаружения взломов. Помогает обнаружить и заблокировать вредоносные программы, которые пропустили другие уровни безопасности.
Межсетевые экраны Cisco семейства ASA 5500-X имеют высокую масштабируемость, обладают высокой скоростью работы и надежностью.
Для администраторов имеется приложение Cisco Firepower Management
Center, где они могут настраивать политику безопасности и отмечать пользователей, которые делают то или иное в сети. Также в приложении можно отслеживать как сеть меняется с течением времени.
С помощью межсетевого экрана мы выполняем сразу два требования из таблицы 8, это:
Собственно, сам межсетевой экран;
Средства мониторинга работоспособности инфраструктуры.
Изм. Лист
№ докум.
Подпись Дата
Лист
30
КП – 09.03.02 – 11 – 15 – ПЗ
Глава 4. Выбор программного обеспечения для построенной системы
защиты информации
Для организации ООО «ВЕГАС» мы будем использовать такое средство криптографической защиты как КриптоПро CSP. Программа работает в Windows и других операционных системах, а также поддерживает отечественные стандарты безопасности ГОСТ Р 34.11-2012 и ГОСТ Р 34.10-2012, что делает ее очень хорошим продуктом для нашей сети.
КриптоПро CSP относится к системам криптографической защиты информации, устанавливаемым отдельно – это значит, что СКЗИ является программой, которую можно установить на любое компьютерное устройство.
Единственный недостаток такой формы, это то, что она имеет привязку к одному рабочему месту и если мы захотим работать на еще одном компьютере, то придется покупать дополнительную лицензию.
В нашей организации планируется установить СКЗИ на компьютеры лиц, занимающих руководящие должности, так что для нас это не будет проблемой.
Можно выделить преимущества КриптоПро CSP:
Огромный опыт в создании и применении продуктов в области ИБ;
Широкая совместимость с различными программами и операционными системами;
Консультация и обучение.
На рисунке 4 представлена схема реализации криптографической защиты с помощью КриптоПро CSP.
Рисунок 4 – Схема реализации криптографической защиты
Изм. Лист
№ докум.
Подпись Дата
Лист
31
КП – 09.03.02 – 11 – 15 – ПЗ
Для защиты от утечек информации предлагается использовать DLP- систему.
DLP-система – это специализированное программное обеспечение, предназначенное для защиты компании от утечек информации.
Для организации ООО «ВЕГАС» предлагаю использовать систему Solar
Dozor, разработчиком которой является Ростелеком. Ее возможности обеспечивают контроль коммуникации сотрудников, блокировку или изменение нежелательных сообщений, выявление и мониторинг групп риска, а также ретроспективный анализ архива коммуникаций для проведения расследования.
Возможности Solar Dozor:
Защита от утечек информации;
Контроль передачи и хранения информации;
Выявление мошенничества;
Поведенческий анализ;
Управление событиями и инцидентами.
Наглядно возможности ПО представлены на рисунке 5.
Рисунок 5 – Возможности системы Solar Dozor
Изм. Лист
№ докум.
Подпись Дата
Лист
32
КП – 09.03.02 – 11 – 15 – ПЗ
Глава 5. Составление должностной инструкции
Общие положения
Для правильной работы системы информационной безопасности в организации ООО «ВЕГАС» необходимо добавить должность инженера по информационной безопасности, в обязанности которого входила бы работа с ИБ в организации.
Обязанности
Должностные обязанности инженера по информационной безопасности:
Обеспечение ИБ сети организации;
Создание и поддержка средств защиты информации;
Внедрение сторонних средств защиты информации;
Разработка правил эксплуатации вычислительной сети, определение полномочий пользователей в сети организации;
Предотвращение несанкционированного доступа к защищаемой информации;
Разработка правил работы с программным обеспечением;
Передача данных руководству организации об уязвимых местах в защите вычислительной сети;
Осуществление реализации требований законодательства по порядку и защите персональных данных.
Права
Инженер по информационной безопасности имеет право:
На рабочее место;
На предоставление работы, которое прописано в трудовом договоре;
На получение полной и достоверной информации о защищаем данных;
На повышение квалификации;
На ознакомление с любой информацией, касающейся его деятельности;
Изм. Лист
№ докум.
Подпись Дата
Лист
33
КП – 09.03.02 – 11 – 15 – ПЗ
На обращение к любым подразделениям организации для решения вопросов, связанных с его деятельностью;
Участия в разборе ситуаций, связанных с нарушением информационной безопасности ООО «ВЕГАС»;
На проведение проверок и профилактического обслуживания оборудования организации;
На требование помощи отделов в исполнении свои должностных обязанностей.
Ответственность
Инженер по информационной безопасности несет административную и уголовную ответственность в соответствии с действующим законодательством
РФ и нормативными актами, в следующих случаях:
Разглашение коммерческой тайны организации ООО «ВЕГАС»;
Неисполнение или ненадлежащее исполнение своих должностных обязанностей;
Использование знаний или сведений, полученных в связи с исполнением должностных обязанностей;
Нарушение правил техники безопасности при работе с ценными данными;
Халатность при выполнении своих должностных обязанностей, повлекших за собой раскрытие защищаемой информации.