Файл: Назначение и структура системы защиты информации коммерческого предприятия (Классификация сетевых атак и основные методы защиты от них).pdf
Добавлен: 05.04.2023
Просмотров: 81
Скачиваний: 1
СОДЕРЖАНИЕ
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОММЕРЧЕСКОГО ПРЕДПРИЯТИЯ
1.1 Принцип многоуровневой защиты в построении архитектур информационной безопасности
1.2 Классификация сетевых атак и основные методы защиты от них
ГЛАВА 2. АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ
2.1 Краткая характеристика предприятия
2.2 Бизнес-процессы верхнего уровня рассматриваемого предприятия
2.3 Основные этапы построения систем защиты информации
2.4 Конфиденциальная информация предприятия
Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.
Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.
ГЛАВА 2. АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ
2.1 Краткая характеристика предприятия
НПО «Ассоциация К» — холдинговая компания, состоящая из группы научно-производственных предприятий различного профиля деятельности, но объединенных единой целью — разработкой, производством и продвижением на рынок огнезащиты высококачественных продукции и услуг для обеспечения пожарной безопасности зданий и сооружений промышленного и гражданского назначения и защиты людей от влияния вредных факторов техногенного характера.
Профили деятельности:
- организационно-методическое и научно-техническое сопровождение производственной деятельности подведомственных предприятий; их информационное и юридическое обеспечение, подбор и подготовка кадров, материально-техническое обеспечение, предоставление транспортных услуг;
- проектирование схем и систем противопожарной защиты, пассивных и активных средств пожаротушения, обеспечивающих пожарную безопасность зданий, сооружений; разработка новой продукции и услуг, проектов огнезащиты;
- производство и продажа противопожарных изделий, оборудования, составов, красок и пропиток;
- производство работ по повышению огнестойкости металлических, железобетонных и деревянных конструкций, электрических кабелей, воздуховодов, каналов дымоудаления, ковровых изделий и др., а также работ по монтажу пожарно-технических изделий и оборудований, систем пожарной и охранной сигнализации, установок пожаротушения и сервисному обслуживанию, проведению мониторинга смонтированного оборудования, как собственного, так и других фирм;
- проектирование, разработка, изготовление противопожарных преград: противопожарных дверей, остекленных перегородок, окон, ворот и другого оборудования.
2.2 Бизнес-процессы верхнего уровня рассматриваемого предприятия
Ниже перечислены процессы верхнего уровня НПО «Ассоциация К».
Процессы управления:
- управление ресурсами;
- процессы менеджмента качества.
Основные процессы:
- прохождение заказа;
- проектирование и разработка;
- управление производством;
- контроль;
- поставка и сервис.
Обеспечивающие процессы:
- управление персоналом;
- техническое обслуживание оборудования и средств механизации;
- закупки;
- управление контрольно-измерительными средствами.
Управление процессами осуществляется в направлении наибольшего удовлетворения потребителей как внешних, так и внутренних, поэтому производится мониторинг и оценка удовлетворённости потребителей, что является основой для улучшения (совершенствования) бизнес-процессов.
На рисунке 2.1 изображена диаграмма модели процессов холдинга согласно стандарту ГОСТ ISO 9001-2015.
Рис. 2.1 - Модель процессов НПО «Ассоциация К» согласно ГОСТ ISO 9001-2015
2.3 Основные этапы построения систем защиты информации
Для достижения цели повышения информационной безопасности на рассматриваемом предприятии, необходимо полностью или частично следовать нижеописанным этапам построения защищенных систем.
- Выявление конфиденциальной информации, которую необходимо защищать, а также источников угроз (частных лиц и организаций), которых эти сведения могут интересовать.
- Выявление возможных точек нападения.
- Анализ уязвимостей (каналы утечки и НСД, вероятность реализации угроз, модель действий нарушителя, анализ и оценка рисков).
- Выбор контрмер, обеспечивающих информационную безопасность.
- Проверка системы защиты информации (оценка эффективности, тестирование).
- Составление плана защиты информации.
- Реализация плана защиты информации.
2.4 Конфиденциальная информация предприятия
Согласно действующему законодательству РФ организация — владелец информации вправе сама определять перечень отнесения тех или иных сведений к конфиденциальной информации. ФЗ «Об информации, информационных технологиях и защите информации» определяет лишь понятие «конфиденциальности». «Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Эта информация имеет действительную или потенциальную коммерческую ценность для предприятия в силу недоступности третьим лицам.
Перечень конфиденциальных сведений базируется на основных бизнес-процессах компании.
- Данные о потребностях организации в персонале, составе и численности работников, уровне их квалификации, опыте работы.
- Учебные пособия входящего в состав холдинга учебного центра по пожарной безопасности.
- Информация о наличии и стоимости готовой продукции (остатки на складах, в цехе, в незавершенном производстве, прайс-листы и др.).
- Информация об объемах работ, поставках, сроках исполнения по договорам.
- Клиентская база.
- Ценовая политика и порядок расчетов.
- Проектная, конструкторская, сопроводительная документация.
- Хранившаяся в базах данных информация о потенциальных или действительных заказах, коммерческих предложениях, договорах, проектах и др.
- Полученная от клиентов информация о качестве выполненных работ и поставленной продукции, рекламации и другие претензии и замечания.
- Проекты схем и систем противопожарной защиты, пассивных и активных средств пожаротушения, обеспечивающих пожарную безопасность зданий и сооружений.
- Разработки новых и модифицированных видов огнезащитных составов, красок, пропиток.
- Разработки новых изделий и пожарно-технического оборудования, технологий.
- Результаты архитектурного и технологического проектирования объектов.
- Технологические регламенты.
- Информация о проведенных экспертизах проектов в пожарной безопасности.
- Производственные прогнозы, планы развития и совершенствования производства.
- Нормы расходов сырья, материалов, чертежи.
- Информация о потребностях в сырье, материалах, полуфабрикатах и комплектующих изделиях.
- Наличие и состояние производственных мощностей и возможностей производства.
- Данные о поставщиках, заключенных с ними договорах и история взаимоотношений. Реестр утвержденных поставщиков.
- Реестры (информационные базы) учета договоров и коммерческих предложений, сведения об их реализации.
- Каталог комплектующих материалов (с характеристиками и модификациями), необходимый для формирования заказа на изготовление противопожарного оборудования.
- Документы контроля качества изготовляемой продукции.
- Схемы размещения сырья, материалов, готовой продукции на складах.
- Документы системы менеджмента качества (Руководство по качеству, Положения об отделах, описание бизнес-процессов, структуры холдинга и т.д.).
- Протоколы испытаний готовой продукции, данные о результатах контроля.
- Документы внутренних аудитов, перспективный план развития компании.
- Регламенты технического обслуживания и ремонта технологического оборудования.
- Нормативно-техническая документация.
- Финансовая информация: затраты на производство, себестоимость, накладные расходы, минимальные цены.
- Маркетинговые исследования (технические возможности и цены конкурентов).
- Конкурсная документация.
- Платежные документы, данные об экономических показателях.
- Приказы и поручения руководства компании, другие локальные нормативно-правовые акты.
- Регистрируемая входящая и исходящая корреспонденция.
- Бюджеты, бухгалтерские балансы, сведения об оплате труда, акты выполненных работ.
- Первичные документы бухгалтерского учета.
- Телефонные справочники.
- Сведения об используемом программном обеспечении, средствах вычислительной техники, СКЗИ, средствах защиты информации.
- Документы и сведения, содержащие данные о системе охранно-пожарной сигнализации, графике работы сотрудников охраны, схемы размещения камер видеонаблюдения, систем контроля доступа.
2.5 Территориальная структура предприятия
НПО «Ассоциация К» имеет следующую территориально-распределенную структуру (рисунок 2.2).
Рис. 2.2- Территориальная структура предприятия
- Центральный офис — расположен на принадлежащей компании территории промышленной зоны в деревне Машково Московской области и представляет собой несколько офисных зданий. Здесь же располагается химическое производство огнезащитных составов, красок и пропиток. Территория огорожена по периметру и имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Проезд автотранспорта на территорию осуществляется через автоматические ворота. Электропитание на территорию подается по двум независимым линиям, основной и резервной, переключение между которыми осуществляется в ручном режиме в течение регламентированного времени (10 минут). Подключение к Интернету организовано по двум независимым каналам связи от разных провайдеров Интернета (основной канал — оптико-волоконная линия, резервный — направленный Wi-Fi). Переключение между ними в случае аварии осуществляется автоматическим способом. Доступ в серверные комнаты, а также в некоторые закрытые помещения осуществляется с использованием электронной системы контроля доступа с последующим дублированием механическими замками. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Офисные здания и производственные цеха соединены между собой оптико-волоконной линией связи. Количество рабочих мест (компьютер/ноутбук) в офисе — около 250.
- Представительский офис в г. Москва — расположен на территории двухэтажного арендуемого здания и примыкающей к нему огороженной автомобильной стоянкой. Имеет два выхода из здания, один на городскую улицу, второй во внутренний двор со стоянкой, въезд и выезд с которой производится через автоматические ворота. Офис имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Аналогично центральному офису доступ в серверную комнату и другие критически важные объекты осуществляется с помощью системы контроля доступа. Резервного электропитания в офисе нет, но имеется в наличие дизель-генератор, время на ввод в эксплуатацию которого составляет около 1-го часа. Подключение офиса к Интернету организовано по двум каналам связи, основному — по витой паре, и резервному — по технологии ADSL. Переключение осуществляется автоматическим способом. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе — около 50.
- Региональный офис — расположен в г. Алексин Тульской области. Представляет собой огороженную территорию, на которой располагаются офисное здание и цех по производству противопожарных изделий и оборудования. Охрана и контроль доступа в офисе обеспечиваются по той же схеме, как и в центральном офисе. Есть резерв электропитания, два интернет-канала (основной — оптико-волоконный, резервный — ADSL). Серверная комната совмещена (смежное расположение) с кабинетом системного администратора, доступ в кабинет осуществляется только по электронным пропускам. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверной комнате, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе — около 70.
- Представительство в г. Санкт-Петербург — располагается в нежилых (коммерческих) помещениях многоквартирного дома. Количество рабочих мест сотрудников представительства — около 10. Офис оборудован домофоном для обеспечения контроля доступа посторонних лиц, в нерабочее время закрывается на ключ и ставится под охрану. Электропитание подается от сети многоквартирного дома, Интернет проводной по выделенной линии, резерва нет. Серверное оборудование отсутствует.
- Представительство в г. Сочи — располагается на территории офисного центра. Численный состав сотрудников представительства — 5 человек. Офис в нерабочее время закрывается на ключ, охраняется службой охраны бизнес-центра. Резерва электропитания и Интернета нет. Серверное оборудование отсутствует.
- Филиалы в районах расположения объектов строительства. Представляют собой арендованные помещения или строительные «вагончики» с числом сотрудников от 1 до 5. Как правило, обеспечиваются мобильным интернетом, но может присутствовать и проводное подключение к Интернету (со статическим IP-адресом) для обеспечения IP-телефонией и программным VPN-туннелем с центральным офисом.
Весь информационный обмен между территориальными структурами холдинга производится через глобальные сети посредством защищенных VPN-туннелей, обеспечивающих инкапсуляцию, проверку подлинности и шифрование данных. Помимо этого в каждом подразделение развернута аналоговая телефония (количество линий зависит от размера филиала), обеспечивающая резервную телефонную связь между ними в случае возникновения проблем с Интернетом.
ГЛАВА 3. РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ПЕРЕДАЧИ ДАННЫХ
- Необходимо развернуть межсетевые экраны во всех офисах и подразделениях компании, где они еще не развернуты, а также регулярно проверять их работу. Согласно описанной выше инфраструктуре рассматриваемого предприятия допускается организация локальных сетей без сетевого экрана, что повышает риск нарушения безопасности данных. Следует избегать таких топологий и стараться размещать в филиалах как минимум экраны уровня «малого бизнеса», такие как D-Link NetDefend UTM Firewall.
- Желательно развернуть межсетевые экраны для конкретных серверных ресурсов внутри сети и обеспечить фильтрацию трафика для предотвращения несанкционированных подключений. В настоящий момент в корпоративной сети межсетевые экраны размещаются только по периметру.
- Необходимо выделить публичные ресурсы в DMZ-зону и ограничить к ней доступ из общей сети. Для рассматриваемого предприятия этими ресурсами могу служить почтовый и терминальный сервер, а также сервер IP-телефонии.
- Необходимо установить антивирусное программное обеспечение на все серверы и настольные компьютеры предприятия. В настоящий момент на почтовом сервере, шлюзе доступа, файловом сервере и сервере резервного копирования нет антивирусного ПО. Для этих серверов на операционной системе CentOS можно использовать, например, Clam AntiVirus (ClamAV) — свободно распространяемый антивирус, работающий в UNIX-подобных операционных системах. Также нужно регулярно обновлять сигнатуры вирусов и настроить централизованное управление.
- Рекомендуется рассмотреть возможность развертывания многофакторной проверки подлинности для VPN-соединений. В настоящий момент используется доменная авторизация.
- Необходимо обеспечить полную сегментацию сети посредством технологии VLAN. В рассматриваемой инфраструктуре VLAN не используется, хотя большая часть сетевого оборудования (производителя HP) эту функцию поддерживает. Необходимо выделить в отдельные VLAN-ы схожие ресурсы (серверные и другие), также целесообразно использовать сегментацию по подразделениям.
- Необходимо рассмотреть возможность развертывания сетевых и узловых систем обнаружения вторжений (IDS) для определения и уведомления об атаках в корпоративной сети. Основная проблема заключается в том, что такие системы, как правило, слишком дороги и требуют более детальной проработки экономической целесообразности их применения, соотнося стоимость внедрения с возможными последствиями ущерба. Однако, можно попробовать использовать свободно распространяемые IDS/IPS. Примером такой системы может служить достаточно известная система Snort. Следует учитывать тот факт, что для развертывания и анализа полученной информации такой системы потребуются дополнительные компетенции.
- Рекомендуется отключить широковещательную рассылку SSID в беспроводной сети (не отключено), проводить регулярную смену паролей и использовать стойкие алгоритмы шифрования (производится). Желательно рассмотреть возможность использования VPN и в беспроводной сети.
- Для административных пользователей желательно рассмотреть возможность внедрения многофакторной проверки подлинности помимо использования сложного пароля.
- Для удаленных пользователей сети необходимо рассмотреть возможность внедрения многофакторной проверки подлинности помимо использования сложного пароля и предоставлять удаленный доступ только тем сотрудникам, которым он реально необходим.
- Рекомендуется регулярно проводить аудит удаленных пользователей на предмет актуальных обновлений своих систем. В настоящий момент данная процедура не регламентирована.
- Для создания безопасных рабочих станций рекомендуется создать уникальный образ для каждого типа рабочих станций. Следует регулярно следить за актуализацией этих образов.
- Необходимо рассмотреть возможность установки персональных межсетевых экранов на рабочие станции пользователей. В настоящий момент такие экраны развернуты только на некоторых компьютерах сети.
- Рекомендуется использовать программное обеспечение шифрования данных на диске для рабочих станций пользователей. В рассматриваемой сети целесообразно выделять ряд наиболее критичных с точки зрения безопасности рабочих станций и установить там данное программное обеспечение. Такими рабочими станциями могут быть, например, компьютеры научно-исследовательской лаборатории.
- Рекомендуется рассмотреть возможность отказа от использования систем удаленного наблюдения и контроля.
- Необходимо обеспечить размещение сетевого оборудования в закрытых шкафах/стойках. В настоящий момент оборудование уровня доступа располагается на этажах в открытом доступе. Для выполнения этого пункта достаточно в местах размещения произвести монтаж закрытых шкафов с доступом только для ИТ-персонала.
- Рекомендуется использовать средства обеспечения физической безопасности для персональных компьютеров. Для переносных компьютеров использовать дополнительные кабельные замки.
- Для серверов, расположенных в серверной комнате также рекомендуется использовать запираемые шкафы или стойки. Это позволит уменьшить риск несанкционированного использования.