Файл: ЗАЩИТА СЕТЕВОЙ ИНФРАСТРУКТУРЫ ПРЕДПРИЯТИЯ ( Анализ нормативных требований для защищенности сетевой инфраструктуры предприятия ).pdf

ВВЕДЕНИЕ

На сегодняшнее время информация является одним из основных ресурсов каждой страны.

Нарастающее соперничество около информационного ресурса, состязание за достижение превосходства в области информации начинает занимать очень весомое место в геополитическом соперничестве наиболее развитых стран планеты. В новейшем историческом этапе, когда экстенсивный рост за счет получения новых ресурсов методом силового овладения территориями и всеми богатствами соседних стран оказались неактуальными и малоэффективными, поднялся вопрос о нахождении новых методов геополитической борьбы в сфере информации.

Стает ясно, что глобализация сферы информации эффективной национальной системы обеспечения безопасности информации становится очень влиятельным фактором в политике любого субъекта геополитической борьбы. И, наоборот, неэффективная система безопасности информации становится фактором, который может привести к полномасштабным катастрофам, последствия этих катастроф могут вызывать неорганизованность управления государствами и обрушение финансовых систем стран.

Основной идеей защиты информации как общественного явления является установление и реализация организационных, морально-этических и нормативно правовых взаимоотношений между людьми, которые обеспечивают сбалансирование интересов человека, государства и общественности в сфере информации.

Суть безопасности информации многие специалисты рассматривают как исключение нанесения вреда защищаемому объекту, его работе или свойствам. В главном документе в сфере защиты информации – Доктрине информационной безопасности российской федерации – под безопасностью информации «понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».

Объектом исследования в нашей работе выступает среднее предприятие, предметом исследования - процесс организации защиты сетевой инфраструктуры предприятия.

Целью данной работы является разработка мер и средств для защиты сетевой инфраструктуры предприятия и реализация на конкретном примере.

Для достижения заданной цели в работе необходимо выполнить следующие задачи:

- провести анализ нормативных документов и требований, которые они предъявляют до организации защиты сетевой инфраструктуры предприятий;

- рассмотреть аспекты политики безопасности предприятия и основные организационные меры для защиты его сетевой инфраструктуры;

- провести теоретический обзор основных аспектов в анализе рисков и уязвимостей предприятия;

- навести практический пример реализации защиты сетевой инфраструктуры предприятия и выбора административно-технических мер для него.

При написании работы были применены такие методы научного исследования, как изучение научной литературы по теме исследования, нормативно-правовой базы, аналитический и сравнительный методы.

Глава 1. Теоретические и нормативные требования по защите сетевой инфраструктуры предприятия

1.1 Анализ нормативных требований для защищенности сетевой инфраструктуры предприятия

Правовые отношения субъектов в сфере информации определяют разными подзаконными, правовыми и нормативными актами. Для каждого из них определена различный уровень приоритетности выполнения.

Из числа документов, которые составляют нормативно правовую базу соблюдения безопасности информации выделяют такие документы, которые формируют правовое поле взаимоотношений субъектов и документы, которые устанавливают комплекс, требований, норм и правил к составляющим информационных систем.

Документы, которые ориентированы на правовое обеспечение используются для определения обязанностей, статуса и прав, пределов ответственности субъектов при обеспечении безопасности информации.

Документы, которые направлены на нормативно-техническое обеспечение используются для определения уровней обеспечения безопасности информации и разработке определенных технических требований к составляющим информационных систем.

Нормативно-правовая база включает в себя такие группы документов, которые учтены при соблюдении безопасности информации:

1. Международное правовое обеспечение, составленное международными нормативными актами, которые ратифицированы РФ, и международные договоры, инициированные РФ.
2. Международное нормативно-техническое обеспечение, которое составляют международные Стандарты, Рекомендации, Регламенты в информационной сфере и сфере информационной безопасности.
3. Национальное правовое обеспечение, которое составляют нормативные акты Российской Федерации (Конституция РФ, Федеральные законы, Указы Президента РФ), подзаконные акты (Постановления и Распоряжения Правительства РФ, нормативные акты уполномоченных федеральных органов государственной власти), а также нормативные и подзаконные акты субъектов Российской Федерации.
4. Национальное нормативно-техническое обеспечение, которое составляют действующие в Российской Федерации технические регламенты, стандарты (государственные, отраслевые), руководящие документы, а также подзаконные акты уполномоченных федеральных органов государственной власти в основном нормативно-технического характера.

Документы I группы (международное правовое обеспечение) имеют преимущественное право при обеспечении информационной безопасности в сетях связи третьего поколения, если иного не предусмотрено законодательством Российской Федерации.

В этих документах затрагивается ряд важных и характерных, также, для российского национального законодательства вопросов, таких, как:

• общие цели безопасности;
• требования к системе безопасности;
• требования, связанные с управлением доступом;
• требования управления безопасностью.
• идентификация ситуации и вовлеченных сторон;
• оценка угроз и рисков, связанных с каждой угрозой,
• определение механизмов обнаружения и противодействия потенциальным угрозам и восстановления нормального функционирования информационной системы;
• механизмы аутентификации: с симметричным ключом, с асимметричным ключом, с "нулевым знанием";
• механизмы анонимности: временные идентификаторы с симметричным ключом; секретность подлинности с использованием асимметричного ключа; анонимный доступ;
• механизмы конфиденциальности: блочное шифрование, потоковое шифрование;
• не криптографические механизмы безопасности: верификация пользователя, регистрация пользователя, подсчет вызовов;
• механизмы обеспечения целостности: шифрование с добавлением избыточности, симметричный ключ, асимметричный ключ;
• механизмы неотказуемости: цифровая подпись;
• механизмы управления безопасностью: распределение ключей, управление версиями;
• и многие другие.

Национальное правовое обеспечение составляют конституционные и федеральные законы Российской Федерации, указы Президента Российской Федерации, Постановления и Распоряжения Правительства РФ, распоряжения и приказы федеральных министерств (Мининформсвязи России, Минпромэнерго России), служб (ФСТЭК России, ФСБ России, Россвязьнадзор) и агентств (Росинформтехнологии, Россвязь) по вопросам обеспечения безопасности информации, региональные нормативные акты субъектов Российской федерации в области формирования, использования и защиты информационных ресурсов. Документы этой группы носят обязательный характер для всех участников правоотношений на территории Российской Федерации, независимо от их национальной принадлежности и имеют наивысший приоритет при определении требований по обеспечению безопасности в них. Исключение составляют нормативные акты субъектов РФ, которые носят локальный характер и действуют в пределах границ субъекта Российской Федерации.

Национальное нормативно-техническое обеспечение составляют Технические регламенты, разработанные в соответствии с Федеральным законом «О техническом регулировании», действующие государственные (Ростехрегулирование), в том числе и разработанных на основе международных стандартов, ведомственные стандарты, руководящие документы и технические нормы уполномоченных федеральных органов государственной власти (ФСТЭК России, ФСБ России, Россвязьнадзор, Ростехрегулирование), направленные на техническую поддержку решения проблемы безопасности информации. Документы этой группы, как правило носят обязательный характер при организации защиты информации, составляющей государственную тайну и рекомендательный характер при организации защиты других видов информации.

Одной из основных целей обеспечения информационной безопасности предприятия является необходимость предотвращения или снижение уровня ущерба, интересы которых затрагиваются при проведении атак на объекты защиты, материального, морального и иного случайного или преднамеренного ущерба из-за нарушения конфиденциальности, целостности, достоверности, подконтрольности и доступности защищаемой информации.

К объектам защиты относятся информационные ресурсы, обрабатываемые в рамках инфраструктуры сети, а также информационные ресурсы самой инфраструктуры сети, влияющие на эффективность обеспечения информационной безопасности.

Основными задачами обеспечения информационной безопасности на предприятии являются:

• формирование единой политики в области обеспечения информационной безопасности информационной системы при ее создании, развитии и эксплуатации;
• выявление и прогнозирование внутренних и внешних угроз информационной безопасности, разработка и осуществление комплекса адекватных и экономически обоснованных мер по их предупреждению и нейтрализации.

Основными направлениями обеспечения информационной безопасности на предприятии являются:

• исключение или существенное затруднение несанкционированного доступа к объектам сети, к обрабатываемой или хранящейся в технических средствах информации;
• предотвращение перехвата информации, передаваемой по каналам связи с помощью технических средств;
• предотвращение утечки информации по техническим каналам, возникающей при эксплуатации технических средств, ее обработки, хранении и передачи;
• предотвращение бесконтрольного развития эпидемий самораспространяющегося вредоносного кода (мобильных или компьютерных червей);
• ограничение и контроль выхода конфиденциальной информации за пределы сети;
• предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе информационной системы.

Система защиты информации должна строиться в соответствии с результатами анализа угроз, обусловленных наличием потенциального нарушителя, и уязвимостей объектов защиты, на которые эти угрозы распространяются.

Угрозами информационной безопасности являются нарушения конфиденциальности, целостности, достоверности, подконтрольности и доступности информационных ресурсов, вследствие воздействия нарушителя на информационную сферу сети, включающую в себя:

• информационные ресурсы (передаваемая по сети информация пользователей, управляющая информация, базы данных и т.д.);
• информационную инфраструктуру (программное обеспечение, интерфейсы, протоколы управления);
• информационные технологии, технические средства и архитектуру построения, реализующие информационные процессы.

1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации

Основными организационными мерами является усовершенствование политик безопасности, разработкой документов, конкретизирующих меры соблюдения безопасности информации по определенным угрозам и вопросам.

Политика безопасности информации – очень важный документ в системе управления информационной безопасностью (СУИБД), который является одним из ключевых механизмов защиты информации.

Соответствуя ISO 17799 документы политики безопасности информации должны говорить о лояльности руководства и регулировать подход к управлению безопасностью информации, давать определение понятию информационной безопасности, ее основных целях и областях действий, включать основные положения, определяющие цели и механизмы контроля, определяя структуру оценки и управления рисками и т.д.

Соответственно ISO 27001 политика безопасности информации – это составляющее большего документа – политики системы управления информационной безопасностью, которая также включает в себя основные положения, определяющие цели системы управления информационной безопасностью и устанавливает общее развитие и принцип работы в отношении безопасности информации, учитывая все требования бизнеса, нормативной или законодательной баз, условия контрактов, устанавливает требования для оценки рисков и многое другое.