Добавлен: 17.06.2023
Просмотров: 178
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1 Теоретические аспекты защиты информации
1.1 Технико-экономическая характеристика предметной области и предприятия
1.2. Оценка уязвимостей активов
ГЛАВА 2. РАЗРАБОТКА КОМПЛЕКСА МЕР ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
2.1 Комплекс организационных мер
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности
Кластер 1С (rmngr.exe) – группа рабочих процессов 1С, которые осуществляют собственно обработку данных. Сам по себе кластер ничего не обрабатывает, а осуществляет менеджмент рабочих процессов.
Рабочий процесс 1С (rphost.exe) – программа, которая обрабатывает сеанс работы пользователя.
Система 1С: Бухгалтерия 8.0 обеспечивает решение всех задач стоящих перед бухгалтерской службой.
Рис. 1.4. Программная архитектура ИС компании « Рапито»
Подготовка внутренней и внешней отчетности менеджерами по продажам и администраторами, а также необходимой сопроводительной документации в компании производится с помощью программных продуктов пакета прикладных программ Microsoft Office 2007:
Microsoft Office Word позволяет создавать и редактировать профессионально оформленные отчеты, а так же документы строгой отчетности.
Microsoft Office Excel позволяет выполнять вычисления, а также анализировать и визуализировать данные в электронных таблицах.
Microsoft Office Outlook позволяет получать и отправлять почту, работать с расписаниями, контактами и задачами, а так же вести запись своих действий.
Microsoft Office InfoPath позволяет разрабатывать и заполнять динамические формы для сбора и повторного использования данных в организации.
Microsoft Office PowerPoint позволяет готовить презентации для демонстрации, собраний и веб-страниц.
Веб-браузер Google Chrome используется всеми отделами компании для работы в интернете (поиска, работа с электронной почтой, банковских операций и чтение новостей).
Также в компании используются различные графические пакеты, такие как Adobe Photoshp, Adobe Indesign.
Для защиты от внешних угроз операционная система предприятия «Рапито» защищена лицензионным программным продуктом «Kaspersky Internet Security 2010».Данное программное обеспечение функционирует в рамках операционной системы Microsoft Windows 7 (Корпоративная версия), установленной на всех компьютерах, имеющихся в компании.
На данный момент каждый пользователь информационной системы «1С: Бухгалтерия 8.0» имеет свой логин и пароль для входа в систему. Благодаря, чему в любой момент времени можно проследить за действиями пользователей в системе, определить, кто и когда производил те или иные операции над накладными.
Результаты оценки действующей системы безопасности информации, отражают, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации (таблица 1.4).
Таблица 1.7 - Анализ выполнения задач по обеспечению информационной безопасности
|
№ п/п |
Основные задачи по обеспечению информационной безопасности |
Степень выполнения |
|
обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; |
средняя |
|
|
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; |
средняя |
|
|
организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; |
низкая |
|
|
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; |
средняя |
|
|
выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; |
средняя |
|
|
обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; |
высокая |
|
|
обеспечение охраны территории, зданий помещений, с защищаемой информацией. |
высокая |
Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. Для оценки рисков выбран метод, который предлагает использование таблицы «штрафных баллов» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 1.5).
Таблица 1.5 - Таблица «штрафных баллов»
|
Ценность актива |
Уровень угрозы |
||||||||
|
Низкий |
Средний |
Высокий |
|||||||
|
Уровень уязвимости |
Уровень уязвимости |
Уровень уязвимости |
|||||||
|
Н |
С |
В |
Н |
С |
В |
Н |
С |
В |
|
|
0 |
0 |
1 |
2 |
1 |
2 |
3 |
2 |
3 |
4 |
|
1 |
1 |
2 |
3 |
2 |
3 |
4 |
3 |
4 |
5 |
|
2 |
2 |
3 |
4 |
3 |
4 |
5 |
4 |
5 |
6 |
|
3 |
3 |
4 |
5 |
4 |
5 |
6 |
5 |
6 |
7 |
|
4 |
4 |
5 |
6 |
5 |
6 |
7 |
6 |
7 |
8 |
|
Обозначение: Н - низкий, С - средний, В - высокий. |
|||||||||
Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8.
Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует. Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку – по степени угрозы и уязвимости. Ценность настоящего метода состоит в ранжировании соответствующих рисков (таблица 1.6).
Таблица 1.6 - Результаты оценки рисков информационным активам организации
|
Риск |
Актив |
Ранг риска |
|
Утрата доступности |
Цены на товары и материалы |
64 |
|
Утрата доступности |
Информационные услуги |
59 |
|
Утрата конфиденциальности |
Внутренняя переписка |
56 |
|
Утрата конфиденциальности |
Приходные накладные |
53 |
|
Утрата конфиденциальности |
Расходные накладные |
48 |
|
Утрата конфиденциальности |
Инвентаризационная ведомость |
35 |
|
Утрата конфиденциальности |
Заказы клиентов |
27 |
|
Утрата доступности |
Скидки клиентов |
22 |
|
Нарушение целостности |
Программное обеспечение |
22 |
|
Утрата доступности |
Наряд на выполнение работ |
21 |
|
Утрата доступности |
Бухгалтерская и налоговая отчетность |
6 |
Данная таблица содержит содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания. Результаты оценки рисков являются основанием для выбора и формулировки задач по обеспечению информационной безопасности предприятия, и выбора защитных мер.
Еще одним методом оценки угроз информационной безопасности является оценка защищенности отдельных объектов защиты. К ним на предприятии относятся:
- АРМ сотрудников;
- сервер локальной сети;
- конфиденциальная информация (документы);
- кабельные линии;
- кабинеты с конфиденциальной документацией;
- базы данных предприятия.
Для каждого объекта необходимо рассчитать информационные риски. При расчетах используются следующие понятия.
Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы. Определяется на основе экспертных оценок специалистов предприятия.
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, задается в %. Определяется на основе статистических данных, доступных на порталах фирм – интеграторов.
Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.
- Объект защиты – автоматизированное рабочее место (АРМ) сотрудника.
В организации имеется 170 автоматизированных рабочих мест сотрудников. Доступ в помещение посторонним лицам запрещен (система именных пластиковых карт), на каждом компьютере имеется свой пароль, однако пользователи могут оставить свой компьютер включенным, если им необходимо отойти от рабочего места, и информация будет доступна другим сотрудникам. Пароли практически никогда не меняются, случаются ситуации, что пользователи записывают их на листочках и оставляют у компьютера. Антивирус установлен только на сервере, т.к. вся информация проходит через него, однако usb-порты не отключены, и у пользователей есть возможность подключать флеш-устройства. Кроме того, у пользователей имеется выход в Интернет. Запрещен выход на сайты социальных сетей, однако другие пути почти не контролируются и размер трафика не ограничивается, что является причиной заражения вирусами.
Отправка и получение электронной почты производится через сервер, где отслеживаются все входящие и исходящие письма, поэтому отправка писем по личным вопросам или на неразрешенные адреса невозможна. Все бланки документов хранятся на сервере, а сами документы – на рабочих компьютерах пользователя. Критерий критичности (D) равен 48 337 рублей.
ГЛАВА 2. РАЗРАБОТКА КОМПЛЕКСА МЕР ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
2.1 Комплекс организационных мер
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства:
Международные договоры РФ;
-
- Конституция РФ;
- Законы федерального уровня (включая федеральные конституционные законы, кодексы);
- Указы Президента РФ;
- Постановления правительства РФ;
- Нормативные правовые акты федеральных министерств и ведомств;
- Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
К нормативно-методическим документам можно отнести
1. Методические документы государственных органов России:
-
- Доктрина информационной безопасности РФ;
- Руководящие документы ФСТЭК (Гостехкомиссии России);
- Приказы ФСБ;
2. Стандарты информационной безопасности, из которых выделяют:
-
- Международные стандарты;
- Государственные (национальные) стандарты РФ;
- Рекомендации по стандартизации;
- Методические указания.
Основным документом, в соответствии с которым фирмы выстраивают структуру защиты данных, не предназначенных для посторонних глаз, является Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне». Согласно представленному в нем определению, коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (п. 1 ст. 3 Закона № 98-ФЗ).
Под разглашением коммерческой тайны в законе понимается передача третьим лицам сведений, составляющих коммерческую тайну при условии, что сведения содержались хозяйствующим субъектом в тайне, что они были в установленном порядке вверены разгласившему их лицу без согласия на разглашение и что разглашением был причинен ущерб [1, п.1 ст.3].
К информации, которая требует «скрытого режима», относятся имеющие коммерческую ценность сведения не только экономического, но также организационного и производственного характера. Секретная информация может храниться в организации на совершенно разных носителях – от простой бумаги до жестких дисков компьютеров.
Существуют сведенья, которые ни при каких условиях не могут быть «засекречены» компанией. Их перечень закреплен в статье 5 Закона № 98-ФЗ. В соответствии с законом общедоступной является информация:
1) содержащаяся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;