7. Кража программно-аппаратных средств и т.д.
1.6 Методы и средства защиты информации на предприятииЗащита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:
1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:
- Гражданский кодекс РФ ст.139;
- Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;
- Закон Российской Федерации "Об информации, информатизации и защите информации";
- Закон Российской Федерации "О коммерческой тайне".
2. Административный уровень информационной безопасности.
Политика информационной безопасности пока не утверждена.
3. Организационный уровень защиты информации.
Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.
Организационные меры защиты информации на предприятии реализованы следующим образом:
- Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;
- Организована работа с документами и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.
В качестве недостатков данного уровня защиты можно указать следующие факты.
Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.
Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.
4. Программно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации.
На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации.
Программно-аппаратные средства защиты информации:
1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.
SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме "точка-точка" с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS).
2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.
Производится нерегулярное обновление баз и сканирование рабочих станций.
3. Встроенный Windows Backup для создания архивов.
OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.
4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно - технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.
Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.
Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:
- Отсутствие паролей доступа в систему;
- Отсутствие паролей при работе программой с 1С: Предприятие, при изменении данных;
- отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);
- нерегулярное обновление баз программы антивируса и сканирование рабочих станций;
- большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;
- не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области;
- не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;
- отсутствие политики информационной безопасности;
§ отсутствие системного администратора.
Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.
2.2 Цель и задачи системы информационной безопасности
Безопасность информации - состояние защищенности информационных ресурсов в вычислительных сетях и системах предприятия от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное функционирование систем, попыток разрушения её компонентов.
Цели защиты информации:
предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;
сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:
· защита от вмешательства в процесс функционирования предприятия посторонних лиц;
· защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;
· обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;
· обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;
· регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;
· своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;
· анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;
· обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;
· создание и формирование целенаправленной политики безопасности информации предприятия.
Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.
Административный уровень информационной безопасности.
Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.
Политика безопасности - это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.
Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.
Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.
В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.
Организационный уровень защиты информации.
Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:
- Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;
- Разработка необходимых мероприятий направленных на совершенствовании системы экономической, социальной и информационной безопасности предприятия.
- Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.
- Строгий контроль соблюдения сотрудниками правил работы с конфиденциальной информацией;
- Контроль соблюдения правил хранения рабочей документации сотрудников предприятия;
- Плановое проведение собраний, семинаров, обсуждений по вопросам информационной безопасности предприятия;
- Регулярная (плановая) проверка и обслуживание всех информационных систем и информационной инфраструктуры на работоспособность.
- Назначить системного администратора на постоянной основе.
Программно-технические меры защиты информации.
Программно-технические средства являются одними из важнейших компонентов в реализации информационной защите предприятия, поэтому для повышения уровня защиты информации необходимо ввести и применить следующие мероприятия:
- Введение паролей пользователей;
Для регулирования доступа пользователей к информационным ресурсам предприятия необходимо ввести список пользователей, которые будут входить в систему под своим логином. С помощью ОС Windows Server 2003 Std, установленной на сервере, можно создать список пользователей с соответствующими паролями. Пароли раздать работникам с соответствующим инструктажем их использования. Также необходимо ввести срок действия пароля, по истечению которого пользователю будет предложено поменять пароль. Ограничить число попыток входа в систему с неверным паролем (например, до трех).
- Введение запроса паролей в программе 1С: Предприятии при работе с БД, при изменении данных. Это можно выполнить с помощью программных средств ПК и программы.
- Разграничение доступа к файлам, каталогам, дискам.
Разграничение доступа к файлам и каталогам будет осуществляться системным администратором, который разрешит доступ к соответствующим дискам, папкам и файлам для каждого пользователя конкретно.
- Регулярное сканирование рабочих станций и обновление баз антивирусной программы.
Позволит обнаруживать и нейтрализовать вредоносные программы, ликвидировать причины заражений. Необходимо выполнить работы по установке, настройке и обеспечению функционирования средств и систем антивирусной защиты.
Для этого необходимо настроить программу антивируса на регулярное сканирование ПК и регулярное обновление баз с сервера.
- Установка на компьютер-сервер сетевого экрана Agnitum Outpost FireWall, который блокирует атаки из сети Интернет.
Преимущества использования сетевого экрана Agnitum Outpost FireWall:
¾ контролирует соединения компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети.
¾ локальная безопасность отслеживает поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя троянцев, шпионские программы и все изощренные хакерские методики взлома компьютеров и кражи личных данных.
¾ эффективный сканер вредоносных программ автоматически обнаруживает и изолирует или удаляет вирусы, шпионские программы и другое вредоносное ПО.
¾ встроенный антиспам.
- Анализ защищенности объектов вычислительной сети
Возможно использование программы "Сканер-ВС", предназначенной для анализа защищенности вычислительных сетей от внутренних и внешних угроз.
"Сканер-ВС" выполняет следующие функции:
Анализ защищенности сети или отдельных ее сегментов от различных внешних и внутренних угроз
Аудит защищенности сети
Инвентаризация сетевых ресурсов - сбор информации об отдельных узлах сети (зарегистрированные пользователи, рабочая группа/домен, IP-адрес, сервисы и многое другое)
Максимальное снижение вероятности успешной атаки на защищаемые объекты
Тестирование сети на устойчивость к взлому с учетом выявленных и устраненных уязвимостей
Основные возможности системы:
¾ обеспечение загрузки доверенной среды на основе ОС МСВС
¾ автоматическое определение сетевого оборудования, подключенного к вычислительной сети
¾ поиск остаточной информации на накопителях, подключенных к узлам сети (поддерживаются различные кодировки)
¾ сетевой и локальный аудит паролей
¾ инвентаризация ресурсов компьютерной сети (узлов, портов, сервисов)
¾ поиск уязвимостей обнаруженных сервисов, проверка возможности осуществления типовых DoS-атак
¾ анализ сетевого трафика (в т. ч. в коммутируемых сетях), извлечение из трафика парольной информации для множества протоколов
- Программа защиты от спама.
Обеспечение защиты от спама пользователей и технической поддержке средств, осуществляющих данную защиту. Защита осуществляется путем маркировки нежелательных почтовых сообщений приходящих на почтовый ящик пользователя.
Возможно использование программы antispam СПАМОЕД, программа позволяющая блокировать спам на компьютере. Spamoed - это ПО для борьбы со спамом, обеспечивающее фильтрацию почты. Основные принципы работы программы заключается в том, что программа Spamoed может как сама удалять ненужную пользователю электронную почту, так и вкупе с TheBat, Outlook и другими почтовыми клиентами; а также работать совместно с небольшими (до 50 почтовых ящиков) почтовыми серверами.
- Применение источников бесперебойного питания;
Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение какого-то промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. В противном случае используется следующая функция подобных устройств - компьютер получает сигнал, что UPS перешел на работу от собственных аккумуляторов и время такой автономной работы ограничено. Тогда компьютер выполняет действия по корректному завершению всех выполняющихся программ и отключается (команда SHUTDOWN). Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т.д. - оснащены собственными дублированными системами электропитания.
- Криптографическое преобразование информации.
Криптографическая защита информации предоставляется с целью обеспечения режима конфиденциальности и целостности информации при ее передачи по каналам передачи данных.
Помогите выбрать конкретное программное средство!!!!!!!!!!!! Ну надо шифрование какое-либо применять или необязательно - запуталась я, ваще запуталась…вот в этом главный вопрос!)
- Протоколирование и аудит.
Протоколирование и аудит является неотъемлемой частью обеспечения информационной безопасности. Эти понятия подразумевают сбор, накопление и анализ событий происходящих в информационной системе в реальном времени.
Реализация протоколирования и аудита решает следующие задачи:
· обеспечение подотчетности пользователей и администраторов;
· обеспечение возможности реконструкции последовательности событий;
· обнаружение попыток нарушений информационной безопасности;
· предоставление информации для выявления и анализа проблем.
При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:
¾ дата и время события;
¾ уникальный идентификатор пользователя - инициатора действия;
¾ тип события;
¾ результат действия (успех или неудача);
¾ источник запроса (например, имя терминала);
¾ имена затронутых объектов (например, открываемых или удаляемых файлов);
¾ описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).
2.4 Эффективность предложенных мероприятий
Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов.
В рамках курсового проекта была проанализирована информационная безопасность предприятия, были предложены мероприятия по ее улучшению. Реализация мероприятий позволит:
- Разграничить права доступа в систему.
- Повысить уровень защищенности информации каждого пользователя в отдельности и системы в целом.
- Разработать и внедрить политику информационной безопасности, которая будет направлена на защиту информации и ассоциированных с ней ресурсов.
- Уменьшить количество спама.
- Отражать вредоносные атаки через сеть.
- Повысить уровень защиты рабочих станций.
Модель информационной безопасности предприятия представлена на рисунке 3.1.
Рисунок 3.1 - Диаграмма уровня А-0 "Обеспечение информационной безопасности"
Информация, поступающая на предприятие проходит несколько стадий обработки на наличие программных, сетевых и физических угроз безопасности, прежде чем поступит в использование сотрудниками организации.
За безопасностью следит главным образом системный администратор, который настраивает все программные и аппаратные средства для защиты предприятия. Все это регламентируется регламентом предприятия, политикой безопасности и должностными инструкциями. В результате сотрудники получают безопасную информацию, также формируется отчет о событиях обработки.
Декомпозиция блока "Обеспечение информационной безопасности" представлена анна рисунке 3.2.
Рисунок 3.2 - Декомпозиция диаграммы уровня А-0
"Обеспечение информационной безопасности"
Поступающая информация проходит стадию анализа, где выявляются угрозы, которые она может нанести, далее применяются средства для устранения этих угроз и происходит распределение информации по уровням защиты (административный, программно-технический, законодательный, организационный). Далее применяются средства для дальнейшей защиты информации. Все это в соответствии с нормативными и правовыми актами, действующими на предприятии.
DFD-диаграмма представлена на рисунке 3.3.
Рисунок 3.3 - Диаграмма DFD уровня А-1 "Анализ информации"
На данной диаграмме представлен процесс работы пользователя и системы.
В процессе выполнения курсового проекта был проведен анализ средств информационной безопасности предприятия ООО "Нива", информационных ресурсов предприятия, анализ угроз ИБ, и были выявлены соответствующие недостатки.
В соответствии с выявленными недостатками были предложены меры их устранения, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократит риск потери и искажения информации. Следует обратить внимание на то, что только при совместном взаимодействии персонала, программно-аппаратных средств и средств защиты информации возможна эффективность данных мероприятий.
Обследуемое предприятие ООО "Нива" циркулирует большим количеством информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью являлась разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации были бы минимальны.
В результате анализа была построена модель информационной системы с позиции безопасности.
В заключение хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.
1. Галатенко, В.А. Основы информационной безопасности. - М.: Интуит, 2003.
2. Доктрина информационной безопасности от 09.09.2000 г.
3. Завгородний, В.И. Комплексная защита информации в компьютерных системах. - М.: Логос, 2001.
4. Зегжда, Д.П., Ивашко, А.М. Основы безопасности информационных систем. - М.: Интуит, 2006.
5. Стандарты информационной безопасности.
6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
7. http://ru. wikipedia.org/wiki/
8. http://z-oleg.com/
9. http://www.infosecurity.ru/
Приложение
Организационная структура ООО "Нива"
0 комментариев