Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
ВЫСШЕГО ОБРАЗОВАНИЯ
«МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ
«СИНЕРГИЯ»
Факультет электронного обучения
Студент
(Фамилия, имя, отчество )
(подпись)
Руководитель
(Фамилия, имя, отчество)
(подпись)
Москва
2021
ЗАДАНИЕ
на выпускную квалификационную работу обучающегося по профилю «Информационная
безопасность»
Шапиру Гавриилу Максимовичу
(ФИО обучающегося в родительном падеже)
Структура ВКР
II Проектная часть
2
2.1.1. Отечественная и международная нормативно-правовая основа создания
системы обеспечения информационной безопасности и защиты информации
предприятия.
2.1.2. Организационно-административная основа создания системы обеспечения
информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения
информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание.
3
В разделе 1.3. необходимо провести глубокий анализ специфических рисков
(например, в финансово-экономической сфере, в сфере государственной на режимном
предприятии и т.д.). Следует выбрать те основные задачи или совокупность задач, для
которых будет в дальнейшем разрабатываться выпускная квалификационная работа и
провести обоснование, используя для этого информацию из п.1.2.
В разделе 1.4. Выбор защитных мер должен всегда включать в себя комбинацию
организационных (не технических) и технических мер защиты. В качестве
организационных мер рассматриваются меры, обеспечивающие физическую,
персональную и административную безопасность.
Глава 2 содержит описание решений, принятых по всей вертикали проектирования.
Глава должна быть основана на информации, представленной в аналитической части, и
содержать описание реализации проектных решений комплекса задач, сформулированных
в первой главе. Поэтому недопустимо, если при проектировании используются данные об
объекте управления, не описанные в первой главе.
В разделе 2.1 отразить:
- выбор нормативных актов отечественного и международного права, в качестве основы
для формирования организационной системы обеспечения информационной
безопасности и защиты информации предприятия;
- обоснование выбора типов и количества документов, регламентирующих выполнение
организационных мероприятий;
- формы разработанных документов.
Раздел 2.2 содержит:11
описание модели (образца, версии) ПиАСИБ, сведения о сертификации;
описание принципа работы выбранных ПиАСИБ
функциональные возможности, насколько эти возможности позволяют
минимизировать риски, определенные в п.1.2.5.
порядок лицензирования (при необходимости) использования выбранного
ПиАСИБ;
порядок установки, инсталляции (демонтажа, деинсталляции) выбранных
ПиАСИБ;
порядок закрепления выбранных ПиАСИБ за должностными лицами
описание режимов работы (способов размещения, включения);
порядок проведения технического обслуживания;
порядок взаимодействия с организацией-поставщиком
порядок подготовки (обучения) персонала;
правила и меры безопасности при эксплуатации выбранных ПиАСИБ
Контрольный пример реализации проекта содержит:
а) перечень структурных подразделений предприятия, в которых внедряются выбранные
ПиАСИБ (разработанные нормативные документы)
б) схемы:
технической архитектуры;
4
программной архитектуры;
размещения средств видеонаблюдения (элементов системы контроля и
управления доступом)
За основу рекомендуется взять схемы из п 1.2.4. и дополнить/изменить их в
соответствии с принятыми решениями;
в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных
режимах, например:
доступ пользователей к ресурсам системы;
настройка межсетевого экрана;
формирование и распределение ключей;
выдача, проверка и аннулирование идентификаторов;
реагирование на инциденты;
проведение текущего аудита;
настройка и эксплуатация средств противодействия ИТР конкурентов;
проверка аппаратных средств на наличие закладок;
проверка помещений на наличие средств промышленного шпионажа;
настройка антивирусного программного обеспечения;
настройка систем обнаружения и предотвращения вторжений;
настройка систем резервного копирования;
настройка VPN и др.
г) экранные формы для ввода и отображения информации
д) формы документов
Вся, представленная в данном пункте информация должна быть связана с данными,
изложенными в п.2.1.2. Другими словами, внедрение программно-аппаратных средств
должно осуществляться в соответствии со сформированной политикой безопасности.
5
диаграммы потоков данных, демонстрирующих существующую технологию
решения задач («КАК ЕСТЬ»);
диаграммы потоков данных, демонстрирующих предлагаемую технологию
решения задач («КАК ДОЛЖНО БЫТЬ»);
схемы документооборота;
примеры классификаторов;
формы первичных и результатных документов;
распечатки меню, экранных форм ввода, получаемых отчетов в разработанной
системе;
а также другие материалы дипломного проекта, кроме текстов договоров с
клиентами и иных "шаблонных документов" (в тех случаях, когда для их
существенных реквизитов проектируется форма, а по результатам ввода и
сохранения в информационную базу имеется возможность распечатки документа
"по шаблону").
В одном приложении нельзя размещать различные по смыслу таблицы или рисунки.
Не допускается дублирование в приложении материала, размещенного в основной части
дипломного проекта.
С детальным рассмотрением содержания каждого пункта, а также примерами схем и
таблиц необходимо ознакомиться в «Методических указания по дипломному
проектированию для направления подготовки 09.03.02 ИСиТ, размещенных личном
кабинете студента в разделе «Документы». При подготовке выпускной квалификационной
работы вы можете пользоваться дополнительными литературными источниками, а также
основной литературой, список которой приведен ниже.
Исходные данные по ВКР.
Основная литература
1. Басыня, Е.А. Системное администрирование и информационная безопасность :
учебное пособие : [16+] / Е.А. Басыня ; Новосибирский государственный технический
университет. – Новосибирск : Новосибирский государственный технический университет,
2018. – 79 с. : ил. – Режим доступа: по подписке. – URL: http://biblioclub.ru
2. Мирошниченко, И.И. Языки и методы программирования: учебное пособие /
И.И. Мирошниченко, Е.Г. Веретенникова, Н.Г. Савельева; Министерство образования и
науки РФ, РГЭУ (РИНХ). – Ростов-на-Дону: Издательско-полиграфический комплекс
РГЭУ (РИНХ), 2019. – 188 с.
3. Филиппов, Б.И. Информационная безопасность. Основы надежности средств
связи: учебник / Б.И. Филиппов, О.Г. Шерстнева. – Москва; Берлин: Директ-Медиа, 2019.
– 241 с. - режим доступа http:// biblioclub.ru
Дополнительная литература
1. Балдин, К.В. Информационные системы в экономике: учебник / К.В. Балдин,
В.Б. Уткин. – 8-е изд., стер. – Москва: Дашков и К, 2019. – 395 с. – режим доступа
http://biblioclub.ru
2. Информационные технологии: лабораторный практикум : [16+] / авт.-сост. А.Г.
Хныкина, Т.В. Минкина ; Северо-Кавказский федеральный университет. – Ставрополь :
Северо-Кавказский Федеральный университет (СКФУ), 2018. – 122 с. : ил. – Режим
доступа: по подписке. – URL: http://biblioclub.ru
3. Нагаева, И.А. Алгоритмизация и программирование. Практикум: учебное
пособие / И.А. Нагаева, И.А. Кузнецов. – Москва; Берлин: Директ-Медиа, 2019. – 168 с. -
режим доступа http:// biblioclub.ru
4. Марусева, И.В. Управление сложными системами: (введение в основы
автоматики и информатики) / И.В. Марусева, Ю.П. Петров; под общ. ред. И.В. Марусевой.
6
– Москва; Берлин: Директ-Медиа, 2019. – 180 с. – режим доступа http:// biblioclub.ru
5. Сидорова, Н.П. Информационное обеспечение и базы данных: практикум по
дисциплине «Информационное обеспечение, базы данных» / Н.П. Сидорова, Г.Н. Исаева,
Ю.Ю. Сидоров; Технологический университет. – Москва; Берлин: Директ-Медиа, 2019. –
85 с. - режим доступа http:// biblioclub.ru
Интернет-ссылки.
№ Наименование портала
п (издания, курса, Ссылка
/п документа)
1 Специализированный сайт http://all-ib.ru/
по тематике информационной
безопасности
3 Университетская http://biblioclub.ru
библиотека онлайн
4 Специализированный сайт http://www.citforum.ru
по тематике информационных
систем и сетей
7
СОДЕРЖАНИЕ
Введение…………………………………………………………………………10
I. Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и
предприятия (Установление границ рассмотрения)
1.1.1. Общая характеристика предметной области…………..………….13
1.1.2. Организационно-функциональная структура
предприятия……………………………………………………………...…14
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов……………16
1.2.2. Оценка уязвимостей активов………………………………………21
1.2.3. Оценка угроз активам………………………………………………24
1.2.4. Оценка существующих и планируемых средств защиты…………28
1.2.5. Оценка рисков……………………………………………………….29
1.3. Характеристика комплекса задач, задачи и обоснование
необходимости совершенствования системы обеспечения
информационной безопасности и защиты информации на
предприятии
1.3.1. Выбор комплекса задач обеспечения информационной
безопасности……………………………………………………………….32
1.3.2. Определение места проектируемого комплекса задач в комплексе
задач предприятия, детализация задач информационной безопасности и
защиты информации………………………………………………………41
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер……………………………………….43
1.4.2. Выбор инженерно-технических мер………………………………..47
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной
безопасности и защиты информации предприятия.
8
2.1.1. Отечественная и международная нормативно-правовая основа
создания системы обеспечения информационной безопасности и защиты
информации предприятия……………………………………………….
2.1.2. Организационно-административная основа создания системы
обеспечения информационной безопасности и защиты информации
предприятия…………………………………………………………………
2.2. Комплекс проектируемых программно-аппаратных средств
обеспечения информационной безопасности и защиты информации
предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия……………………….
2.2.2. Контрольный пример реализации проекта и его описание………….
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической
эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение
Приложения
9
Введение
В настоящее время предприятия сталкиваются с проблемами
обеспечения информационной безопасности и сохранности
конфиденциальных данных. Понятие «безопасность» довольно широкое и
может включать информационные, коммерческие, юридические и
физические аспекты.
Информационная безопасность относится к мерам по защите
информации от несанкционированного доступа, уничтожения, изменения,
раскрытия и задержек в доступе. Информационная безопасность включает в
себя меры по защите процессов создания, ввода, обработки и вывода данных.
Целью информационной безопасности является защита ценностей системы,
защита и гарантия точности и целостности информации, а также сведение к
минимуму ущерба, который может возникнуть в случае изменения или
уничтожения информации. Информационная безопасность требует учета
всех событий, в ходе которых информация создается, изменяется, получает
доступ или распространяется.
Очевидно, что необходимо уделять повышенное внимание
обеспечению информационной безопасности на крупном предприятии,
поскольку физическая безопасность и обычные технические средства не
могут обеспечить полную сохранность информации на крупном объекте,
занимающем значительную территорию, состоящем из целого комплекса
зданий и имеющем необходимость обработки большого объема данных. С
увеличением числа предприятий возрастает конкуренция между ними, а
следовательно, и вероятность промышленного шпионажа.
Промышленный шпионаж-это форма недобросовестной конкуренции,
при которой незаконное получение, использование, разглашение
информации, составляющей коммерческую, служебную или иную
охраняемую законом тайну, осуществляется с целью получения преимуществ
при осуществлении предпринимательской деятельности, а именно для
получения материальной выгоды.
10
Целями промышленного шпионажа могут быть:
получение информации о конкуренте;
внесение изменений в источники информации;
уничтожение информации.
Любая деловая деятельность тесно связана с получением,
накоплением, хранением, обработкой и использованием различных
информационных потоков. Целостность современного мира как сообщества
обеспечивается главным образом за счет интенсивного обмена информацией.
Приостановка глобальных информационных потоков, даже на короткое
время, может привести к кризису не меньшему, чем разрыв
межгосударственных экономических отношений. Поэтому в современных
конкурентных рыночных условиях возникает множество проблем, связанных
с обеспечением сохранности коммерческой информации как формы
интеллектуальной собственности.
Общество с ограниченной ответственностью «Старый мастер» -
крупное предприятие. На ООО «Старый Мастер» приходится большая часть
производства ПВХ-профилей и комплектующих в Москве, Московской
области и соседних регионах. Владение этой долей рынка подразумевает
наличие большого числа клиентов и сотрудников. ООО «Старый Мастер»
обрабатывает персональные данные 50 сотрудников и множества клиентов,
что подразумевает необходимость качественной защиты информационной
системы персональных данных.
В настоящее время ООО «Старый Мастер» располагает системой
информационной безопасности, включающей различные технические
средства. Со временем появляются новые способы реализации угроз,
наносящих ущерб персональным данным, а это значит, что средства борьбы с
ними нуждаются в совершенствовании.
Целью данной работы является разработка организационных и
технических решений по обеспечению защиты информации ООО «Старый
мастер».
11
Для достижения этой цели был поставлен ряд задач, а именно:
описать технико-экономическую характеристику и сферы
деятельности ООО «Старый мастер»;
проанализировать риски информационной безопасности всех
информационных активов;
провести анализ программное обеспечение в указанном
направлении;
описать внедряемое программное обеспечение для реализации
поставленной задачи;
разработать политику обеспечения информационной безопасности в
компании;
внедрить средства шифрования / дешифрования и аутентификации;
внедрить средства контроля доступа к устройствам, портам ввода-
вывода и сетевым протоколам;
внедрить инструмент резервного копирования данных;
ввести ограничения на доступ к локальной сети / сети Интернет;
ввести ограничение прав доступа на локальных компьютерах;
обосновать экономическую эффективность рассматриваемого
проекта.
12
1.1. Технико-экономическая характеристика предметной области и
предприятия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
Компания основана в 1997 году, является партнером ООО «Компания
Вертикаль ЮГ», в настоящее время занимается реализацией продукции
данной компании на Московском рынке.
ООО «Старый Мастер» - Направление продаж: Профиль ПВХ и
Комплектующие, ООО «Компания Вертикаль ЮГ» - Направление
деятельности:
производство и переработка конструкций из алюминия. Окна,
двери, раздвижные конструкции, комплексно-витражное
остекление, системы антипаника и многое другое;
алюминиевый профиль для архитектурных систем и
светопрозрачных конструкций, комплектующие к ним;
проектирование светопрозрачных конструкций, АР, КМ, геодезия.
Широкий ассортимент товаров, достаточно низкие цены и гибкая
система скидок, позволяющая клиентам экономить весомые суммы на
приобретении комплектующих, благодаря этому компания привлекла
значительное количество клиентов к сотрудничеству. Весь товар высокого
надлежащего качества. Площадь складских помещений позволяет компании
поддерживать более чем достаточный складской запас всего предлагаемого
ассортимента, что позволяет осуществлять бесперебойные поставки товара
клиентам, обеспечивая стабильность работы с ними. Высокий
профессионализм, честность и доброжелательность сотрудников,
оперативность обслуживания клиентов стали залогом успешной
деятельности компании. Бесплатная доставка товара по Москве, Московской
области и соседним регионам является очень удобной дополнительной
услугой.
13
1.1.2. Организационно-функциональная структура предприятия.
Директор - руководитель предприятия, организация работы всего
предприятия и эффективное взаимодействие всех структурных
подразделений. За выбор стратегии развития предприятия отвечает работа
предприятия, как внутренняя, так и внешняя.
Главный бухгалтер - организует оборот всех бухгалтерских
документов, обеспечивает своевременную уплату налогов, формирует
учетную политику.
Отвечает за работу бухгалтерии, своевременную сдачу налоговой
отчетности и точность в отчетных документах.
Бухгалтер - отвечает за оборот денежных средств в компании, а также
с клиентом, его учет и предоставление всех соответствующих документов
главному бухгалтеру, отвечает за расчеты с сотрудниками компании и оплату
труда персонала в штате компании.
Руководитель отдела продаж занимается поиском потенциальных
клиентов, принятием заказов от клиентов, учетом их индивидуальных
пожеланий, ведением переговоров как с клиентами, так и с партнерами,
оперативным реагированием на полученную от клиентов информацию,
выявлением потребностей клиента и мотивацией его к работе с компанией.
Руководитель IT-отдела - обеспечивает функционирование локальной
сети, функционирование программного и аппаратного обеспечения,
функционирование серверов компании, систем пожарной и охранной
сигнализации и устранение связанных с этим проблем. Формирование и
ведение информационных массивов и баз данных, защита информации от
несанкционированного доступа, формирование резервных архивов
(резервных копий). Отвечает за бесперебойную работу системы и
обеспечение ее всем необходимым (хранение и закупка запасных частей,
программного обеспечения и т.д.)
14
Программисты - поддерживают базу данных 1С, разрабатывают
наиболее удобную рабочую среду в этой программе для сотрудников
компании с учетом их индивидуальных пожеланий.
Они также занимаются разработкой отдельных блоков веб-сайта,
таких как flash-объекты, javascript, php и mysql. Они нанимаются, как
правило по аутсорсу.
Начальник производства - руководитель работ по оперативному
регулированию производства. Организует оперативный контроль за
обеспечением производства всеми видами ресурсов, обеспечивает
ежедневный оперативный учет хода производства, принимает меры по
предупреждению и устранению нарушений производственного процесса.
Логист – выполняет следующие функции:
формирование товарных отчетов, проведение анализа дебиторской
и кредиторской задолженности для бухгалтерии;
распределение товаров на складе (учет наличия складских мест);
взаимодействие с представителями компаний-импортеров;
оповещение руководителей компаний-партнеров об изменениях цен
и условий работы.
Начальник снабжения - организация обеспечения предприятия
материальными ресурсами в требуемом качестве и количестве, а также их
рациональное использование для максимальной эффективности
производства. Управление долгосрочным и текущим планированием с точки
зрения обеспечения основной деятельности, потребностей сервисного
обслуживания и других потребностей предприятия основано на применении
прогрессивных норм расхода материалов. Поиск путей покрытия
потребностей производства за счет внутренних резервов. Обеспечивает
заключение контрактов на поставку необходимых ресурсов, изыскивает
возможность установления долгосрочных кооперационных связей.
Организует своевременную доставку материалов на склады организации и их
приемку в соответствии с действующими стандартами.
15
Отдел кадров - ведение кадрового делопроизводства, оформление
трудовых взаимоотношений в рамках рабочей деятельности. Также часто
этот отдел занимается и подбором персонала.
Начальник склада - организация хранения, приемки и выпуска
товарно-материальных ценностей, находящихся в его ведении.
Полная структура организации представлена на рисунке 1 .
16
безопасности организации, но и другие связанные с этим проблемы: борьба с
вирусами, настройка пользовательского программного обеспечения и так
далее.
Руководитель ИТ-отдела занимается, соответственно, проблемами
информационной безопасности. Особенно хорошо разбирается в протоколах
шифрования и аутентификации и их практическом применении (VPN,
RADIUS, SSL, IPSec, RAS), планировании PKI, системах контроля доступа
(брандмауэры, прокси-серверы, смарт-карты, контрольная точка,
идентификатор безопасности), анализе инцидентов, резервном копировании.
Занимается документированием политики безопасности, нормативных актов
и положений об информационных ресурсах.
На этом этапе мы должны определить информационные активы,
которые подпадают под сферу оценки:
1. произвести оценку активов;
2. определить перечень угроз и вероятность их реализации;
3. оценить риски.
Информационный актив-это любая информация, независимо от типа
ее представления, которая имеет ценность для организации и находится в ее
распоряжении.
Виды активов ООО «Старый Мастер»:
информация (база данных бухгалтерского учета - содержит
информацию обо всех сотрудниках компании, финансовых
операциях, которые происходят как внутри, так и за пределами
компании, а также информацию о проведенных операциях и их
статусе);
документы (соглашения, контракты, памятки);
программное обеспечение, включая прикладные программы;
аппаратное обеспечение (персональные компьютеры - необходимое
для работы сотрудников);
17
сервер баз данных, телефоны, медные и волоконно-оптические
кабели, коммутаторы, принтеры, почтовый сервер.
ООО «Старый Мастер» - это коммерческая организация, ее основной
целью является получение прибыли от предоставляемых ею услуг.
Основными рыночными функциями являются реализация продукции
компании ООО «Компания Вертикаль ЮГ» на рынке Москвы и Московской
области.
Данные по оценке информационных активов сведена в таблицу 1.
Таблица 1. Оценка информационных активов ООО «Старый мастер».
Размерность оценки
Критерии Количест
Наименован Форма Владелец
определени венная Качественна
ие актива представления актива
я стоимости оценка я
(ед.изм.)
Информационные активы
База данных Электронная Бухгалтерия Степень - Имеющая
бухгалтерии важности критическое
значение
База данных Электронная Директор Степень - Имеющая
поставщиков важности критическое
значение
Персональны Электронная Кадровый Степень - Высокая
е данные о отдел важности
сотрудниках
Штатное Бумажный Кадровый стоимость - критически
расписание и документ, отдел обновления высокая
кадровый электронный или
учет документ воссоздания
18
стоимость
19
MS Office Электронная Логист Первоначаль - Малая
2010 Главный ная
бухгалтер стоимость
Директор
Начальник
снабжения
21
Кроме того, могут быть приглашены сторонние специалисты для
проведения технологического аудита информационной системы и выявления
ее уязвимостей.
Основой для проведения оценки уязвимости является оценка
критичности информационных активов и определение адекватности
принимаемых мер безопасности в отношении их значимости.
Показателями уязвимости актива и его критических областей
являются степень уязвимости по порядковой рейтинговой шкале (пример
степеней: высокая, средняя, низкая).
После проведения оценки уязвимости предоставляется отчет, который
должен включать описание уязвимостей и уязвимых систем. Уязвимости
должны быть отсортированы сначала по степени серьезности, а затем по
серверу / службе. Уязвимости должны быть расположены в начале отчета и
ранжированы в порядке убывания степени серьезности, то есть сначала
критические уязвимости, затем с высоким уровнем важности, затем со
средним и низким.
Результаты оценки уязвимости активов представлены в таблице 3.
о
Группа уязвимостей
Персональные компьютеры
данные
Коммуникационное
Сервера баз данных
Почтовый сервер
Учетная Система
Кадровый учет
Персональные
оборудование
сотрудниках
Windows 8
Содержание уязвимости
1. Среда и инфраструктура
Отсутствие физической Средняя Сред Средн Средня
защиты зданий, дверей няя яя я
и окон
Нестабильная работа Средня Низка Низкая Низка
электросети я я я
2. Аппаратное обеспечение
Отсутствие схем Средня Средн Средня Средн
периодической замены я яя я яя
22
Подверженности Высока Высок Высока Средн
воздействию влаги, я ая я яя
пыли, загрязнения
Отсутствие контроля за Средня Низка Низкая
эффективным я я
изменением
конфигурации
3. Программное обеспечение
Отсутствие Высока Высо
тестирования или я кая
недостаточное
тестирование
программного
обеспечения
Сложный Средня Сред
пользовательский я няя
интерфейс
Плохое управление Средне Средн Средне Высока Высо
паролями е ее е я кая
4. Коммуникации
5. Документы (документооборот)
23
нее
24
Рисунок 2. Основные виды угроз информационной безопасности.
25
особенно когда организация меняет свой бизнес или информационные
технологии. Например, компьютерные вирусы 90-х годов представляют
гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Следует
также отметить, что внедрение таких мер защиты, как антивирусные
программы, скорее всего, приведет к постоянному появлению новых
вирусов, которые не подвержены влиянию существующих антивирусных
программ.
После определения источника угроз (кто и что является причиной
угрозы) и объекта угрозы (на какой из элементов системы может повлиять
угроза) необходимо оценить вероятность реализации угрозы.
Это следует иметь в виду:
частота возникновения угрозы (как часто она может возникать по
статистическим, экспериментальным и другим данным), если
имеются соответствующие статистические и другие материалы;
мотивация, возможности и ресурсы, требуемые потенциальным
нарушителем и, возможно, доступные ему; степень
привлекательности и уязвимости активов информационно-
технологической системы с точки зрения потенциального
нарушителя и источника преднамеренной угрозы;
географические факторы - такие как наличие поблизости
химических или нефтеперерабатывающих заводов, возможность
экстремальных погодных условий, а также факторы, которые могут
привести к ошибкам персонала, выходу из строя оборудования и
возникновению случайной угрозы.
Классификация возможностей реализации угроз (атак) представляет
собой совокупность возможных вариантов действий источника угроз
определенными способами реализации с использованием уязвимостей,
которые приводят к реализации целей атаки. Цель атаки может не совпадать
с целью реализации угроз и может быть направлена на получение
промежуточного результата, необходимого для достижения дальнейшей
26
реализации угрозы. В случае такого несоответствия нападение
рассматривается как этап подготовки к совершению действий, направленных
на реализацию угрозы, т. е. как «подготовка к совершению» противоправного
деяния. Результатом атаки являются последствия, которые являются
реализацией угрозы и / или способствуют такой реализации. Результаты
оценки угроз активам представлена в таблице 4.
Группа уязвимостей
о
Персональные компьютеры
данные
Коммуникационное
Сервера баз данных
Почтовый сервер
Учетная Система
Кадровый учет
Персональные
оборудование
сотрудниках
Windows 8
Содержание
уязвимости
1. Угрозы, обусловленные преднамеренными действиями
Похищение Средня Средня Средня
информации я я я
Вредоносное Высока Средня Средня Средня
программное я я я я
обеспечение
Взлом системы Средня Средня Высока Средня
я я я я
2. Угрозы, обусловленные случайными действиями
Ошибки Средня Средня Средня
пользователей я я я
Программные сбои Средня Средня Средня
я я я
Неисправность в Низкая Низкая Низкая
системе
кондиционирова
ния воздуха
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
27
Колебания Средня Низкая Низкая
напряжения я
Воздействие пыли Высока Средня Средня Средня
я я я я
Пожар Высока Низкая Низкая Средня
я я
Таблица 4. Оценка угроз активам
29
На момент анализа на предприятии абсолютно не были реализованы
организационные меры по защите информации, однако были представлены
программно-аппаратные и инженерно-технические средства защиты
информации.
Информационные ресурсы организации сконцентрированы в
офисном помещении организации ООО «Старый мастер»
Локальная вычислительная сеть организации состоит из сервера БД,
почтового сервера, рабочих станций, принтеров. Для объединения
компьютеров в локальную сеть используются хабы и свичи. Доступ к сети
Интернет осуществляется по волоконно-оптическому каналу Ethernet. На
рисунке 1.2.4.1 показана техническая архитектура ООО «Старый мастер».
1 0 1 2 1 2 3 2 3 4
Ценнос
2 1 2 3 2 3 4 3 4 5
ть
31
3 2 2 4 3 4 5 4 5 6
4 3 4 5 4 5 6 5 6 7
5 4 5 6 5 6 7 6 7 8
1 Персональные данные о 8
сотрудниках
2 Кадровый учет 7
3 Персональные компьютеры 6
4 Почтовый сервер 5
6 Оборудование для 2
обеспечения связи
7 Учетная Система 3
8 Windows 8 1
32
1.3. Характеристика комплекса задач, задачи и обоснование
необходимости совершенствования системы обеспечения
информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной
безопасности.
Угроза - совокупность условий и факторов, создающих
потенциальную или реальную угрозу нарушения конфиденциальности,
доступности и (или) целостности информации.
Если говорить об угрозах информационного и технического
характера, то можно выделить такие элементы, как кража информации,
вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников,
аппаратные и программные сбои, финансовое мошенничество и кража
оборудования.
Согласно статистике по этим угрозам, аналитические компании по
кибербезопасности приводят следующие данные:
кража информации - 64%;
вредоносное программное обеспечение - 60%;
хакерские атаки - 48%;
спам - 45%;
халатность сотрудников - 43%;
аппаратные и программные сбои - 21%;
кража оборудования - 6%;
финансовое мошенничество - 5%.
Как вы можете видеть из приведенных выше данных, кража
информации и вредоносных программ является наиболее распространенной.
В настоящее время такие угрозы информационной безопасности, как
кража баз данных, рост инсайдерских угроз, использование
информационного воздействия на различные информационные системы,
33
получили широкое развитие, и ущерб, наносимый злоумышленником,
увеличился. Внутренние угрозы информационной безопасности включают
нарушение конфиденциальности информации, искажение, потерю
информации, неисправности оборудования и информационных систем,
кражу оборудования. Опять же, основываясь на статистике, нарушения
конфиденциальности и искажения являются наиболее распространенными.
Так или иначе, утечка информации происходит по каналам утечки.
Большая часть этого аспекта - так называемый «человеческий фактор». То
есть сотрудники организации, что неудивительно, ведь у кого, как не у них,
достаточно полномочий и возможностей для получения информации. Но
совсем не обязательно красть информацию с целью, например, последующей
продажи. Если сотрудник хочет испортить репутацию компании или нанести
какой-либо ущерб в силу каких-либо обстоятельств (понижение в должности,
увольнение, разногласия с руководством и т.д.), более полно достаточно
исказить ценную для организации информацию, в результате чего эта
информация может потерять свою актуальность и ценность, или она просто
окажется недостоверной, не подлинной, что может привести, например, к
обманутым клиентам и партнерам. К счастью, таких “неблагополучных”
сотрудников не так много.
Если говорить о мотивах, побудивших человека, сотрудника
организации пойти на такие шаги, то на первом месте стоит хищение денег с
электронных счетов (изменение программ расчета заработной платы и
зачисления ее на индивидуальные счета, создание файлов с фиктивными
вкладчиками, конфискация в хранилищах кредитных и финансовых
учреждений банковских карт и ПИН-кодов к ним, фальсификация
информации о клиентах в базе данных фирм). Но это также не обходится без
фальсификации информации или повреждения программного обеспечения,
деактивации сайтов и так далее.
Наиболее опасными являются непреднамеренные действия персонала.
Примером может быть, уже привычная для современного человека вещь –
34
«флешка», или USB-накопитель на базе флэш-памяти. Часто сотрудники
организации используют флэш-накопители в своей работе. Или, из лучших
побуждений, человек может взять какую-то информацию домой, чтобы
поработать над ней (например, подготовка каких-либо отчетов или других
документов). В этом случае большой процент утечки информации
обусловлен потерей самого носителя – «флешки», из-за ее общих
характеристик.
Наиболее распространенными атаками являются:
Подслушивание («обнюхивание») - для подслушивания в
компьютерных сетях используется сниффер. Анализатор пакетов-это
прикладная программа, которая перехватывает все сетевые пакеты,
передаваемые через определенный домен.
Перехват пароля с открытым текстом, передаваемого по сети, путем
подслушивания на канале-это тип атаки подслушивания канала, называемой
«вынюхиванием пароля».
Изменение данных
Злоумышленник, способный прочитать данные, может изменить их.
Данные в пакете могут быть изменены, даже если злоумышленник ничего не
знает об отправителе или получателе.
Анализ сетевого трафика
Целью такого типа атаки является прослушивание каналов связи и
анализ передаваемых данных и служебной информации для изучения
топологии и архитектуры построения системы, а также получения важной
информации о пользователе. Протоколы, такие как FTP или Telnet,
подвержены этому типу атак.
Замена доверенного субъекта
Большинство сетей и операционных систем используют IP-адрес
компьютера, чтобы определить, является ли он правильным местом
назначения. Иногда возможно неправильное назначение IP-адреса. Эта атака
называется подменой IP-адресов.
35
Посредничество (Man-in-the-Middle)
Это подразумевает активное подслушивание, перехват и контроль
передаваемых данных невидимым промежуточным узлом.
Посредничество в обмене незашифрованными ключами (атака
«человек посередине»). Такие атаки осуществляются с целью кражи
информации, перехвата текущей сессии и получения доступа к ресурсам
частной сети, для анализа трафика и получения информации о сети и ее
пользователях, для проведения DoS-атаки, искажения передаваемых данных
и введения несанкционированной информации в сетевые сеансы.
Захват сеанса
В конце начальной процедуры аутентификации соединение,
установленное законным пользователем, переключается злоумышленником
на новый хост, и исходному серверу дается указание прервать соединение.
Отказ в обслуживании (DoS)
Эта атака делает сеть организации недоступной для нормального
использования из-за превышения допустимых пределов сети, операционных
систем или приложений.
Атаки с использованием паролей
Такие атаки включают в себя захват пароля и логина законного
пользователя. Злоумышленники могут проводить атаки с использованием
паролей, используя следующие методы:
Подмена IP-адресов (IP-подмена);
Подслушивание (обнюхивание);
Простая грубая сила.
Эти методы позволяют вам получить пароль и имя пользователя, если
они передаются открытым текстом по незащищенному каналу.
Угадывание ключа
Криптографический ключ-это код или номер, необходимый для
расшифровки защищенной информации. Ключ, к которому злоумышленник
получает доступ, называется скомпрометированным. Злоумышленник
36
использует скомпрометированный ключ для получения доступа к
защищенным передаваемым данным без ведома отправителя и получателя.
Ключ позволяет расшифровывать и изменять данные.
Сетевой интеллект - это сбор информации о сети с использованием
общедоступных данных и приложений. Сетевая разведка выполняется в
форме DNS-запросов, проверки пинга и сканирования портов.
Злоупотребление доверием - это злонамеренное использование
отношений доверия, существующих в сети.
Компьютерные вирусы, сетевые черви, троянский конь
Вирусы - это вредоносные программы, которые внедряются в другие
программы для выполнения определенной нежелательной функции на
рабочей станции конечного пользователя.
Конкретные угрозы безопасности
Поскольку все сотрудники компании имеют бесплатный доступ в
Интернет, наиболее частыми и опасными угрозами являются компьютерные
вирусы.
Компьютерный вирус-это разновидность компьютерных программ,
отличительной особенностью которых является способность к
самовоспроизведению (самовоспроизведению). Кроме того, вирусы могут без
ведома пользователя совершать другие произвольные действия, в том числе
те, которые наносят вред пользователю и / или компьютеру. По этой причине
вирусы классифицируются как вредоносные программы.
Как правило, программа заражается таким образом, что вирус
получает контроль раньше, чем сама программа. Для этого он либо встроен в
начало программы, либо имплантирован в ее тело таким образом, что первая
команда зараженной программы является безусловным переходом к
компьютерному вирусу, текст которого заканчивается аналогичной командой
безусловного перехода к команде вирусоносителя, которая была первой до
заражения. Получив контроль, вирус выбирает следующий файл, заражает
37
его, возможно, выполняет какие-то другие действия, а затем передает
контроль вирусоносителю.
«Первичное» заражение происходит в процессе получения
зараженных программ из памяти одной машины в память другой, и в
качестве средства перемещения этих программ могут использоваться как
любые цифровые носители информации, так и каналы компьютерных сетей.
Вирусы, использующие сетевые инструменты для распространения,
обычно называются сетевыми вирусами. Жизненный цикл вируса обычно
включает следующие периоды: внедрение, инкубация, репликация
(самовоспроизведение) и проявление. В течение инкубационного периода
вирус пассивен, что усложняет задачу его обнаружения и нейтрализации. На
стадии проявления вирус выполняет свои характерные целевые функции,
например, необратимую коррекцию информации в компьютере или на
магнитных носителях.
Физическая структура компьютерного вируса довольно проста. Он
состоит из головы и, возможно, хвоста. Под головкой вируса понимается его
компонент, который первым получает контроль. Хвост-это часть вируса,
расположенная в тексте зараженной программы отдельно от головы. Вирусы
с одной головкой называются несегментированными, в то время как вирусы с
головой и хвостом называются сегментированными.
Некоторые из наиболее распространенных признаков вирусной
инфекции на вашем компьютере включают следующее:
некоторые ранее запущенные программы перестают запускаться
или внезапно останавливаются в середине своей работы;
увеличивается длина исполняемых файлов;
объем свободной дисковой памяти быстро уменьшается;
на носителях появляются дополнительные плохие кластеры, в
которых вирусы скрывают свои фрагменты или части
поврежденных файлов;
работа некоторых программ замедляется;
38
бессмысленные фрагменты появляются в текстовых файлах;
есть попытки записи на защищенную дискету;
на экране появляются странные сообщения, которых раньше не
наблюдалось;
файлы отображаются со странными датами и временем создания
(несуществующие дни несуществующих месяцев, годы следующего
столетия, часы, минуты и секунды, которые не вписываются в
общепринятые интервалы и т.д.);
операционная система прекращает загрузку с жесткого диска;
появляются сообщения об отсутствии жесткого диска;
данные на носителе повреждены.
Наиболее существенные признаки компьютерных вирусов позволяют
нам классифицировать их следующим образом.
1. По среде обитания вирусы различают сетевые, файловые,
загрузочные и файл-загрузочные;
2. Резидентные и нерезидентные вирусы различают в зависимости от
способа заражения;
3. По степени воздействия вирусы являются неопасными, опасными и
очень опасными;
4. В соответствии с особенностями алгоритмов вирусы
подразделяются на паразитические, репликаторы, невидимые, мутанты,
троянские, макровирусы.
Загрузочные вирусы заражают загрузочный сектор жесткого диска
или дискеты и загружаются каждый раз при загрузке операционной системы.
Резидентные вирусы загружаются в память компьютера и остаются
там до тех пор, пока компьютер не будет выключен.
Самоизменяющиеся вирусы (мутанты) изменяют свое тело таким
образом, что антивирусная программа не может его идентифицировать.
Вирусы-невидимки (невидимые) перехватывают вызовы к
зараженным файлам и областям и выдают их в неинфицированной форме.
39
Троянские вирусы маскируют свои действия под выполнение обычных
приложений.
По степени и способу маскировки:
вирусы, которые не используют средства маскировки;
вирусы – невидимки - вирусы, которые пытаются быть
невидимыми, контролируя доступ к зараженным элементам
данных;
мутантные вирусы (вирусы MtE) - вирусы, содержащие алгоритмы
шифрования, которые различают различные копии вируса.
Вирусы MtE подразделяются на:
обычные мутантные вирусы, в разных копиях которых различаются
только зашифрованные тела, а дешифровщики одинаковы;
полиморфные вирусы, в разных копиях которых различаются не
только зашифрованные тела, но и их дешифраторы.
Следующие объекты могут быть заражены вирусом:
1. Исполняемые файлы, т. е. файлы с расширениями .com и .exe, а
также файлы наложения, загружаемые при выполнении других
программ. Вирусы, которые заражают файлы, называются
файловыми вирусами. Вирус в зараженных исполняемых файлах
начинает свою работу при запуске программы, в которой он
находится. Наиболее опасными вирусами являются те, которые
остаются в памяти после их запуска - они могут заражать файлы и
выполнять вредоносные действия до следующей перезагрузки
компьютера. И если они заразят какую-либо программу из
автозапуска компьютера, то при перезагрузке с жесткого диска
вирус снова начнет свою работу.
2. Загрузчик и основная загрузочная запись на жестком диске.
Вирусы, которые заражают эти области, называются загрузочными
вирусами. Такой вирус начинает свою работу, когда компьютер
загружается и становится резидентным, то есть находится в памяти
40
компьютера. Механизм распространения загрузочных вирусов
заключается в заражении загрузочных записей дискет, вставленных
в компьютер. Эти вирусы часто состоят из двух частей, потому что
загрузочная запись невелика, и в них трудно вместить всю
вирусную программу. Часть вируса находится в другой части диска,
например, в конце корневого каталога диска или в кластере в
области данных диска. Как правило, такой кластер объявляется
неисправным, чтобы предотвратить перезапись вируса при записи
данных на диск.
3. Файлы документов, информационные файлы баз данных, таблицы
процессоров таблиц и другие подобные файлы могут быть
заражены макровирусами. Макровирусы используют возможность
вставки макросов в формат многих документов.
43
Для защиты информационных ресурсов организации крайне важно
ознакомить сотрудников с общими правилами защиты официальной
информации и принципами работы средств хранения и обработки.
Защита организационной информации - это внутреннее ограничение
деятельности для внутренних и внешних угроз.
Организационная защита обеспечивает:
организация охраны, режима, работы с персоналом, с документами;
использование технических средств обеспечения безопасности и
информационно-аналитической деятельности для выявления
внутренних и внешних угроз предпринимательской деятельности.
Выбор защитных мер. В качестве организационных мер по
обеспечению физической, личной и административной безопасности.
Защитные меры для обеспечения физической безопасности включают в себя
защиту внутренних стен здания, использование кодовых дверных замков,
систем пожаротушения и служб безопасности. Обеспечение безопасности
персонала включает проверку лиц при приеме на работу (особенно тех, кто
набирает сотрудников на должности, связанные с безопасностью),
мониторинг работы персонала и реализацию программ по защите знаний и
понимания мер.
Административная безопасность включает в себя методы безопасной
документации, разработки приложений и прикладных программ, а также
процедуры обработки инцидентов при нарушениях безопасности. При таком
способе обеспечения безопасности очень важно, чтобы каждая система
бизнес-системы, включая возможность возникновения непредвиденных
обстоятельств (устранение последствий нарушения систем безопасности),
включала в себя стратегию и план (планы).
План должен содержать подробную информацию о важнейших
функциях и приоритетах, необходимых условиях обработки и методах
организации, которые необходимы в случае аварии или временного сбоя
системы. В плане должны быть изложены шаги, которые необходимо
44
предпринять для обеспечения безопасности конфиденциальной информации,
обработки бизнеса, а не прекращения бизнеса.
Организационные меры необходимы для любой системы
информационной безопасности.
Организационные меры включают реализацию концепции
информационной безопасности, а также:
составление рекомендаций для пользователей и обслуживающего
персонала;
создание правил администрирования информационной системы, учета,
хранения, воспроизведения, уничтожения носителей информации,
идентификации пользователей;
разработка планов действий в случае попытки несанкционированного
доступа к информационным ресурсам системы, отказа средств,
возникновения чрезвычайной ситуации;
обучение правилам информационной безопасности пользователей.
На некоторых уровнях риска, для выбора эффективных защитных мер,
необходимо учитывать результаты анализа рисков. Наличие уязвимости к
определенным типам позволяет определить, где и в какой форме
используется применение дополнительных мер защиты.
Не использовать в работе компании непроверенное программное
обеспечение, в отношении которого нет уверенности в том, что оно не
создает и не отправляет разработчикам отчеты в Интернет, с информацией о
работе компьютеров.
Необходимо приобрести и установить сертифицированные средства
информационной безопасности.
Необходимо запретить сотрудникам несанкционированную установку
нового программного обеспечения и проинструктировать, что все
исполняемые файлы, полученные по электронной почте, должны быть
немедленно уничтожены без запуска.
45
В обязательном порядке должны быть реализованы следующие
организационные меры:
1. для всех лиц, имеющих право доступа к компьютерному
оборудованию, должны быть определены категории допуска;
2. определена административная ответственность лиц за сохранность
и авторизацию доступа к имеющимся информационным ресурсам;
3. периодический системный контроль за качеством защиты
информации был установлен путем регулярного технического
обслуживания как самим лицом, ответственным за безопасность,
так и с привлечением специалистов;
4. информация классифицируется в соответствии с ее важностью;
5. организована физическая защита.
Документированная политика информационной безопасности должна
указывать приверженность руководства и определять подход к управлению
информационной безопасностью в организации.
Документированная политика должна содержать следующие
утверждения:
определение понятия информационной безопасности, ее основных
целей, сферы охвата и важности безопасности как механизма,
позволяющего обмениваться информацией;
заявление о намерении руководства поддерживать достижение
целей и соблюдение принципов информационной безопасности в
соответствии с целями и стратегией бизнеса;
руководящие принципы для постановки целей и контроля, включая
рамки для оценки рисков и управления ими;
краткое объяснение политики, стандартов, принципов и требований
безопасности, имеющих особое значение для организации, включая:
соблюдение требований законодательства, нормативно-правовой
базы и договоров;
46
требования к повышению осведомленности, образованию и
профессиональной подготовке в области безопасности;
управление непрерывностью бизнеса;
последствия нарушений политики информационной безопасности;
определение общей и индивидуальной ответственности за
управление информационной безопасностью, включая отчетность
об инцидентах безопасности;
ссылки на документы, которые могут поддерживать политику,
такие как более подробные политики и процедуры безопасности для
отдельных информационных систем или правила безопасности,
которым должны следовать пользователи.
Эта политика информационной безопасности должна быть доведена
до сведения всех пользователей организации в актуальной, доступной и
понятной для предполагаемых читателей форме.
В том случае, если для обеспечения безопасности информационно-
технологической системы используется базовый подход, выбор защитных
мер относительно прост. Справочные материалы по гарантиям (каталоги)
предлагают набор гарантий, которые могут защитить систему
информационных технологий от наиболее распространенных типов угроз. В
этом случае меры безопасности, рекомендованные каталогом, следует
сравнить с уже действующими или запланированными, а меры, упомянутые в
каталоге (отсутствующие или не планируемые к применению), должны
составить список защитных мер, которые необходимо реализовать для
обеспечения базового уровня безопасности.
47
инженерно-технических мероприятий зависит от уровня информационной
безопасности, который необходимо обеспечить.
Инженерные гарантии включают защиту аппаратных средств,
программного обеспечения и систем связи. В этом случае выбор защитных
мер осуществляется в соответствии со степенью их риска для обеспечения
функциональной пригодности и надежной системы безопасности.
Удобство использования системы должно включать, например,
выполнение идентификации и аутентификации пользователей, выполнение
требований логического контроля доступа, обеспечение отслеживания и
регистрации событий безопасности, обеспечение безопасности путем
обратного вызова запрашивающего, аутентификацию сообщений,
шифрование информации и т.д. и т.д. Требования к надежности систем
безопасности определяют уровень уверенности, необходимый при
реализации функций безопасности, и тем самым определяют типы проверок,
тестов безопасности и т.д., Которые обеспечивают подтверждение этого
уровня. При принятии решения об использовании дополнительного
комплекса организационных и технических защитных мер могут быть
выбраны различные варианты выполнения требований по обеспечению
технической безопасности.
Необходимо определить структуру технической безопасности для
каждого из этих вариантов, с помощью которой можно получить
дополнительное подтверждение правильности построения системы
безопасности и возможности ее реализации на заданном технологическом
уровне.
Инженерно - техническая защита использует следующие средства:
физические средства;
оборудование;
программные средства;
криптографические средства.
48
Инженерно - технические меры, принимаемые для защиты
информационной инфраструктуры организации, могут включать
использование безопасных соединений, брандмауэров, разграничение
информационных потоков между сегментами сети, использование
шифрования и защиту от несанкционированного доступа.
Средства защиты данных, которые функционируют как часть
программного обеспечения, называются программным обеспечением.
Среди них можно выделить следующие:
средства архивирования данных;
антивирусные программы;
средства идентификации и аутентификации пользователей;
контроль доступа и т.д.
Предлагаем к вниманию некоторые из них.
Антивирусные программы
Антивирусная программа (антивирус) - любая программа для
обнаружения компьютерных вирусов, а также нежелательных (считающихся
вредоносными) программ в целом и восстановления файлов, зараженных
(измененных) такими программами, а также для профилактики -
предотвращения заражения (модификации) файлов или операционной
системы вредоносным кодом.
Основные задачи современных антивирусных программ:
сканирование файлов и программы в режиме реального времени;
сканирование компьютера по требованию;
сканирование интернет-трафика;
сканирование электронной почты;
защита от атак с опасных веб-сайтов;
восстановление поврежденных файлов (лечение).
50
ограничить или запретить доступ хостов во внутренней сети к
сервисам во внешнем Интернете;
для поддержки преобразования сетевых адресов (NAT), что
позволяет использовать частные IP-адреса во внутренней сети и
использовать одно и то же подключение к Интернету.
В зависимости от охвата отслеживаемых потоков данных
брандмауэры подразделяются на:
традиционный брандмауэр - программа (или неотъемлемая часть
операционной системы) на шлюзе (сервере, который передает
трафик между сетями) или аппаратное решение, которое управляет
входящими и исходящими потоками данных между
подключенными сетями.
персональный брандмауэр - это программа, установленная на
компьютере пользователя и предназначенная для защиты только
этого компьютера от несанкционированного доступа.
Вырожденным случаем является использование традиционного
брандмауэра сервером для ограничения доступа к своим собственным
ресурсам.
В зависимости от уровня, на котором осуществляется контроль
доступа, существует разделение на брандмауэры, работающие на:
сетевой уровень, когда фильтрация основана на адресах
отправителя и получателя пакетов, номерах портов транспортного
уровня модели OSI и статических правилах, установленных
администратором;
уровене сеанса (также известный как с сохранением состояния) -
отслеживание сеансов между приложениями, недопущение пакетов,
нарушающих спецификации TCP / IP, часто используемых в
вредоносных операциях - сканирование ресурсов, взлом с помощью
неправильных реализаций TCP / IP, отключенные / замедленные
соединения, ввод данных;
51
уровне приложения, фильтрация на основе анализа данных
приложения, передаваемых в пакете. Эти типы экранов позволяют
блокировать передачу нежелательной и потенциально опасной
информации на основе политик и настроек.
Некоторые решения, связанные с брандмауэрами прикладного уровня,
представляют собой прокси-серверы с некоторыми возможностями
брандмауэра, реализующие прозрачные прокси-серверы,
специализирующиеся на протоколах.
Возможности прокси-сервера и специализация на нескольких
протоколах делают фильтрацию намного более гибкой, чем на классических
брандмауэрах, но такие приложения имеют все недостатки прокси-серверов
(например, анонимизация трафика).
В зависимости от отслеживания активных подключений брандмауэры
бывают:
с простой фильтрацией (stateless), которые не отслеживают текущие
соединения (например, TCP), но фильтруют поток данных
исключительно на основе статических правил;
с контекстно-зависимой фильтрацией (stateful, stateful packet inspection)
проверка пакетов с учетом состояния, мониторинг текущих соединений
и передача только тех пакетов, которые удовлетворяют логике и
алгоритмам соответствующих протоколов и приложений. Эти типы
брандмауэров позволяют более эффективно бороться с различными
типами DoS-атак и уязвимостями некоторых сетевых протоколов.
Кроме того, они обеспечивают работу таких протоколов, как H. 323,
SIP, FTP и т.д., Которые используют сложные схемы передачи данных
между получателями, которые трудно описать, статическими
правилами и часто несовместимы со стандартными брандмауэрами с
простой фильтрацией.
Предложим 2 варианта межсетевого экрана:
52
брандмауэр Cisco Secure PIX помогает защитить корпоративные
сети на уровнях, ранее недостижимых, сохраняя при этом простоту
использования.
брандмауэр PIX может обеспечить абсолютную безопасность
внутренней сети, полностью скрывая ее от внешнего мира.
Контроль доступа
Для выполнения производственных задач сотрудники организации
должны иметь доступ к большому количеству приложений. При
традиционном подходе к безопасности учетная запись создается для
сотрудника в каждом приложении.
Под доступом к информации понимается совокупность действий,
таких как ознакомление с информацией, ее обработка, в частности
копирование, изменение или уничтожение информации, разрешенных для
выполнения пользователями системы над объектами данных.
Различают разрешенный (авторизованный) и несанкционированный
(неавторизованный) доступ к информации:
авторизованный доступ к информации - это доступ к информации,
которая не нарушает установленные правила разграничения доступа;
несанкционированный доступ к информации характеризуется
нарушением установленных правил разграничения доступа.
Несанкционированный доступ является наиболее распространенным
типом компьютерного нарушения. Несанкционированный доступ к
информации - доступ к информации с нарушением служебных полномочий
сотрудника, доступ к информации, закрытой для публичного доступа
лицами, не имеющими разрешения на доступ к этой информации.
Контроль доступа - это предотвращение несанкционированного
использования системного ресурса, включая его защиту от
несанкционированного использования.
53
Прежде чем получить доступ к ресурсам компьютерной системы,
пользователь должен пройти процесс представления в компьютерную
систему, который включает в себя два этапа:
идентификация объекта является одной из функций подсистемы
защиты. Если процедура идентификации пройдет успешно, этот
объект считается законным для данной сети.
аутентификация - проверка принадлежности субъекта доступа к
представленному им идентификатору; подтверждение подлинности.
После идентификации объекта и подтверждения его подлинности
устанавливается сфера его действия и доступные ему ресурсы компьютерной
сети. Эта процедура называется авторизацией.
Для защиты информации от несанкционированного доступа создается
система разграничения доступа к информации. Исходной информацией для
создания системы контроля доступа является решение системного
администратора компьютерной сети разрешить пользователям доступ к
определенным информационным ресурсам.
При определении разрешений на доступ системный администратор
устанавливает разрешения, которые пользователь может выполнять.
Различают следующие файловые операции:
чтение (R);
запись;
выполнение программ (E).
Получить несанкционированный доступ к информации при наличии
системы контроля доступа возможно только в случае сбоев и сбоев
компьютерной сети, а также использования слабых мест в интегрированной
системе защиты информации. Одним из способов получения информации о
недостатках системы защиты является изучение механизмов защиты.
Описание системы разграничения доступа
Система разграничения доступа к информации должна содержать
четыре функциональных блока:
54
блок идентификации и аутентификации субъектов доступа;
менеджер доступа;
блок криптографического преобразования информации при ее
хранении и передаче;
блок для очистки памяти.
Контроль доступа к оборудованию
Важным шагом для защиты от утечки информации является
использование средств контроля доступа к съемным носителям и
компьютерным портам ввода-вывода
Каждое устройство для передачи информации является
потенциальным каналом утечки.
Наибольшую угрозу безопасности локальных сетей представляют не
внешние угрозы (из Интернета), а внутренние. Внутренние угрозы вызваны
тем, что сотрудники имеют доступ к важной информации изнутри - со своих
компьютеров, подключенных к локальной сети. Если этот доступ не
контролируется, следствием может быть несанкционированное копирование
и удаление конфиденциальной информации, а также появление на рабочих
компьютерах вредоносных программ (вирусов, троянов) и просто
бесполезных файлов (например, видео и музыки).
Уволенный сотрудник может в отместку или для личной выгоды
передать конфиденциальные данные конкурентам или опубликовать их для
свободного доступа. Недавние исследования показали, что большинство
людей готовы украсть коммерческую информацию в случае ее сокращения
из-за мирового финансового кризиса.
Поэтому очень важно контролировать и блокировать доступ
сотрудников к USB-накопителям, картам памяти, CD-и DVD-приводам,
адаптерам Wi-Fi и Bluetooth.
В связи с этим предложим использовать инструмент контроля доступа
для съемных носителей и устройств в системах блокировки устройств.
55
DeviceLock - это инструмент для контроля и регистрации доступа
пользователей к устройствам и портам ввода-вывода на компьютере.
Контроль доступа ко всем типам внешних носителей (CD и DVD-приводы,
жесткие диски, съемные накопители, локальные и сетевые принтеры,
дисководы и смартфоны), порты ввода-вывода (USB, COM). Полная
интеграция с Microsoft Active Directory, работа с отдельными пользователями
и группами, возможность установки типа доступа «только для чтения»,
подробный аудит (включая теневое копирование) действий пользователя с
устройствами и данными, контроль доступа в зависимости от дня недели и
времени.
Резервная копия
Перебои в подаче электроэнергии, неисправности кабелей, сбои
компьютерного и сетевого оборудования, сбои в работе программного
обеспечения, ошибки пользователей и, наконец, стихийные бедствия-вот
некоторые из причин, которые могут привести к потере данных. Поскольку
данные являются очень важной частью организации, необходимо обеспечить
защиту этих данных. Одним из способов защиты данных является резервное
копирование.
Резервное копирование - это процесс создания копии данных на
носителе (жестком диске, дискете и т.д.), предназначенный для
восстановления данных в их первоначальном расположении в случае
повреждения или уничтожения, с использованием соответствующих
программ-дубликаторов резервного копирования данных.
Существуют следующие уровни резервного копирования:
1. Полное резервное копирование – это резервное копирование, при
котором снимок операционной системы, диска, раздела или отдельных
папок содержит все резервируемые данные. Такие снимки,
создаваемые в рамках одной и той же задачи по бэкапу, независимы
друг от друга, повреждение одного из них никак не повлияет на другие
снимки. Это самый надёжный метод резервного копирования, но,
56
вместе с тем, самый затратный по ресурсам дискового пространства.
Например, образ рабочей Windows без особых каких-то громоздких
программ и игр будет весить примерно 20 Гб. Если по мере создания
новых бэкапов не избавляться от старых, диск-хранилище просто
забьётся ими под завязку.
2. Дифференциальное резервное копирование – это такое резервное
копирование, при котором полная копия создаётся единожды в начале,
а все последующие копии, создаваемые в рамках одной и той же
задачи, содержат не все данные, а лишь произошедшие изменения с
момента создания первичной полной копии. Ключевой момент здесь –
с момента создания полной копии. Тогда как при инкрементом
копировании вторая инкрементная копия цепочки являет собой
разницу между ней и первой копией, при дифференциальном и первая,
и вторая, и третья, и четвёртая, и все следующие дифференциальные
копии будут зависимыми только от полной копии. Но никак не
зависимыми друг от друга. Удаление или повреждение любой из
дифференциальных копий не повлияет на другие копии – ни на те, что
создавались до удалённой (повреждённой), ни на те, что после неё.
Дифференциальные резервные копии – это тоже точки восстановления.
Необходимость дифференциальной копии каждый раз сравнивать себя
с полной первичной копией, соответственно, влечёт за собой
использование большего дискового пространства.
3. Инкрементное резервное копирование (добавочное резервирование) –
это такое резервное копирование, при котором полная копия создаётся
единожды в начале, а все последующие копии, создаваемые в рамках
одной и той же задачи, содержат не все данные, а лишь произошедшие
изменения - какие файлы удалены, а какие добавлены. Первая
инкрементная копия содержит разницу в данных между ней самой и
полной копией. А вторая инкрементная копия содержит разницу между
ней самой и первой инкрементной копией. Третья – между ней самой и
57
второй. И так далее. Каждая новая инкрементная копия зависит от
своей предшественницы и не может быть задействована для процесса
восстановления без такой предшественницы. Ну и, конечно же, без
полной первичной копии. Каждая из резервных копий задачи – хоть
полная, хоть инкрементная - являет собой точку восстановления. И мы
всегда сможем выбрать дату или время, на которое хотим откатить
систему или данные. Удаление инкрементной копии (или повреждение
её вирусами) не будет иметь следствием неработоспособность
предыдущих инкрементных копий и первичной полной. А вот
последующих – будет. К точкам после удалённой инкрементной копии
откатиться мы уже не сможем. В этом плане, конечно, метод
инкрементного копирования уязвим, но его сильной стороной является
обеспечение отката к разным точкам состояния при минимально
занятом дисковом пространстве. Ведь при незначительных изменениях
каждая новая копия будет весить пару Мб разницы между ней и
предшественницей.
4. Пофайловый метод резервного копирования – при данном методе
добавление информации в архив осуществляется только по
определенным критериям, например, добавляются только файлы
определенного формата. Всегда следует использовать предлагаемую
опцию верификации. При верификации, все копируемые с диска
данные перечитываются с источника и проверяются или побайтно
сравниваются с данными на носителе. Так как фрагментированные
файлы на диске из-за большего количества выполняемых операций
поиска замедляют процесс резервирования, то производительность
можно обычно увеличить производя регулярную дефрагментацию
диска. При дефрагментации блоки данных располагаются по порядку,
друг за другом так, чтобы они были доступны в кэше упреждающего
чтения.
58
5. Блочное инкрементальное резервное копирование (Block level
incremental) – при данном методе копирования добавление новой
информации в уже существующие архивы осуществляется путем
добавки к исходному нескольких блоков вновь созданных архивов.
Для резервного копирования предлагаем использовать
специализированное программное обеспечение, такое как Acronis True Image.
Acronis True Image-это программное обеспечение для резервного
копирования и восстановления данных. Программное обеспечение позволяет
пользователю создавать образ диска во время работы под управлением
Microsoft Windows или в автономном режиме путем загрузки с компакт-
диска, DVD-диска, USB-накопителя или другого загрузочного носителя.
Криптографические инструменты
Методы криптографической защиты информации используются для
обработки, хранения и передачи информации на носителях и по сетям связи.
Криптографическая защита информации при передаче данных на
большие расстояния является единственным надежным методом
шифрования. Цели защиты информации в конечном счете сводятся к
обеспечению конфиденциальности информации и защите информации в
компьютерных системах в процессе передачи информации по сети между
пользователями системы.
Контроль действия пользователей.
Система контроля действий пользователя — программный или
программно-аппаратный комплекс, позволяющий отслеживать действия
пользователя. Данная система осуществляет мониторинг рабочих операций
пользователя на предмет их соответствия корпоративным политикам.
Для минимизации инсайдерских угроз со стороны сотрудников
предлагаем использовать LanAgent.
LanAgent-это программа для мониторинга компьютеров в локальной
сети. Предназначен для мониторинга действий пользователя. LanAgent
отслеживает активность на любом компьютере, подключенном к сети вашей
59
организации. Программа позволит вам выявить виды деятельности, не
связанные с работой, покажет, насколько рационально сотрудники
используют свое рабочее время.
Особенности LanAgent:
регистрирует все нажатия клавиш;
делает скриншоты (скриншоты) через определенный промежуток
времени;
запоминает запуск и закрытие программ;
отслеживает содержимое буфера обмена;
контролирует файловую систему;
перехват сообщений мессенджеров: Viber, WhatsApp, Telegram,
Jabber;
мониторинг web почты;
перехват отправленных на печать документов;
перехват сообщений вконтакте, одноклассниках и др. соц. сетях
перехватывает посещенные сайты;
контролирует запуск / выключение компьютера;
расширенная система аналитических отчетов;
вся информация хранится в базе данных на компьютере
администратора;
удаленное управление настройками агента, возможность
удаленного запуска / остановки мониторинга;
автоматическое получение журналов от агентов на компьютер
администратора;
журналы шифруются по сети;
агенты полностью невидимы на компьютерах пользователей;
возможность отправлять текстовые сообщения на компьютер
пользователя и многое другое.
60
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной
безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа
создания системы обеспечения информационной безопасности и защиты
информации предприятия
Появление новых информационных технологий и развитие мощных
компьютерных систем для хранения и обработки информации повысили
уровни защиты информации и обусловили необходимость повышения
эффективности защиты информации наряду со сложностью архитектуры
хранения данных. Так, постепенно защита экономической информации
становится обязательной: разрабатываются всевозможные документы по
защите информации, формируются рекомендации по защите информации;
реализуется федеральный закон "О защите информации", в котором
рассматриваются проблемы защиты информации и задачи защиты
информации, а также решаются некоторые уникальные вопросы защиты
информации.
Законодательные меры по защите информации заключаются в реализации
существующих в стране или введении новых законов, постановлений, указов
и инструкций, регулирующих юридическую ответственность должностных
лиц - пользователей и обслуживающего технического персонала - за утечку,
потерю или изменение вверенной им информации, подлежащей защите, в
том числе за попытки совершения аналогичных действий за пределами их
полномочий, а также ответственность неуполномоченных лиц за попытку
умышленного несанкционированного доступа к информационному
оборудованию.
Целью законодательных мер является предотвращение и сдерживание
потенциальных нарушителей. [восемь]
61
Роль стандартов закреплена в основных понятиях Закона Российской
Федерации "О техническом регулировании" от 27 декабря 2002 года под №
184-ФЗ (принят Государственной Думой 15 декабря 2002 года):
• стандарт - документ, устанавливающий характеристики продукции, правила
реализации и характеристики процессов производства, эксплуатации,
хранения, транспортировки, продажи и утилизации, выполнения работ или
оказания услуг с целью добровольного повторного использования.
• стандартизация - деятельность по установлению правил и характеристик с
целью их добровольного повторного использования, направленная на
достижение упорядоченности в производстве и обороте продукции и
повышение конкурентоспособности продукции, работ и услуг. [девять]
Государственные (национальные) стандарты Российской Федерации.
Установление стандартов и нормативных актов в области информационной
безопасности в Российской Федерации является важнейшей регулирующей
функцией.
Среди различных стандартов безопасности информационных технологий,
существующих в настоящее время в России, существуют следующие
нормативные документы по критериям оценки безопасности компьютерных
технологий и автоматизированных систем и документы, регулирующие
информационную безопасность (таблица 7, строки 1-10). Они могут быть
дополнены нормативными документами по криптографической защите
систем обработки информации и информационных технологий (таблица 7,
строки 11-13).
Таблица 7. Российские стандарты, регулирующие информационную
безопасность
№ Стандарт Наименование
п/п
62
2 ГОСТ Р Методы и средства обеспечения безопасности. Критерии оценки
ИСО/МЭК безопасности информационных технологий. Часть 2.
15408-2-2008 Функциональные требования безопасности
63
Внедрение в 1999 году Международного стандарта ISO 15408 в области
информационной безопасности стало гарантией качества и надежности
программных продуктов, сертифицированных в соответствии с ним.
Стандарт ISO 15408-2002 позволил потребителям лучше ориентироваться
при выборе программного обеспечения и покупке продуктов, отвечающих их
требованиям безопасности, и, как следствие, повысил
конкурентоспособность ИТ-компаний, которые сертифицируют свою
продукцию в соответствии с ISO 15408.
ГОСТ Р ИСО / МЭК 15408-2002 "Критерии оценки безопасности
информационных технологий" действует в России с января 2004 года и
является аналогом стандарта ISO 15408. ГОСТ Р И СО / МЭК 15408, также
называемый "Общие критерии", на сегодняшний день является наиболее
полным стандартом, определяющим инструменты оценки безопасности
информационных систем и порядок их использования. Он направлен на
защиту информации от несанкционированного раскрытия, изменения,
полной или частичной потери и применим к защитным мерам, реализуемым
аппаратным, встроенным и программным обеспечением.
ГОСТ Р ИСО / МЭК 15408-2002 состоит из трех частей.
Часть 1 (ГОСТ Р ИСО / МЭК 15408-1 "Введение и общая модель")
устанавливает общий подход к формированию требований безопасности и
оценке безопасности. На их основе разрабатываются базовые конструкции
(профиль безопасности и цель безопасности) для представления требований
безопасности в интересах потребителей, разработчиков и оценщиков ИТ-
продуктов и систем.
Часть 2 (ГОСТ Р ИСО / МЭК 15408-2 "Требования функциональной
безопасности") содержит универсальный каталог требований
функциональной безопасности и предусматривает возможность их
детализации и расширения в соответствии с определенными правилами.
Часть 3 (ГОСТ Р ИСО / МЭК 15408-3 "Требования к обеспечению
безопасности") включает систематизированный каталог требований к
64
обеспечению безопасности, определяющих меры, которые должны быть
приняты на всех этапах жизненного цикла продукта или системы
информационных технологий для обеспечения того, чтобы они
удовлетворяли предъявляемым к ним функциональным требованиям.
Основные преимущества ГОСТ Р ИСО / МЭК 15408:
• полнота требований к IB;
• гибкость в применении;
• открытость для дальнейшего развития с учетом последних достижений
науки и техники.
Международные стандарты
ISO (Международная организация по стандартизации) и IEC
(Международная электротехническая комиссия) образуют
специализированную систему всемирной стандартизации. Государственные
органы, являющиеся членами ИСО или МЭК, участвуют в разработке
международных стандартов через технические комитеты, созданные
соответствующей организацией для стандартизации конкретных областей
технической деятельности. Технические комитеты ИСО и МЭК
сотрудничают в областях, представляющих взаимный интерес. В этой работе
также участвуют другие международные организации, правительственные и
неправительственные, совместно с ИСО и МЭК. В области информационных
технологий ИСО и МЭК создали совместный технический комитет ISO / IEC
JTC 1. Основной задачей объединенного технического комитета является
подготовка международных стандартов. Проекты международных
стандартов, принятые объединенным техническим комитетом,
представляются на голосование в государственные органы. Публикация в
качестве международного стандарта требует одобрения не менее 75
процентов проголосовавших государственных органов. [восемнадцать]
Существуют две группы стандартов и спецификаций, которые существенно
отличаются друг от друга:
65
• стандарты оценки, предназначенные для оценки и классификации
информационных систем и мер безопасности в соответствии с требованиями
безопасности;
• спецификации, регулирующие различные аспекты внедрения и
использования средств и методов защиты.
Стандарты оценки описывают наиболее важные, с точки зрения
информационной безопасности, концепции и аспекты ИБ, играющие роль
организационных и архитектурных спецификаций. Другие спецификации
определяют, как создавать ИУ с заданной архитектурой и соответствовать
требованиям организации.
Первым международно признанным стандартом оценки, оказавшим
чрезвычайно сильное влияние на последующие разработки в области
информационной безопасности, были "Критерии оценки надежных
компьютерных систем" Министерства обороны США, известные (по цвету
обложки) как "Оранжевая книга". В нем заложены концептуальные основы
информационной безопасности.
После "Оранжевой книги" была выпущена целая серия "Радуга". С
концептуальной точки зрения наиболее важным документом в нем является
"Интерпретация Оранжевой книги для сетевых конфигураций." Она состоит
из двух частей. Первый содержит интерпретацию, второй описывает службы
безопасности, специфичные или особенно важные для сетевых
конфигураций.
Международный стандарт ISO / IEC 17799: 2000 (BS 7799-1: 2000)
"Управление информационной безопасностью - Информационные
технологии" является одним из наиболее известных стандартов в области
информационной безопасности. Этот стандарт был разработан на основе
первой части британского стандарта BS 7799-1: 1995 "Практические
рекомендации по управлению информационной безопасностью" и относится
к новому поколению стандартов информационной безопасности для
компьютерных информационных систем.
66
В первой части стандарта ISO / IEC 17799: 2000 (BS 7799-1: 2000)
рассматриваются следующие актуальные вопросы обеспечения
информационной безопасности организаций и предприятий:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными
ресурсами;
• управление персоналом и информационная безопасность;
• физическая безопасность;
• управление безопасностью СНГ;
• контроль доступа;
• требования безопасности к корпоративным информационным системам при
их разработке, эксплуатации и обслуживании;
• управление бизнес-процессами компании с точки зрения информационной
безопасности;
• внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799-2: 2000 "Технические характеристики систем
управления информационной безопасностью" определяет возможные
функциональные характеристики корпоративных систем управления
информационной безопасностью с точки зрения их проверки на соответствие
требованиям первой части настоящего стандарта.
Дополнительные рекомендации по управлению информационной
безопасностью содержатся в руководящих принципах Британского института
стандартов (BSI), выпущенных в 1995-2003 годах. в виде следующих серий:
• "Введение в проблему управления информационной безопасностью";
• "Возможности для сертификации в соответствии с требованиями стандарта
BS 7799";
• “Руководство BS 7799 по оценке и управлению рисками”;
67
• “Руководство по аудиту в соответствии с требованиями стандарта;
• “Практические рекомендации по управлению безопасностью
информационных технологий”.
Федеральный стандарт США FIPS 140-2 "Требования безопасности к
криптографическим модулям" - выполняет организующую функцию,
описывая внешний интерфейс криптографического модуля, общие
требования к таким модулям и их среде. Наличие такого стандарта упрощает
разработку служб безопасности и профилей безопасности для них.
Немецкое "Руководство по безопасности информационных технологий для
базового уровня безопасности" посвящено подробному рассмотрению
вопросов управления информационной безопасностью компании.
Немецкий стандарт BSI представляет:
• общая методология управления информационной безопасностью
(организация управления в области информационной безопасности, методика
использования руководства);
• описание современных ИТ-компонентов;
• описания основных компонентов организации режима информационной
безопасности (организационный и технический уровни защиты данных,
планирование на случай непредвиденных обстоятельств, поддержка
непрерывности бизнеса);
• характеристики объектов информатизации (здания, помещения, кабельные
сети, контролируемые территории);
• характеристики основных информационных активов компании (включая
аппаратное и программное обеспечение, такие как рабочие станции и
серверы под управлением операционных систем DOS, Windows и UNIX);
• характеристики компьютерных сетей, основанных на различных сетевых
технологиях, таких как сети Novell NetWare, сети UNIX и Windows).
• характеристики активного и пассивного телекоммуникационного
оборудования от ведущих поставщиков, таких как Cisco Systems;
68
• подробные каталоги угроз безопасности и мер контроля (более 600
наименований в каждом каталоге). [девять]
Семейство международных стандартов для Систем управления
информационной безопасностью 27000 разрабатывается ISO / IEC JTC 1 / SC
27. Это семейство включает международные стандарты, которые определяют
требования к системам управления информационной безопасностью,
управлению рисками, показателям и измерениям, а также руководству по
внедрению.
Таблица 8. Международные стандарты
ISO/IEC 27000:2009 Определения и основные принципы. Выпущен в июле 2009 г.
Информационные технологии. Методы обеспечения
ISO/IEC 27001:2005/BS
безопасности. Системы управления информационной
7799-2:2005
безопасностью. Требования. Выпущен в октябре 2005 г.
ISO/IEC 27002:2005, BS Информационные технологии. Методы обеспечения
7799-1:2005,BS ISO/IEC безопасности. Практические правила управления
17799:2005 информационной безопасностью. Выпущен в июне 2005 г.
Таблица
Руководство по внедрению системы управления
ISO/IEC 27003:2010
информационной безопасностью. Выпущен в январе 2010 г.
Измерение эффективности системы управления
ISO/IEC 27004:2009
информационной безопасностью. Выпущен в январе 2010 г.
Информационные технологии. Методы обеспечения
ISO/IEC 27005:2008 безопасности. Управление рисками информационной
безопасности. Выпущен в июне 2008 г.
Информационные технологии. Методы обеспечения
безопасности. Требования к органам аудита и сертификации
ISO/IEC 27006:2007
систем управления информационной безопасностью. Выпущен
в марте 2007 г
Руководство для аудитора СУИБ. Проект находится в
ISO/IEC 27007
финальной стадии. Выпуск запланирован на 2011 год.
Руководство по аудиту механизмов контроля СУИБ. Будет
ISO/IEC 27008 служить дополнением к стандарту ISO 27007. Выпуск
запланирован в конце 2011 года.
69
Управление информационной безопасностью при
коммуникациях между секторами. Стандарт будет состоять из
нескольких частей, предоставляющих руководство по
совместному использованию информации о рисках
ISO/IEC 27010
информационной безопасности, механизмах контроля,
проблемах и/или инцидентах, выходящей за границы отдельных
секторов экономики и государств, особенно в части,
касающейся "критичных инфраструктур".
Руководство по управлению информационной безопасностью
ISO/IEC 27011:2008
для телекоммуникаций. Выпущен в мае 2009 г.
Руководство по интегрированному внедрению ISO 20000 и ISO
ISO/IEC 27013
27001. Выпуск запланирован в 2011 году.
Базовая структура управления информационной безопасностью.
ISO/IEC 27014
Проект находится в разработке.
Руководство по внедрению систем управления
ISO/IEC 27015 информационной безопасностью в финансовом и страховом
секторе. Проект проходит начальную стадию обсуждения.
Руководство по обеспечению готовности информационных и
коммуникационных технологий к их
ISO/IEC 27031 использованию для управления непрерывностью бизнеса.
Проект находится в финальной стадии. Выпуск запланирован в
начале 2011 года.
Руководство по обеспечению кибербезопасности. Проект
ISO/IEC 27032
находится в начальной стадии разработки.
ISO 27033 заменит известный международный стандарт сетевой
безопасности ISO 18028, состоящий из пяти частей. Новый
стандарт возможно будет включать в себя более 7 частей.
Проекты частей 2-7 ISO 27033 надятся в разной стадии
готовности.
ISO/IEC 27033
ISO/IEC 27033-1:2009 – Основные концепции управления
сетевой безопасностью. Выпущен в январе 2010 года.
ISO/IEC 27033-2 – Руководство по проектированию и
внедрению системы обеспечения сетевой безопасности.
ISO/IEC 27033-3 – Базовые сетевые сценарии - угрозы, методы
70
проектирования и механизмы контроля.
ISO/IEC 27033-4 – Обеспечение безопасности межсетевых
взаимодействий при помощи шлюзов безопасности - угрозы,
методы проектирования и механизмы контроля.
ISO/IEC 27033-5 – Обеспечение безопасности Виртуальных
Частных Сетей - угрозы, методы проектирования и механизмы
контроля.
ISO/IEC 27033-6 – Конвергенция в IP сетях (Определение угроз,
методов проектирования и механизмов контроля в IP сетях с
конвергенцией данных, голоса и видео).
ISO/IEC 27033-7 – Руководство по обеспечению безопасности
беспроводных сетей - Риски, методы проектирования и
механизмы контроля.
ISO/IEC 27034 - Безопасность приложений. Проекты различных
частей стандарта ISO 27034 находятся в различной стадии
разработки.
ISO/IEC 27034-1 - Обзор и основные концепции в
области обеспечения безопасности приложений.
ISO/IEC 27034-2 - Нормативная база организации.
ISO/IEC 27034-3 - Процесс управления безопасностью
ISO/IEC 27034
приложений.
ISO/IEC 27034-4 - Оценка безопасности приложений.
ISO/IEC 27034-5 - Протоколы и структура управляющей
информации для обеспечения безопасности приложений (XML
схема).
ISO/IEC 27034-6 - Руководство по обеспечению безопасности
конкретных приложений.
Управление инцидентами безопасности. Проект находится в
ISO/IEC 27035 разработке и, после выпуска, заменит технический отчет ISO
TR 18044.
Руководство по аутсорсингу безопасности. Выпуск
ISO/IEC 27036
запланирован на 2012 год.
Руководство по идентификации, сбору и/или получению и
ISO/IEC 27037
обеспечению сохранности цифровых свидетельств. Проект
71
разрабатывается на базе британского стандарта BS 10008:2008
Управление информационной безопасностью в сфере
ISO 27799:2008
здравоохранения. Опубликован в 2008 году.
73
обучение пользователей и персонала автоматизированной системы
правилам безопасной обработки информации;
контроль за соблюдением пользователями и персоналом
автоматизированной системы установленных правил обращения с
защищенной информацией в процессе ее автоматизированной
обработки;
принятие мер в случае попыток несанкционированного доступа к
информации и в случае нарушения правил функционирования
системы защиты.
Организационно - правовой статус службы обороны определяется
следующим образом:
численность службы охраны должна быть достаточной для
выполнения всех вышеперечисленных функций;
служба защиты должна быть подчинена лицу, которое в этом
учреждении несет личную ответственность за соблюдение правил
обращения с защищенной информацией.;
у сотрудников службы безопасности не должно быть других
обязанностей, связанных с функционированием
автоматизированной системы;
сотрудники службы безопасности должны иметь право доступа во
все помещения, где установлено оборудование автоматизированных
систем, и право прекратить автоматизированную обработку
информации при наличии непосредственной угрозы защищаемой
информации;
руководителю службы безопасности должно быть предоставлено
право запретить включение новых элементов АС в число
действующих, если они не соответствуют требованиям
информационной безопасности;
служба защиты информации должна быть обеспечена всеми
условиями, необходимыми для выполнения ее функций.
74
Обычно существует четыре группы сотрудников (в восходящей
иерархии):
Сотрудник группы безопасности. В его обязанности входит
обеспечение безопасного контроля за наборами данных и
программами, оказание помощи пользователям и организация
общей поддержки для групп управления безопасностью и
управления в зоне его ответственности. В децентрализованном
управлении каждая подсистема автоматизированной системы имеет
своего собственного члена группы безопасности.
Администратор системной безопасности. В его обязанности входит
ежемесячная публикация инноваций в области безопасности, новых
стандартов, а также надзор за реализацией планов обеспечения
непрерывности бизнеса и восстановления и сохранением резервных
копий.
Администратор Безопасности Данных. В его обязанности входит
внедрение и изменение инструментов защиты данных, мониторинг
состояния защиты наборов данных, ужесточение защиты при
необходимости, а также координация работы с другими
администраторами.
Руководитель (руководитель) группы обработки информации и
управления безопасностью. В его обязанности входит разработка и
поддержка эффективных мер безопасности при обработке
информации для обеспечения безопасности данных, оборудования
и программного обеспечения; контроль за выполнением плана
восстановления.
Основные организационные, организационно-технические
мероприятия по созданию и поддержанию функционирования комплексной
системы защиты включают в себя:
разовые мероприятия-один раз проведенные и повторенные только
с полным пересмотром принятых решений;
75
меры, принятые при внедрении или возникновении определенных
изменений в наиболее защищенной автоматизированной системе
или внешней среде;
периодически проводимые мероприятия;
текущие действия - непрерывно или дискретно в произвольное
время.
Одноразовые мероприятия
Разовые мероприятия включают в себя:
общесистемные меры по созданию научно-технических и
методических основ (концепций и других руководящих
документов) защиты автоматизированных систем;
меры, принимаемые при проектировании, строительстве и
оснащении вычислительных центров и других объектов
автоматизированных систем (исключение возможности тайного
проникновения в помещения, исключение возможности установки
подслушивающего оборудования и т.д.);
деятельность, осуществляемая при проектировании, разработке и
вводе в эксплуатацию аппаратного и программного обеспечения
(проверка и сертификация используемого аппаратного и
программного обеспечения, документации и т.д.);
Проведение специальных проверок всего компьютерного
оборудования, используемого в автоматизированных системах, и
принятие мер по защите информации от утечки по каналам
бокового электромагнитного излучения и помех;
разработка и утверждение функциональных обязанностей
должностных лиц службы компьютерной безопасности;
внесение необходимых изменений и дополнений во все
организационно-распорядительные документы (положения о
подразделениях, функциональные обязанности должностных лиц,
инструкции для пользователей системы и т.д.) по вопросам
76
обеспечения безопасности программных и информационных
ресурсов автоматизированных систем и действий в случае
кризисных ситуаций;
оформление юридических документов (в виде договоров,
распоряжений и распоряжений руководства организации) по
регулированию отношений с пользователями (клиентами),
работающими в автоматизированной системе, между участниками
информационного обмена и третьей стороной (арбитраж,
арбитражный суд) по правилам разрешения споров, связанных с
использованием электронной подписи;
определение порядка назначения, изменения, утверждения и
предоставления конкретным должностным лицам необходимых
полномочий для доступа к ресурсам системы;
меры по созданию системы защиты автоматизированных систем и
созданию инфраструктуры;
мероприятия по разработке правил управления доступом к ресурсам
системы (определение перечня задач, решаемых структурными
подразделениями организации с использованием
автоматизированных систем, а также режимов обработки и доступа
к данным, используемым при их решении; определение перечня
файлов и баз данных, содержащих информацию, составляющую
коммерческую и служебную тайну, а также требований к уровням
их защиты от несанкционированного доступа при передаче,
хранении и обработке в автоматизированных системах; выявление
наиболее вероятных угроз данной автоматизированной системе,
выявление уязвимостей в процессе обработки информации и
каналах доступа к ней; оценка возможного ущерба, причиненного
нарушением информационной безопасности, разработка
адекватных требований к основным направлениям защиты);
организация надежного контроля доступа;
77
определение порядка учета, выдачи, использования и хранения
съемных магнитных носителей информации, содержащих
стандартные и резервные копии программ и информационных
массивов, архивных данных и т.д.;
организация учета, хранения, использования и уничтожения
документов и носителей с секретной информацией;
определение порядка проектирования, разработки, отладки,
модификации, приобретения, специальных исследований, ввода в
эксплуатацию, хранения и контроля целостности программных
продуктов, а также порядка обновления версий используемых и
установки новых системных и прикладных программ на рабочих
местах защищаемой системы;
создание отделов (служб) компьютерной безопасности или, в
случае небольших организаций и подразделений, назначение
внештатных ответственных лиц, осуществляющих единое
управление, организацию и контроль за соблюдением всеми
категориями должностных лиц требований по обеспечению
безопасности программного обеспечения и информационных
ресурсов автоматизированной системы обработки информации;
определение перечня необходимых регулярно проводимых
профилактических мероприятий и оперативных действий персонала
для обеспечения непрерывной работы и восстановления
вычислительного процесса автоматизированной системы в
критических ситуациях, возникающих в результате
несанкционированного доступа, сбоев и сбоев, ошибок в
программах и действиях персонала, стихийных бедствий.
Периодически проводимые мероприятия
Периодически проводимые мероприятия включают:
распространение сведений о контроле доступа (пароли, ключи
шифрования и т.д.);
78
анализ системных журналов, принятие мер по выявленным
нарушениям правил работы;
меры по пересмотру правил разграничения доступа пользователей к
информации в организации;
периодически, с привлечением сторонних специалистов,
проводится анализ состояния и оценка эффективности мер и
применяемых средств защиты. Основываясь на информации,
полученной в результате такого анализа, примите необходимые
меры по совершенствованию системы защиты;
меры по пересмотру состава и конструкции системы защиты.
Мероприятия, проводимые по мере необходимости
Мероприятия, проводимые по мере необходимости, включают:
меры, принимаемые в случае кадровых изменений в персонале
системы;
меры, принимаемые во время ремонта и модификации
оборудования и программного обеспечения (строгая авторизация,
рассмотрение и утверждение всех изменений, проверка их на
соответствие требованиям защиты, документальное отражение
изменений и т.д.);
меры по отбору и расстановке персонала (проверка принятых на
работу, обучение правилам работы с информацией, ознакомление с
мерами ответственности за нарушение правил защиты, обучение,
создание условий, при которых персоналу было бы невыгодно
нарушать свои обязанности и т.д.).
Постоянные мероприятия
Текущие мероприятия включают:
меры по обеспечению достаточного уровня физической защиты
всех компонентов автоматизированной системы (противопожарная
защита, безопасность помещений, контроль доступа, обеспечение
79
безопасности и физической целостности СВТ, носителей
информации и т.д.).
меры по постоянной поддержке функционирования и управления
используемым защитным оборудованием;
явный и скрытый контроль за работой персонала системы;
контроль за выполнением выбранных мер защиты при
проектировании, разработке, вводе в эксплуатацию и эксплуатации
автоматизированной системы;
постоянно (силами отдела (службы) безопасности) и периодически
(с привлечением сторонних специалистов) проводится анализ
состояния и оценка эффективности мер и применяемых средств
защиты.
Перечень основных нормативных и организационно-
распорядительных документов, необходимых для организации комплексной
системы защиты информации от НРД
Для организации и обеспечения эффективного функционирования
интегрированной системы компьютерной безопасности необходимо
разработать следующие группы организационно-распорядительных
документов:
документы, определяющие порядок и правила обеспечения
безопасности информации при ее обработке в автоматизированной
системе (план защиты информации в автоматизированной системе,
план обеспечения непрерывной работы и восстановления
информации);
документы, определяющие ответственность взаимодействующих
организаций (субъектов) при обмене электронными документами
(соглашение об организации обмена электронными документами).
План защиты информации в автоматизированной системе должен
содержать следующую информацию:
80
описание защищаемой системы (основные характеристики
защищаемого объекта): назначение автоматизированной системы,
перечень решаемых задач, конфигурация, характеристики и
размещение аппаратного и программного обеспечения, перечень
категорий информации (пакетов, файлов, наборов и баз данных, в
которых они содержатся), подлежащих защите в
автоматизированной системе, и требования к обеспечению
доступности, конфиденциальности, целостности этих категорий
информации, список пользователей и их полномочия на доступ к
ресурсам системы и т.д.;
цель защиты системы и способы обеспечения безопасности
автоматизированной системы и циркулирующей в ней информации;
список существенных угроз безопасности, от которых требуется
защита, и наиболее вероятные способы нанесения ущерба;
основные требования к организации процесса функционирования
автоматизированной системы и меры по обеспечению безопасности
обрабатываемой информации;
требования к условиям использования и определение зон
ответственности технических средств защиты от
несанкционированного доступа, установленных в системе;
основные правила, регулирующие деятельность персонала в
вопросах обеспечения безопасности автоматизированной системы
(особые обязанности должностных лиц автоматизированной
системы).
В плане обеспечения непрерывности и восстановления бизнеса
должны быть рассмотрены следующие вопросы:
цель обеспечения непрерывности процесса функционирования
автоматизированной системы, своевременности восстановления ее
работоспособности и способов ее достижения;
перечень и классификация возможных кризисных ситуаций;
81
требования, меры и средства обеспечения непрерывной работы и
восстановления процесса обработки информации (порядок
создания, хранения и использования резервных копий информации
и дублирующих ресурсов и т.д.);
обязанности и процедуры для различных категорий персонала
системы в кризисных ситуациях по устранению их последствий,
минимизации ущерба и восстановлению нормального
функционирования системы.
Соглашение о порядке организации обмена электронными
документами должно включать документы, отражающие следующие
вопросы:
разграничение ответственности субъектов, участвующих в
процессах обмена электронными документами;
определение порядка подготовки, оформления, передачи, приема,
проверки подлинности и целостности электронных документов;
определение порядка генерации, сертификации и распространения
ключевой информации (ключей, паролей и т.д.);
определение порядка разрешения споров в случае возникновения
конфликтов. [девятнадцать]
Разработанная политика безопасности для компании представлена в
Приложении № 1.
2.2. Комплекс проектируемых программно-аппаратных средств
обеспечения информационной безопасности и защиты информации
предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия
DeviceLock.
Для защиты и администрирования компьютерной сети организации
важно предотвратить запись информации на сменные носители и установку с
них ненужных программ.
82
При помощи DeviceLock администратор компьютера или домена
может контролировать доступ пользователей к дисководам, DVD/CD-ROM,
другим сменным устройствам, адаптерам Wi-Fi и Bluetooth, а также к USB,
FireWire, инфракрасным, COM и LPT-портам.
Кроме функции контроля доступа, DeviceLock позволяет
осуществлять протоколирование и аудит использования устройств и сетевых
протоколов на локальном компьютере, как отдельными пользователями, так
и группами. Для хранения записей аудита DeviceLock использует
стандартный журнал Windows, что позволяет просматривать их как с
помощью стандартной программы просмотра событий, так и встроенного
средства просмотра.
DeviceLock поддерживает функцию теневого копирования –
возможность сохранять точную копию данных, копируемых пользователем
на внешние устройства хранения данных, передаваемых через COM и LPT-
порты или по сети.
Точные копии всех файлов и данных сохраняются в SQL-базе данных.
Теневое копирование, как и аудит, может быть задано для отдельных
пользователей и групп пользователей.
Кроме того, теневое копирование DeviceLock совместимо с
библиотекой программного обеспечения, поддерживаемой национальным
институтом стандартов и технологий США, а также с базой данных
Hashkeeper, созданной и поддерживаемой министерством юстиции США.
Данные теневого копирования могут быть проверены на вхождение в базы
данных известных файлов, что позволяет их использовать в компьютерной
криминалистике. Такие базы данных содержат цифровые “отпечатки”
множества известных файлов (файлы операционных систем, прикладного
программного обеспечения и т.п.).
Кроме того, DeviceLock предоставляет возможность быстрого поиска
текста в файлах теневого копирования и журналах аудита, хранящихся в
централизованной базе данных. DeviceLock может автоматически
83
распознавать, индексировать, искать и показывать документы в различных
форматах данных, таких как Adobe Acrobat (PDF), Ami Pro, архивы (GZIP,
RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft
PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (документы,
таблицы и презентации), Quattro Pro, WordPerfect, WordStar и во многих
других.
DeviceLock состоит из трех частей: агента (DeviceLock Service),
сервера (DeviceLock Enterprise Server и DeviceLock Content Security Server) и
консоли управления (DeviceLock Management Console, DeviceLock Group
Policy Manager и DeviceLock Enterprise Manager).
1. DeviceLock Service – это ядро системы DeviceLock. Агент устанавливается
на каждый компьютер, автоматически запускается и обеспечивает защиту
устройств и сети на машине-клиенте, оставаясь в то же время невидимым
для локального пользователя.
85
Рисунок 2.2.1.3. Схема консоль управления
Управляемый контроль доступа для устройств и протоколов
Контроль доступа для устройств работает следующим образом:
каждый раз, когда пользователь пытается получить доступ к устройству,
DeviceLock перехватывает запрос на уровне ядра ОС. В зависимости от типа
устройства и интерфейса подключения (например USB), DeviceLock
проверяет права пользователя в соответствующем списке управления
доступом (ACL). Если у пользователя отсутствуют права доступа к данному
устройству, будет возвращено сообщение об ошибке “доступ запрещен”.
Контроль доступа может выполняться на трех уровнях: уровне интерфейса
(порта), уровне типа и уровне содержимого файлов. Некоторые устройства
проверяются на всех трех уровнях, в то время как другие – только на одном:
либо на уровне интерфейса (порта), либо на уровне типа.
Рассмотрим случай доступа пользователя к USB-флеш через USB-
порт. В данном случае DeviceLock в первую очередь проверит на уровне
интерфейса (USB-порта), открыт или нет доступ к USB-порту. Затем,
поскольку Windows определяет USB-флеш как съемное устройство,
DeviceLock также проверит ограничения на уровне типа устройства
86
(Removable). И в завершение проверки DeviceLock также проверит
ограничения на уровне содержимого файла, определенные контентно-
зависимыми правилами (Content-Aware Rules). В случае использования USB-
сканера доступ будет проверяться только на уровне интерфейса (USB-порта),
поскольку DeviceLock не имеет отдельного типа устройств для сканеров.[17]
87
Handy Backup Office Expert – это одна из лучших программ для
резервного копирования. Разработанная, как для частных, так и для
корпоративных пользователей, она обеспечивает полное, лёгкое и
экономичное резервное копирование и восстановление данных. Она
выполняет бэкап баз данных MS SQL, MySQL, Oracle, MS Access, FoxPro,
PostgreSQL и других с помощью ODBC-драйвера. При этом копируются
таблицы базы данных. Бэкап базы MS SQL возможен через интерфейс API,
когда копируются все компоненты базы данных - таблицы, представления,
индексы, процедуры, триггеры и прочие.
Программа резервного копирования Handy Backup разработана для
копирования самых разнообразных данных, не требуя от пользователя знания
их месторасположения. Пользователь должен только уточнить, какие именно
данные следует копировать, все остальные действия выполняются
программой. Handy Backup работает практически со всеми существующими
устройствами для хранения данных, включая внешние и внутренние жёсткие
диски, сменные носители (например, дискеты), CD/DVD диски, а также
локальные сети и отдалённые серверы.
Задачи копирования могут быть запланированы, и осуществляться
автоматически, как однократно, так и на постоянной основе. Посредством
электронной почты программа информирует пользователей о состоянии
процесса копирования и его завершении.
Использование Zip-сжатия файлов позволяет значительно сократить,
как объём хранимой информации, так и время подключение к Интернету, во
время резервирования данных на удалённый сервер. Пользователь может
изменять тип параметров сжатия и уровень сжатия. Для защиты данных от
несанкционированного доступа используется 128-битный алгоритм
шифрования. Файлы, зашифрованные с помощью Handy Backup, невозможно
преобразовать в первоначальный вид без уникального пароля и самой
программы. Для обеспечения полного соответствия хранимых данных и их
первоисточников Handy Backup использует функцию синхронизации.
88
Данный программный продукт будет установлен на сервере баз данных.
Ответственность по установке и использованию Handy Backup возлагается на
системного администратора. [18]
Криптографические средства.
eToken - персональное средство аутентификации и защиты
информации, использующее сертифицированные алгоритмы шифрования и
аутентификации и объединяющее в себе российские и международные
стандарты безопасности.
eToken представляет собой небольшое электронное устройство,
подключаемое к USB-порту компьютера (USB-брелок). Он является
аналогом смарт-карты, но для работы с ним не требуется дополнительное
оборудование (считыватель), данные надежно хранятся в энергонезависимой
памяти, прочный корпус eToken устойчив к внешним воздействиям.
90
Поддержка 2-х Глобальных PIN-кодов: Администратора и
Пользователя;
Поддержка Локальных PIN-кодов для защиты конкретных объектов
(например, контейнеров сертификатов) в памяти устройства;
Настраиваемый минимальный размер PIN-кода (для любого PIN-
кода настраивается независимо);
Поддержка комбинированной аутентификации;
Администратор или Пользователь;
Аутентификация по Глобальным PIN-кодам в сочетании с
аутентификацией по локальным PIN-кодам;
Индикация факта смены Глобальных PIN-кодов по умолчанию на
оригинальные.
Интерфейсы:
Поддержка PC/SC;
Сертификаты X.509 v3, SSL v3, IPSec/IKE;
Поддержка USB CCID (работа бе