Вы находитесь на странице: 1из 147

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ОБРАЗОВАНИЯ
«МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ
«СИНЕРГИЯ»
Факультет электронного обучения

Направление подготовки: _________________________

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА


Анализ и модернизация системы информационной безопасности в

ООО «Старый мастер»

Студент
(Фамилия, имя, отчество )
(подпись)

Руководитель
(Фамилия, имя, отчество)
(подпись)

Москва
2021
ЗАДАНИЕ
на выпускную квалификационную работу обучающегося по профилю «Информационная
безопасность»
Шапиру Гавриилу Максимовичу
(ФИО обучающегося в родительном падеже)

Тема выпускной квалификационной работы: "Анализ и модернизация системы


информационной безопасности в ООО "Старый мастер".

Структура ВКР

Структура первой главы


I. Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия
(Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
1.1.2. Организационно-функциональная структура предприятия.
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
1.2.2. Оценка уязвимостей активов.
1.2.3. Оценка угроз активам.
1.2.4. Оценка существующих и планируемых средств защиты.
1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости
совершенствования системы обеспечения информационной безопасности и
защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач
предприятия, детализация задач информационной безопасности и защиты
информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер.
Структура второй главы

II Проектная часть

2.1. Комплекс организационных мер обеспечения информационной безопасности


и защиты информации предприятия.

2
2.1.1. Отечественная и международная нормативно-правовая основа создания
системы обеспечения информационной безопасности и защиты информации
предприятия.
2.1.2. Организационно-административная основа создания системы обеспечения
информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения
информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание.

Структура третьей главы


III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение
Приложения
3. Основные вопросы, подлежащие разработке.
Введение
Во «Введении» необходимо обосновать актуальность выбранной темы дипломной
работы, сформулировать ее цель. Исходя из цели, обозначить задачи, решение которых,
позволит достичь поставленную цель.
В главе 1 необходимо представить обоснование актуальности выбора
автоматизируемой задачи, проектных решений по информационному, программному и
аппаратному обеспечению, дать ее развернутое описание, отразить взаимосвязь с другими
задачами, изложить используемую стратегию защиты информации.
В разделе 1.1. необходимо изложить:
- цель функционирования предприятия (задачи системы защиты информации);
- краткую историю развития (предприятия) и его место на рынке аналогичных
товаров\услуг (историю, создания системы защиты информации, этапа внедрения бизнес-
процесса, обеспечивающего информационную безопасность);
- все основные виды (направления) деятельности, связанные с созданием, хранением и
обработкой информации (функции системы защиты информации; содержание процедур,
составляющих бизнес-процесс).
В разделе 1.2. дать обоснование необходимости анализа рисков для организации и
указать:
 кто принимает решение о проведении анализа рисков?
 кто проводит анализ рисков, с какой периодичностью?
 в какой форме представлена оценка рисков?
 если данный анализ не проводится, то по каким причинам?

3
В разделе 1.3. необходимо провести глубокий анализ специфических рисков
(например, в финансово-экономической сфере, в сфере государственной на режимном
предприятии и т.д.). Следует выбрать те основные задачи или совокупность задач, для
которых будет в дальнейшем разрабатываться выпускная квалификационная работа и
провести обоснование, используя для этого информацию из п.1.2.

В разделе 1.4. Выбор защитных мер должен всегда включать в себя комбинацию
организационных (не технических) и технических мер защиты. В качестве
организационных мер рассматриваются меры, обеспечивающие физическую,
персональную и административную безопасность.
Глава 2 содержит описание решений, принятых по всей вертикали проектирования.
Глава должна быть основана на информации, представленной в аналитической части, и
содержать описание реализации проектных решений комплекса задач, сформулированных
в первой главе. Поэтому недопустимо, если при проектировании используются данные об
объекте управления, не описанные в первой главе.
В разделе 2.1 отразить:
- выбор нормативных актов отечественного и международного права, в качестве основы
для формирования организационной системы обеспечения информационной
безопасности и защиты информации предприятия;
- обоснование выбора типов и количества документов, регламентирующих выполнение
организационных мероприятий;
- формы разработанных документов.
Раздел 2.2 содержит:11
 описание модели (образца, версии) ПиАСИБ, сведения о сертификации;
 описание принципа работы выбранных ПиАСИБ
 функциональные возможности, насколько эти возможности позволяют
минимизировать риски, определенные в п.1.2.5.
 порядок лицензирования (при необходимости) использования выбранного
ПиАСИБ;
 порядок установки, инсталляции (демонтажа, деинсталляции) выбранных
ПиАСИБ;
 порядок закрепления выбранных ПиАСИБ за должностными лицами
 описание режимов работы (способов размещения, включения);
 порядок проведения технического обслуживания;
 порядок взаимодействия с организацией-поставщиком
 порядок подготовки (обучения) персонала;
 правила и меры безопасности при эксплуатации выбранных ПиАСИБ
Контрольный пример реализации проекта содержит:
а) перечень структурных подразделений предприятия, в которых внедряются выбранные
ПиАСИБ (разработанные нормативные документы)
б) схемы:
 технической архитектуры;
4
 программной архитектуры;
 размещения средств видеонаблюдения (элементов системы контроля и
управления доступом)
За основу рекомендуется взять схемы из п 1.2.4. и дополнить/изменить их в
соответствии с принятыми решениями;
в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных
режимах, например:
 доступ пользователей к ресурсам системы;
 настройка межсетевого экрана;
 формирование и распределение ключей;
 выдача, проверка и аннулирование идентификаторов;
 реагирование на инциденты;
 проведение текущего аудита;
 настройка и эксплуатация средств противодействия ИТР конкурентов;
 проверка аппаратных средств на наличие закладок;
 проверка помещений на наличие средств промышленного шпионажа;
 настройка антивирусного программного обеспечения;
 настройка систем обнаружения и предотвращения вторжений;
 настройка систем резервного копирования;
 настройка VPN и др.
г) экранные формы для ввода и отображения информации
д) формы документов
Вся, представленная в данном пункте информация должна быть связана с данными,
изложенными в п.2.1.2. Другими словами, внедрение программно-аппаратных средств
должно осуществляться в соответствии со сформированной политикой безопасности.

В главе 3 приводится методика расчета показателей экономической эффективности


и расчеты, сделанные в соответствии с изложенной методикой. Расчетные данные следует
представить в виде таблиц и диаграмм, отражающие сравнение базового и предлагаемого
вариантов.
В Заключении необходимо подвести итоги дипломного проектирования. Раскрыть
содержание основных выводов, сделанных выпускником, представить краткую
характеристику результатов, полученных в ходе решения поставленных во «Введении»
задач и, тем самым, ответить на основной вопрос работы: о степени достижимости
поставленной в работе цели.
В Список использованной литературы обучающийся приводит только ту
литературу и иные информационные источники, которые он лично использовал при
написании данной выпускной квалификационной работы. Причем ссылки на данную
литературу и информационные источники обязательны по всему тексту работы.
Заимствованные чужие тексты в обязательном порядке заключаются дипломником в
кавычки, как принадлежащие другому автору. Сноски приводятся постранично
нарастающим итогом от № 1 до № N. Количество сносок по тексту выпускной
квалификационной работы должно быть никак не меньше количества, использованных
выпускником литературных источников.
Приложение обязательно должно содержать фрагмент листинга программного кода
(распечатка на исходном языке программирования отлаженных основных расчетных
модулей - около 400 операторов языка высокого уровня или адаптированных
программных средств, использованных в работе), также могут быть приведены:
 схемы или таблицы из основной части выпускной квалификационной работы;
 результаты выполнения контрольного примера;

5
 диаграммы потоков данных, демонстрирующих существующую технологию
решения задач («КАК ЕСТЬ»);
 диаграммы потоков данных, демонстрирующих предлагаемую технологию
решения задач («КАК ДОЛЖНО БЫТЬ»);
 схемы документооборота;
 примеры классификаторов;
 формы первичных и результатных документов;
 распечатки меню, экранных форм ввода, получаемых отчетов в разработанной
системе;
 а также другие материалы дипломного проекта, кроме текстов договоров с
клиентами и иных "шаблонных документов" (в тех случаях, когда для их
существенных реквизитов проектируется форма, а по результатам ввода и
сохранения в информационную базу имеется возможность распечатки документа
"по шаблону").
В одном приложении нельзя размещать различные по смыслу таблицы или рисунки.
Не допускается дублирование в приложении материала, размещенного в основной части
дипломного проекта.
С детальным рассмотрением содержания каждого пункта, а также примерами схем и
таблиц необходимо ознакомиться в «Методических указания по дипломному
проектированию для направления подготовки 09.03.02 ИСиТ, размещенных личном
кабинете студента в разделе «Документы». При подготовке выпускной квалификационной
работы вы можете пользоваться дополнительными литературными источниками, а также
основной литературой, список которой приведен ниже.
Исходные данные по ВКР.
Основная литература
1. Басыня, Е.А. Системное администрирование и информационная безопасность :
учебное пособие : [16+] / Е.А. Басыня ; Новосибирский государственный технический
университет. – Новосибирск : Новосибирский государственный технический университет,
2018. – 79 с. : ил. – Режим доступа: по подписке. – URL: http://biblioclub.ru
2. Мирошниченко, И.И. Языки и методы программирования: учебное пособие /
И.И. Мирошниченко, Е.Г. Веретенникова, Н.Г. Савельева; Министерство образования и
науки РФ, РГЭУ (РИНХ). – Ростов-на-Дону: Издательско-полиграфический комплекс
РГЭУ (РИНХ), 2019. – 188 с.
3. Филиппов, Б.И. Информационная безопасность. Основы надежности средств
связи: учебник / Б.И. Филиппов, О.Г. Шерстнева. – Москва; Берлин: Директ-Медиа, 2019.
– 241 с. - режим доступа http:// biblioclub.ru
Дополнительная литература
1. Балдин, К.В. Информационные системы в экономике: учебник / К.В. Балдин,
В.Б. Уткин. – 8-е изд., стер. – Москва: Дашков и К, 2019. – 395 с. – режим доступа
http://biblioclub.ru
2. Информационные технологии: лабораторный практикум : [16+] / авт.-сост. А.Г.
Хныкина, Т.В. Минкина ; Северо-Кавказский федеральный университет. – Ставрополь :
Северо-Кавказский Федеральный университет (СКФУ), 2018. – 122 с. : ил. – Режим
доступа: по подписке. – URL: http://biblioclub.ru
3. Нагаева, И.А. Алгоритмизация и программирование. Практикум: учебное
пособие / И.А. Нагаева, И.А. Кузнецов. – Москва; Берлин: Директ-Медиа, 2019. – 168 с. -
режим доступа http:// biblioclub.ru
4. Марусева, И.В. Управление сложными системами: (введение в основы
автоматики и информатики) / И.В. Марусева, Ю.П. Петров; под общ. ред. И.В. Марусевой.
6
– Москва; Берлин: Директ-Медиа, 2019. – 180 с. – режим доступа http:// biblioclub.ru
5. Сидорова, Н.П. Информационное обеспечение и базы данных: практикум по
дисциплине «Информационное обеспечение, базы данных» / Н.П. Сидорова, Г.Н. Исаева,
Ю.Ю. Сидоров; Технологический университет. – Москва; Берлин: Директ-Медиа, 2019. –
85 с. - режим доступа http:// biblioclub.ru

Интернет-ссылки.

№ Наименование портала
п (издания, курса, Ссылка
/п документа)
1 Специализированный сайт http://all-ib.ru/
по тематике информационной
безопасности

2 Федеральное агентство по http://www.gost.ru


техническому регулированию
и метрологии (Росстандарт)

3 Университетская http://biblioclub.ru
библиотека онлайн
4 Специализированный сайт http://www.citforum.ru
по тематике информационных
систем и сетей

5 Офицальный сайт сетевой http://netacad.net


академии Cisco
6 Официальный интернет- http://pravo.gov.ru
портал базы данных правовой
информации

7 Портал Единое окно http://window.edu.ru


доступа к образовательным
ресурсам
8 Компьютерная справочная http://www.consultant.ru
правовая
система «КонсультантПлюс»

9 Межсетевой экран нового https://www.cisco.com/c/dam/global/ru_ru/assets/pdfs/c78-


поколения Cisco Firepower 736661-00_cisco_firepower_next-
generation_firewall_ds_v4a_ru.pdf

Руководитель: __________Гумеров Э.А__________


(подпись) (ФИО)

Обучающийся задание получил: «13» мая 2021 г.

Обучающийся: ______________ _______Шапир Г.М._________


(подпись) (ФИО)

7
СОДЕРЖАНИЕ
Введение…………………………………………………………………………10
I. Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и
предприятия (Установление границ рассмотрения)
1.1.1. Общая характеристика предметной области…………..………….13
1.1.2. Организационно-функциональная структура
предприятия……………………………………………………………...…14
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов……………16
1.2.2. Оценка уязвимостей активов………………………………………21
1.2.3. Оценка угроз активам………………………………………………24
1.2.4. Оценка существующих и планируемых средств защиты…………28
1.2.5. Оценка рисков……………………………………………………….29
1.3. Характеристика комплекса задач, задачи и обоснование
необходимости совершенствования системы обеспечения
информационной безопасности и защиты информации на
предприятии
1.3.1. Выбор комплекса задач обеспечения информационной
безопасности……………………………………………………………….32
1.3.2. Определение места проектируемого комплекса задач в комплексе
задач предприятия, детализация задач информационной безопасности и
защиты информации………………………………………………………41
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер……………………………………….43
1.4.2. Выбор инженерно-технических мер………………………………..47
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной
безопасности и защиты информации предприятия.

8
2.1.1. Отечественная и международная нормативно-правовая основа
создания системы обеспечения информационной безопасности и защиты
информации предприятия……………………………………………….
2.1.2. Организационно-административная основа создания системы
обеспечения информационной безопасности и защиты информации
предприятия…………………………………………………………………
2.2. Комплекс проектируемых программно-аппаратных средств
обеспечения информационной безопасности и защиты информации
предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия……………………….
2.2.2. Контрольный пример реализации проекта и его описание………….
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической
эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение
Приложения

9
Введение
В настоящее время предприятия сталкиваются с проблемами
обеспечения информационной безопасности и сохранности
конфиденциальных данных. Понятие «безопасность» довольно широкое и
может включать информационные, коммерческие, юридические и
физические аспекты.
Информационная безопасность относится к мерам по защите
информации от несанкционированного доступа, уничтожения, изменения,
раскрытия и задержек в доступе. Информационная безопасность включает в
себя меры по защите процессов создания, ввода, обработки и вывода данных.
Целью информационной безопасности является защита ценностей системы,
защита и гарантия точности и целостности информации, а также сведение к
минимуму ущерба, который может возникнуть в случае изменения или
уничтожения информации. Информационная безопасность требует учета
всех событий, в ходе которых информация создается, изменяется, получает
доступ или распространяется.
Очевидно, что необходимо уделять повышенное внимание
обеспечению информационной безопасности на крупном предприятии,
поскольку физическая безопасность и обычные технические средства не
могут обеспечить полную сохранность информации на крупном объекте,
занимающем значительную территорию, состоящем из целого комплекса
зданий и имеющем необходимость обработки большого объема данных. С
увеличением числа предприятий возрастает конкуренция между ними, а
следовательно, и вероятность промышленного шпионажа.
Промышленный шпионаж-это форма недобросовестной конкуренции,
при которой незаконное получение, использование, разглашение
информации, составляющей коммерческую, служебную или иную
охраняемую законом тайну, осуществляется с целью получения преимуществ
при осуществлении предпринимательской деятельности, а именно для
получения материальной выгоды.
10
Целями промышленного шпионажа могут быть:
 получение информации о конкуренте;
 внесение изменений в источники информации;
 уничтожение информации.
Любая деловая деятельность тесно связана с получением,
накоплением, хранением, обработкой и использованием различных
информационных потоков. Целостность современного мира как сообщества
обеспечивается главным образом за счет интенсивного обмена информацией.
Приостановка глобальных информационных потоков, даже на короткое
время, может привести к кризису не меньшему, чем разрыв
межгосударственных экономических отношений. Поэтому в современных
конкурентных рыночных условиях возникает множество проблем, связанных
с обеспечением сохранности коммерческой информации как формы
интеллектуальной собственности.
Общество с ограниченной ответственностью «Старый мастер» -
крупное предприятие. На ООО «Старый Мастер» приходится большая часть
производства ПВХ-профилей и комплектующих в Москве, Московской
области и соседних регионах. Владение этой долей рынка подразумевает
наличие большого числа клиентов и сотрудников. ООО «Старый Мастер»
обрабатывает персональные данные 50 сотрудников и множества клиентов,
что подразумевает необходимость качественной защиты информационной
системы персональных данных.
В настоящее время ООО «Старый Мастер» располагает системой
информационной безопасности, включающей различные технические
средства. Со временем появляются новые способы реализации угроз,
наносящих ущерб персональным данным, а это значит, что средства борьбы с
ними нуждаются в совершенствовании.
Целью данной работы является разработка организационных и
технических решений по обеспечению защиты информации ООО «Старый
мастер».
11
Для достижения этой цели был поставлен ряд задач, а именно:
 описать технико-экономическую характеристику и сферы
деятельности ООО «Старый мастер»;
 проанализировать риски информационной безопасности всех
информационных активов;
 провести анализ программное обеспечение в указанном
направлении;
 описать внедряемое программное обеспечение для реализации
поставленной задачи;
 разработать политику обеспечения информационной безопасности в
компании;
 внедрить средства шифрования / дешифрования и аутентификации;
 внедрить средства контроля доступа к устройствам, портам ввода-
вывода и сетевым протоколам;
 внедрить инструмент резервного копирования данных;
 ввести ограничения на доступ к локальной сети / сети Интернет;
 ввести ограничение прав доступа на локальных компьютерах;
 обосновать экономическую эффективность рассматриваемого
проекта.

Объект исследования: информационная система в ООО «Старый


Мастер».
Предмет исследования: модернизация системы информационной
безопасности ООО «Старый Мастер».
Методы исследования, используемые при написании ВКР: анализ
литературы и нормативно-правовых документов, анализ утверждений и
логических зависимостей, сравнение, измерение, структурные методы
анализа и другие.
ВКР состоит из введения, 3-ёх основных частей, заключения, списка
используемой литературы, приложений.

12
1.1. Технико-экономическая характеристика предметной области и
предприятия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
Компания основана в 1997 году, является партнером ООО «Компания
Вертикаль ЮГ», в настоящее время занимается реализацией продукции
данной компании на Московском рынке.
ООО «Старый Мастер» - Направление продаж: Профиль ПВХ и
Комплектующие, ООО «Компания Вертикаль ЮГ» - Направление
деятельности:
 производство и переработка конструкций из алюминия. Окна,
двери, раздвижные конструкции, комплексно-витражное
остекление, системы антипаника и многое другое;
 алюминиевый профиль для архитектурных систем и
светопрозрачных конструкций, комплектующие к ним;
 проектирование светопрозрачных конструкций, АР, КМ, геодезия.
Широкий ассортимент товаров, достаточно низкие цены и гибкая
система скидок, позволяющая клиентам экономить весомые суммы на
приобретении комплектующих, благодаря этому компания привлекла
значительное количество клиентов к сотрудничеству. Весь товар высокого
надлежащего качества. Площадь складских помещений позволяет компании
поддерживать более чем достаточный складской запас всего предлагаемого
ассортимента, что позволяет осуществлять бесперебойные поставки товара
клиентам, обеспечивая стабильность работы с ними. Высокий
профессионализм, честность и доброжелательность сотрудников,
оперативность обслуживания клиентов стали залогом успешной
деятельности компании. Бесплатная доставка товара по Москве, Московской
области и соседним регионам является очень удобной дополнительной
услугой.

13
1.1.2. Организационно-функциональная структура предприятия.
Директор - руководитель предприятия, организация работы всего
предприятия и эффективное взаимодействие всех структурных
подразделений. За выбор стратегии развития предприятия отвечает работа
предприятия, как внутренняя, так и внешняя.
Главный бухгалтер - организует оборот всех бухгалтерских
документов, обеспечивает своевременную уплату налогов, формирует
учетную политику.
Отвечает за работу бухгалтерии, своевременную сдачу налоговой
отчетности и точность в отчетных документах.
Бухгалтер - отвечает за оборот денежных средств в компании, а также
с клиентом, его учет и предоставление всех соответствующих документов
главному бухгалтеру, отвечает за расчеты с сотрудниками компании и оплату
труда персонала в штате компании.
Руководитель отдела продаж занимается поиском потенциальных
клиентов, принятием заказов от клиентов, учетом их индивидуальных
пожеланий, ведением переговоров как с клиентами, так и с партнерами,
оперативным реагированием на полученную от клиентов информацию,
выявлением потребностей клиента и мотивацией его к работе с компанией.
Руководитель IT-отдела - обеспечивает функционирование локальной
сети, функционирование программного и аппаратного обеспечения,
функционирование серверов компании, систем пожарной и охранной
сигнализации и устранение связанных с этим проблем. Формирование и
ведение информационных массивов и баз данных, защита информации от
несанкционированного доступа, формирование резервных архивов
(резервных копий). Отвечает за бесперебойную работу системы и
обеспечение ее всем необходимым (хранение и закупка запасных частей,
программного обеспечения и т.д.)

14
Программисты - поддерживают базу данных 1С, разрабатывают
наиболее удобную рабочую среду в этой программе для сотрудников
компании с учетом их индивидуальных пожеланий.
Они также занимаются разработкой отдельных блоков веб-сайта,
таких как flash-объекты, javascript, php и mysql. Они нанимаются, как
правило по аутсорсу.
Начальник производства - руководитель работ по оперативному
регулированию производства. Организует оперативный контроль за
обеспечением производства всеми видами ресурсов, обеспечивает
ежедневный оперативный учет хода производства, принимает меры по
предупреждению и устранению нарушений производственного процесса.
Логист – выполняет следующие функции:
 формирование товарных отчетов, проведение анализа дебиторской
и кредиторской задолженности для бухгалтерии;
 распределение товаров на складе (учет наличия складских мест);
 взаимодействие с представителями компаний-импортеров;
 оповещение руководителей компаний-партнеров об изменениях цен
и условий работы.
Начальник снабжения - организация обеспечения предприятия
материальными ресурсами в требуемом качестве и количестве, а также их
рациональное использование для максимальной эффективности
производства. Управление долгосрочным и текущим планированием с точки
зрения обеспечения основной деятельности, потребностей сервисного
обслуживания и других потребностей предприятия основано на применении
прогрессивных норм расхода материалов. Поиск путей покрытия
потребностей производства за счет внутренних резервов. Обеспечивает
заключение контрактов на поставку необходимых ресурсов, изыскивает
возможность установления долгосрочных кооперационных связей.
Организует своевременную доставку материалов на склады организации и их
приемку в соответствии с действующими стандартами.
15
Отдел кадров - ведение кадрового делопроизводства, оформление
трудовых взаимоотношений в рамках рабочей деятельности. Также часто
этот отдел занимается и подбором персонала.
Начальник склада - организация хранения, приемки и выпуска
товарно-материальных ценностей, находящихся в его ведении.
Полная структура организации представлена на рисунке 1 .

Рисунок 1. Организационная структура «ООО Старый мастер»


1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
Руководитель ИТ-отдела, который также является администратором
безопасности, является субъектом доступа, ответственным за защиту
автоматизированной системы от несанкционированного доступа к
информации.
Руководитель ИТ-отдела-это сотрудник, в должностные обязанности
которого входит обеспечение регулярной работы парка компьютерной
техники, сети и программного обеспечения в организации.
Руководитель ИТ-отдела - это главное лицо, которое противостоит
атакам хакеров и обеспечивает безопасную связь как внутри инфраструктуры
компании, так и за ее пределами. На самом деле администратор безопасности
также в какой-то степени является компьютерным хакером, поскольку он
должен знать все те методы взлома и обхода защиты (например,
брандмауэра), которые используют хакеры. В организации, обязанности
администратора безопасности включают не только мониторинг сетевой

16
безопасности организации, но и другие связанные с этим проблемы: борьба с
вирусами, настройка пользовательского программного обеспечения и так
далее.
Руководитель ИТ-отдела занимается, соответственно, проблемами
информационной безопасности. Особенно хорошо разбирается в протоколах
шифрования и аутентификации и их практическом применении (VPN,
RADIUS, SSL, IPSec, RAS), планировании PKI, системах контроля доступа
(брандмауэры, прокси-серверы, смарт-карты, контрольная точка,
идентификатор безопасности), анализе инцидентов, резервном копировании.
Занимается документированием политики безопасности, нормативных актов
и положений об информационных ресурсах.
На этом этапе мы должны определить информационные активы,
которые подпадают под сферу оценки:
1. произвести оценку активов;
2. определить перечень угроз и вероятность их реализации;
3. оценить риски.
Информационный актив-это любая информация, независимо от типа
ее представления, которая имеет ценность для организации и находится в ее
распоряжении.
Виды активов ООО «Старый Мастер»:
 информация (база данных бухгалтерского учета - содержит
информацию обо всех сотрудниках компании, финансовых
операциях, которые происходят как внутри, так и за пределами
компании, а также информацию о проведенных операциях и их
статусе);
 документы (соглашения, контракты, памятки);
 программное обеспечение, включая прикладные программы;
 аппаратное обеспечение (персональные компьютеры - необходимое
для работы сотрудников);

17
 сервер баз данных, телефоны, медные и волоконно-оптические
кабели, коммутаторы, принтеры, почтовый сервер.
ООО «Старый Мастер» - это коммерческая организация, ее основной
целью является получение прибыли от предоставляемых ею услуг.
Основными рыночными функциями являются реализация продукции
компании ООО «Компания Вертикаль ЮГ» на рынке Москвы и Московской
области.
Данные по оценке информационных активов сведена в таблицу 1.
Таблица 1. Оценка информационных активов ООО «Старый мастер».
Размерность оценки
Критерии Количест
Наименован Форма Владелец
определени венная Качественна
ие актива представления актива
я стоимости оценка я
(ед.изм.)
Информационные активы
База данных Электронная Бухгалтерия Степень - Имеющая
бухгалтерии важности критическое
значение
База данных Электронная Директор Степень - Имеющая
поставщиков важности критическое
значение
Персональны Электронная Кадровый Степень - Высокая
е данные о отдел важности
сотрудниках
Штатное Бумажный Кадровый стоимость - критически
расписание и документ, отдел обновления высокая
кадровый электронный или
учет документ воссоздания

Активы аппаратных средств

Принтеры Материальный IT-отдел Первоначаль - Малая


объект ная

18
стоимость

Оборудование Материальный IT-отдел Первоначаль - Средняя


для объект ная
обеспечения стоимость
связи
Сервер баз Материальный IT-отдел Первоначаль - Имеющая
данных объект ная критическое
стоимость значение
Почтовый Материальный IT-отдел Первоначаль - Имеющая
сервер объект ная критическое
стоимость значение
Персональны Материальный Логист Первоначаль - Средняя
й компьютер объект Начальник ная
склада стоимость
Директор
База данных Материальный IT-отдел Первоначаль Высокая
заказав объект ная
(MySQL) стоимость
Активы программного обеспечения
Учетная Электронная Руководитель Обновление - Высокое
Система ИТ-отдела и
воссоздание
Программы Электронная Руководитель Обновление - Высокое
целевого ИТ-отдела и
назначения воссоздание

Windows 8 Электронная IT-отдел Первоначаль - Малая


Логист ная
Главный стоимость
бухгалтер
Начальник
склада

19
MS Office Электронная Логист Первоначаль - Малая
2010 Главный ная
бухгалтер стоимость
Директор
Начальник
снабжения

Перечень информационных активов, обязательное ограничение


доступа, к которым регламентируется действующим законодательством РФ,
представлены в таблице 2.
Нормативный
Гриф
№ документ,
Наименование сведений конфиденциальнос
п/п реквизиты, №№
ти
статей
Сведения, раскрывающие
Информация
характеристики средств защиты
1. ограниченного –
информации ЛВС предприятия от
доступа
несанкционированного доступа
Требования по обеспечению Информация
ст. 139, 857 ГК
2. сохранения служебной тайны ограниченного
РФ
сотрудниками предприятия доступа
Информация
ограниченного Федеральный
доступа; закон №152-ФЗ;
3. Персональные данные сотрудников подлежат Глава 14
разглашению с Трудового
согласия кодекса РФ
сотрудника
Научно-техническая, технологическая, подлежит Федеральный
производственная, финансово- разглашению закон Российской
экономическая или иная информация только по решению Федерации от 29
4.
(в том числе составляющая секреты предприятия июля 2004 г. N
производства (ноу-хау), которая имеет 98-ФЗ О
действительную или потенциальную коммерческой
20
коммерческую ценность в силу тайне
неизвестности ее третьим лицам).

Таблица 2. Перечень сведений конфиденциального характера ООО «Старый


мастер»

1.2.2. Оценка уязвимостей активов.


Уязвимость информационных активов - это тот или иной недостаток,
который делает возможным негативное воздействие на активы
злоумышленников, неквалифицированного персонала или вредоносного кода
(например, вирусов или шпионских программ).
Уязвимость-это событие, возникающее в результате такого стечения
обстоятельств, когда по какой-либо причине средства безопасности,
используемые в защищенных системах обработки данных, не способны
обеспечить достаточное противодействие проявлению дестабилизирующих
факторов и их нежелательному воздействию на защищаемую информацию.
В области компьютерной безопасности термин "уязвимость"
используется для обозначения недостатка в системе, который может быть
использован для нарушения ее целостности и привести к сбою в работе.
Уязвимости могут быть результатом ошибок программирования, недостатков
в дизайне системы, слабых паролей, вирусов и других вредоносных
программ, сценариев и SQL-инъекций. Некоторые уязвимости известны
только теоретически, в то время как другие активно используются и имеют
известные эксплойты.
Уязвимости в информационной системе компании можно выявить
несколькими способами. Они могут быть описаны сотрудником компании
(системным администратором или специалистом по информационной
безопасности) на основе собственного опыта (возможно, в качестве
подсказки для наиболее полного описания набора уязвимостей
информационной системы с использованием классификации уязвимостей).

21
Кроме того, могут быть приглашены сторонние специалисты для
проведения технологического аудита информационной системы и выявления
ее уязвимостей.
Основой для проведения оценки уязвимости является оценка
критичности информационных активов и определение адекватности
принимаемых мер безопасности в отношении их значимости.
Показателями уязвимости актива и его критических областей
являются степень уязвимости по порядковой рейтинговой шкале (пример
степеней: высокая, средняя, низкая).
После проведения оценки уязвимости предоставляется отчет, который
должен включать описание уязвимостей и уязвимых систем. Уязвимости
должны быть отсортированы сначала по степени серьезности, а затем по
серверу / службе. Уязвимости должны быть расположены в начале отчета и
ранжированы в порядке убывания степени серьезности, то есть сначала
критические уязвимости, затем с высоким уровнем важности, затем со
средним и низким.
Результаты оценки уязвимости активов представлены в таблице 3.
о

Группа уязвимостей
Персональные компьютеры
данные

Коммуникационное
Сервера баз данных

Почтовый сервер

Учетная Система
Кадровый учет
Персональные

оборудование
сотрудниках

Windows 8

Содержание уязвимости
1. Среда и инфраструктура
Отсутствие физической Средняя Сред Средн Средня
защиты зданий, дверей няя яя я
и окон
Нестабильная работа Средня Низка Низкая Низка
электросети я я я
2. Аппаратное обеспечение
Отсутствие схем Средня Средн Средня Средн
периодической замены я яя я яя

22
Подверженности Высока Высок Высока Средн
воздействию влаги, я ая я яя
пыли, загрязнения
Отсутствие контроля за Средня Низка Низкая
эффективным я я
изменением
конфигурации
3. Программное обеспечение
Отсутствие Высока Высо
тестирования или я кая
недостаточное
тестирование
программного
обеспечения
Сложный Средня Сред
пользовательский я няя
интерфейс
Плохое управление Средне Средн Средне Высока Высо
паролями е ее е я кая
4. Коммуникации

Отсутствие Средня Низка Средня Высока Высо


идентификации и я я я я кая
аутентификации
отправителя и
получателя

Незащищенные Средня Средн Средня Средня Сред


подключения к сетям я яя я я няя
общего пользования

Отсутствие Средня Низка Средня Высока Высо


идентификации и я я я я кая
аутентификации
отправителя и
получателя

5. Документы (документооборот)

Хранение в Среднее Сред


незащищенных местах нее

Бесконтрольное Высокая Сред


копирование

23
нее

6. Общие уязвимые места

Отказ системы Средн Средня Высока


вследствие отказа яя я я
одного из элементов

Неадекватные Средня Низка Низкая Средн


результаты проведения я я яя
технического
обслуживания

Таблица 3. Оценка уязвимости активов

1.2.3. Оценка угроз активам.


Угроза (потенциальное неблагоприятное воздействие) может нанести
ущерб системе информационных технологий и ее активам. Если эта угроза
будет реализована, она может взаимодействовать с системой и вызывать
нежелательные инциденты, которые негативно влияют на систему. Угрозы
могут быть основаны как на природных, так и на человеческих факторах; они
могут быть реализованы случайно или преднамеренно. Следует выявлять
источники как случайных, так и преднамеренных угроз, а также оценивать
вероятность их возникновения. Важно не упускать из виду любую
возможную угрозу, так как в результате возможна неисправность или
появление уязвимостей в системе безопасности информационных
технологий.
В конечном счете, незаконные действия с информацией приводят к
нарушению ее конфиденциальности, полноты, надежности и доступности,
что, в свою очередь, приводит к нарушению как режима контроля, так и ее
качества в условиях ложной или неполной информации. На рисунке 2
представлены основные виды угроз.

24
Рисунок 2. Основные виды угроз информационной безопасности.

Материалы для оценки угроз должны быть получены от владельцев


или пользователей активов, специалистов по персоналу, оборудованию и
информационным технологиям, а также от лиц, ответственных за внедрение
гарантий в организации. Другие организации, такие как федеральное
правительство и местные органы власти, также могут помочь в оценке угроз,
например, предоставив необходимые статистические данные.
Ниже приведены некоторые из наиболее распространенных вариантов
угроз:
 ошибки и упущения;
 мошенничество и кража;
 случаи саботажа со стороны персонала;
 ухудшение материального и инфраструктурного состояния;
 хакеры программного обеспечения, например, имитация действий
законного пользователя;
 программное обеспечение, нарушающее нормальную работу
системы;
 промышленный шпионаж.
При использовании материалов каталога угроз или результатов
предыдущих оценок угроз имейте в виду, что угрозы постоянно меняются,

25
особенно когда организация меняет свой бизнес или информационные
технологии. Например, компьютерные вирусы 90-х годов представляют
гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Следует
также отметить, что внедрение таких мер защиты, как антивирусные
программы, скорее всего, приведет к постоянному появлению новых
вирусов, которые не подвержены влиянию существующих антивирусных
программ.
После определения источника угроз (кто и что является причиной
угрозы) и объекта угрозы (на какой из элементов системы может повлиять
угроза) необходимо оценить вероятность реализации угрозы.
Это следует иметь в виду:
 частота возникновения угрозы (как часто она может возникать по
статистическим, экспериментальным и другим данным), если
имеются соответствующие статистические и другие материалы;
 мотивация, возможности и ресурсы, требуемые потенциальным
нарушителем и, возможно, доступные ему; степень
привлекательности и уязвимости активов информационно-
технологической системы с точки зрения потенциального
нарушителя и источника преднамеренной угрозы;
 географические факторы - такие как наличие поблизости
химических или нефтеперерабатывающих заводов, возможность
экстремальных погодных условий, а также факторы, которые могут
привести к ошибкам персонала, выходу из строя оборудования и
возникновению случайной угрозы.
Классификация возможностей реализации угроз (атак) представляет
собой совокупность возможных вариантов действий источника угроз
определенными способами реализации с использованием уязвимостей,
которые приводят к реализации целей атаки. Цель атаки может не совпадать
с целью реализации угроз и может быть направлена на получение
промежуточного результата, необходимого для достижения дальнейшей
26
реализации угрозы. В случае такого несоответствия нападение
рассматривается как этап подготовки к совершению действий, направленных
на реализацию угрозы, т. е. как «подготовка к совершению» противоправного
деяния. Результатом атаки являются последствия, которые являются
реализацией угрозы и / или способствуют такой реализации. Результаты
оценки угроз активам представлена в таблице 4.

Группа уязвимостей
о

Персональные компьютеры
данные

Коммуникационное
Сервера баз данных

Почтовый сервер

Учетная Система
Кадровый учет
Персональные

оборудование
сотрудниках

Windows 8
Содержание
уязвимости
1. Угрозы, обусловленные преднамеренными действиями
Похищение Средня Средня Средня
информации я я я
Вредоносное Высока Средня Средня Средня
программное я я я я
обеспечение
Взлом системы Средня Средня Высока Средня
я я я я
2. Угрозы, обусловленные случайными действиями
Ошибки Средня Средня Средня
пользователей я я я
Программные сбои Средня Средня Средня
я я я
Неисправность в Низкая Низкая Низкая
системе
кондиционирова
ния воздуха
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)

27
Колебания Средня Низкая Низкая
напряжения я
Воздействие пыли Высока Средня Средня Средня
я я я я
Пожар Высока Низкая Низкая Средня
я я
Таблица 4. Оценка угроз активам

1.2.4. Оценка существующих и планируемых средств защиты.


Под информационной безопасностью понимается комплекс
организационных, правовых и технических мер по предотвращению угроз
информационной безопасности и устранению их последствий.
Организация защиты информации в организации - один из важнейших
моментов, который никогда не следует упускать из виду.
Последствия будут очень серьезными, если произойдет потеря баз
данных, результатов аналитических исследований, исходных кодов,
программных продуктов. При плохой организации защиты информации это
возможно, что приведет к довольно проблематичному дальнейшему ведению
бизнеса, а в некоторых случаях и вовсе невозможно.
Задачи информационной безопасности возложены на отдел
информационных технологий.
Организационная структура отдела информационных технологий:
1. Структура и штатное расписание отдела информационных
технологий, а также их изменения утверждаются Директором по
предложению Руководителя IT-отдела.
2. Служба состоит из одного подразделения, возглавляемого
начальником отдела информационных технологий.
Функции службы информационных технологий:
1. анализ и изучение проблем обслуживания автоматизированных
систем управления компании и ее подразделений;
28
2. мониторинг состояния и безопасности сети и сетевого
оборудования;
3. назначение прав доступа пользователям сети;
4. обеспечение бесперебойного функционирования системы и
оборудования и принятие оперативных мер по устранению
нарушений, возникающих в процессе работы;
5. установка, настройка и управление программно-аппаратными
системами Организации;
6. подготовка планов проектирования и внедрения
автоматизированных систем управления для компании и контроль
за их внедрением;
7. согласование технических условий на разработку и внедрение
нового программного обеспечения в отрасли для обеспечения
сетевого и системного взаимодействия;
8. поддержка интернет-технологий в отрасли, предоставление доступа
к интернет-сервисам;
9. обеспечение корректности передачи исходных данных на
машинные носители;
10. осуществляет мониторинг развития и использования
информационно-коммуникационных технологий и готовит
аналитические и отчетные материалы по их результатам;
11. техническое обслуживание системного, сетевого и связанного с ним
программного обеспечения.
Для минимизации рисков потенциальных угроз ООО «Старый
Мастер» использует антивирусное программное обеспечение Kaspersky
Internet Security.

Техническая архитектура предприятия

29
На момент анализа на предприятии абсолютно не были реализованы
организационные меры по защите информации, однако были представлены
программно-аппаратные и инженерно-технические средства защиты
информации.
Информационные ресурсы организации сконцентрированы в
офисном помещении организации ООО «Старый мастер»
Локальная вычислительная сеть организации состоит из сервера БД,
почтового сервера, рабочих станций, принтеров. Для объединения
компьютеров в локальную сеть используются хабы и свичи. Доступ к сети
Интернет осуществляется по волоконно-оптическому каналу Ethernet. На
рисунке 1.2.4.1 показана техническая архитектура ООО «Старый мастер».

Рисунок 1.2.4.1. Техническая архитектура ООО «Старый мастер».

1.2.5. Оценка рисков.


Процессы оценки рисков и управления ими служат основой для
построения системы управления информационной безопасностью
организации. Эффективность этих процессов определяется точностью и
полнотой анализа и оценки факторов риска, а также эффективностью
механизмов, используемых в организации для принятия управленческих
решений и контроля за их реализацией.
30
Риск - это вероятность возникновения угрозы информационной
безопасности. С классической точки зрения, оценка рисков включает в себя
оценку угроз, уязвимостей и ущерба, причиненного в ходе их реализации.
Целью этого этапа является выявление и оценка рисков, которым
подвергается рассматриваемая информационно-технологическая система и ее
активы, с целью выявления и выбора надлежащих и разумных мер защиты.
Величина риска определяется стоимостью активов, подверженных
риску, вероятностью угроз, которые могут негативно повлиять на деловую
активность, способностью использовать уязвимости в результате
выявленных угроз, а также наличием существующих или планируемых
гарантий, которые могут быть использованы для снижения уровня риска.
Независимо от используемого метода оценки измерения рисков,
результатом оценки в первую очередь должно быть составление перечня
оцениваемых рисков для каждого возможного случая раскрытия, изменения,
ограничения доступности и уничтожения информации в рассматриваемой
информационно-технологической системе. Составленный список оцененных
рисков затем используется для определения рисков, которые следует
учитывать в первую очередь при выборе защитных мер. Метод оценки риска
должен быть повторяемым и отслеживаемым.
Для оценки рисков используем следующую таблицу 5, с
предопределенными «штрафными баллами» для каждой комбинации
стоимости активов, уровня угрозы и уязвимости.
Таблица 5. Штрафные баллы
Уровни Низкая Средняя Высокая
угрозы
Уровни Н С В Н С В Н С В
уязвимости
активов

1 0 1 2 1 2 3 2 3 4
Ценнос

2 1 2 3 2 3 4 3 4 5
ть

31
3 2 2 4 3 4 5 4 5 6
4 3 4 5 4 5 6 5 6 7
5 4 5 6 5 6 7 6 7 8

Оценка рисков информационной безопасности проводится для всех


информационных активов. Анализ рисков включает определение и расчет
уровней (мер) риска на основе оценок, присвоенных ресурсам, угрозам и
уязвимостям ресурсов.
Основным методом оценки рисков является тщательно
спланированное собеседование с использованием анкет, в котором участвуют
необходимые структурные подразделения. По завершении анализа рисков
составляется отчет и представляется высшему руководству организации.
Результаты проведения оценки представлены в таблице (Таблица 6).

Риск Актив Ранг риска

1 Персональные данные о 8
сотрудниках
2 Кадровый учет 7

3 Персональные компьютеры 6

4 Почтовый сервер 5

5 Сервера баз данных 4

6 Оборудование для 2
обеспечения связи
7 Учетная Система 3

8 Windows 8 1

Таблица 6. Результаты оценки рисков информационным активам


организации.

32
1.3. Характеристика комплекса задач, задачи и обоснование
необходимости совершенствования системы обеспечения
информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной
безопасности.
Угроза - совокупность условий и факторов, создающих
потенциальную или реальную угрозу нарушения конфиденциальности,
доступности и (или) целостности информации.
Если говорить об угрозах информационного и технического
характера, то можно выделить такие элементы, как кража информации,
вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников,
аппаратные и программные сбои, финансовое мошенничество и кража
оборудования.
Согласно статистике по этим угрозам, аналитические компании по
кибербезопасности приводят следующие данные:
 кража информации - 64%;
 вредоносное программное обеспечение - 60%;
 хакерские атаки - 48%;
 спам - 45%;
 халатность сотрудников - 43%;
 аппаратные и программные сбои - 21%;
 кража оборудования - 6%;
 финансовое мошенничество - 5%.
Как вы можете видеть из приведенных выше данных, кража
информации и вредоносных программ является наиболее распространенной.
В настоящее время такие угрозы информационной безопасности, как
кража баз данных, рост инсайдерских угроз, использование
информационного воздействия на различные информационные системы,
33
получили широкое развитие, и ущерб, наносимый злоумышленником,
увеличился. Внутренние угрозы информационной безопасности включают
нарушение конфиденциальности информации, искажение, потерю
информации, неисправности оборудования и информационных систем,
кражу оборудования. Опять же, основываясь на статистике, нарушения
конфиденциальности и искажения являются наиболее распространенными.
Так или иначе, утечка информации происходит по каналам утечки.
Большая часть этого аспекта - так называемый «человеческий фактор». То
есть сотрудники организации, что неудивительно, ведь у кого, как не у них,
достаточно полномочий и возможностей для получения информации. Но
совсем не обязательно красть информацию с целью, например, последующей
продажи. Если сотрудник хочет испортить репутацию компании или нанести
какой-либо ущерб в силу каких-либо обстоятельств (понижение в должности,
увольнение, разногласия с руководством и т.д.), более полно достаточно
исказить ценную для организации информацию, в результате чего эта
информация может потерять свою актуальность и ценность, или она просто
окажется недостоверной, не подлинной, что может привести, например, к
обманутым клиентам и партнерам. К счастью, таких “неблагополучных”
сотрудников не так много.
Если говорить о мотивах, побудивших человека, сотрудника
организации пойти на такие шаги, то на первом месте стоит хищение денег с
электронных счетов (изменение программ расчета заработной платы и
зачисления ее на индивидуальные счета, создание файлов с фиктивными
вкладчиками, конфискация в хранилищах кредитных и финансовых
учреждений банковских карт и ПИН-кодов к ним, фальсификация
информации о клиентах в базе данных фирм). Но это также не обходится без
фальсификации информации или повреждения программного обеспечения,
деактивации сайтов и так далее.
Наиболее опасными являются непреднамеренные действия персонала.
Примером может быть, уже привычная для современного человека вещь –
34
«флешка», или USB-накопитель на базе флэш-памяти. Часто сотрудники
организации используют флэш-накопители в своей работе. Или, из лучших
побуждений, человек может взять какую-то информацию домой, чтобы
поработать над ней (например, подготовка каких-либо отчетов или других
документов). В этом случае большой процент утечки информации
обусловлен потерей самого носителя – «флешки», из-за ее общих
характеристик.
Наиболее распространенными атаками являются:
Подслушивание («обнюхивание») - для подслушивания в
компьютерных сетях используется сниффер. Анализатор пакетов-это
прикладная программа, которая перехватывает все сетевые пакеты,
передаваемые через определенный домен.
Перехват пароля с открытым текстом, передаваемого по сети, путем
подслушивания на канале-это тип атаки подслушивания канала, называемой
«вынюхиванием пароля».
Изменение данных
Злоумышленник, способный прочитать данные, может изменить их.
Данные в пакете могут быть изменены, даже если злоумышленник ничего не
знает об отправителе или получателе.
Анализ сетевого трафика
Целью такого типа атаки является прослушивание каналов связи и
анализ передаваемых данных и служебной информации для изучения
топологии и архитектуры построения системы, а также получения важной
информации о пользователе. Протоколы, такие как FTP или Telnet,
подвержены этому типу атак.
Замена доверенного субъекта
Большинство сетей и операционных систем используют IP-адрес
компьютера, чтобы определить, является ли он правильным местом
назначения. Иногда возможно неправильное назначение IP-адреса. Эта атака
называется подменой IP-адресов.
35
Посредничество (Man-in-the-Middle)
Это подразумевает активное подслушивание, перехват и контроль
передаваемых данных невидимым промежуточным узлом.
Посредничество в обмене незашифрованными ключами (атака
«человек посередине»). Такие атаки осуществляются с целью кражи
информации, перехвата текущей сессии и получения доступа к ресурсам
частной сети, для анализа трафика и получения информации о сети и ее
пользователях, для проведения DoS-атаки, искажения передаваемых данных
и введения несанкционированной информации в сетевые сеансы.
Захват сеанса
В конце начальной процедуры аутентификации соединение,
установленное законным пользователем, переключается злоумышленником
на новый хост, и исходному серверу дается указание прервать соединение.
Отказ в обслуживании (DoS)
Эта атака делает сеть организации недоступной для нормального
использования из-за превышения допустимых пределов сети, операционных
систем или приложений.
Атаки с использованием паролей
Такие атаки включают в себя захват пароля и логина законного
пользователя. Злоумышленники могут проводить атаки с использованием
паролей, используя следующие методы:
 Подмена IP-адресов (IP-подмена);
 Подслушивание (обнюхивание);
 Простая грубая сила.
Эти методы позволяют вам получить пароль и имя пользователя, если
они передаются открытым текстом по незащищенному каналу.
Угадывание ключа
Криптографический ключ-это код или номер, необходимый для
расшифровки защищенной информации. Ключ, к которому злоумышленник
получает доступ, называется скомпрометированным. Злоумышленник
36
использует скомпрометированный ключ для получения доступа к
защищенным передаваемым данным без ведома отправителя и получателя.
Ключ позволяет расшифровывать и изменять данные.
Сетевой интеллект - это сбор информации о сети с использованием
общедоступных данных и приложений. Сетевая разведка выполняется в
форме DNS-запросов, проверки пинга и сканирования портов.
Злоупотребление доверием - это злонамеренное использование
отношений доверия, существующих в сети.
Компьютерные вирусы, сетевые черви, троянский конь
Вирусы - это вредоносные программы, которые внедряются в другие
программы для выполнения определенной нежелательной функции на
рабочей станции конечного пользователя.
Конкретные угрозы безопасности
Поскольку все сотрудники компании имеют бесплатный доступ в
Интернет, наиболее частыми и опасными угрозами являются компьютерные
вирусы.
Компьютерный вирус-это разновидность компьютерных программ,
отличительной особенностью которых является способность к
самовоспроизведению (самовоспроизведению). Кроме того, вирусы могут без
ведома пользователя совершать другие произвольные действия, в том числе
те, которые наносят вред пользователю и / или компьютеру. По этой причине
вирусы классифицируются как вредоносные программы.
Как правило, программа заражается таким образом, что вирус
получает контроль раньше, чем сама программа. Для этого он либо встроен в
начало программы, либо имплантирован в ее тело таким образом, что первая
команда зараженной программы является безусловным переходом к
компьютерному вирусу, текст которого заканчивается аналогичной командой
безусловного перехода к команде вирусоносителя, которая была первой до
заражения. Получив контроль, вирус выбирает следующий файл, заражает

37
его, возможно, выполняет какие-то другие действия, а затем передает
контроль вирусоносителю.
«Первичное» заражение происходит в процессе получения
зараженных программ из памяти одной машины в память другой, и в
качестве средства перемещения этих программ могут использоваться как
любые цифровые носители информации, так и каналы компьютерных сетей.
Вирусы, использующие сетевые инструменты для распространения,
обычно называются сетевыми вирусами. Жизненный цикл вируса обычно
включает следующие периоды: внедрение, инкубация, репликация
(самовоспроизведение) и проявление. В течение инкубационного периода
вирус пассивен, что усложняет задачу его обнаружения и нейтрализации. На
стадии проявления вирус выполняет свои характерные целевые функции,
например, необратимую коррекцию информации в компьютере или на
магнитных носителях.
Физическая структура компьютерного вируса довольно проста. Он
состоит из головы и, возможно, хвоста. Под головкой вируса понимается его
компонент, который первым получает контроль. Хвост-это часть вируса,
расположенная в тексте зараженной программы отдельно от головы. Вирусы
с одной головкой называются несегментированными, в то время как вирусы с
головой и хвостом называются сегментированными.
Некоторые из наиболее распространенных признаков вирусной
инфекции на вашем компьютере включают следующее:
 некоторые ранее запущенные программы перестают запускаться
или внезапно останавливаются в середине своей работы;
 увеличивается длина исполняемых файлов;
 объем свободной дисковой памяти быстро уменьшается;
 на носителях появляются дополнительные плохие кластеры, в
которых вирусы скрывают свои фрагменты или части
поврежденных файлов;
 работа некоторых программ замедляется;
38
 бессмысленные фрагменты появляются в текстовых файлах;
 есть попытки записи на защищенную дискету;
 на экране появляются странные сообщения, которых раньше не
наблюдалось;
 файлы отображаются со странными датами и временем создания
(несуществующие дни несуществующих месяцев, годы следующего
столетия, часы, минуты и секунды, которые не вписываются в
общепринятые интервалы и т.д.);
 операционная система прекращает загрузку с жесткого диска;
 появляются сообщения об отсутствии жесткого диска;
 данные на носителе повреждены.
Наиболее существенные признаки компьютерных вирусов позволяют
нам классифицировать их следующим образом.
1. По среде обитания вирусы различают сетевые, файловые,
загрузочные и файл-загрузочные;
2. Резидентные и нерезидентные вирусы различают в зависимости от
способа заражения;
3. По степени воздействия вирусы являются неопасными, опасными и
очень опасными;
4. В соответствии с особенностями алгоритмов вирусы
подразделяются на паразитические, репликаторы, невидимые, мутанты,
троянские, макровирусы.
Загрузочные вирусы заражают загрузочный сектор жесткого диска
или дискеты и загружаются каждый раз при загрузке операционной системы.
Резидентные вирусы загружаются в память компьютера и остаются
там до тех пор, пока компьютер не будет выключен.
Самоизменяющиеся вирусы (мутанты) изменяют свое тело таким
образом, что антивирусная программа не может его идентифицировать.
Вирусы-невидимки (невидимые) перехватывают вызовы к
зараженным файлам и областям и выдают их в неинфицированной форме.
39
Троянские вирусы маскируют свои действия под выполнение обычных
приложений.
По степени и способу маскировки:
 вирусы, которые не используют средства маскировки;
 вирусы – невидимки - вирусы, которые пытаются быть
невидимыми, контролируя доступ к зараженным элементам
данных;
 мутантные вирусы (вирусы MtE) - вирусы, содержащие алгоритмы
шифрования, которые различают различные копии вируса.
Вирусы MtE подразделяются на:
 обычные мутантные вирусы, в разных копиях которых различаются
только зашифрованные тела, а дешифровщики одинаковы;
 полиморфные вирусы, в разных копиях которых различаются не
только зашифрованные тела, но и их дешифраторы.
Следующие объекты могут быть заражены вирусом:
1. Исполняемые файлы, т. е. файлы с расширениями .com и .exe, а
также файлы наложения, загружаемые при выполнении других
программ. Вирусы, которые заражают файлы, называются
файловыми вирусами. Вирус в зараженных исполняемых файлах
начинает свою работу при запуске программы, в которой он
находится. Наиболее опасными вирусами являются те, которые
остаются в памяти после их запуска - они могут заражать файлы и
выполнять вредоносные действия до следующей перезагрузки
компьютера. И если они заразят какую-либо программу из
автозапуска компьютера, то при перезагрузке с жесткого диска
вирус снова начнет свою работу.
2. Загрузчик и основная загрузочная запись на жестком диске.
Вирусы, которые заражают эти области, называются загрузочными
вирусами. Такой вирус начинает свою работу, когда компьютер
загружается и становится резидентным, то есть находится в памяти
40
компьютера. Механизм распространения загрузочных вирусов
заключается в заражении загрузочных записей дискет, вставленных
в компьютер. Эти вирусы часто состоят из двух частей, потому что
загрузочная запись невелика, и в них трудно вместить всю
вирусную программу. Часть вируса находится в другой части диска,
например, в конце корневого каталога диска или в кластере в
области данных диска. Как правило, такой кластер объявляется
неисправным, чтобы предотвратить перезапись вируса при записи
данных на диск.
3. Файлы документов, информационные файлы баз данных, таблицы
процессоров таблиц и другие подобные файлы могут быть
заражены макровирусами. Макровирусы используют возможность
вставки макросов в формат многих документов.

Для обеспечения максимальной информационной безопасности в


организации одного антивируса будет недостаточно, поэтому предложим:
 Разработать политику обеспечения информационной безопасности
в компании;
 Внедрить средства шифрования / дешифрования и аутентификации;
 Внедрить средства контроля доступа к устройствам, портам ввода-
вывода и сетевым протоколам
 Внедрите инструмент резервного копирования данных.
 Ввести ограничения на доступ к локальной сети / сети Интернет;
 Ввести ограничение прав доступа на локальных компьютерах.

1.3.2. Определение места проектируемого комплекса задач в комплексе


задач предприятия, детализация задач информационной безопасности и
защиты информации.
Рынок информационной безопасности предлагает множество
отдельных инженерных, аппаратных и программных средств,
41
криптографических средств защиты информации. В литературе по
информационной безопасности можно найти описание методов и средств,
основанных на них, теоретические модели защиты. Однако для того, чтобы
создать условия для эффективной защиты информации на предприятии,
необходимо объединить отдельные средства защиты в систему. Следует
помнить, что основным элементом этой системы является человек. Более
того, человек является ключевым элементом системы и в то же время
сложным и потенциально слабым звеном в ней.
Политика информационной безопасности понимается как
совокупность документированных управленческих решений, направленных
на защиту информационных ресурсов организации. Политика
информационной безопасности подлежит стандартизации. В этой области
существует ряд ведомственных и международных стандартов(ISO 17799).
Проблема обеспечения требуемого уровня защиты информации
является очень сложной, требующей для ее решения не только
осуществления определенного комплекса научных, научно-технических и
организационных мер и применения специальных средств и методов, но и
создания целостной системы организационно-технологических мер и
использования комплекса специальных средств и методов защиты
информации.
Настоящий документ обеспечивает методологическую основу для
практических мер (процедур) по обеспечению информационной
безопасности и содержит следующие группы информации:
1. Основные положения информационной безопасности;
2. Область применения;
3. Цели и задачи информационной безопасности;
4. Распределение ролей и обязанностей;
5. Общие обязанности.
Концептуальность подхода предполагает разработку единой
концепции как полного набора научно обоснованных взглядов, положений и
42
решений, необходимых и достаточных для оптимальной организации и
надежности защиты информации, а также целенаправленной организации
всей выполняемой работы. Комплексный (системный) подход к построению
любой системы включает в себя:
 изучение объекта реализуемой системы;
 оценка угроз безопасности объекта;
 анализ средств, с помощью которых мы будем работать при
построении системы;
 оценка экономической целесообразности;
 изучение самой системы, ее свойств, принципов работы и
возможности повышения ее эффективности;
 соотношение всех внутренних и внешних факторов;
 возможность дополнительных изменений в процессе построения
системы и полной организации всего процесса от начала до конца.
Задачи обеспечения информационной безопасности-это все действия,
которые необходимо выполнить для достижения поставленных целей. В
частности, необходимо решать такие задачи, как анализ и управление
информационными рисками, расследование инцидентов информационной
безопасности, разработка и реализация планов обеспечения непрерывности
бизнеса, повышение квалификации сотрудников компании в области
информационной безопасности.
Таким образом, учитывая разнообразие потенциальных угроз
информации на предприятии, сложность ее структуры, а также участие
человека в технологическом процессе обработки информации, цели защиты
информации могут быть достигнуты только путем создания системы защиты
информации, основанной на комплексном подходе.

1.4. Выбор защитных мер


1.4.1. Выбор организационных мер.

43
Для защиты информационных ресурсов организации крайне важно
ознакомить сотрудников с общими правилами защиты официальной
информации и принципами работы средств хранения и обработки.
Защита организационной информации - это внутреннее ограничение
деятельности для внутренних и внешних угроз.
Организационная защита обеспечивает:
 организация охраны, режима, работы с персоналом, с документами;
 использование технических средств обеспечения безопасности и
информационно-аналитической деятельности для выявления
внутренних и внешних угроз предпринимательской деятельности.
Выбор защитных мер. В качестве организационных мер по
обеспечению физической, личной и административной безопасности.
Защитные меры для обеспечения физической безопасности включают в себя
защиту внутренних стен здания, использование кодовых дверных замков,
систем пожаротушения и служб безопасности. Обеспечение безопасности
персонала включает проверку лиц при приеме на работу (особенно тех, кто
набирает сотрудников на должности, связанные с безопасностью),
мониторинг работы персонала и реализацию программ по защите знаний и
понимания мер.
Административная безопасность включает в себя методы безопасной
документации, разработки приложений и прикладных программ, а также
процедуры обработки инцидентов при нарушениях безопасности. При таком
способе обеспечения безопасности очень важно, чтобы каждая система
бизнес-системы, включая возможность возникновения непредвиденных
обстоятельств (устранение последствий нарушения систем безопасности),
включала в себя стратегию и план (планы).
План должен содержать подробную информацию о важнейших
функциях и приоритетах, необходимых условиях обработки и методах
организации, которые необходимы в случае аварии или временного сбоя
системы. В плане должны быть изложены шаги, которые необходимо
44
предпринять для обеспечения безопасности конфиденциальной информации,
обработки бизнеса, а не прекращения бизнеса.
Организационные меры необходимы для любой системы
информационной безопасности.
Организационные меры включают реализацию концепции
информационной безопасности, а также:
 составление рекомендаций для пользователей и обслуживающего
персонала;
 создание правил администрирования информационной системы, учета,
хранения, воспроизведения, уничтожения носителей информации,
идентификации пользователей;
 разработка планов действий в случае попытки несанкционированного
доступа к информационным ресурсам системы, отказа средств,
возникновения чрезвычайной ситуации;
 обучение правилам информационной безопасности пользователей.
На некоторых уровнях риска, для выбора эффективных защитных мер,
необходимо учитывать результаты анализа рисков. Наличие уязвимости к
определенным типам позволяет определить, где и в какой форме
используется применение дополнительных мер защиты.
Не использовать в работе компании непроверенное программное
обеспечение, в отношении которого нет уверенности в том, что оно не
создает и не отправляет разработчикам отчеты в Интернет, с информацией о
работе компьютеров.
Необходимо приобрести и установить сертифицированные средства
информационной безопасности.
Необходимо запретить сотрудникам несанкционированную установку
нового программного обеспечения и проинструктировать, что все
исполняемые файлы, полученные по электронной почте, должны быть
немедленно уничтожены без запуска.

45
В обязательном порядке должны быть реализованы следующие
организационные меры:
1. для всех лиц, имеющих право доступа к компьютерному
оборудованию, должны быть определены категории допуска;
2. определена административная ответственность лиц за сохранность
и авторизацию доступа к имеющимся информационным ресурсам;
3. периодический системный контроль за качеством защиты
информации был установлен путем регулярного технического
обслуживания как самим лицом, ответственным за безопасность,
так и с привлечением специалистов;
4. информация классифицируется в соответствии с ее важностью;
5. организована физическая защита.
Документированная политика информационной безопасности должна
указывать приверженность руководства и определять подход к управлению
информационной безопасностью в организации.
Документированная политика должна содержать следующие
утверждения:
 определение понятия информационной безопасности, ее основных
целей, сферы охвата и важности безопасности как механизма,
позволяющего обмениваться информацией;
 заявление о намерении руководства поддерживать достижение
целей и соблюдение принципов информационной безопасности в
соответствии с целями и стратегией бизнеса;
 руководящие принципы для постановки целей и контроля, включая
рамки для оценки рисков и управления ими;
 краткое объяснение политики, стандартов, принципов и требований
безопасности, имеющих особое значение для организации, включая:
 соблюдение требований законодательства, нормативно-правовой
базы и договоров;

46
 требования к повышению осведомленности, образованию и
профессиональной подготовке в области безопасности;
 управление непрерывностью бизнеса;
 последствия нарушений политики информационной безопасности;
 определение общей и индивидуальной ответственности за
управление информационной безопасностью, включая отчетность
об инцидентах безопасности;
 ссылки на документы, которые могут поддерживать политику,
такие как более подробные политики и процедуры безопасности для
отдельных информационных систем или правила безопасности,
которым должны следовать пользователи.
Эта политика информационной безопасности должна быть доведена
до сведения всех пользователей организации в актуальной, доступной и
понятной для предполагаемых читателей форме.
В том случае, если для обеспечения безопасности информационно-
технологической системы используется базовый подход, выбор защитных
мер относительно прост. Справочные материалы по гарантиям (каталоги)
предлагают набор гарантий, которые могут защитить систему
информационных технологий от наиболее распространенных типов угроз. В
этом случае меры безопасности, рекомендованные каталогом, следует
сравнить с уже действующими или запланированными, а меры, упомянутые в
каталоге (отсутствующие или не планируемые к применению), должны
составить список защитных мер, которые необходимо реализовать для
обеспечения базового уровня безопасности.

1.4.2. Выбор инженерно-технических мер.


Инженерно - технические мероприятия - совокупность специальных
технических средств и их использование для защиты информации. Выбор

47
инженерно-технических мероприятий зависит от уровня информационной
безопасности, который необходимо обеспечить.
Инженерные гарантии включают защиту аппаратных средств,
программного обеспечения и систем связи. В этом случае выбор защитных
мер осуществляется в соответствии со степенью их риска для обеспечения
функциональной пригодности и надежной системы безопасности.
Удобство использования системы должно включать, например,
выполнение идентификации и аутентификации пользователей, выполнение
требований логического контроля доступа, обеспечение отслеживания и
регистрации событий безопасности, обеспечение безопасности путем
обратного вызова запрашивающего, аутентификацию сообщений,
шифрование информации и т.д. и т.д. Требования к надежности систем
безопасности определяют уровень уверенности, необходимый при
реализации функций безопасности, и тем самым определяют типы проверок,
тестов безопасности и т.д., Которые обеспечивают подтверждение этого
уровня. При принятии решения об использовании дополнительного
комплекса организационных и технических защитных мер могут быть
выбраны различные варианты выполнения требований по обеспечению
технической безопасности.
Необходимо определить структуру технической безопасности для
каждого из этих вариантов, с помощью которой можно получить
дополнительное подтверждение правильности построения системы
безопасности и возможности ее реализации на заданном технологическом
уровне.
Инженерно - техническая защита использует следующие средства:
 физические средства;
 оборудование;
 программные средства;
 криптографические средства.

48
Инженерно - технические меры, принимаемые для защиты
информационной инфраструктуры организации, могут включать
использование безопасных соединений, брандмауэров, разграничение
информационных потоков между сегментами сети, использование
шифрования и защиту от несанкционированного доступа.
Средства защиты данных, которые функционируют как часть
программного обеспечения, называются программным обеспечением.
Среди них можно выделить следующие:
 средства архивирования данных;
 антивирусные программы;
 средства идентификации и аутентификации пользователей;
 контроль доступа и т.д.
Предлагаем к вниманию некоторые из них.
Антивирусные программы
Антивирусная программа (антивирус) - любая программа для
обнаружения компьютерных вирусов, а также нежелательных (считающихся
вредоносными) программ в целом и восстановления файлов, зараженных
(измененных) такими программами, а также для профилактики -
предотвращения заражения (модификации) файлов или операционной
системы вредоносным кодом.
Основные задачи современных антивирусных программ:
 сканирование файлов и программы в режиме реального времени;
 сканирование компьютера по требованию;
 сканирование интернет-трафика;
 сканирование электронной почты;
 защита от атак с опасных веб-сайтов;
 восстановление поврежденных файлов (лечение).

Компьютеры сегодня стали уязвимыми для многих угроз


безопасности. Очень важно иметь хороший антивирус на компьютере, чтобы
49
предотвратить потерю важных данных, документов и информации из-за
вирусных атак.
Согласно этой статистике, наиболее эффективным будет
использование антивирусной программы Kaspersky Internet Security 2021.
Межсетевые экраны.
Брандмауэр - это набор аппаратного или программного обеспечения,
которое отслеживает и фильтрует сетевые пакеты, проходящие через него в
соответствии с указанными правилами. Основной задачей брандмауэра
является защита компьютерных сетей или отдельных узлов от
несанкционированного доступа. Также брандмауэры часто называют
фильтрами, так как их основная задача-не пропускать (фильтровать) пакеты,
которые не соответствуют критериям, определенным в конфигурации.
Некоторые брандмауэры также допускают преобразование адресов -
динамическую замену интрасетевых (серых) адресов или портов внешними,
используемыми за пределами локальной сети.
Брандмауэры подразделяются на различные типы в зависимости от
следующих характеристик:
 обеспечивает защищённое соединение между одним узлом и сетью
или между двумя или более различными сетями;
 на уровне каких сетевых протоколов осуществляется мониторинг
потока данных;
 отслеживаются ли состояния активных подключений или нет.
Брандмауэры могут значительно повысить безопасность хоста или
сети.
Они могут быть использованы для выполнения одной или нескольких
из следующих задач:
 для защиты и изоляции приложений, служб и машин во внутренней
сети от нежелательного трафика, поступающего из внешнего
Интернета;

50
 ограничить или запретить доступ хостов во внутренней сети к
сервисам во внешнем Интернете;
 для поддержки преобразования сетевых адресов (NAT), что
позволяет использовать частные IP-адреса во внутренней сети и
использовать одно и то же подключение к Интернету.
В зависимости от охвата отслеживаемых потоков данных
брандмауэры подразделяются на:
 традиционный брандмауэр - программа (или неотъемлемая часть
операционной системы) на шлюзе (сервере, который передает
трафик между сетями) или аппаратное решение, которое управляет
входящими и исходящими потоками данных между
подключенными сетями.
 персональный брандмауэр - это программа, установленная на
компьютере пользователя и предназначенная для защиты только
этого компьютера от несанкционированного доступа.
Вырожденным случаем является использование традиционного
брандмауэра сервером для ограничения доступа к своим собственным
ресурсам.
В зависимости от уровня, на котором осуществляется контроль
доступа, существует разделение на брандмауэры, работающие на:
 сетевой уровень, когда фильтрация основана на адресах
отправителя и получателя пакетов, номерах портов транспортного
уровня модели OSI и статических правилах, установленных
администратором;
 уровене сеанса (также известный как с сохранением состояния) -
отслеживание сеансов между приложениями, недопущение пакетов,
нарушающих спецификации TCP / IP, часто используемых в
вредоносных операциях - сканирование ресурсов, взлом с помощью
неправильных реализаций TCP / IP, отключенные / замедленные
соединения, ввод данных;
51
 уровне приложения, фильтрация на основе анализа данных
приложения, передаваемых в пакете. Эти типы экранов позволяют
блокировать передачу нежелательной и потенциально опасной
информации на основе политик и настроек.
Некоторые решения, связанные с брандмауэрами прикладного уровня,
представляют собой прокси-серверы с некоторыми возможностями
брандмауэра, реализующие прозрачные прокси-серверы,
специализирующиеся на протоколах.
Возможности прокси-сервера и специализация на нескольких
протоколах делают фильтрацию намного более гибкой, чем на классических
брандмауэрах, но такие приложения имеют все недостатки прокси-серверов
(например, анонимизация трафика).
В зависимости от отслеживания активных подключений брандмауэры
бывают:
 с простой фильтрацией (stateless), которые не отслеживают текущие
соединения (например, TCP), но фильтруют поток данных
исключительно на основе статических правил;
 с контекстно-зависимой фильтрацией (stateful, stateful packet inspection)
проверка пакетов с учетом состояния, мониторинг текущих соединений
и передача только тех пакетов, которые удовлетворяют логике и
алгоритмам соответствующих протоколов и приложений. Эти типы
брандмауэров позволяют более эффективно бороться с различными
типами DoS-атак и уязвимостями некоторых сетевых протоколов.
Кроме того, они обеспечивают работу таких протоколов, как H. 323,
SIP, FTP и т.д., Которые используют сложные схемы передачи данных
между получателями, которые трудно описать, статическими
правилами и часто несовместимы со стандартными брандмауэрами с
простой фильтрацией.
Предложим 2 варианта межсетевого экрана:

52
 брандмауэр Cisco Secure PIX помогает защитить корпоративные
сети на уровнях, ранее недостижимых, сохраняя при этом простоту
использования.
 брандмауэр PIX может обеспечить абсолютную безопасность
внутренней сети, полностью скрывая ее от внешнего мира.

Контроль доступа
Для выполнения производственных задач сотрудники организации
должны иметь доступ к большому количеству приложений. При
традиционном подходе к безопасности учетная запись создается для
сотрудника в каждом приложении.
Под доступом к информации понимается совокупность действий,
таких как ознакомление с информацией, ее обработка, в частности
копирование, изменение или уничтожение информации, разрешенных для
выполнения пользователями системы над объектами данных.
Различают разрешенный (авторизованный) и несанкционированный
(неавторизованный) доступ к информации:
 авторизованный доступ к информации - это доступ к информации,
которая не нарушает установленные правила разграничения доступа;
 несанкционированный доступ к информации характеризуется
нарушением установленных правил разграничения доступа.
Несанкционированный доступ является наиболее распространенным
типом компьютерного нарушения. Несанкционированный доступ к
информации - доступ к информации с нарушением служебных полномочий
сотрудника, доступ к информации, закрытой для публичного доступа
лицами, не имеющими разрешения на доступ к этой информации.
Контроль доступа - это предотвращение несанкционированного
использования системного ресурса, включая его защиту от
несанкционированного использования.

53
Прежде чем получить доступ к ресурсам компьютерной системы,
пользователь должен пройти процесс представления в компьютерную
систему, который включает в себя два этапа:
 идентификация объекта является одной из функций подсистемы
защиты. Если процедура идентификации пройдет успешно, этот
объект считается законным для данной сети.
 аутентификация - проверка принадлежности субъекта доступа к
представленному им идентификатору; подтверждение подлинности.
После идентификации объекта и подтверждения его подлинности
устанавливается сфера его действия и доступные ему ресурсы компьютерной
сети. Эта процедура называется авторизацией.
Для защиты информации от несанкционированного доступа создается
система разграничения доступа к информации. Исходной информацией для
создания системы контроля доступа является решение системного
администратора компьютерной сети разрешить пользователям доступ к
определенным информационным ресурсам.
При определении разрешений на доступ системный администратор
устанавливает разрешения, которые пользователь может выполнять.
Различают следующие файловые операции:
 чтение (R);
 запись;
 выполнение программ (E).
Получить несанкционированный доступ к информации при наличии
системы контроля доступа возможно только в случае сбоев и сбоев
компьютерной сети, а также использования слабых мест в интегрированной
системе защиты информации. Одним из способов получения информации о
недостатках системы защиты является изучение механизмов защиты.
Описание системы разграничения доступа
Система разграничения доступа к информации должна содержать
четыре функциональных блока:
54
 блок идентификации и аутентификации субъектов доступа;
 менеджер доступа;
 блок криптографического преобразования информации при ее
хранении и передаче;
 блок для очистки памяти.
Контроль доступа к оборудованию
Важным шагом для защиты от утечки информации является
использование средств контроля доступа к съемным носителям и
компьютерным портам ввода-вывода
Каждое устройство для передачи информации является
потенциальным каналом утечки.
Наибольшую угрозу безопасности локальных сетей представляют не
внешние угрозы (из Интернета), а внутренние. Внутренние угрозы вызваны
тем, что сотрудники имеют доступ к важной информации изнутри - со своих
компьютеров, подключенных к локальной сети. Если этот доступ не
контролируется, следствием может быть несанкционированное копирование
и удаление конфиденциальной информации, а также появление на рабочих
компьютерах вредоносных программ (вирусов, троянов) и просто
бесполезных файлов (например, видео и музыки).
Уволенный сотрудник может в отместку или для личной выгоды
передать конфиденциальные данные конкурентам или опубликовать их для
свободного доступа. Недавние исследования показали, что большинство
людей готовы украсть коммерческую информацию в случае ее сокращения
из-за мирового финансового кризиса.
Поэтому очень важно контролировать и блокировать доступ
сотрудников к USB-накопителям, картам памяти, CD-и DVD-приводам,
адаптерам Wi-Fi и Bluetooth.
В связи с этим предложим использовать инструмент контроля доступа
для съемных носителей и устройств в системах блокировки устройств.

55
DeviceLock - это инструмент для контроля и регистрации доступа
пользователей к устройствам и портам ввода-вывода на компьютере.
Контроль доступа ко всем типам внешних носителей (CD и DVD-приводы,
жесткие диски, съемные накопители, локальные и сетевые принтеры,
дисководы и смартфоны), порты ввода-вывода (USB, COM). Полная
интеграция с Microsoft Active Directory, работа с отдельными пользователями
и группами, возможность установки типа доступа «только для чтения»,
подробный аудит (включая теневое копирование) действий пользователя с
устройствами и данными, контроль доступа в зависимости от дня недели и
времени.
Резервная копия
Перебои в подаче электроэнергии, неисправности кабелей, сбои
компьютерного и сетевого оборудования, сбои в работе программного
обеспечения, ошибки пользователей и, наконец, стихийные бедствия-вот
некоторые из причин, которые могут привести к потере данных. Поскольку
данные являются очень важной частью организации, необходимо обеспечить
защиту этих данных. Одним из способов защиты данных является резервное
копирование.
Резервное копирование - это процесс создания копии данных на
носителе (жестком диске, дискете и т.д.), предназначенный для
восстановления данных в их первоначальном расположении в случае
повреждения или уничтожения, с использованием соответствующих
программ-дубликаторов резервного копирования данных.
Существуют следующие уровни резервного копирования:
1. Полное резервное копирование – это резервное копирование, при
котором снимок операционной системы, диска, раздела или отдельных
папок содержит все резервируемые данные. Такие снимки,
создаваемые в рамках одной и той же задачи по бэкапу, независимы
друг от друга, повреждение одного из них никак не повлияет на другие
снимки. Это самый надёжный метод резервного копирования, но,
56
вместе с тем, самый затратный по ресурсам дискового пространства.
Например, образ рабочей Windows без особых каких-то громоздких
программ и игр будет весить примерно 20 Гб. Если по мере создания
новых бэкапов не избавляться от старых, диск-хранилище просто
забьётся ими под завязку.
2. Дифференциальное резервное копирование – это такое резервное
копирование, при котором полная копия создаётся единожды в начале,
а все последующие копии, создаваемые в рамках одной и той же
задачи, содержат не все данные, а лишь произошедшие изменения с
момента создания первичной полной копии. Ключевой момент здесь –
с момента создания полной копии. Тогда как при инкрементом
копировании вторая инкрементная копия цепочки являет собой
разницу между ней и первой копией, при дифференциальном и первая,
и вторая, и третья, и четвёртая, и все следующие дифференциальные
копии будут зависимыми только от полной копии. Но никак не
зависимыми друг от друга. Удаление или повреждение любой из
дифференциальных копий не повлияет на другие копии – ни на те, что
создавались до удалённой (повреждённой), ни на те, что после неё.
Дифференциальные резервные копии – это тоже точки восстановления.
Необходимость дифференциальной копии каждый раз сравнивать себя
с полной первичной копией, соответственно, влечёт за собой
использование большего дискового пространства.
3. Инкрементное резервное копирование (добавочное резервирование) –
это такое резервное копирование, при котором полная копия создаётся
единожды в начале, а все последующие копии, создаваемые в рамках
одной и той же задачи, содержат не все данные, а лишь произошедшие
изменения - какие файлы удалены, а какие добавлены. Первая
инкрементная копия содержит разницу в данных между ней самой и
полной копией. А вторая инкрементная копия содержит разницу между
ней самой и первой инкрементной копией. Третья – между ней самой и
57
второй. И так далее. Каждая новая инкрементная копия зависит от
своей предшественницы и не может быть задействована для процесса
восстановления без такой предшественницы. Ну и, конечно же, без
полной первичной копии. Каждая из резервных копий задачи – хоть
полная, хоть инкрементная - являет собой точку восстановления. И мы
всегда сможем выбрать дату или время, на которое хотим откатить
систему или данные. Удаление инкрементной копии (или повреждение
её вирусами) не будет иметь следствием неработоспособность
предыдущих инкрементных копий и первичной полной. А вот
последующих – будет. К точкам после удалённой инкрементной копии
откатиться мы уже не сможем. В этом плане, конечно, метод
инкрементного копирования уязвим, но его сильной стороной является
обеспечение отката к разным точкам состояния при минимально
занятом дисковом пространстве. Ведь при незначительных изменениях
каждая новая копия будет весить пару Мб разницы между ней и
предшественницей.
4. Пофайловый метод резервного копирования – при данном методе
добавление информации в архив осуществляется только по
определенным критериям, например, добавляются только файлы
определенного формата. Всегда следует использовать предлагаемую
опцию верификации. При верификации, все копируемые с диска
данные перечитываются с источника и проверяются или побайтно
сравниваются с данными на носителе. Так как фрагментированные
файлы на диске из-за большего количества выполняемых операций
поиска замедляют процесс резервирования, то производительность
можно обычно увеличить производя регулярную дефрагментацию
диска. При дефрагментации блоки данных располагаются по порядку,
друг за другом так, чтобы они были доступны в кэше упреждающего
чтения.

58
5. Блочное инкрементальное резервное копирование (Block level
incremental) – при данном методе копирования добавление новой
информации в уже существующие архивы осуществляется путем
добавки к исходному нескольких блоков вновь созданных архивов.
Для резервного копирования предлагаем использовать
специализированное программное обеспечение, такое как Acronis True Image.
Acronis True Image-это программное обеспечение для резервного
копирования и восстановления данных. Программное обеспечение позволяет
пользователю создавать образ диска во время работы под управлением
Microsoft Windows или в автономном режиме путем загрузки с компакт-
диска, DVD-диска, USB-накопителя или другого загрузочного носителя.
Криптографические инструменты
Методы криптографической защиты информации используются для
обработки, хранения и передачи информации на носителях и по сетям связи.
Криптографическая защита информации при передаче данных на
большие расстояния является единственным надежным методом
шифрования. Цели защиты информации в конечном счете сводятся к
обеспечению конфиденциальности информации и защите информации в
компьютерных системах в процессе передачи информации по сети между
пользователями системы.
Контроль действия пользователей.
Система контроля действий пользователя — программный или
программно-аппаратный комплекс, позволяющий отслеживать действия
пользователя. Данная система осуществляет мониторинг рабочих операций
пользователя на предмет их соответствия корпоративным политикам.
Для минимизации инсайдерских угроз со стороны сотрудников
предлагаем использовать LanAgent.
LanAgent-это программа для мониторинга компьютеров в локальной
сети. Предназначен для мониторинга действий пользователя. LanAgent
отслеживает активность на любом компьютере, подключенном к сети вашей
59
организации. Программа позволит вам выявить виды деятельности, не
связанные с работой, покажет, насколько рационально сотрудники
используют свое рабочее время.
Особенности LanAgent:
 регистрирует все нажатия клавиш;
 делает скриншоты (скриншоты) через определенный промежуток
времени;
 запоминает запуск и закрытие программ;
 отслеживает содержимое буфера обмена;
 контролирует файловую систему;
 перехват сообщений мессенджеров: Viber, WhatsApp, Telegram,
Jabber;
 мониторинг web почты;
 перехват отправленных на печать документов;
 перехват сообщений вконтакте, одноклассниках и др. соц. сетях
 перехватывает посещенные сайты;
 контролирует запуск / выключение компьютера;
 расширенная система аналитических отчетов;
 вся информация хранится в базе данных на компьютере
администратора;
 удаленное управление настройками агента, возможность
удаленного запуска / остановки мониторинга;
 автоматическое получение журналов от агентов на компьютер
администратора;
 журналы шифруются по сети;
 агенты полностью невидимы на компьютерах пользователей;
 возможность отправлять текстовые сообщения на компьютер
пользователя и многое другое.

60
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной
безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа
создания системы обеспечения информационной безопасности и защиты
информации предприятия
Появление новых информационных технологий и развитие мощных
компьютерных систем для хранения и обработки информации повысили
уровни защиты информации и обусловили необходимость повышения
эффективности защиты информации наряду со сложностью архитектуры
хранения данных. Так, постепенно защита экономической информации
становится обязательной: разрабатываются всевозможные документы по
защите информации, формируются рекомендации по защите информации;
реализуется федеральный закон "О защите информации", в котором
рассматриваются проблемы защиты информации и задачи защиты
информации, а также решаются некоторые уникальные вопросы защиты
информации.
Законодательные меры по защите информации заключаются в реализации
существующих в стране или введении новых законов, постановлений, указов
и инструкций, регулирующих юридическую ответственность должностных
лиц - пользователей и обслуживающего технического персонала - за утечку,
потерю или изменение вверенной им информации, подлежащей защите, в
том числе за попытки совершения аналогичных действий за пределами их
полномочий, а также ответственность неуполномоченных лиц за попытку
умышленного несанкционированного доступа к информационному
оборудованию.
Целью законодательных мер является предотвращение и сдерживание
потенциальных нарушителей. [восемь]

61
Роль стандартов закреплена в основных понятиях Закона Российской
Федерации "О техническом регулировании" от 27 декабря 2002 года под №
184-ФЗ (принят Государственной Думой 15 декабря 2002 года):
• стандарт - документ, устанавливающий характеристики продукции, правила
реализации и характеристики процессов производства, эксплуатации,
хранения, транспортировки, продажи и утилизации, выполнения работ или
оказания услуг с целью добровольного повторного использования.
• стандартизация - деятельность по установлению правил и характеристик с
целью их добровольного повторного использования, направленная на
достижение упорядоченности в производстве и обороте продукции и
повышение конкурентоспособности продукции, работ и услуг. [девять]
Государственные (национальные) стандарты Российской Федерации.
Установление стандартов и нормативных актов в области информационной
безопасности в Российской Федерации является важнейшей регулирующей
функцией.
Среди различных стандартов безопасности информационных технологий,
существующих в настоящее время в России, существуют следующие
нормативные документы по критериям оценки безопасности компьютерных
технологий и автоматизированных систем и документы, регулирующие
информационную безопасность (таблица 7, строки 1-10). Они могут быть
дополнены нормативными документами по криптографической защите
систем обработки информации и информационных технологий (таблица 7,
строки 11-13).
Таблица 7. Российские стандарты, регулирующие информационную
безопасность
№ Стандарт Наименование
п/п

1 ГОСТ Р Методы и средства обеспечения безопасности. Критерии оценки


ИСО/МЭК безопасности информационных технологий. Часть 1. Введение и
15408-1—2008 общая модель

62
2 ГОСТ Р Методы и средства обеспечения безопасности. Критерии оценки
ИСО/МЭК безопасности информационных технологий. Часть 2.
15408-2-2008 Функциональные требования безопасности

3 ГОСТ Р Методы и средства обеспечения безопасности. Критерии оценки


ИСО/МЭК безопасности информационных технологий. Часть 3. Требования
15408-3-2008 доверия к безопасности

4 ГОСТ Р 50739- Средства вычислительной техники. Защита от


95 несанкционированного доступа к информации. Общие технические
требования

5 ГОСТ Р 50922- Защита информации. Основные термины и определения


2006

6 ГОСТ Р 51188- Защита информации. Испытания программных средств на наличие


98 компьютерных вирусов. Типовое руководство

7 ГОСТ Р 51275- Защита информации. Объект информатизации. Факторы,


99 воздействующие на информацию. Общие положения

8 ГОСТ Р ИСО Информационная технология. Взаимосвязь открытых систем.


7498-1-99 Базовая эталонная модель. Часть 1. Базовая модель

9 ГОСТ Р ИСО Информационная технология. Взаимосвязь открытых систем.


7498-2-99 Базовая эталонная модель. Часть 2. Архитектура защиты
информации

10 ГОСТ Р 50739- Средства вычислительной техники. Защита от


95 несанкционированного доступа к информации. Общие технические
требования

11 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая.


Алгоритм криптографического преобразования

12 ГОСТ Р 34.10- Информационная технология. Криптографическая защита


2001 информации. Процессы формирования и проверки электронной
цифровой подписи

13 ГОСТ Р 34.11- Информационная технология. Криптографическая защита


94 информации. Функция хэширования

63
Внедрение в 1999 году Международного стандарта ISO 15408 в области
информационной безопасности стало гарантией качества и надежности
программных продуктов, сертифицированных в соответствии с ним.
Стандарт ISO 15408-2002 позволил потребителям лучше ориентироваться
при выборе программного обеспечения и покупке продуктов, отвечающих их
требованиям безопасности, и, как следствие, повысил
конкурентоспособность ИТ-компаний, которые сертифицируют свою
продукцию в соответствии с ISO 15408.
ГОСТ Р ИСО / МЭК 15408-2002 "Критерии оценки безопасности
информационных технологий" действует в России с января 2004 года и
является аналогом стандарта ISO 15408. ГОСТ Р И СО / МЭК 15408, также
называемый "Общие критерии", на сегодняшний день является наиболее
полным стандартом, определяющим инструменты оценки безопасности
информационных систем и порядок их использования. Он направлен на
защиту информации от несанкционированного раскрытия, изменения,
полной или частичной потери и применим к защитным мерам, реализуемым
аппаратным, встроенным и программным обеспечением.
ГОСТ Р ИСО / МЭК 15408-2002 состоит из трех частей.
Часть 1 (ГОСТ Р ИСО / МЭК 15408-1 "Введение и общая модель")
устанавливает общий подход к формированию требований безопасности и
оценке безопасности. На их основе разрабатываются базовые конструкции
(профиль безопасности и цель безопасности) для представления требований
безопасности в интересах потребителей, разработчиков и оценщиков ИТ-
продуктов и систем.
Часть 2 (ГОСТ Р ИСО / МЭК 15408-2 "Требования функциональной
безопасности") содержит универсальный каталог требований
функциональной безопасности и предусматривает возможность их
детализации и расширения в соответствии с определенными правилами.
Часть 3 (ГОСТ Р ИСО / МЭК 15408-3 "Требования к обеспечению
безопасности") включает систематизированный каталог требований к
64
обеспечению безопасности, определяющих меры, которые должны быть
приняты на всех этапах жизненного цикла продукта или системы
информационных технологий для обеспечения того, чтобы они
удовлетворяли предъявляемым к ним функциональным требованиям.
Основные преимущества ГОСТ Р ИСО / МЭК 15408:
• полнота требований к IB;
• гибкость в применении;
• открытость для дальнейшего развития с учетом последних достижений
науки и техники.
Международные стандарты
ISO (Международная организация по стандартизации) и IEC
(Международная электротехническая комиссия) образуют
специализированную систему всемирной стандартизации. Государственные
органы, являющиеся членами ИСО или МЭК, участвуют в разработке
международных стандартов через технические комитеты, созданные
соответствующей организацией для стандартизации конкретных областей
технической деятельности. Технические комитеты ИСО и МЭК
сотрудничают в областях, представляющих взаимный интерес. В этой работе
также участвуют другие международные организации, правительственные и
неправительственные, совместно с ИСО и МЭК. В области информационных
технологий ИСО и МЭК создали совместный технический комитет ISO / IEC
JTC 1. Основной задачей объединенного технического комитета является
подготовка международных стандартов. Проекты международных
стандартов, принятые объединенным техническим комитетом,
представляются на голосование в государственные органы. Публикация в
качестве международного стандарта требует одобрения не менее 75
процентов проголосовавших государственных органов. [восемнадцать]
Существуют две группы стандартов и спецификаций, которые существенно
отличаются друг от друга:

65
• стандарты оценки, предназначенные для оценки и классификации
информационных систем и мер безопасности в соответствии с требованиями
безопасности;
• спецификации, регулирующие различные аспекты внедрения и
использования средств и методов защиты.
Стандарты оценки описывают наиболее важные, с точки зрения
информационной безопасности, концепции и аспекты ИБ, играющие роль
организационных и архитектурных спецификаций. Другие спецификации
определяют, как создавать ИУ с заданной архитектурой и соответствовать
требованиям организации.
Первым международно признанным стандартом оценки, оказавшим
чрезвычайно сильное влияние на последующие разработки в области
информационной безопасности, были "Критерии оценки надежных
компьютерных систем" Министерства обороны США, известные (по цвету
обложки) как "Оранжевая книга". В нем заложены концептуальные основы
информационной безопасности.
После "Оранжевой книги" была выпущена целая серия "Радуга". С
концептуальной точки зрения наиболее важным документом в нем является
"Интерпретация Оранжевой книги для сетевых конфигураций." Она состоит
из двух частей. Первый содержит интерпретацию, второй описывает службы
безопасности, специфичные или особенно важные для сетевых
конфигураций.
Международный стандарт ISO / IEC 17799: 2000 (BS 7799-1: 2000)
"Управление информационной безопасностью - Информационные
технологии" является одним из наиболее известных стандартов в области
информационной безопасности. Этот стандарт был разработан на основе
первой части британского стандарта BS 7799-1: 1995 "Практические
рекомендации по управлению информационной безопасностью" и относится
к новому поколению стандартов информационной безопасности для
компьютерных информационных систем.
66
В первой части стандарта ISO / IEC 17799: 2000 (BS 7799-1: 2000)
рассматриваются следующие актуальные вопросы обеспечения
информационной безопасности организаций и предприятий:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными
ресурсами;
• управление персоналом и информационная безопасность;
• физическая безопасность;
• управление безопасностью СНГ;
• контроль доступа;
• требования безопасности к корпоративным информационным системам при
их разработке, эксплуатации и обслуживании;
• управление бизнес-процессами компании с точки зрения информационной
безопасности;
• внутренний аудит информационной безопасности компании.
Вторая часть стандарта BS 7799-2: 2000 "Технические характеристики систем
управления информационной безопасностью" определяет возможные
функциональные характеристики корпоративных систем управления
информационной безопасностью с точки зрения их проверки на соответствие
требованиям первой части настоящего стандарта.
Дополнительные рекомендации по управлению информационной
безопасностью содержатся в руководящих принципах Британского института
стандартов (BSI), выпущенных в 1995-2003 годах. в виде следующих серий:
• "Введение в проблему управления информационной безопасностью";
• "Возможности для сертификации в соответствии с требованиями стандарта
BS 7799";
• “Руководство BS 7799 по оценке и управлению рисками”;
67
• “Руководство по аудиту в соответствии с требованиями стандарта;
• “Практические рекомендации по управлению безопасностью
информационных технологий”.
Федеральный стандарт США FIPS 140-2 "Требования безопасности к
криптографическим модулям" - выполняет организующую функцию,
описывая внешний интерфейс криптографического модуля, общие
требования к таким модулям и их среде. Наличие такого стандарта упрощает
разработку служб безопасности и профилей безопасности для них.
Немецкое "Руководство по безопасности информационных технологий для
базового уровня безопасности" посвящено подробному рассмотрению
вопросов управления информационной безопасностью компании.
Немецкий стандарт BSI представляет:
• общая методология управления информационной безопасностью
(организация управления в области информационной безопасности, методика
использования руководства);
• описание современных ИТ-компонентов;
• описания основных компонентов организации режима информационной
безопасности (организационный и технический уровни защиты данных,
планирование на случай непредвиденных обстоятельств, поддержка
непрерывности бизнеса);
• характеристики объектов информатизации (здания, помещения, кабельные
сети, контролируемые территории);
• характеристики основных информационных активов компании (включая
аппаратное и программное обеспечение, такие как рабочие станции и
серверы под управлением операционных систем DOS, Windows и UNIX);
• характеристики компьютерных сетей, основанных на различных сетевых
технологиях, таких как сети Novell NetWare, сети UNIX и Windows).
• характеристики активного и пассивного телекоммуникационного
оборудования от ведущих поставщиков, таких как Cisco Systems;

68
• подробные каталоги угроз безопасности и мер контроля (более 600
наименований в каждом каталоге). [девять]
Семейство международных стандартов для Систем управления
информационной безопасностью 27000 разрабатывается ISO / IEC JTC 1 / SC
27. Это семейство включает международные стандарты, которые определяют
требования к системам управления информационной безопасностью,
управлению рисками, показателям и измерениям, а также руководству по
внедрению.
Таблица 8. Международные стандарты
ISO/IEC 27000:2009 Определения и основные принципы. Выпущен в июле 2009 г.
Информационные технологии. Методы обеспечения
ISO/IEC 27001:2005/BS
безопасности. Системы управления информационной
7799-2:2005
безопасностью. Требования. Выпущен в октябре 2005 г.
ISO/IEC 27002:2005, BS Информационные технологии. Методы обеспечения
7799-1:2005,BS ISO/IEC безопасности. Практические правила управления
17799:2005 информационной безопасностью. Выпущен в июне 2005 г.
Таблица
Руководство по внедрению системы управления
ISO/IEC 27003:2010
информационной безопасностью. Выпущен в январе 2010 г.
Измерение эффективности системы управления
ISO/IEC 27004:2009
информационной безопасностью. Выпущен в январе 2010 г.
Информационные технологии. Методы обеспечения
ISO/IEC 27005:2008 безопасности. Управление рисками информационной
безопасности. Выпущен в июне 2008 г.
Информационные технологии. Методы обеспечения
безопасности. Требования к органам аудита и сертификации
ISO/IEC 27006:2007
систем управления информационной безопасностью. Выпущен
в марте 2007 г
Руководство для аудитора СУИБ. Проект находится в
ISO/IEC 27007
финальной стадии. Выпуск запланирован на 2011 год.
Руководство по аудиту механизмов контроля СУИБ. Будет
ISO/IEC 27008 служить дополнением к стандарту ISO 27007. Выпуск
запланирован в конце 2011 года.

69
Управление информационной безопасностью при
коммуникациях между секторами. Стандарт будет состоять из
нескольких частей, предоставляющих руководство по
совместному использованию информации о рисках
ISO/IEC 27010
информационной безопасности, механизмах контроля,
проблемах и/или инцидентах, выходящей за границы отдельных
секторов экономики и государств, особенно в части,
касающейся "критичных инфраструктур".
Руководство по управлению информационной безопасностью
ISO/IEC 27011:2008
для телекоммуникаций. Выпущен в мае 2009 г.
Руководство по интегрированному внедрению ISO 20000 и ISO
ISO/IEC 27013
27001. Выпуск запланирован в 2011 году.
Базовая структура управления информационной безопасностью.
ISO/IEC 27014
Проект находится в разработке.
Руководство по внедрению систем управления
ISO/IEC 27015 информационной безопасностью в финансовом и страховом
секторе. Проект проходит начальную стадию обсуждения.
Руководство по обеспечению готовности информационных и
коммуникационных технологий к их
ISO/IEC 27031 использованию для управления непрерывностью бизнеса.
Проект находится в финальной стадии. Выпуск запланирован в
начале 2011 года.
Руководство по обеспечению кибербезопасности. Проект
ISO/IEC 27032
находится в начальной стадии разработки.
ISO 27033 заменит известный международный стандарт сетевой
безопасности ISO 18028, состоящий из пяти частей. Новый
стандарт возможно будет включать в себя более 7 частей.
Проекты частей 2-7 ISO 27033 надятся в разной стадии
готовности.
ISO/IEC 27033
ISO/IEC 27033-1:2009 – Основные концепции управления
сетевой безопасностью. Выпущен в январе 2010 года.
ISO/IEC 27033-2 – Руководство по проектированию и
внедрению системы обеспечения сетевой безопасности.
ISO/IEC 27033-3 – Базовые сетевые сценарии - угрозы, методы

70
проектирования и механизмы контроля.
ISO/IEC 27033-4 – Обеспечение безопасности межсетевых
взаимодействий при помощи шлюзов безопасности - угрозы,
методы проектирования и механизмы контроля.
ISO/IEC 27033-5 – Обеспечение безопасности Виртуальных
Частных Сетей - угрозы, методы проектирования и механизмы
контроля.
ISO/IEC 27033-6 – Конвергенция в IP сетях (Определение угроз,
методов проектирования и механизмов контроля в IP сетях с
конвергенцией данных, голоса и видео).
ISO/IEC 27033-7 – Руководство по обеспечению безопасности
беспроводных сетей - Риски, методы проектирования и
механизмы контроля.
ISO/IEC 27034 - Безопасность приложений. Проекты различных
частей стандарта ISO 27034 находятся в различной стадии
разработки.
ISO/IEC 27034-1 - Обзор и основные концепции в
области обеспечения безопасности приложений.
ISO/IEC 27034-2 - Нормативная база организации.
ISO/IEC 27034-3 - Процесс управления безопасностью
ISO/IEC 27034
приложений.
ISO/IEC 27034-4 - Оценка безопасности приложений.
ISO/IEC 27034-5 - Протоколы и структура управляющей
информации для обеспечения безопасности приложений (XML
схема).
ISO/IEC 27034-6 - Руководство по обеспечению безопасности
конкретных приложений.
Управление инцидентами безопасности. Проект находится в
ISO/IEC 27035 разработке и, после выпуска, заменит технический отчет ISO
TR 18044.
Руководство по аутсорсингу безопасности. Выпуск
ISO/IEC 27036
запланирован на 2012 год.
Руководство по идентификации, сбору и/или получению и
ISO/IEC 27037
обеспечению сохранности цифровых свидетельств. Проект

71
разрабатывается на базе британского стандарта BS 10008:2008
Управление информационной безопасностью в сфере
ISO 27799:2008
здравоохранения. Опубликован в 2008 году.

2.1.2. Организационно-административная основа создания системы


обеспечения информационной безопасности и защиты информации
предприятия
Прежде чем приступить к разработке руководящих документов,
необходимо определить цели глобальной политики.
Правила могут быть написаны для защиты оборудования,
программного обеспечения, средств массовой информации, людей,
внутренних коммуникаций, сетей, сетей, телекоммуникаций,
правоприменения и многого другого.
Правила информационной безопасности не должны быть единым
документом. Чтобы упростить их использование, правила могут быть
включены в несколько документов. На рисунке 21 показан примерный
перечень разрабатываемых правил информационной безопасности. [10]

Рисунок 21. Список систем, для которых разрабатываются правила


безопасности.
Достижение высокого уровня безопасности невозможно без принятия
соответствующих организационных мер. С одной стороны, эти меры должны
72
быть направлены на обеспечение правильного функционирования
механизмов защиты и осуществляться администратором системной
безопасности. С другой стороны, руководство организации,
эксплуатирующей средства автоматизации, должно регламентировать
правила автоматизированной обработки информации, в том числе правила ее
защиты, а также установить меру ответственности за нарушение этих правил.
Организационная структура, основные функции службы компьютерной
безопасности
Для непосредственной организации (построения) и эффективного
функционирования системы защиты информации в автоматизированных
системах может быть создана специальная штатная служба защиты (служба
компьютерной безопасности) (причем с большими объемами защищаемой
информации).
Служба компьютерной безопасности - это штатное или внештатное
подразделение, созданное для организации квалифицированной разработки
системы защиты информации и обеспечения ее функционирования.
Основными функциями сервиса являются следующие:
 формирование требований к системе защиты в процессе создания
автоматизированной системы;
 участие в проектировании системы защиты, ее испытаниях и вводе
в эксплуатацию;
 планирование, организация и обеспечение функционирования
системы защиты информации в процессе функционирования
автоматизированной системы;
 распределение между пользователями необходимых сведений о
безопасности;
 мониторинг функционирования системы защиты и ее элементов;
 организация проверок надежности функционирования системы
защиты;

73
 обучение пользователей и персонала автоматизированной системы
правилам безопасной обработки информации;
 контроль за соблюдением пользователями и персоналом
автоматизированной системы установленных правил обращения с
защищенной информацией в процессе ее автоматизированной
обработки;
 принятие мер в случае попыток несанкционированного доступа к
информации и в случае нарушения правил функционирования
системы защиты.
Организационно - правовой статус службы обороны определяется
следующим образом:
 численность службы охраны должна быть достаточной для
выполнения всех вышеперечисленных функций;
 служба защиты должна быть подчинена лицу, которое в этом
учреждении несет личную ответственность за соблюдение правил
обращения с защищенной информацией.;
 у сотрудников службы безопасности не должно быть других
обязанностей, связанных с функционированием
автоматизированной системы;
 сотрудники службы безопасности должны иметь право доступа во
все помещения, где установлено оборудование автоматизированных
систем, и право прекратить автоматизированную обработку
информации при наличии непосредственной угрозы защищаемой
информации;
 руководителю службы безопасности должно быть предоставлено
право запретить включение новых элементов АС в число
действующих, если они не соответствуют требованиям
информационной безопасности;
 служба защиты информации должна быть обеспечена всеми
условиями, необходимыми для выполнения ее функций.
74
Обычно существует четыре группы сотрудников (в восходящей
иерархии):
 Сотрудник группы безопасности. В его обязанности входит
обеспечение безопасного контроля за наборами данных и
программами, оказание помощи пользователям и организация
общей поддержки для групп управления безопасностью и
управления в зоне его ответственности. В децентрализованном
управлении каждая подсистема автоматизированной системы имеет
своего собственного члена группы безопасности.
 Администратор системной безопасности. В его обязанности входит
ежемесячная публикация инноваций в области безопасности, новых
стандартов, а также надзор за реализацией планов обеспечения
непрерывности бизнеса и восстановления и сохранением резервных
копий.
 Администратор Безопасности Данных. В его обязанности входит
внедрение и изменение инструментов защиты данных, мониторинг
состояния защиты наборов данных, ужесточение защиты при
необходимости, а также координация работы с другими
администраторами.
 Руководитель (руководитель) группы обработки информации и
управления безопасностью. В его обязанности входит разработка и
поддержка эффективных мер безопасности при обработке
информации для обеспечения безопасности данных, оборудования
и программного обеспечения; контроль за выполнением плана
восстановления.
Основные организационные, организационно-технические
мероприятия по созданию и поддержанию функционирования комплексной
системы защиты включают в себя:
 разовые мероприятия-один раз проведенные и повторенные только
с полным пересмотром принятых решений;
75
 меры, принятые при внедрении или возникновении определенных
изменений в наиболее защищенной автоматизированной системе
или внешней среде;
 периодически проводимые мероприятия;
 текущие действия - непрерывно или дискретно в произвольное
время.
 Одноразовые мероприятия
Разовые мероприятия включают в себя:
 общесистемные меры по созданию научно-технических и
методических основ (концепций и других руководящих
документов) защиты автоматизированных систем;
 меры, принимаемые при проектировании, строительстве и
оснащении вычислительных центров и других объектов
автоматизированных систем (исключение возможности тайного
проникновения в помещения, исключение возможности установки
подслушивающего оборудования и т.д.);
 деятельность, осуществляемая при проектировании, разработке и
вводе в эксплуатацию аппаратного и программного обеспечения
(проверка и сертификация используемого аппаратного и
программного обеспечения, документации и т.д.);
 Проведение специальных проверок всего компьютерного
оборудования, используемого в автоматизированных системах, и
принятие мер по защите информации от утечки по каналам
бокового электромагнитного излучения и помех;
 разработка и утверждение функциональных обязанностей
должностных лиц службы компьютерной безопасности;
 внесение необходимых изменений и дополнений во все
организационно-распорядительные документы (положения о
подразделениях, функциональные обязанности должностных лиц,
инструкции для пользователей системы и т.д.) по вопросам
76
обеспечения безопасности программных и информационных
ресурсов автоматизированных систем и действий в случае
кризисных ситуаций;
 оформление юридических документов (в виде договоров,
распоряжений и распоряжений руководства организации) по
регулированию отношений с пользователями (клиентами),
работающими в автоматизированной системе, между участниками
информационного обмена и третьей стороной (арбитраж,
арбитражный суд) по правилам разрешения споров, связанных с
использованием электронной подписи;
 определение порядка назначения, изменения, утверждения и
предоставления конкретным должностным лицам необходимых
полномочий для доступа к ресурсам системы;
 меры по созданию системы защиты автоматизированных систем и
созданию инфраструктуры;
 мероприятия по разработке правил управления доступом к ресурсам
системы (определение перечня задач, решаемых структурными
подразделениями организации с использованием
автоматизированных систем, а также режимов обработки и доступа
к данным, используемым при их решении; определение перечня
файлов и баз данных, содержащих информацию, составляющую
коммерческую и служебную тайну, а также требований к уровням
их защиты от несанкционированного доступа при передаче,
хранении и обработке в автоматизированных системах; выявление
наиболее вероятных угроз данной автоматизированной системе,
выявление уязвимостей в процессе обработки информации и
каналах доступа к ней; оценка возможного ущерба, причиненного
нарушением информационной безопасности, разработка
адекватных требований к основным направлениям защиты);
 организация надежного контроля доступа;
77
 определение порядка учета, выдачи, использования и хранения
съемных магнитных носителей информации, содержащих
стандартные и резервные копии программ и информационных
массивов, архивных данных и т.д.;
 организация учета, хранения, использования и уничтожения
документов и носителей с секретной информацией;
 определение порядка проектирования, разработки, отладки,
модификации, приобретения, специальных исследований, ввода в
эксплуатацию, хранения и контроля целостности программных
продуктов, а также порядка обновления версий используемых и
установки новых системных и прикладных программ на рабочих
местах защищаемой системы;
 создание отделов (служб) компьютерной безопасности или, в
случае небольших организаций и подразделений, назначение
внештатных ответственных лиц, осуществляющих единое
управление, организацию и контроль за соблюдением всеми
категориями должностных лиц требований по обеспечению
безопасности программного обеспечения и информационных
ресурсов автоматизированной системы обработки информации;
 определение перечня необходимых регулярно проводимых
профилактических мероприятий и оперативных действий персонала
для обеспечения непрерывной работы и восстановления
вычислительного процесса автоматизированной системы в
критических ситуациях, возникающих в результате
несанкционированного доступа, сбоев и сбоев, ошибок в
программах и действиях персонала, стихийных бедствий.
Периодически проводимые мероприятия
Периодически проводимые мероприятия включают:
 распространение сведений о контроле доступа (пароли, ключи
шифрования и т.д.);
78
 анализ системных журналов, принятие мер по выявленным
нарушениям правил работы;
 меры по пересмотру правил разграничения доступа пользователей к
информации в организации;
 периодически, с привлечением сторонних специалистов,
проводится анализ состояния и оценка эффективности мер и
применяемых средств защиты. Основываясь на информации,
полученной в результате такого анализа, примите необходимые
меры по совершенствованию системы защиты;
 меры по пересмотру состава и конструкции системы защиты.
Мероприятия, проводимые по мере необходимости
Мероприятия, проводимые по мере необходимости, включают:
 меры, принимаемые в случае кадровых изменений в персонале
системы;
 меры, принимаемые во время ремонта и модификации
оборудования и программного обеспечения (строгая авторизация,
рассмотрение и утверждение всех изменений, проверка их на
соответствие требованиям защиты, документальное отражение
изменений и т.д.);
 меры по отбору и расстановке персонала (проверка принятых на
работу, обучение правилам работы с информацией, ознакомление с
мерами ответственности за нарушение правил защиты, обучение,
создание условий, при которых персоналу было бы невыгодно
нарушать свои обязанности и т.д.).
Постоянные мероприятия
Текущие мероприятия включают:
 меры по обеспечению достаточного уровня физической защиты
всех компонентов автоматизированной системы (противопожарная
защита, безопасность помещений, контроль доступа, обеспечение

79
безопасности и физической целостности СВТ, носителей
информации и т.д.).
 меры по постоянной поддержке функционирования и управления
используемым защитным оборудованием;
 явный и скрытый контроль за работой персонала системы;
 контроль за выполнением выбранных мер защиты при
проектировании, разработке, вводе в эксплуатацию и эксплуатации
автоматизированной системы;
 постоянно (силами отдела (службы) безопасности) и периодически
(с привлечением сторонних специалистов) проводится анализ
состояния и оценка эффективности мер и применяемых средств
защиты.
Перечень основных нормативных и организационно-
распорядительных документов, необходимых для организации комплексной
системы защиты информации от НРД
Для организации и обеспечения эффективного функционирования
интегрированной системы компьютерной безопасности необходимо
разработать следующие группы организационно-распорядительных
документов:
 документы, определяющие порядок и правила обеспечения
безопасности информации при ее обработке в автоматизированной
системе (план защиты информации в автоматизированной системе,
план обеспечения непрерывной работы и восстановления
информации);
 документы, определяющие ответственность взаимодействующих
организаций (субъектов) при обмене электронными документами
(соглашение об организации обмена электронными документами).
План защиты информации в автоматизированной системе должен
содержать следующую информацию:

80
 описание защищаемой системы (основные характеристики
защищаемого объекта): назначение автоматизированной системы,
перечень решаемых задач, конфигурация, характеристики и
размещение аппаратного и программного обеспечения, перечень
категорий информации (пакетов, файлов, наборов и баз данных, в
которых они содержатся), подлежащих защите в
автоматизированной системе, и требования к обеспечению
доступности, конфиденциальности, целостности этих категорий
информации, список пользователей и их полномочия на доступ к
ресурсам системы и т.д.;
 цель защиты системы и способы обеспечения безопасности
автоматизированной системы и циркулирующей в ней информации;
 список существенных угроз безопасности, от которых требуется
защита, и наиболее вероятные способы нанесения ущерба;
 основные требования к организации процесса функционирования
автоматизированной системы и меры по обеспечению безопасности
обрабатываемой информации;
 требования к условиям использования и определение зон
ответственности технических средств защиты от
несанкционированного доступа, установленных в системе;
 основные правила, регулирующие деятельность персонала в
вопросах обеспечения безопасности автоматизированной системы
(особые обязанности должностных лиц автоматизированной
системы).
В плане обеспечения непрерывности и восстановления бизнеса
должны быть рассмотрены следующие вопросы:
 цель обеспечения непрерывности процесса функционирования
автоматизированной системы, своевременности восстановления ее
работоспособности и способов ее достижения;
 перечень и классификация возможных кризисных ситуаций;
81
 требования, меры и средства обеспечения непрерывной работы и
восстановления процесса обработки информации (порядок
создания, хранения и использования резервных копий информации
и дублирующих ресурсов и т.д.);
 обязанности и процедуры для различных категорий персонала
системы в кризисных ситуациях по устранению их последствий,
минимизации ущерба и восстановлению нормального
функционирования системы.
Соглашение о порядке организации обмена электронными
документами должно включать документы, отражающие следующие
вопросы:
 разграничение ответственности субъектов, участвующих в
процессах обмена электронными документами;
 определение порядка подготовки, оформления, передачи, приема,
проверки подлинности и целостности электронных документов;
 определение порядка генерации, сертификации и распространения
ключевой информации (ключей, паролей и т.д.);
 определение порядка разрешения споров в случае возникновения
конфликтов. [девятнадцать]
Разработанная политика безопасности для компании представлена в
Приложении № 1.
2.2. Комплекс проектируемых программно-аппаратных средств
обеспечения информационной безопасности и защиты информации
предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия
DeviceLock.
Для защиты и администрирования компьютерной сети организации
важно предотвратить запись информации на сменные носители и установку с
них ненужных программ.
82
При помощи DeviceLock администратор компьютера или домена
может контролировать доступ пользователей к дисководам, DVD/CD-ROM,
другим сменным устройствам, адаптерам Wi-Fi и Bluetooth, а также к USB,
FireWire, инфракрасным, COM и LPT-портам.
Кроме функции контроля доступа, DeviceLock позволяет
осуществлять протоколирование и аудит использования устройств и сетевых
протоколов на локальном компьютере, как отдельными пользователями, так
и группами. Для хранения записей аудита DeviceLock использует
стандартный журнал Windows, что позволяет просматривать их как с
помощью стандартной программы просмотра событий, так и встроенного
средства просмотра.
DeviceLock поддерживает функцию теневого копирования –
возможность сохранять точную копию данных, копируемых пользователем
на внешние устройства хранения данных, передаваемых через COM и LPT-
порты или по сети.
Точные копии всех файлов и данных сохраняются в SQL-базе данных.
Теневое копирование, как и аудит, может быть задано для отдельных
пользователей и групп пользователей.
Кроме того, теневое копирование DeviceLock совместимо с
библиотекой программного обеспечения, поддерживаемой национальным
институтом стандартов и технологий США, а также с базой данных
Hashkeeper, созданной и поддерживаемой министерством юстиции США.
Данные теневого копирования могут быть проверены на вхождение в базы
данных известных файлов, что позволяет их использовать в компьютерной
криминалистике. Такие базы данных содержат цифровые “отпечатки”
множества известных файлов (файлы операционных систем, прикладного
программного обеспечения и т.п.).
Кроме того, DeviceLock предоставляет возможность быстрого поиска
текста в файлах теневого копирования и журналах аудита, хранящихся в
централизованной базе данных. DeviceLock может автоматически
83
распознавать, индексировать, искать и показывать документы в различных
форматах данных, таких как Adobe Acrobat (PDF), Ami Pro, архивы (GZIP,
RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft
PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (документы,
таблицы и презентации), Quattro Pro, WordPerfect, WordStar и во многих
других.
DeviceLock состоит из трех частей: агента (DeviceLock Service),
сервера (DeviceLock Enterprise Server и DeviceLock Content Security Server) и
консоли управления (DeviceLock Management Console, DeviceLock Group
Policy Manager и DeviceLock Enterprise Manager).
1. DeviceLock Service – это ядро системы DeviceLock. Агент устанавливается
на каждый компьютер, автоматически запускается и обеспечивает защиту
устройств и сети на машине-клиенте, оставаясь в то же время невидимым
для локального пользователя.

Рисунок 2.2.1.1. Схема DeviceLock Service


2. DeviceLock Enterprise Server – это дополнительный необязательный
компонент, используемый для централизованного сбора и хранения
данных теневого копирования и журналов аудита. DeviceLock Enterprise
Server использует MS SQL Server для хранения данных.
84
Рисунок 2.2.1.2. Схема DeviceLock Enterprise Server
3. Консоль управления – это интерфейс контроля, который системный
администратор использует для удаленного управления любой системой,
на которой установлен агент (DeviceLock Service). DeviceLock
поставляется с тремя различными консолями управления: DeviceLock
Management Console (оснастка для MMC), DeviceLock Enterprise Manager
и DeviceLock Group Policy Manager (интегрирован в редактор групповых
политик Windows). DeviceLock Management Console также используется
для управления DeviceLock Enterprise Server и DeviceLock Content Security
Server.

85
Рисунок 2.2.1.3. Схема консоль управления
Управляемый контроль доступа для устройств и протоколов
Контроль доступа для устройств работает следующим образом:
каждый раз, когда пользователь пытается получить доступ к устройству,
DeviceLock перехватывает запрос на уровне ядра ОС. В зависимости от типа
устройства и интерфейса подключения (например USB), DeviceLock
проверяет права пользователя в соответствующем списке управления
доступом (ACL). Если у пользователя отсутствуют права доступа к данному
устройству, будет возвращено сообщение об ошибке “доступ запрещен”.
Контроль доступа может выполняться на трех уровнях: уровне интерфейса
(порта), уровне типа и уровне содержимого файлов. Некоторые устройства
проверяются на всех трех уровнях, в то время как другие – только на одном:
либо на уровне интерфейса (порта), либо на уровне типа.
Рассмотрим случай доступа пользователя к USB-флеш через USB-
порт. В данном случае DeviceLock в первую очередь проверит на уровне
интерфейса (USB-порта), открыт или нет доступ к USB-порту. Затем,
поскольку Windows определяет USB-флеш как съемное устройство,
DeviceLock также проверит ограничения на уровне типа устройства
86
(Removable). И в завершение проверки DeviceLock также проверит
ограничения на уровне содержимого файла, определенные контентно-
зависимыми правилами (Content-Aware Rules). В случае использования USB-
сканера доступ будет проверяться только на уровне интерфейса (USB-порта),
поскольку DeviceLock не имеет отдельного типа устройств для сканеров.[17]

Рисунок 2.2.1.4. Алгоритм контроля доступа

Handy Backup Office Expert

87
Handy Backup Office Expert – это одна из лучших программ для
резервного копирования. Разработанная, как для частных, так и для
корпоративных пользователей, она обеспечивает полное, лёгкое и
экономичное резервное копирование и восстановление данных. Она
выполняет бэкап баз данных MS SQL, MySQL, Oracle, MS Access, FoxPro,
PostgreSQL и других с помощью ODBC-драйвера. При этом копируются
таблицы базы данных. Бэкап базы MS SQL возможен через интерфейс API,
когда копируются все компоненты базы данных - таблицы, представления,
индексы, процедуры, триггеры и прочие.
Программа резервного копирования Handy Backup разработана для
копирования самых разнообразных данных, не требуя от пользователя знания
их месторасположения. Пользователь должен только уточнить, какие именно
данные следует копировать, все остальные действия выполняются
программой. Handy Backup работает практически со всеми существующими
устройствами для хранения данных, включая внешние и внутренние жёсткие
диски, сменные носители (например, дискеты), CD/DVD диски, а также
локальные сети и отдалённые серверы.
Задачи копирования могут быть запланированы, и осуществляться
автоматически, как однократно, так и на постоянной основе. Посредством
электронной почты программа информирует пользователей о состоянии
процесса копирования и его завершении.
Использование Zip-сжатия файлов позволяет значительно сократить,
как объём хранимой информации, так и время подключение к Интернету, во
время резервирования данных на удалённый сервер. Пользователь может
изменять тип параметров сжатия и уровень сжатия. Для защиты данных от
несанкционированного доступа используется 128-битный алгоритм
шифрования. Файлы, зашифрованные с помощью Handy Backup, невозможно
преобразовать в первоначальный вид без уникального пароля и самой
программы. Для обеспечения полного соответствия хранимых данных и их
первоисточников Handy Backup использует функцию синхронизации.
88
Данный программный продукт будет установлен на сервере баз данных.
Ответственность по установке и использованию Handy Backup возлагается на
системного администратора. [18]
Криптографические средства.
eToken - персональное средство аутентификации и защиты
информации, использующее сертифицированные алгоритмы шифрования и
аутентификации и объединяющее в себе российские и международные
стандарты безопасности.
eToken представляет собой небольшое электронное устройство,
подключаемое к USB-порту компьютера (USB-брелок). Он является
аналогом смарт-карты, но для работы с ним не требуется дополнительное
оборудование (считыватель), данные надежно хранятся в энергонезависимой
памяти, прочный корпус eToken устойчив к внешним воздействиям.

Рисунок 2.2.1.5. Электронный ключ eToken


Основу eToken составляет микроконтроллер, который выполняет
криптографическое преобразование данных, и память, в которой хранятся
данные пользователя (пароли, сертификаты, ключи шифрования и т. д.).
Электронные идентификаторы обычно используются в комплексе с
соответствующими программно-аппаратными средствами. eToken
поддерживает основные промышленные стандарты, что позволяет без труда
использовать токены в уже существующих системах безопасности
информации.
89
eToken разработан компанией «Аладдин Р.Д.» с учетом современных
требований к устройствам защиты информации. Главным немало важным
является то, что в eToken аппаратно реализован российский стандарт
шифрования - ГОСТ 28147-89. [19]
На базе eToken ЭЦП и программного обеспечения КриптоПро
разработан программно-аппаратное CКЗИ КриптоПро eToken CSP.
Основные технические характеристики
Криптографические возможности:
 Алгоритм ГОСТ Р 34.10-2001:
 Генерация ключевых пар;
 Срок действия закрытых ключей до 3-х лет;
 Формирование и проверка электронной цифровой подписи;
 Алгоритм ГОСТ ГОСТ 34.11-94 — вычисление значения хеш-
функции данных (в т.ч. с возможностью последующего
формирования ЭЦП);
 Поддержка алгоритма ГОСТ 28147-89;
 Генерация и импортирование ключей шифрования;
 Зашифрование и расшифрование данных в режимах простой
замены, гаммирования и гаммирования с обратной связью;
 Вычисление и проверка имитовставки;
 Выработка сессионных ключей (ключей парной связи) по схеме
ГОСТ Р 34.10-2001;
 Выработка ключа парной связи по алгоритму Диффи-Хеллмана
согласно RFC 4357;
 Генерация последовательности случайных чисел;
 Поддержка алгоритма RSA.
Возможности аутентификации владельца:
 Поддержка 3 категорий владельцев: Администратор, Пользователь,
Гость;

90
 Поддержка 2-х Глобальных PIN-кодов: Администратора и
Пользователя;
 Поддержка Локальных PIN-кодов для защиты конкретных объектов
(например, контейнеров сертификатов) в памяти устройства;
 Настраиваемый минимальный размер PIN-кода (для любого PIN-
кода настраивается независимо);
 Поддержка комбинированной аутентификации;
 Администратор или Пользователь;
 Аутентификация по Глобальным PIN-кодам в сочетании с
аутентификацией по локальным PIN-кодам;
 Индикация факта смены Глобальных PIN-кодов по умолчанию на
оригинальные.
Интерфейсы:
 Поддержка PC/SC;
 Сертификаты X.509 v3, SSL v3, IPSec/IKE;
 Поддержка USB CCID (работа без установки драйверов в Windows
7, 8, 10);
 Microsoft Crypto API;
 PKCS#11 версии 2.30 (включая российский профиль).
Поддерживаемые операционные системы
 Microsoft Windows Server 2003/2008/XP/2003/Vista/2008/7/8/10
(32/64-бит);
 MacOS X (RISC, Intel);
 Linux (SuSE, RedHat, Ubuntu).
Возможности eToken ЭЦП позволяют осуществлять механизм
электронной цифровой подписи так, чтобы закрытый (секретный) ключ
подписи никогда не покидал пределы токена. Таким образом, исключается
возможность компрометации ключа и увеличивается общая безопасность
информационной системы.

91
Средство криптографической защиты информации (СКЗИ) eToken
ЭЦП имеет Сертификат соответствия ФСБ РФ №СФ/124-1674 от 11 мая 2011
года, который удостоверяет, что eToken ЭЦП соответствует требованиям
ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, а также требованиям
ФСБ России к СКЗИ класса КС2 и может использоваться для генерации и
управления ключевой информацией, шифрования, хеширования и
электронной цифровой подписи. [19]
Правила эксплуатации и хранения eToken.
1. Оберегайте электронный идентификатор от механических воздействий
(падения, сотрясения, вибрации и т.п.), от воздействия высоких и
низких температур, агрессивных сред, высокого напряжения; все это
может привести к его поломке.
2. Не прилагайте лишних усилий при подсоединении устройства к порту
компьютера.
3. Не допускайте попадания на электронный идентификатор (особенно на
его разъем) пыли. Грязи, влаги и т.п. При засорении разъема примите
меры для его очистки. Для очистки корпуса и разъема устройства
используйте сухую ткань. Использование органических растворителей
недопустимо.
4. Не разбирайте электронный идентификатор. Кроме того, что при этом
будет утрачена гарантия на устройство, такие действия могут привести
к поломке корпуса, а также к порче или поломке элементов печатного
монтажа и, как следствие – к ненадежной работе или выходу из строя
самого идентификатора.
5. Разрешается подключать идентификатор только к исправному
оборудованию. Параметры USB порта должны соответствовать
спецификации для USB.
6. Запрещается использовать длинные переходники или USB – хабы без
дополнительного питания, поскольку из-за этого на вход,

92
предназначенный для идентификатора, может подаваться
несоответствующее напряжение.
7. Запрещается извлекать электронный идентификатор из порта
компьютера, если на устройстве моргает индикатор, поскольку это
обозначает работу с данными и прерывание работы может негативно
сказаться как на данных, так и на работоспособности идентификатора.
8. Запрещается оставлять идентификатор подключенный к компьютеру во
время перезагрузки, ухода в режим sleep, поскольку в это время
возможны перепады напряжения на USB – порте и, как следствие,
вывод устройства из строя.
9. Не рекомендуется оставлять идентификатор подключенный к
компьютеру, когда он не используется.
10. Рекомендуется отключать другие USB – устройства на время работы с
токеном. Большое количество USB – устройств может приводить к
значительным изменениям в режимах питания USB – портов
компьютера и, как следствие, к выходу из строя токенов.

2.2.2. Контрольный пример реализации проекта и его описание


Структура программно-аппаратного комплекса защиты информации
проектируемой информационной системы показана на рисунке 2.2.2.1.

93
Рисунок 2.2.2.1. Структура программно-аппаратного комплекса защиты
информации информационной системы ООО «Старый мастер».

Handy Backup
Чтобы установить Handy Backup на сервере базы данных, нам
необходимо запустить установочный файл Handy Backup. Появится мастер
установки, мы должны нажать кнопку «Далее». В следующем окне мы
должны прочитать лицензионное соглашение и нажать «Согласиться». Затем
появится окно, в котором мы должны выбрать приложение для установки.
В окне Выборочная установка мастера установки выбераем «Версия
для 1 ПК». В нашем случае это будет удобная резервная копия, так как
резервное копирование будет происходить только на одном компьютере,
сервере базы данных.

94
Рисунок 2.2.2.2. Мастер установки Handy Backup

Рисунок 2.2.2.2. Подтверждение установки Handy Backup


Нам может быть предложено, подтвердить установку от имени
конкретного пользователя. Нажмём в этом случае «Да».
После следует выбрать место, куда следует установить программу и
нажать «Установить».

95
Рисунок 2.2.2.2. Экран завершения установки
После установки откроется программа.
Для того чтобы зарезервировать данные необходимо создать задачу
резервного копирования с помощью значка «+ создать», который
располагается на панели инструментов.

Рисунок 111 Создание новой задачи


После запуска программы появиться мастер создания новой задачи.
Handy Backup работает с данными, сгруппированными по задачам. Для
резервного копирования, восстановления или синхронизации данных
требуется создать задачу, определив:
 имя задачи;

96
 тип выполняемой операции (резервное копирование,
восстановление, синхронизация);
 месторасположение копируемых данных;
 место хранения резервных копий;
 тип и степень сжатия при архивировании;
 пароль для шифрования;
 расписание копирования;
 и прочие дополнительные опции.

Рисунок 2.2.2.3. Мастер создания новой задачи. Выбор типа задач.


Задачу резервного копирования можно создать, либо в стандартном
режиме, обеспечивающим минимально необходимый набор настроек, либо в
режиме эксперт с расширенными возможностями настройки свойств задачи.
В следующем окне по кнопке «Добавить» будет предложено указать,
какие файлы и папки следует включить в набор для резервного копирования.
На Шаге 2 выбираем данные для резервного копирования, развернув
нужную группу источников данных и щёлкнув по названию нужного
плагина.

97
Рисунок 2.2.2.4. Мастер создания новой задачи.
Примечание: некоторые плагины требуют предварительной настройки
для соединения с источниками данных. Подробнее о возможностях и
настройках конкретных плагинов можно ознакомится на сайте
производителя, в разделе «Плагины».
В открывшемся диалоговом окне отметим «галочками» те
данные, которые мы собираетесь копировать, и нажимаем «ОК».
Далее выберем хранилище для нашей резервной копии, щёлкнув по
названию хранилища на левой панели окна.
Поле «включить маски» определяет, какие файлы включаются в
задание. В него можно ввести полные имена файлов, отделённые точкой с
запятой друг от друга; и/или обозначить маски, указывающие на группы
файлов. Аналогично поле «Исключить маски». Можно обозначить файлы
и/или маски, указывающие, какие файлы или группы файлов не надо
резервировать. Кнопка «добавить стандартные расширения временных
файлов» позволяет добавить в список исключения временные файлы. После
нажатия на кнопку стандартные маски временных файлов появятся в окне
«исключить маски».

98
На следующем этапе будет предложено выбрать место хранения
резервных копий.

Рисунок 2.2.2.5. Мастер создания новой задачи. Выбор места хранения


резервных копий.
В следующем окне будут предложены расширенные настройки, где
можно выбрать тип резервного копирования: полное, инкрементальное или
дифференциальное копирование данных, а также смешанное (полное и
инкрементальное, полное и дифференциальное) резервное копирование.

99
Рисунок 2.2.2.6. Мастер создания новой задачи. Установка расширенных
настроек.
Полное резервирование – программа будет делать резервные
копирование всех файлов при каждой операции.
Инкрементальное резервирование – программа сделает резервное
копирование только тех файлов, которые были изменены с момента
последнего копирования.
Дифференциальное резервирование – программа выполняет резервное
копирование новых файлов и части изменившихся файлов (побайтово), с
момента последнего полного бэкапа.
Также можно разрешить или запретить хранение нескольких
версий бэкапа на этом шаге, отметив или сняв «галочку» в строчке
«Хранить несколько версий резервной копии», настроить параметры
хранения версий и временные метки для различных копий данных.

100
Рисунок 2.2.2.9. Мастер создания новой задачи. Установка параметров
сжатия и шифрования.
При сжатии используется zip-архивирование. Оно рекомендуется при
резервировании на сетевые диски или FTP сервера, поскольку позволяет
экономить место, время и объемы данных, передаваемых через Интернет.
Имя ZIP-архива - здесь указывается имя архива.
Шифрование - если данная опция отмечена, то данные будут
зашифрованы с помощью алгоритма AES и таким образом защищены от
несанкционированного доступа. Если выбрано шифрование данных, то
необходимо заполнить следующие поля:
 пароль – пароль для шифрования данных, обеспечивающий доступ
к резервным копиям при восстановлении;
 подтверждение пароля: поле должно быть заполнено тем же самым
паролем шифрования, что и предыдущее поле, чтобы избежать
ошибок при вводе пароля.
Для продолжения нажимаем кнопку «Далее».
Следующее окно позволяет спланировать расписание запуска
резервного копирования.

101
Рисунок 2.2.2.10. Мастер создания новой задачи. Установка расписания для
автоматического запуска операции.
Окно устроено следующим образом:
Установка флага «включить планировщик» – позволяет выполнять
копирование согласно определенному времени. Если по каким-либо
причинам задача резервного копирования не была проведена в установленное
время, она будет выполнена в следующий раз при благоприятных
обстоятельствах.
Как часто запускать задачу – предлагает четыре варианта:
 каждый день – для ежедневного выполнения операции;
 в дни недели – для выполнения операции по определённым дням
недели;
 в дни месяца – для выполнения операции по определённым числам
месяца;
 произвольный период – с точностью до минут указывается
интервал времени, через который будет запускаться задача
копирования.
Если предполагается, что в установленное для резервирования время,
компьютер может бездействовать (быть выключен или выведен из системы),
102
можно отметить «выполнять пропущенные запуски». Это позволит Handy
Backup выполнить задание, как только системный администратор войдет в
систему.
Два оставшихся флажка позволяют выполнять дополнительные
сессии по восстановлению данных. Первый пункт запускает задачу при
каждом входе системного администратора в систему. Второй пункт
позволяет выполнить задачу при выходе системного администратора из
системы.
Мы можем также настроить запуск задачи по наступлению
системного события (например, при подключении связанного с задачей
устройства USB к компьютеру). Чтобы выбрать системное событие для
старта задачи, отметим его «галочкой»
Нажмём «Далее», чтобы перейти к Шагу 7. На этом шаге мы можем
указать внешние программы или пакетные файлы, которые будут
автоматически запущены до или после выполнения создаваемой задачи.

Рисунок 2.2.2.10. Окно выбора вариантов запуска


Чтобы запустить внешнюю программу до или после задачи, отметим
«галочкой» соответствующий пункт, а затем укажим путь к выполняемой
задаче в текстовой строке рядом с этим пунктом.

103
Следующее окно это завершающий этап. В этом окне отображена
полная информация о задаче, её настройки. На этом шаге дадим нашей
задаче имя.
Если напротив строчки «Выполнить эту задачу сразу» стоит
«галочка», то задача будет автоматически запущена, как только вы нажмём
кнопку «Готово».

Рисунок 2.2.2.11. Мастер создания новой задачи. Параметры готовой задачи.


В центре окна указаны все ключевые параметры созданной
задачи. Все пройденные этапы резюмированы здесь. Если необходимо что-то
изменить, отсюда можно вернуться назад к любому этапу и внести
необходимые изменения.
В заключение, можно запустить задачу сразу после завершения её
создания. Чтобы это сделать, необходимо отметить опцию «выполнить эту
задачу сразу» и нажать кнопку «Готово».
Результат процедуры резервного копирования сразу же появиться в
области задач.

104
Рисунок 2.2.2.12. Результат процедуры резервного копирования.

Криптографические инструменты.
Токен подключен к USB - порту компьютера. Поэтому необходимо
проверить, открыт ли USB-порт на компьютерах, где используется eToken.
Мы не можем подключить токен к USB-порту перед установкой драйвера.
Чтобы начать работу с электронным идентификатором eToken, мы
должны:
 Установите драйвер. Драйверы eToken устанавливаются перед
подключением устройства;
 Подключить eToken к USB-порту. После установки драйверов
токен подключается к порту компьютера. Загорается светодиод на
идентификаторе - знак того, что eToken электрически исправен и
правильно распознан операционной системой;
 Наберать PIN-код. Чтобы получить доступ к eToken, нам нужно
ввести PIN-код - своего рода аналог пароля.
Чтобы установить драйвер CryptoPro CSP, нам необходимо запустить
установочный файл продукта. После распаковки дистрибутива начнется
процесс установки. Мы должны нажать кнопку «Далее».

105
В процессе установки eToken должен быть отсоединен от порта
компьютера. Если он подключен, то его следует отсоединить и нажать
«Установить».

Рисунок 2.2.2.13. Окно начала установки программы CryptoPro CSP


Нажмите кнопку Далее в окне программы установки.

Рисунок 2.2.2.13. Окно установки программы CryptoPro CSP

106
Выбираем язык установки и уровень безопасности, и нажимаем
кнопку «Установить».

Рисунок 2.2.2.13. Выбор языка установки программы CryptoPro CSP


Ознакомившись с текстом лицензионного соглашения, устанавливаем
отметку «Я принимаю условия лицензионного соглашения» и жмём кнопку
«Далее».

Рисунок 2.2.2.15. Окно лицензионного соглашения программы CryptoPro CSP


107
В окне «Сведения о пользователе» вводим имя, название организации,
а также серийный номер, указанный в документе «Лицензия на
использование программного продукта КриптоПро CSP версии 4.0» и
нажимаем кнопку «Далее».

Рисунок 2.2.2.15. Окно «Сведения о пользователе» программы CryptoPro CSP


Выбираем обычный вид установки и нажимаем кнопку «Далее».

Рисунок 2.2.2.15. Выбор типа установки программы CryptoPro CSP

108
Устанавливаем отметку «Усиленный контроль использования
ключей». Жмём кнопку «Установить».

Рисунок 2.2.2.15. Установка контроля использования ключей


Перемещаем курсор следуя указаниям программы установки.

Рисунок 2.2.2.15.Генерация случайной последовательности


По окончании установки нажимаем кнопку «Готово».

109
Рисунок 2.2.2.16. Окно окончания установки программы CryptoPro CSP
По окончании установки будет предложено перезагрузить
операционную систему. Жмём кнопку «Да» для перезагрузки компьютера,
чтобы завершить установку.
Подключение eToken
После установки продукта и перезагрузки компьютера необходимо
подсоединить идентификатор к USB порту. После подключения на
идентификаторе загорается светодиод. Это признак того, что eToken
корректно распознан операционной системой и готов к работе.
Регистрация сертификата открытого ключа в локальном хранилище
Чтобы различные приложения могли обращаться к контейнеру
КриптоПро CSP, хранящемуся в памяти идентификатора eToken, необходимо
зарегистрировать в локальном хранилище рабочей станции сертификат
открытого ключа для этого контейнера.
Для этого из панели управления откроем окно настроек Крипто-Про
CSP на закладке сервис и нажмём на кнопку «Просмотреть сертификаты в
контейнере».

110
Рисунок 2.2.2.18. Окно настроек КриптоПро CSP
Нажимаем на кнопку «Обзор» на первой странице мастера
«Сертификаты в контейнере закрытого ключа».

Рисунок 2.2.2.19. Контейнер закрытого ключа

111
Выбираем нужный контейнер в появившемся окне «Выбор ключевого
контейнера» и нажимаем на кнопку «ОК»

Рисунок 2.2.2.20. Выбор ключевого контейнера.


По нажатию на кнопку «Далее» в мастере сертификаты в контейнере
закрытого ключа и после появления страницы сертификат для просмотра
нажмём кнопку «Свойства».

Рисунок 2.2.2.21. Сертификат для просмотра.


В открывшемся окне свойств сертификата нажмём на кнопку
«Установить сертификат».

112
Рисунок 2.2.2.21 Окно свойств сертификата
Нажимаем – «Установить личный сертификат». Далее, «Обзор» и
выберем файл сертификата, нажмём «Открыть».

Рисунок 2.2.2.23. Мастер установки сертификатов.


Следуя указаниям мастера, нужно выбрать хранилище сертификатов
(рекомендуется выбрать опцию автоматического определения) и нажать на
кнопку «Далее».
113
Рисунок 2.2.2.24. Выбор хранилища сертификатов.
Если мы хотим найти контейнер автоматически, то поставим галочку
«Найти контейнер автоматически». При установке этой галочки КриптоПро
CSP автоматически найдет контейнер, соответствующий сертификату.

Рисунок 2.2.2.20. Выбор ключевого контейнера.


Нажимаем «Далее», нажмём «Готово» (если сертификат уже
присутствовал в хранилище, соглашаемся на замену, нажав «Да»). Для
завершения регистрации нажатием кнопок «ОК» и «Готово» закрываем
оставшиеся окна.

114
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической
эффективности
Оценка экономической эффективности ИТ-проекта является
обязательным компонентом его технико-экономического обоснования.
Только сочетание этих двух компонентов может привести к достоверному
результату анализа.
Под эффективностью обычно понимается степень соответствия
системы поставленным перед ней целям.
Экономическая эффективность - это показатель соотношения затрат
на разработку, внедрение, эксплуатацию и модернизацию системы и
прибыли от ее применения.
Чтобы определить уровень затрат Ri, предоставляющих необходимый
уровень информационной безопасности, мы должны, по крайней мере, знать:
 во-первых, полный список угроз для информации;
 во-вторых, потенциальная опасность для информации по каждой из
угроз;
 в-третьих, затраты, необходимые для нейтрализации каждой из
угроз.
Поскольку оптимальным решением вопроса о соответствующем
уровне затрат на защиту является то, что этот уровень должен быть равен
уровню ожидаемых потерь при нарушении, достаточно определить только
уровень потерь. В качестве одного из методов определения уровня затрат
можно использовать следующую эмпирическую зависимость ожидаемых
потерь (рисков) от i-й информационной угрозы:
Ri = 10 (Si + VI - 4),
где:
Si - коэффициент, характеризующий возможную частоту появления
соответствующей угрозы;

115
Vi - коэффициент, характеризующий величину возможного ущерба
при его наступлении. Результаты, полученные в таблице 3.1.1.
Таблица 3.1.1 Значения потерь (риски) для критически важных
информационных ресурсов до внедрения / модернизации системы
защиты информации
Актив Угроза Величина
потерь
(тыс.руб.)
Персональные Угрозы, обусловленные преднамеренными действиями 100
данные о Угрозы, обусловленные случайными действиями 100
сотрудниках Угрозы, обусловленные естественными причинами 0,1
Кадровый учет Угрозы, обусловленные преднамеренными действиями 100

Угрозы, обусловленные случайными действиями 100


Угрозы, обусловленные естественными причинами 0,1
Персональные Угрозы, обусловленные преднамеренными действиями 100
компьютеры Угрозы, обусловленные случайными действиями 10
Угрозы, обусловленные естественными причинами 1
Сервера баз Угрозы, обусловленные преднамеренными действиями 1000
данных Угрозы, обусловленные случайными действиями 100
Угрозы, обусловленные естественными причинами 0,1
Почтовый Угрозы, обусловленные преднамеренными действиями 10
сервер Угрозы, обусловленные случайными действиями 10
Угрозы, обусловленные естественными причинами 0,001
Оборудование Угрозы, обусловленные преднамеренными действиями 1
для Угрозы, обусловленные случайными действиями 1
обеспечения Угрозы, обусловленные естественными причинами 0,001
связи
Учетная Угрозы, обусловленные преднамеренными действиями 100
Система Угрозы, обусловленные случайными действиями 10
Угрозы, обусловленные естественными причинами 0,001
Угрозы, обусловленные преднамеренными действиями 10
Windows 8 Угрозы, обусловленные случайными действиями 1
Угрозы, обусловленные естественными причинами 0,001
116
Суммарная величина потерь 1754,304

3.2 Расчёт показателей экономической эффективности проекта


Для определения экономической эффективности системы защиты
информации предприятия требуются следующие данные:
 затраты на создание / модернизацию этой системы и поддержание

ее в рабочем состоянии;
 потери из-за угроз информационным активам после внедрения /

модернизации системы информационной безопасности.


Данные о содержании и объеме единовременного ресурса,
выделяемого на защиту информации, представлены в таблице 3.2.1.
Данные о содержании и объеме постоянного ресурса, выделяемого на
защиту информации, представлены в таблице 3.2.2.
Таблица 3.2.1 Содержание и объем одноразового ресурса, выделяемого
для защиты информации
Организационные мероприятия
Среднечасовая Трудоемкость
№ Стоимость
Выполняемые действия зарплата операции
п\п (тыс.руб.)
специалиста (руб.) (чел.час)
1 Установка и настройка 300 80 21,000
системы контроля управления
доступом
2 Установка и настройка 300 90 25,000
программного обеспечения на
сервер и рабочие станции
Стоимость проведения организационных мероприятий, всего 46,000
Мероприятия инженерно-технической защиты
№ Номенклатура ПиАСИБ, Стоимость, Кол-во Стоимость
п/п расходных материалов единицы (тыс.руб.) (ед.измер.) (тыс.руб.)
1 Программное обеспечение 6,400 1 5,400
Handy Backup
2 Программное обеспечение 13,000 1 11,000

117
DeviceLock
3 Средство криптографической 2,100 30 61,000
защиты информации
КриптоПРО eToken CSP
4 Антивирусное программное 12,000 1 10,000
обеспечение Antivirus
Kaspersky
Стоимость проведения технических мероприятий защиты 87,400
Объем разового ресурса, выделяемого на защиту информации 122,400

Таблица 3.2.2 Содержание и объем постоянного ресурса, выделяемого на


защиту информации
Организационные мероприятия
Среднечасовая Трудоемкость
№ Стоимость
Выполняемые действия зарплата специалиста операции
п\п (тыс.руб.)
(руб.) (чел.час)
1 поддержка программных 150 250 34,500
средств информационной
защиты
Стоимость проведения организационных мероприятий, всего 34,500

Мероприятия инженерно-технической защиты


№ Номенклатура ПиАСИБ, Стоимость, единицы Стоимость
Кол-во (ед.измер.)
п/п расходных материалов (тыс.руб.) (тыс.руб.)

Стоимость проведения мероприятий инженерно-технической защиты 0


Объем постоянного ресурса, выделяемого на защиту информации 34,500

Данные о содержании и объеме единовременного ресурса,


выделяемого на защиту информации, представлены в таблице 3.2.1.
Данные о содержании и объеме постоянного ресурса, выделяемого на
защиту информации, представлены в таблице 3.2.2.
118
Мы определяем уровень потерь критически важных информационных
ресурсов после внедрения системы информационной безопасности.
Результаты представлены в таблице 3.2.3.
Таблица 3.2.3 Величина потерь (рисков) для критически важных
информационных ресурсов после внедрения / модернизации системы
защиты информации.
Актив Угроза Величина
потерь
(тыс.руб.)
Персональные Угрозы, обусловленные преднамеренными действиями 10
данные о Угрозы, обусловленные случайными действиями 10
сотрудниках Угрозы, обусловленные естественными причинами 0,1
Кадровый учет Угрозы, обусловленные преднамеренными действиями 10

Угрозы, обусловленные случайными действиями 10


Угрозы, обусловленные естественными причинами 0,1
Персональные Угрозы, обусловленные преднамеренными действиями 1
компьютеры Угрозы, обусловленные случайными действиями 1
Угрозы, обусловленные естественными причинами 1
Сервер баз Угрозы, обусловленные преднамеренными действиями 10
данных Угрозы, обусловленные случайными действиями 1
Угрозы, обусловленные естественными причинами 0,1
Почтовый Угрозы, обусловленные преднамеренными действиями 0,1
сервер Угрозы, обусловленные случайными действиями 0,1
Угрозы, обусловленные естественными причинами 0,001
Оборудование Угрозы, обусловленные преднамеренными действиями 1
для Угрозы, обусловленные случайными действиями 0,1
обеспечения Угрозы, обусловленные естественными причинами 0,0001
связи
Учетная Угрозы, обусловленные преднамеренными действиями 10
Система Угрозы, обусловленные случайными действиями 1
Угрозы, обусловленные естественными причинами 0,001
Windows 8 Угрозы, обусловленные преднамеренными действиями 10

119
Угрозы, обусловленные случайными действиями 1
Угрозы, обусловленные естественными причинами 0,001
Суммарная величина потерь 77,6031
Мы оцениваем динамику потерь за период в 2 года.
1. Общая стоимость ресурса (R∑), выделенного на защиту
информации за год, составила 122,400 + 34,500 * 12 = 583 400 тысяч
рублей;
2. Сумма среднегодового убытка организации (Rср) из-за инцидентов
информационной безопасности составила 1754,304 тыс. рублей;
3. Прогнозируемый годовой объем убытков (Rпрогн) составит 77 6031.
Динамика потерь представлена в таблице 3.2.4.
Таблица 3.2.4 Оценка динамики величин потерь.
1 кв. 2 кв. 3 кв. 1 год 1 кв. 2 кв. 3 кв. 2 год
1215,728

1654,304

2731,456

3270,032

3708,608
425,526

867,162

2292,88
До внедрения СЗИ

2515,051 116,4047

2934,227 135,8054

3353,402 155,2062
38,8015

58,2023

77,6031

97,0038
19,401

После внедрения СЗИ


419,1752

838,3505

1257,526

1676,701

2095,876

Снижение потерь

После принятия обязательных допущений об инвариантности частоты


угроз, а также постоянном уровне надежности создаваемой системы защиты
информации мы определяем срок окупаемости системы (Ток).
Ток = R∑ / (Rср – Rпрогн)
Ток = 583,400/(1754,304-77,6031)  0,34 года
График показан на рисунке 3.2.1.

120
Рисунок 3.2.1. Динамика потерь.
С помощью расчетов было выявлено, что срок окупаемости составил
4 месяца.

121
Заключение
Защита информации включает в себя определенный набор методов,
средств и мероприятий, но ограничивать способ реализации только этим
было бы неправильно. Защита информации должна быть системной, а другие
компоненты включают в себя другие компоненты: объекты защиты, органы
безопасности, пользователи информации. В то же время защита должна быть
не статичной, а представлять собой непрерывный процесс. Но этот процесс
осуществляется не сам по себе, а обусловлен деятельностью людей.
Деятельность, по определению, включает в себя процесс, цели,
инструменты и результаты. Защита информации не может быть бесцельной,
безуспешной и осуществляться без помощи определенных средств.
Следовательно, это деятельность и должна быть способом реализации
существенной части защиты.
Основной целью выпускной квалификационной работы была
разработка организационных и технических решений по обеспечению
защиты информации.
Организационная защита информации - это регулирование
деятельности и взаимоотношений исполнителей на нормативно-правовой
основе, исключающее или существенно затрудняющее освоение
конфиденциальной информации и проявление внутренних и внешних угроз.
В процессе написания работы была разработана комплексная
политика безопасности, отражающая подход организации к защите своих
информационных активов.
Инженерно-технические мероприятия - это совокупность
специальных технических средств и их использование для защиты
информации.
Конечной целью создания системы обеспечения безопасности
информационных технологий является предотвращение или минимизация
ущерба (прямого или косвенного, материального, морального или иного),
наносимого субъектами информационных отношений посредством
122
нежелательного воздействия на информацию, ее носителей и процессы
обработки.
В процессе работы было принято решение принять следующее
организационно - технические меры по обеспечению защиты информации:
 Разработка политики информационной безопасности. Под
политикой информационной безопасности понимается
совокупность документированных управленческих решений,
направленных на защиту информационных ресурсов организации.
Целью разработки политики организации в области
информационной безопасности является определение правильного
способа использования информационных ресурсов, а также
разработка процедур, предотвращающих нарушения режима
безопасности или реагирующих на них
 Использование антивирусных программ - позволяет защитить ваш

компьютер от вредоносных программ.


 Организация резервного копирования - это один из важных

инструментов защиты, так как он позволяет создавать резервные


копии, предназначенные для восстановления данных в случае
повреждения или уничтожения.
 Организация управления доступом к устройствам - это одно из

важнейших средств защиты информации от утечки.


 Внедрение криптографических препаратов. Это единственный
надежный метод шифрования. Применяются для обработки,
хранения и передачи информации на носителях и в сетях связи.
Защита информации в результате сводится к обеспечению
конфиденциальности информации и защите информации в
компьютерных системах в процессе передачи информации по сети
между пользователями системы.

123
Список литературы
1. https://remontcompa.ru/bezopasnost/rezervnoe-kopirovanie/1584-polnoe-
inkrementnoe-differencialnoe-o-metodah-rezervnogo-kopirovaniya.html
https://www.handybackup.ru/manual/installation.shtml
1. Информационная безопасность: Учебное пособие для вузов. – Ярочкин
В.И. – М: Академический Проект, Гаудеамус, 2-е изд. – 2004. – 544 с.
2. Безопасность программного обеспечения компьютерных систем.
Казарин О.В. Монография. – М.: МГУЛ, 2003. – 212 с.
3. Основы информационной безопасности. Учебное пособие для вузов.
Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. – М: Горячая линия
– Телеком, 2006. – 544 с.
4. Технические средства и методы защиты информации: Учебник для
вузов. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др., под ред. А.П.
Зайцева и А.А.Шелупанова. – М.: ООО «Издательство Машиностроение»,
2009 – 508 с.
5. Информационная безопасность и защита информации: учеб. Пособие
для студ. Высш. Учеб. Заведений, Мельников В.П., Клейменов С.А.,
Петраков А.М., под. Ред. Клеменова С.А.. 3-е изд., стер. – М.: Издательский
центр « Академия», 2008. -336с.
6. Основы информационной безопасности Курс лекций Учебное пособие
, Издание второе, исправленное . Галатенко В А Под редакцией члена-
корреспондента РАН В Б Бетелина – М: ИНТУИТРУ «Интернет-университет
Информационных Технологий», 2004 -264 с
7. Федеральный закон от 27 июля 2006 года №152 – ФЗ «О персональных
данных».
124
8. Разработка правил информационной безопасности.: Пер. с англ. –
Бармен Скотт, – М.: Издательский дом «Вильямс», 2002. – 208 с.
9. http://www.scriru.com
10. http://old.cio-world.ru
11. http://www.sernam.ru
12. http://dehack.ru
13. http://ru.wikipedia.org
14. http://www.iso27000.ru
15. http://www.devicelock.ru
16. www.handybackup.ru/
17. http://www.aladdin-rd.ru/
18. http://forum.antichat.ru/
Приложения

125
Приложение №1
ООО «Старый мастер»

УТВЕРЖДЕНО
Приказом_________
№___ от "__" _____ 2021г.
___________ (______________)

ПРОЕКТИРОВАНИЕ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ


ИНФОРМАЦИОННЫХ СИСТЕМ И БАЗ ДАННЫХ

Москва 2021
126
1. Общие положения
1.1 Сфера применения
Настоящая политика распространяется на всю информацию в
электронном виде и на материальных носителях, созданную, полученную,
переданную, сохраненную и обработанную с использованием
информационных систем, а также на саму систему, владельцем и
пользователем которых является ООО «Старый мастер» (далее -
Организация) и другие активы, необходимые для достижения основных
бизнес-целей. Положения настоящей Политики распространяются на весь
штат сотрудников, временных сотрудников и других сотрудников
подразделений организации, в том числе тех, кто выполняет работу по
гражданско-правовому договору.
Положения настоящей политики распространяются на сотрудников
подрядчиков, имеющих доступ к активам организации.
1.2 Цель
Основной целью настоящей политики является общее определение
основных положений для всех видов деятельности, связанных с
обеспечением информационной безопасности, а также описание
инфраструктуры управления информационной безопасностью, ролей и
обязанностей подразделений организации в рамках этого процесса, состава
нормативной и управленческой документации.
Настоящая политика вводит ряд основных определений и терминов,
связанных с информационной безопасностью.
Реализация данной политики направлена на обеспечение следующих
свойств информационных активов, необходимых для функционирования
основных бизнес-процессов организации:
 конфиденциальность;
 целостность;
 доступность.
Кроме того, целями реализации этой политики являются:
127
 установление ответственности за управление и использование
информационных активов организации;
 установление ответственности за обеспечение информационной
безопасности организации;
 определение процедуры обеспечения информационной
безопасности;
 применение разумных, экономически эффективных и совместимых
организационных и технических мер по обеспечению
информационной безопасности.
1.3 Поправки
Отделом информационной безопасности должен проводится анализ
необходимости изменения этой политики для совершенствования системы
управления информационной безопасностью и обеспечения ее соответствия
бизнес-целям.
Утверждать изменения в данной политике имеет право руководство на
основании рекомендаций отдела информационной безопасности.
2 Основные требования к информационной безопасности
Процессы информационной безопасности организации являются
одним из видов вспомогательных процессов, которые реализуют поддержку
(обеспечение) основных процессов деятельности организации для
достижения поставленных задач.
Основным требованием к процессу обеспечения информационной
безопасности является уверенность, что риски для основных бизнес-
процессов и репутации организации, возникающих в результате
использования информационных технологий:
 приняты во внимание;
 надлежащим образом доведены до сведения руководства
организации и других заинтересованных сторон;
 управляются и контролируются уполномоченными лицами.

128
При проведении мероприятий по обеспечению информационной
безопасности необходимо строго соблюдать требования:
 законодательства Российской Федерации;
 устава организации;
 решений руководства организации;
 внутренних документов организации;
 настоящей политики и упомянутых в ней нормативных
документаций.
Руководствоваться лучшими практиками в области информационной
безопасности и управления непрерывностью бизнеса и информационно-
коммуникационных технологий, определенными в международных
стандартах ISO 27001, ISO 15408, Cobit, стандарте безопасности данных
индустрии платежных карт (PCI DSS), BS 25999, BS 25777.
А также национальных стандартах (ГОСТ Р), стандарте Банка России
в области информационной безопасности банковских систем (СТО БР ИББС-
1.0-2014) и других стандартах.

3 Процесс обеспечения информационной безопасности


3.1 Основные роли процесса
Владелец актива. Под владельцем актива понимается сотрудник или
коллегиальный орган Организации, уполномоченный управлять жизненным
циклом актива, на основании его критичности применять схему
классификации и выбирать режим безопасности. Эти обязанности могут быть
делегированы владельцем другому лицу, но в любом случае владелец несет
ответственность за выбор надлежащего режима безопасности. Термин
«владелец актива» не означает, что этот сотрудник или коллегиальный орган
имеет фактические права собственности на актив.
Жизненный цикл актива. Под жизненным циклом актива понимается
создание, разработка, техническое обслуживание, использование,
уничтожение и обеспечение безопасности актива.
129
Пользователь. Под пользователем понимается лицо, осуществляющее
обработку или эксплуатацию информационного актива. Пользователь должен
строго соблюдать порядок обеспечения информационной безопасности,
выбранный владельцем актива.
Контроллер. Контроллер предоставляет владельцам активов методы и
средства для реализации процедуры информационной безопасности.
Контролер гарантирует адекватность методов и величину стоимости актива,
определенной владельцем.
Аудитор. Аудитор-это лицо, проверяющее выполнение требований
информационной безопасности лицами, относящимися к области системы
управления информационной безопасностью (СУИБ).
3.2 Организационная структура
Контроль и реализация процессов информационной безопасности
возложены на следующие подразделения:
 отдел информационной безопасности;
 руководителей организации;
 ИТ-подразделения;
 службу безопасности;
 отдел кадров.
3.2.1 Управление организацией
Генеральным директором Организации и руководством Организации,
отслеживающими процессы обеспечения информационной безопасности, в
рамках СУИБ осуществляются следующие задачи:
 активная поддержка мероприятий по обеспечению
информационной безопасности;
 утверждение нормативных документов по информационной
безопасности и стратегических решений по вопросам
информационной безопасности;

130
 возложение ответственности за выполнение положений настоящей
политики, другой нормативной управленческой документации по
информационной безопасности;
 утверждение критериев принятия риска и разумных уровней риска;
 утверждение планов обработки рисков;
 распределение ресурсов, необходимых для обеспечения
информационной безопасности;
 утверждение решений по результатам анализа эффективности
процессов информационной безопасности;
 контроль и оценка эффективности (качества) функционирования
СУИБ.
3.2.2 Отдел информационной безопасности
Деятельность отдела информационной безопасности регулируется
«Положением об отделе информационной безопасности».
Если это не указано отдельно, отдел информационной безопасности
выполняет роли «контролера» и «аудитора» и устанавливает безопасность
активов, для которых их владельцы не определены требованиями
безопасности.
Кроме того, на отдел информационной безопасности возложены
следующие задачи:
 планирование и реализация организационных и технических
мероприятий по обеспечению информационной безопасности
организации;
 защита информационных ресурсов организации от
несанкционированного изменения (искажения), удаления,
блокировки и утечки информации;
 координация деятельности подразделений Организации по
поддержанию требований информационной безопасности в
повседневной деятельности;

131
 разработка и контроль выполнения требований информационной
безопасности (в том числе требований к отказоустойчивости и
показателям устойчивости) при проектировании, внедрении,
тестировании, эксплуатации, совершенствовании сетевого и
серверного оборудования, инструментов и каналов связи, хранилищ
данных, программного обеспечения и информационных услуг
организации;
 мониторинг состояния безопасности информационных систем
организации;
 оценка рисков информационной безопасности, разработка
критериев риска, разработка и внедрение планов обработки рисков
информационной безопасности;
 обнаружение и устранение уязвимостей в информационных
системах организации;
 контроль обработки инцидентов информационной безопасности,
включая расследование инцидентов информационной безопасности;
 подготовка предложений по совершенствованию бизнес-процессов
с целью снижения рисков информационной безопасности.
Если это не указано отдельно, владельцы активов организации
делегируют отделу информационной безопасности применять схему
классификации к активам и выбирать режим их безопасности.
Для обеспечения нормативно-правовой и правильной деятельности,
оценки рисков информационной безопасности, эффективного управления
обработкой инцидентов информационной безопасности отдела
информационной безопасности по согласованию с руководством
подразделений может привлечь:
 сотрудников службы безопасности;
 сотрудники отдела кадров, в целях обеспечения административной
и процедурной деятельности;

132
 сотрудники других подразделений организации, в целях
обеспечения административной, экспертной и технологической
деятельности;
 внешние эксперты, обеспечивающие консультативную,
юридическую, экспертную и технологическую деятельность.
3.2.3 ИТ-подразделения
Деятельность ИТ-подразделений регулируется нормативно-
технической документацией ИТ-подразделений.
В рамках процессов информационной безопасности ИТ-
подразделениям поручаются следующие задачи:
 участие в разработке и внедрении требований к информационной
безопасности (включая требования к отказоустойчивости и
показателям устойчивости) при проектировании, внедрении,
тестировании, эксплуатации, совершенствовании сетевого и
серверного оборудования, средств и каналов связи, хранилищ
данных, программного обеспечения и информационных услуг ;
 техническое обслуживание (эксплуатация) технических средств
защиты;
 предоставление / блокирование доступа к информационным
ресурсам организации;
 мониторинг и аудит информационных систем организаций;
 обнаружение инцидентов информационной безопасности;
 участие в выявлении и устранении уязвимостей в программном
обеспечении и информационных системах организации;
 выполнение резервного копирования и восстановление данных.
3.2.4 Служба безопасности
Служба безопасности регулируется «Положением о Службе
безопасности».
В рамках процессов информационной безопасности на службу
безопасности возлагаются следующие задачи:
133
 проведение мероприятий по выявлению и предотвращению
преступных действий в отношении организации;
 обеспечение физической защиты помещений организации,
вычислительной техники, документов, независимо от формы
представления, носителей информации и других материальных
ценностей организации;
 обеспечение безопасности персонала организации в помещениях
Организации;
 Проверка персонала при приеме на работу;
 координация действий подразделений организации при
взаимодействии с правоохранительными органами.
3.2.5 Отдел кадров
Деятельность отдела кадров регулируется «Положением о отделе
кадров».
В рамках процессов информационной безопасности отдел кадров
возложены следующие задачи:
 кадровая и бухгалтерская деятельность организации;
 мероприятия по ознакомлению персонала с внутренними
нормативными документами по обеспечению информационной
безопасности;
 реализация мер, направленных на повышение лояльности персонала
к организации;
 реализация мероприятий, направленных на обеспечение персонала
в организации трудовой дисциплиной;
 предоставление полной и своевременной информации об
изменениях в организационной и кадровой структуре организации
руководством организации, сотрудниками отдела информационной
безопасности, ИТ-подразделений.
3.3 Система управления информационной безопасностью

134
Эффективное управление процессом информационной безопасности в
организации обеспечивается Системой управления информационной
безопасностью (СУИБ). Основной целью СУИБ является соблюдение
требований раздела 2 настоящей политики.
СУИБ основывается на следующих фундаментальных процессах:
 анализ рисков;
 аудит;
 мониторинг эффективности СУИБ;
 анализ руководством СУИБ;
 улучшение СУИБ.
Руководство организации признает, что основополагающим фактором
успеха функции СУИБ является поддержка этого процесса руководством
организации.
3.3.1 Анализ рисков
Основной задачей анализа рисков является выявление и расчет
рисков, возникающих в процессе эксплуатации информационных систем,
поддерживающих основные бизнес-процессы организации, эффективное
реагирование на риски.
Все решения об использовании конкретных средств и методов защиты
информации и экономические обоснования таких решений принимаются на
основе анализа рисков. Методология анализа рисков регламентируется
документом «Методика анализа рисков информационной безопасности ООО
Старый мастер».
Порядок анализа рисков регулируется документом «Порядок анализа
рисков информационной безопасности ООО Старый мастер».
Критерии обработки рисков разрабатываются отделом
информационной безопасности и утверждаются Генеральным директором
Организации.
План обработки рисков утверждается руководством Организации,
занимающейся вопросами информационной безопасности.
135
Для обеспечения качественного анализа рисков все активы
организации должны быть идентифицированы и приняты во внимание. Если
не указано иное, владельцем актива является руководство организации. Для
выполнения этих положений активы должны регулярно подвергаться
инвентаризации. В случае изменения состава активов их владельцы должны
сообщить об этом в отдел информационной безопасности. Порядок и методы
инвентаризации активов регламентируются документами «Порядок анализа
рисков информационной безопасности ООО Старый мастер» и «Методы
анализа рисков информационной безопасности ООО Старый мастер»
3.3.2 Аудит информационной Безопасности
Основной задачей аудита информационной безопасности,
проводимого в рамках СУИБ, является выявление соответствия целей,
методов и средств, процессов и процедур СУИБ:
 бизнес-требования к информационной безопасности;
 настоящая Политика, другие нормативные документы по
информационной безопасности организации;
 законодательство Российской Федерации;
 требования национальных (ГОСТ) и международных стандартов в
области информационной безопасности.
При проведении аудитов организация руководствуется принципами
независимости и объективности оценки. Для реализации этих принципов
аудит информационной безопасности проводится отделом информационной
безопасности и внешней организацией. Проверки отдела информационной
безопасности информационной безопасности в соответствии с требованиями
Российской Федерации и международными стандартами проводятся либо
сотрудниками подразделения, не входящего в отдел информационной
безопасности, либо внешней организацией.
Порядок проведения аудитов регулируется документом «Положение
об аудите информационной безопасности».
3.3.3 Мониторинг эффективности
136
Мониторинг эффективности мер по обеспечению процессов
управления информационной безопасностью является важной составляющей
СУИБ.
Мониторинг эффективности предназначен для достижения
следующих целей:
 определение правильности используемых и реализуемых мер
информационной безопасности и повышение их эффективности;
 повышение эффективности процессов в рамках СУИБ;
 Предоставление данных руководству для анализа эффективности
процесса обеспечения информационной безопасности в
организации.
Ежемесячно отдел информационной безопасности направляет
руководству отчет о деятельности в области информационной безопасности и
выполнении бизнес-требований СУИБ.
3.3.4 Анализ управления СУИБ
Объективный анализ работы СУИБ руководством организации
является важной составляющей СУИБ.
Анализ руководства СУИБ предназначен для достижения следующих
целей:
 функционирование СУИБ соответствует бизнес-целям организации;
 эффективность СУИБ соответствует указанным критериям;
 своевременное определение критерий, определяющих
функционирование СУИБ и вопросы информационной
безопасности, такие как приемлемый уровень рисков,
законодательные и договорные требования и т.д.
Эффективность СУИБ оценивается руководством Организации на
основе определенных ими ключевых показателей эффективности (KPI).
3.3.5 Совершенствование системы
Постоянное совершенствование является одним из важнейших
показателей качества СУИБ. Основной задачей этого процесса является
137
проведение корректирующих и предупреждающих действий для устранения
выявленных или возможных несоответствий определенным / измененным
бизнес-требованиям.
Все выявленные или прогнозируемые отклонения показателей СУИБ
от показателей эффективности управления (KPI) принимаются во внимание,
и предпринимаются документированные действия для исправления
ситуации.

4 Процедура Обеспечения Информационной Безопасности


Под порядком (режимом) обеспечения информационной безопасности
в организации понимается совокупность правил, требований, описание мер и
средств, регулирующих и используемых при реализации положений
настоящей политики и других нормативных документов.
Порядок обеспечения информационной безопасности разработан на
основе положений настоящей политики, результатов анализа рисков,
требований законодательных документов, стандартов, общепринятых
практик и профессиональных знаний отдела информационной безопасности в
области информационной безопасности.
4.1 Классификация информации
В целях унификации порядка работы с информационными активами
введена следующая схема классификации информационных активов:
 открытые;
 конфиденциальные;
 коммерческая тайна;
 персональные данные.
Порядок обработки конфиденциальной информации и сведений,
составляющих коммерческую тайну, установлен в соответствии с
Федеральным законом Российской Федерации от 29 июня 2004 года № 98-ФЗ
«О коммерческой тайне», Гражданским и Трудовым кодексом Российской
Федерации, нормативными документами Организации:
138
 «Положение о конфиденциальной информации Старый мастер»;
 «Соглашения о конфиденциальности с контрагентами»;
 «Перечень сведений, составляющих коммерческую тайну ООО
Старый мастер»;
 «Список конфиденциальной информации ООО Старый мастер»;
 «Политика конфиденциальности ООО Старый мастер (Декларация
о конфиденциальности информации)».
Порядок обработки персональных данных регулируется Федеральным
законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О
персональных данных», нормативными документами Организации:
 «Положение об обеспечении безопасности персональных данных
при их обработке в информационных системах персональных
данных ООО Старый мастер».
 «Соглашение об обеспечении персональных данных».
4.2 Обеспечение непрерывности бизнес - процессов
Стратегическим приоритетом в развитии организации является
реализация программы обеспечения непрерывности бизнеса и
восстановления после аварий.
При разработке и внедрении системы обеспечения непрерывности
бизнеса и восстановления после аварий следует соблюдать требования по
обеспечению информационной безопасности активов организации.
Все ситуации, в рамках процессов обеспечения непрерывности
бизнеса и восстановления, в которых имеет место нарушение установленного
режима информационной безопасности, должны быть доведены до сведения
руководства ИТ-организаций и органов информационной безопасности,
принявших решение об обработке рисков, возникающих в аналогичных
ситуациях.
Порядок обеспечения непрерывности бизнес-процессов и
восстановления после аварий регламентирован документом «План
обеспечения непрерывности бизнеса».
139
4.3 Инциденты информационной безопасности
Для эффективного управления инцидентами информационной
безопасности применяется ряд процессов управления инцидентами
информационной безопасности. Управление инцидентами информационной
безопасности основано на рекомендациях международных стандартов PCI
DSS, стандартов COBIT и других специализированных стандартов.
Основными задачами процесса реагирования на инциденты
информационной безопасности являются:
 координация реагирования на инцидент информационной
безопасности;
 подтверждение / опровержение факта возникновения инцидента
информационной безопасности;
 обеспечение сохранности и целостности доказательств
возникновения инцидента информационной безопасности, создание
условий для накопления и хранения точной информации об
инцидентах информационной безопасности, по полезным
рекомендациям;
 минимизация нарушений нормальной работы и повреждений
автоматизированных систем, восстановление в кратчайшие сроки
работоспособности автоматизированных систем;
 минимизация последствий нарушения конфиденциальности,
целостности и доступности информации;
 защита информационных ресурсов организации и ее репутации;
 обучение персонала действиям организации по выявлению,
устранению последствий и предотвращению инцидентов
информационной безопасности.
При обработке инцидентов информационной безопасности следует
учитывать стоимость активов, вовлеченных в инцидент, возможный ущерб
имиджу организации.

140
Все штатные сотрудники, временные сотрудники и другие сотрудники
подразделений организации, в том числе работающие по гражданско-
правовому договору, а также сотрудники подрядных организаций, имеющие
доступ к активам организации, должны максимально сообщать об
инцидентах информационной безопасности сотрудникам Отдела
информационной безопасности.
Информация об инциденте информационной безопасности должна
быть доведена в отдел информационной безопасности до сведения всех
заинтересованных сторон (до руководства организации, владельцев активов,
вовлеченных в инцидент, и т.д.).
Для расследования инцидентов информационной безопасности
необходимо обратить внимание на сбор документированных доказательств.
Порядок реагирования на инциденты IB регулируется документом
«Положение об управлении инцидентами информационной безопасности».
4.4 Безопасность ресурсов, связанная с отделом кадров
Все сотрудники должны проходить процедуры службы безопасности в
соответствии с критичностью активов, к которым это допускается. В
некоторых случаях возможно проведение дополнительных проверок перед
началом работы, в рамках законодательства Российской Федерации.
Порядок допуска персонала к работе с активами организации
определяется следующими нормативными документами:
 «Регулирование управления доступом к информационным ресурсам

и услугам».
В организации прилагаются все усилия, чтобы донести до персонала
важность вопросов обеспечения информационной безопасности в
повседневной деятельности. Эти усилия предпринимаются для того, чтобы
сотрудники осознавали важность информационной безопасности, их
ответственность с точки зрения выполнения требований информационной
безопасности и влияние информационной безопасности на успех достижения
целей организации.
141
Отдел кадров обязан своевременно ознакомить всех сотрудников с
требованиями информационной безопасности, положениями настоящей
политики и другими нормативными документами в части, необходимой для
выполнения служебных обязанностей.
В целях обеспечения понимания сотрудниками выдвигаемых
требований отдел информационной безопасности должен с периодичностью
не реже 1 раза в полгода проводить мероприятия, направленные на
повышение осведомленности персонала об угрозах информационной
безопасности и противодействие этим угрозам.
Сотрудники Организации обязаны информировать свое руководство и
отдел информационной безопасности отдела информационных технологий
обо всех случаях нарушения настоящей политики или других нормативных
документов по информационной безопасности.
Все информационные ресурсы организации предназначены
исключительно для достижения бизнес-целей организации.
Информационные ресурсы организации не могут быть использованы для
достижения других целей, не связанных с деятельностью организации.
4.5 Физическая безопасность
Физическая безопасность сотрудников, зданий, помещений и других
активов имеет решающее значение для деятельности организации.
Следует принять усиленные меры для обеспечения физической
безопасности центров обработки данных. Меры, применяемые в дополнение
к организационным положениям, должны включать использование
специализированных технических средств.
Физическая безопасность обработки и хранения информации также
может повлиять на бизнес-процессы организации. Ответственность за
обеспечение физической безопасности ноутбуков, съемных носителей
данных и других мобильных ресурсов возлагается на пользователей этих
ресурсов и их руководителей. Ответственность за обеспечение охраны
помещений организации и обработку установленной в них информации
142
возлагается на службу безопасности организации. Если сторонние
организации привлекаются для защиты помещений, центров обработки
данных, объектов обработки и хранения информации, ответственность за
нарушение физической безопасности этих активов и обязательства по
возмещению ущерба должны быть определены в соглашении об оказании
услуг.
Сотрудники не должны допускать несанкционированного доступа к
информации, указанной в «Перечне конфиденциальной информации ООО
Старый мастер» и «Перечне информации, составляющей коммерческую
тайну ООО Старый мастер», к персональным данным, обрабатываемым в
организации. А также оставлять носители, содержащие такую информацию, в
общедоступных принтерах, на рабочих столах, размещать такую
информацию в общедоступных сетевых папках, передавать ее лицам, не
уполномоченным на ее обработку.
Порядок обеспечения физической защиты ресурсов определяется
нормативным документом: «Политика обеспечения физической защиты
помещений и средств вычислительной техники».
4.6 Безопасность связи и эксплуатации систем и услуг
Все средства связи организаций предназначены для решения бизнес -
задач организации. Для всех информационных потоков, исходящих от
организации, должны быть приняты меры по обеспечению целостности и
конфиденциальности передаваемой информации. Состав принимаемых мер
должен определяться критичностью передаваемой информации.
Организация оставляет за собой право просматривать все
информационные потоки, как пересекающие границы локальной
вычислительной сети организации, так и в пределах этих границ. Такие
действия направлены исключительно на выявление угроз информационной
безопасности активов организации.
Все информационные системы должны применять меры по
противодействию вредоносным программам.
143
Должна быть предусмотрена многоуровневая система
противодействия распространению вредоносных программ.
Порядок обеспечения защиты от вредоносных программ определяется
нормативным документом: «Политика защиты от вредоносных программ».
Процедуры резервного копирования должны быть предусмотрены для
всех критически важных информационных ресурсов.
Необходимо обеспечить дублирование всех важнейших компонентов
автоматизированных систем и инфраструктуры.
Операционные процедуры в области информационных технологий
должны быть задокументированы.
Следует обеспечить официальный процесс внесения изменений в
организацию организаций, занимающихся информационными технологиями.
Необходимо реализовать принцип разделения промышленной и
тестовой информационной среды, а также среды разработки.
Все события автоматизированных систем, связанные с
информационной безопасностью, должны регистрироваться
соответствующим образом. Эти протоколы должны регулярно
анализироваться и использоваться в процессе расследования инцидентов
информационной безопасности.
При уничтожении и изъятии вычислительного оборудования,
носителей информации следует учитывать требования информационной
безопасности.
Внутренние сети организации должны быть защищены от
несанкционированного доступа и других угроз со стороны сетей партнеров и
общедоступных сетей. Все коммуникации с внешними сетями должны
контролироваться специализированными шлюзами безопасности.
Использование любых форм подключения внешних
автоматизированных систем возможно только по согласованию с
руководством Организации, осуществляющим надзор за процессами
информационной безопасности, и отделом информационной безопасности.
144
Порядок обеспечения безопасности при подключении к локальной
вычислительной сети организации внешних информационных систем и
удаленного доступа к ней регулируется следующими документами:
 «Политика проверки политики»;

 «Политика использования мобильных и удаленных компьютеров,

персональных устройств и технологий».


Для выявления и своевременного устранения недостатков
(уязвимостей) в средствах защиты информационных систем организации
сотрудники отдела информационной безопасности или внешних организаций
должны регулярно проводить тестирование систем и процессов
информационной безопасности (тестирование на проникновение), а также
сканирование уязвимостей в информационных системах.
Эти процессы регулируются документами:
 «Политика управления уязвимостями»;

 «Правила сканирования уязвимостей»;

 «Регулирование систем тестирования и процессов информационной

безопасности».
По результатам тестирования систем и процессов информационной
безопасности, а также на основе данных об уязвимостях, выявленных при
сканировании, должны быть реализованы меры по устранению недостатков в
защите информационных систем для организации.
4.7 Контроль доступа
Во всех информационных системах организации должны быть
реализованы механизмы контроля доступа.
Каждому пользователю информационной системы должен быть
предоставлен уникальный идентификатор.
Доступ к информационным системам и ресурсам организации должен
осуществляться на основе процедуры безопасного входа. В рамках этой
процедуры пользователь должен, по крайней мере, предоставить свой
уникальный идентификатор и пароль. Для всех критически важных
145
информационных систем и ресурсов необходимо войти в систему, чтобы
регистрировать доступ пользователей к пользователям.
Доступ к информационным системам предоставляется в соответствии
с официальной процедурой, описанной в нормативном документе «Правила
управления доступом к информационным ресурсам и услугам».
Права доступа должны быть назначены в соответствии с
критичностью обрабатываемой информации и необходимостью доступа к
информации для выполнения служебных обязанностей и регулярного
пересмотра.
4.8 Безопасность при приобретении, разработке и обслуживании
информационных систем
Процессы приобретения, разработки и обслуживания
информационных систем должны быть формализованы и
задокументированы. При покупке и разработке информационных систем
следует учитывать требования информационной безопасности.
При выборе информационных систем и сервисов для их поддержки
необходимо учитывать жизненный цикл информации, обрабатываемой в этих
системах.
При приобретении и разработке информационных систем следует
учитывать совместимость с информацией, используемой в организации.
При эксплуатации информационных систем необходимо учитывать
требования безопасности для всех компонентов системы: обрабатываемой
информации, системных данных и файлов конфигурации, прикладного и
системного программного обеспечения.
4.9 Безопасность при использовании сторонних сервисов
При использовании сторонних сервисов необходимо учитывать
требования информационной безопасности.
Все договоры на оказание услуг, связанных с созданием, обработкой,
хранением и передачей информации, должны быть согласованы в отделе
информационной безопасности.
146
Договоры должны включать разделы с требованиями к показателям
информационной безопасности предоставляемых услуг, неразглашению
конфиденциальной информации и информированию об инцидентах
информационной безопасности.
Отдел информационной безопасности отвечает за наличие разделов в
этих договорах и их соответствие требованиям организации по обеспечению
информационной безопасности.

147

Вам также может понравиться