Комплексная система информационной безопасности для сети аптек

Тип работы:
Курсовая
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Введение

Информация всегда представляла собой ценный товар. Не зря появлялись пословицы типа: «Предупрежден — значит, вооружен», «Кто владеет информацией — тот владеет миром», которые лишний раз подчеркивали ценность владения той или иной информацией.

В современном мире большая часть документов и данных хранится в электронном виде, что с одной стороны — облегчает хранение информации, с другой стороны — упрощает задачу злоумышленникам, целью которых является несанкционированный доступ к данным, кража, редактирование, удаление важных сведений того или иного предприятия, что, естественно, приносит убытки последнему.

Сегодняшние технологии облегчают процесс обмена данными между сотрудниками, отделами, подразделениями компании. Такие технологии как интернет, беспроводная передача данных (wi-fi), локальные сети — служат основной средой обмена, являясь удобным и эффективным средством документооборота. Но, несмотря на очевидные выгоды от использования цифровых технологий возрастает и роль защиты информации. Ведь цифровая среда передачи данных предоставляет злоумышленнику широкие возможности для подключения и копирования, либо модификации данных. Что, конечно же, может повлечь за собой немалые убытки для компании.

Одной из актуальных проблем информационной безопасности на современном этапе является проблема определения и реализации требуемого уровня защищённости компьютерных систем, обрабатывающих конфиденциальную информацию в коммерческих структурах, муниципальных учреждениях и органах власти.

Эта проблема, во-первых, связана с отсутствием в законодательстве России закона, определяющего порядок отнесения информации к категории конфиденциальной, несмотря на то, что такая категория определена законом «Об информации, информатизации и защите информации».

Во-вторых, ни один вид тайны, составляющей конфиденциальную информацию, не имеет официально установленных грифов конфиденциальности, что затрудняет составление шкалы ценности и важности, и определение требуемого класса защищенности АС, в которой эта информация обрабатывается.

По законодательству РФ, в настоящее время существует два института тайны:

— государственная тайна;

— все другие виды тайны, установленные законами и объединённые в одну категорию;

— конфиденциальная информация.

Отнесение информации к государственной тайне осуществляется на основе закона «О государственной тайне». Отнесение информации к конфиденциальной — на основе существующих методик. Однако, если институт государственной тайны устанавливает грифы секретности и соответствующие им классы защищенности АС, в отношении конфиденциальной информации различные государственные ведомства и коммерческие структуры устанавливают свои «частные» грифы конфиденциальности, что не очень удобно специалистам по защите информации.

Поэтому, сегодня, когда институт «негосударственной тайны» включает в себя 18 её видов, определяемых законами различных отраслей права, такое положение не всегда может удовлетворить собственников и владельцев конфиденциальной информации, а также специалистов в области информационной безопасности. Эта проблема должна стать предметом дискуссий в кругу специалистов с целью выработки предложений законодательным органам по разработке соответствующих правовых актов, определения единой методологии отнесения сведений, составляющих различные виды тайны, к конфиденциальной информации, и определение единых (хотя бы на методическом уровне) грифов конфиденциальности.

В качестве основного критерия для классификации конфиденциальной информации может быть предложен возможный (предполагаемый) за счёт утечки информации масштаб ущерба:

личности или физическому лицу (группе физических лиц);

государственному предприятию или коммерческой фирме;

государственному ведомству или корпорации;

государству в целом или корпорации (АО федерального или международного масштаба).

Особенно актуально стоит вопрос защиты данных аптечной сети. Ведь любое несанкционированное вмешательство может повредить работу системы, вплоть до невозможности ее функционирования, что неизбежно повлечет за собой финансовые убытки для компании.

Защита документооборота и баз данных хранящих практически всю информацию по аптечным сетям является сложной, но обязательной задачей, без решения которой невозможно нормальное функционирование аптечной сети. Данная система защиты информации разработана для сети аптек «Таблэтка», расположенной в городе Краснодаре.

1. Назначение и цели создания системы

Комплексная система информационной безопасности (далее КСИБ) для сети аптек «Таблэтка» представляет собой совокупность методов и средств, обеспечиваемую необходимую эффективность защиты информации на предприятии, главной целью которого является обеспечение непрерывного бизнеса, устойчивого функционирования коммерческого предприятия и предотвращение угроз безопасности, которые могут повлиять на торговлю препаратами, документооборот и на работу компании в целом. Внедрение в компанию КСИБ «Таблэтка» позволит рядовым сотрудникам и старшему персоналу без опаски проводить все операции и существенно повлияет на эффективность предприятия в общем, сделав его максимально защищенным.

Назначение КСИБ:

1. Защита программ и данных

2. Защита информации в ОС

3. Защита информации, передаваемой по сетям

4. Защита от несанкционированного доступа (далее НСД) к системе и к путям передачи информации

5. Защита общей базы данных и автоматизированной системы (далее АС) предприятия

6. Разграничение доступа и разделение прав между сотрудниками

7. Защита от вирусных атак

8. Защита серверов отдельных аптек и центрального сервера

9. Защита документооборота

10. Пожарная, охранная защиты

Цели создания КСИБ:

1. Прогнозирование, своевременное выявление и устранение угроз безопасности персоналом и ресурсом отдела компании.

2. Создание механизмов и условий оперативного реагирования на угрозы безопасности.

3. Эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных, инженерно-технических мер средств обеспечения безопасности.

4. Создание условий для безопасной передачи данных по информационным сетям, для безопасного хранения информации.

5. Предотвращение любых попыток НСД.

Угрозы для информации:

1. НСД, а так же умышленное искажение или хищение финансовых данных и документов;

2. Вирусы и иные деструктивные программы;

3. Несанкционированное изменение состава и конфигурации КСЗИ;

4. Системные ошибки АС;

5. Ошибки персонала, которые могут повлечь за собой неработоспособность КСЗИ;

6. Угроза целостности хранимых данных.

Все вышеперечисленные угрозы могут повлечь за собой утечку важной информации, неправильную работу автоматизированной системы компании либо её полное прекращение. Данным угрозам должна противодействовать КСИБ, что обеспечит защиту программ, данных и процессов торговли для эффективной работы АС и предприятия в целом.

КСИБ создается с целью повышения общего уровня безопасности конфиденциальной информации, циркулирующей по предприятию, в соответствии с выбранной политикой безопасности, что значительно повысит уровень защиты информации от НСД и прочих угроз, поможет отслеживать и анализировать трудовой процесс, а так же повысить устойчивость системы к внешним и внутренним угрозам безопасности.

2. Описание предметной области

2.1 Объекты и субъекты

Объектом внедрения КСИБ является сеть аптек «Таблэтка», которая занимается закупкой и продажей препаратов и медицинской техники. Сеть аптек расположена в городе Краснодаре.

Объектами защиты являются непосредственно аптеки и центральный офис.

Аптеки имеют однотипную архитектуру, которая включает в себя:

1. Торговый зал. В торговом зале имеются два кассовых места, через которые производится продажа препаратов и медицинской техники. Доступ в торговый зал имеют все посетители, но доступ непосредственно к кассовым местам имеют только продавцы или заведующий аптекой. На каждой кассе имеется собственная база данных которая содержит сведения о продажах совершенных непосредственно с этого кассового места. Данные о продажах отсылаются с каждой кассы на компьютер заведующего, который является также аптечным сервером.

2. Кабинет заведующего. Доступ в кабинет заведующего имеет только заведующий аптекой. В кабинете заведующего стоит аптечный сервер который содержит данные о продажах препаратов, наличии препаратов в аптеке и ценах на препараты. Также с сервера формируются заказы на препараты которые отсылаются в центральный офис. Защита баз данных сервера очень важна, так как при нарушении их работоспособности поступающий товар невозможно внести в базу, следовательно на него невозможно установить цену, следовательно его невозможно продать (так как товар отсутствует в списках баз данных касс — он не определяется сканнером штрих-кодов).

Центральный офис аптечной сети арендуется на первом этаже многоэтажного жилого дома. Имеет следующую архитектуру:

1. Контрольно-пропускной пункт (далее КПП). На КПП дежурит один охранник. Через КПП могут пройти сотрудники офиса и посетители по записи.

2. Бухгалтерия. Доступ в кабинет посторонним лицам запрещен. В отделе бухгалтерии хранятся документы содержащие сведения о размере начисляемой сотрудникам зарплаты, затратах на покупку оборудования и препаратов, наценке на приобретенную продукцию, получаемой прибыли.

3. Кабинет директора. Доступ имеют посетители по предварительной договоренности.

4. Серверная. Доступ в серверную имеет только системный администратор. Серверная является наиболее важным объектом с точки зрения защиты информации, так как на центральном сервере хранятся данные со всех аптек, финансовые документы.

Техническое обеспечение аптек:

1. Кассовый компьютер (по одному для каждой кассы, с помощью витой пары и роутера соединены с компьютером заведующей).

2. Кассовое торговое оборудование (кассовый ящик (ККТ), сканер штрих-кодов, дисплей покупателя).

3. Компьютер заведующей (является аптечным сервером).

4. Принтеры (обычный и термопринтер для печати ценников). Установлены в кабинете заведующей.

Техническое обеспечение центрального офиса:

1. Компьютеры (по одному на каждое рабочее место; соединены в локальную сеть посредством витой пары, роутера и хаба).

2. Принтеры (в каждый кабинет — 1 принтер).

3. Телефоны (по одному на каждое рабочее место).

4. Противопожарные датчики и охранная сигнализация.

5. Видеонаблюдение за входом в здание, КПП, серверной (по 1 камере, подключены к общему регистратору).

В каждом из отделов по 1−3 окна, в зависимости от площади помещения. Все окна — металлопластиковые с решетками. Дверь входа в здание — железная укрепленная.

Объектами защиты являются:

1. Локальная сеть офиса;

2. Компьютеры и хранящаяся в них информация;

3. Документы и прочие бумажные источники информации;

4. Сервер и базы данных хранящиеся в нем;

5. Видеорегистратор и данные, хранящиеся в нем;

Прочее имущество и аппаратура;

2.2 Информационные потоки

1. Электронные (цифровые) потоки информации. К ним относится вся информация, передаваемая по цифровым каналам связи. Все электронные документы и данные проходят через системного администратора и хранятся на центральном сервере. Это определяет важность защиты серверного отдела от всех разновидностей угроз, так как он имеет доступ ко всем электронным данным, которыми располагает объект защиты.

2. Бумажный документооборот. К данному виду информационного потока относятся договора и финансовые документы бумажного типа. Документы, участвующие в потоке: накладные, квартальные и годовые отчеты, договоры с поставщиками. Все бумажные документы передают руководителю для просмотра или на подпись. Эти же документы, но в электронном виде сохраняются на сервере.

Учитывая всё вышеописанное, можно сделать вывод, что самой важным в данном информационном потоке является серверный отдел, так как все документы проходят через него. Поэтому необходимо максимально возможно защитить данный отдел от утечки информации и попыток НСД.

2.3 Классификация информации

Таблица 1. Классификация информации

Должность

Документ

Реквизиты

Вид тайны

Закон

зав. аптекой

приходная накладная на товар

наименование, цена товара; наценка на товар; поставщик

коммерческая

Коммерческая тайна: ст. 139 ГКРФ, ст. 183 УКРФ;

бухгалтер

накладная на товар ведомость заработной платы

наименование, цена товара; наценка на товар; поставщик

Паспортные данные сотрудников; сведения о заработной плате

Персональные данные, коммерческая тайна.

Коммерческая тайна: ст. 139 ГКРФ, ст. 183 УКРФ; Служебная тайна ст. 138 ГКРФ, ст. 155,311 УКРФ.

руководитель

договор с поставщиком

Данные поставщика, аптечной сети, условия сотрудничества

коммерческая

Коммерческая тайна: ст. 139 ГКРФ, ст. 183 УКРФ;

2.4 Описание угроз

Исследования практики функционирования систем обработки данных и вычислительных систем показали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

1. Чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

2. Копирование носителей информации и файлов информации с преодолением мер защиты;

3. Маскировка под зарегистрированного пользователя;

4. Маскировка под запрос системы;

5. Использование программных ловушек;

6. Использование недостатков операционной системы;

7. Незаконное подключение к аппаратуре и линиям связи;

8. Злоумышленный вывод из строя механизмов защиты;

9. Внедрение и использование компьютерных вирусов.

10. Непреднамеренные действия пользователей повлекшие за собой отказ оборудования или программного обеспечения.

11. Случайные факторы (стихийные бедствия, внезапные отключения электроэнергии, поломка оборудования, гроза).

12. Модификация, либо удаление БД.

Из сотрудников фирмы угрозы могут предоставлять следующие должности:

Таблица 2

Должность

Уровень модели

Главный бухгалтер

1 уровень — идёт работа с начислением заработной платы

Зав. аптекой

1 уровень — идёт работа с накладными в аптеке

Руководитель

1 уровень — идёт работа с договорами на поставку

Администратор

4 уровень — работа с администрированием системы

Таблица 3

Уровень модели

Описание

4

Определяется всем объектом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, включённых в состав СВТ и собственных технических средств с повышенным функциональным по обработке информации

3

Определяется возможностью управления функционалом, т. е. воздействием на базовое ПО системы и на состав и конфигурацию её оборудования

2

Определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

1

Определяется самым низким уровнем возможности введения диалога с АС: запуск задач, программ из фиксированного набора, реализующего заранее предусмотренные функции по обработке информации

2.5 Оценка риска

Основную угрозу для работоспособности сети представляют:

1. Модификация Б Д (при понижении наценки на товар на несколько процентов — потери до 4 млн руб. /мес.)

2. Выход из строя центрального сервера, либо центральной базы данных. Потери: 5 тыс. руб. /день с каждой аптеки в первый день поломки + 2 тыс. руб. /день каждый последующий день простоя.

3. Выход из строя кассового компьютера, либо торгового оборудования. Потери: 7−13 тыс. руб. /день с одной кассы.

Как мы видим, самым важным в системе является обеспечение безопасности баз данных и серверов, на которых они хранятся. При обеспечении требуемой защиты серверов и БД, денежные потери будут сведены к минимуму.

2.6 Выбор класса защищенности

Для каждого масштаба независимо от категории информации (гостайна или конфиденциальная информация) соответственно устанавливаются обобщённые классы защищаемой информации:

— тактическая;

— оперативно — тактическая;

— оперативная;

— стратегическая.

В соответствии с обобщёнными классами устанавливаются грифы конфиденциальности:

конфиденциально для офиса;

конфиденциально;

совершенно конфиденциально;

особо конфиденциально.

Достоинством данного подхода к классификации конфиденциальной информации и установленных на этом основании грифов конфиденциальности является то, что для различных видов тайны дополнительно могут использоваться и частные критерии (например, временной) для повышения обобщённого класса и, следовательно, грифа конфиденциальности. При такой классификации каждому грифу конфиденциальности будет соответствовать набор требований по защите соответствующего класса защищённости АС, установленный Гостехкомисссией Р Ф. Это значительно облегчит труд собственников и владельцев, а также разработчиков систем защиты конфиденциальной информации.

Для разрабатываемой системы защиты мы выбираем класс безопасности 2Б.

3. Постановка задачи

3.1 Требования к подсистемам

Требования к классу защищенности 2Б:

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются:

— дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

— результат попытки входа: успешная или неуспешная (при НСД);

— должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Подсистема обеспечения целостности:

должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом:

— целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

— целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;

— должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

— должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест — программ, имитирующих попытки НСД;

— должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

3.2 Условия реализации требований

Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты принято считать:

1. Технические средства

2. Программные средства

3. Организационно-технические средства

4. Организационные средства

Согласно требованиям гостехкомиссии России средства защиты информации от несанкционированного доступа (СЗИ НСД), отвечающие высокому уровню защиты, должны обеспечивать:

дискреционный и мандатный принцип контроля доступа;

очистку памяти;

изоляцию модулей;

маркировку документов;

защиту ввода и вывода на отчуждаемый физический носитель информации;

сопоставление пользователя с устройством;

идентификацию и аутентификацию;

гарантии проектирования;

регистрацию;

взаимодействие пользователя с комплексом средств защиты;

надёжное восстановление;

целостность комплекса средств защиты;

контроль модификации;

контроль дистрибуции;

гарантии архитектуры;

Комплексные СЗИ НСД должны сопровождаться пакетом следующих документов:

руководство по СЗИ;

руководство пользователя;

тестовая документация;

конструкторская (проектная) документация.

Таким образом, в соответствии с требованиями гостехкомиссии России комплексные СЗИ НСД должны включать базовый набор подсистем. Конкретные возможности этих подсистем по реализации функций защиты информации определяют уровень защищённости средств вычислительной техники. Реальная эффективность СЗИ НСД определяется функциональными возможностями не только базовых, но и дополнительных подсистем, а также качеством их реализации.

3. 3 Обеспечение комплексной защиты

Компьютерные системы и сети подвержены широкому спектру потенциальных угроз информации, что обуславливает необходимость предусмотреть большой перечень функций и подсистем защиты. Целесообразно в первую очередь обеспечить защиту наиболее информативных каналов утечки информации, каковыми являются следующие:

1. Возможность копирования данных с машинных носителей;

2. Каналы передачи данных;

3. Хищение ЭВМ или встроенных накопителей.

Проблема перекрытия этих каналов усложняется тем, что процедуры защиты данных не должны приводить к заметному снижению производительности вычислительных систем. Эта задача может быть эффективно решена на основе технологии глобального шифрования информации.

Также необходимо обеспечить защиту оборудования от таких факторов как перенапряжение, пожар, природные явления (гроза), выход из строя носителей информации, хищение. Для решения этих проблем необходимо принять следующие меры:

1. Установка сетевых фильтров и источников бесперебойного питания.

2. Установка RAID-массивов (для резервного копирования информации).

3. Установка охранной и противопожарной сигнализации.

Для защиты людей в экстренных ситуациях (пожар, стихийные бедствия), необходимо:

1. Установка охранной и противопожарной сигнализации.

2. Наличие средств пожаротушения.

3. Наличие предохранителей от перенапряжения сети.

4. Методы и средства решения задачи обеспечения информационной безопасности

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь — следствие непреднамеренных ошибок.

Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль.

Другие угрозы доступности можно классифицировать по компонентам ЛВС на которые нацелены угрозы:

а) отказ пользователей;

б) внутренний отказ сети;

в) отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

а) нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

б) невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т. п.);

в) невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т. п.).

Основными источниками внутренних отказов являются:

а) отступление (случайное или умышленное) от установленных правил эксплуатации;

б) выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т. п.);

в) ошибки при (пере) конфигурировании системы;

г) отказы программного и аппаратного обеспечения;

д) разрушение данных;

е) разрушение или повреждение аппаратуры.

Для решения этих проблем необходимо:

а) Перед запуском системы в эксплуатацию необходимо запустить ее в тестовом режиме и протестировать.

б) Ограничить количество возможных запросов от пользователя к системе в единицу времени.

в) Ограничить доступ пользователей к оборудованию (опломбирование системных блоков и др. оборудования).

г) Разграничить доступ к различным модулям АС.

Весьма опасны так называемые «обиженные» сотрудники — нынешние и бывшие. Как правило, они стремятся нанести вред организации — «обидчику», например:

а) испортить оборудование;

б) встроить логическую бомбу, которая со временем разрушит программы и / или данные;

в) удалить данные.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Также необходимо дополнительно обезопасить серверы и хранящиеся на них БД:

1) Установка сетевых фильтров для защиты от пульсаций и скачков напряжения.

2) Установка источников бесперебойного питания для защиты от скачков напряжения и отключения электричества.

3) Установка файрвола, для защиты от внешних сетевых подключений из других сетей.

4) Установка антивирусного программного обеспечения для защиты от вирусов.

5) Установка RAID-массивов на каждый сервер.

5. Политика безопасности предприятия

5. 1 Концепция безопасности отделений аптечной сети «Таблэтка»

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите.

Во всех отделениях «Таблэтки» должна быть разработана инструкция по обеспечению безопасности информации преследующая две главные цели:

1. продемонстрировать сотрудникам важность защиты баз данных, описать их роль в обеспечении безопасности,

2. распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в информационную сеть. Политика ориентирована также на людей, работающих с БД.

Целью политики безопасности является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности.

Частными целями являются:

1. Обеспечение уровня безопасности, соответствующего нормативным документам.

2. Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

3. Обеспечение безопасности в каждой функциональной области локальной сети.

4. Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

5. Обеспечение анализа регистрационной информации.

6. Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

7. Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

8. Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Перечисленные группы людей отвечают за реализацию сформулированных ранее целей.

1. Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

2. Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

3. Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

4. Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала должны рассматриваться руководством для принятия мер вплоть до увольнения.

5.2 Обеспечение безопасности при групповой обработке информации в отделениях «Таблэтки»

Для обеспечения защиты информации в институте должны быть разработаны и введены в действие инструкции для всех категории персонала, в которых должны найти отражение следующие задачи для каждой категории:

Руководители подразделений обязаны:

1. Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

2. Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

3. Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.

4. Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т. п.).

5. Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

1. Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.

2. Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.

3. Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.

4. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

5. Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

6. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.

7. Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.

8. Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну.

9. Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения.

10. Оказывать помощь в обнаружении и ликвидации зловредного кода.

11. Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.

12. Выполнять все изменения сетевой аппаратно-программной конфигурации.

13. Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.

14. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

15. Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны:

1. Управлять правами доступа пользователей к обслуживаемым объектам.

2. Оперативно и эффективно реагировать на события, таящие угрозу.

3. Информировать администраторов локальной сети о попытках нарушения защиты.

4. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

5. Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.

6. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

7. Ежедневно анализировать регистрационную информацию, относящуюся к сервису.

8. Регулярно контролировать сервис на предмет зловредного программного обеспечения.

9. Периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны:

1. Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.

2. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.

3. Использовать механизм защиты файлов и должным образом задавать права доступа.

4. Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.

5. Помогать другим пользователям соблюдать меры безопасности. Указывать им на проявленные упущения.

6. Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.

7. Не использовать слабости в защите сервисов и локальной сети в целом.

8. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

9. Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.

10. Обеспечивать резервное копирование информации с жесткого диска своего компьютера.

11. Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.

12. Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.

13. Знать слабости, которые используются для неавторизованного доступа.

14. Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.

15. Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

5. 3 Реакция на нарушения режима безопасности

Программа безопасности, принятая отделениями «Таблэтки», должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию вторжений хакеров и зловредного кода. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные. Реакция на нарушения режима безопасности преследует две главные цели:

· блокирование нарушителя и уменьшение наносимого вреда;

· недопущение повторных нарушений.

В каждом отделение должен быть человек, доступный 24 часа в сутки (лично, по телефону или электронной почте), отвечающий за реакцию на нарушения. Все должны знать координаты этого человека и обращаться к нему при первых признаках опасности.

Для недопущения повторных нарушений необходимо анализировать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники зловредного кода? Какие пользователи имеют обыкновение выбирать слабые пароли? На подобные вопросы и должны дать ответ результаты анализа.

Очень важными являются программно-технические меры, которые образуют последний и самый важный рубеж информационной защиты. Основную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Физическую защиту, целесообразно необходимости, поручить интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

В случае умышленного нарушения информационной безопасности выражающуюся в утере, хищении, уничтожении, модификации информации, внесении программ-вирусов, осуществлении действий, в результате которых наносится ущерб информационной целостности организации и раскрытие конфиденциальной информации сотрудники данного учреждения согласно Закону привлекаются к ответственности в зависимости от нанесенного ущерба от административной ответственности до лишения свободы сроком до 10 лет.

Заключение

безопасность аптека риск информационный

В курсовой работе, основной целью которой являлось разработка общих рекомендаций по защите информации в торговой аптечной сети «Таблэтка» получены следующие результаты:

Рассмотрены основные пути защиты от несанкционированного доступа к информации циркулирующей в системах обработки данных.

Произведена классификация способов и средств защиты информации.

Детально осуществлен анализ методов защиты баз данных.

Рассмотрены основные направления защиты информации в ЛВС.

Разработаны концепция безопасности серверов баз данных и вопросы обеспечения безопасности при групповой обработке данных и групповых обращениях к серверу.

Осуществлена выработка политики безопасности аптечной сети «Таблэтка».

Рассмотрен порядок управления доступом к информации в сети способы повышения безопасности и защиты данных.

В перспективе рассматривается возможность разработки общих рекомендаций по защите баз данных, информационных серверов для подобных организаций, учреждений, и создание типовой инструкции по обеспечению безопасности информации в системах обработки данных.

Список источников

1. Партыка Т. Л. Попов И.И. «Информационная безопасность», 2002 г.

2. Шаньгин В. Ф. «Комплексная система защиты информации в корпоративных системах», 2009 г.

3. Сбиба В. Ю, Курбатов В. А. «Руководство по защите от внутренних угроз информационной безопасности.» — СПб: Питер, 2008.

4. Доля А. В. «Внутренние угрозы ИБ в телекоммуникациях». 2007

5. Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27. 07. 2006 № 149-ФЗ.

6. Биячуев, Т.А. «Безопасность корпоративных сетей» — СПб: ГУ ИТМО, 2004

7. В. Левин, «Защита информации в информационно-вычислительных системах и сетях,» 2004.

8. Л. Хофман, «Современные методы защиты информации», — Москва, 2005.

9. Костров, Д. В. Информационная безопасность в рекомендациях, требованиях, стандартах. 2008.

ПоказатьСвернуть
Заполнить форму текущей работой