Проектирование системы информационной безопасности

Тип работы:
Курсовая
Предмет:
Программирование


Узнать стоимость новой

Детальная информация о работе

Выдержка из работы

Введение

На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.

В настоящее время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыграть такую же роль в общественной жизни, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые. Ярким примером этому стало развитие глобальной сети Internet. Уже принято говорить о новом витке в развитии общественной формации — информационном обществе.

Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.

Учитывая известный афоризм «цель оправдывает средства», информация представляет определенную цену. И поэтому сам факт получения информации злоумышленником приносит ему определенный доход, ослабляя тем самым возможности конкурента. Отсюда главная цель злоумышленника — получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. В связи с этим все большее значение приобретает организация эффективной системы информационной безопасности.

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

Целью данной курсовой работы является обеспечение защиты данных в информационной системе предприятия ООО магазин «Стиль».

Исходя из поставленной цели, необходимо решить следующие задачи:

1. Обследовать существующую инфраструктуру ООО магазин «Стиль» и определить исходные данные для проектирования системы ИБ;

2. Определить минимальные требования на основе потребностей в ИБ;

3. Разработать концепцию ИБ;

4. Проанализировать риски;

5. Разработать политику ИБ и выбрать решения по обеспечении политики ИБ;

6. Разработать систему информационной безопасности.

1. Обследование существующей инфраструктуры и определение исходных данных для проектирования системы ИБ

1.1 Организационная структура

Полное фирменное наименование: Общество с ограниченной ответственностью магазин «Стиль».

Сокращенное наименование: ООО магазин «Стиль».

Орган, осуществивший государственную регистрацию: Росстат Территориальный орган Федеральной службы Государственной статистики по Омской области (ОмскСтат).

Дата государственной регистрации компании: 03. 03. 1999 г. Номер свидетельства о государственной регистрации: ОГРН — 1 046 182 528 418.

Адрес места нахождения: 644 010, Россия, Омская область, г. Омск, ул. Ленинградская площадь 1.

Юридический адрес: 644 010, Россия, Омская область, г. Омск, ул. Ленинградская площадь 1.

Почтовый адрес: 644 010, Россия, Омская область, г. Омск, ул. Ленинградская площадь 1.

Тел.: (3812) 58−07−79;

Руководство: Генеральный директор — Узкова Лариса Александровна.

ООО магазин «Стиль» осуществляет розничную продажу одежды и обуви. Основной целью организации, как полностью коммерческого предприятия, состоит в получении прибыли от своей деятельности и максимально длительный срок оставаться на рынке, стремясь расширять свой ассортимент и рынок сбыта.

Предприятие работает с множеством различных поставщиков. Заказ товара происходит по телефону. Оплата товара поставщикам осуществляется путем безналичного расчета платежным поручением.

Процесс продаж происходит следующим образом: клиент покупает необходимые комплектующие в розницу через розничный магазин предприятия. Расчет производится наличными деньгами через кассу. Все обслуживание клиентов осуществляется продавцами розничного магазина.

Бухгалтерскую документацию ведут бухгалтера. Они также занимаются сдачей регулярных отчетов в налоговую службу.

1.2 Состав и выполняемые функции должностных лиц

Персонал предприятия:

ь директор — осуществляет непосредственное руководство процессами организации, производит безналичные расчеты с поставщиками и покупателями, производит анализ прошлых продаж и принимает заявки от менеджера на заказ товаров, на основе анализа и заявок производит заказ необходимых товаров у поставщиков, ищет возможности для расширения ассортимента;

ь менеджер — передаёт директору заявки на заказ товаров у поставщиков;

ь продавцы — производят розничную реализацию в торговом зале, после продажи товаров делают отметки в базе данных о количестве реализованной продукции, являются ответственным за хранение комплектующих;

ь системный администратор — осуществляет настройку и установку оборудования, занимается устранением неполадок с ПО и компьютерным оборудованием, следит за работоспособностью компьютеров и периферийного оборудования.

ь Бухгалтерия ООО магазин «Стиль» осуществляет сплошное, непрерывное, взаимосвязанное, документальное отражение хозяйственной деятельности данного предприятия.

Функции данного отдела организации возлагаются на соответствующие должностные лица (бухгалтеров), которые производят учет, необходимый для характеристики отдельных сторон деятельности компании. Указанные должностные лица несут ответственность за правильное и своевременное оформление хозяйственных операций, а также обеспечивают сохранность и учет денежных средств, циркулирующих в процессе осуществления хозяйственной деятельности организации.

С бухгалтерами заключаются договоры о полной материальной ответственности в соответствии с законодательством РФ.

Организационная структура предприятия в виде графической схемы представлена на рисунке 1.

Рисунок 1. Организационная структура ООО магазин «Стиль»

1.3 Состав и назначение аппаратных и программных средств

ЛВС бухгалтерии ООО магазин «Стиль» создана с учетом единых концептуальных положений, лежащих в основе построения современных вычислительных сетей связи. Основу таких положений в первую очередь составляет использование общих принципов построения и однородного активного сетевого оборудования.

Сетевая структура ЛВС компании содержит несколько выраженных иерархических уровней. ЛВС бухгалтерии представляет фрагмент корпоративной сети, данный фрагмент сети состоит из нескольких сегментов, подключенных к магистрали более высокого уровня и осуществляющих доступ информационным ресурсам сети. ЛВС построена на базе стандарта Ethernet 10/100 Base-T.

Стандарт Ethernet 10/100 Base-T подходит для работы с различными операционными системами и сетевым оборудованием. Применение этого стандарта позволяет простыми методами добиться стабильной работы сети.

Для построения сети необходимо выбрать кабель, от качества и характеристик которого во многом зависит качество работы сети. В данном случае использована неэкранированная витая пара категории 5.

Конфигурация сети представлена в таблице 1.

Таблица 1

Компонент/характеристика

Реализация

Топология

Звезда

Линия связи

Неэкранированная витая пара категории 5

Сетевые адаптеры

Ethernet 10/100 Base-T

Коммуникационное оборудование

Коммутатор Ethernet 10/100 Base-T

Совместное использование периферийных устройств

Подключение сетевых принтеров через компьютеры к сетевому кабелю. Управление очередями к принтерам осуществляется с помощью программного обеспечения компьютеров.

Поддерживаемые приложения

Организация коллективной работы в среде электронного документооборота, работа с базой данных.

При выборе сетевых компонентов необходимо придерживаться следующих общих требований:

· компьютеры должны обладать хорошим быстродействием, чтобы обеспечить работу всех сетевых служб и приложений в реальном времени без заметного замедления работы;

· жесткие диски компьютеров должны быть максимально надежными для того, чтобы обеспечить безопасность и целостность хранимых данных;

· сетевые принтеры должны устанавливаться в зависимости от местоположения пользователей, активно их использующих;

· коммутатор, являющийся центральным устройством данной сети, необходимо располагать в легкодоступном месте, чтобы можно было без проблем подключать кабели и следить за индикацией.

Перечисленные требования определили следующую конфигурацию сетевых компонентов: все компьютеры сети на базе процессора Intel Pentium 4, в качестве сетевого принтера выбрано многофункциональное устройство (лазерное), поскольку они имеют наибольший ресурс и малые затраты на расходные материалы.

Конфигурация рабочих станций приведена в таблице 3.

Таблица 3

Наименование товара

Количество, шт.

Материнская плата MSI 945G Neo2-F (i945G, LGA775, Dual DDRII-667, Video, LAN, ATX)

3

Процессор Intel Celeron D 346 (3,06 Ghz, LGA775, EM64T)

3

Оперативная память Transcend DIMM 512MB DDRII-533

3

Жесткий диск Seagate Barracuda 7200.9 ST3120814A 120,0Gb (U-ATA, 7200 rpm)

3

Корпус InWin S523T (MidiTower, ATX, USB, 350Вт, Fan, белый)

3

Монитор NEC (LCD) AccuSync 73V (17″, 1280×1024, 500: 1)

3

Мышь Genius NetScroll Eye Mouse (оптика, PS/2)

3

Клавиатура Logitech Value Keyboard (PS/2)

3

Конфигурация сетевого оборудования приведена в таблице 4.

Таблица 4

Наименование товара

Количество

Коммутатор D-Link DES-1016D (UTP, 16×10/100)

1 шт.

Кабель UTP (Alcatel, категория 5)

40 м.

Коннектор RJ-45 (категория 5)

6 шт.

Конфигурация периферийного оборудования приведена в таблице 5.

Таблица 5

Наименование товара

Количество, шт.

Принтер Hewlett Packard LaserJet P2015 (A4, 1200dpi, 26 ppm, 32Mb, USB 2. 0)

1

Конфигурация программного обеспечения приведена в таблице 6.

Таблица 6

Наименование товара

Количество, шт.

Windows Server 2003 Std Russian R2 (OEM)

1

Windows XP Professional Russian SP2 (OEM)

3

Office 2003 Standart Edition Russian SP2 (Коробка)

3

1С: Бухгалтерия 7. 7

1

Лицензия на 10 доп. рабочих мест для «1С: Бухгалтерия 7. 7»

1

Лицензия на сервер для «1С: Бухгалтерия 7. 7»

1

Kaspersky Enterprise Space Security

1

Таким образом, с помощью программных и аппаратных средств в бухгалтерии ООО магазин «Стиль» решаются следующие задачи:

1. Организация общедоступной базы данных с помощью бухгалтерской программы «1С: Бухгалтерия 7. 7».

2. Совместная обработка информации пользователями.

3. Централизованное резервное копирование всех данных.

4. Контроль за доступом к данным.

5. Совместное использование оборудования и программного обеспечения.

План помещения показан на рис. 2.

Рисунок 2. План помещения ООО магазин «Стиль»

1.4 Основные цели защиты информации на предприятии

Формулирование целей и задач защиты информации, как любой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого этапа часто недооценивается и ограничивается целями и задачами, напоминающими лозунги. В то же время специалисты в области системного анализа считают, что от четкости и конкретности целей и постановок задач во многом зависит успех в их достижении и решении. Провал многих, в принципе полезных, начинаний обусловлен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи.

Цели защиты информации сформулированы в ст. 20 Закона Р Ф «Об информации, информатизации и защите информации»:

ь предотвращение утечки, хищения, искажения, подделки информации;

ь предотвращение угроз безопасности личности, общества, государства;

ь предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима как объекта собственности;

ь защита конституционных прав граждан по сохранению личной тайны, конфиденциальности персональных данных, имеющихся в информационных системах;

ь сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

ь обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.

В общем виде цель защиты информации определяется как обеспечение безопасности информации, содержащей государственную или иные тайны. Но такая постановка цели содержит неопределенные понятия: информация и безопасность.

Основной целью защиты информации является обеспечение заданного уровня ее безопасности. Под заданным уровнем безопасности информации понимается такое состояние защищенности информации от угроз, при которых обеспечивается допустимый риск ее уничтожения, изменения и хищения. При этом под уничтожением информации понимается не только ее физическое уничтожение, но и стойкое блокирование санкционированного доступа к ней. В общем случае при блокировке информации в результате неисправности замка или утери ключа сейфа, забытия пароля компьютера, искажения кода загрузочного сектора винчестера или дискетки и других факторах информация не искажается и не похищается и при определенных усилиях доступ к ней может быть восстановлен. Следовательно, блокирование информации прямой угрозы ее безопасности не создает. Однако при невозможности доступа к ней в нужный момент ее пользователь теряет информацию так же, как если бы она была уничтожена.

1.5 Перечень конфиденциальной информации и информации, составляющей коммерческую тайну

Коммерческая тайна? форма обеспечения безопасности наиболее важной коммерческой информации, предлагающая ограничение ее распространения. С правовой точки зрения, коммерческая тайна предприятия представляет собой средство защиты против недобросовестной конкуренции в рамках реализации права на интеллектуальную собственность.

Перечень сведений, составляющих коммерческую тайну предприятия:

1. Производство

1.1. Сведения о структуре производства, производственных мощностях, типе и размещении оборудования, запасах сырья, материалов, комплектующих и готовой продукции.

2. Управление

2.1. Сведения о применяемых оригинальных методах управления предприятием.

2.2. Сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным, производственным, научно-техническим и иным вопросам.

3. Планы

3.1. Сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономических обоснованиях. 3.2. Сведения о планах инвестиций, закупок, продаж. 4. Совещания

4.1. Сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления предприятия. 5. Финансы

5.1. Сведения о балансах предприятия.

5.2. Сведения, содержащиеся в бухгалтерских книгах предприятия. 5.3. Сведения о кругообороте средств предприятия.

5.4. Сведения о финансовых операциях предприятия.

5.5. Сведения о состоянии банковских счетов предприятия и производимых операциях.

5.6. Сведения об уровне доходов предприятия.

5.7. Сведения о долговых обязательствах предприятия.

5.8. Сведения о состоянии кредита предприятия (пассивы и активы). 6. Рынок

6.1. Сведения о применяемых предприятием оригинальных методах изучения рынка.

6.2. Сведения о результатах изучения рынка, содержащие оценку состояния и перспектив развития рыночной конъюнктуры.

6.3. Сведения о рыночной стратегии предприятия.

6.4. Сведения о применяемых предприятием оригинальных методах осуществления продаж.

6.5. Сведения об эффективности коммерческой деятельности предприятия. 7. Партнеры

7.1. Систематизированные сведения о внутренних и зарубежных заказчиках, подрядчиках, поставщиках, потребителях, покупателях, компаньонах, спонсорах, посредниках, клиентах и других партнерах деловых отношений предприятия, а также о его конкурентах, которые не содержатся в открытых источниках (справочниках, каталогах и др.).

8. Переговоры

8.1. Сведения о подготовке и результатах проведения переговоров с деловыми партнерами предприятия.

9. Контракты

9.1. Сведения, условия конфиденциальности которых установлены в договорах, контрактах, соглашениях и других обязательствах предприятия. 10. Цены

10.1. Сведения о методах расчета, структуре, уровне цен на продукцию и размерах скидок.

11. Торги, аукционы

11.1. Сведения о подготовке к торгам или аукциону и их результатах. 12. Наука и техника

12.1. Сведения о целях, задачах, программах перспективных научных исследований.

12.2. Ключевые идеи НИР.

12.3. Точные значения конструкционных характеристик создаваемых изделий и оптимальных параметров разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и т. д.).

12.4. Аналитические и графические зависимости, отражающие найденные закономерности и взаимосвязи.

12.5. Данные об условиях экспериментов и оборудования, на котором они проводились.

12.6. Сведения о материалах, из которых изготовлены отдельные детали.

12.7. Сведения об особенностях конструкторско-технологического, художественно-технического решения изделия, дающие положительный экономический эффект.

12.8. Сведения о методах защиты от подделки товарных знаков.

12.9. Сведения о состоянии программного и компьютерного обеспечения. 13. Технология

13.1. Сведения об особенностях используемых и разрабатываемых технологий и специфике их применения.

14. Безопасность

14.1. Сведения о порядке и состоянии организации защиты коммерческой тайны.

14.2. Сведения, составляющие коммерческую тайну предприятий-партнеров и переданные на доверительной основе.

Правильная организация конфиденциального делопроизводства в фирме является составной частью комплексного обеспечения безопасности информации и имеет важное значение в достижении цели ее защиты. Как известно, специалисты, занимающиеся в области информационной безопасности утверждают, что порядка 80% конфиденциальной информации находится в документах делопроизводства. Поэтому вопросы конфиденциального документооборота в фирме несомненно играют важную роль в достижении ею экономических успехов.

А, следовательно, и документы, содержащие ту или иную информацию подразделяются на секретные и конфиденциальные. Причем, секретные документы могут быть с грифом «Секретно», «Совершенно секретно», «Особой важности». Конфиденциальные документы соответственно с грифами «Коммерческая тайна», «Банковская тайна» и т. д. В настоящее время видов конфиденциальной информации (а, следовательно, и возможных грифованных документов) насчитывается более 30. Что в целом не создает благоприятной атмосферы в смысле обеспечения их безопасности. По этой причине количество видов конфиденциальной информации в перспективе надо полагать уменьшится.

ИT-ресурсы ООО магазин «Стиль» делятся на три группы:

1. Информация, являющаяся коммерческой тайной.

2. Конфиденциальная информация.

3. Информация общего доступа.

Сведения, относящиеся к эти трем группам, сроки действия и условия прекращений ограничений на доступ, а также ограничительный гриф приведены в табл. 8.

Таблица 8

Перечень сведений, составляющих коммерческую тайну ООО «Стиль»

п/п

Наименование сведений

Срок действия, условия прекращения ограничений на доступ

Ограничительный гриф

1. Сведения делового характера

1. 1

Информация о номерах домашних телефонов и адресах работников и членов их семей. Местонахождение руководителей, учредителей и членов их семей. Конфликтные ситуации и другие внутренние отношения

Постоянно

Коммерческая тайна

1. 2

Учредительные документы ООО «Стиль»

Постоянно

Конфиденциально

1. 3

Информация, раскрывающая детальные планы капитальных вложений в развитие предприятия. Перспективные и текущие планы развития и роста ООО «Стиль»

До реализации планов

Коммерческая тайна

1. 5

Планы и методы продвижения услуг на рынок, планируемые новые рынки и услуги

До момента реализации планов

Коммерческая тайна

1. 7

Информация об участии (подготовке) компании в торгах и аукционах

До момента завершения торгов

Коммерческая тайна

2. Информация по организационно-правовым вопросам

2. 1

Информация по делам, рассматриваемым в судах, разглашение которой может нанести ущерб интересам компании

До потери актуальности

Коммерческая тайна

2. 2

Информация, на конфиденциальности которой настаивает хотя бы одна из договаривающихся сторон

До принятия согласованного решения об их раскрытии

Коммерческая тайна

3. Информация по вопросам торгово-экономических отношений

3. 2

Номенклатура и количество услуг по взаимным обязательствам

До потери актуальности

Информация общего доступа

4. Информация по финансово-хозяйственным вопросам

4. 1

Сведения об открытых расчетных и иных счетах, в том числе и в иностранной валюте), о движении средств по эти счетам, о имеющихся вкладах. Операции по банковским счетам

Постоянно

Конфиденциально

4. 2

Информация об особых сделках или условиях платежа по бартерным операциям, об условиях компенсационных сделок

3 года

Конфиденциально

4. 3

Данные о состоянии дебиторской задолженности, а также о заключенных договорах и соглашениях

До принятия решения об их раскрытии

Конфиденциально

4. 4

Акты комплексных проверок финансово-хозяйственной деятельности ООО «Стиль» (кроме заключений ревизионной комиссии и аудитора)

Постоянно

Конфиденциально

4. 5

Информация об условиях проведения зачетов и вексельных операций по дебиторской и кредиторской задолженностям

3 года

Конфиденциально

4. 6

Информация об эффективности сделок, договоров

1 год после прекращения действия договора

Информация общего доступа

4. 7

ИНН, документы об уплате налогов и обязательных платежах

Постоянно

Конфиденциально

4. 8

Акты проверки финансово-хозяйственной деятельности региональных филиалов и компании в целом, проведенные специалистами по аудиту

Постоянно

Конфиденциальнона

5. Информация о производственной деятельности

5. 1

Штатное расписание

Постоянно

Информация общего доступа

5. 2

Сведения об обработанных и необработанных заказах

Постоянно

Информация общего доступа

5. 3

Разрабатываемые проекты по автоматизации предприятий и бизнес-процессов

Постоянно

Коммерческая тайна

5. 4

Консалтинговые услуги: постановка управленческого учета на предприятии, внедрение систем бюджетирования

Постоянно

Коммерческая тайна

6. По вопросам обеспечения безопасности

6. 1

Информация об организации и состоянии физической охраны административного здания ООО «Стиль», пропускном режиме, установленных системах сигнализации и видеонаблюдения

До потери актуальности

Конфиденциально

6. 2

Информация, раскрывающая организацию, средства и методы обеспечения безопасности ООО «Стиль»

Постоянно

Конфиденциально

6. 3

Информация о защищаемых информационных ресурсах

Постоянно

Конфиденциально

6. 4

Базы данных ООО «Стиль»

Постоянно

Конфиденциально

6. 5

Информация о детальной структуре корпоративной сети

Постоянно

Конфиденциально

6. 7

Сведения о системе разграничения доступа к информации, правах пользователей, ограничениях на использование информационных ресурсов

На период действия

Конфиденциально

7. По организационно-управленческой деятельности

7. 1

Условия индивидуальных трудовых договоров с работниками и руководителями ООО «Стиль»

Постоянно

Конфиденциально

7. 2

Информация о персональных данных работников ООО «Стиль», внесенная в личные дела, а также информация об условиях оплаты труда и премирования

Постоянно

Конфиденциально

7. 3

Информация о персональных данных работников ООО «Стиль», индивидуальных размерах оплаты труда, предоставляемые для проведения актуарных расчетов по негосударственному пенсионному обеспечению

Постоянно

Конфиденциально

2. Предпроектное обследование информационной безопасности отдела бухгалтерии ООО магазин «Стиль»

2.1 Информационная безопасность в вычислительной сети

2.1.1 Классификация угроз безопасности информации

Под угрозой безопасности информации в компьютерной сети (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации.

Уязвимость информации -- это возможность возникновения такого состояния, при котором создаются условия для реализации угроз безопасности информации.

Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.

Проблемы, возникающие с безопасностью передачи информации при работе в компьютерных сетях, можно разделить на три основных типа:

— перехват информации — целостность информации сохраняется, но её конфиденциальность нарушена;

— модификация информации — исходное сообщение изменяется либо полностью подменяется другим и отсылается адресату;

— подмена авторства информации. Данная проблема может иметь серьёзные последствия. Например, кто-то может послать письмо от чужого имени (этот вид обмана принято называть спуфингом) или Web — сервер может притворяться электронным магазином, принимать заказы, номера кредитных карт, но не высылать никаких товаров.

Специфика компьютерных сетей, с точки зрения их уязвимости, связана в основном с наличием интенсивного информационного взаимодействия между территориально разнесенными и разнородными (разнотипными) элементами.

Уязвимыми являются буквально все основные структурно-функциональные элементы КС: рабочие станции, серверы (Host-машины), межсетевые мосты (шлюзы, центры коммутации), каналы связи и т. д.

Известно большое количество разноплановых угроз безопасности информации различного происхождения. В литературе встречается множество разнообразных классификаций, где в качестве критериев деления используются виды порождаемых опасностей, степень злого умысла, источники появления угроз и т. д. Одна из самых простых классификаций приведена на рис. 3.

Рис. 3. Общая классификация угроз безопасности

Естественные угрозы — это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы — это угрозы КС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т. п. ;

преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к КС могут быть внешними или внутренними (компоненты самой КС — ее аппаратура, программы, персонал).

Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рис. 4.

Рис. 4. Модель реализации угроз информационной безопасности

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки.

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рис. 5а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис. 5б). Методы реализации можно разделить на группы по способам реализации (рис. 5в). При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие «предпосылка».

Рис. 5. Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации»

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т. е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Исходными данными для проведения оценки и анализа угроз безопасности при работе в сети служат результаты анкетирования субъектов отношений, направленные на уяснение направленности их деятельности, предполагаемых приоритетов целей безопасности, задач, решаемых в сети и условий расположения и эксплуатации сети.

2.1.2 Наиболее распространенные угрозы

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компьютерную сеть.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь — следствие непреднамеренных ошибок.

Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль.

Другие угрозы доступности можно классифицировать по компонентам КС, на которые нацелены угрозы:

отказ пользователей;

внутренний отказ сети;

отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т. п.);

невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т. п.).

Основными источниками внутренних отказов являются:

отступление (случайное или умышленное) от установленных правил эксплуатации;

выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т. п.);

ошибки при (пере)конфигурировании системы;

отказы программного и аппаратного обеспечения;

разрушение данных;

разрушение или повреждение аппаратуры.

По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:

нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

разрушение или повреждение помещений;

невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т. п.).

Весьма опасны так называемые «обиженные» сотрудники — нынешние и бывшие. Как правило, они стремятся нанести вред организации — «обидчику», например:

испортить оборудование;

встроить логическую бомбу, которая со временем разрушит программы и/или данные;

удалить данные.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

2.1.3 Вредоносное программное обеспечение

Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.

Выделяют следующие аспекты вредоносного ПО:

вредоносная функция;

способ распространения;

внешнее представление.

Часть, осуществляющая разрушительную функцию, предназначается для:

внедрения другого вредоносного ПО;

получения контроля над атакуемой системой;

агрессивного потребления ресурсов;

изменения или разрушения программ и/или данных.

По механизму распространения различают:

вирусы — код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы;

«черви» — код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по сети и их выполнение (для активизации вируса требуется запуск зараженной программы).

Вирусы обычно распространяются локально, в пределах узла сети; для передачи по сети им требуется внешняя помощь, такая как пересылка зараженного файла. «Черви», напротив, ориентированы в первую очередь на путешествия по сети.

Иногда само распространение вредоносного ПО вызывает агрессивное потребление ресурсов и, следовательно, является вредоносной функцией. Например, «черви» «съедают» полосу пропускания сети и ресурсы почтовых систем.

Вредоносный код, который выглядит как функционально полезная программа, называется троянским. Например, обычная программа, будучи пораженной вирусом, становится троянской; порой троянские программы изготавливают вручную и подсовывают доверчивым пользователям в какой-либо привлекательной упаковке (обычно при посещении файлообменных сетей или игровых и развлекательных сайтов).

2.2 Разработка концепции ИБ

2.2.1 Цели и задачи информационной безопасности

Режим информационной безопасности — это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:

· доступность и целостность информации;

· конфиденциальность информации;

· невозможность отказа от совершенных действий;

· аутентичность электронных документов.

Цель информационной безопасности — обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

К задачам информационной безопасности бухгалтерии ООО магазин «Стиль» относится:

· объективная оценка текущего состояния информационной безопасности;

· обеспечение защиты и надежного функционирования прикладных информационных сервисов;

· обеспечение безопасного доступа в Интернет с защитой от вирусных атак и спама;

· защита системы электронного документооборота;

· организация защищенного информационного взаимодействия с территориально удаленными офисами и мобильными пользователями;

· получение защищенного доступа к информационной системе организации;

· обеспечение целостности и доступности информации;

· предотвращение некорректного изменения и модификации данных.

2.2.2 Общие направления информационной безопасности

Проблема обеспечения необходимого уровня защиты информации — весьма сложная задача, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации.

В рамках комплексного подхода к внедрению системы безопасности для бухгалтерии ООО «Стиль» можно выделить следующие общие направления:

· внедрение решений по сетевой безопасности с применением средств компьютерной защиты информации;

· внедрение систем однократной аутентификации (SSO);

· внедрение системы контроля целостности информационной системы;

· внедрение решений по мониторингу и управлению информационной безопасностью;

· внедрение системы контроля доступа к периферийным устройствам и приложениям;

· внедрение систем защиты от модификации и изменения информации.

Основными требованиями к комплексной системе защиты информации являются:

· система защиты информации должна обеспечивать выполнение

информационной системой своих основных функций без существенного ухудшения характеристик последней;

· система защиты должна быть экономически целесообразной;

· защита информации должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

· в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации;

· система защиты в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т. е. обладать свойствами активной и пассивной защиты;

· система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации;

· применение системы защиты не должно быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.

2.2.3 Основные аспекты, решаемые при разработке ИБ

Уязвимость данных в информационной системе бухгалтерии компании обусловлена долговременным хранением большого объема данных на магнитных носителях, одновременным доступом к ресурсам нескольких пользователей. Можно выделить следующие трудности при разработке системы информационной безопасности:

· на сегодняшний день нет единой теории защищенных систем;

· производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя вопросы формирования системы защиты и совместимости этих средств на усмотрение потребителей;

· для обеспечения надежной защиты необходимо разрешить целый комплекс технических и организационных проблем и разработать соответствующую документацию.

Для преодоления вышеперечисленных трудностей необходима координация действий всех участников информационного процесса. Обеспечение информационной безопасности — достаточно серьезная задача, поэтому необходимо, прежде всего, разработать концепцию безопасности информации, где определить интересы компании, принципы обеспечения и пути поддержания безопасности информации, а также сформулировать задачи по их реализации.

В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В разрабатываемой стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения для того, чтобы гарантировать надежную защиту.

Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:

· анализ средств защиты;

· определение факта вторжения.

На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации. Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой — наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.

2.3 Анализ рисков

2.3.1 Оценка и анализ рисков ИБ

На этапе анализа рисков определяется возможность понести убытки из-за нарушения режима информационной безопасности организации, детализируются характеристики (или составляющие) рисков для информационных ресурсов и технологий. Под управлением рисками понимается процесс идентификации и уменьшения рисков, которые могут воздействовать на информационную систему.

В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий.

Общая идея выражена формулой:

РИСК = P происшествия * ЦЕНА ПОТЕРИ.

Определим субъективную шкалу вероятностей событий:

A? событие практически никогда не происходит;

B? событие случается редко;

C? вероятность события за рассматриваемый промежуток времени около 0,5;

D? скорее всего, событие произойдет;

E? событие почти обязательно произойдет.

Кроме того, используем субъективную шкалу серьезности происшествий.

1. N (Negligible) — Воздействием можно пренебречь.

2. Mi (Minor) — Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий невелики, воздействие на информационную технологию — незначительно.

3. Mo (Moderate) — Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.

4. S (Serious) — Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо.

5. C (Critical) — Происшествие приводит к невозможности решения критически важных задач.

Для оценки рисков определяется шкала из трех значений: 1. Низкий риск.

2. Средний риск.

3. Высокий риск.

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен следующим образом (табл. 8).

Таблица 8

Определение риска в зависимости от двух факторов

Negligible

Minor

Moderate

Serious

Critical

A

Низкий риск

Низкий риск

Низкий риск

Средний риск

Средний риск

B

Низкий риск

Низкий риск

Средний риск

Средний риск

Высокий риск

C

Низкий риск

Средний риск

Средний риск

Средний риск

Высокий риск

D

Средний риск

Средний риск

Средний риск

Средний риск

Высокий риск

E

Средний риск

Высокий риск

Высокий риск

Высокий риск

Высокий риск

Показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска:

1? риск практически отсутствует; теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик;

2? риск очень мал; события подобного рода случались достаточно редко, кроме того, негативные последствия сравнительно невелики.

8? риск очень велик; событие скорее всего наступит, и последствия будут чрезвычайно тяжелыми и т. д.

Следующей по важности группой информации является информация по организационно — правовым вопросам (группа 2), информация по вопросам торгово-экономических отношений (группа 3) и информация по вопросам управления имуществом предприятия (группа 2). Разглашение такого рода информации конкурентам приведет к нарушению планов компании и, соответственно, повлечет за собой большие убытки. Вся остальная информация также нуждается в определенной защите, но нарушение ее безопасности приведет к устранимым последствиям.

Оценка рисков нарушения безопасности

Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.

Для оценки рисков необходимо систематически рассматривать следующие аспекты:

а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;

б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.

Данные бухгалтерского учета имеют первостепенное значение для деятельности любой организации, так как они формируют целостную картину финансово-хозяйственного состояния предприятия. На основании бухгалтерской отчетности осуществляются такие важнейшие функции, как планирование, оперативное управление деятельностью компании, прогнозирование, оценка состояния предприятия. Ежедневно в бухгалтерию поступает огромный поток первичных документов, которые обрабатываются бухгалтерами, вводятся в информационную систему, затем на основании первичной документации и отчетной информации предыдущего периода формируется бухгалтерская отчетность о деятельности компании в текущем периоде.

Ущерб и затраты на восстановление от повреждения, модификации и уничтожения информации напрямую зависит от временного периода, за который были уничтожены, повреждены или модифицированы данные. Чем больше временной период, тем больше ущерб и затраты на восстановление данных. Для минимизации ущерба и затрат на восстановление необходимо осуществлять резервное копирование базы данных.

2.3.2 Изучение и систематизация угроз ИБ

Под угрозой понимается событие (воздействие), которое в случае своей реализации становится причиной нарушения целостности информации, ее потери или замены. Угрозы могут быть как случайными, так и умышленными (преднамеренно создаваемыми).

Необходимо отметить, что зачастую ущерб наносится не из-за чьего-то злого умысла, а просто по причине элементарных ошибок пользователей, которые случайно портят или удаляют данные, жизненно важные для системы. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей. Кроме того, вероятность ошибок обслуживающего персонала и пользователей сети может быть значительно уменьшена, если их правильно обучать и, кроме того, периодически контролировать их действия со стороны, например, администратора безопасности сети.

Трудно предсказуемыми источниками угроз информации являются аварии и стихийные бедствия. Но и в этих случаях для сохранения информации могут использоваться различные средства.

Наиболее надежное средство предотвращения потерь информации при кратковременном отключении электроэнергии — установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитных носителях. Большинство UPS выполняют функции еще и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства (серверы, концентраторы, мосты и др.) оснащены собственными дублированными системами электропитания.

Основной, наиболее распространенный метод защиты информации и оборудования от стихийных бедствий (пожаров, землетрясений, наводнений и т. п.) состоит в создании и хранении архивных копий данных, в том числе, в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях, либо, реже, в другом районе города или в даже другом городе.

Особенностью компьютерной неосторожности является то, что безошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с огромным запасом надежности, то в области программирования такая надежность весьма условна, а иногда почти не достижима. И это касается не только отдельных программ, но и целого ряда программных продуктов фирм, известных во всем мире.

Как считают эксперты по безопасности, из-за недостатков в программных продуктах Microsoft, связанных с обеспечением безопасности данных в сети Internet, хакеры могут захватывать личные ключи шифров пользователей и действовать от их лица. Поскольку существуют дефекты в некоторых программах Microsoft, включая браузер Internet Explorer и пакет Internet Information Server, ключи шифров можно легко скопировать с жестких дисков компьютеров, подключенных к WWW.

Проблема состоит в том, что форматы файлов, применяемые для защиты личных ключей шифров, до конца не проработаны. Используя лазейки в системе защиты, можно с помощью вирусного программного кода, скрытого на Web-страницах, читать содержимое жестких дисков пользователей во время посещения ими данной страницы. А из-за дефекта в программных интерфейсах криптографии, используемых многими средствами Microsoft, множество ключей могут быть считаны с жесткого диска пользователя по простому запросу. Легкость, с которой это можно выполнить, ставит под угрозу все остальные средства шифрования, применяемые на Web-страницах и в браузерах.

Уровень указанных угроз в значительной мере снижается за счет повышения квалификации обслуживающего персонала и пользователей, а также надежности аппаратно-программных и технических средств.

Однако наиболее опасным источником угроз информации являются преднамеренные действия злоумышленников. Спектр их противоправных действий достаточно широк, а итогом их вмешательства в процесс взаимодействия пользователей сети является разглашение, фальсификация, незаконное тиражирование или уничтожение конфиденциальной информации.

Показать Свернуть
Заполнить форму текущей работой