Организация системы мероприятий, направленных на предотвращение хищения или нанесения вреда информации

Тип работы:
Дипломная
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

ВВЕДЕНИЕ

Целью данной работы является организация системы мероприятий, направленных на предотвращение хищения или нанесения вреда информации в Обществе с Ограниченной Ответственностью «Реконструкция. Телекоммуникации. Автоматика», далее — ООО «Р.Т.А.» или компания.

В рамках данной дипломной работы будет рассматриваться уже существующая система защиты компании, способы ее модернизации, а так же создание системы безопасности против хищения и утери информации, включающей в себя как программные, так и инженерно-технические (охранные) средства защиты.

К инженерно-техническим средствам защиты в рамках данной дипломной работы относятся:

Камеры видеонаблюдения.

Турникеты.

Магнитные замки, открываемые индивидуальными смарт-картами сотрудников.

Инфракрасные датчики движения.

Источники бесперебойного питания.

Эти средства защиты (кроме источников бесперебойного питания) являют собой охранные объекты, предназначенные для предотвращения проникновения в здание компании с целью физического хищения, порчи или подмены данных.

К программным средствам защиты информации в рамках данной дипломной работы относятся:

Сетевые экраны.

Антивирусы.

Диспетчеры задач.

Системы обновления ОС.

Средства архивации и восстановления данных.

Чтобы обеспечить максимальную степень безопасности, необходимо использовать совокупность программных и инженерно-технических средств защиты. Система защиты должна проектироваться параллельно процессу создания самой проектируемой системы. Необходим постоянный контроль её функционирования во избежание появления «слабых мест», через которые информация может выйти за пределы защищённой области и попасть в руки злоумышленнику.

1. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1. 1 Технико-экономическая характеристика предметной области и предприятия

Общая характеристика предметной области.

ООО «Р.Т.А.» было основано в 1997 году с целью внесения мультимедиа-инноваций на Российский рынок с гарантией качества и сервисным обслуживанием, таких как:

Аудиовизуальное оборудование для телекоммуникационных продуктов.

Оснащение под «ключ» конференц-залов, залов совещаний, диспетчерских и ситуационных центров, спортивных сооружений, рабочих мест руководителей, инженерных систем.

Домашних систем мультимедиа, домашних систем безопасности, домашних систем автоматизации.

Креативных решений для запоминающихся событий: 3d mapping (проекция видео на объемный объект вместо плоского экрана), многопользовательских интерактивных стен (видеостен, с которыми могут работать сразу несколько человек), видеостен нестандартных конфигураций (видеостен, собранных как по кирпичикам в форме узнаваемых объектов, например, новогодней ёлки), технологии invisible touch (позволяющей без прикосновения к видеостене управлять отображаемым на ней содержимым).

Компания с 1997 до 2010 года выступала на российском рынке AV и мультимедиа под торговой маркой «Р.Т.А.». Свой 13-й День рождения компания решила отметить полным ребрендингом, изменением названия на ВИАТЕК и сменой фирменного стиля, сохранив неизменным высокое качество работы.

К корпоративным клиентам компании относятся:

Государственные и ведомственные учреждения, министерства и ведомства:

МЧС РФ, Министерство образования и науки РФ, Министерство Экономического развития РФ, Министерство Обороны Р Ф, ОАО «ОЭЗ Дубна», ОАО «ОЭЗ Липецк», Парламент Якутии, Администрация Мурманской области, Московское отделение партии «Единая Россия», Росстат Р Ф и др.

Предприятия промышленности и энергетики:

ОАО «Газпром», ОАО «ЛУКОЙЛ», ОАО «ФСК ЕЭС», ОАО НК «Роснефть», ОАО «Самаранефтегаз», ОАО «Удмуртнефть», ОАО «Мосэнерго», ОАО «Верхневолжскнефтепровод», ОАО «Гипротрубопровод», ЗАО «ОМК», ОАО «Техснабэкспорт», GE (General Electric), Сургутская ГРЭС-2, ОАО «МРСК Юга», ОАО «ТГК-9».

Предприятия транспортного комплекса:

Горьковская железная дорога — филиал ОАО «РЖД» г. Н. Новгород, Лефортовский тоннель.

Гостинично-деловые центры:

«Националь», «Милан», «Сити», «Катерина», «Рэдиссон САС Славянская», Отель «Хилтон».

Организации сферы телевещания:

ТЦ «Останкино», ТК СТС-М, ТК «Домашний», ТК «НТВ».

Медицинские центры:

Хирургический Центр им. Н. И. Пирогова, ЦНИКВИ.

Концертные залы и спортивные сооружения:

Государственный Кремлевский Дворец, Центр водных видов спорта «Спартак», Спортивно-оздоровительный комплекс Ямбург, Центр зимних видов спорта УТЦ «Новогорск», Крытый ледовый дворец г. Южно-Сахалинск, Крытый каток «Смоленской государственной академии физической культуры, спорта и туризма», Бассейн санатория «Нефтяник Кубани» ОАО «Роснефть», Крытый ледовый каток с искусственным льдом г. Лиски Воронежской области.

Учебные заведения:

Российская Таможенная Академия, Московская Школа Экономики МГУ им. М. В. Ломоносова, Математический институт им. В. И. Стеклова РАН.

Другие крупные государственные и частные учреждения.

В ООО «Р.Т.А.» работают сотрудники самой разной специальности:

Техники, занимающиеся оборудованием (компьютеры, проекторы, видеоэкраны и др.)

Программисты и ИТ-специалисты, занимающиеся написанием программ для презентаций оборудования ООО «Р.Т.А.» и занимающиеся настройкой компьютеров, сетей и обеспечением простейшей безопасности данных (антивирусы, файрволлы, ограничения доступа паролем)

Дизайнеры, занимающиеся созданием графического наполнения для презентационных программ, впоследствии демонстрируемых на оборудовании ООО «Р.Т.А. «

Руководители проектов, занимающиеся поиском заказчиков и следящих за процессом выполнения текущих проектов (являются непосредственными руководителями подразделений программистов, дизайнеров и техников)

Сотрудники других специализаций.

Если информация об этих сотрудниках (их контактные данные, сведения о заработной плате, прежнем опыте работы), о текущих, завершенных и планируемых проектах попадет в руки злоумышленников, то компании может быть нанесен существенный финансовый ущерб в виду того, что сотрудники могут быть переманены в другую организацию, шантажированы или обманным путем оставлены без нового проекта (а именно от новых проектов напрямик зависит финансирование компании).

Пример оставления без выгодного проекта: если злоумышленники передадут компании-конкуренту информацию о планируемом проекте, который будет выполняться для определенного заказчика, то конкуренты могут попытаться связаться с тем самым заказчиком и получить на выполнение тот самый проект, но по более низкой цене. В итоге в их портфолио окажется новый выполненный проект, который принесет меньше прибыли, но в то же время наша компания останется вообще без прибыли за данный проект. Пример нанесения финансового ущерба вследствие перехода сотрудника в другую компанию: у каждого сотрудника есть свой круг общения — руководители проектов, программисты и дизайнеры общаются с руководителями проектов, программистами и дизайнерами из других компаний, откуда может поступить заказ на подряд, получается, что у каждого сотрудника есть определенное количество знакомых подрядчиков, которые будут работать с ними, не взирая на то, в какой компании работают эти сотрудники. Тем самым переманивая сотрудников в другую компанию, конкуренты переманивают и подрядчиков, что в перспективе тоже является угрозой для финансового состояния компании.

В рамках предметной области в компании можно выделить следующие виды деятельности, связанные с созданием, хранением и обработкой информации:

Обмен документами и электронными сообщениями между сотрудниками.

Обработка заявок клиентов.

Создание и хранение документов на общем сетевом диске.

Защита персональных компьютеров сотрудников от вирусных атак и сбоев, связанных с неполадками в электросети.

Обеспечение охранной защиты от незаконного проникновения.

Основные виды деятельности компании в рамках предметной области приведены в таблице 1.

Таблица 1 — Основные характеристики видов деятельности ООО «Р.Т.А. «

№ пп

Наименование характеристики (показателя)

Значение за год

1

Использование сетевого оборудования

99,9%

2

Использование переносных носителей информации

99,9%

3

Объём входящей/исходящей почты

92Гб

4

Объем файлов, размещаемых на общем сетевом диске

284ГБ

5

Отношение количества обнаруженных угроз несанкционированного доступа к количеству нейтрализованных сетевых атак

52/36

Задачей внедряемой системы защиты является обеспечение безопасности хранения и передачи корпоративных данных, хранящихся на персональных рабочих компьютерах сотрудников, от утери или повреждения вследствие сбоев электросети, хищения, а так же усиление действующей охранной системы защиты от несанкционированного проникновения с целью хищения или порчи информации.

В рамках данной дипломной работы не будет рассматриваться улучшение сетевой системы безопасности ООО"Р.Т.А." в виду того, что отдел информационных технологий компании регулярно проводит проверки линий связи, сетевого и серверного оборудования, а так же проводит обслуживание программного обеспечения, защищающего главный сервер компании от вторжений извне, однако в дополнение к работе отдела информационных технологий будут рассмотрены мероприятия по повышению уровня безопасности данных, хранящихся на персональных рабочих компьютерах сотрудников.

Организационно-функциональная структура компании.

В данном разделе рассматривается иерархическая организационно-функциональная структура компании (Рис. 1), представляющая собой древовидную структуру с разным количеством уровней иерархии.

Сферы деятельности компании представлены соответствующими департаментами:

Системная интеграция — разработка и воплощение уникальных проектов от этапа проектирования до торжественного открытия:

Конференц-залы.

Залы совещаний.

Диспетчерские и ситуационные центры.

Спортивные сооружения и концертные залы.

Залы 3D модуляции.

Рабочее место руководителя.

Аренда оборудования для презентаций, конференций, выставок и самых разнообразных мероприятий, а так же создание интерактивных презентаций для демонстрации на арендуемом оборудовании.

Авторизированный сервис-центр по ремонту и гарантийному обслуживанию обеспечивает техническую поддержку и послепродажное обслуживание.

Дистрибуция продукции ведущих производителей аудио — и видеооборудования обеспечивает поставку в оговоренные сроки.

Отдел ИТ занимается установкой программного обеспечения, установкой и мониторингом состояния вычислительной техники, выявлением и устранением неполадок и сбоев системы информационной безопасности компании.

/

Рис. 1 — Организационно-функциональная структура компании

1.2 Анализ рисков информационной безопасности

Указом генерального директора от 12 октября 1998 г. в компании ежемесячно проводится анализ рисков информационной безопасности.

Начальник отдела информационных технологий принимает решение о проведении анализа рисков. Отделы сдают отчеты обо всех случаях нарушения информационной безопасности с целью дальнейшего изучения отделом ИТ и принятия мер по недопущению повторных инцидентов.

Ежеквартально проводится профилактическая проверка линий связи на предмет прослушивания, обрывов и помех.

Ежеквартально проводится профилактическая проверка охранных средств защиты от незаконного проникновения.

Основные аспекты информационной безопасности в ООО «Р.Т.А. «:

Выявлением уязвимостей системы защиты и иных проблем при работе с информацией занимается отдел ИТ-безопасности. Отдел ИТ-безопасности выпускает постановление об устранении неполадок, основанное на результатах профилактических проверок и служебных записок от сотрудников, и непосредственно устранением занимается группа системного администрирования.

Определением необходимых затрат занимаются сотрудники управления, выделение достаточных затрат на обеспечение информационной безопасности осуществляется после согласования с генеральным директором, а в его отсутствие — с техническим директором.

Выбор конкретных мер, методов, средств и системы защиты ложится на сотрудников отдела ИТ-безопасности при согласовании с группой системного администрирования.

Идентификация и оценка информационных активов.

Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации.

В таблице 2 перечислены ресурсы компании, являющиеся оцениваемыми активами в рамках данной дипломной работы, подлежащие защите или модернизации для повышения уровня защиты:

Таблица 2 — Оценка информационных активов компании

Вид деятельности

Наименование актива

Форма представления

Владелец

Критерий определения стоимости

Размерность оценки

Количеств. (тыс. руб.)

Качественная

Конфиденциальная информация (документы компании, электронные сообщения)

Документ

Электронная, материальный объект

Создатель, Руководство

Доверие клиентов, репутация

-

Высокая

Хранилище файлов на общем сетевом диске

Документ, программное обеспечение

Электронная

Создатель, Руководство

Доверие клиентов, репутация

-

Высокая

Защита персональных компьютеров сотрудников от вирусных атак и сбоев, связанных с неполадками в электросети

Программное обеспечение, оборудование

Электронная, Материальный объект

Группа системного администрирования

Цена лицензионного программного обеспечения, обслуживание

420

Высокая

Защита от незаконного проникновения

Охранное оборудование

Материальный объект

Руководство, подразделение охраны

Первоначальная стоимость, обслуживание

315,6

Высокая

Обоснование выбора активов:

Конфиденциальная информация (документы компании, электронные сообщения) — к данному активу относятся документы, содержащие конфиденциальную информацию о финансовой деятельности ОО «Р.Т.А. «, сотрудниках, договорах и иной деятельности компании, которая не должна быть доступна для посторонних. Электронная переписка сотрудников должна быть под защитой в виду того, что она может содержать переписку с заказчиками и прикрепленные документы.

Хранилище файлов на общем сетевом диске — общий сетевой диск служит для быстрого обмена большими объемами информации между сотрудниками компании, которая может содержать помимо документов промежуточные варианты контента, который предназначается для заказчика. Данная информация носит сугубо конфиденциальный характер, и ни при каких обстоятельствах не должна попасть в руки злоумышленников.

Защита персональных компьютеров сотрудников от вирусных атак и сбоев, связанных с неполадками в электросети — программно-аппаратный комплекс защитных средств так же необходимо защищать в виду высокой начальной стоимости и не менее высокой важности в обеспечении информационной безопасности компании.

Защита от незаконного проникновения — оборудование, обеспечивающее защиту от незаконного проникновения в помещения компании, является первым фронтом защиты и оповещения о возможном вмешательстве злоумышленников в конфиденциальные дела компании. Вывод из строя охранного оборудования может повлечь за собой тяжелые финансовые потери, как на ремонт и восстановление, так и в связи с утратой конфиденциальной информации.

Сведения, имеющие конфиденциальный характер:

Бухгалтерская документация — сведения о заработной плате сотрудников, налоговая отчетность, доходы и расходы компании.

Кадровая информация — сведения о сотрудниках, работающих в компании.

Информация о договорах — данные о заключенных текущих и выполненных договорах, информация о суммах сделки, услугах, предоставляемых компанией и заказчиках.

Складская информация — оборудование, имеющееся в распоряжении компании. Наличие на складе и данные о поступлении и выдаче под отчет.

Информация об архитектуре и реализации системы защиты компании от вирусных атак и несанкционированного проникновения.

Требования по обеспечению сохранения служебной тайны сотрудниками компании.

Для проведения общей оценки активов обычно применяется метод ранжирования, при котором каждому активу выставляется некоторый ранг (число), обозначающий его ценность относительно других. Чем выше ранг, тем важнее актив. В таблице 3 ниже приведена оценка активов на основе экспертной оценки начальника отдела информационных технологий:

Таблица 3 — Результаты оценки активов

Наименование актива

Ценность актива (ранг)

Престиж компании

1

Информация

1

Активное оборудование

2

Сетевое и серверное оборудование

2

Программное обеспечение

3

Активами, имеющим наибольшую ценность, являются:

Конфиденциальная информация.

Престиж компании.

Оценка уязвимостей активов.

В данном разделе проведена идентификация уязвимостей предметной области (Таблица 4), которые могли бы быть использованы источником угроз для нанесения ущерба активам и деловой деятельности компании, осуществляемой с их использованием. В качестве источника информации для оценки уязвимости активов использовались открытые базы данных в сети Интернет.

Таблица 4 — Идентификация уязвимостей предметной области

Группа уязвимостей

Престиж компании

Информация

Сетевое оборудование

Серверное оборудование

Программное обеспечение

Содержание уязвимости

1. Среда и инфраструктура

Уязвимость в системе охраны

высокая

высокая

высокая

высокая

высокая

Нестабильная работа электросети

(колебания напряжения или полное отключение электроэнергии)

низкая

высокая

высокая

высокая

средняя

2. Аппаратное обеспечение

Уязвимости в микропрограммном обеспечении

средняя

высокая

средняя

средняя

средняя

3. Программное обеспечение

Критические уязвимости средств антивирусной защиты и контроля доступа

высокая

высокая

низкая

низкая

высокая

4. Коммуникации

Проведение атаки на отказ в обслуживании

средняя

средняя

высокая

высокая

средняя

5. Документы (документооборот)

Хищение документов

высокая

высокая

низкая

низкая

средняя

6. Персонал

Использование методов социальной инженерии

средняя

средняя

низкая

низкая

средняя

7. Общие уязвимые места

Не определены

Описание уязвимостей предметной области:

Уязвимость в системе охраны — может повлечь за собой хищение и повреждение оборудования, хищение и использование конфиденциальной информации компании против нее самой, а так же, подмену или уничтожение конфиденциальной информации.

Нестабильная работа электросети (колебания напряжения или полное отключение электроэнергии) — несохраненная информация может быть утеряна при аварийном выключении или перезагрузке персонального рабочего компьютера сотрудника, а так же аппаратному обеспечению могут быть нанесены электрические повреждения.

Уязвимости в микропрограммном обеспечении — могут быть использованы для вывода из строя оборудования компании.

Критические уязвимости средств антивирусной защиты и контроля доступа — могут быть использованы для хищения, подмены, уничтожения конфиденциальной информации и создания помех в работе локальной сети компании.

Проведение атаки на отказ в обслуживании — может стать причиной отказа в работе локальной сети компании и ограничить возможности сотрудников в обмене информацией.

Хищение документов — может повлечь за собой шантаж руководства компании или отдельных сотрудников, переманивание сотрудников в другую компанию, использование информации о заказах для перехвата проекта у заказчика.

Использование методов социальной инженерии — может повлечь за собой рассекречивание аутентификационных данных сотрудников, коммерческой информации, информации о договорах, архитектуры охранной системы безопасности (расположение камер, датчиков движения).

Оценка угроз активам.

Угроза — это потенциальная причина инцидента, который может нанести ущерб системе или организации, а инцидент, (инцидент информационной безопасности) — это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.

Основанием для проведения оценки угроз активам является необходимость их описания в данной дипломной работе. Отдел информационных технологий не располагает информацией о подобной оценке.

Источниками угроз могут выступать:

Халатность персонала или их ошибочные действия, которые могут повлечь за собой порчу оборудования, хранящего и обрабатывающего конфиденциальную информацию; непреднамеренное искажение информации (например, при подмене новых файлов старыми) или ее удаление. Угрозы данного вида могут нанести существенный вред компании в виду фактора внезапности их возникновения. При несообщении провинившимся сотрудником о происшествии и непринятии мер по ликвидации угрозы, последствия могут нанести серьезный финансовый ущерб компании. В связи с отсутствием материалов об оценке угроз активам, является довольно затруднительным установить частоту появления данного вида угроз, однако, несомненно, данный вид угроз является одним из самых частых по появлению.

Стихийные, техногенные и природные катаклизмы — чрезвычайные происшествия, не связанные или косвенно связанные с деятельностью человека, такие как пожары, затопления водой, землетрясения, саморазрушение здания вследствие нарушения технологии строительства или других факторов, в результате которых оборудование, хранящее и обрабатывающее информацию, может быть повреждено или уничтожено, а в здание при ликвидации последствий происшествий, либо во время эвакуации персонала, может проникнуть нарушитель под видом сотрудника пожарной службы, службы спасения, и др. Рядом со зданием компании строятся четыре новых офисных корпуса, в связи с этим возрастает риск техногенного инцидента.

Угрозы со стороны третьих лиц, либо умышленные действия персонала такие как: рейдерский захват здания, саботаж, забастовки, террористические акты, локальные беспорядки, сопровождаемые нападением на здание компании и др. Данный вид угроз может носить как спонтанный характер, так и быть заранее спланированной акцией, созданной злоумышленниками с целью проникновения в здание и получения доступа к конфиденциальной информации и оборудованию.

По результатам оценки угроз активам, была составлена таблица 5 для характеризации возможных угроз активам и проведения их качественной оценки.

Таблица 5 — Результаты оценки угроз активам

Категория угроз

Угрозы

Актив

Информация

Престиж компании

Халатность персонала или их ошибочные действия

Неумышленная порча оборудования

Средняя

Средняя

Неумышленное разглашение информации

Высокая

Высокая

Неумышленная порча или утеря информации, включая носители информации

Высокая

Высокая

Стихийные и природные катаклизмы

Пожар

Высокая

Высокая

Обрушение здания вследствие нарушения технологии строительства

Высокая

Высокая

Угрозы со стороны третьих лиц, либо умышленные действия персонала

Умышленная порча или вывод из строя оборудования

Средняя

Средняя

Несанкционированное получение конфиденциальной информации

Высокая

Высокая

Хищение носителей информации

Высокая

Высокая

Оценка существующих и планируемых средств защиты.

Обеспечением информационной безопасности компании занимается отдел информационных технологий.

Из защитных мер против проникновения в здании имеются два поста охраны с турникетом, открываемым либо с помощью смарт-карты, либо с пульта охранника, несущего круглосуточное дежурство. Доступ к служебному входу ограничен дверью с электронным замком и видеофоном. Доступ к грузовому подъезду осуществляется только по предварительной записи и только в заранее оговоренное время, однако он не охраняется в виду того, что двери грузового подъезда открываются только изнутри и только когда грузовой лифт находится на первом этаже.

Дверь в каждый офис блокируется магнитным замком, открываемым индивидуальной смарт-картой (пропуском) сотрудника компании. На ночь на каждой комнате включается сигнализация. Есть возможность выборочного включения и отключения сигнализации в определенных комнатах, например, для сотрудников, остающихся работать на ночь. Однако пропуска уволенных сотрудников не декодируются, а остаются в соответствующем отделе у технического специалиста; если злоумышленник получит доступ к хранилищу этих пропусков, то сможет получить не только доступ в офис, но и право беспрепятственного прохода через турникет на посте охраны при входе в здание. Схема систем безопасности приведена на рисунках 2 и 3.

Рис. 2 — Система видеонаблюдения

Рис. 3 — Инфракрасные датчики движения

В общем коридоре на каждом этаже имеется по одной камере видеонаблюдения, однако общий коридор имеет Г-образную форму, вследствие чего сотрудники охраны не имеют возможности следить за помещением за углом.

Видеонаблюдение осуществляется купольными камерами SAMSUNG SCC-B5366 В со следующими техническими характеристиками:

Тип камеры — купольная аналоговая.

Цветность — цветная.

Матрица — 1/3″ Super HAD IT.

Объектив — варифокальный с диапазоном фокусных расстояний 2,5 — 6 мм.

Разрешение — 600 ТВ линий.

Чувствительность — 0,12 лк (15 IRE) в цветном режиме и 0,012 лк (15 IRE) в черно-белом.

Соотношение сигнал/шум — более 52 дБ при выключенном АРУ.

День/ночь — цветной/монохромный/автоматический.

Баланс белого — более 52 дБ при выключенном АРУ.

Электронный затвор (скорость) — 1/50 — 1/10 000.

Автодиафрагма — управляемая сигналом постоянного тока DC или с фиксированная.

BLC (компенсация встречной засветки).

Экранное меню на русском языке.

Детектор движения.

Интерфейс RS-485 и CCVC.

Питание — 12 B DC и 24 В АС.

Диапазон рабочих температур — 10 — +50 градусов Цельсия.

Габариты — 128×78 мм.

Вес — 330 г.

Рис. 4 — Камера SAMSUNG SCC-B5366В

В кабинетах имеются инфракрасные датчики движения. Однако они являются единственным средством оповещения охраны, в результате чего при срабатывании датчика у охраны не будет данных ни о точке входа злоумышленников в помещение, ни об их количестве.

Антивирусная система защиты на большинстве компьютеров либо отсутствует, либо находится в неактивном состоянии в виду личной неприязни большинства сотрудников к замедлению работы их персональных рабочих компьютеров вследствие работы антивирусной системы защиты. Профилактических мероприятий по информационной безопасности не проводится.

Доступ к каждому компьютеру сотрудников ограничен индивидуальным паролем. Доступ к общему сетевому диску так же ограничен паролем, однако на большинстве компьютеров этот пароль вводится системой автоматически для ускорения процесса подключения.

Все персональные рабочие компьютеры сотрудников подключены к локальной сети компании и имеют доступ в Интернет.

Техническая архитектура компании изображена на рисунке 4.

Рис. 5 — Техническая архитектура компании

Для подключения к Интернет используется модем Prestige 841C EE, для подключения компьютеров к локальной сети — маршрутизаторы D-Link DIR-140L.

Главный сервер представляет собой серверный шкаф под управлением процессора Intel iCore7 с дисковым массивом HP P2000 G3 MSA Array System объемом 16ТБ, маршрутизатором LynkSys RV042, патч-панелью RJ45 Cat. 5e и источником бесперебойного питания Ippon Smart Winner 3000.

Рабочие персональные компьютеры сотрудников собираются из комплектующих в стенах компании, и их конфигурация сильно отличается.

У каждого отдела в распоряжении имеется МФУ Canon 220 i-SENSYS MF 4018.

На персональных рабочих компьютерах сотрудников установлена операционная система Windows7 Ultimate или Windows XP Professional с пакетом Microsoft Office 2003, 2007 или 2010, на сервере — Windows Server 2012 с системой управления базой данных Oracle.

Более подробного описания технических характеристик отделом Информационных Технологий предоставлено не было.

В рамках данной дипломной работы рассматривается разработка защиты против хищения информации, таким образом, рассмотрению подлежит только один актив: конфиденциальная информация компании, включающая в себя:

Данные аутентификации пользователей — пароли сотрудников, зная которые, злоумышленник может получить доступ к содержимому их жестких дисков, а так же к общему сетевому диску.

Данные о текущих договорах компании — заказы на предоставление оборудования в аренду, на написание программного обеспечения или проведения иных мероприятий.

По итогам проведения анализа существующих средств защиты, была составлена таблица степени обеспечения безопасности активов (таблица 6).

Таблица 6 — Степень обеспечения безопасности активов

Актив

Оцениваемый критерий

Результат анализа

Влияние на безопасность

Данные аутентификации пользователей

Хранение

В памяти сотрудников, либо в бумажном виде

Высокое

Доступность

Индивидуальная для каждого сотрудника

Высокое

Данные о текущих договорах компании

Хранение

В цифровом виде на жестких дисках личных ноутбуков руководителей проектов, либо в бумажном виде в личных сейфах руководителей проектов, либо временное хранение на общем сетевом диске

Среднее

Доступность

Индивидуальная для руководителей проектов, либо практически у всех сотрудников компании

Среднее

С целью снижения уровня угроз актива был проведен анализ, по результатам которого был составлен список планируемых мероприятий по его защите:

Сведение к минимуму хранения информации в бумажном виде и перевод ее в цифровой вид.

Уничтожение информации, хранимой в бумажном виде, после дублирования ее в цифровой вид.

Принудительное отключение автоматического ввода пароля при подключении к сетевому диску.

Принудительное включение средств антивирусной защиты на компьютерах сотрудников.

Деактивация пропусков уволенных сотрудников во избежание их использования с целью несанкционированного проникновения в кабинеты компании.

Оснащение общего коридора дополнительной камерой видеонаблюдения.

Дооснащение кабинетов камерами видеонаблюдения в дополнение к инфракрасным датчикам движения.

Оценка рисков.

Риск — характеристика ситуации, имеющей неопределённость исхода, при обязательном наличии неблагоприятных последствий в виде ущерба или убытков. Риск обладает следующими свойствами:

Неопределённость. Риск существует тогда и только тогда, когда возможно не единственное развитие событий.

Ущерб. Риск существует, когда исход может привести к негативному последствию.

Наличие анализа. Риск существует, только когда сформировано субъективное мнение «предполагающего» о ситуации и дана качественная или количественная оценка негативного события будущего периода.

Значимость. Риск существует, когда предполагаемое событие имеет практическое значение и затрагивает интересы хотя бы одного субъекта.

Функции, присущие риску:

Защитная — проявляется в том, что для хозяйствующего субъекта риск это нормальное состояние, поэтому должно вырабатываться рациональное отношение к неудачам.

Аналитическая — наличие риска предполагает необходимость выбора одного из возможных вариантов правильного решения.

Инновационная — проявляется в стимулировании поиска нетрадиционных решений проблем.

Регулятивная — имеет противоречивый характер и выступает в двух формах: конструктивной и деструктивной.

Для оценки риска необходимо знать следующие элементы управления:

Ценности — информация, подлежащая защите.

Угрозы — вредные факторы, от которых производится защита информации.

Последствия — проблемы, которые могут возникнуть в случае успешной реализации угроз.

Меры защиты — комплекс мер по предотвращению угроз.

В виду того, что в компании не ведется отдельной оценки рисков информационной безопасности, оценка была проведена специально для данной дипломной работы. Результаты оценки приведены в таблице 7 и условно ранжированы по степени риска от 1 (наивысший) до 5 (низший).

Таблица 7 — Результаты оценки рисков информационным активам компании

Риск

Актив

Ранг риска

Сбой или взлом систем антивирусной защиты и средств контроля доступа

Престиж компании, конфиденциальная информация, данные аутентификации сотрудников

1

Риск

Актив

Ранг риска

Хищение документов

Престиж компании, конфиденциальная информация, данные аутентификации сотрудников (зависит от уровня подготовки злоумышленника)

2

Отказ системы охраны против несанкционированного проникновения

Престиж компании, конфиденциальная информация, данные аутентификации сотрудников (зависит от уровня подготовки злоумышленника)

3

Сбой аппаратного обеспечения

Конфиденциальная информация, активное оборудование

4

Сбой систем коммуникаций и халатность персонала в сфере сохранения информации

Престиж компании, конфиденциальная информация

5

Таким образом, получается, что наибольшему риску подвергаются престиж компании и конфиденциальная информация, а так же аутентификационные данные сотрудников.

1.3 Задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

Выбор комплекса задач обеспечения информационной безопасности и защиты информации из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности.

В комплекс задач по обеспечению информационной безопасности и защиты информации входят:

Сведение к минимуму хранения информации в бумажном виде и перевод ее в цифровой вид с обязательным сохранением резервных копий для восстановления в случае сбоя.

Уничтожение информации, хранимой в бумажном виде, после дублирования ее в цифровой вид.

Принудительное отключение автоматического ввода пароля при подключении к сетевому диску.

Принудительное включение средств антивирусной защиты на компьютерах сотрудников и установка автоматического обновления антивирусных баз и операционных систем на рабочих компьютерах сотрудников.

Декодирование пропусков уволенных сотрудников во избежание их использования с целью несанкционированного проникновения в кабинеты компании.

Оснащение общего коридора дополнительной камерой видеонаблюдения.

Дооснащение кабинетов камерами видеонаблюдения в дополнение к инфракрасным датчикам движения.

На схеме ниже указано схематическое расположение комплекса задач по обеспечению безопасности информации. Задачи, решаемые в рамках данной дипломной работы выделены более темным фоном.

Рис. 6 — Комплекс задач по обеспечению защиты информации

Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

Местом рассматриваемого комплекса задач, описанного в предыдущей главе, является офисное помещение ООО «Р.Т.А.». Границами рассматриваемой задачи является разработка системы защиты против хищения информации в ООО «Р.Т.А. «, включающее в себя улучшение существующей системы охранной защиты и описание мер, направленных на более защищенное хранение информации на компьютерах сотрудников и на общем сетевом диске.

1. 4 Выбор защитных мер

Выбор организационных мер.

В качестве организационных мер рекомендуется провести следующие мероприятия:

Таблица 8

Мероприятие

Организационная мера

Провести уведомление сотрудников компании о неразглашении их паролей, запретить отключать систему антивирусной защиты с объяснением возможных последствий несоблюдения данных мер предосторожности

Выпуск приказа и доведение его до сведения начальников каждого подразделения, участвующего в обороте конфиденциальной информации компании

Провести уведомление руководителей проектов о неразглашении и надежном хранении документов, содержащих данные о текущих проектах компании

Организация собрания с руководителями проектов

Выбор инженерно-технических мер.

В качестве инженерно-технических мер будет проведена модернизация текущей охранной системы безопасности с целью повышения защищенности и мониторинга, а так же повышение стабильности работы компьютеров, обрабатывающих и хранящих конфиденциальную информацию, путем установки дополнительного оборудования:

Установка дополнительной камеры видеонаблюдения в общем коридоре для повышения степени охранного мониторинга.

Дооснащение кабинетов камерами видеонаблюдения в дополнение к инфракрасным датчикам движения, либо замена датчиков движения на камеры со встроенными датчиками движения для повышения охранного мониторинга.

Оснащение грузового подъезда здания компании системой видеонаблюдения и инфракрасным датчиком движения для повышения охранного мониторинга.

Закупка и установка источников бесперебойного питания для обеспечения сотрудникам своевременного сохранения текущих документов во избежание потери данных в условиях отключения электричества для повышения надежности хранения информации.

Декодирование смарт-карт уволенных сотрудников для повышения охранной безопасности.

Приведение данных мер в исполнение повысит как уровень охранной безопасности компании, так и уровень сохранности информации, находящейся на компьютерах сотрудников.

2. ПРОЕКТНАЯ ЧАСТЬ

2. 1 Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности

Отечественная и международная нормативно-правовая основа системы обеспечения информационной безопасности.

В данной дипломной работе рассмотрен процесс проектирования, внедрения и улучшения средств защиты информации, которые опираются на нормативные акты отечественного и международного права.

К отечественным нормативно-правовым актам относятся:

Конституция Российской Федерации от 12 декабря 1993 г.

Закон Российской Федерации от 27. 12. 1991 г. № 2124−1 «О средствах массовой информации».

Закон Российской Федерации от 21. 07. 1993 г. № 5485−1 «О государственной тайне»

Федеральный Закон Российской Федерации от 8. 08. 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».

Федеральный закон Российской Федерации от 10. 01. 2002 № 1-ФЗ «Об электронной цифровой подписи».

Федеральный закон Российской Федерации от 31. 05. 2002 № 62-ФЗ «О гражданстве Российской Федерации».

Федеральный закон Российской Федерации от 27. 12. 2002 № 184-ФЗ «О техническом регулировании».

Федеральный закон Российской Федерации от 29. 07. 2004 № 98-ФЗ «О коммерческой тайне».

Федеральный закон Российской Федерации от 22. 10. 2004 № 125-ФЗ «Об архивном деле в Российской Федерации».

Федеральный закон Российской Федерации от 27. 07. 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Федеральный закон Российской Федерации от 27. 07. 2006 г. № 152-ФЗ «О персональных данных».

Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности».

Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

Доктрина информационной безопасности Российской Федерации — Утверждена Президентом Российской Федерации 9 сентября 2000 года № Пр-1895.

Стратегия Национальной безопасности Российской Федерации до 2020 года — Утверждена Указом Президента Российской Федерации 12 мая 2009 года № 537.

Военная Доктрина Российской Федерации — Утверждена Указом Президента Российской Федерации 5 февраля 2010 года № 146.

Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».

Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне».

Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации».

Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».

Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Положение о Федеральной службе по техническому и экспортному контролю».

Указ Президента Российской Федерации от 6 октября 2004 г. № 1286 «Вопросы Межведомственной комиссии по защите государственной тайны».

Распоряжение Президента Российской Федерации от 16 апреля 2005 года № 151-рп «О перечне должностных лиц органов государственной власти и организаций, наделяемых полномочиями по отнесению сведений к государственной тайне».

Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

Указ Президента Российской Федерации от 26 февраля 2009 г. № 228 «Об утверждении структуры и состава Межведомственной комиссии по защите государственной тайны».

Постановление Правительства Российской Федерации от 4 июля 1992 г. № 470 «Об утверждении перечня территорий Российской Федерации с регламентированным посещением для иностранных граждан».

Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».

Постановление Правительства Российской Федерации от 15 апреля 1995 г. № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации».

Постановление Правительства Российской Федерации от 4 сентября 1995 г. № 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности».

Постановление Правительства Российской Федерации от 2 августа 1997 г. № 973 «Об утверждении положения о подготовке к передаче сведений, составляющих государственную тайну, другим государствам или международным организациям».

Постановление Правительства Российской Федерации от 22 августа 1998 г. № 1003 «Об утверждении положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне».

Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности».

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».

Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».

Постановление Правительства Российской Федерации от 18 сентября 2006 г. № 573 «О предоставлении социальных гарантий гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны».

Постановление Правительства Российской Федерации от 2 июня 2007 г. № 339 «Об утверждении положения о проведении международных выставок образцов продукции военного назначения на территории Российской Федерации и об участии российских организаций в таких выставках на территориях иностранных государств».

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Постановление Правительства Российской Федерации от 6 февраля 2010 г. № 63 «Об утверждении инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне».

Постановление Правительства Российской Федерации от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»

ГОСТ Р 50 922−2006 — Защита информации. Основные термины и определения.

Р 50.1. 053−2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.

ГОСТ Р 51 188−98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

ГОСТ Р 51 275−2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

ГОСТ Р ИСО/МЭК 15 408−1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

ГОСТ Р ИСО/МЭК 15 408−2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

ГОСТ Р ИСО/МЭК 15 408−3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

ГОСТ Р ИСО/МЭК 15 408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» — защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.

ГОСТ Р ИСО/МЭК 17 799 — «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением — ISO/IEC 17 799: 2005.

ГОСТ Р ИСО/МЭК 27 001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27 001: 2005.

ГОСТ Р 51 898−2002 — Аспекты безопасности. Правила включения в стандарты.

К международным нормативно-правовым актам относятся:

BS 7799−1: 2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ

BS 7799−2: 2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.

BS 7799−3: 2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности

ISO/IEC 17 799: 2005 — «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799−1: 2005.

ISO/IEC 27 000 — Словарь и определения.

ISO/IEC 27 001: 2005 — «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». Международный стандарт, базирующийся на BS 7799−2: 2005.

ISO/IEC 27 002 — Сейчас: ISO/IEC 17 799: 2005. «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности». Дата выхода — 2007 год.

ISO/IEC 27 005 — Сейчас: BS 7799−3: 2006 — Руководство по менеджменту рисков ИБ.

German Information Security Agency. IT Baseline Protection Manual — Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Организационно-техническая защита информации обеспечивается проведением следующих мероприятий:

Ограничение доступа посторонних лиц в здание компании и в офисные помещения благодаря магнитным замкам на дверях и охраняемым турникетам при входе в здание.

Компьютеры руководителей проектов оснащены операционной системой Mac OS, что снижает вероятность утери данных вследствие вирусной атаки.

Уровни доступа сотрудников к информации разделены по степени секретности.

Приказом Генерального директора «О проводимых мероприятиях в области защиты коммерческой тайны» были сформированы следующие документы: «Инструкция и обязанности сотрудников в области защиты коммерческой тайны», которую подписывает каждый сотрудник, устраивающийся на работу в компанию. «Инструкция системному администратору для обеспечения информационной безопасности от утечки информации по техническим каналам связи».

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.

Система видеонаблюдения.

Система видеонаблюдения (закрытые системы кабельного телевидения, CCTV) — система аппаратно-программных средств, предназначенная для осуществления видеонаблюдения.

Локальная система — система, область действия и применения которой ограничена географически территорией здания, предприятия, организации и т. п.

Системы видеонаблюдения бывают централизованные и децентрализованные:

Централизованная система имеет один центр и некоторое количество видеокамер.

Децентрализованная система представляет себя как совокупность нескольких централизованных, объединенных логически в одну структуру, но физически разделенных и способных функционировать независимо.

Характеристики и единицы измерения, используемые в системах видеонаблюдения:

Чувствительность видеокамеры характеризуется минимальным отверстием диафрагмы (максимальным F-числом), дающим видеосигнал размаха 1 В на тестовой таблице, освещенность которой 2000лк и цветовой температурой 3200°К. Чувствительность видеокамеры, четко определенная в широковещательном ТВ, в охранном телевидении часто понимается неверно, её обычно путают с минимальной освещенностью.

Минимальная освещенность — (в характеристиках видеокамер этот параметр часто указывают как чувствительность) это наименьшая освещенность на объекте, при которой видеокамера дает распознаваемый сигнал, выражается в люксах на объекте. Ряд производителей использует термин распознаваемый сигнал в широком смысле и не указывают уровень сигнала на выходе видеокамеры. Этот уровень может составлять даже 10%, что при включенной АРУ будет казаться значительно больше.

Типичные уровни освещенности:

Облачная безлунная ночь — 0,0001лк

Ясная безлунная ночь — 0,001лк

Полнолуние — 0,01−0,1лк

Уличное освещение — 1−10лк

ПоказатьСвернуть
Заполнить форму текущей работой