Санкт-Петербургский Государственный Электротехнический Университет

Курсовой проект

по дисциплине: Методы и средства защиты компьютерной информации.

Тема: "Анализ безопасности информационных объектов"

Выполнил: Павлова А.В.

Группа: 9051

Факультет: ОФ

Санкт-Петербург, 2014 г.

1. Постановка задачи

Выбор объекта защиты

Цели безопасности

Специализация объекта защиты

2. Аналитический этап

Требования к СЗИ

Варианты СЗИ

4. Политика безопасности

1. Постановка задачи

Выбор объекта защиты

В качестве объекта защиты в ходе выполнения данного курсового проекта будет рассматриваться корпоративная локальная сеть ООО "Диалог ИТ".

Основным видом деятельности компании является оказание услуг по автоматизации деятельности предприятий на базе программных продуктов 1С и других производителей. Вопрос защиты информации стоит достаточно остро, т.к. в корпоративной базе данных хранятся конфиденциальные данные клиентов, а также от целостности локальной сети зависит работа более 90 пользователей.

Определение проблемы безопасности

Для выбранного объекта защиты остро строят вопросы как защиты конфиденциальных данных (как клиентов компании, так и личных данных сотрудников организации), целостности данных (баз данных клиентов и самого предприятия), так и доступности данных (имеет большое значение скорость доступа к данным).

Цели безопасности

Исходя из трех проблем безопасности, в данном случае перед нами стоит 3 цели:

при защите конфиденциальных данных целью будет являться полная защита, близкая к 100 %, т.к. утечка даже небольшого количества данных может нанести серьезный финансовый урон.

корпоративная сеть защита информация

при обеспечении целостности данных нашей целью будет также стремление к полной защите данных. Допустимой может быть лишь потеря данных за небольшой период времени - не более 1 дня.

при обеспечении доступности данных наша цель также максимальна: перебой в доступе к данным внутри компании допустим не более чем на 2-3 ч, к данным клиентов компании (в случае если это непрерывное производство) - не более чем на 1-1,5 ч.

Специализация объекта защиты

Рис. 1

Рис. 2

Локальная сеть организации разбита на 4 виртуальные подсети, взаимодействие которых обеспечено с помощью коммутатора 3com 5500. Это сделано с целью увеличения полезной скорости локальной сети. Безопасность сети со стороны сети Internet обеспечивается Firewall.

Сервер demo. dialog, предназначенный для предоставления демо-доступа клиентов компании к базам данных и своим сервисам, не располагается в локальной сети компании, т.к. в данном случае нет необходимости предоставлять эти сервисы для внешних пользователей именно внутри локальной сети. (Рис.1)

Сервер корпоративного портала (Рис.2): со стороны Интернета открыт только 80-й порт. Остальные порты закрыты.

Спецификация виртуальных серверов (используемое ПО - ESXi, VMware и Hyper-V, Microsoft):

контроллера домена (используется служба Active Directory);

СУБД для баз данных 1С (MsSQL);

сервер корпоративной антивирусной защиты (антивирусная защита Kaspersky), совмещенный с файловым хранилищем пользователей локальной сети;

сервер мониторинга (следит за состоянием серверов в сети и анализирует их производительность);

сервер разработки (для ведения совместной разработки программистов компании);

сервер резервного копирования. Архивной копирование производится ежедневно - в ночное время, в периоды наименьшей нагрузки сети.

2. Аналитический этап

Структура системы факторов риска

Определим элементы множеств источником угроз, угроз и факторов риска и связи между ними.

Сначала дадим основные определения.

Источник угроз - потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза - событие, которое прямо или косвенно способно нанести ущерб защищаемому объекту путем воздействия на его компоненты.

Угрозы, которые непосредственно воздействуют на компоненты защищаемого объекта, назовем событиями риска.

Антропогенные источники угроз.

Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления.

В качестве антропогенного источника угроз можно рассматривать человека, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта.

Возможные источники угроз данного типа для рассматриваемой сети:

злоумышленник (преступник, хакер, недобросовестный партнер компании);

пользователь, не обладающий достаточным уровнем квалификации или получивший несанкционированный доступ к ресурсам сети;

администратор сети.

Техногенные источники угроз.

Эти источники угроз менее прогнозируемые, и напрямую зависят от свойств техники.

Техногенными источника угроз для наших данных могут быть:

неполадки в инженерных сетях здания (водоснабжения, электричества и т.п.);

неполадки в технических средствах;

Стихийные источники угроз.

Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту, под ними понимаются прежде всего природные катаклизмы.

Из данного вида угроз информационным данным нашей организации могут рассматриваться:

наводнение (это связано с местонахождением офиса компании неподалеку от реки, а также с расположением в Северо-Западном Федеральном округе);

непредвиденные обстоятельства подобного типа (от землетрясения до угрозы ядерной атаки).

Общий перечень возможных угроз от вышеперечисленных источников:

·Перебой в электропитании;

·Утеря архивных данных информационных систем;

·Сбой в работе серверов, компьютеров пользователей;

·Физическое повреждение компьютерной техники;

·Утеря или повреждение данных в результате ошибок ПО;

·Утеря или повреждение данных в результате действий компьютерных вирусов;

·Несанкционированное копирование, уничтожение или изменение данных;

·Утечка конфиденциальной информации.

События риска:

утеря информационных данных и доступа к ним;

изменение данных;

утечка конфиденциальных данных.

Компонентами информационной системы нашей компании являются:

.Сервер

2.Компьютер пользователя

.Канал связи

.ПО.

Для представления общего вида структуры системы факторов риска построим граф.

В связи с тем, что связей в данной структуре достаточно много, т.к. те или иные источники угроз могут представлять различные угрозы для защищаемых нами данных, внесем эти данные в программный пакет Security Analysis.

Алгоритмизация матрицы отношений

Исходные данные:

Зададим отношения последовательно между источниками угроз, угрозами и компонентами защиты.

Источники угроз - Угрозы:

Угрозы - Угрозы:

Угрозы - Компоненты защиты:

Введем весовые коэффициенты в полученную в результате работы программы матрицу отношений W.

Определение и анализ профиля риска

Ниже приведен рассчитанная транзитивная матрица V, определяющая источники угроз и угрозы, которые наиболее значимы для рассматриваемой системы.

Информацию из таблицы более наглядно представить в виде диаграмм (отдельно для источников угроз и угроз).

Влияние источников угроз.

Влияние угроз.

Наиболее значимые с точки зрения защиты информации компоненты системы.

Проанализировав полученные программный пакетом данным, можно сделать вывод о том, что наиболее серьезными источниками угроз для рассматриваемой нами системы являются:

действия злоумышленников (хакеры, недобросовестные партнеры);

отказ инженерных сетей (электросеть, водоснабжение, система кондиционирования и т.п.);

несанкционированные действия пользователей;

потеря или изменение данных из-за некачественного ПО.

На другие источники угроз, выявленные нами на первом этапе, также следует обратить внимание при разработке политики безопасности компании.

Наиболее остро стоят угрозы утечки, потери и искажения данных информационных систем компании, а также сбой в работе сервера и компьютерной техники, которые приводят к простою рабочего процесса компании и приводят непосредственно к финансовым убыткам.

Из последней диаграммы о весах компонентов защиты видно, что основной задачей является защита сервера. Безопасное ПО имеет наименьший вес среди компонентов, однако, на мой взгляд на эту проблему также стоит обратить внимание.

3. Синтез системы защиты информации (СЗИ)

Требования к СЗИ

На данном этапе после получения данных о наиболее опасных для нашей системы источников угроз и угроз, необходимо разработать политику безопасности компании с описанием непосредственных средств защиты.

Варианты СЗИ

Источник угроз - действия злоумышленника.

.Для уменьшения потенциальной опасности подключения злоумышленника к беспроводной сети, необходимо минимизировать зону распространения сигнала Wi-Fi за пределами территории компании. Сделать это можно, например, уменьшением мощности передатчика на точке доступа. Такие настройки позволяют производить практически все современные программные прошивки устройств. Однако это необходимо проделать только там, где это действительно нужно, иначе можно ухудшить качество приема и зону внутреннего покрытия для собственных задач компании. Также необходимо исключить возможность физического подключения к проводам локальной сети предприятия: они должны быть проведены либо через полоток, либо спрятаны в стены.

2.Авторизация и аутентификация позволят входить в сеть и использовать сетевые ресурсы только авторизованным пользователям сети. Для защиты нужд нашей компании в условиях ограниченного бюджета подойдет вариант авторизации с помощью паролей пользователей. Пароль должен меняться не реже, чем раз в 30-40 дней, при чем при смене пароля пользователь должен быть ограничен в вводе пароля, который он использовал в предыдущие 5 раз. Служба Active Directory и возможности СУБД MsSQL позволят нужным образом разграничить права пользователей в системе документооборота, почты и других сетевых ресурсов.

.Система контроля и управления доступом - СКУД - позволит ограничить вход в помещения компании только сотрудникам организации и надежным партнерам. Осуществляться контроль доступа на территорию офиса будет с помощь смарт-карт. Эта система также позволит отделу кадров контролировать посещаемость сотрудниками и более эффективно бороться с опозданиями.

Источник угроз - отказ сетей.

.Установка источника бесперебойного питания на сервер для отказоустойчивости его работы при перебоях в электричестве.

2.Серверная комната должна быть расположена в отдельном хорошо проветриваемом помещении, оборудованном кондиционером, находящемся на достаточном удалении от таких инженерных сетей, как система водоснабжения и канализации.

Источник угроз - использование некачественного ПО.

2.Пользователи не должны допускаться к самостоятельной установке несертифицированного ПО на свои рабочие станции. Для этого им не должны быть доступны административные права на ПК. Таким образом системный администратор сможет исключить возможность установки некачественного или вредоносного ПО.

.Использование антивирусного программного обеспечения как на рабочих станциях пользователей, так и на сервере. Для этих целей в нашей сети выделен отдельный виртуальный сервер.

Угроза - потеря, искажение или утечка данных.

.Проблему потери данных позволит решить резервное копирование. Копирование должно производиться не реже, чем 1 раз в сутки. Желательно, в ночное время, когда нагрузка на сервер минимальна. Для этих целей существует большое количество специализированного программного обеспечения.

2.Также эту угрозу поможет снизить правильно настроенный Firewall. Для того, чтобы своевременно обнаружить, например, сканирование сетей компании извне, можно также воспользоваться специальным программным обеспечением.

Угроза - сбой в работе сервера.

.Помимо сервера архивного копирования, должен быть резервный сервер, который, в случае критического отказа основного сервера, возьмет на себя часть нагрузки для выполнения наиболее важных задач.

2.Также при возможности необходимо разбить задачи на отдельные сервера. Это позволит уменьшить потери (как временные, так и финансовые) в случае отказа одного из них.

Оценки результативности предложенных СЗИ

Вариант №1.

·

·Установка ИБП.

·Firewall.

Вариант № 1 обеспечивает только 50-процентную защиту от угроз и их источников. Данный уровень недопустим при работе с данными не только своей организации, но и базами данных клиентов.

Вариант №2.

·Разбиение серверов.

·Антивирусное ПО.

·СКУД.

Вариант №2 еще менее эффективен в защите данных компании, чем Вариант №1.

Как видно из результатов двух предыдущих вариантов, несмотря на то, что сами по себе средства защиты (авторизация + аутентификация, установка ИБП, антивирусное ПО и Firewall) достаточно эффективны, комбинация только трех средств мало меняет ситуацию. В связи с этим, считаю необходимым расширить перечень средств защиты для обеспечения информационной безопасности в компании.

Вариант № 3.

·Авторизация + аутентификация.

·Firewall

·Установка ИБП.

·Резервное копирование.

·Разбиение серверов.

·СКУД.

·Антивирусное ПО.

·Лицензионное ПО.

Эффективность в 83,5% вполне приемлема на данном этапе. Таким образом рассмотренный в Варианте № 3 комплекс средств защиты можно считать эффективным и вполне применимым на практике. Также можно сказать, что в связи с тем, что оценки влияния тех или иных средств защиты выставлялись субъективно, а также с тем, что как мы увидели на графе структуры нашей системы, все угрозы и источники угроз очень тесно связаны друг с другом, - каждое средство защиты может оказывать и на другие сущности вполне ощутимое косвенное влияние. Исходя из этого, можно сделать предположение, что реальный уровень обеспечиваемой защиты будет все же выше предложенного программой.

4. Политика безопасности

Целью создания политики безопасности является обеспечение максимально возможной информационной безопасности в компании.

Руководство компании отвечает за информирование сотрудников относительно данной политики; гарантирует, что каждый сотрудник ознакомился с данным сводом правил. Руководство отдела Системной интеграции обязуется взаимодействовать со всеми сотрудниками по вопросам безопасности.

Сотрудники, ставя подпись под данным документом, подтверждают, что ознакомлены с политикой безопасности в компании и обязуются соблюдать освещенные в ней правила.

Отдел Системной интеграции отвечает за обеспечение непрерывного функционирования компьютерной техники, а также за обеспечение защиты серверов компании в соответствии с политикой безопасности.

Отказ от соблюдения правил настоящей политики может подвергнуть данные компании, а также сведения клиентов фирмы и сотрудников организации, недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в сети фирмы. Нарушения стандартов, процедур или руководств, поддерживающих эту политику, могут привести к дисциплинарной ответственности согласно законодательству РФ.

Общие правила работы в сети.

1. За каждым ПК должен быть закреплен оператор, который ответственен за соблюдение всех политик и процедур, связанных с использованием данного компьютера. Операторы должны быть обучены и обеспечены соответствующими руководствами так, чтобы они могли корректно соблюдать все правила настоящей политики.

Для предотвращения распространения вредоносного программного обеспечения, не допускается самостоятельная установка ПО пользователям ЛВС.

Системный администратор должен еженедельно представлять отчеты о состоянии безопасности системы, действиях пользователей, не согласующихся с политикой безопасности и общем состоянии сети и серверов руководству компании. В случае возникновения внештатных ситуаций - сообщить руководству о причинах их возникновения и возможных путях их решения.

Ответственность системного администратора (СА).

1. СА ответственен за управление правами доступа всех пользователей к данным, программам и сетевым ресурсам компании.

СА обязан контролировать все связанные с защитой информации события, а также расследовать любые реальных или подозреваемые им нарушения политики безопасности.

Администратор отвечает за установку, поддержание и защиту программного обеспечения и корпоративных файлов на сервере ЛВС, используя доступные ему механизмы и процедуры защиты.

СА обязан производить регулярное сканирование серверов ЛВС антивирусным программным обеспечением.

СА отвечает за своевременное резервное копирование информации с пользовательских компьютеров и серверов и за сохранение резервной копии БД на резервном сервере. Копирование должно производиться в период наименьшей нагрузки на ресурсы ЛВС.

Администратор сети обязан проводить еженедельные инспекции каналов передачи данных на предмет обнаружения обрывов, неисправностей и повреждения экранирующей оболочки. В случае их повреждений принять необходимые меры в целях обеспечения работоспособности ЛВС.

Безопасность сервера.

1. Перечень людей, допущенных к работе с сервером, содержится в специальном списке, право на редактирование которого имеет только руководитель отдела Системной интеграции.

Температура в помещениях, где размещаются серверы, не должна превышать 35 градусов по

Цельсию в пиковом значении. С целью поддержания этих условия в этих помещениях установлены системы кондиционирования. Слежение за работоспособностью этих систем также входит в обязанности СА.

Обновление ПО должно быть равномерным на всех станциях и производиться по расписанию, которое задается руководителем отдела Системной интеграции (ОСИ). Процесс обновления должен проводиться в период наименьшей загруженности сети и рабочих станций пользователей в целях безостановочного рабочего процесса.

Запрещается нахождение посторонних лиц в помещениях с серверами.

Канал передачи данных, который подходит от провайдера к северной, должен быть надежно экранирован и укрыт кожухом.

Правила доступа в серверные помещения.

1. Пользователи не имеют права доступа к серверам и серверной технике. Исключение составляют лица из п.1 разд. "Безопасность сервера".

Сотрудники ОСИ обладает доступом к серверу и его ПО.

Ответственность сотрудников.

1. Сотрудники компании обязуются использовать доступные им механизмы безопасности для защиты конфиденциальности и целостности их собственной информации и информации компании.

Каждый сотрудник обязан следовать местным процедурами защиты критических данных, а также процедурам безопасности самой ЛВС фирмы; использовать механизмы защиты файлов для поддержания соответствующего управления доступом к файлам.

Сотрудник отвечает за своевременно уведомление СА или другого сотрудника ОСИ либо члена руководства о нарушении защиты информации или об обнаруженном отказе технических средств.

Исполнение политики

Персональные рабочие станции.

1. Работа пользователей за персональными рабочими станциями происходит в режиме с пониженным уровнем прав доступа для уменьшения риска проникновения вредоносного ПО в ЛВС.

Работа с административными правами разрешена только системному администратору и другим сотрудникам ОСИ.

Используемые пароли

Каждые 40 дней каждый пользователь обязан сменить используемый им пароль от рабочей станции. Данный пароль должен соответствовать общепринятым стандартам безопасности: состоять из не менее чем 8 символов, содержать строчные и прописные буквы и, как минимум, одну цифру.

Профиль пользователя.

1. Пользователи - все сотрудники компании, кроме системного администратора и других сотрудников ОСИ, обладающие доступом к рабочим станциям ЛВС. Они отвечают за использование доступных им сетевых ресурсов организации в соответствии с данной политикой безопасности.

Пользователь несет ответственность за приписанное к нему техническое обеспечение, он должен быть достаточно квалифицирован и обеспечен соответствующими руководствами так, чтобы мог корректно соблюдать все требования настоящей политики.

При обнаружении нарушения защиты или сбоя в работе технических средств, пользователь обязан незамедлительно обратиться в ОСИ.

Пользователям запрещается использование неучтенных носителей информации, при такой необходимости пользователь должен обратиться к СА.

Пользователь, ни при каких обстоятельствах, не должен разглашать полученные аутентификационные данные другим пользователям ЛВС и посторонним лицам.

В OOO «Антикор» имеются нормативно-правовые и организационно-распорядительные документы такие как:

1. Регламент информационной безопасности:

· доступ сотрудников к служебной информации, составляющей коммерческую тайну;

2. Регламенты использования сети Internet, электронной почты ЗАО «Антикор».

С целью более эффективного исполнения регламентов в ЗАО «Антикор» настроена служба Active Directory на Windows Server 2003. Она позволяет настраивать и контролировать информационную безопасность.

Active Directory имеет следующую структуру:

· Доменные службы Active Directory - централизованные хранилища сведений о конфигурации, запросах на проверку подлинности, а также сведений о всех объектах, хранящихся в лесе. С помощью Active Directory можно эффективно управлять пользователями, компьютерами, группами, принтерами, приложениями и другими поддерживающими службы каталогов проектами из единого безопасного, централизованного места.

· Аудит. Все изменения объектов Active Directory записываются, поэтому известно, что именно изменилось, какое значение имеет измененный атрибут сейчас и какое значение он имел ранее.

· Точная настройка политики паролей. Политики паролей можно настроить для отдельных групп внутри домена. Правило, согласно которому для каждой учетной записи домена используется одна и та же политика паролей, больше не действует.

· Повышение эффективности управления учетными записями пользователей, применяемыми в качестве удостоверений для служб. Поддержка паролей учетных записей служб (учетных записей пользователей, применяемых в качестве удостоверений для служб) - одна из тех задач, которые отнимают у ИТ-специалистов больше всего времени. Если пароль учетной записи службы изменяется, службам, которые используют соответствующее удостоверение, также необходимо указать новый пароль. Чтобы разрешить эту проблему, Windows Server 2008 R2 поддерживает новый компонент - управляемые учетные записи служб. который при изменении пароля учетной записи службы автоматически изменяет пароли для всех служб, использующих эту учетную запись.

· Служба сертификатов Active Directory. В большинстве организаций сертификаты используются для удостоверения пользователей и компьютеров и для шифрования данных при их передаче по незащищенным подключениям. Службы сертификатов Active Directory применяются для повышения безопасности за счет связывания идентификационных данных пользователя, устройства или службы с соответствующим закрытым ключом. Сертификат и закрытый ключ хранятся в Active Directory, что помогает защитить идентификационные данные; службы Active Directory становятся централизованным хранилищем для получения приложениями соответствующей информации по запросу.

Настройку и поддержку информационной безопасности и защиты информации осуществляет - узкий круг IT специалистов, IT отдела. Начальник IT отдела отвечает за контроль и работоспособность информационной безопасность и защиты информации.

Обеспечение информационной безопасности и защиты информации на уровнях:

· Программный - Microsoft Windows Server 2003, Active Directory:

а) права доступа (к операционной системе Windows XP, Windows Server, Терминальный доступ Windows Server);

б) права пользователя системы (разграничены права доступа пользователей 1с Бухгалтерия, CRM Fresh Office, файловый сервер);

в) парольная защита, доступ к базе (установлены пароли на программные продукты, такие как: Касперский, 1с Бухгалтерия, CRM Fresh Office);

· Аппаратный - бекапы (резервное копирование) серверов.

Также ведется защита информационного Web-портала компании ЗАО «Антикор», используются средства защиты от внешних угроз:

Ежеквартальная смена паролей на доступ к базам данных SQL

Ежеквартальная смена паролей на доступ к FTP серверу

Производится бекап (базы SQL, FTP файлов) 4 раза в месяц

В «Антикор» производится постоянный мониторинг наиболее опасных угроз информационной безопасности:

1) Утечка данных;

2) Халатность служащих;

3) Вирусы;

4) Хакеры;

5) Кража оборудования;

6) Аппаратные и программные сбои.

В статье описывается опыт по обеспечению информационной безопасности операционных систем и систем управления базами данных организационных сложных иерархических структур. Приводится проект комплексной системы обеспечения информационной безопасности, базирующийся на иерархическом подходе к моделированию сложных систем управления.

В настоящее время в областях информационных технологий (ИТ) стоят на первом месте вопросы создания и развития нормативной базы в области информационной безопасности, а также необходимость проведения комплекса работ, направленных на развитие стандартизации и сертификации в области информационной безопасности (ИБ).

Стандарты, определяющие требования по информационной безопасности и являющиеся основой нормативно-правовой базы, важны для всех субъектов отношений в этой области, в первую очередь для тех организаций и предприятий, которые заинтересованы в защите своих информационных ресурсов. Руководству и службам безопасности предприятий следует четко представлять себе, каким требованиям, в зависимости от условий функционирования, должны соответствовать их информационные системы (ИС). Разработчики информационных технологий и информационных систем должны руководствоваться стандартами для обеспечения безопасности своих разработок .

Любой человек, работающий в сфере ИТ, понимает необходимость обеспечения безопасности операционных систем (ОС). Необходимость наличия встроенных средств защиты на этом уровне не вызывает сомнений. Операционная система обеспечивает защиту механизмов прикладного уровня от неправильного использования, обхода или навязывания ложной информации. Если она не сможет удовлетворить этим требованиям, появятся уязвимости в масштабах всей системы.

Одной из задач ИС является хранение и обработка данных. Для ее решения были предприняты усилия, которые привели к появлению специализированного программного обеспечения - систем управления базами данных (database management systems, СУБД). СУБД позволяют структурировать, систематизировать и организовывать данные для их компьютерного хранения и обработки. Невозможно представить себе деятельность современного предприятия или учреждения без использования профессиональных систем управления базами данных. Несомненно, они составляют фундамент информационной деятельности во всех сферах - начиная с производства и заканчивая финансами и телекоммуникациями. В этом смысле ОС и СУБД похожи друг на друга.

Основу правового регулирования в области обеспечения ИБ операционных систем и систем управления базами данных, где обрабатывается конфиденциальная информация, составляют принятые законы и нормативные акты Российской Федерации. Одним из таких документов является «Доктрина информационной безопасности Российской Федерации», которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ . Доктрина служит основой для формирования государственной политики в области обеспечения ИБ РФ и развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

По своей общей направленности угрозы ИБ РФ подразделяются на правовые; технологические; организационно-экономические (табл. 1). Общие методы обеспечения ИБ РФ - организационнотехнические, правовые, организационноэкономические, программно-технические и экономические (табл. 2).

Т а б л и ц а 1. Виды угроз ИБ РФ

Правовые	угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России; нерациональное, чрезмерное ограничение доступа к общественно необходимой информации; нарушение конституционных прав и свобод человека и гражданина в области массовой информации; угрозы информационному обеспечению государственной политики Российской Федерации; угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России; противоправные сбор и использование информации.
Технологические	нарушения технологии обработки информации; внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации; уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи; воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации; компрометация ключей и средств криптографической защиты информации.
Организационно-экономические	утечка информации по техническим каналам; внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности; уничтожение, повреждение, разрушение или хищение машинных и других носителей информации; перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации; несанкционированный доступ к информации, находящейся в банках и базах данных; нарушение законных ограничений на распространение информации.

Т а б л и ц а 2. Методы обеспечения ИБ РФ

Организационно-технические	разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации.
Правовые	защита прав граждан на владение, распоряжение и управление принадлежащей им информацией; защита конституционных прав граждан на тайну переписки, переговоров, личную тайну; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации, разработка комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, разработка руководящих и нормативно-методических документов по обеспечению ИБ.
Организационно-экономические	лицензирование отдельных видов деятельности, сертификация систем и средств защиты по требованиям информационной безопасности, стандартизация способов и средств защиты информации, контроль (надзор).
Программно-технические	предотвращение утечки обрабатываемой информации, предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, выявление программных или аппаратных закладных устройств, исключение перехвата информации техническими средствами.
Экономические методы	защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения; защита прав предпринимателей при осуществлении ими коммерческой деятельности.

Наиболее важными объектами обеспечения ИБ РФ в области науки и техники являются:

• результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
• открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
• научно-технические кадры и система их подготовки.

К числу основных внешних угроз ИБ РФ в области науки и техники следует отнести стремление развитых иностранных государств получить противоправный доступ к научнотехническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах.

К основным внутренним угрозам ИБ РФ в области науки и техники относятся:

• сохраняющаяся сложная экономическая ситуация в России, ведущая к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
• серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых;
• сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.

Реальный путь противодействия угрозам ИБ РФ в области науки и техники - это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники.

Литература

1. ISO/IEC 17799. Управление информационной безопасностью. Практические правила.
2. Безопасность информационных технологий - Операционные системы - Базовый профиль защиты (проект). Центр безопасности информации. 2003.
3. ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
4. ЕСПД ГОСТ 19102-77. «Требования к планированию проектных работ по разработке программного обеспечения».
5. Ковалев С. В. Расчетно-математическая модель управления рисками экономической безопасности проектов развития сложных систем // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
6. Ковалев С. В. Модель обеспечения защиты информации предприятия на основе принципов риск-контроллинга // Информационная экономика: институциональные проблемы. Материалы Девятых Друкеровских чтений. М: Доброе слово. 2009.
7. Ковалев С. В. Методология информационной безопасности сложных систем на основе системы управления промышленными рисками // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
8. Ковалев С. В. Методология разработки и применения информационных технологий поддержки жизненного цикла наукоемкой продукции // Информационные технологии моделирования и управления. 2009. № 5(57).

ВВЕДЕНИЕ

Любая деятельность людей всегда связывалась с получением информации. Сегодня она становится главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Любая предпринимательская и государственная деятельность тесно связана с получением и использованием разнообразных информационных по­токов. Поэтому даже небольшая приостановка информационных потоков может привести к серьезному кризису в работе той или иной организации, а возможно, даже ряду организаций, тем самым повлечь за собой конфликты интересов. Именно по этой причине в современных рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспе­чением сохранности коммерческой информации как вида ин­теллектуальной собственности, но и физических, и юридических лиц, их имущественной собственности и личной безопасности. Таким образом, информация рассматривается как товар.

Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий. Правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Защита информации в современных условиях становится все более слож­ной проблемой, что обусловлено рядом причин, основными из кото­рых являются: массовое распространение средств электронной вычислитель­ной техники; усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанк­ционированных действий над информацией.

Система безопасности должна не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять их полномочия на доступ к данной информации, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации с устранением их последствий.

В настоящее время широкое распространение получили методы несанкционированного добывания информации. Их целью является, прежде всего - коммерческий интерес. Информация разнохарактерна и имеет различную ценность, а степень ее конфиденциальности зависит от того, кому она принадлежит.

Параллельно с развитием средств вычислительной техники, появляются все новые способы нарушения безопасности информации, при этом старые виды атак никуда не исчезают, а лишь ухудшают ситуацию.

Проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицита возможностей.

Таким образом, приведенные факты делают проблему проектирования эффективной системы защиты информации актуальной на сегодняшний день.

Аналитическая часть

1.1 Структура предприятия и характеристика его информационных технологий

Предприятие «Альфапроект» находится в г.Курск и имеет в своем составе два филиала, расположенных в области: поселок Прямицино и Ушаково.

Деятельностью организации «Альфапроект» является комплекс услуг по разработке проектной документации промышленных и гражданских объектов капитального строительства, реконструкции и техническому перевооружению, а также услуги в области стандартизации и метрологии. Проектирование производственных помещений, включая размещение машин и оборудования, промышленный дизайн является основным направлением работы компании.

На рисунке 1.1 изображена организационная структура ОАО «Альфапроект».

Из структуры видно, что предприятие разделено на отделы, выполняющие определенные задачи в зависимости от их назначения. Управление главного офиса осуществляет непосредственно управление и контроль за выполнением работ каждого отдела. Управление отделами осуществляют ведущие специалисты, то есть начальники отделов. Каждый отдел в свою очередь имеет свой штат сотрудников.

Структура предприятия имеет иерархический тип, что позволяет обеспечить четкое управление и выполнение работ в короткие сроки. Но своевременное выполнение работ также зависит от технологического процесса.

На рисунке 1.2 представлена структурная схема производственного документооборота ОАО «Альфапроект».

Согласно схеме производственного документооборота, заказчик подает перечень документов необходимых для проекта или составления любого другого вида заказа в отдел приема/выдачи документов, где составляется квитанция стоимости оказываемой услуги, необходимая для отчетности в бухгалтерии. После предварительной оплаты подается заявка на составление технической документации объекта, которая впоследствии отправляется в архив. Далее в экономическом отделе проводится оценка стоимости будущего объекта, которая также отправляется в архив. Все управление процессом, по-прежнему, ведет главный офис.

Рисунок 1.1– Организационная структура ОАО «Альфапроект»

Рисунок 1.2 – Структурная схема производственного документооборота

Все этапы производственного документооборота, а, следовательно, и само предприятие обслуживается высокотехнологичным оборудованием. Вся документация хранится в компьютерном исполнении, чертежи на крупные объекты выполняются с помощью специальных плоттеров, которыми оснащено главное отделение и филиалы. Предприятие ОАО «Альфапроект» использует современные технологии передачи и хранения данных.

Все используемые компьютеры объединены в локальную вычислительную сеть (ЛВС), которая в свою очередь, для обеспечения сохранности данных, поделена на независимые сегменты (производственные отделы) при помощи технологии VLAN. Из локальной сети работники имеют выход в Internet для поиска необходимых материалов и обмена электронной почтой. Работа пользователей всех подразделений в единой информационной базе данных позволяет вести автоматизированный учет выполнения работ по технической инвентаризации. Программа автоматически проверяет наличие информации об объекте недвижимости и правообладателях в базе данных, верность внесения адресов объектов. Это позволяют исключить дублирование информации и избавиться от неконтролируемого разрастания базы данных.

Пользовательские рабочие места подключаются к серверам предприятия в терминальном режиме, что обеспечивает высокие показатели скорости работы приложений на удаленных терминалах.

Также с использованием терминального доступа реализована работа в программе «1С Бухгалтерия». Это решение позволяет хранить информацию на центральном сервере предприятия, что гарантирует сохранность данных, и обеспечивает оперативный контроль и получение информации о финансово-хозяйственной деятельности подразделений.

На предприятии ОАО «Альфапроект» используется программный комплекс Inter Base SQL server, обеспечивающий полный рабочий процесс предприятия от приема заявок до сдачи дел в электронный архив.

Комплекс постоянно модифицируется с учетом требований организации по документообороту. Программный комплекс рассчитан на эксплуатацию с использованием технологии VPN и при своей работе требует минимальных сетевых ресурсов.

Филиалы организации подключены через каналы регионального провайдера к сети главного офиса с использованием технологии VPN (виртуальная частная сеть). Технология VPN была выбрана для этих целей как обеспечивающая надежную систему передачу данных и высокий уровень защиты информации от неправомерного доступа извне. Применение технологии VPN реализует:

− Единое пространство сети предприятия;

− Полную прозрачность сети для сотрудников;

− Защиту информации от несанкционированного доступа сторонних лиц;

− Внедрение единой АСУ в существующие структуры сетей компании и полную интеграцию в существующий производственный документооборот;

− Масштабирование существующей сети предприятия и подключение дополнительных офисов компании в единую сеть предприятия;

Работу VPN поддерживают и обслуживают четыре сервера на базе ОС Windows 7 и телекоммуникационное оборудование Cisco. ЛВС предприятия имеет две точки подключения к глобальной сети Internet, что позволяет повысить надежность передачи данных.

По верху ЛВС предприятия развернута служба каталогов АctiveDirectory, позволяющая в полной мере управлять доступом пользователей и групп к информационным ресурсам. На рисунке 1.3 изображена структурная схема ЛВС ОАО «Альфапроект».

Рисунок 1.3 – Структурная схема ЛВС ОАО «Альфапроект»

Рассмотримены основные сетевые информационные технологии, обеспечивающие стабильность и защищенность работы в ЛВС ОАО «Альфапроект».

VLAN (Virtual Local Area Network) - группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, устройства, находящиеся в разных VLAN"ах, невидимы друг для друга на канальном уровне, даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровня.

В современных сетях VLAN - главный механизм для создания логической топологии сети, не зависящей от её физической топологии. VLAN используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing"ом.

VPN (Virtual Private Network - виртуальная частная сеть) - технология, позволяющая обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (Internet). Уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям, благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей). В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Active Directory – реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать и обновлять прикладное и серверное ПО на всех компьютерах в сети. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов. Служба каталогов является как средством администратора, так и средством конечного пользователя. По мере роста числа объектов в сети повышается значение службы каталогов.

DNS (Domain Name System – система доменных имён) – компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.

Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу, что позволяет возложить ответственность за актуальность информации на серверы различных организаций, отвечающих только за «свою» часть доменного имени.

DNS важна для работы Интернета, т.к. для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса.

1.2 Угрозы информационной безопасности предприятия ОАО «Альфапроект» и описание возможного ущерба от их реализации

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Отношения по поводу права собственности на информационные ресурсы регулируются соответствующим гражданским законодательством.

Классификация угроз информационной безопасности автоматизированных систем обработки данных (АСОД) необходима из-за того, что современные средства вычислительной техники и накапливаемая ими информация подвержена случайным влияниям чрезвычайно большого числа факторов. Таким образом, пропадает необходимость описания полного множества угроз. Вследствие чего для защищаемой системы необходимо определить не полный перечень угроз, а рассмотреть лишь классы угроз.

Классификация всех возможных угроз информационной безопасности АСОД может быть проведена по ряду базовых признаков. Классы угроз АСОД приведены на рисунке 1.4

В каждом классе угроз информационной безопасности можно выделить по несколько видов угроз воздействующих на автоматизированную систему обработки данных. Исходя из этого, была построена таблица видов угроз ИБ для конкретных классов угроз и их характеристика (таблица 1.1).

Рисунок 1.4 – Классы угроз АСОД

Таблица 1.1 – Характеристика видов угроз информационной безопасности АСОД для соответствующих классов

Вид угроз	Класс угроз
1. По природе возникновения	Естественные угрозы – угрозы, вызванные воздействиями на АСОД и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы – угрозы информационной безопасности АС, вызванные деятельностью человека.
2. По степени преднамеренности проявления	Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала.
Угрозы преднамеренного действия, например, угрозы действий злоумышленника для хищения информации.
3.По непосредственному источнику угроз	Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение).
Угрозы, непосредственным источником которых является человек.
Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства.
Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства.
4. По положению источника угроз	Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АСОД.
Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АСОД.
Угрозы, источник которых имеет доступ к периферийным устройствам АСОД.
Угрозы, источник которых расположен в АСОД.
5. По степени зависимости от активности АСОД	Угрозы, которые могут проявляться независимо от активности АСОД: вскрытие шифров криптозащиты информации; хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем).
Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов).

Окончание таблицы 1.1
6. По степени воздействия на АСОД	Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АСОД (например, угроза копирования секретных данных).
Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АСОД.
7. По этапам доступа пользователей или программ к ресурсам АСОД	Угрозы, которые могут проявляться на этапе доступа к ресурсам АСОД (например, угрозы несанкционированного доступа в АСОД).
Угрозы, которые могут проявляться после разрешения доступа к ресурсам АСОД (например, угрозы несанкционированного или некорректного использования ресурсов АСОД).
8. По способу доступа к ресурсам АСОД	Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам АСОД.
Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС.
9. По текущему месту расположения информации	Угрозы доступа к информации на внешних запоминающих устройствах
Угрозы доступа к информации в оперативной памяти.
Угрозы доступа к информации, циркулирующей в линиях связи.
Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере.

Все рассмотренные классы и виды угроз в той или иной мере присущи и АСОД в ОАО «Альфапроект».

Так же можно классифицировать угрозы согласно УК РФ и выделить следующие угрозы информационной безопасности:

− Хищение (копирование) информации.

− Уничтожение информации.

− Модификация (искажение) информации.

− Нарушение доступности (блокирование) информации.

− Отрицание подлинности информации.

− Навязывание ложной информации.

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе.

Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению.

Повреждение - изменение свойств имущества при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.

Классификация угроз наиболее наглядно будет выглядеть, если рассматривать угрозы в связке с её источником. В соответствии с данным подходом классификация угроз ИБ в ОАО «Альфапроект» будет выглядеть следующим образом (рисунок 1.5).

Все представленные угрозы могут являть преднамеренными либо непреднамеренными.

Также необходимо рассмотреть угрозы направленные на конкретные объекты АСОД в ОАО «Альфапроект». Согласно структурной схеме ЛВС, приведенной на рисунке 1.3, можно выделить следующие объекты автоматизированной системы: АРМ сотрудника, сервер БД, файловый сервер, сервер управления. Для каждого из объектов в таблице 1.2 представлены конкретные угрозы ИБ.

С позиции экономического подхода общий ущерб информационной безопасности предприятия складывается из двух составных частей: прямого и косвенного ущерба.

Прямой ущерб информационной безопасности предприятия возникает вследствие утечки конфиденциальной информации. Косвенный ущерб – потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке, отнесенной к категории конфиденциальной.

Рисунок 1.5 – Классификация угроз ИБ в ОАО «Альфапроект»

Таблица 1.2. – Угрозы ИБ каждого из объектов АСОД

Объект АСОД	Угрозы ИБ
АРМ сотрудника	Копирование информации на носители
Установка и использование «левого» ПО
Заражение компьютера вирусами
Ошибки оператора при эксплуатации СВТ
Ошибки оператора при эксплуатации программных средств
Несанкционированный доступ к ресурсам АС и дальнейшего его использования (копирование, модификации, удаления)
Сервер БД	Копирование информации
Доступ к информации, путем нарушения функционирования
Ошибки пользователей при эксплуатации программных средств
Файловый сервер	Изменение информации
Копирование информации
Удаление информации
Разглашение защищаемой информации путем передачи носителей информации, лицам не имеющих права доступа
Сервер управления	Незаконное получение паролей и других реквизитов разграничения доступа.
Блокировка доступа зарегистрированных пользователей

В рамках разработки или анализа системы информационной безопасности наиболее целесообразной является качественная оценка ценности информационного ресурса со стороны владельца. В зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие обозначения, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки.

После составления списка угроз, составляется степень вероятности реализации (СВР) угроз. Оценивание риска, происходит путем сопоставления оценок степени тяжести последствий с оценкой СВР угроз ИБ (таблица 1.4).

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов. Определение степени тяжести последствий от утраты ресурсом свойств информационной безопасности необходима для того, чтобы определить: сколько будет стоить «простой» системы в течение времени, требующегося на ее восстановление и, каков будет ущерб, если эта информация станет известной конкурентам.

Таблица 1.4 – Сопоставления оценок степени тяжести последствий с оценкой СВР угроз ИБ

Степень вероятности реализации угрозы ИБ	Степень тяжести последствий нарушения ИБ
минимальная	средняя	высокая	критическая
нереализуемая	допустимый	допустимый	допустимый	допустимый
минимальная	допустимый	допустимый	допустимый	недопустимый
средняя	допустимый	допустимый	недопустимый	недопустимый
высокая	допустимый	недопустимый	недопустимый	недопустимый
критическая	недопустимый	недопустимый	недопустимый	недопустимый

При рассмотрении возможного ущерба необходимо так же рассмотреть ресурсы, используемые на предприятие. Классификация информационных ресурсов представлена на рисунке 1.7.

Рисунок 1.7 – Виды ресурсов предприятия

К ресурсам подлежащим защите относятся информационные и технические ресурсы.

В ОАО «Альфапроект» к техническим ресурсам относится:

− сервер управления;

− сервер баз данных;

− файловый сервер;

− Принтеры и плоттеры;

− Сетевое оборудование (коммутаторы, маршрутизаторы).

К информационным ресурсам, находящимся в электронном виде и на бумажных носителях, данного предприятия относятся:

− Копии документов, удостоверяющих личность заказчика;

− Технические паспорта на объекты недвижимости;

− Справки о балансовой стоимости с указанием остаточной балансовой стоимости на период проведения технической инвентаризации;

− Проектная, исполнительная документация;

− Бухгалтерские отчетности.

Таким образом, электронные ресурсы предприятия ОАО «Альфапроект» имеют ограниченный доступ и относятся к конфиденциальным. Поэтому, выделенные ресурсы подвержены угрозам ИБ, и в случае реализации угроз предприятие может понести различного рода ущерб. На рисунке 1.8 представлены три вида ущерба.

Рисунок 1.8 – Виды возможного ущерба

Проявления возможного ущерба могут быть различны и иметь смешанный характер:

− моральный и материальный ущерб деловой репутации организации

− моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

− материальный ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

− материальный ущерб от невозможности выполнения взятых на себя обязательств перед третьей стороной;

− моральный и материальный ущерб от дезорганизации деятельности организации;

− материальный и моральный ущерб от нарушения международных отношений.

Также ущерб можно рассмотреть по степени тяжести последствия от угроз ИБ. На рисунке 1.9 представлена классификация ущерба по степени тяжести.

Рисунок 1.9 – Степени тяжести последствий от угроз ИБ

Исходя из описанного выше, в ОАО «Альфапроект» можно выделить ряд возможных последствий от реализации угроз ИБ. В первую очередь необходимо отметить, что ущерб в основном будет являть материальным. Основной ущерб будет приходиться на технические ресурсы, так как данный вид ресурсов предполагает использование и хранение цифровых информационных ресурсов. Но нельзя опустить тот факт, что на предприятии используются и не цифровые информационные ресурсы, хотя большая их часть имеет цифровые копии, но данные ресурсы имеют не меньшую ценность.

По степени тяжести последствий наибольшие потери возникнут в случае вывода из строя технических ресурсов ОАО «Альфапроект», так как произойдет приостановка производственного документооборота и возможна потеря цифровых информационных ресурсов, что является значительной тяжестью последствия. В случае если реализация угроз ИБ затронет лишь цифровые информационные ресурсы, тяжесть последствия может характеризоваться как средняя, в крайнем случае, например, стихийные бедствия, тяжесть может перейти в категорию значительной тяжести последствий или даже высокой. Тяжесть всех этих последствий в первую очередь зависит от конкретных угроз. Исходя из этого принципа, была составлена таблица 1.5 степени тяжести последствий от конкретных угроз ИБ в ОАО «Альфапроект».

Таблица 1.5 – Степень тяжести последствий от угроз ИБ в ОАО «Альфапроект»

Угроза ИБ	Степень тяжести последствий (ущерб)
Ошибки пользователей и системных администраторов	средняя - низкая
Нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации	средняя
Ошибки в работе программного обеспечения	низкая
Отказы и сбои в работе компьютерного оборудования	средняя
Заражение компьютеров вирусами или вредоносными программами	средняя
Несанкционированный доступ (НСД) к корпоративной информации	средняя - значительная
Информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб	средняя
Действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации	средняя - значительная
Аварии, пожары, техногенные катастрофы	значительная - высокая

Информационная безопасность АСОД обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень:

− конфиденциальности (невозможности несанкционированного получения какой-либо информации);

− целостности (невозможности несанкционированной или случайной ее модификации);

− доступности (возможности за разумное время получить требуемую информацию).

Угрозы ИБ влияют не только на свойства информации, но и на технические ресурсы предприятия, поэтому система защиты информации безопасности должна отвечать следующим требованиям:

− требованиям не искаженности свойств информации;

− требованиям класса защищенности АСОД;

− требованиям класса защищенности СВТ;

− требованиям по защите информации от НСД.

Также система защиты информации должна выполнять:

− предупреждение о появлении угроз безопасности информации;

− обнаружение, нейтрализацию и локализацию воздействия угроз;

− управление доступом к защищаемой информации;

− восстановление системы защиты информации;

− регистрацию событий и попыток несанкционированного доступа;

− обеспечение контроля функционирования системы защиты.

АНАЛИЗ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ВЫБОР МЕТОДА ЕЕ МОДЕРНИЗАЦИИ

2.1 Методы и средства защиты информации в сетях

На первом этапе развития концепций обеспечения безопасности данных преимущество отдавалось программным средствам защиты. Но практика показала, что для обеспечения безопасности данных этого недостаточно, и интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Обычно на предприятиях в зависимости от объема хранимых, передаваемых и обрабатываемых конфиденциальных данных за информационную безопасность отвечают отдельные специалисты или целые отделы. На рисунке 2.1 представлена модель комплексной защиты информации.

Рисунок 2.1 модель комплексной защиты информации

В защите информации четко выделяют два направления: защита конфиденциальности и защита работоспособности. Для выполнения этих задач существуют специальные методы и средства защиты данных, которые подробно представлены на рисунке 2.2.

Рисунок 2.2 - Классификация методов и средств защиты данных

Методы обеспечения безопасности информации в ИС делятся на: препятствие, управление доступом, механизмы шифрования (маскировка), регламентация, принуждение, побуждение, противодействие атакам вредоносных программ.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает:

− идентификацию пользователей, персонала и ресурсов системы;

− опознание субъекта по предъявленному им идентификатору;

− проверку полномочий;

− создание условий работы в пределах установленного регламента;

− регистрацию обращений к защищаемым ресурсам;

− при попытках несанкционированных действий.

Механизмы шифрования – криптографическое закрытие информации.

Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при кото­рых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и исполь­зование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования ИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий.

Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС в стране и в мире. Морально-этические нормы могут быть неписаные либо оформленные в некий свод правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

2.2 Определение классов защищенности

2.2.1 Определение требуемого класса защищенности АСОД в ОАО «Альфапроект»

Для определения требуемого класса защищенности в Российской Федерации существует конкретный подход, реализованный в руководящем документе Государственной технической комиссии при Президенте РФ «Классификация автоматизированных систем и требований по защите информации» Часть 1. В данном документе вы­делено 9 классов защищенности автоматизированных систем от несанк­ционированного доступа к информации, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем (рисунок 2.3).

дипломная работа

1.2.4 Анализ системы обеспечения информационной безопасности и защиты информации

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.

Увеличение объемов хранимой и передаваемой информации приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере "ГУП ОЦ "Московский Дом Книги" и воздействию на процессы ее функционирования.

Усложнение применяемых технологий и процессов функционирования "ГУП ОЦ "Московский Дом Книги" приводит к тому, что аппаратно-программные средства, используемые в "ГУП ОЦ "Московский Дом Книги", объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.

Отсутствие в "ГУП ОЦ "Московский Дом Книги" необходимых средств защиты в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной безопасности "ГУП ОЦ "Московский Дом Книги" можно представить в виде, совокупности следующих уровней:

Уровень 1 - Руководство организации;

Уровень 2 - Подразделение ОИБ;

Уровень 3 - Администраторы штатных и дополнительных средств защиты;

Уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);

Уровень 5 - Конечные пользователи и обслуживающий персонал.

При разработке программного обеспечения в "ГУП ОЦ "Московский Дом Книги" следуют основным стандартам, регламентирующим:

Показатели качества программных средств;

Жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;

Тестирование программных средств для обнаружения и устранения дефектов программ и данных;

Испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.

Таблица 1.3. Международные стандарты, направленные на обеспечение технологической безопасности

ISO 09126:1991. ИТ.	Оценка программного продукта. Характеристики качества и руководство по их применению.
ISO 09000-3:1991.	Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения.
	Процессы жизненного цикла программных средств.
ANSI/IEEE 829 - 1983.	Документация при тестировании программ.
ANSI/IEEE 1008 - 1986.	Тестирование программных модулей и компонент ПС.
ANSI/IEEE 1012 - 1986.	Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.

Для защиты информации от внешних угроз в "ГУП ОЦ "Московский Дом Книги" используется межсетевой экран - программный или аппаратный маршрутизатор, совмещённый с firewall. Эта система позволяет осуществлять фильтрацию пакетов данных.

В компании также имеются нормативно-правовые и организационно-распорядительные документы такие как:

1. Регламент информационной безопасности:

· доступ сотрудников к служебной информации, составляющей коммерческую тайну;

· доступ к использованию программного обеспечения, сконфигурированного персонального под "ГУП ОЦ "Московский Дом Книги".

2. Регламенты использования сети Internet, электронной почты "ГУП ОЦ "Московский Дом Книги".

Автоматизация работы старшего администратора пансионата ФГУП "ОК "Рублево-Успенский" УДП РФ

Система информационной безопасности предприятия охватывает все составные части информационной инфраструктуры, описанные в настоящем проекте, и обеспечивает целостность, конфиденциальность и доступность информации...

Анализ информационных системы предприятия ОАО "Уралтранснефтепродукт"

В связи с участившимися случаями терактов, кражи нефти, данная тема получила свое широкое распространение, так как помимо этих видов угроз существует конкуренция на рынке услуг, связанных с нефтью...

Выбор и обоснование приобретения информационной системы для автоматизации на примере ООО "1С Бит"

Для обеспечения безопасности и защиты информации руководством компании принято решение прибегнуть к помощи компании "Лаборатория Касперского"...

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

По способам осуществления все меры защиты информации...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

Информационная безопасность в ГУП ОЦ "Московский дом книги"

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: 1...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом...

Проектирование и разработка информационной системы для учета ремонтных работ и обслуживания оргтехники фирмы ООО "Компьютерный мир" г. Самара

Создание систем информационной безопасности в ИС основывается на следующих принципах: системный подход, принцип непрерывного развития системы, разделение и минимизация полномочий, полнота контроля и регистрация попыток...

Разработка модуля бизнес-процесса отдела по работе с клиентами и склада на основе конфигурации базовой модели "1С"

Разработка модуля по автоматизации бизнес-процессов отдела работы с клиентами и склада ООО "ЖилРемСтрой" на основе конфигурации базовой модели 1С

В обществе имеются нормативно-правовые и организационно распорядительные документы: 1.Регламент информационной безопасности: · доступ сотрудников к служебной информации...

Разработка модуля экспорта отчетной документации

Для защиты от внешних угроз операционная система (Windows XP SP3), которая установлена на всех персональных компьютерах сотрудников фирмы ТД «Нимфа», защищена лицензионным программным продуктом Kaspersky Antivirus 6.0 и Kaspersky Internet Security 6.0...

Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

На предприятии, как мы может увидеть в таблице 9, большинство уязвимостей связаны с недостаточным надзором за помещениями. Так как предприятие ОАО "Расчет" снимает помещение у другого предприятия, которое обеспечивает проходную систему...