→ Анализ обеспечения информационной безопасности. Комплексный анализ проекта обеспечения информационной безопасности в коммуникационных системах. Информационная безопасность с точки зрения государства и права. К информационным способам относятся

Анализ обеспечения информационной безопасности. Комплексный анализ проекта обеспечения информационной безопасности в коммуникационных системах. Информационная безопасность с точки зрения государства и права. К информационным способам относятся

В статье описывается опыт по обеспечению информационной безопасности операционных систем и систем управления базами данных организационных сложных иерархических структур. Приводится проект комплексной системы обеспечения информационной безопасности, базирующийся на иерархическом подходе к моделированию сложных систем управления.

В настоящее время в областях информационных технологий (ИТ) стоят на первом месте вопросы создания и развития нормативной базы в области информационной безопасности, а также необходимость проведения комплекса работ, направленных на развитие стандартизации и сертификации в области информационной безопасности (ИБ).

Стандарты, определяющие требования по информационной безопасности и являющиеся основой нормативно-правовой базы, важны для всех субъектов отношений в этой области, в первую очередь для тех организаций и предприятий, которые заинтересованы в защите своих информационных ресурсов. Руководству и службам безопасности предприятий следует четко представлять себе, каким требованиям, в зависимости от условий функционирования, должны соответствовать их информационные системы (ИС). Разработчики информационных технологий и информационных систем должны руководствоваться стандартами для обеспечения безопасности своих разработок .

Любой человек, работающий в сфере ИТ, понимает необходимость обеспечения безопасности операционных систем (ОС). Необходимость наличия встроенных средств защиты на этом уровне не вызывает сомнений. Операционная система обеспечивает защиту механизмов прикладного уровня от неправильного использования, обхода или навязывания ложной информации. Если она не сможет удовлетворить этим требованиям, появятся уязвимости в масштабах всей системы.

Одной из задач ИС является хранение и обработка данных. Для ее решения были предприняты усилия, которые привели к появлению специализированного программного обеспечения - систем управления базами данных (database management systems, СУБД). СУБД позволяют структурировать, систематизировать и организовывать данные для их компьютерного хранения и обработки. Невозможно представить себе деятельность современного предприятия или учреждения без использования профессиональных систем управления базами данных. Несомненно, они составляют фундамент информационной деятельности во всех сферах - начиная с производства и заканчивая финансами и телекоммуникациями. В этом смысле ОС и СУБД похожи друг на друга.

Основу правового регулирования в области обеспечения ИБ операционных систем и систем управления базами данных, где обрабатывается конфиденциальная информация, составляют принятые законы и нормативные акты Российской Федерации. Одним из таких документов является «Доктрина информационной безопасности Российской Федерации», которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ . Доктрина служит основой для формирования государственной политики в области обеспечения ИБ РФ и развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

По своей общей направленности угрозы ИБ РФ подразделяются на правовые; технологические; организационно-экономические (табл. 1). Общие методы обеспечения ИБ РФ - организационнотехнические, правовые, организационноэкономические, программно-технические и экономические (табл. 2).

Т а б л и ц а 1. Виды угроз ИБ РФ

Правовые
  • угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;
  • нерациональное, чрезмерное ограничение доступа к общественно необходимой информации;
  • нарушение конституционных прав и свобод человека и гражданина в области массовой информации;
  • угрозы информационному обеспечению государственной политики Российской Федерации;
  • угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;
  • угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России;
  • противоправные сбор и использование информации.
    • Технологические
  • нарушения технологии обработки информации;
  • внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
  • разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
  • уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
  • воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
  • компрометация ключей и средств криптографической защиты информации.
    • Организационно-экономические
  • утечка информации по техническим каналам;
  • внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
  • уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
  • перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
  • несанкционированный доступ к информации, находящейся в банках и базах данных;
  • нарушение законных ограничений на распространение информации.
    		•

    Т а б л и ц а 2. Методы обеспечения ИБ РФ

    Организационно-технические
  • разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
  • создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
  • выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации.
    • Правовые
  • защита прав граждан на владение, распоряжение и управление принадлежащей им информацией; защита конституционных прав граждан на тайну переписки, переговоров, личную тайну;
  • контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации, разработка комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, разработка руководящих и нормативно-методических документов по обеспечению ИБ.
    • Организационно-экономические
  • лицензирование отдельных видов деятельности, сертификация систем и средств защиты по требованиям информационной безопасности, стандартизация способов и средств защиты информации, контроль (надзор).
    • Программно-технические
  • предотвращение утечки обрабатываемой информации, предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, выявление программных или аппаратных закладных устройств, исключение перехвата информации техническими средствами.
    • Экономические методы
  • защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения; защита прав предпринимателей при осуществлении ими коммерческой деятельности.
    		•

    Наиболее важными объектами обеспечения ИБ РФ в области науки и техники являются:

    • результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
    • открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
    • научно-технические кадры и система их подготовки.

    К числу основных внешних угроз ИБ РФ в области науки и техники следует отнести стремление развитых иностранных государств получить противоправный доступ к научнотехническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах.

    К основным внутренним угрозам ИБ РФ в области науки и техники относятся:

    • сохраняющаяся сложная экономическая ситуация в России, ведущая к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
    • серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых;
    • сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.

    Реальный путь противодействия угрозам ИБ РФ в области науки и техники - это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники.

    Литература

    1. ISO/IEC 17799. Управление информационной безопасностью. Практические правила.
    2. Безопасность информационных технологий - Операционные системы - Базовый профиль защиты (проект). Центр безопасности информации. 2003.
    3. ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
    4. ЕСПД ГОСТ 19102-77. «Требования к планированию проектных работ по разработке программного обеспечения».
    5. Ковалев С. В. Расчетно-математическая модель управления рисками экономической безопасности проектов развития сложных систем // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
    6. Ковалев С. В. Модель обеспечения защиты информации предприятия на основе принципов риск-контроллинга // Информационная экономика: институциональные проблемы. Материалы Девятых Друкеровских чтений. М: Доброе слово. 2009.
    7. Ковалев С. В. Методология информационной безопасности сложных систем на основе системы управления промышленными рисками // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
    8. Ковалев С. В. Методология разработки и применения информационных технологий поддержки жизненного цикла наукоемкой продукции // Информационные технологии моделирования и управления. 2009. № 5(57).

    Санкт-Петербургский Государственный Электротехнический Университет

    Курсовой проект

    по дисциплине: Методы и средства защиты компьютерной информации.

    Тема: "Анализ безопасности информационных объектов"

    Выполнил: Павлова А.В.

    Группа: 9051

    Факультет: ОФ

    Санкт-Петербург, 2014 г.

    1. Постановка задачи

    Выбор объекта защиты

    Цели безопасности

    Специализация объекта защиты

    2. Аналитический этап

    Требования к СЗИ

    Варианты СЗИ

    4. Политика безопасности

    1. Постановка задачи

    Выбор объекта защиты

    В качестве объекта защиты в ходе выполнения данного курсового проекта будет рассматриваться корпоративная локальная сеть ООО "Диалог ИТ".

    Основным видом деятельности компании является оказание услуг по автоматизации деятельности предприятий на базе программных продуктов 1С и других производителей. Вопрос защиты информации стоит достаточно остро, т.к. в корпоративной базе данных хранятся конфиденциальные данные клиентов, а также от целостности локальной сети зависит работа более 90 пользователей.

    Определение проблемы безопасности

    Для выбранного объекта защиты остро строят вопросы как защиты конфиденциальных данных (как клиентов компании, так и личных данных сотрудников организации), целостности данных (баз данных клиентов и самого предприятия), так и доступности данных (имеет большое значение скорость доступа к данным).

    Цели безопасности

    Исходя из трех проблем безопасности, в данном случае перед нами стоит 3 цели:

    при защите конфиденциальных данных целью будет являться полная защита, близкая к 100 %, т.к. утечка даже небольшого количества данных может нанести серьезный финансовый урон.

    корпоративная сеть защита информация

    при обеспечении целостности данных нашей целью будет также стремление к полной защите данных. Допустимой может быть лишь потеря данных за небольшой период времени - не более 1 дня.

    при обеспечении доступности данных наша цель также максимальна: перебой в доступе к данным внутри компании допустим не более чем на 2-3 ч, к данным клиентов компании (в случае если это непрерывное производство) - не более чем на 1-1,5 ч.

    Специализация объекта защиты

    Рис. 1

    Рис. 2

    Локальная сеть организации разбита на 4 виртуальные подсети, взаимодействие которых обеспечено с помощью коммутатора 3com 5500. Это сделано с целью увеличения полезной скорости локальной сети. Безопасность сети со стороны сети Internet обеспечивается Firewall.

    Сервер demo. dialog, предназначенный для предоставления демо-доступа клиентов компании к базам данных и своим сервисам, не располагается в локальной сети компании, т.к. в данном случае нет необходимости предоставлять эти сервисы для внешних пользователей именно внутри локальной сети. (Рис.1)

    Сервер корпоративного портала (Рис.2): со стороны Интернета открыт только 80-й порт. Остальные порты закрыты.

    Спецификация виртуальных серверов (используемое ПО - ESXi, VMware и Hyper-V, Microsoft):

    контроллера домена (используется служба Active Directory);

    СУБД для баз данных 1С (MsSQL);

    сервер корпоративной антивирусной защиты (антивирусная защита Kaspersky), совмещенный с файловым хранилищем пользователей локальной сети;

    сервер мониторинга (следит за состоянием серверов в сети и анализирует их производительность);

    сервер разработки (для ведения совместной разработки программистов компании);

    сервер резервного копирования. Архивной копирование производится ежедневно - в ночное время, в периоды наименьшей нагрузки сети.

    2. Аналитический этап

    Структура системы факторов риска

    Определим элементы множеств источником угроз, угроз и факторов риска и связи между ними.

    Сначала дадим основные определения.

    Источник угроз - потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

    Угроза - событие, которое прямо или косвенно способно нанести ущерб защищаемому объекту путем воздействия на его компоненты.

    Угрозы, которые непосредственно воздействуют на компоненты защищаемого объекта, назовем событиями риска.

    Антропогенные источники угроз.

    Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления.

    В качестве антропогенного источника угроз можно рассматривать человека, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта.

    Возможные источники угроз данного типа для рассматриваемой сети:

    злоумышленник (преступник, хакер, недобросовестный партнер компании);

    пользователь, не обладающий достаточным уровнем квалификации или получивший несанкционированный доступ к ресурсам сети;

    администратор сети.

    Техногенные источники угроз.

    Эти источники угроз менее прогнозируемые, и напрямую зависят от свойств техники.

    Техногенными источника угроз для наших данных могут быть:

    неполадки в инженерных сетях здания (водоснабжения, электричества и т.п.);

    неполадки в технических средствах;

    Стихийные источники угроз.

    Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту, под ними понимаются прежде всего природные катаклизмы.

    Из данного вида угроз информационным данным нашей организации могут рассматриваться:

    наводнение (это связано с местонахождением офиса компании неподалеку от реки, а также с расположением в Северо-Западном Федеральном округе);

    непредвиденные обстоятельства подобного типа (от землетрясения до угрозы ядерной атаки).

    Общий перечень возможных угроз от вышеперечисленных источников:

    ·Перебой в электропитании;

    ·Утеря архивных данных информационных систем;

    ·Сбой в работе серверов, компьютеров пользователей;

    ·Физическое повреждение компьютерной техники;

    ·Утеря или повреждение данных в результате ошибок ПО;

    ·Утеря или повреждение данных в результате действий компьютерных вирусов;

    ·Несанкционированное копирование, уничтожение или изменение данных;

    ·Утечка конфиденциальной информации.

    События риска:

    утеря информационных данных и доступа к ним;

    изменение данных;

    утечка конфиденциальных данных.

    Компонентами информационной системы нашей компании являются:

    .Сервер

    2.Компьютер пользователя

    .Канал связи

    .ПО.

    Для представления общего вида структуры системы факторов риска построим граф.

    В связи с тем, что связей в данной структуре достаточно много, т.к. те или иные источники угроз могут представлять различные угрозы для защищаемых нами данных, внесем эти данные в программный пакет Security Analysis.

    Алгоритмизация матрицы отношений

    Исходные данные:

    Зададим отношения последовательно между источниками угроз, угрозами и компонентами защиты.

    Источники угроз - Угрозы:

    Угрозы - Угрозы:

    Угрозы - Компоненты защиты:

    Введем весовые коэффициенты в полученную в результате работы программы матрицу отношений W.

    Определение и анализ профиля риска

    Ниже приведен рассчитанная транзитивная матрица V, определяющая источники угроз и угрозы, которые наиболее значимы для рассматриваемой системы.

    Информацию из таблицы более наглядно представить в виде диаграмм (отдельно для источников угроз и угроз).

    Влияние источников угроз.

    Влияние угроз.

    Наиболее значимые с точки зрения защиты информации компоненты системы.

    Проанализировав полученные программный пакетом данным, можно сделать вывод о том, что наиболее серьезными источниками угроз для рассматриваемой нами системы являются:

    действия злоумышленников (хакеры, недобросовестные партнеры);

    отказ инженерных сетей (электросеть, водоснабжение, система кондиционирования и т.п.);

    несанкционированные действия пользователей;

    потеря или изменение данных из-за некачественного ПО.

    На другие источники угроз, выявленные нами на первом этапе, также следует обратить внимание при разработке политики безопасности компании.

    Наиболее остро стоят угрозы утечки, потери и искажения данных информационных систем компании, а также сбой в работе сервера и компьютерной техники, которые приводят к простою рабочего процесса компании и приводят непосредственно к финансовым убыткам.

    Из последней диаграммы о весах компонентов защиты видно, что основной задачей является защита сервера. Безопасное ПО имеет наименьший вес среди компонентов, однако, на мой взгляд на эту проблему также стоит обратить внимание.

    3. Синтез системы защиты информации (СЗИ)

    Требования к СЗИ

    На данном этапе после получения данных о наиболее опасных для нашей системы источников угроз и угроз, необходимо разработать политику безопасности компании с описанием непосредственных средств защиты.

    Варианты СЗИ

    Источник угроз - действия злоумышленника.

    .Для уменьшения потенциальной опасности подключения злоумышленника к беспроводной сети, необходимо минимизировать зону распространения сигнала Wi-Fi за пределами территории компании. Сделать это можно, например, уменьшением мощности передатчика на точке доступа. Такие настройки позволяют производить практически все современные программные прошивки устройств. Однако это необходимо проделать только там, где это действительно нужно, иначе можно ухудшить качество приема и зону внутреннего покрытия для собственных задач компании. Также необходимо исключить возможность физического подключения к проводам локальной сети предприятия: они должны быть проведены либо через полоток, либо спрятаны в стены.

    2.Авторизация и аутентификация позволят входить в сеть и использовать сетевые ресурсы только авторизованным пользователям сети. Для защиты нужд нашей компании в условиях ограниченного бюджета подойдет вариант авторизации с помощью паролей пользователей. Пароль должен меняться не реже, чем раз в 30-40 дней, при чем при смене пароля пользователь должен быть ограничен в вводе пароля, который он использовал в предыдущие 5 раз. Служба Active Directory и возможности СУБД MsSQL позволят нужным образом разграничить права пользователей в системе документооборота, почты и других сетевых ресурсов.

    .Система контроля и управления доступом - СКУД - позволит ограничить вход в помещения компании только сотрудникам организации и надежным партнерам. Осуществляться контроль доступа на территорию офиса будет с помощь смарт-карт. Эта система также позволит отделу кадров контролировать посещаемость сотрудниками и более эффективно бороться с опозданиями.

    Источник угроз - отказ сетей.

    .Установка источника бесперебойного питания на сервер для отказоустойчивости его работы при перебоях в электричестве.

    2.Серверная комната должна быть расположена в отдельном хорошо проветриваемом помещении, оборудованном кондиционером, находящемся на достаточном удалении от таких инженерных сетей, как система водоснабжения и канализации.

    Источник угроз - использование некачественного ПО.

    2.Пользователи не должны допускаться к самостоятельной установке несертифицированного ПО на свои рабочие станции. Для этого им не должны быть доступны административные права на ПК. Таким образом системный администратор сможет исключить возможность установки некачественного или вредоносного ПО.

    .Использование антивирусного программного обеспечения как на рабочих станциях пользователей, так и на сервере. Для этих целей в нашей сети выделен отдельный виртуальный сервер.

    Угроза - потеря, искажение или утечка данных.

    .Проблему потери данных позволит решить резервное копирование. Копирование должно производиться не реже, чем 1 раз в сутки. Желательно, в ночное время, когда нагрузка на сервер минимальна. Для этих целей существует большое количество специализированного программного обеспечения.

    2.Также эту угрозу поможет снизить правильно настроенный Firewall. Для того, чтобы своевременно обнаружить, например, сканирование сетей компании извне, можно также воспользоваться специальным программным обеспечением.

    Угроза - сбой в работе сервера.

    .Помимо сервера архивного копирования, должен быть резервный сервер, который, в случае критического отказа основного сервера, возьмет на себя часть нагрузки для выполнения наиболее важных задач.

    2.Также при возможности необходимо разбить задачи на отдельные сервера. Это позволит уменьшить потери (как временные, так и финансовые) в случае отказа одного из них.

    Оценки результативности предложенных СЗИ

    Вариант №1.

    ·

    ·Установка ИБП.

    ·Firewall.

    Вариант № 1 обеспечивает только 50-процентную защиту от угроз и их источников. Данный уровень недопустим при работе с данными не только своей организации, но и базами данных клиентов.

    Вариант №2.

    ·Разбиение серверов.

    ·Антивирусное ПО.

    ·СКУД.

    Вариант №2 еще менее эффективен в защите данных компании, чем Вариант №1.

    Как видно из результатов двух предыдущих вариантов, несмотря на то, что сами по себе средства защиты (авторизация + аутентификация, установка ИБП, антивирусное ПО и Firewall) достаточно эффективны, комбинация только трех средств мало меняет ситуацию. В связи с этим, считаю необходимым расширить перечень средств защиты для обеспечения информационной безопасности в компании.

    Вариант № 3.

    ·Авторизация + аутентификация.

    ·Firewall

    ·Установка ИБП.

    ·Резервное копирование.

    ·Разбиение серверов.

    ·СКУД.

    ·Антивирусное ПО.

    ·Лицензионное ПО.

    Эффективность в 83,5% вполне приемлема на данном этапе. Таким образом рассмотренный в Варианте № 3 комплекс средств защиты можно считать эффективным и вполне применимым на практике. Также можно сказать, что в связи с тем, что оценки влияния тех или иных средств защиты выставлялись субъективно, а также с тем, что как мы увидели на графе структуры нашей системы, все угрозы и источники угроз очень тесно связаны друг с другом, - каждое средство защиты может оказывать и на другие сущности вполне ощутимое косвенное влияние. Исходя из этого, можно сделать предположение, что реальный уровень обеспечиваемой защиты будет все же выше предложенного программой.

    4. Политика безопасности

    Целью создания политики безопасности является обеспечение максимально возможной информационной безопасности в компании.

    Руководство компании отвечает за информирование сотрудников относительно данной политики; гарантирует, что каждый сотрудник ознакомился с данным сводом правил. Руководство отдела Системной интеграции обязуется взаимодействовать со всеми сотрудниками по вопросам безопасности.

    Сотрудники, ставя подпись под данным документом, подтверждают, что ознакомлены с политикой безопасности в компании и обязуются соблюдать освещенные в ней правила.

    Отдел Системной интеграции отвечает за обеспечение непрерывного функционирования компьютерной техники, а также за обеспечение защиты серверов компании в соответствии с политикой безопасности.

    Отказ от соблюдения правил настоящей политики может подвергнуть данные компании, а также сведения клиентов фирмы и сотрудников организации, недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в сети фирмы. Нарушения стандартов, процедур или руководств, поддерживающих эту политику, могут привести к дисциплинарной ответственности согласно законодательству РФ.

    Общие правила работы в сети.

    1. За каждым ПК должен быть закреплен оператор, который ответственен за соблюдение всех политик и процедур, связанных с использованием данного компьютера. Операторы должны быть обучены и обеспечены соответствующими руководствами так, чтобы они могли корректно соблюдать все правила настоящей политики.

    Для предотвращения распространения вредоносного программного обеспечения, не допускается самостоятельная установка ПО пользователям ЛВС.

    Системный администратор должен еженедельно представлять отчеты о состоянии безопасности системы, действиях пользователей, не согласующихся с политикой безопасности и общем состоянии сети и серверов руководству компании. В случае возникновения внештатных ситуаций - сообщить руководству о причинах их возникновения и возможных путях их решения.

    Ответственность системного администратора (СА).

    1. СА ответственен за управление правами доступа всех пользователей к данным, программам и сетевым ресурсам компании.

    СА обязан контролировать все связанные с защитой информации события, а также расследовать любые реальных или подозреваемые им нарушения политики безопасности.

    Администратор отвечает за установку, поддержание и защиту программного обеспечения и корпоративных файлов на сервере ЛВС, используя доступные ему механизмы и процедуры защиты.

    СА обязан производить регулярное сканирование серверов ЛВС антивирусным программным обеспечением.

    СА отвечает за своевременное резервное копирование информации с пользовательских компьютеров и серверов и за сохранение резервной копии БД на резервном сервере. Копирование должно производиться в период наименьшей нагрузки на ресурсы ЛВС.

    Администратор сети обязан проводить еженедельные инспекции каналов передачи данных на предмет обнаружения обрывов, неисправностей и повреждения экранирующей оболочки. В случае их повреждений принять необходимые меры в целях обеспечения работоспособности ЛВС.

    Безопасность сервера.

    1. Перечень людей, допущенных к работе с сервером, содержится в специальном списке, право на редактирование которого имеет только руководитель отдела Системной интеграции.

    Температура в помещениях, где размещаются серверы, не должна превышать 35 градусов по

    Цельсию в пиковом значении. С целью поддержания этих условия в этих помещениях установлены системы кондиционирования. Слежение за работоспособностью этих систем также входит в обязанности СА.

    Обновление ПО должно быть равномерным на всех станциях и производиться по расписанию, которое задается руководителем отдела Системной интеграции (ОСИ). Процесс обновления должен проводиться в период наименьшей загруженности сети и рабочих станций пользователей в целях безостановочного рабочего процесса.

    Запрещается нахождение посторонних лиц в помещениях с серверами.

    Канал передачи данных, который подходит от провайдера к северной, должен быть надежно экранирован и укрыт кожухом.

    Правила доступа в серверные помещения.

    1. Пользователи не имеют права доступа к серверам и серверной технике. Исключение составляют лица из п.1 разд. "Безопасность сервера".

    Сотрудники ОСИ обладает доступом к серверу и его ПО.

    Ответственность сотрудников.

    1. Сотрудники компании обязуются использовать доступные им механизмы безопасности для защиты конфиденциальности и целостности их собственной информации и информации компании.

    Каждый сотрудник обязан следовать местным процедурами защиты критических данных, а также процедурам безопасности самой ЛВС фирмы; использовать механизмы защиты файлов для поддержания соответствующего управления доступом к файлам.

    Сотрудник отвечает за своевременно уведомление СА или другого сотрудника ОСИ либо члена руководства о нарушении защиты информации или об обнаруженном отказе технических средств.

    Исполнение политики

    Персональные рабочие станции.

    1. Работа пользователей за персональными рабочими станциями происходит в режиме с пониженным уровнем прав доступа для уменьшения риска проникновения вредоносного ПО в ЛВС.

    Работа с административными правами разрешена только системному администратору и другим сотрудникам ОСИ.

    Используемые пароли

    Каждые 40 дней каждый пользователь обязан сменить используемый им пароль от рабочей станции. Данный пароль должен соответствовать общепринятым стандартам безопасности: состоять из не менее чем 8 символов, содержать строчные и прописные буквы и, как минимум, одну цифру.

    Профиль пользователя.

    1. Пользователи - все сотрудники компании, кроме системного администратора и других сотрудников ОСИ, обладающие доступом к рабочим станциям ЛВС. Они отвечают за использование доступных им сетевых ресурсов организации в соответствии с данной политикой безопасности.

    Пользователь несет ответственность за приписанное к нему техническое обеспечение, он должен быть достаточно квалифицирован и обеспечен соответствующими руководствами так, чтобы мог корректно соблюдать все требования настоящей политики.

    При обнаружении нарушения защиты или сбоя в работе технических средств, пользователь обязан незамедлительно обратиться в ОСИ.

    Пользователям запрещается использование неучтенных носителей информации, при такой необходимости пользователь должен обратиться к СА.

    Пользователь, ни при каких обстоятельствах, не должен разглашать полученные аутентификационные данные другим пользователям ЛВС и посторонним лицам.

    В OOO «Антикор» имеются нормативно-правовые и организационно-распорядительные документы такие как:

    1. Регламент информационной безопасности:

    · доступ сотрудников к служебной информации, составляющей коммерческую тайну;

    2. Регламенты использования сети Internet, электронной почты ЗАО «Антикор».

    С целью более эффективного исполнения регламентов в ЗАО «Антикор» настроена служба Active Directory на Windows Server 2003. Она позволяет настраивать и контролировать информационную безопасность.

    Active Directory имеет следующую структуру:

    · Доменные службы Active Directory - централизованные хранилища сведений о конфигурации, запросах на проверку подлинности, а также сведений о всех объектах, хранящихся в лесе. С помощью Active Directory можно эффективно управлять пользователями, компьютерами, группами, принтерами, приложениями и другими поддерживающими службы каталогов проектами из единого безопасного, централизованного места.

    · Аудит. Все изменения объектов Active Directory записываются, поэтому известно, что именно изменилось, какое значение имеет измененный атрибут сейчас и какое значение он имел ранее.

    · Точная настройка политики паролей. Политики паролей можно настроить для отдельных групп внутри домена. Правило, согласно которому для каждой учетной записи домена используется одна и та же политика паролей, больше не действует.

    · Повышение эффективности управления учетными записями пользователей, применяемыми в качестве удостоверений для служб. Поддержка паролей учетных записей служб (учетных записей пользователей, применяемых в качестве удостоверений для служб) - одна из тех задач, которые отнимают у ИТ-специалистов больше всего времени. Если пароль учетной записи службы изменяется, службам, которые используют соответствующее удостоверение, также необходимо указать новый пароль. Чтобы разрешить эту проблему, Windows Server 2008 R2 поддерживает новый компонент - управляемые учетные записи служб. который при изменении пароля учетной записи службы автоматически изменяет пароли для всех служб, использующих эту учетную запись.

    · Служба сертификатов Active Directory. В большинстве организаций сертификаты используются для удостоверения пользователей и компьютеров и для шифрования данных при их передаче по незащищенным подключениям. Службы сертификатов Active Directory применяются для повышения безопасности за счет связывания идентификационных данных пользователя, устройства или службы с соответствующим закрытым ключом. Сертификат и закрытый ключ хранятся в Active Directory, что помогает защитить идентификационные данные; службы Active Directory становятся централизованным хранилищем для получения приложениями соответствующей информации по запросу.

    Настройку и поддержку информационной безопасности и защиты информации осуществляет - узкий круг IT специалистов, IT отдела. Начальник IT отдела отвечает за контроль и работоспособность информационной безопасность и защиты информации.

    Обеспечение информационной безопасности и защиты информации на уровнях:

    · Программный - Microsoft Windows Server 2003, Active Directory:

    а) права доступа (к операционной системе Windows XP, Windows Server, Терминальный доступ Windows Server);

    б) права пользователя системы (разграничены права доступа пользователей 1с Бухгалтерия, CRM Fresh Office, файловый сервер);

    в) парольная защита, доступ к базе (установлены пароли на программные продукты, такие как: Касперский, 1с Бухгалтерия, CRM Fresh Office);

    · Аппаратный - бекапы (резервное копирование) серверов.

    Также ведется защита информационного Web-портала компании ЗАО «Антикор», используются средства защиты от внешних угроз:

    Ежеквартальная смена паролей на доступ к базам данных SQL

    Ежеквартальная смена паролей на доступ к FTP серверу

    Производится бекап (базы SQL, FTP файлов) 4 раза в месяц

    В «Антикор» производится постоянный мониторинг наиболее опасных угроз информационной безопасности:

    1) Утечка данных;

    2) Халатность служащих;

    3) Вирусы;

    4) Хакеры;

    5) Кража оборудования;

    6) Аппаратные и программные сбои.

    Анализ обеспечения информационной безопасности деятельности ООО «Астра-ком»

    Проанализируем информационное и правовое обеспечение информационной безопасности ООО «Астра-ком».

    Работа с данными на предприятии осуществляется следующим образом. Форму запроса в службу технической поддержки Официального сайта компании можно получить на Официальном сайте в подразделе «Техническая поддержка» раздела «Вопросы для заказчиков и поставщиков», первая ссылка сверху.

    Основное ПО, используемое оператором ООО «Астра-ком»: «КриптоПро CSP», Internet Explorer, средства ЭЦП.

    КриптоПро - линейка криптографических утилит (вспомогательных программ) - так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.

    В частности, КриптоПро CSP используются в программах для налоговой отчетности, а также в различных клиент-банках (например, в клиент-банках Сбербанка

    КриптоПро CSP прошел сертификацию ФАПСИ.

    Средство криптографической защиты КриптоПро CSP разработано по согласованному с ФАПСИ техническому заданию в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP). КриптоПро CSP имеет сертификаты соответствия ФАПСИ и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.

    Защита от несанкционированного доступа с использованием КриптоПро CSP, криптоПро TLS, криптоПро Winlogon, криптоПро EAP-TLS, криптоПро IPSec, secure Pack Rus.

    Так же по их информации данный модуль - не критичное дополнение и по умолчанию не устанавливается. Его можно установить отдельно по желанию пользователей.

    Если у пользователя стоит КриптоПро другой версии Пользователю необходимо направить заполненную форму запроса в службу технической поддержки.

    Также в ООО «Астра-ком» применяются следующие методы защиты:

    Простейшим примером рассматриваемых алгоритмов шифровки служит алгоритм RSA. Все другие алгоритмы этого класса отличаются от него непринципиально. Можно сказать, что, по большому счету, RSA является единственным алгоритмом с открытым ключом.

    Алгоритм RSA

    RSA (назван по имени авторов - Rivest, Shamir и Alderman) - это алгоритм с открытым ключом (public key), предназначенный как для шифрования, так и для аутентификации (цифровой подписи). Разработан в 1977 году. Он основан на трудности разложения очень больших целых чисел на простые сомножители (факторизации).

    RSA - очень медленный алгоритм. Для сравнения, на программном уровне DES по меньше мере в 100 раз быстрее RSA; на аппаратном - в 1 000-10 000 раз, в зависимости от выполнения.

    Алгоритм RSA запатентован в США. Его использование другими лицами не разрешено (при длине ключа свыше 56 бит). Справедливость такого установления можно поставить под вопрос: как можно патентовать обычное возведение в степень? Но, тем не менее, RSA защищен законами об авторских правах.

    Алгоритм DES

    DES (Data Encryption Standart) - это алгоритм с симметричными ключами. Разработан фирмой IBM и утвержден правительством США в 1977 как официальный стандарт для защиты информации, не составляющей государственную тайну.

    DES имеет блоки по 64 бит, основан на 16-кратной перестановке данных, для шифрования использует ключ длиной 56 бит. Существует несколько режимов DES, например Electronic Code Book (ECB) и Cipher Block Chaining (CBC).

    56 бит - это 8 семибитовых ASCII-символов, т.е. пароль не может быть больше чем 8 букв. Если использовать только буквы и цифры, то количество возможных вариантов будет существенно меньше максимально возможных 256. В России есть аналог алгоритма DES, работающий по тому же принципу секретного ключа. ГОСТ 28147 разработан на 12 лет позже DES и имеет более высокую степень защиты.

    PGP - Pretty Good Privacy- это семейство программных продуктов, которые используют самые стойкие из существующих криптографических алгоритмов. В основу их положен алгоритм RSA. PGP реализует технологию, известную как «криптография с открытыми ключами». Она позволяет как обмениваться зашифрованными сообщениями и файлами по каналам открытой связи без наличия защищенного канала для обмена ключами, так и накладывать на сообщения и файлы цифровую подпись.

    PGP была разработана американским программистом и гражданским активистом Филиппом Циммерманном, обеспокоенным эрозией личных прав и свобод в информационную эпоху. В 1991 г. в США существовала реальная угроза принятия закона, запрещающего использование стойких криптографических средств, не содержащих «черного хода», используя который, спецслужбы могли бы беспрепятственно читать зашифрованные сообщения. Тогда Циммерманн бесплатно распространил PGP в Интернет. В результате, PGP стал самым популярным криптографическим пакетом в мире (свыше 2 млн. используемых копий), а Циммерманн подвергся трехлетнему преследованию властей по подозрению в «незаконном экспорте вооружений».

    Непрофессиональное ПО для защиты информации

    К таким программным средствам относится ПО, доступное (бесплатно или за небольшую цену) всем пользователям, не требующее специальной лицензии на использование и не имеющее авторитетных подтверждений своей стойкости (сертификаций). К ним относятся: PGP freeware; файловые системы с разграничением доступа: WinNT, Unix, NetWare; архивация с паролем; парольная защита в MS Office.

    Шифровка в Word и Excel

    Фирма Майкрософт включила в свои продукты некоторое подобие криптозащиты. При этом, алгоритм шифровки не описан, что является показателем ненадежности. Кроме того, имеются данные, что Майкрософт оставляет в используемых криптоалгоритмах «черный ход». Если необходимо расшифровать файл, пароль к которому утрачен можно обратиться в фирму. По официальному запросу, при достаточных основаниях буден проведена расшифровка файлов Word и Excel.

    Шифрованные диски (каталоги)

    Шифровка - достаточно надежный метод защиты информации на жестком диске. Однако если количество закрываемой информации более двух-трех файлов, будет несколько сложно с ней работать: каждый раз нужно будет файлы расшифровывать, а после редактирования - зашифровывать. При этом на диске могут остаться страховочные копии файлов, которые создают многие редакторы.

    Поэтому созданы специальные программы (драйверы), которые автоматически зашифровывают и расшифровывают всю информацию при записи ее на диск и чтении с диска.

    Шифрованные архивы

    Программы-архиваторы, как правило, имеют опцию шифровки. Ею можно пользоваться для не слишком важной информации. Во-первых, используемые там методы шифровки не слишком надежны (подчиняются официальным экспортным ограничениям), во-вторых, детально не описаны. Все это не позволяет всерьез рассчитывать на такую защиту.

    Электромагнитная защита

    Любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен дистанционный съем информации с компьютеров и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обертка из фольги могут стать защитой от электромагнитных волн. Подведем итоги. Существует три вида защиты электронного документа: программный, аппаратный и смешанный. Программные средства ЗИ - это формы представления совокупности данных и команд, предназначенных для функционирования компьютерных устройств. Аппаратные средства - это технические средства, используемые для обработки данных. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

    Что касается отношения пользователей компьютерных систем компании к состоянию информационной защиты организации - вопрос «Как Вы оцениваете уровень компьютерной безопасности в Вашей организации» отражает субъективную оценку респондентов системы защиты своей организации. Результаты: а) достаточен, но существует риск утечки информации - 29%; слишком высок (нет необходимости столь строгих ограничений) - 8 %; в) недостаточен - 27 %; г) какая бы ни была защита - кто захочет, тот найдет способ ее нарушить - 36 %. Как видим, большинство респондентов справедливо полагают, что защиту можно нарушить.

    В 8 случаях из 10 дыры в системе безопасности обусловлены тем, что пользователи пренебрегают базовыми принципами защиты информации, то есть метауровнем контроля над системой. Пренебрегают, потому что считают принципы банальными, очевидными и поэтому не заслуживающими внимания. Рядовой пользователь ошибочно полагает: «если просто, значит, неэффективно». Это стандартное умозаключение, свойственное новичкам в любой области знаний и умений. Они просто не принимают в расчет тот факт, что в основе работы любой системы лежат именно «банальные» принципы. Также оценивалось доверие респондентов к сотрудникам своих организаций. Вероятность атак со стороны работников, по мнению респондентов, составила 49 %, вероятность внешних атак - 51 %. Опрос показал, что ненамного, но все же, больше сотрудники опасаются внешних атак.

    Рисунок 1 - Какова наибольшая опасность атак - внешних или внутренних

    Согласно результатам исследования спама опасаются 4 % респондентов, утечки данных - 14 %, искажения данных - 14 %, кражи оборудования - 10 %, саботажа - 1 %, сбоев информационных систем - 15 %, заражения вредоносным ПО (вирусы, черви) - 14 % опрошенных, за опасность hack-атак было отдано 10 % голосов. Отдельно была отмечена опасность атак на сервер и взлом ISQ, опасность низкоуровневых DDOS-атак, т.е. атак нарушающих работу системы.


    Рисунок 2 - Наиболее опасные угрозы внутренней информационной безопасности

    Спам (англ. - Spam) - рассылка по электронной почте сообщений какого-либо характера без согласия на это получателя. Периодически повторяющийся спамминг может нарушить работу пользователей из-за перегрузки сервера электронной почты, вызвать переполнение почтовых ящиков, что приведет к невозможности получения и отправки обычных сообщений, увеличит время нахождения получателя «на линии», а это дополнительные расходы времени и трафика.

    Hack - класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Ports scan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером для осуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки.

    Следует помнить, что антивирусные программы, как и любое другое программное обеспечение, не застраховано от ошибок, троянских программ и др. Также не следует преувеличивать надежность защиты с помощью антивирусных программ.

    Как и в большинстве других случаев организации защиты, оптимальной стратегией защиты от компьютерных вирусов является многоуровневая. Такую защиту обеспечивают современные профессиональные пакеты антивирусного программного обеспечения. Такие пакеты содержат резидентную программу-страж, выполняющую роль ревизора системы и главную программу-антибиотик для тотальной очистки от вирусов. Характерной чертой этих пакетов является наличие программы оперативного обновления антивирусных баз с использованием локальной или глобальной компьютерной сети. Такой антивирусный пакет должен быть установлен на каждый компьютер локальной сети. Компьютер-сервер же снабжается специализированным антивирусным пакетом для серверов. Такой пакет программ дополнен программным межсетевым экраном, что обеспечивает улучшенную комплексную защиту.

    Самой же надежной защитой от известных вирусов для изолированного от сети компьютера следует считать терапию - тотальную проверку на вирусы всех файлов, в том числе архивов, системных и текстовых файлов, на данном компьютере. Программы-антибиотики производят проверку, лечение, а при невозможности лечения - удаление зараженных всеми известными вирусами файлов. коммерческий тайна шпионаж безопасность

    Выполнять тотальную проверку и лечение необходимо часто и систематически, а также перед каждым резервированием и архивированием.

    На мнение респондентов о наиболее подверженной утечке информации в организации, несомненно, оказала влияние специфика организации. Например, для издательств и научных организаций, несомненно, больше ценится интеллектуальная собственность. А для сферы, где уровень конкуренции достаточно высок - детали конкретных сделок. Финансовые отчеты, согласно ФЗ «О коммерческой тайне», таковой не являются ФЗ от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.07.2007).. Здесь респонденты дополнительно выделили информацию о клиентах и поставщиках: а) персональные данные - 29 %; б) финансовые отчеты - 16 %; в) детали конкретных сделок - 26 %; г) интеллектуальная собственность - 16 %; д) бизнес-планы - 10 %.


    Рисунок 3 - Наиболее подверженная утечке информация

    Как показывает исследование, в качестве наиболее действенных средств защиты информации респонденты отдельно отметили регулярное резервное копирование (бэкап) и организационные средства защиты. За антивирус отдали голоса 22,9% респондентов.

    Респондентами отдельно была отмечена опасность низкоуровневых DDOS-атак.

    Согласно исследованию, планы организаций компании по наращиванию систем информационной безопасности в ближайшие три года выглядит следующим образом. Часть респондентов заявила, что у них нет никаких планов, часть, что секретная информация не предвидится и «к тому, что есть, не требуется особых дополнений»: а) система защиты от утечек - 11 %; б) шифрование данных при хранении - 14 %; в) системы контроля идентификации и доступа - 19 %; г) ИТ-системы физической безопасности - 9 %; д) защита от внешних вторжений (IDS/IPS) - 19 %; е) система резервного копирования - 19 %. Интересным показалось предложение поменять бухгалтера.


    Рисунок 4 - Планы организаций по наращиванию систем информационной безопасности

    Российские и международные ГОСТы, предъявляющие требования к управлению документами и построению систем защиты информации, позволяют классифицировать риски электронных систем следующим образом: защита от несанкционированного доступа утечки информации, защита от физической порчи, утраты, защита от изменений, защита от не правильного использования, защита от невозможности использования. Каждый из этих рисков имеет цену. В сумме они могут составить цифру, способную разорить любую организацию ГОСТ Р ИСО 15489-1-2007 Управление документами. Общие требования; ИСО/МЭК 27001 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования; Скиба О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. - № 12. - С. 24..

    Возможность пользоваться с работы электронной почтой относится к организационным мерам информационной защиты: а) только корпоративной почтой (внутри организации) - 19 %; б) только корпоративной почтой (в том числе переписываться с внешними абонентами) - 31 %; в) почтовыми ящиками любых сайтов - 44 %; г) внутрикорпоративный ящик и внешняя почта разделены, доступ к внешней почте с отдельного рабочего места - 6 %.

    Перлюстрация - тайное вскрытие и просмотр пересылаемой по почте корреспонденции. Фактически - предупреждение различных преступных деяний. В исследуемых организациях перлюстрация - это: а) нормальная практика - 19%; б) нарушение прав человека - 60 %; в) бесполезное занятие - 21 %.

    При изучении принципов защиты информации также исследовались права пользователей. Так, доступ в Интернет в организации: а) свободный для всех без ограничений по ресурсам - 29 %; б) свободный за исключением некоторых сайтов - 29 %; в) разрешен только руководителям и некоторым специалистам - 42 %. Дело в том, что путешествие по сети Интернет может привести к заражению компьютера вредоносным ПО. Ограничение прав пользователей способно ограничить риск заражения.


    Рисунок 5 - Права сотрудников организации на доступ в Интернет

    Телефонные разговоры по личным вопросам на работе. Их ограничение сокращает утечку коммерческой информации. Итог: телефонные разговоры а) запрещены и контролируются - 8 %; б) запрещены и не контролируются - 58 %; в) не ограничены - 34 %.

    Брать работу на дом (практически означает выносить защищаемую информацию за пределы организации, что, конечно, не способствует повышению уровня безопасности: а) невозможно - 29 %; б) обычная практика - 47 %; в) запрещено формально - 34 %.

    Личное отношение к ограничениям, связанным с обеспечением информационной безопасности - опять же, субъективная оценка, показывающая отношение к защите информации - принятие-непринятие установленных мер, привычка. Личное отношение к ограничениям: а) несущественны - 36 %; б) неприятно, но терпимо - 20 %; в) причиняют значительные неудобства, и при этом часто бессмысленны - 0 %; г) причиняют значительные неудобства, но без этого не обойтись - 18 %; д) у меня нет никаких ограничений - 26 %.


    Рисунок 6 - Личное отношение к ограничениям, связанным с обеспечением информационной безопасности

    При формировании системы информационной защиты необходимо учитывать специфику каждой отдельной организации. Для каждого случая надо формировать свой комплекс мер по защите от подделки. Стоимость производства документа должна оправдывать экономический эффект от мероприятия. Также как доход от производства подделки должен превышать затраты на его изготовление. Следует ограничивать документы по периодам обращения: новый дизайн бланков, новые логотипы и прочие ротационные изменения могут предупредить часть подделок. В зависимости от применяемых технологий защиты следует определиться, целесообразно ли применения программно-аппаратного комплекса защиты, обеспечивающего диагностику подлинности экземпляра выбранного документа. Новые алгоритмы сравнения изображений в дополнение к комбинации компонентов программного продукта способны определить подлинность документа.

    Прежде всего, необходимо разработать и утвердить организационные документы, закрепляющие порядок работы сотрудников с документами, подлежащими защите. Например, политику безопасности. Для этого необходимо составить перечень документов, подлежащих защите, идентифицировать угроз безопасности, оценить риски, т.е. провести аудит информационной безопасности.

    На основе собранной в процессе аудита безопасности информации разрабатывается проект политики безопасности. Для этого может быть использован типовой проект политики, с адаптацией его к специфическим особенностям организации.

    После утверждения документа необходимо внедрить его в организации, а это обычно встречает сопротивление со стороны сотрудников организации, поскольку налагает на них дополнительные обязанности, усложняет работу. Поэтому система безопасности документов должна быть тщательно продумана и целесообразна, не должна создавать значительные трудности в работе.

    По итогам проведенного исследования можно сделать следующие выводы:

    Наиболее опасные угрозы информационной безопасности: сбой информационной системы, утечка информации, искажение данных.

    Документы, представляющие наибольший интерес для злоумышленников - договоры, документы, содержащие персональные данные.

    Наиболее действенными средствами защиты электронных документов является резервное копирование и организационные меры защиты.

    ООО «Астра-ком» характеризуется высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения принимаемых мер недостаточно.

    Итак, очевидно, что в ООО «Астра-ком» учтены принципы защиты информации на компьютере.

    Для обеспечения защиты коммерческой информации на ООО «Астра-ком» введен определенный порядок работы с информацией и доступа к ней, включающий в себя комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на правовых нормах республики или на организационно-распорядительных положениях руководителя предприятия (фирмы). Эффективная защита коммерческой тайны возможна при обязательном выполнении ряда условий:

    единство в решении производственных, коммерческих, финансовых и режимных вопросов;

    координация мер безопасности между всеми заинтересованными подразделениями предприятия;

    научная оценка информации и объектов, подлежащих классификации (защите). Разработка режимных мер до начала проведения режимных работ;

    персональная ответственность (в том числе и материальная) руководителей всех уровней, исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ.

    Включение основных обязанностей рабочих, специалистов и администрации по соблюдению конкретных требований режима в коллективный договор, контракт, трудовое соглашение, правила трудового распорядка.

    На анализируемом предприятии ООО «Астра-ком» организована служба безопасности. В службу предприятия входят: подразделение защиты информации, подразделение технических средств связи и противодействия техническим средствам разведки, подразделение охраны.

    Службе безопасности ООО «Астра-ком» при организации защиты коммерческой тайны необходимо учитывать следующие возможные методы и способы сбора информации: опрос сотрудников изучаемой фирмы при личной встрече; навязывание дискуссий по интересующим проблемам; рассылка в адреса предприятий и отдельных сотрудников вопросников и анкет; ведение частной переписки научных центров и ученых со специалистами.

    Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий.

    Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран экономические соперники могут прибегнуть в том числе и к противоправным действиям, промышленному шпионажу.

    Наиболее вероятно использование следующих способов добывания информации: визуальное наблюдение; подслушивание; техническое наблюдение; прямой опрос, выведывание; ознакомление с материалами, документами, изделиями и т.д.; сбор открытых документов и других источников информации; хищение документов и других источников информации; изучение множества источников информации, содержащих по частям необходимые сведения.

    Аналитические исследования, моделирование вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить вероятность их выполнения, наличие методического материала, материального обеспечения, готовность СБ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности КТ.

    Планируемые мероприятия должны: способствовать достижению определенных задач, соответствовать общему замыслу; являться оптимальными.

    В практике работы с персоналом работникам службы безопасности ООО «Астра-ком» можно порекомендовать проверять не только хранение сотрудниками коммерческой тайны, но и отношение их своим служебным обязанностям, аккуратность в обращении с документами, излишний “интерес” к другим подразделениям. Кроме того, для выявлении конкретных работников, осуществляющих разглашение конфиденциальной информации, занимающихся хищением денег, либо совершающих другие неправомерные действия, угрожающие экономическому положению фирмы необходимо обратить внимание на следующее: внезапный активный интерес к конфиденциальной информации, деятельности других подразделений; изменение поведения работника в общении с коллегами, в разговорах, появление неуверенности, страха; резкое увеличение расходов работника, приобретение дорогостоящих товаров, недвижимости.

    Для поддержания высокого уровня защищенности экономических интересов фирмы службе безопасности целесообразно проводить проверки лиц, которые могут, пользуясь своим служебным положением, представлять угрозы безопасности.

    Кроме того, директору ООО «Астра-ком» необходимо проводить такую внутреннюю политику, чтобы минимизировать количество недовольных работников (служебным положением, оплатой труда и пр) и особенно стараться сохранять хорошие отношения с увольняющимися работниками. В этом случае вероятность утечки информации будет снижена.

    Обязательным условием эффективной системы экономической безопасности является формирование собственной картотеки клиентов с разбивкой по степени их надежности, а также участие в формировании межсубъектных региональных и общероссийских банков данных, использование их информации о контрагентах.

    Организация системы защиты вписывается в обстановку на фирме. В связи с этим крайне важен учет принципиальных проходящих в ней и предполагаемых изменений.

    Таким образом, система организации защиты коммерческой тайны ООО «Астра-ком»включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий.

    Одной из основополагающих составных частей успешной деятельности современного предприятия является развитие системы обеспечения информационной безопасности и защиты информации. Необходимость проведения мероприятий в этой области объясняется хранением в информационной системе личных данных об учащихся, что является конфиденциальной информацией. Недобросовестные конкуренты готовы пойти на противоправные действия для того, чтобы завладеть чужой информацией, а завладев ею, использовать ее во вред конкурентам. Другой важной стороной обеспечения информационной безопасности является защита от намеренного или случайного уничтожения данных, что приведет к потере информации важной как для оперативной работы учреждения, так и для аналитической отчетности.

    При ведении бумажного учета в ДЮСШ №5 ситуация с обеспечением информационной безопасности и защиты информации обстоит весьма посредственно. Данные о учащихся и их здоровье, преподавателях, и оплате за обучение хранятся в виде бумажных документов в шкафах сотрудников, а отработанные документы – в архиве. При этом ничто не мешает посторонним сотрудникам ознакомиться с этими документами или скопировать их, а злоумышленнику выкрасть их. Должностные инструкции о необходимости соблюдения порядка хранения документов вряд ли остановят злоумышленника, поставившего перед собой цель завладеть ими. При бумажном варианте ведения дел также велика вероятность потери документов, а также намеренного или случайного уничтожения документов.

    При использовании компьютеризированного варианта работы уровень информационной безопасности повышается на порядок. Сама система автоматизированного документооборота заставляет пользователя быть более ответственным в этом вопросе.

    Технически информационная безопасность и защита информации осуществляется при помощи системы паролей для доступа к ресурсам информационной системы разного уровня. Прежде всего, это пароль входа пользователя в операционную систему его рабочего места. Ввод этого пароля открывает пользователю доступ к ресурсам данного компьютера и к документам, хранящимся на нем. При этом политика безопасности должна быть настроена таким образом, чтобы пользователь не был полным «хозяином» на своем рабочем месте и не мог, например, установить вредоносное программное обеспечение или программы по копированию информации. Ограничение прав несколько осложняет работу пользователей, но при этом дает гарантию защищенности данных. Необходимо всегда находить баланс между удобством и комфортом работы пользователя и безопасностью хранения корпоративной информации или информации о клиентах.

    Когда пользователь вводит свой пароль входа в операционную систему, он получает доступ не только к ресурсам данного компьютера, но и к ресурсам компьютерной сети предприятия. Это возможно в том случае, если пользователь входит на компьютер как доменный или сетевой пользователь. В этом случае отнестись к разграничению прав пользователей в сети нужно еще более внимательно. Настроить права сетевого пользователя нужно таким образом, чтобы дать ему возможность беспрепятственно работать со своими документами, но при этом ограничить доступ к документам, прав на работу с которыми у него нет, либо это только права на просмотр. В этом случае решается одновременно задача защиты данных от несанкционированного доступа и от случайной их порчи.

    Прерогативой распределения прав пользователей обладает на предприятии системный администратор. Именно он должен разграничить права пользователей по доступу к документам и приложениям как в сети так и на локальных компьютерах.

    Вторым уровнем защиты информации является парольная защита доступа непосредственно в автоматизированную систему работы ДЮСШ №5, реализованную в системе 1С:Предприятие 8.1. Система 1С:Предприятие имеет в своем составе механизм ведения списка пользователей и разграничения их прав доступа к данным. В результате можно гибко настроить доступ пользователей только к нужным данным в информационной системе, скрыв от несанкционированного доступа и от возможности случайной порчи данные, доступа к которым у данного пользователя нет.

    Третьим уровнем парольной защиты информации является пароль доступа к безе данных SQL Server при построении клиент-серверного варианта архитектуры работы системы 1С:Предприятие 8.1. В данном варианте работы данные, хранящиеся в базе данных защищены не только системой разграничения прав доступа пользователей системы 1С:Предприятие но и системой SQL Server, что на порядок повышает уровень безопасности работы.

    Обязанность распределения прав доступа пользователей к данным, хранящимся в информационной системе 1С:Предприятие 8.1 лежит на администраторе системы. Он должен настроить права каждого пользователя таким образом, чтобы не создавая ему трудностей в работе, ограничить ему доступ к данным, доступа к которым у него нет. Совместно с системным администратором они настраивают и доступ к базе данных SQL Server.

    Неоспоримым фактором, повышающим уровень информационной безопасности и защиты информации при внедрении электронной системы учета продаж является возможность при необходимости «спасти» всю базу данных документов на каком-либо электронном носителе при возникновении, например, стихийных бедствий. В дальнейшем эта копия базы данных может быть развернута на новом месте и работа с документами продолжена с того места, на котором она прервалась.

    Кроме организации парольной защиты информации не стоит пренебрегать и физической защитой информации. Целесообразно разместить сервера компьютерной сети, системы 1С:Предприятие и сервера баз данных SQL Server (при клиент-серверном варианте работы) в отдельной комнате (серверной) в которой кроме специальных условий, необходимых для работы серверов (кондиционирование, вентилирование,…) создать и специальные условия, исключающие проникновение посторонних лиц. Это может быть система управления доступом, либо другие организационные меры.

    Не смотря на планируемое внедрение в ДЮСШ №5 автоматизированной системы, работа с бумажными документами все равно будет иметь место. Так, например, договора, заключенные с клиентами, имеют юридическую силу лишь на бумажных носителях. Организация хранения таких документов, исключающая возможность доступа к ним посторонних лиц, или сотрудников, не имеющих к ним доступа является немаловажным пунктом в обеспечении общей системы информационной безопасности. Целесообразно организовать архив, в котором хранились бы такие документы и регламентировать доступ в него сотрудников. Возможность проникновения посторонних лиц исключить физическими методами (железная дверь, решетки на окнах).

     

     
    Это интересно: