Совершенствование системы информационной безопасности на предприятии 'НПО 'Эталон'
КОНТРОЛЬНАЯ РАБОТА
по дисциплине: Информационная
безопасность и защита информации
на тему: «Совершенствование системы
информационной безопасности на предприятии «НПО «Эталон»»
Содержание
Введение
1. Анализ
системы информационной безопасности на предприятии
.1 Общие
сведения о деятельности предприятия
1.2 Объекты
информационной безопасности на предприятии
.3 Угрозы
информационной безопасности на предприятии
.4 Методы
и средства защиты информации на предприятии
2. Совершенствование
системы информационной безопасности
.1 Недостатки
в системе защиты информации на предприятии
2.2 Анализ
рисков информационной безопасности
.3 Цели
и задачи совершенствованию системы ИБ на предприятии
.4 Мероприятия
по совершенствованию системы защиты информации
.5 Описание
мероприятий защиты на сервере
3. Эффективность
совершенствования системы информационной безопасности
Заключение
Библиографический
список
Введение
Безопасность информации предполагает отсутствие недопустимого риска,
связанного с утечкой информации по техническим каналам, несанкционированными и
непреднамеренными воздействиями на ресурсы, используемые в автоматизированной
системе.
Современные методы управления рисками позволяют решить ряд задач
перспективного стратегического развития предприятия. Во-первых, количественно
оценить текущий уровень информационной безопасности предприятия, что потребует
выявления рисков на правовом, организационно-управленческом, технологическом и
техническом уровнях обеспечения защиты информации. Во-вторых, в систему рискменеджмента
на предприятии может быть включена политика безопасности и планы
совершенствования корпоративной системы защиты информации для достижения
приемлемого уровня защищенности информационных активов компании.
Цель: совершенствование системы информационной безопасности на
предприятии «НПО «Эталон».
Задачи:
провести анализ системы безопасности;
выявить объекты информационной безопасности;
описать меры, методы, средства защиты информации;
описать наиболее реальные угрозы;
выявить недостатки в системе защиты;
провести анализ рисков информационной безопасности;
обосновать цели и задачи по совершенствованию;
описать меры по совершенствованию информационной безопасности;
рассчитать эффективность совершенствования информационной безопасности.
1. Анализ системы информационной безопасности на предприятии
.1 Общие сведения о деятельности предприятия
Основное направление деятельности компании ООО «НПО «Эталон» - разработка
и производство высокотехнологичного оборудования для нефтегазовой отрасли. ООО
«НПО «Эталон» создано в декабре 2007 года с целью удовлетворения потребности
нефтяников в качественном оборудовании. Предприятие разрабатывает и производит
Станции управления УЭЦН прямого и плавного пуска, а также СУ с частотным
регулированием вращения как асинхронного, так и вентильного двигателя и СУ
протяженным нагревателем.
Полное фирменное наименование предприятия:
· ООО «НПО «Эталон»
· Местонахождение предприятия: Россия, 618740, Пермский край,
г. Добрянка, ул. Советская, 43
Ориентир предприятия - потребности рынка. Для того чтобы выпускать
продукцию, максимально соответствующую запросам и пожеланиям потребителей,
собрали классных специалистов, аккумулировали мировой опыт и создали
современную конструкторскую и производственную базу.
К услугам компании относятся:
· Станция управление МП ЭТАЛОН (мягкий пуск)
· Станция управление ПН ЭТАЛОН (протяжённый нагреватель)
· Станция управление ПП ЭТАЛОН (прямой пуск)
· Станция управление ЧР
· Станция управление ЧР М
· Станция управление ЧР АВ
· СЧПР ЭТАЛОН
· Система погружной телеметрии "ЭТАЛОН-ТМС"
· Капитальный ремонт ШГС
· Капитальный ремонт импортных ЧР
· Сервисная служба ООО «НПО «Эталон»
Организация делится на два цеха и главный офис: производственный цех №1
(производственный цех и отдел техники безопасности) и конструкторский-производственный
цех №2 (конструкторский отдел, производственный цех), главный офис входит
генеральный директор, секретарь, финансовый директор, главный бухгалтер,
коммерческий директор, начальник коммерческого отдела, отдел информационной
безопасности (рис. 1)
Рисунок 1. Организационная структура предприятия.
.2 Объекты информационной безопасности на предприятии
В объекты информационной безопасности на предприятии входит:
сотрудники фирмы;
выпускаемая продукция и образцы товаров;
финансовые средства;
информация;
сервер и компьютеры.
1.3 Угрозы информационной безопасности на предприятии
Угрозы информационной безопасности, которые могут возникнуть на
предприятии:
несанкционированный доступ к информации, хранящейся в системе;
отрицание действий, связанных с манипулированием информацией:
ввод в программные продукты и проекты “логических бомб”, которые
срабатывают при выполнении определенных условий или по истечении определенного
периода времени и частично или полностью выводят из строя компьютерную систему;
разработка и распространение компьютерных вирусов;
небрежность в разработке, поддержке и эксплуатации программного
обеспечения, приводящие к краху компьютерной системы;
изменение компьютерной информации и подделка электронных подписей;
хищение информации с последующей маскировкой (например, использование
идентификатора, не принадлежащего пользователю, для получения доступа к
ресурсам системы);
отрицание действий или услуги (отрицание существования утерянной
информации);
отказ в предоставлении услуги (комплекс нарушений, вызванных системными
ошибками, несовместимостью компонент и ошибками в управлении).
.4 Методы и средства защиты информации на предприятии
На законодательном уровне:
§ Международные стандарты;
§ Государственные стандарты РФ;
§ Рекомендации по стандартизации;
§ Методические указания;
§ Другие законы и нормативные акты;
На процедурном уровне:
·
управление
персоналом;
·
физическая
защита;
·
поддержание
работоспособности;
·
реагирование на
нарушения режима безопасности;
·
планирование
восстановительных работ;
На административном уровне:
· Политика безопасности на предприятий.
На программно-аппаратных уровнях
§ шифрование данных ;
§ резервное копирование;
§ антивирусные средства;
§ межсетевые экраны;
§ анализаторы системных журналов;
§ системы анализа уязвимостей.
backup
сервер защита информация
2. Совершенствование системы информационной безопасности
.1 Недостатки в системе защиты информации на предприятии
Недостатки в системе защиты информации:
· доступ к информации, хранящейся в системе без аутентификации, не
настроена авторизация (процедурой предоставления субъекту определённых прав);
· на объектах не ведется видео наблюдение;
· не создана защита сервера.
.2 Анализ рисков информационной безопасности
Рассчитаем уровень угрозы по уязвимости Th на основе критичности и
вероятности реализации угрозы через данную уязвимость. Уровень угрозы
показывает, насколько критичным является воздействие данной угрозы на ресурс с
учетом вероятности ее реализации.
где ER - критичность реализации угрозы (указывается в %);(V) -
вероятность реализации угрозы через данную уязвимость (указывается в %).
Получаем значения уровня угрозы по уязвимости в интервале от 0 до 1.
Рассчитаем для каждой угрозы отдельно.
. Доступ к информации без аутентификации.
ER =
50 %(V) =100 %
Th1=50/100*100/100=0.5
. Не настроена авторизация
ER =
80 %(V) =100 %
Th2=80/100*100/100=0.8
. Не ведется видео наблюдение
ER =
20 %(V) =100 %
Th3=20/100*100/100=0.2
. Не создана защита сервера
ER =
100 %(V) =100 %
Th4=100/100*100/100=1= (Th1+ Th2+ Th3+
Th4)/4=(0.5+0.8+0.2+1)/4=2.5/4= 0.625
Полученный показатель Th=
0.625, выше половины, что требует совершенствования системы информационной
безопасности на данном предприятий.
.3 Цели и задачи совершенствованию системы ИБ на предприятии
Цель: снизить показатель угрозы к минимуму
Задачи:
создать доступ к компьютерам с аутентификацией
разработать авторизация для каждого сотрудника и их отделов
установить видеонаблюдение
создать защиту на сервер
Данная цель и задачи, понизят степень угрозы на предприятии, обеспечить
контроль используемой информаций для сотрудников, данные о местонахождении
сотрудников и совершаемых ими действий, обеспечить защиту сервера.
2.4 Мероприятия по совершенствованию системы защиты информации
На законодательном уровне:
· Методические указания
На процедурном уровне:
· контроль видеонаблюдения выдача логинов и паролей, под роспись
· разработать авторизация для каждого сотрудника и их отделов
На административном уровне:
· внести корректировки в политику безопасности на предприятий;
· обучение сотрудников основным правилам информационной
безопасности.
· На программно-аппаратных уровнях
· шифрование данных
· резервное копирование на сервере
· межсетевые экраны на сервере
· антивирус на сервере;
· создание аутентификацией на сервере ;
· создания авторизаций на сервере.
2.5 Описание мероприятий защиты на сервере
Шифрование данных
Для шифрования данных применяется Zecurion Zserver. Предназначен для
надежной защиты данных, которые хранятся и обрабатываются на серверах и
записываются на носители для резервного копирования. Система осуществляет
шифрование информации, размещенной на жестких дисках, на дисковых массивах
(RAID-массивы любых конфигураций) и в SAN-хранилищах, методом прозрачного
шифрования. Модуль для защиты резервных копий Zbackup осуществляет шифрование
данных на магнитных лентах и оптических дисках.
Шифрование информации на жестких дисках и магнитных лентах применяется
для предотвращения утечек информации, связанных с физическим доступом
злоумышленника к носителю с конфиденциальной информацией.
Решаемые задачи:
· Защита конфиденциальной информации в местах хранения.
· Безопасная транспортировка и утилизация данных.
· Защита баз данных, почтовых и файловых серверов в процессе
работы.
· Контроль доступа к защищаемой информации для пользователей и
приложений.
· Полное скрытие факта наличия на защищаемых носителях
каких-либо данных и ПО.
· Оперативное блокирование доступа к информации в случае
экстренной необходимости.
· Гарантированное уничтожение информации.
Резервное копирование
Наверное, нет необходимости говорить о важности резервного копирования. И
не только для крупных организаций. Бизнес-информация любой, даже самой
небольшой, компании нуждается в хорошей и своевременно сделанной резервной
копии. Но далеко не каждая компания может позволить себе мощное и дорогостоящее
решение на базе дорогих ленточных библиотек и известных программных продуктов,
таких как Symantec Backup Exec. В то же время копировать (а иногда и
восстанавливать данные) необходимо. Из создавшейся ситуации сам собой
напрашивается несложный выход - создать некую систему резервного копирования на
базе бесплатных программных продуктов на базе Linux. Как обычно бывает в
небольших компаниях, сдать законченную систему нужно было еще вчера, поэтому
основной акцент сделаем на простоте реализации, а также на возможности
делегирования операций резервного копирования другому лицу, не обладающему навыками
опытного администратора UNIX-систем.
Установка внутреннего Backup-сервера
Защититься от большинства внутренних факторов можно, установив
специальный файловый сервер для создания и хранения резервных копий. Таким
образом, большая часть данных копируется по сети в период наименьшей загрузки,
чаще всего ночью на жесткие диски сервера, специально выделенного для хранения
резервных копий.
Преимущества: данная система легко организуется и требует относительно
небольших затрат. Достаточно компьютера с большим объемом дискового
пространства. Данный комплект вполне можно использовать в качестве платформы
при организации файл-сервера для хранения резервных копий информации с других
серверов и рабочих станций.
Недостатки: эта технология не подходит для защиты от внешних факторов,
так как информация хранится на территории предприятия. Также она может
оказаться бесполезной в случае заражения компьютерным вирусом или вредоносного
воздействия других лиц, так как Backup-сервер, находящийся во включенном
состоянии и доступный по сети, также может подвергнутся как вирусной, так и
любой другой атаке.
Копирование данных на сменный носитель
Эта технология предполагает наличие некоего устройства, способного писать
на сменные носители данных. В совокупности с физической транспортировкой
носителя, содержащего свежую копию данных, за пределы предприятия, решение
способно обеспечить сохранность данных в большинстве случаев.
Преимущества: защищает как от внутренних, так и от большинства внешних
факторов.
Недостатки: требует дополнительное оборудование и программное обеспечение
для резервного копирования. Замедляется процесс восстановления данных в связи с
необходимостью обратной транспортировки носителя на территорию предприятия.
Также требует наличия дополнительных навыков у лица, ответственного за
сохранение и восстановление данных.
Антивирус на сервере
Антивирус для Unix-серверов решает не столько задачу защиты самих
серверов от заражения, сколько задачу недопущения распространения вирусов через
сервер. Для этого применяются все те же два основных средства:
· Проверка файлов по требованию
· Проверка файлов при доступе
Многие известные черви под Linux используют для распространения
уязвимости не в самой операционной системе, а в системном и прикладном ПО - в
ftp-сервере wu-ftpd, в веб-сервере Apache. Понятно, что такие приложения
используются чаще на серверах, чем на рабочих станция, что является
дополнительным аргументом в пользу усиленных мер по защите серверов.
Антивирус Касперского для Unix/Linux File Servers включает модуль проверки
при доступе, тогда как в Антивирусе Касперского для Linux Workstations такого
модуля нет. Связано это с различными функциями рабочих станций и серверов Linux
- в сети построенной исключительно (или большей частью) на Linux-станциях
опасность заражения вирусами практически отсутствует, и поэтому острой
необходимости в модуле, контролирующем все файловые операции, нет. Напротив,
если Linux-компьютер активно используется для хранения и передачи файлов
(особенно в Windows-сети), то он является, по сути, сервером и требует средств
постоянного контроля файлов.
Межсетевые экраны на сервере
Прокси-серверы (proxy, application layer gateway)
Технология прокси-сервера заключается в том, что хосты во внутренней сети
и хосты во внешней сети устанавливают соединения между собой не напрямую, а
через виртуального «посредника» - отдельный сервис, который обращается с
клиентом от имени сервера, а с сервером - от имени клиента. Таким образом,
межсетевой экран выступает как часть соединения и, соответственно, может анализировать
все происходящие при соединении события, обнаруживая, в том числе, и возможные
атаки.
Прокси-серверы существуют, в основном, для нескольких наиболее популярных
протоколов прикладного уровня: HTTP, FTP и некоторых других. Существует также
общемировой стандарт создания прокси-серверов для собственных протоколов SOCKS5
(RFC 1928). Кроме того, в них чаще всего присутствуют возможности пакетной
фильтрации.
Плюсы:
· Высокий уровень защиты
· Проверка на всех уровнях модели OSI (до 7-го включительно)
· Возможность осуществления контроля содержимого (фильтрации
web, электронной почты и т.д.)
Минусы
· Ограниченное число поддерживаемых протоколов
· «Непрозрачность» - необходимость прописывать на клиентских
машинах адрес прокси-сервера
· Удвоение количества соединений
· Низкая производительность, высокие требования к мощности
сервера, на котором установлена прокси-служба
· Плохая масштабируемость
3. Эффективность совершенствования системы информационной безопасности
Рассчитаем эффективность совершенствования системы, путем повторного
анализа уровня угрозы безопасности по уязвимостям которые могут создаться после
совершенствования системы.
где ER - критичность реализации угрозы (указывается в %);(V) -
вероятность реализации угрозы через данную уязвимость (указывается в %).
Получаем значения уровня угрозы по уязвимости в интервале от 0 до 1.
Рассчитаем для каждой угрозы отдельно.
. Доступ к информации с аутентификации, другим человеком.
ER =
50 %(V) =10 % (разглашение и использование чужих логинов и паролей, увольнение)
Th1=50/100*10/100=0.05
. Не правильная политика авторизации.
ER =
40 %(V) =20 %
Th2=40/100*20/100=0.08
. Утеря(потеря данных) записей видеонаблюдения.
ER = 5
%(V) = 5 %
Th3=5/100*5/100=0.0025
. Взлом сервера
ER =
100%
P (V) = 20 % (в зависимости от реализаций
мер для защиты сервера)
Th4=100/100*20/100=0,2
Th= (Th1+ Th2+ Th3+ Th4)/4=(0.05+0.008+0.0025+0,2)/4=
0,3325/4= 0,083125
Полученный показатель Th=
0,083125, нише 10 %, что показывает что мероприятия совершенствования системы
информационной безопасности на данном предприятий сведены до минимума, что и
требовалось.
Заключение
Способы по совершенствованию информационной безопасности предприятия
являются малозатратными и достаточно эффективными, чтобы обезопасить
предприятие от множества угроз информационной безопасности как извне, так и
изнутри. Хотя существуют и другие способы, вроде тотальной слежки за
сотрудниками, их эффективность значительно ниже и не попадает под категорию
простых средств. Кроме того, не стоит забывать, что обеспечение информационной
безопасности не должно наносить вред деятельности предприятия или создавать
помехи для работы сотрудникам.
Показатель угрозы информационной безопасности на предприятии значительно
снизился, это показывает что данные меры эффективны. Еженедельное часовое
обучение сотрудников основным правилам информационной безопасности и возможных
угрозах, с которыми могут столкнуться рядовые сотрудники, приведет показатели
угрозы информационной безопасности на предприятии к минимуму. Несколько живых
примеров из повседневной практики помогут лучше усвоить урок и получить
удовольствие от этого семинара, а руководство будет иметь дополнительную
возможность контролировать информационную безопасность предприятии.
Библиографический список
1. Галатенко
В.А. Основы информационной безопасности, Интернет-университет информационных
технологий - ИНТУИТ.ру, 2009
. Галатенко
В.А. Стандарты информационной безопасности, Интернет-университет информационных
технологий - ИНТУИТ.ру, 2010