Определение требований к системе защиты корпоративной информационной системы

Содержание

Введение

1. Теоретические основы построения корпоративной сети

1.1 Понятие, компоненты, функционирование корпоративной сети

1.2 Анализ источников угроз и информационных рисков

1.3 Основные положения системы защиты информации

2. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений

2.1 Объекты и субъекты защиты

2.2 Организационные мероприятия в системе защиты информации

2.3 Современные технологии защиты информации

2.4 Обоснованность защиты информации

Перечень нормативных документов, регламентирующих деятельность в области защиты информации:

3. Совершенствование мероприятий, направленных на повышение эффективности мер по защите корпоративной информационной системы Дистанции электроснабжения

3.1 Недостатки организации защиты корпоративной сети

3.2 Организационные мероприятия

3.3 Инженерно-технические мероприятия

Заключение

Библиографический список

Введение

Современное развитие мировой экономики характеризуется все большей зависимостью рынка от значительного объема циркулирующей информации внутри его.

В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.

Актуальность темы обусловлена действием ряда факторов, которые направлены на совершенствование защиты корпоративной информационной системы, с целью совершенствования хозяйственного механизма современных предприятий, работающих в рыночной экономике и применения современных технологических разработок.

В виду вышесказанного, законодательными актами, как в России, так и зарубежных стран предусматривают немалое количество норм, направленных на регулирование создания, пользования, передачи и защиты информации во всех ее формах.

Особой ценностью обладает информация, несущая в себе персональные данные, служебную тайну, коммерческая тайну, информацию ограниченного доступа, банковскую тайну, государственную тайну, инсайдерская информация, конфиденциальная информация и иная информация.

Проблема защиты информации является многоплановой и комплексной, требующей необходимого сочетания применяемых законодательных, организационных и программно-технических мер.

Утечка любой информации может отразиться на деятельности предприятия. Особую роль играет та информация, потеря корой может повлечь большие изменения в самом предприятии и материальные потери.

В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но совсем другая ситуация, когда мы обязаны предоставить данные о себе в соответствии с законом третьему лицу, а конкретно - работодателю. Работник в данной ситуации передает конфиденциальную информацию о себе на ответственное хранение. Далее за сохранность данных отвечает уже работодатель. Он обязан оберегать сведения о работнике от посягательств третьих лиц и нести ответственность за распространение указанных данных.

Цель этой работы заключается в определении требований к системе защиты корпоративной информационной системы.

Задачи работы:

1.      Выявить проблемные вопросы системы защиты корпоративной информационной системы дистанции электроснабжения.

2.      Сформулировать перечень угроз и требований к системе защиты корпоративной информационной системы дистанции электроснабжения.

.        Обосновать структуру информационных рисков для корпоративной информационной системы дистанции электроснабжения.

.        Выбрать и обосновать методы и технические средства, направленные на повышение эффективности защиты корпоративной информационной системы дистанции электроснабжения.

Объект исследования - типовая система защиты корпоративной информационной системы "интрасеть" Московско - Смоленской Дистанции электроснабжения филиала ОАО "РЖД", имеющей собственные здания и территорию.

Предмет исследования - методы и технические средства защиты корпоративной информационной системы дистанции электроснабжения.

Практическая значимость и внедрение полученных результатов позволило создать мероприятия по организации защиты корпоративной сети, адаптированной к конкретным условиям с учетом специфики объекта и различной категории информации и пользователей.

Авторы, исследующие проблематику А.В. Соколов (профессор, заведующий кафедрой информатики и программного обеспечения Московского института электронной техники) и В.Ф. Шаньгин (профессор, доктор технических наук) с 1978 года по настоящее время освещают актуальные вопросы защиты информации при использовании распределенных корпоративных систем и сетей масштаба предприятия, защиты internet.

защита информация корпоративная сеть

1. Теоретические основы построения корпоративной сети

1.1 Понятие, компоненты, функционирование корпоративной сети

Корпоративная сеть - это сложная система включающая множество разнообразных компонентов: компьютеры разных типов, начиная с настольных и кончая мейнфремами, системное и прикладное программное обеспечение, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы, кабельную систему. В данной работе будет рассматриваться интрасеть Московско-Смоленской Дистанции электроснабжения филиала ОАО "РЖД". Это обособленное структурное подразделение железной дороги, которое входит в состав службы электрификации и электроснабжения. Обеспечивает бесперебойное и надежное питание всех потребителей электроэнергией, а также обеспечения надежного функционирования всех объектов и устройств, контактной сети в пределах обслуживаемого участка.

Функциональные возможности интрасети охватывают очень широкий спектр - начиная от работы со статическими Web-страницами, которые заменяют корпоративные печатные документы или обеспечивают новый способ совместного использования информации и кончая сложными клиентскими интерфейсами для офисных серверных приложений.

Технологии, необходимые для интрасети и реализующие их средства, широко распространены. К ним относятся: протокол TCP/IP, сетевая файловая система NFS (Network File System), Web-браузер (программа поиска и просмотра системы), Web-сервер, HTML-редактор, электронная почта и тому подобное. Доступ к информации осуществляется на основе IP-соединений.

Интрасеть состоит из нескольких компонентов:

1) сетевой инфраструктуры,

) серверов,

) документов,

) браузеров,

) приложений.

Интрасеть является основой, обеспечивая необходимые соединения, предоставляющие доступ к информации для сотрудников организации. Для осуществления соединения и обмена данными интрасеть использует сетевой протокол TCP/IP. TCP/IP дает возможность уникального именования компьютеров в сети (эти имена называют IP-адресами). Этот протокол также обеспечивает механизм, при помощи которого компьютеры могут находить друг друга и соединяться. Интрасеть использует еще один протокол HTTP (Hypertext Transfer Protocol). Он применяется для передачи текстов, изображений и гиперссылок (то есть связей с другими электронными документами), указывающих на Web-страницы. Можно сказать, что TCP/IP - это основной способ, при помощи которого компьютеры связываются в сети, a HTTP - некий верхний уровень, дающий им возможность обмениваться информацией.

Серверы. Информация чаще всего находится на компьютерах, которые обычно называют Web-серверами. Сервер хранит документы и выполняет запросы пользователей о поиске и просмотре данных.

Документы. Содержимое интрасети - то есть просматриваемая информация - хранится в документах. По умолчанию они имеют формат HTML (Hypertext Makeup Language) - текстовый формат, состоящий из собственно текста, тегов, управляющих форматированием, и гиперссылок, указывающих на другие документы.

Браузеры. Для работы в интрасети и просмотра документов, хранящихся на серверах, применяют приложения, называемые браузерами. Они выполняют несколько функций:

поиск информации и подключение к Web-серверу;

загрузка, форматирование и вывод на экран документов на языке HTML;

распознавание и переход к соответствующим документам;

Приложения. Приложения пишутся разработчиками для решения определенных задач фирмы.

Кроме разнообразного сетевого оборудования, интрасеть состоит из следующих программных компонент:

) программного обеспечения внутреннего Web-сервера организации, содержащего сведения о деятельности фирмы (цены, распоряжения руководства, документы для согласования и обсуждения и тому подобное и соединенного с имеющимися базами данных ("Склад", "Бухгалтерия" и так далее);

) программных средств для проведения конференций внутри организации для обсуждения предложений по улучшению работы, сообщения о различных мероприятиях и тому подобное.;

) Программное обеспечение реализующих работу электронной почты.

В интрасети могут существовать сегменты с разной степенью защищенности:

свободно доступные (различные серверы);

с ограниченным доступом;

закрытые для доступа.

Корпоративную сеть дистанции электроснабжения целесообразно рассмотреть как систему, состоящую из нескольких взаимодействующих слоев. В основании пирамиды, представляющей корпоративную сеть, лежит слой компьютеров - центров хранения и обработки информации, и транспортная подсистема, обеспечивающая надежную передачу информационных пакетов между компьютерами.

Рисунок 1. Иерархия слоев корпоративной сети

Над транспортной системой работает слой сетевых операционных систем, который организует работу приложений в компьютерах и предоставляет через транспортную систему ресурсы своего компьютера в общее пользование.

Над операционной системой работают различные приложения, но из-за особой роли систем управления базами данных, хранящих в упорядоченном виде основную корпоративную информацию и производящих над ней базовые операции поиска, этот класс системных приложений обычно выделяют в отдельный слой корпоративной сети.

На следующем уровне работают системные сервисы, которые, пользуясь СУБД, как инструментом для поиска нужной информации среди миллионов байт, хранимых на дисках, предоставляют конечным пользователям эту информацию в удобной для принятия решения форме, а также выполняют некоторые общие для предприятий всех типов процедуры обработки информации. К этим сервисам относится система электронной почты, системы коллективной работы и многие другие.

Верхний уровень корпоративной сети представляет специальные программные системы, которые выполняют задачи, специфические для данного предприятия или предприятий данного типа.

Конечная цель корпоративной сети воплощена в прикладных программах верхнего уровня, но для их успешной работы абсолютно необходимо, чтобы подсистемы других слоев четко выполняли свои функции.

Основная задача системных администраторов состоит в том, чтобы эта громоздкая система как можно лучше справлялась с обработкой потоков информации циркулирующих между сотрудниками предприятия и позволяла принимать им своевременные и рациональные решения, обеспечивающие работу предприятия.

Интрасеть Московско-Смоленской Дистанции электроснабжения ОАО "РЖД" изолирована от внешних пользователей Internet и функционирует как автономная сеть, не имеющие доступа извне.

Рисунок 2. Структура локальной сети

1.2 Анализ источников угроз и информационных рисков

Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации. Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников. Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат - овладение информацией и противоправное ее использование или совершение иных дестабилизирующих действий. Целями и результатами несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, модификация, уничтожение, фальсификация, подмена и тому подобное. Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. Утрата информации происходит в большинстве случаев не в результате преднамеренных действий злоумышленника, а из-за невнимательности и безответственности персонала.

Следовательно, утрата информационных ресурсов ограниченного доступа может наступить при:

§  наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации,

§  возникновении риска угрозы, организованной злоумышленником, или при случайно сложившихся обстоятельствах;

§  наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

©  отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

©  неэффективную систему защиты информации или отсутствие этой системы, что образует высокую степень уязвимости информации;

©  непрофессионально организованную технологию обработки и хранения конфиденциальных документов;

©  неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;

©  отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;

©  отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;

©  бесконтрольное посещение помещений фирмы посторонними лицами.

Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней.

Существующие действия, производимые с информацией, которые могут содержать в себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения. Придерживаясь принятой классификации будем разделять все источники угроз на внешние и внутренние.

Внутренние и внешние угрозы

Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений: обслуживающий персонал (системные администраторы, отвечающие за эксплуатацию и сопровождение технических и программных средств); программисты сопровождения системного и прикладного программного обеспечения; технический персонал (рабочие подсобных помещений, уборщицы и тому подобное); сотрудники подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.

Источниками внутренних угроз являются:

·        сотрудники организации;

·        программное обеспечение;

·        аппаратные средства.

Внутренние угрозы могут проявляться в следующих формах:

ошибки пользователей и системных администраторов;

нарушения сотрудниками фирмы установленных регламентов обработки, передачи и уничтожения информации;

ошибки в работе программного обеспечения;

заражение компьютеров вирусами или вредоносными программами;

отказы и сбои в работе компьютерного оборудования.

К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.

Внешний нарушитель осуществляет перехват и анализ электромагнитных излучений от оборудования информационной системы.

К внешним источникам угроз относятся:

·        Организации и отдельные лица;

·        Стихийные бедствия;

·        Техногенные аварии;

·        Совершения террористических актов.

Формами проявления внешних угроз являются: перехват; анализ и модификацию информации; несанкционированный доступ к корпоративной информации; информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб; аварии, пожары, техногенные катастрофы.

Все перечисленные нами виды угроз (формы проявления) можно разделить на умышленные и неумышленные, заинтересованные и незаинтересованные в возникновении угрозы лица.

Умышленные воздействия - это целенаправленные действия злоумышленника, вызванные любопытством; хакерская атака; уязвленным самолюбием работника, попытка совершения террористических актов. В качестве злоумышленника могут выступать служащий, посетитель, конкурент, наемник, технический персонал (рабочие подсобных помещений, уборщицы и тому подобное).

Причинами неумышленных случайных воздействий при эксплуатации могут быть: аварийные ситуации из-за стихийных бедствий и отключений электропитания (природные и техногенные воздействия); отказы и сбои аппаратуры; ошибки в программном обеспечении; ошибки в работе персонала; помехи в линиях связи из-за воздействий внешней среды.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

-   несанкционированный доступ к информационным ресурсам;

-   незаконное копирование данных в информационных системах;

-   хищение информации из библиотек, архивов, банков и баз данных;

-   нарушение технологии обработки информации;

-   противозаконный сбор и использование информации.

К программным угрозам относятся:

-   использование ошибок и "дыр" в программном обеспечении;

-   компьютерные вирусы и вредоносные программы;

-   установка "закладных" устройств.

К физическим угрозам относятся:

-   уничтожение или разрушение средств обработки информации и связи;

-   хищение носителей информации;

-   хищение программных или аппаратных ключей и средств криптографической защиты данных;

-   воздействие на персонал.

К радиоэлектронным угрозам относятся:

-   внедрение электронных устройств перехвата информации в технические средства и помещения;

-   перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

-   закупки несовершенных или устаревших информационных технологий и средств информатизации;

-   нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

После выявления информации, составляющей коммерческую тайну, и определения источников, обладающих, владеющих или содержащих эту информацию, осуществляется выявление способов несанкционированного доступа к этой информации путем выбора из приведенной совокупности основных способов несанкционированного доступа к источникам конфиденциальной информации.

Можно выделить следующие возможные каналы утечки конфиденциальной информации (рисунок 3):

несанкционированное копирование конфиденциальной информации на внешние носители и вынос её за пределы контролируемой территории предприятия. Примерами таких носителей являются флоппи-диски, компакт-диски CD-ROM, Flash-диски и др.;

вывод на печать конфиденциальной информации и вынос распечатанных документов за пределы контролируемой территории.

Необходимо отметить, что в данном случае могут использоваться как локальные принтеры, которые непосредственно подключены к компьютеру злоумышленника, так и удалённые, взаимодействие с которыми осуществляется по сети;

несанкционированная передача конфиденциальной информации по сети на внешние серверы, расположенные вне контролируемой территории предприятия. Так, например, злоумышленник может передать конфиденциальную информацию на внешние почтовые или файловые серверы интрасети. При этом с целью маскирования своих действий нарушитель может предварительно зашифровать отправляемую информацию или передать её под видом стандартных графических файлов.

хищение носителей, содержащих конфиденциальную информацию - жёстких дисков, компакт-дисков CD-ROM и другие.

Рисунок 3. Каналы утечки конфиденциальной информации

Необходимо отметить, что независимости от назначения средства обработки и передачи информации и решаемых этим средством задач, несанкционированный доступ к информации возможен в результате осуществления злоумышленником следующих действий:

подслушивания информации, передаваемой по проводным телефонным линиям связи, с помощью предварительно установленных телефонных закладок;

дистанционного съема конфиденциальной информации с технических средств обработки и передачи информации (как правило, с ПЭВМ) с помощью предварительно установленных аппаратных закладок;

пассивного приема сигналов, передаваемых в вычислительных сетях, паразитных электромагнитных излучений и наводок, формируемых различными средствами обработки и передачи информации;

копирования (хищения) конфиденциальной информации, хранящейся в памяти персональной электронно-вычислительной машине.

Информационные риски

Информационные риски самое узкое определение - это риски утраты, несанкционированного изменения информации из-за сбоев в функционировании информационных систем или их выхода из строя, приводящие к потерям. Информационная безопасность - это состояние защищённости информационной среды. Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность предприятия дистанции электроснабжения будет обеспечена, если будут обеспечены минимальные информационные риски. Информацию, для использования в повседневной деятельности, отсутствия у руководства предприятия объективной информации (в том числе конфиденциальной), необходимой для принятия правильного решения, а также распространения кем-либо во внешней среде невыгодной или опасной для деятельности предприятия информации.

Для решения этой задачи с точки зрения системного подхода целесообразно разработать и внедрить на предприятии систему минимизации информационных рисков, представляющую собой взаимосвязанную совокупность органов, средств, методов и мероприятий, обеспечивающих минимизацию рисков утечки и разрушения необходимой для функционирования предприятия информации. Основными информационными рисками любого предприятия являются:

риск утечки и разрушения необходимой для функционирования предприятия информации;

риск использования в деятельности предприятия необъективной информации;

риск отсутствия у руководства предприятия необходимой (в том числе конфиденциальной) информации для принятия правильного решения;

риск распространения кем-либо во внешней среде невыгодной или опасной для предприятия информации.

Основными задачами, решаемыми системой минимизации информационных рисков являются:

выявление информации, подлежащей защите;

определение источников, обладающих, владеющих или содержащих эту информацию;

выявление способов несанкционированного доступа к этой информации;

разработка и внедрение организационных и технических мер защиты конфиденциальной информации.

Информация предприятия дистанции электроснабжения может быть следующих четырех уровней важности:

жизненно важная, то есть информация, утечка или разрушение которой ставят под угрозу само существование предприятия;

важная, то есть информация, утечка или разрушение которой приводит к большим затратам;

полезная, то есть информация, утечка или разрушение которой наносит некоторый ущерб, однако предприятие может достаточно эффективно функционировать и после этого;

несущественная, то есть информация, утечка или разрушение которой не наносят ущерба предприятию и не оказывают влияния на процесс его функционирования.

Риск утечки и разрушения необходимой для функционирования предприятия информации влечет следующие последствия:

·        конфиденциальная информация, передача или утечка которой к посторонним лицам повлечет за собой ущерб предприятию, его персоналу;

·        критическая информация, отсутствие или порча которой сделает невозможной повседневную работу персонала и всего предприятия в целом.

Очевидно, что информация первых трех уровней важности должна быть защищена, при этом степень защиты должна, в общем случае, определяться уровнем важности информации. Это обусловлено, главным образом тем, что степень защиты напрямую связана со стоимостью ее реализации, поэтому экономически нецелесообразно, в общем случае, защищать информацию дорогостоящими средствами защиты, если ее утечка или разрушение приводит к несущественному ущербу.

Информация первых трех уровней, как правило, относится к коммерческой тайне и определяется руководителем предприятия в соответствии с Постановлением Правительства Российской Федерации от 05.12.1991 года №35 "О перечне сведений, которые не могут составлять коммерческую тайну".

Порядок выявления информации, составляющей коммерческую тайну, определения источников, обладающих, владеющих или содержащих эту информацию должен быть следующим.

Приказом по предприятию руководителям отделов вменяется в обязанности производить работу по определению конкретных сведений, составляющих коммерческую тайну по их направлениям работы, лиц допущенных к этим сведениям, а также носителей этой информации.

Результатом этой работы должен быть утвержденный руководителем предприятия "Перечень сведений, составляющих коммерческую тайну предприятия" с указанием таких сведений по каждому из структурных подразделений; лиц являющихся носителями этих сведений; документов в которых содержатся эти сведения, а также других (технических) носителей этих сведений, если таковые имеются.

1.3 Основные положения системы защиты информации

Анализ состояния дел в сфере информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляет:

весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;

значительное число фирм, специализирующихся на решении вопросов защиты информации;

достаточно четко очерченная система взглядов на эту проблему;

наличие значительного практического опыта.

И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшается, но и имеет достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденции необходима:

. Стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса. Кроме того, обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;

. Безопасность информации может быть обеспеченна лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

Следовательно можно представить систему защиты информации как организационную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

Рисунок 4. Модель построения корпоративной системы защиты информации

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

. Непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации.

. Плановой. Планирование осуществляется путем разработки каждой службы детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации).

. Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, не все подряд.

. Конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб.

. Активной. Защищать информацию необходимо с достаточной степенью настойчивости.

. Надежной. Методы и формы защиты должны надежно перекрывать возможные пути непрерывного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены.

. Универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявлялся, разумными и достаточными средствами, независимо от характера, формы и вида информации.

. Комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных процессов, каждый из которых в свою очередь имеет множество различных взаимно обусловливающих друг друга сторон, свойств, тенденций.

Таким образом, для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

охватывать весь технологический комплекс информационной деятельности; быть разнообразной по используемым средствам,

многоуровневой с иерархической последовательностью доступа; быть открытой для изменения и дополнения мер обеспечения безопасности информации;

быть нестандартной, разнообразной, при выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;

быть простой для технического обслуживания и удобной для эксплуатации пользователям;

быть надежной, любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;

быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.

К системе безопасности информации предъявляются определенные требования:

четкость определения полномочий и прав пользователя на доступ к определенной информации;

предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

сведение к минимуму числа общих для нескольких пользователей средств защиты;

учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

обеспечение оценки степени конфиденциальности информации;

обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:

. Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в нормах сферы их действий.

. Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска и охраны; служба защиты информации техническими средствами; служба информационно-аналитической деятельности и другие.

. Аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности системы защиты информации.

. Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения информации.

. Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

. Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.

. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.

. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Удовлетворить современные требования по обеспечению деятельности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

Практика показывает, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.

Выводы: Как свидетельствует зарубежный и отечественный опыт, несмотря на все более широкое внедрение в практику предприятий новых информационных технологий, основным источником утечки информации являются сотрудники этих предприятий.

Поэтому применительно к такой ситуации необходимо понимать, что практически невозможно создать на предприятии условия, полностью исключающие несанкционированный доступ к этому источнику информации ограниченного доступа, можно лишь существенно уменьшить его роль среди других источников утечки конфиденциальной информации.

Следовательно, угрозы для информации ограниченного доступа всегда реальны, отличаются большим разнообразием и создают предпосылки для утраты информации.

По данным Института защиты компьютеров (CSI) и ФБР cвыше 50% вторжений - дело рук собственных сотрудников компаний. Что касается частоты вторжений, то 21% опрошенных указали, что они испытали рецидивы "нападений". Несанкционированное изменение данных было наиболее частой формой нападения и в основном применялось против медицинских и финансовых учреждений. Свыше 50% респондентов рассматривают конкурентов как вероятный источник "нападений". Наибольшее значение респонденты придают фактам подслушивания, проникновения в информационные системы и "нападениям", в которых "злоумышленники" фальсифицируют обратный адрес, чтобы пере нацелить поиски на непричастных лиц. Такими злоумышленниками наиболее часто являются обиженные служащие и конкуренты.

Анализ информационных рисков показывает, что они связаны с конфиденциальной информацией.

Часть плохо учитываемых причин, например, личная неприязнь к руководителю предприятия, ухудшение коммерческих связей между предприятиями, может привести к появлению в СМИ невыгодной, а в некоторых случаях, и опасной для предприятия информации. Поэтому для исключения или, по меньшей мере, уменьшения риска распространения этой информации со стороны предприятий-конкурентов необходимо упреждающе распространять некоторую истинную информацию, а в некоторых случаях, и дезинформацию.

Несмотря на проработанность темы, вопросов в процессе совершенствования системы управления информационными рисками всегда возникает много. Цель построения процесса анализа рисков не только в том, чтобы идентифицировать их, оценить последствия их возможной реализации, обеспечить их обработку и в последующем планомерно проводить дальнейший эффективный мониторинг. Но и в обеспечении стандартизации подхода к рискам во всех аспектах деятельности компании, удобном и быстром получении целостной картины ситуации с информационными рисками в компании в любой период ее деятельности. А также в повышении конкурентной привлекательности компании за счет быстрой и адекватной реакции на все новые возникающие угрозы, в повышении доверия внутри самой компании между бизнесом и безопасностью.

2. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений

2.1 Объекты и субъекты защиты

Для Дистанции электроснабжения важными для жизнедеятельности ресурсами и, следовательно, защищаемыми являются:

) люди (персонал предприятия);

) имущество: документация, материальные и финансовые ценности, образцы готовой продукция, интеллектуальная собственность (ноу-хау), средства вычислительной техники и другое;

) Информация: на материальных носителях, а также циркулирующая во внутренних коммуникационных каналах связи и информации, в кабинетах руководства предприятия, на совещаниях и заседаниях;

) Финансово-экономические ресурсы, обеспечивающие эффективное и устойчивое развитие предприятия (коммерческие интересы, бизнес-планы, договорные документы и обязательства и тому подобное).

Ценности, подлежащие защите, такие как информация ограниченного доступа, банковская тайна, персональные данные, служебная тайна, коммерческая тайна, государственная тайна, инсайдерская информация и иная информация, в отношении которой устанавливается режим обязательного соблюдения конфиденциальности и ответственности за ее разглашение.

Так же ценностью являются данные, которые создаются или используются в корпоративной информационной сети такие как научно-техническая и технологическая информация, связанная с деятельностью предприятия.

Полный перечень информации, составляющей коммерческую тайну, устанавливается начальниками служб по защите информации дополнительно соответствующими нормативными актами.

К категориям "конфиденциальных" относятся сведения, удовлетворяющие следующим критериям:

они не являются общеизвестными или общедоступными на законных основаниях;

монопольное обладание этими сведениями даёт организации коммерческие преимущества, экономическую и иную выгоду и разглашение или открытое использование которых может привести к нанесению ущерба (материального, морального, физического) организации, его клиентам или корреспондентам (коммерческая тайна).

Банковской тайной понимаются сведения об операциях, счетах и вкладах, банковских реквизитах, а также сведения о клиентах и корреспондентах Банка, подлежащие обязательной защите.

Служебной тайной понимается информация, доступ к которой ограничен органами государственной власти и федеральными законами и понимаются сведения, не являющиеся банковской тайной, и подлежащие обязательной защите согласно перечня сведений ограниченного распространения.

Коммерческой тайной организации понимаются сведения, связанные с научно-технической, технологической, производственной, финансово-экономической или иную информацию которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Разглашение (передача, утечка, открытое использование) которых может привести к нанесению ущерба организации, государства, ее клиентам или корреспондентам, контрагентам ОАО "РЖД".

Персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни граждан, позволяющие идентифицировать их личность.

Государственная тайна - согласно определению, принятому в российском законодательстве, защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной и иной деятельности, распространение которых может нанести ущерб безопасности государства.

Инсайдерская информация - (англ.  Insider information) - существенная публично нераскрытая служебная информация компании, которая в случае ее раскрытия способна повлиять на рыночную стоимость ценных бумаг компании. Сюда можно отнести: информацию о готовящейся смене руководства и новой стратегии, о подготовке к выпуску нового продукта и к внедрению новой технологии, об успешных переговорах о слиянии компаний или идущей скупке контрольного пакета акций; материалы финансовой отчетности, прогнозы, свидетельствующие о трудностях компании; информация о тендерном предложении (на торгах) до его раскрытия публике и т.д.

Информацией ограниченного доступа является информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию составляющею государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация).

Юридическая и справочная информация, деловая переписка, передача отчетной бухгалтерской информации между пользовательскими рабочими станциями и сервером баз данных в рамках автоматизированных систем SAP R/3 для финансово-экономического и технического отдела.

Информация предприятия может быть следующих четырех уровней важности:

жизненно важная, то есть информация, утечка или разрушение которой ставят под угрозу само существование предприятия;

важная, то есть информация, утечка или разрушение которой приводит к большим затратам;

полезная, то есть информация, утечка или разрушение которой наносит некоторый ущерб, однако предприятие может достаточно эффективно функционировать и после этого;

несущественная, то есть информация, утечка или разрушение которой не наносят ущерба предприятию и не оказывают влияния на процесс его функционирования.

2.2 Организационные мероприятия в системе защиты информации

Организационно-правовые документы и методы регламентируют весь технологический цикл работы ОАО "РЖД", от методики подбора кадров и приема их на работу, например, на контрактной основе, до положений о функциональных обязанностях любого сотрудника. Каждая инструкция предприятия или норматив должны прямо или косвенно учитывать вопросы безопасности и влиять на работоспособность и эффективность системы защиты.

Важным источником утечки конфиденциальной информации являются различного рода документы. Здесь необходимо учитывать, что достаточно бурное развитие информационных технологий привело к появлению новых типов носителей документной информации: распечаток ЭВМ, носителей информации и тому подобное. В то же время практически не уменьшается значимость в коммерческой деятельности и традиционных видов документов на бумажных носителях: договоров, писем, аналитических обзоров.

Появление новых носителей документной информации привело не только к появлению новых сложностей в решении задачи обеспечения защиты информации от несанкционированного доступа к ее содержимому, но и новых возможностей по обеспечению гарантированной защиты этой информации. Речь здесь идет прежде всего о хранении особо важной документной информации на носителях в преобразованном с помощью криптографических преобразований виде.

В рамках этих мер на Дистанции электроснабжения разработаны и внедрены организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, а также перечень тех мероприятий, которые должны быть реализованы для противодействия.

Организационными документами являются политика информационной безопасности, должностные инструкции сотрудников компании, регламенты работы на персональном компьютере.

С этой целью на ОАО "РЖД" решены следующие организационно задачи:

Созданы правовые основы обеспечения защиты информации путем осуществления:

-   внесения в Устав предприятия дополнений, дающих право руководству предприятия: издавать нормативные и распорядительные документы, регулирующие порядок определения информации, составляющей коммерческую тайну, и механизмы ее защиты;

-   дополнения "Коллективного договора" положениями, закрепляющими обязанности администрации и работников предприятия, связанные с разработкой и осуществлением мероприятий по определению и защите коммерческой тайны;

-   дополнения "Трудового договора" требованиями по защите коммерческой тайны и правил внутреннего распорядка, включающих требования по защите коммерческой тайны;

-   инструктированием принимаемых на работу лиц по правилам сохранения коммерческой тайны с оформлением письменного обязательства о неразглашении.

-   привлечением нарушителей требований по защите коммерческой тайны к административной или уголовной ответственности в соответствии с действующим законодательством.

-   включать требования по защите коммерческой тайны в договора по всем видам хозяйственной деятельности;

-   требовать защиты интересов предприятия перед государственными и судебными органами;

-   распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба предприятию;

-   обучения сотрудников правилам защиты информации ограниченного доступа;

-   тщательный подбор сотрудников для работы в системе делопроизводства;

-   создание благоприятных внутренних условий на предприятии для сохранения коммерческой тайны;

-   выявлять и стабилизировать текучесть кадров, сложный психологический климат в коллективе;

-   обеспечение оценки степени конфиденциальности информации;

-   отстранением от работ, связанных с коммерческой тайной лиц нарушающих установленные требования по ее защите;

-   доведения до каждого сотрудника предприятия "Перечня сведений, составляющих коммерческую тайну предприятия";

-   обеспечение надежного хранения документов и своевременного их уничтожения, а также проверке наличия документов и контроле своевременности и правильности их исполнения;

-   черновики и варианты документов уничтожаются лично исполнителем, который несет персональную ответственность за их уничтожение. Уничтожение осуществляется на стандартных бумагорезательных машинах, либо другими способами, исключающими возможность прочтения.

-   хранение конфиденциальной информации на носителях и в памяти персональной электронно-вычислительной машине в преобразованном виде с помощью криптографических преобразований.

Поэтому для исключения несанкционированного доступа к этому источнику информации используются как традиционные, так и нетрадиционные способы, а именно:

·        осуществление охраны территории, помещений и офисов, а также эффективного входного контроля за доступом в них;

·        внедрение четкой организации системы делопроизводства.

К информации, составляющей коммерческую тайну относится:

         информация о финансово - экономической деятельности;

-        информация об эксплуатационной и производственной деятельности;

-        информация об управленческой деятельности;

         информация о кадровой деятельности;

-        информация о контрольной и ревизионной деятельности;

         информация о сигнализации и связи, электрификации, энергетике;

-        информация о договорной работе;

-        информация о результатах собственных исследований;

-        информация о медицинской деятельности;

-        Информация о защите информации и объектов ОАО "РЖД".

Гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов организации ее сотрудниками, независимыми подрядчиками. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы. Нарушения политики корпоративной безопасности влечет за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела.

Политика обеспечения безопасности - это не обычные правила, которые и так всем понятны. Она представлена в форме серьезного печатного документа. А чтобы постоянно напоминать пользователям о важности обеспечения безопасности, копии этого документа находятся у каждого сотрудника, чтобы эти правила всегда были перед глазами на рабочем столе.

Политика корпоративной безопасности

·              Свободный доступ к сведениям, составляющим банковскую, коммерческую и служебную тайну Банка, закрывается с целью защиты конфиденциальной информации и физической защиты ее носителей.

·              Организация, как собственник (владелец) информации, принимает меры по защите банковской тайны, персональных данных, служебной тайны, своей коммерческой тайны и другой информации в соответствии с предоставленными ему действующим законодательством правами и обязанностями.

·              Руководство организации имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и бюджеты предоставляются сотрудникам организации с целью помочь им более эффективно выполнять свою работу.

·              Компьютерная и телекоммуникационная системы принадлежат организации и могут использоваться только в рабочих целях. Сотрудники не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью компьютеров и телекоммуникационных ресурсов.

·              Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства.

·              Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности.

·              Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах Компании. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю.

·              Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством организации.

·              Пользователям не разрешается устанавливать на компьютерах и в сети организации программное обеспечение без разрешения системного администратора.

·              Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя.

·              Электронная почта от юриста Компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: "Защищено адвокатским правом/без разрешения не пересылать".

·              Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.

·              Запрещается использование без предварительного письменного разрешения начальника разрушительных программ (вирусов или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования.

·              Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.

·              Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем.

·              К правовым и морально-этическим, мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.

·              Обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя;

Перечень сведений ограниченного распространения:

. Список сотрудников, обрабатывающих служебную информацию ограниченного распространения в подразделении.

. Перечень автоматизированных рабочих мест (ПЭВМ), на которых осуществляется обработка служебной информации ограниченного распространения.

. Распоряжение о назначении:

администраторов информационной безопасности автоматизированных рабочих мест, на которых осуществляется обработка служебной информации ограниченного распространения в подразделении;

ответственных за эксплуатацию автоматизированных рабочих мест;

ответственных за учет, хранение журнала учета выдачи съемных носителей и машинных носителей служебной информации ограниченного распространения.

2.3 Современные технологии защиты информации

Физическая безопасность

Обеспечение безопасности начинается с периметра прилегающей территории. При несанкционированном проникновении на защищаемый объект наиболее вероятны действия, имеющие корыстные цели, а также действия, связанные с хищением секретной информации. Вход в здание осуществляется через проходную, где располагается пост охраны с установленным инженерным препятствием механический турникет. Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок.

Система контроля и управления доступом (СКУД) выполняет функцию ограничения доступа в помещения здания с разграничением полномочий (учитывая время суток и дни недели, т.е. запрет на вход разных лиц в разное время). При этом обеспечивается легкая смена полномочий и фиксация в памяти всех событий в привязке к текущей дате и времени суток.

Система контроля управления доступом для Дистанции электроснабжения соответствует следующим требованиям:

·        управление от магнитных карт;

·        централизованное и распределенное хранение ключей доступа;

·        функции контроля повторного прохода;

·        энергонезависимый календарь;

·        поиск сотрудников;

·        учет рабочего времени;

·        отчеты по сотрудникам, оставшимся в помещениях на текущее время.

Для системы контроля и управления доступом используется оборудование Научно Производственного Объединения "Болид" систему "Орион-Про". Выбор данной системы обоснован соответствием технических требований предъявляемых к объекту защиты, интеграцией управления с пожарной сигнализацией и грамотной технической поддержкой.

В состав системы входят: контроллеры управления доступом, считыватели магнитных карт, кнопки выхода, замки электромагнитные со встроенным герконом, дверные доводчики.

Управление системой осуществляется с помощью программного обеспечения "Орион - Про", которое позволять отслеживать в реальном времени нахождение и перемещение сотрудников промышленного предприятия. За счет индивидуальных кодов записанных на магнитных картах пропусках выданных сотрудникам. Система позволяет блокировать и разблокировать двери с пульта оператора. Управление системой, ведется с персонального компьютера расположенного на посту охраны.

Системой контроля управления доступом оборудованы все помещения первого и второго этажа за исключением входного и запасного входа (выхода), кабинета директора и сантехнических узлов. В качестве запирающих устройств используются электромеханические замки. Считыватели системы контроля и управления доступом установлены со стороны дверной ручки на высоте 130 см. от уровня пола и на расстоянии 10 см. от дверной коробки. На все двери оборудованные системой ограничения доступа установлены доводчики. Электромагнитные замки устанавливаются с внутренних сторон дверей.

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и так далее.

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА

Статистика показывает, что более 80% всех инцидентов, связанных с нарушением информационной безопасности вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри интрасети конфиденциальной информации.

В дополнении к организационным средствам защиты на Дистанции электроснабжения применяются и технические решения, предназначенные для блокирования технических каналов утечки информации. Применяются различные способы защиты информации от утечки ее по техническим каналам:

средства криптографической защиты конфиденциальной информации.

Для защиты от утечки информации используется (КриптоПРО CSP Версия 2.0) криптографические средства, обеспечивающие шифрование конфиденциальных данных, хранящихся на жёстких дисках или других носителях. При этом ключ, необходимый для декодирования зашифрованной информации, должен храниться отдельно от данных. Как правило, он располагается на внешнем отчуждаемом носителе, таком как дискета, ключ Touch Memory или USB-носитель. В случае, если нарушителю и удастся украсть носитель с конфиденциальной информацией, он не сможет её расшифровать, не имея соответствующего ключа.

Рассмотренный вариант криптографической защиты не позволяет заблокировать другие каналы утечки конфиденциальной информации, особенно если они совершаются пользователем после того, как он получил доступ к данным. С учётом этого недостатка компанией Microsoft была разработана технология управления правами доступа RMS (Windows Rights Management Services) на основе операционной системы Windows Server 2003. Согласно этой технологии вся конфиденциальная информация хранится и передаётся в зашифрованном виде, а её дешифрование возможно только на тех компьютерах и теми пользователями, которые имеют на это права. Вместе с конфиденциальными данными также передаётся специальный XML-файл, содержащий категории пользователей, которым разрешён доступ к информации, а также список тех действий, которые эти пользователи могут выполнять. Так, например, при помощи такого XML-файла, можно запретить пользователю копировать конфиденциальную информацию на внешние носители или выводить её на печать. В этом случае, даже если пользователь скопирует информацию на внешний носитель, она останется в зашифрованном виде и он не сможет получить к ней доступ на другом компьютере. Кроме того, собственник информации может определить временной период, в течение которого пользователь сможет иметь доступ к информации. По истечении этого периода доступ пользователя автоматически блокируется. Управление криптографическими ключами, при помощи которых возможна расшифровка конфиденциальных данных, осуществляется RMS-серверами, установленными в защите информации.

Для использования технологии RMS на рабочих станциях автоматизированных систем должно быть установлено клиентское программное обеспечение с интегрированной поддержкой этой технологии. Так, например, компания Microsoft встроила функции RMS в собственные клиентские программные продукты - Microsoft Office 2003 и Internet Explorer. Технология RMS является открытой и может быть интегрирована в любые программные продукты на основе набора инструментальных средств разработки RMS SDK.

Ниже приводится обобщённый алгоритм использования технология RMS для формирования конфиденциальной информации пользователем "А" и последующего получения к ней доступа пользователем "Б" (рисунок 6):

Рисунок 6. Схема взаимодействия узлов на основе технологии RMS

На первом этапе пользователь "А" загружает с RMS-сервера открытый ключ, который в последствии будет использоваться для шифрования конфиденциальной информации.

Далее пользователь "А" формирует документ с конфиденциальной информацией при помощи одного из приложений, поддерживающих функции RMS (например, при помощи Microsoft Word 2003). После этого пользователь составляет список субъектов, имеющих права доступа к документу, а также операции, которые они могут выполнять. Эта служебная информация записывается приложением в XML-файл, составленный на основе расширенного языка разметки прав доступа - eXtensible rights Markup Language (XrML).

На третьем этапе приложение пользователя "А" зашифровывает документ с конфиденциальной информацией при помощи случайным образом сгенерированного симметричного сеансового ключа, который в свою очередь зашифровывается на основе открытого ключа RMS-сервера. С учётом свойств асимметричной криптографии расшифровать этот документ сможет только RMS-сервер, поскольку только он располагает соответствующим секретным ключом. Зашифрованный сеансовый ключ также добавляется к XML-файлу, связанному с документом.

Пользователь отправляет получателю "Б" зашифрованный документ вместе с XML-файлом, содержащим служебную информацию.

После получения документа пользователь "Б" открывает его при помощи приложения с функциями RMS.

Получив запрос, RMS-сервер проверяет права доступа пользователя "Б" к документу в соответствии с информацией, содержащейся в XML-файле. Если пользователю доступ разрешён, то тогда RMS-сервер извлекает из XML-файла зашифрованный сеансовый ключ, дешифрует его на основе своего секретного ключа и заново зашифровывает ключ на основе открытого ключа пользователя "Б". Использование открытого ключа пользователя позволяет гарантировать, что только он сможет расшифровать ключ.

На восьмом этапе RMS-сервер отправляет пользователю "Б" новый XML-файл, содержащий зашифрованный сеансовый ключ, полученный на предыдущем шаге.

На последнем этапе приложение пользователя "Б" расшифровывает сеансовый ключ на основе своего закрытого ключа и использует его для открытия документа с конфиденциальной информацией. При этом приложение ограничивает возможные действия пользователя только теми операциями, которые перечислены в XML-файле, сформированном пользователем "А".

Аппаратные средства защиты

Аутентификация - это процесс, в ходе которого на основании пароля, ключа или какой-либо иной информации, пользователь подтверждает, что является именно тем, за кого себя выдает.

Идентификация - это процесс, в ходе которого выясняются права доступа, привилегии, свойства и характеристики пользователя на основании его имени, логина или какой-либо другой информации о нем. При входе пользователя в систему первым делом происходит его аутентификация. Если введенные логин и пароль совпадают с хранимыми в системе на сервере, то пользователь успешно входит в систему, иначе ему отказывается в доступе. Здесь уместно контролируется количество попыток, дабы избежать подбора паролей. В зависимости от сложности и надежности системы необходимо выбрать механизм работы с паролями. В самом простом случае разрешается пользователю самостоятельно вводить пароль. Смена логина и пароля происходит ежемесячно и контролируется системным администратором. Для этого в последних числах месяца сотрудникам единолично выдаются новые пароли и логины для работы на автоматизированное рабочее место.

Сетевой администратор может предоставить пользователям права доступа к ресурсам согласно утвержденного списка доступа и профилей полномочий устанавливает приоритеты в программах в которых должен и имеет право работать тот или иной сотрудник. Для разграничения доступа к важным ресурсам могут применяться групповые политики.

Управление доступом

Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).

Включает следующие функции защиты:

1 идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта предъявленному им идентификатору;

2 проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;

3 разрешение и создание условий работы в пределах установленного регламента;

4 регистрацию обращений к защищаемым ресурсам;

5 реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

Для реализации указанной процедуры в защищенной области памяти информационной системы хранятся таблицы полномочий, которые содержат профили полномочий каждого пользователя, терминала, процедуры, процесса и т.д. Эти профили устанавливаются в системе с помощью специальной программы утилиты SurfControl Rules Administrator, и их можно представить в виде матрицы установления полномочий.

С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). Речь идет о логическом управлении доступом, которое, в отличие от физического, реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Имеется совокупность субъектов и набор объектов. Логического управления доступом состоит в том, чтобы для каждой пары "субъект-объект" определить множество допустимых операций (зависящее, быть может, от некоторых дополнительных условий) и контролировать выполнение установленного порядка.

Отношение "субъекты-объекты" можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах - объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа пример: фрагмент матрицы

"o" - обозначает разрешение на передачу прав доступа другим пользователям,

"r" - чтение,

"w" - запись,

"e" - выполнение,

"a" - добавление информации

Администратор, согласно утвержденного списка доступа и профилей полномочий, устанавливает приоритеты в программе.

Финансово-экономический и технический отдел использует в работе приложения SAP R/3.

В программе производителем предусмотрена защита настраиваемая администратором по средствам назначения полномочий.

Назначение полномочий, распределение ответственности

Создание пользователя - это одна из задач системного администратора. Полномочия определяются, исходя из того, какие действия должен выполнять пользователь конкретного типа или группы. Деловая активность - действия, разрешаемые или запрещаемые пользователю.

Проверка полномочий происходит всякий раз, когда в системе SAP вызывается транзакция. Проверка является двух шаговым процессом: сначала проверяются полномочия для транзакции (когда вызывается транзакция), а затем, когда запускается действие, в объекте полномочий проверяются полномочия для действия.

Рисунок 7. Двухэтапная проверка полномочий

Необходимые полномочия определяются автоматически на основе выбранных видов деятельности и выводятся в иерархической форме. Сигналы светофора указывают состояние обработки узла:

► Зеленый - все полномочия имеют значения, но нужно их проверить.

► Желтый - по крайней мере, одно поле требует ввода значения (например, имя пользователя или устройства), которое необходимо задать вручную.

► Красный - существует поле, для которого не заданы организационные уровни.

Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит - это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация протоколирования и аудита решает следующие задачи:

·        обеспечение подотчетности пользователей и администраторов;

·        обеспечение возможности реконструкции последовательности событий;

·        обнаружение попыток нарушений информационной безопасности;

·        предоставление информации для выявления и анализа проблем.

Протоколирование требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой, расход ресурсов оставался в пределах допустимого. Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

Разумный подход к упомянутым вопросам применительно к операционным системам предлагается в "Оранжевой книге", где выделены следующие события:

·        вход в систему (успешный или нет);

·        выход из системы;

·        обращение к удаленной системе;

·        операции с файлами (открыть, закрыть, переименовать, удалить);

·        смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

·        дата и время события;

·        уникальный идентификатор пользователя - инициатора действия;

·        тип события;

·        результат действия (успех или неудача);

·        источник запроса (например, имя терминала);

·        имена затронутых объектов (например, открываемых или удаляемых файлов);

·        описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Еще одно важное понятие, фигурирующее в "Оранжевой книге", - выборочное протоколирование, как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.

Характерная особенность протоколирования и аудита - зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Возможно, для защиты привлекаются и криптографические методы.

Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как сдерживающее средство. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать все его действия, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.

Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Защита от вредоносного программного обеспечения

В настоящее время существует целый ряд вредоносных методов, которые позволяют использовать уязвимость компьютерных программ по отношению к их несанкционированной модификации, с такими именами, как "компьютерные вирусы", "сетевые черви", "Троянские кони" и "логические бомбы". Администратор информационных систем в сотрудничестве со службой безопасности должен быть всегда готовы к опасности проникновения вредоносного программного обеспечения в системы и по необходимости принимать специальные меры по предотвращению или обнаружению его внедрения. Необходимо реализовать меры по обнаружению и предотвращению проникновения вирусов в системы и процедуры информирования пользователей об их вреде.

Для защиты от вредоносного программного обеспечения будем использовать корпоративную версию ESET Smart Security v3.0, разработанную международный поставщиком антивирусного программного обеспечения и решений в области компьютерной безопасности.

Этот продукт отвечает основным требованиям предприятия к обеспечению информационной безопасности надежность защиты от всего спектра современных угроз и экономичность, благодаря которой современная и мощная система защиты может работать незаметно для пользователя. Удобная администраторская консоль позволяет пользователю получать всю необходимую информацию и легко управлять комплексным решением. Что достигается за счет оптимального сочетания модулей антивируса, антишпиона, антиспама и персонального файервола. Кроме того, решение легко настраивается и не вызывает трудностей при использовании. Корпоративная версия ESET Smart Security удобно администрируется в сетевых средах с помощью встроенного модуля ESET Remote Administrator. Он значительно упрощает процесс установки обновлений и предоставляет широкие возможности настройки каждого из компонентов ESET Smart Security.

Реагирование на несанкционированные действия

Администратор сети, реагируя на несанкционированные действия, выполняет следующий регламент:

·        фиксирует факт несанкционированного доступа;

·        блокирует (отключение терминала, группы терминалов, элементов корпоративной сети и тому подобное);

·        производит задержку в работе;

·        делает отказ в запросе.

Выявление включает имитацию выполнения запрещенного действия для определения места подключения нарушителя и характера его действий.

Реагирование на несанкционированные действия может осуществляться автоматически и с участием должностного лица, ответственного за информационную безопасность.

2.4 Обоснованность защиты информации

Перечень нормативных документов, регламентирующих деятельность в области защиты информации:

-        Конституция Российской Федерации;

-        Гражданский Кодекс Российской Федерации;

-        Уголовный Кодекс Российской Федерации;

-        Декларация прав и свобод человека и гражданина Российской Федерации;

-        Законы Российской Федерации.

Правовой элемент системы организации защиты информации корпоративной сети на Дистанции электроснабжения основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений предприятия и государства по поводу правомерности использования системы защиты информации, предприятия и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:

наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;

формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

В числе основных подсистем защиты информации в правовом плане можно считать:

установление на объекте режима конфиденциальности;

разграничение доступа к информации;

правовое обеспечение процесса защиты информации;

четкое выделение конфиденциальной информации как основного объекта защиты.

Опираясь на государственные правовые акты на уровне конкретного предприятия, разрабатываются собственные нормативно - правовые документы, ориентированные на обеспечение информационной безопасности.

К таким документам относятся:

Политика Информационной безопасности;

Положение о коммерческой тайне;

Положение о защите персональных данных;

Перечень сведений, составляющих конфиденциальную информацию;

Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

Положение о специальном делопроизводстве и документообороте;

Обязательство сотрудника о сохранении конфиденциальной информации;

Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.

Вывод:

Одной из наиболее актуальных проблем в области информационной безопасности является проблема защиты конфиденциальной информации. Технические варианты решения данной проблемы могут быть сгруппированы в два типа:

первый тип предполагает изменение топологии защищаемой информации путём создания изолированной системы обработки конфиденциальной информации, либо выделения в составе защиты информации сегмента доступа к конфиденциальным данным;

второй вариант технических решений заключается в применении различных средств криптографической защиты информации.

Таким образом, выбор конкретного средства защиты зависит от множества факторов, включая особенности топологии защищаемой информации, тип прикладного и общесистемного программного обеспечения, установленного в системе, количество пользователей, работающих с информацией и многих других. Наибольшая эффективность может быть получена при комплексном подходе, предусматривающим применение как организационных так и технических мер защиты информационных ресурсов от утечки.

3. Совершенствование мероприятий, направленных на повышение эффективности мер по защите корпоративной информационной системы Дистанции электроснабжения

3.1 Недостатки организации защиты корпоративной сети

Организация защиты корпоративной информационной системы, существующая на Дистанции электроснабжения является несовершенной и имеет ряд недостатков:

.        Сотрудникам предприятия не введен регламент работы с материалами и документами ограниченного доступа, персональными данными.

2.      Сотрудники предприятия имеют доступ к информации в электронном виде на персональных компьютерах других сотрудников, то есть любой сотрудник может скопировать на электронных носителях (USB-накопитель, диск, дискета) информацию и распоряжаться ее по своему усмотрению.

.        Не прописаны алгоритм работы компьютерных и телекоммуникационных ресурсов и служб организации для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов.

.        На предприятии не установлена кнопка тревожного сигнала, то есть при возникновении угрозы террористического акта или преднамеренных действий сотрудников, целью которых является хищение материальных ценностей, минимальный временной интервал между неправомерными действиями и прибытием силовых структур.

.        Отсутствие системы охранного телевидения не позволяет контролировать периметры прилегающей внутренней территории и помещений здания для выявления угрозы на ранних стадиях.

.        Отсутствие системы активного мониторинга не позволяет выявить несанкционированные действия пользователей, связанные, в частности, с попыткой передачи конфиденциальной информации за пределы контролируемой территории предприятия.

.        Система не позволяет производить ревизию механизмов защиты операционной системы: подсистемы разграничения доступа, механизмов идентификации и аутентификации, средств мониторинга, аудита и других компонент с точки зрения соответствия их конфигурации требуемому уровню защищенности системы. Данная работа возложена на Системного администратора, способного допустить программные ошибки.

В виду вышеперечисленных недостатков организации защиты корпоративной сети предлагаю ряд мероприятий, направленных на повышение ее эффективности и совершенствовании деятельности в целом.

3.2 Организационные мероприятия

При работе с конфиденциальными документами необходимо ввести ряд следующих ограничений для работников предприятия:

·        запрещается делать выписки из документов, имеющих ограничения доступа, без письменного разрешения руководителя;

·        запрещается знакомиться с документами, делами, информацией, содержащейся в памяти компьютера, других работников предприятия;

·        запрещается использовать информацию из документов, имеющих ограниченного доступа, в открытых докладах, сообщениях, переписке, рекламных изданиях;

·        запрещается предоставлять свой компьютер для работы другим сотрудникам предприятия и работать на их ПК;

·        запрещается бесконтрольно оставлять конфиденциальные документы на рабочем столе и работающий компьютер с конфиденциальной информацией.

С целью запрета сотрудникам предприятия открытого доступа к электронным носителям и выноса информации за пределы предприятия, заблокировать вход в USB-разъем и CD-ROM. Такой доступ сохраняется только у начальников подразделений для служебного пользования. Таким образом, доступ пользования и распоряжения информацией в электронном виде контролируется начальниками подразделений.

Регламент работы на компьютере, содержащем допуск к персональным данным

·        При включении компьютер должен запрашивать логин и пароль. Логин дается сетевым администратором. Пароль придумывается самостоятельно тем сотрудником, который работает на этом компьютере. При этом должно быть соблюдено обязательное требование к паролю: он содержит не менее 8 знаков, и представляет собой комбинацию из букв и цифр.

ЗАПРЕЩАЕТСЯ сообщать кому - либо свой пароль для включения компьютера.

·        Для доступа к рабочей почте сотрудника компьютер также запрашивает логин и пароль, который создается сетевым администратором.

ЗАПРЕЩАЕТСЯ сообщать кому - либо свой пароль для доступа к служебной почте.

·        Для доступа в программу сотрудник, имеющий право доступа, также вводит свой личный пароль. Личный пароль каждому такому сотруднику устанавливается техническим специалистом программы.

ЗАПРЕЩАЕТСЯ сообщать кому - либо свой пароль для доступа к программе.

·        Для доступа в иные служебные программы компании сотрудник, имеющий право доступа, также вводит свой логин и пароль. Личный пароль такому сотруднику устанавливается непосредственно Начальником Дистанции электроснабжения.

ЗАПРЕЩАЕТСЯ сообщать кому - либо свой пароль для доступа к служебным программам.

СТРОГО ЗАПРЕЩАЕТСЯ устанавливать флажки "запомнить пароль" при запросе допуска как на служебный компьютер в целом, так и на любую служебную программу в отдельности.

·        После окончания рабочего дня требуется выполнить все действия в обратном порядке, выйти из всех программ и выключить компьютер.

При необходимости покинуть рабочее место в течение рабочего дня требуется заблокировать экран рабочего компьютера!

3.3 Инженерно-технические мероприятия

Тревожная сигнализация

Тревожная сигнализация предназначена для экстренного вызова полиции, частных охранных структур в случаях преступных посягательств. Задачу своевременного оповещения и передачи сигнала тревоги решают кнопки тревожной сигнализации. Кнопка тревожной сигнализации может быть выполнена в виде носимого радиобрелка, работающего от базы на удалении до 3 километров. Недостатком носимых кнопок тревожной сигнализации является необходимость периодической замены в них элементов питания. Любой объект можно оборудовать также стационарной кнопкой тревожной сигнализации.

Построение тревожной сигнализации выполняется на базе приемно - контрольного охранного прибора "Hunter-Pro 96". Тревожная сигнализация основанная на приборе "Астры" естественно вписывается под наши требования по защиты. Для защиты помещений будет применятся извещатель охранный ручной точечный электроконтактный Астра - 32. Данный извещатель установлен со внутренней стороны стола расположенных: в помещение поста охраны, приемной и кабинете директора.

В качестве радиосистемы тревожной сигнализации будет использоваться система беспроводной охранной сигнализации "Астра - РИ-М", предназначенная для дистанционной передачи тревожных извещений, в ее состав входят:

·        радиоприемное устройство типа РПУ Астра - РИ-М;

·        радиопередающее устройство типа РПДК Астра - РИ-М.

Система охранного телевидения

Системы видеонаблюдения - предназначены для визуального контроля за ситуацией на объекте и регистрации событий, а так же необходимы для:

·        получения документального материала по происходящим событиям (видеозапись) для последующего анализа или в качестве вещественного доказательства;

·        получения изображения посетителя для идентификации его личности;

·        осуществления наблюдения за большой территорией минимальным количеством сотрудников безопасности и т.д.

Для объекта защиты в основе системы положено использование цифрового регистратора Infinity NDR-M2808P, на который выводятся видеокамеры установленные на периметре и внутри здания. Выбор данной моделей регистратора связан с построением их под операционной системой, то есть обладают высокой устойчивостью к некорректным выключениям, скачкам питания и удобной программой удаленного мониторинга позволяющая одновременно выводить на экран до 16 телекамер.

Регистратор имеет встроенный детекторы движения по каждому каналу. При помощи нанесения маски любые области изображения легко могут быть исключены из процесса анализа, что позволяет обнаруживать движения в одних участках кадра и игнорировать - в других. Для каждой камеры могут быть заданы индивидуальные расписания работы режимов записи (по событиям, по временным отрезкам, комбинация двух предыдущих режимов), с учетом дней недели, выходных и праздников.

Изображения с видеокамер, подключенных к Infinity NDR-M2808P выводятся на регистратор расположенный на посту охраны. С поста охраны заблокирована возможность поиска в архиве, включение, выключения и удаление записи. Ограничение возможностей проводится для контроля действий охраны.

В качестве внутренних видеокамер используются куполообразные видеокамеры KT&C KPC-S523DCH с широкими углами обзора и частично KPT-HD038DCB, где может потребоваться изменение направления и углом обзора в течение времени. Технические данные видеокамер и определили их выбор: цветные с разрешением 480 ТВЛ с чувствительным элементом 0.5Lux.

Места установки и количество телекамер с учетом архитектурно планировочных решений объекта и его территории указаны в (приложении). В зоне контроля телекамер не должны находиться мониторы, клавиатуры персональных компьютеров и пульт управления системы охранной сигнализации. Необходимость этого условия вызвана сохранением конфиденциальных данных отображаемых посредством мониторов и недопущения раскрытия пароля пользователей.

Объем дискового пространства видеорегистратора и настройка режима записи обеспечивает, возможность архивирования не менее 14 дней со скоростью не менее 6 кадров в секунду.

Система видеонаблюдения обеспечивает работоспособность при пропадании электропитания в течение 10 минут. С устройства бесперебойного питания на видеорегистратор выдаются сигналы для его корректного выключения по истечении допустимого времени работы на резервном питании с целью исключения повреждения видеоархива.

Пароль на Outlook

Часто наиболее важные данные хранятся в папке входящей или исходящей почты. К счастью, есть ряд программ для шифрования и дешифрования почты.

Например, для шифрования писем в Outlook 2000 и 2003 нужно выбрать команду File > Data File Management > Settings > Change Password, ввести пароль в поля New password и Verify password и щелкнуть на кнопке OK. После этого только тот, кому известен пароль, сможет просмотреть полученные сообщения, хранящиеся в основных и созданных вами дополнительных папках Outlook.

В Outlook Express можно защитить паролем только идентификаторы электронной почты (файл, в котором хранятся имя пользователя и пароль учетной записи). Для этого нужно выбрать команду File > Identities > Manage identities, выбрать учетную запись, которую вы хотите защитить, щелкнуть на кнопке Preferences, включить режим Require a password и щелкнуть на кнопке OK. Тогда злоумышленник не сможет воспользоваться вашим почтовым ящиком, чтобы получить новую почту. Однако при наличии определенных навыков это не помешает ему импортировать ваши сообщения в другую программу. Вообще, специалисты советуют по возможности не использовать браузер и почтовый клиент Microsoft, так как слишком многие хулиганы интернета направляют свои усилия на взлом именно этих программ.

Системы активного мониторинга рабочих станций пользователей

Системы активного мониторинга представляют собой специализированные программные комплексы (Enterprise Guard), предназначенные для выявления несанкционированных действий пользователей, связанных, в частности, с попыткой передачи конфиденциальной информации за пределы контролируемой территории предприятия. Системы мониторинга состоят из следующих компонентов (рисунок 5):

Рисунок 5. Типовая архитектура систем активного мониторинга рабочих станций пользователей

модули-датчики, устанавливаемые на рабочие станции пользователей и обеспечивающие сбор информации о событиях, регистрируемых на этих станциях;

модуль анализа данных, собранных датчиками, с целью выявления несанкционированных действий пользователей, связанных с утечкой конфиденциальной информации;

модуль реагирования на выявленные несанкционированные действия пользователей;

модуль хранения результатов работы системы;

модуль централизованного управления компонентами системы мониторинга.

Собранная информация поступает в модуль анализа данных системы активного мониторинга, где осуществляется её обработка. Предварительно администратор безопасности выполняет настройку модуля анализа и определяет требования, которые разрешают или запрещают пользователям выполнение определённых операций на рабочих станциях. Совокупность таких требований представляет собой политику безопасности системы активного мониторинга, которая может являться частью более общей политики безопасности организации.

В случае выявления нарушений политики безопасности система активного мониторинга, так же как и обычная система обнаружения атак, может реализовывать пассивные и активные методы реагирования. К пассивным методам относится оповещение администратора безопасности об обнаруженных несанкционированных действиях пользователей, в то время как активные методы подразумевают блокирование действий пользователей, нарушающих заданную политику безопасности.

Эти средства позволяют блокировать пакеты данных, которые содержат такие ключевые слова, как - "секретно", "конфиденциально" и другое и предоставляют возможность фильтровать сообщения, которые направляются на внешние адреса, не входящие в систему корпоративного электронного документооборота.

Преимуществом систем защиты данного типа является возможность мониторинга и накладывания ограничений, как на входящий, так и исходящий поток трафика. Однако эти системы не позволяют гарантировать стопроцентное выявление сообщений, содержащих конфиденциальную информацию. В частности, если нарушитель перед отправкой сообщения зашифрует его или замаскирует под видом графического или музыкального файла при помощи методов стеганографии, то средства контентного анализа в этом случае окажутся практически бессильными.

Сканеры безопасности

Для анализа защищенности операционной системы разрабатываются специализированные средства. Средства позволяют производить ревизию механизмов защиты операционной системы: подсистемы разграничения доступа, механизмов идентификации и аутентификации, средств мониторинга, аудита и других компонент с точки зрения соответствия их конфигурации требуемому уровню защищенности системы. Кроме этого, производится контроль целостности программного обеспечения (включая неизменность программного кода и системных установок с момента предыдущего анализа) и проверка наличия уязвимостей системных и прикладных служб. Такая проверка производится с использованием базы данных об уязвимостях сервисных служб или определенных версий программного обеспечения, которая входит в состав средств анализа.

Контроль эффективности защиты осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации или нарушение нормального функционирования средств обработки и передачи информации.

Средства анализа защищенности, так называемые сканеры безопасности (security scanners), помогают определить факт наличия уязвимости на узлах корпоративной сети и своевременно устранить их (до того, как ими воспользуются злоумышленники).

Средства анализа защищенности выполняют серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при подготовке и осуществлении атак на корпоративные сети. Поиск уязвимостей основывается на использовании базы данных, которая содержит признаки известных уязвимостей сетевых сервисных программ и может обновляться путем добавления новых описаний уязвимостей. Сканирование начинается с получения предварительной информации о системе, например, о разрешенных протоколах и открытых портах, о версиях операционных систем и т.п., и может заканчиваться попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля" (" brute force ").

Далее перечислен наиболее известный программный продукт, содержащие указанные функции.netRecon 3.0+SU7 (www.axent.ru)

Заключение

Анализ защиты информации был проведён на примере Дистанции электроснабжения. В результате анализа защиты было выявлено, что защита информации осуществляется в основном организационно-правовом методами. Ответственность за организацию защиты информации возложена на отдел безопасности информационно вычислительного центра.

Для процесса обработки информации применяется автоматизированная система учёта и обработки документации, которая циркулирует в локальной сети и позволяет обмениваться сообщениями между сотрудниками организации в виде электронной почты.

Так же было установлено, что нерационально используется имеющаяся офисная техника, а документооборот существует и на бумажных носителях и в электронном виде, что вызывает ряд неудобств в организации защиты конфиденциальной информации. Это требует разработки комплексных мер защиты информации на Дистанции электроснабжения, которые будут направлены на повышение эффективности работы предприятия в целом.

В процессе работы в рамках выполнения выпускной квалификационной работы были решены следующие задачи:

.        Выявлены проблемные вопросы организации системы защиты конфиденциальной информации для Дистанции электроснабжения.

2.      Сформулирован перечень угроз и требований к системе организации защиты корпоративной сети для выбранного объекта.

3. Выявлены информационные риски для корпоративной информационной системы дистанции электроснабжения.

. Выбраны и обоснованы методы и технические средства, направленные на повышение эффективности защиты корпоративной сети и информации в ней.

Таким образом, в результате решения поставленных задач были сделаны следующие выводы:

. Политика обеспечения безопасности не является совершенной. С течением времени политика безопасности устаревает и требует пересмотра, изменений и дополнений, также как организационно-правовые мероприятия.

. Реальное или потенциальное проявление неблагоприятных возможностей внешних или внутренних угроз может оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.

. Регламент работы с документами - это часть производственной культуры, а та, в свою очередь, является важной предпосылкой успешной деятельности в условиях рынка. Поэтому система документооборота - такая же часть производственной инфраструктуры, абсолютно равноправная и необходимая, как и оборудование, ресурсы и персонал требующая комплексной защиты.

4. В процессе организации защиты корпоративной сети необходимо использовать весь арсенал необходимых средств, способов и методов защиты конфиденциальной информации, а не только средства информационной безопасности.

Анализ проведенный в изучении корпоративной сети, позволил разработать ряд предложений, направленных на повышение эффективности типовой системы защиты корпоративной сети, таких как:

для предотвращения несанкционированного доступа на объекты Дистанции электроснабжения необходимо совершенствовать организацию режима и охраны, периметра территории, здания, помещения разделять на зоны по категориям их важности;

в качестве дополнительных мер безопасности целесообразно оснащать контрольно-пропускные пункты электронным комплектом видеооборудования, который должен состоять из набора технических средств защиты, например, видеокамеры на вход и выход, организация видеозаписи и тому подобное). Инженерных сооружений и устройств.

для надежной защиты информации от противоправных действий сотрудников Дистанции электроснабжения, желательно использовать автоматизированную систему учета работы с конфиденциальной информацией.

Таким образом, учитывая и анализируя данные особенности охраняемого объекта, можно построить наиболее эффективную систему защиты корпоративной сети для Дистанции электроснабжения.

Библиографический список

1. Конституция Российской Федерации [Текст]: [принята всенародным голосованием 12.12.1993 г.]: - М.: Приор, [2008]. - 32с.

. Гражданский процессуальный кодекс РСФР [Текст]: [принят Государственной Думой 23.10.2002 г.]: офиц. текст: по состоянию на 23 апреля 2012 г. / М-во юстиции Рос. Федерации. - М.: Маркетинг, 2012. - 132 с.

. Уголовный кодекс Российской Федерации: [принят Государственной Думой 24.05.1996г.]: офиц. текст: по состоянию на 01.03.2012г. /М-во юстиции Рос. Федерации. - М.: Маркетинг, 2012. - 172с.

. Федеральный закон №149-ФЗ от 27.07.2006г. (ред. от 06.04.2011г.)"Об информации, информационных технологиях и о защите информации".

. Постановление Правительства Российской Федерации от 17.11.2007г. №781 "Об утверждении положения обеспечения безопасности персональных данных при обработке в информационных системах".

6. Алгазинов, Э.К., Сирота, А.А. Анализ и компьютерное моделирование информационных процессов и систем // Из-во Диалог-МИФИ. - 2009, с.416.

. Алгулиев, P. M. Методы синтеза адаптивных систем обеспечения информационной безопасности корпоративных сетей; Из-во УРСС. - 2008, с.248.

. Казанцев Сергей Правовое обеспечение информационной безопасности; Из-во Академия. - 2008, с.240.

. Маглинец Ю.А. Анализ требований к автоматизированным информационным системам // Из-во Интернет-университет информационных технологий, Бином. Лаборатория знаний. - 2008, с. 200.

. Мезенцев, К.Н. Автоматизированные информационные системы; Из-во Академия. - 2010, с.176.

. Мельников, В.П., Клейменов, С.А., Петраков, А.М. Информационная безопасность; Из-во Академия. - 2010, с.336.

. Остапенко, Г.А., Мешкова, Е.А. Информационные операции и атаки в социотехнических системах. Организационно-правовые аспекты противодействия; Из-во Горячая Линия - Телеком. - 2008, с. 208.

. Романов, О.А., Бабин, С.А., Жданов, С.Г. Организационное обеспечение информационной безопасности; Из-во Академия. - 2008, с. 192.

. Семкин, С.Н., Беляков, Э.В., Гребенев, С.В., Козачок, В.И. Основы организационного обеспечения информационной безопасности объектов информатизации; Из-во Гелиос АРВ. - 2007, с. 192.

. Сергеева, Ю.С. Защита информации. Конспект лекций; Из-во А-Приор. - 2011, с.128.

. Сухарев, И.П. Обеспечение информационной безопасности в экономической и телекоммуникационной сферах. Книга 2; Из-во Радиотехника. - 2008, с.156.

. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства; Из-во ДМК Пресс. - 2010, с.544.