работа. На сегодняшней день, в связи с развитием Информационных Технологий и компьютеризацией экономики одним из важнейших вопросов в деятельности компании становится обеспечение информационной безопасности (ИБ)
 Скачать 306.16 Kb.
|
|
Результаты оценки рисков
Опираясь на результаты проведенного анализа рисков угроз, можно сделать вывод, что необходимо обеспечивать безопасность информационной системы по нескольким направлениям. 1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 1.3.1 Выбор комплекса задач обеспечения информационной безопасности На основании проведенного анализа рисков и угроз, мы определили, что существуют несколько актуальных угроз для информационной безопасности компании ООО “Альпина”, это: хищение информации и вредоносное программное обеспечение. Среди внутренних угроз безопасности информации возможны: нарушения конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. Общая структура обеспечения информационной безопасности предприятия состоит из следующих подсистем: - управление доступом, регистрация и учет; - антивирусная защита информации; - подсистема межсетевого экранирования; - подсистема обнаружения вторжений; - подсистема анализа защищенности; - защита каналов передачи данных (криптографические средства). Для выполнения задач обеспечения информационной безопасности на предприятии разработан комплекс технологической документации по соблюдению режима информационной безопасности, который включает: - Инструкцию по порядку доступа пользователей в компьютерную сеть; - Инструкцию о порядке действий в нештатной ситуации; - Инструкцию по порядку резервного копирования и архивирования информации; - Инструкцию по обеспечению работоспособности ЛВС; - Инструкцию по организации антивирусной защиты; - Инструкцию по организации парольной защиты; - Инструкцию по регламентации работы администратора и начальника отдела организации. Выполнение работниками данных инструкций позволит избежать сбоев в обработке информации средствами ЛВС. Цель совокупности документированных управленческих решений – выработать и утвердить единые требования и правила, способные обеспечивать надлежащую защиту информации и бесперебойную работу информационных систем предприятия свести к минимуму возможный ущерб от их эксплуатации посредством разработки эффективных и восстановительных мер противодействия угрозам безопасности. Документ описывает цели и задачи информационной безопасности, определяет совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется компания в своей деятельности, а также устанавливает должностных лиц, являющихся ответственными за реализацию политики ИБ и поддержание ее в актуальном состоянии. Требования настоящего документа обязательны для выполнения всеми должностными лицами компании ООО “Альпина”. В дипломном проекте будут поставлены следующие задачи: - анализ методов и способов защиты информации; - формирование общего положения политики безопасности компании; - выбор программного комплекса для защиты информации; - оценка экономическая эффективность внедрения выбранных мер. 1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации Местом рассматриваемого комплекса задач, описанного в предыдущем пункте, являются офисные, производственные помещения предприятия ООО “Альпина”. Основываясь на выше рассматриваемую информацию предыдущей главы, в том числе на результатах оценки рисков информационным активам компании, выделим методы повышения информационной безопасности и защиты информации: - обеспечение физической защиты доступа к местам хранения и обработки конфиденциальных документов; - совершенствование разграничительной системы допуска сотрудников к документам различной степени важности и средствам их обработки. Предоставлять каждому сотруднику минимально необходимый уровень доступа к данным — ровно столько, сколько ему нужно для выполнения должностных обязанностей. Этот принцип позволит избежать многих проблем, таких как утечка конфиденциальных данных, удаление или искажение информации из-за нарушений в работе с ней и т. д. Разделение сотрудников по секторам и отделам, закрытые помещения с доступом по ключу, видеонаблюдение, регламент передачи сведений, многократное резервирование данных — чем больше уровней защиты, тем эффективнее деятельность по обеспечению информационной безопасности. Важная роль в такой защитной системе отводится межсетевым экранам. Это «контрольно-пропускные пункты» для трафика, которые будут еще на входе отсеивать многие потенциальные угрозы и позволят установить правила доступа к ресурсам, которыми пользуются сотрудники. Соблюдение баланса между потенциальным ущербом от угрозы и затратами на ее предотвращение. В составе системы защиты информации могут использоваться организационные методы, технические методы и инженерно-технические методы обеспечения защиты информации. Чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном. Комплексный (системный) подход к построению любой системы включает в себя: - изучение объекта внедряемой системы; - оценку угроз безопасности объекта; - анализ средств, которыми будем оперировать при построении системы; - оценку экономической целесообразности; - изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; - соотношение всех внутренних и внешних факторов; - возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца. Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности. 1.4 Выбор защитных мер 1.4.1 Выбор организационных мер Система защиты информации – это рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашении или утечке. Структура системы защиты охватывает не только электронные информационные системы, а весь управленческий комплекс фирмы. При формировании системы безопасности необходимо четко уяснить, какие задачи перед ней стоят. Для решения этих задач используется комплекс мероприятий, в число которых входит система организационных мер. К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и внедрить на предприятии руководитель. Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести: - документирование и оптимизацию бизнес-процессов; - установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну; - создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности; - информирование или переобучение персонала; - организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях; - получение лицензий, например, на работу с государственной тайной; - обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям; - создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение; - установка пропускной системы для сотрудников, выдача им электронных средств идентификации; - выполнение всех требований законодательства по защите персональных данных; - разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной. Исполнение и соблюдение положений, регламентов и процессов взаимодействия возложены на руководителей подразделений предприятия. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представление отчета руководителю компании. Элементами осуществления политики безопасности информации являются: - Принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение лиц, ответственных за ее реализацию. - Определение области применения политики безопасности информации; - Формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации. - Принятие решений по вопросам реализации программы безопасности. - Обеспечение нормативной правовой базы вопросов безопасности. - Определение роли и обязанности должностных лиц, отвечающих за проведение политики безопасности информации. - Определение и разграничение прав доступа и регламента обращения к защищаемой информации. - Выбор программно-математических и технических (аппаратных) средств криптографической защиты, противодействия несанкционированным действиям, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений. Требования политики распространяются на всю информацию и ресурсы обработки информации компании. Соблюдение политики безопасности информации обязательно для всех сотрудников. 1.4.2 Выбор инженерно-технических мер Инженерно-техническая защита (ИТЗ) – это совокупность технических средств и мероприятий, направленных на предотвращение утечек, разглашения информации, и несанкционированного доступа в сетевые ресурсы организации. Актуальность защиты информации обусловливается наличием большого числа вероятных конкурентов, а также недоброжелателей, которые могут нанести вред компании. Защита конфиденциальности информации для предприятия является одной из первостепенных задач, от качества решения которой зависит конкурентоспособность и возможность успешно выводить на рынок технологические новинки. Применяя современные инженерно-технические средства защиты информации, можно обеспечить защиту сведений, относящихся к категории секретных или конфиденциальных. По используемым средствам ИТЗ классифицируется как: Физические – это устройства, инженерные сооружения и организационные меры, затрудняющие или исключающие проникновения злоумышленников к конфиденциальной информации. К ним относятся механические, электромеханические, электронные, электронно-оптические и радиотехнические устройства для воспрещение несанкционированного доступа проноса средств и материалов и других возможна видов преступных действий. Эти средств применяются для решения следующих задач, такие как охрана территории предприятия, зданий и внутренних помещений, а также наблюдение за ними, охрана оборудования, продукции, финансов и информации, осуществление контролируемого доступа в здания и помещения. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов — это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз. В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы: охранные и охранно-пожарные системы(Охранные системы и средства охранной сигнализации предназначены для обнаружения различных видов угроз: попыток проникновения на объект защиты, в охраняемые зоны и помещения, попыток проноса оружия, средств промышленного шпионажа, краж материальных и финансовых ценностей и других действий; оповещения сотрудников охраны или персонала объекта о появлении угроз и необходимости усиления контроля доступа на объект, территорию, в здания и помещения); Одним из распространенных средств охраны является охранное телевидение. Привлекательной особенностью охранного телевидения является возможность не только отметить нарушение режима охраны объекта, но и контролировать обстановку вокруг него в динамике ее развития, определять опасность действий, вести скрытое наблюдение и производить видеозапись для последующего анализа правонарушения как с целью анализа, так и для привлечения к ответственности нарушителя; Обязательной составной частью системы защиты любого объекта является охранное освещение. Различают два вида охранного освещения — дежурное и тревожное. Дежурное освещение предназначается для постоянного использования в нерабочие часы, в вечернее и ночное время как на территории объекта, так и внутри здания. Тревожное освещение включается при поступлении сигнала тревоги от средства охранной сигнализации. Кроме того, по сигналу тревоги в дополнение к освещению могут включаться и звуковые приборы (звонки, сирены и пр.) Так же, физические средства можно разделить на три категории: средства предупреждения, средства обнаружения (сигнализация) и системы ликвидации угроз. Аппаратные – это механические, электрические, электронные и др. устройства, предназначенные для защиты информации от утечки и разглашения и противодействия тех. средствам шпионажа. Эти средства защиты информации применяются для решения следующих задач: проведение специальных исследований технических средств обеспечения на наличие каналов утечки информации; выявление каналов утечки информации на разных объектах; локализация каналов утечки информации; поиск и обнаружение средств шпионажа; противодействие несанкционированному доступу к источникам конфиденциальной информации. По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения средства поиска и детальных измерений, средства активного и пассивного противодействия В качестве примера, комплекс для обнаружения и пеленгования радио закладок, предназначенный для автоматического обнаружения и определения местонахождения радиопередатчиков, радиомикрофонов, телефонных закладок и сетевых радиопередатчиков. Это уже сложный современный поисковый профессиональный комплекс. Программные – это система специальных программ, реализующих функции защиты информации и сохранения целостности и конфиденциальности. Системы защиты компьютера от чужого вторжения классифицируются, как: средства собственной защиты (защита присущая самому ПО); средства защиты вычислительной системы (защита аппаратуры, дисков и штатных устройств); средства защиты с запросом информации требуют для своей работы дополнительную информацию с целью определения полномочий пользователя; средства активной защиты включаются когда, например, не правильно вводишь пароль или при попытках доступа к информации без полномочий; средства пассивной защиты (направлены на предостережения, контроль улик с целью создания обстановки раскрытия преступления). Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации: защита информации от несанкционированного доступа; защита информации и программ от копирования; защита программ и информации от вирусов; программная защита каналов связи. Криптографические – это технические и программные средства шифрования. Криптография — это наука сокрытия информации таким образом, чтобы никто, кроме предполагаемого получателя, не мог ее раскрыть. Криптографическая практика включает использование алгоритма шифрования, который преобразует открытый текст в зашифрованный текст. Получатель дешифрует зашифрованный текст с помощью общего или определенного ключа. Если учесть, что сегодня по каналам шифрованной связи только у нас в стране передаются сотни миллионов сообщений, телефонных переговоров, огромные объемы компьютерных и телеметрических данных, и все это, что называется, не для чужих глаз и ушей, становится ясным: сохранение тайны этой переписки крайне необходимо. Основные типы криптографического шифрования: симметричное шифрование (потоковые, блочные алгоритмы), и ассиметричное шифрование. Комбинированные – это совокупная реализация аппаратных и программных средств и криптографических методов защиты информации. По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов. Одним из видов программно-аппаратных комплексов для предотвращения потерь данных являются DLP-системы. DLP-система – это - программный продукт, созданный для предотвращения утечек конфиденциальной информации за пределы корпоративной сети. Подобного рода системы создают защищенный цифровой «периметр» вокруг организации, анализируя всю исходящую, а в ряде случаев и входящую информацию. Контролируемой информацией должен быть не только интернет-трафик, но и ряд других информационных потоков: документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth и т.д. Для того, чтобы выбрать DLP систему для внедрения на предприятие ООО “Альпина”, были проанализированы несколько систем защиты от утечек информации, основными требованиями к кандидатам были стоимость комплекса и количество контролируемых каналов. На основании тщательного анализа был выбран комплекс программных и программно-аппаратных средств защиты информации производства ОАО “Инфотекс” ViРNеt ОFFIСЕ. Данный пакет программного обеспечения, содержит три компонента технологии ViРNеt: ViРNеt Mаnаgеr, ViРNеt Сооrdinаtоr и ViРNеt Сliеnt. Достоинства: ViРNеt ОFFIСЕ обладает полным набором необходимых сертификатов ФСТЭК и ФСБ, что делает его применение для защиты данных абсолютно легитимным с точки зрения российского законодательства. - централизованное управление; - высокий пропускная способность; - высокий надежность и отказоустойчивость; - простота внедрения и эксплуатации. При внедрении комплекса не придется увеличивать штат IT-департамента; - удаленное обновление ПО. Возможности: - криптографическая защита данных; - межсетевое экранирование; - обеспечение удаленного доступа; - интеграции с системами обнаружения атак; - простая масштабируемость решений; - авторизованное обучение работе с комплексом; - оповещение администратора (в реальном режиме времени) о событиях, требующих оперативного вмешательства; - абсолютная прозрачность для всех приложений. |