отчет план введение 1 глава. Вкр Проектирование информационной защиты данных
Скачать 66.51 Kb.
|
Глава 1. Современный подход к пониманию системы защиты данных на предприятии1.1.Понятие и сущность системы защиты данных на предприятии.Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах. Аудит Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг. На базовом уровне аудита необходимо выяснить: доступны ли компьютеры кому-то, кроме сотрудников определенного подразделения, реализована ли пропускная система с использованием электронных пропусков и фиксацией времени нахождения сотрудника в помещении; существует ли возможность подключения к рабочим станциям съемных носителей информации, физическая возможность копирования данных на съемные устройства; какое программное обеспечение установлено на рабочих станциях информационной системы, лицензировано ли оно, регулярно ли выполняются обновления, известно ли о недостатках установленного программного обеспечения, облегчающих доступ к данным извне; как ведется настройка операционной системы, используются ли штатные ресурсы обеспечения информационной безопасности предприятий, антивирусы, брандмауэры, журналы учета действий пользователя, разграничение доступа; как реализована система разграничения прав доступа, применяется ли принцип предоставления минимально возможных прав, кто и как вносит изменения в права доступа; как реализована система аутентификации и идентификации, применяется ли двухфакторная модель, существует ли ответственность за передачу логинов и паролей другим сотрудникам; как реализована система паролей, как часто они меняются, как реагирует система на неоднократный ввод неверного пароля; принят ли необходимый пакет организационно-распорядительной документации, касающейся информационной безопасности. Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение. Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания: действует на высококонкурентном рынке; участвует в разработке научных или информационных технологий; обрабатывает большие объемы персональных данных. В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив: наличие уязвимостей системы для внешних проникновений при помощи платных и бесплатных программ – сканеров уязвимостей; отсутствие или наличие обработки информации с высокой степенью конфиденциальности в отдельных кластерах информационной системы, установлены ли сетевые экраны на границах зон; используются ли протоколы защищенной связи при передаче информации от сотрудников, находящихся на удаленном доступе; как осуществляется запись действий пользователей с объектами, содержащими конфиденциальную информацию; реализован ли дифференцированный доступ к данным, какой способ применяется, существует ли многоуровневая система доступа. Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить: насколько скрупулезно реализуются требования закона «О персональных данных»; внедрены ли предусмотренные законом и рекомендациями ФСТЭК РФ организационные меры; используется ли необходимое сертифицированное программное обеспечение. Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз. Этапы внедрения системы безопасности Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности. Работу необходимо проводить по следующему алгоритму: описание всех инфраструктурных и программных объектов в архитектуре информационной сети, выявление их ключевых характеристик; разработка требований к оптимальной конфигурации информационной системы с учетом временных, человеческих и бюджетных ограничений; разработка пакета организационно-распорядительной документации, ознакомление с ней сотрудников, обучение их основам информационной безопасности; внедрение технических и программных мер, призванных исключить возникновение инцидентов информационной безопасности и сделать более эффективной реакцию на них. Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия. Организационные меры Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы: общеобязательного характера; защищающие персональные данные; защищающие отдельные информационные объекты или процессы. В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер. Организационные меры общего характера Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы: общие принципы защиты информации, угрозы и цели обеспечения безопасности; градация информации по степени значимости для компании; условия доступа к данным, принципы разграничения доступа; правила работы с компьютерной техникой и съемными носителями; ответственность за нарушение требований документа. Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии. Режим коммерческой тайны Гражданское законодательство РФ вводит понятие коммерческой тайны как информационного актива, охраняемого государством. Ее преднамеренное или непреднамеренное разглашение, причинившее ущерб компании, является основанием для предъявления гражданского иска о возмещении ущерба. Если ущерб действительно серьезен, дело может дойти до уголовного преследования. Но чтобы привлечь виновного сотрудника к ответственности, придется совершить несколько шагов, относящихся к организационной части системы информационной безопасности на предприятии: ввести режим коммерческой тайны, издав соответствующий приказ; составить перечень сведений, относящихся к конфиденциальной информации. Многие компании совершают ошибку, относя к коммерческой тайне все виды документов и информации, которые могут вспомнить сотрудники службы безопасности. Это превращает режим защиты данных в профанацию. Создать систему защиты должного уровня для всех файлов и документов невозможно, а каждый вынос документа из офиса, например, в налоговую или на встречу с контрагентом, не отраженный в книге учета носителей коммерческой тайны, превращается в нарушение режима. Перечень данных должен быть четким и конкретным, это облегчает механизм контроля и делает его возможным; ввести механизм контроля перемещения документов, содержащих коммерческую тайну, грифы секретности, журнал учета движений; ознакомить всех сотрудников под роспись с приказом о режиме конфиденциальности и перечнем документов (Положением об охране коммерческой тайны); ввести в трудовые договоры условие об ответственности за разглашение коммерческой тайны. Выполнение этих действий поможет в должной мере защитить конфиденциальность данных. Технические меры Внедрение программно-технических средств защиты информации неизбежно, многие организации пользуются ими, не подозревая об этом. Для того чтобы выбрать наиболее эффективные для конкретной организации типы защиты, необходимо ответить на следующие вопросы: типы информации, подлежащей защите, в каких секторах сети и в каких базах данных она хранится. В деятельности компании к наиболее важной информации относятся данные корпоративных банковских карт и счетов, персональные сведения, бизнес-секреты, базы данных клиентов, наиболее часто становящиеся целью намеренного хищения; какие устройства участвуют в создании инфраструктуры сети и какие устройства подключаются к ней на удаленном доступе, кто и на каком основании выдает разрешение на подключение; какое программное обеспечение требует замены или обновления, какие дополнительные модули безопасности нужно устанавливать; как защищены учетные записи администраторов, может ли воспользоваться ими другое лицо путем подбора паролей или иным способом; существует ли необходимость шифрования файлов или трафика, какие средства для этого используются; отвечают ли антивирусные программы, программы фильтрации электронной почты, сетевые экраны современным требованиям к безопасности; как регулируется доступ сотрудников к Интернету, необходимо ли получать специальное разрешение, какие сайты и по какому принципу блокируются. Далее начинается этап выбора программного обеспечения, которое призвано создать систему информационной безопасности предприятия на эффективном уровне: антивирусная защита. Если компания является оператором персональных данных, программный продукт должен быть сертифицирован ФСТЭК РФ. Если такой необходимости нет, то можно выбрать удобный или популярный продукт. Так, Роскачество в своем обзоре определило, что наибольшим успехом в борьбе с вирусами пользуется Internet Security от ESET, при этом встроенный в Windows антивирус оказался только на 17-м месте; сетевые экраны (файрволы). Здесь желательно ориентироваться на программные продукты, одобренные ФСТЭК РФ; средства фильтрации электронной почты, которые защитят почтовые ящики сотрудников от спама и вирусов; программа Enhanced Mitigation Experience Toolkit (EMET), установленная на компьютерах с Windows, окажется полезной для защиты от уязвимостей, связанных с программным кодом; средства криптографической защиты. В зависимости от уровня конфиденциальности данных, используются или общедоступные продукты, или СКЗИ (средства криптографической защиты информации), одобренные ФСБ РФ; средства мониторинга работоспособности инфраструктуры. Могут быть выбраны бесплатные или лицензионные продукты, главное, настроить непрерывность мониторинга уязвимостей. Если принято решение приобрести продукт более высокого уровня, то следует обратить внимание на SIEM-системы, предназначенные для выявления инцидентов информационной безопасности и выстраивания реакции на них; средства борьбы с утечками информации. Можно реализовать комплекс мер, призванных предотвратить утечки на всех уровнях. Можно установить DLP-систему, настроенную блокировать любую попытку вывести конфиденциальную информацию из периметра информационной обороны. Одним из основных рисков для информационной безопасности предприятия становится отказ от своевременного обновления программного обеспечения. Причин может быть несколько: невнимательность системных администраторов; ограниченный бюджет; длительный период сертификации для ПО, используемого для защиты персональных данных. Но несвоевременное обновление программ создает лазейки для хакеров, которые могут привести к утечкам информации. Если существуют такие риски, рекомендуется применять сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи или обновления не установлены для Windows и какие изменения в конфигурации надо выполнить для обеспечения безопасности. При проверке подключения устройств необходимо использовать следующие методы: при помощи маршрутизатора (контроллера беспроводного доступа) проверить, какие именно устройства подключены к сети; для сетей большего размера можно при поиске устройств применять сетевой сканер. Эксперты рекомендуют использовать популярную программу Nmap; активировать запись логов всех событий, связанных с подключением устройств к сети. Выполнение простых рекомендаций позволит создать информационную безопасность предприятия на уровне, обеспечивающем гарантированную систему защиты и отсутствие инцидентов. |