71619

Проектирование системы комплексной безопасности информационных систем и баз данных для ООО «Торговый Дом ЛФЗ»

Дипломная

Информатика, кибернетика и программирование

Обеспечение информационной безопасности – одна из важнейших задач любого предприятия, работающего с информацией, разглашение которой может повредить его деятельности. Примечательным в данной работе является то, что каждый человек понимает необходимость защиты информации...

Русский

2014-11-09

4.09 MB

113 чел.

170

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ "СИНЕРГИЯ"

(МФПУ "СИНЕРГИЯ")

Факультет Информационных систем и технологий

Специальность

230201 

Кафедра  

 

ИБ

 

(код)

(аббревиатура)

ДИПЛОМНЫЙ  ПРОЕКТ

На тему

Проектирование системы комплексной безопасности

                         информационных систем и баз данных

для  ООО «Торговый Дом ЛФЗ»

Студент  

 Глушаков Ярослав Андреевич

 

 

(фамилия, имя, отчество)

подпись

Руководитель  

 Лихоносов Александр Геронтьевич

 

(фамилия, имя, отчество)

подпись

Консультант  

 

 

(фамилия, имя, отчество)

подпись

Рецензент  

 

 

(фамилия, имя, отчество)

подпись

Заведующий кафедрой

 Лихоносов Александр Геронтьевич

 

(фамилия, имя, отчество)

подпись

МОСКВА  2012 г.

Факультет Информационных систем и технологий

Кафедра ИБ

Специальность 230201

ЗАДАНИЕ НА ДИПЛОМНЫЙ ПРОЕКТ

Студент (ка)   Глушаков Ярослав Андреевич

    (Фамилия Имя Отчество)

1. Тема дипломного проекта:

Проектирование системы комплексной безопасности

                         информационных систем и баз данных

для  ООО «Торговый Дом ЛФЗ»

Утверждена приказом университета         № ___________ от «___»_____________ 2012 г.

2. Срок сдачи студентом законченного проекта                  «18»Мая 2012 г.

3.   Исходные данные по дипломному проекту 

В качестве исходных данных использовать результаты преддипломной практики, а также теоретические данные, полученные на занятиях по курсам кафедры, отечественные и зарубежные нормативно-правовые акты по аспектами информационной безопасности и защиты информации:

Методические указания по диплому ИБ 2012;

Описание функционирования предприятия;

Описание системы пожаротушения;

Описание системы контроля и доступа;

Описание системы защиты баз данных;

Схема корпоративной сети предприятия;

Учебная и методическая литература (см. список литературы).

4. Содержание разделов дипломного проекта

Введение

I Аналитическая часть

1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).

1.1.1. Общая характеристика предметной области.

1.1.2. Организационно-функциональная структура предприятия.

1.2. Анализ рисков информационной безопасности

1.2.1 Идентификация и оценка информационных активов.

1.2.2. Оценка уязвимостей активов.

1.2.3. Оценка угроз активам.

1.2.4. Оценка существующих и планируемых средств защиты.

1.2.5. Оценка рисков.

1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1. Выбор комплекса задач обеспечения информационной безопасности.

1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

1.4. Выбор защитных мер

1.4.1. Выбор организационных мер.

1.4.2. Выбор инженерно-технических мер.

II Проектная часть

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.

2.2.2. Контрольный пример реализации проекта и его описание.

III Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Расчёт показателей экономической эффективности проекта

Заключение

Приложения

5. Основные вопросы, подлежащие разработке

В главе 1 необходимо представить обоснование актуальности выбора задачи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.

В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание.

В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:

  1. идентифицировать информационные активы;
  2. ранжировать их по степени важности;
  3. определить активы, которые относятся к конфиденциальным;
  4. оценить уязвимость активов;
  5. оценить степень угроз выбранным информационным активам;
  6. дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности.
  7. провести обоснование выбора методики оценки рисков с последующим проведением оценки.

Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.

В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.

В разделе 1.4 необходимо провести анализ и обоснование выбора:

  1. стратегии обеспечения информационной безопасности
  2. организационных и инженерно-технических мер обеспечения информационной безопасности;
  3. необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности

В главе 2 необходимо представить проектные решения в соответствии с  выбранным направлением обеспечения информационной безопасности.

В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.

Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно-аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной безопасности.

Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.

В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.

Приложение обязательно должно содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:

  1. схемы или таблицы из основной части дипломной работы;
  2. результаты выполнения контрольного примера;
  3. схемы документооборота;
  4. примеры классификаторов;
  5. формы первичных и результатных документов;
  6. распечатки меню,  экранных форм ввода, получаемых отчетов  в разработанной системе;
  7. а также другие материалы дипломного проекта, кроме копий документов, не имеющих отношения к дипломному проектированию, рекламных сообщений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части дипломного проекта.

С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указания по дипломному проектированию для направления «Информационные системы», специальности «Информационные системы и технологии», специализация «Безопасность информационных систем», размещенных на сайте факультета ИСиТ в разделе «Материалы». При подготовке дипломного проекта вы можете пользоваться дополнительными литературными источниками, а также основной литературой, список которой приведен ниже.


6. Список литературы

  1. Доктрина информационной безопасности Российской Федерации;
  2. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
  3. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3;
  4. Ярочкин В.И. Информационная безопасность. Учебник для вузов. – 5-е издание. – М.: Академический проект, 2008. (Gaudeamus);
  5. Торокин А.А. Инженерно-техническая защита информации: учебное пособие для студентов, обучающихся в области информационной безопасности. – М.: Гелиос АРВ. 2005.
  6. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. – М.: ДМК Пресс, 2008.
  7. Куприянов А.И. Основы защиты информации. Учебное пособие для студентов высших учебных заведений./ А.И.Куприянов, А.В.Сахаров, В.А.Швецов. – М.: Издательский центр академия, 2006.
  8. Курило А.П., Зефиров С.Л. Голованов В.Б. Аудит информационной безопасности. – М.: Издательская крупа «БДЦ-пресс», 2006;
  9. А.П.Алферов, А.Ю.Зубов, А.С.Кузьмин, А.В.Черемушкин. Основы криптографии: Учебное пособие. – М.: Гелиос АРВ, 2005;
  10. Петраков А.В. Основы практической защиты информации. – 4-е издание, дополненное. Учебное пособие. – М.: СОЛОН-Пресс, 2005.

Дата выдачи задания  «5» Марта 2012 г.

Заведующий кафедрой ___________________

подпись

Руководитель дипломного проекта ___________________

подпись

Консультант дипломного проекта ___________________

подпись

Студент  ___________________

подпись


КАЛЕНДАРНЫЙ ПЛАН

Наименование этапов дипломного проекта

Срок выполнения этапа

Примечание

1.

Написание первой главы проекта

05.03.2012-18.03.2012

Письменно

2.

Написание второй главы проекта

19.03.2012-09.04.2012

Письменно

3.

Написание третьей главы проекта

10.04.2012-15.04.2012

Письменно

4.

Написание введения, заключения, оформление приложений

15.04.2012-19.04.2012

Письменно

5.

Сдача руководителю

итогового варианта проекта

До 20.04.2012

(вкл.)

Письменно

6.

Подготовка презентации, речи, раздаточного материала, и их согласование с руководителем

21.04.2012-24.04.2012

Письменно

7.

Исправление итоговых замечаний руководителя по проекту и материалам

25.04.2012-29.04.2012

Письменно

8.

Сдача руководителю проекта и комплекта материалов для написания отзыва

До 30.04.2012

(вкл.)

Отзыв

9.

Предоставление комплекта материалов для прохождения предзащиты на кафедре

10.05.2012

Письменно

10.

Прохождение предварительной защиты на кафедре

10.05.2012-13.05.2012

Протокол

11.

Рецензирование

14.05.2012-20.05.2012

Рецензия

12.

Сдача проекта и комплекта материалов в деканат факультета ИС и Т

21.05.2012-27.05.2012

Комплект

13.

Защита дипломного проекта на заседании ГАК

28.05.2012-17.06.2012

Студент                      ____________  / Глушаков Я.А/

                                                                                           подпись   ФИО

Дата «10» мая 2012 г.

Руководитель проекта ____________ / Лихоносов А.Г/

                                                                                             подпись   ФИО

Дата «10» мая 2012 г.

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 9

I. АНАЛИТИЧЕСКАЯ ЧАСТЬ 11

1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 11

1.1.1. Общая характеристика предметной области. 11

1.1.2. Организационно-функциональная структура предприятия. 12

1.2. Анализ рисков информационной безопасности. 15

1.2.1. Идентификация и оценка информационных активов. 16

1.2.2. Оценка уязвимостей активов. 23

1.2.3. Оценка угроз активам. 29

1.2.4. Оценка существующих и планируемых средств защиты. 32

1.2.5. Оценка рисков. 47

1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. 50

1.3.1. Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков. 50

1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 55

1.4. Выбор защитных мер. 61

1.4.1. Выбор организационных мер. 61

1.4.2. Выбор инженерно-технических мер. 65

II. ПРОЕКТНАЯ ЧАСТЬ 78

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 78

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 78

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 90

2.2. Комплекс проектируемых программно-аппартных средств обеспечения информационной безопасности и защиты информации предприятия. 100

2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности.. 100

2.2.2. Контрольный пример реализации проекта и его описание. 110

III. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА. 128

3.1. Выбор и обоснование методики расчета экономической эффективности. 128

3.2. Расчёт экономической эффективности 131

ЗАКЛЮЧЕНИЕ 135

СПИСОК ЛИТЕРАТУРЫ 137

Приложение№1 138


Введение

Обеспечение информационной безопасности – одна из важнейших задач любого предприятия, работающего с информацией, разглашение которой может повредить его деятельности. Примечательным в данной работе является то, что каждый человек понимает необходимость защиты информации, но на практике лишь малая доля из них действительно представляет себе возможные последствия и методы их предотвращения. В сознании большинства людей представление о информационной угрозе складывается в основном из художественных фильмов и телесериалов о «хакерах». На практике же работа по обеспечению информационной безопасности должна учитывать множество факторов, связанных с каждым конкретным защищаемым объектом.

С каждым годом скорость появления новых научных открытий неуклонно растет, особенно в сфере информационных технологий. Появляются новые технологии обработки информации, ее хранения, передачи, благодаря чему растут и вычислительные мощности, которые можно направить на преодоление даже самых сложных систем защиты. Развитие физики волн, увеличение чувствительности оборудования, фиксирующего электромагнитные волны, радиоволны порождает все более изощренные методы получения информации, даже не получая непосредственного доступа к компьютеру жертвы.

В российском обществе, где еще со времен начала 90х практика использования противоправных средств при ведении бизнеса стала скорее нормой, чем отклонением от нее, угроза информационной безопасности стоит особо актуально. Поэтому администратору необходимо постоянно следить за появлением новых методов в области взлома, прослушивания каналов связи и защитного программного обеспечения.

Первым делом необходимо подробно разобрать все бизнес и информационные процессы, протекающие в компании. Если упустить из виду хотя бы небольшие нюансы работы, то они могут послужить основой для дальнейшей деятельности злоумышленника. Однако стоит учитывать и возможность препятствия работе предприятия чрезмерными мерами по защите данных.

Следующим шагом должна быть полная инвентаризация имеющегося в компании технического оборудования, обрабатывающего информацию. Если этого не сделать, то использование защитного программного обеспечения может тормозить работу компьютеров сильнее, чем любые вирусные атаки. Так же это необходимо для обеспечения в дальнейшем стабильной работы информационной системы.

Затем необходимо определить приоритеты защиты, какую информацию необходимо защищать в первую очередь и сколько на это можно потратить средств, а какую можно оставить вовсе без защиты, если ее потеря или разглашение не несет никакого ущерба.

Далее идет непосредственно планирование разрабатываемой системы безопасности. При ее разработке необходимо учесть все возможные угрозы, методы их предотвращения и целесообразность их реализации возможным злоумышленником, ведь не только стоимость обеспечения защиты информации, но и затраты на ее обход должны соответствовать ценности данной информации. Таким образом, администратор должен думать как злоумышленник, но всегда на один шаг вперед.

Информационная безопасность состоит из множества взаимосвязанных и последовательных мер, которые в совокупности позволяют достигнуть необходимого уровня безопасности. Однако даже если система продумана достаточно тщательно, но в отдельных ее узлах наблюдаются сбои, такие как недостаточная мощность технических средств или пренебрежение правилами безопасности персоналом, то вся ее деятельность может оказаться напрасной.

I. АНАЛИТИЧЕСКАЯ ЧАСТЬ

  1.  Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).
    1.  Общая характеристика предметной области.

Основной целью данного предприятия является получение прибыли от предоставляемых услуг. Но получить прибыль организация может только в том случае, если она производит продукцию или услуги, которые реализуются, т.е. удовлетворяют общественные потребности.

Краткая история завода: основанный в 1744 году в Санкт-Петербурге по указу дочери Петра Великого императрицы Елизаветы стал первым фарфоровым предприятием в России и третьим в Европе.

Именно здесь талантливый русский ученый Д.И.Виноградов (1720–1758) открыл секрет изготовления «белого золота». Он впервые в истории керамики составил научное описание фарфорового производства, близкое к новейшим понятиям керамической химии.

Краткая история компании ООО «Торговый Дом ЛФЗ» : компания основана в 2008 году, является партнером ООО «Императорский Фарфоровый Завод», в настоящее время занимается реализацией продукции данной компании на Московском рынке.


1.1.2. Организационная структура управления предприятием

- Генеральный директор – руководитель предприятия, организация работы всего предприятия и эффективное взаимодействие всех структурных подразделений. Выбор стратегии развития предприятия, несет ответственность за работу предприятия как внутреннюю, так и внешнюю.

- Главный бухгалтер – организует оборот всех бухгалтерских документов, обеспечивает своевременную оплату налогов, формирует учетную политику.

Отвечает за работу бухгалтерского отдела, своевременную сдачу налоговой отчетности и точности в отчетных документах.

- Бухгалтер – отвечает за оборот денежных средств в компании, а также с клиентом, его учет и предоставление всех соответствующих документов главному бухгалтеру, ответственен за расчет с сотрудниками фирмы и оплату труда персонала находящегося в штате компании.

- Дизайнер  - занимается графическим оформлением web-проектов компании, контролирует размещение проекта в сети интернет, анализирует опыт конкурентов, принимает к исполнению все пожелания и требования клиента.

- Программисты – занимаются поддержкой базы данных 1С, разрабатывают максимально удобную среду работы в данной программе для сотрудников компании, учитывая их индивидуальные пожелания.

Так же занимаются разработкой отдельных блоков web-сайта, такие как flash объекты,  javascript,  php & mysql.

  1.  Менеджеры отдела продаж занимаются поиском потенциальных клиентов, ведение переговоров с клиентами а так же партнерами, оперативное реагирование на информацию поступающую от клиентов, выявление потребностей клиента  и мотивация его на работу с компанией.

  1.  Менеджер по спецпроектам – принимает заказы от клиентов, учитывая их индивидуальные пожелания.

- Техническая поддержка –  Обеспечивает функционирование локальной сети, функционирование программно-технических средств, функционирования серверов компании, систем пожарно-охранной сигнализации и устранение неполадок связанных с ними. Формирование и ведение информационных массивов и баз данных, защита информации от несанкционированного доступа, формирование архивов резервных копий (бекапов).

Отвечает за безотказную работу системы и обеспечения ее всем необходимым (хранение и закупка запасных частей, программного обеспечения и т.д)

Полная структура организации представлена на схеме №3 стр 9


Схема №3 – Структура организации

  1.  Анализ рисков информационной безопасности.
    1.  Идентификация и оценка информационных активов.

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

  1.  Определить ценность этих активов
  2.  Определить перечень угроз и вероятность их реализации
  3.  Произвести оценивание и ранжирование рисков

Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. 

Типы активов ООО «Торговый Дом ЛФЗ»:

  1. Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)
  2.  Документы (договора, контракты, служебные записки)
  3.  Программное обеспечение, включая прикладные программы
  4.  Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.


ООО «Торговый Дом ЛФЗ» - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.

Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.



Таблица 1.2.1.1

Оценка информационных активов ООО «Торговый Дом ЛФЗ».

Наименование актива

Форма представления

Владелец актива

Критерии определения стоимости

Размерность оценки

Количественная оценка (ед.изм.)

Качественная

Информационные активы

База данных бухгалтерии

Электронная

Бухгалтерия

Степень важности

-

Имеющая критическое значение

База данных  поставщиков

Электронная

Директор

Степень важности

-

Имеющая критическое значение

Персональные данные о сотрудниках

Электронная

Кадровый отдел

Степень важности

-

Высокая

Штатное расписание и кадровый учет

Бумажный документ, электронный документ

Кадровый отдел

стоимость  обновления или воссоздания

-

критически высокая

Продолжение Таблицы 1.2.1.1

Наименование актива

Форма представления

Владелец актива

Критерии определения стоимости

Размерность оценки

Количественная оценка (ед.изм.)

Качественная

Активы аппаратных средств

Принтеры

Материальный объект

IT-отдел

Первоначальная стоимость

-

Малая

Оборудование для обеспечения связи

Материальный объект

IT-отдел

Первоначальная стоимость

-

Средняя

Сервер баз данных

Материальный объект

IT-отдел

Первоначальная стоимость

-

Имеющая критическое значение

Почтовый сервер

Материальный объект

IT-отдел

Первоначальная стоимость

-

Имеющая критическое значение

Персональный компьютер

Материальный объект

Консультанты, товароведы, администрация.

Первоначальная стоимость

-

Средняя

База данных заказав (MySQL)

Материальный объект

IT-отдел

Первоначальная стоимость

Высокая


Продолжение Таблицы 1.2.1.1

Наименование актива

Форма представления

Владелец актива

Критерии определения стоимости

Размерность оценки

Количественная оценка (ед.изм.)

Качественная

Активы программного обеспечения

Учетная Система

Электронная

Дирекция технического сопровождения

Обновление и воссоздание

-

Высокое

Программы целевого назначения

Электронная

Дирекция программного сопровождения и разработки

Обновление и воссоздание

-

Высокое

Windows 7 Ultimate

Электронная

Дирекция технического сопровождения

Первоначальная стоимость

-

Малая

MS Office 2010

Электронная

Дирекция технического сопровождения

Первоначальная стоимость

-

Малая


Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

Таблица 1.2.1.3

Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»

Наименование актива

Ценность актива (ранг)

База данных бухгалтерии

5

Почтовый сервер

5

База данных поставщиков

5

Персональные данные о сотрудниках

5

Кадровый учет

5

Учетная Система

4

База данных заказов (MySQL)

4

Программы целевого назначения

4

Windows 7 Ultimate

4

MS Office 2010

2

Принтеры

2

Оборудование для обеспечения связи

4


По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;

8. Windows 7.


Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.

Таблица 1.2.1.2

Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»

№ п/п

Наименование сведений

Гриф конфиденциальности

Нормативный документ, реквизиты, №№ статей

1.

Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа

Информация ограниченного доступа

2.

Требования по обеспечению сохранения служебной тайны сотрудниками предприятия

Информация ограниченного доступа

ст. 139, 857 ГК РФ

3.

Персональные данные сотрудников

Информация ограниченного доступа;

подлежат разглашению с согласия сотрудника

Федеральный закон №152-ФЗ;

Глава 14 Трудового кодекса РФ

4.

Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам).

подлежит разглашению только по решению предприятия

Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне


  1.  Оценка уязвимостей активов.

Уязвимость информационных активов — тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов). 

Уязвимость – есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию. 

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.


Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.                             

Результаты оценки уязвимости активов представлены в таблице 3.


Группа уязвимостей

Содержание уязвимости

Персональные данные о сотрудниках

Кадровый учет

Персональные компьютеры

Сервера баз данных

Почтовый сервер

Коммуникационное оборудование

Учетная Система

Windows 7

1. Среда и инфраструктура

Отсутствие физической защиты зданий, дверей и окон

Средняя

Средняя

Средняя

Средняя

Нестабильная работа электросети

Средняя

Низкая

Низкая

Низкая

2. Аппаратное обеспечение

Отсутствие схем периодической замены

Средняя

Средняя

Средняя

Средняя

Подверженности воздействию влаги, пыли, загрязнения

Высокая

Высокая

Высокая

Средняя

Отсутствие контроля за эффективным изменением конфигурации

Средняя

Низкая

Низкая

3. Программное обеспечение

Отсутствие тестирования или недостаточное тестирование программного обеспечения

Высокая

Высокая

Сложный пользовательский интерфейс

Средняя

Средняя

Плохое управление паролями

Среднее

Среднее

Среднее

Высокая

Высокая


Группа уязвимостей

Содержание уязвимости

Персональные данные о сотрудниках

Кадровый учет

Персональные компьютеры

Сервера баз данных

Почтовый сервер

Коммуникационное оборудование

Учетная Система

Windows 7

4. Коммуникации

Отсутствие идентификации и аутентификации отправителя и получателя

Средняя

Низкая

Средняя

Высокая

Высокая

Незащищенные подключения к сетям общего пользования

Средняя

Средняя

Средняя

Средняя

Средняя

Отсутствие идентификации и аутентификации отправителя и получателя

Средняя

Низкая

Средняя

Высокая

Высокая

5. Документы (документооборот)

Хранение в незащищенных местах

Среднее

Среднее

Бесконтрольное копирование

Высокая

Среднее

7. Общие уязвимые места

Отказ системы вследствие отказа одного из элементов

Средняя

Средняя

Высокая

Неадекватные результаты проведения технического обслуживания

Средняя

Низкая

Низкая

Средняя


Группа уязвимостей

Содержание уязвимости

Персональные данные о сотрудниках

Кадровый учет

Персональные компьютеры

Сервера баз данных

Почтовый сервер

Коммуникационное оборудование

Учетная Система

Windows 7

4. Коммуникации

Отсутствие идентификации и аутентификации отправителя и получателя

Средняя

Низкая

Средняя

Высокая

Высокая

Незащищенные подключения к сетям общего пользования

Средняя

Средняя

Средняя

Средняя

Средняя

Отсутствие идентификации и аутентификации отправителя и получателя

Средняя

Низкая

Средняя

Высокая

Высокая


  1.  Оценка угроз активам.

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

            В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.

Рисунок 2. Основные виды угроз информационной безопасности.


Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:
     

     - ошибки и упущения;
     - мошенничество и кража;
     - случаи вредительства со стороны персонала;
     - ухудшение состояния материальной части и инфраструктуры;
     - программное обеспечение хакеров, например имитация действий законного      пользователя;
     
     - программное обеспечение, нарушающее нормальную работу системы;
     
     - промышленный шпионаж.
       

     При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.

   После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

При этом следует учитывать:
     - частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;
     - мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;
     - географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

     Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Результаты оценки угроз активам представлена в таблице 4.

           

Группа уязвимостей

Содержание уязвимости

Персональные данные о сотрудниках

Кадровый учет

Персональные компьютеры

Сервера баз данных

Почтовый сервер

Коммуникационное оборудование

Учетная Система

Windows 7

1. Угрозы, обусловленные преднамеренными действиями

Похищение информации

Средняя

Средняя

Средняя

Вредоносное программное обеспечение

Высокая  

Средняя

Средняя

Средняя

Взлом системы

Средняя

Средняя

Высокая

Средняя

2. Угрозы, обусловленные случайными действиями

Ошибки пользователей

Средняя

Средняя

Средняя

Программные сбои

Средняя

Средняя

Средняя

Неисправность в системе кондиционирова ния     воздуха

Низкая

Низкая

Низкая

3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)

Колебания напряжения

Средняя

Низкая

Низкая

Воздействие пыли

Высокая

Средняя

Средняя

Средняя

Пожар

Высокая

Низкая

Низкая

Средняя

  1.  Оценка существующих и планируемых средств защиты.

Под защитой информации понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

    Организация защиты информации в организации – это один из важнейших моментов, который ни в коем случае нельзя упускать из вида. Последствия будут очень серьезными, если произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов. При плохой организации защиты информации это возможно, что приведет к достаточно проблематичному дальнейшему ведению бизнеса, а в определенных случаях невозможным вообще.

Задачи по защите информации возлагаются на службу информационных технологий.

Организационная структура службы информационных технологий:

  1.  Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.
  2.  Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.

Функции службы информационных технологий:

  1.  Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;
  2.  Контроль состояния и безопасности сети и сетевого оборудования;
  3.  Назначение пользователям сети прав доступа;
  4.  Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;
  5.  Установка, настройка и управление программными и аппаратными системами Организации;
  6.  Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;
  7.  Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;
  8.  Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;
  9.  Обеспечение правильности переноса исходных данных на машинные носители;
  10.  Проводит мониторинг развития и использования  информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;
  11.  Сопровождение системного, сетевого и сопутствующего программного обеспечения.

Техническая архитектура предприятия

На момент анализа на предприятии абсолютно не были реализованы организационные меры по защите информации, однако были представлены программно-аппаратные и инженерно-технические средства защиты информации.

Информационные ресурсы организации сконцентрированы в офисном помещении организации  ООО «Торговый Дом ЛФЗ»

Локальная вычислительная сеть организации состоит из сервера БД, почтового сервера, рабочих станций, принтеров. Для объединения компьютеров в локальную сеть используются хабы и свичи. Доступ  к сети Интернет осуществляется по волоконно-оптическому каналу Ethernet. На рисунке 1.2.4.1 показана техническая архитектура ООО «Торговый Дом ЛФЗ».

Рисунок 1.2.4.1. Техническая архитектура ООО «Торговый Дом ЛФЗ».

Технические и программные характеристики офисных ПК:

Процессор: Intel Celeron Dual Core G530 (Sandy Bridge, 2.40ГГц, LGA1155, L3 2048Kb)

Память: DDR3 2048 Mb (pc-10660) 1333MHz

Материнская плата: S1155, iH61, 2*DDR3, PCI-E16x, SVGA, DVI, SATA, Lan, mATX, Retail

Видеокарта встроенная Intel® HD Graphics 512Мб

Сетевая карта есть (10/100 Ethernet).

Программное обеспечение:

ОС: Windows 7;

Office: Microsoft Office 2010;

Почтовый клиент Outlook 2010;


Технические и программные характеристики серверов:

Производитель Dell;

Процессор :Intel Xeon E3-1240 (Sandy Bridge, 3.3 ГГц, 8Мб, S1155);

Чипсет: Intel® 3420;

Оперативная память: 2 x DDR3 2048 Mb (pc-10660) 1333MHz;

Жесткий диск: 2 x 700Gb (SATA II);

Сетевая карта: 1 x 10/100/1000 Мбит/с;

Видеокарта: Matrox G200eW, 8 Мбайт памяти;

Программное обеспечение:

ОС: Windows Server 2008;

Сервер электронной почты: Microsoft Exchange Server

СУБД: Microsoft SQL server + Mysql (WEB)

Система охранно-тревожной сигнализации.

Система охранно-тревожной сигнализации предназначена для:

  1.  постановки и снятия с охраны помещений;
  2.  формирования и выдачи сигналов тревоги при несанкционированном появлении или попытке проникновения человека в закрытые и сданные под охрану помещения;
  3.  просмотра состояния охраняемых помещений на планах в графической форме на автоматизированных рабочих местах интегрированной системы безопасности  и отображения на них сигналов тревоги или неисправности в графическом, текстовом и голосовом виде с привязкой к плану объекта;
  4.  ведение протокола событий системы охранно-тревожной сигнализации в памяти компьютера с возможностью просмотра на мониторе и его распечатки;
  5.  ведение электронного журнала, фиксирующего действия операторов в стандартных и нештатных ситуациях.

Охранная система рассчитана на предупреждение несанкционированного доступа в помещение. Она состоит из охранной панели (централи) - прибор, который собирает и анализирует информацию, поступившую от охранных датчиков, а так же выполняет заранее запрограммированные в ней функции, исполняемые при срабатывании датчиков. В состав оборудования входит пульт управления, который отображает состояние сигнализации, служит для ее программирования и осуществляет постановку и снятие объекта с охраны. В минимальный набор оборудования необходимо включить источник бесперебойного питания, кабельную сеть а так же, охранные датчики.

Датчики бывают нескольких видов. Наиболее распространенные из них – объемные инфракрасные (ИК-датчики), магнитоконтактные (герконы), акустические, вибрационные, ультразвуковые, лучевые, емкостные, а также датчики с направленной диаграммой обнаружения.

На рисунке 4 представлена схема функционирования системы охранно-тревожной сигнализации.[7]


Рисунок 4. Схема функционирования системы охранно-тревожной сигнализации.


Объемные датчики или датчики движения – чувствительным элементов является ПИР элемент. Это сенсор, который улавливает тепловое излучение. Картинку он видит как бы разбитую на сектора, с помощью линзы Френеля. И если тепловое пятно движется, из сектора в сектор происходит срабатывание датчика. (Рисунок 5)

Магнитоконтактные (герконы) датчики – устанавливаются на дверях и окнах и отслеживают их открытие или закрытие. Два магнита устанавливаются напротив друг друга: один на подвижной части двери или окна, а другой на неподвижной его части. Когда контакт между двумя магнитами теряется, датчик незамедлительно передает сигнал на контрольную панель. (Рисунок 6)

Акустические датчики – реагируют на громкий звук, в том числе на звук разбитого стекла. В наиболее современных из них установлен микропроцессор, который анализирует звуковую диаграмму и не перепутает звук разбитого стекла с другим резким звуком. Кроме того, в память таких датчиков заложены звуки разбития разных типов стекла. Это может быть обычное стекло, стекло армированное, триплекс. Этот фактор значительно понижает возможность случайного срабатывания охранной системы.(Рисунок 7)

Вибрационные датчики – предполагают защиту стен от пролома, сейфов от вскрытия и окон от разбития. Они реагируют на вибрацию. (Рисунок 8)

Ультразвуковые датчики – они испускают и принимают ультразвуковые колебания. Если в поле их видимости попадает движущийся предмет, длина волны незначительно меняется, что служит сигналом для срабатывания датчика. (Рисунок 9)

Лучевые датчики – служат для перекрытия значительных пространств, и состоят из приемника и передатчика. При пересечении невидимого невооруженным глазом луча происходит срабатывание датчика. (Рисунок 10)

Емкостные датчики – применяются для охраны особо ценных предметов (сейфов, предметов искусства). Принцип их работы основан на создании вблизи охраняемого объекта поля с определенной емкостью. При попадании внутрь любого предмета емкость поля меняется, что приводит к срабатыванию охранной сигнализации. (Рисунок 11)

Датчики с направленной диаграммой обнаружения – это ИК-датчик у которого устанавливается специфическая линза. По направлению и форме диаграммы направленности существует три типа таких датчиков: штора (вертикальная или горизонтальная плоскость), завеса (полусфера), коридор (узкий луч). (Рисунок 12)

                                                            

Рисунок 5. Объемный датчик             Рисунок 6. Магнитоконтактный датчик

                                                                 

Рисунок 7. Акустический датчик            Рисунок 8. Вибрационный датчики

                                                                

Рисунок 9. Ультразвуковой датчик          Рисунок 10. Лучевой датчик

                                                             

Рисунок 11. Емкостный датчик               Рисунок 12. Датчик с направленной

                                                                                        диаграммой обнаружения


Системы контроля и управления доступом.

Системы контроля доступа - это средство, которое обеспечивает в организации безопасность, кадровый и бухгалтерский учет, трудовую дисциплину.

Современные системы контроля доступа основаны на электронных технологиях.

Каждый сотрудник организации ГУП «ОЦ «Московский дом книги» получает карту доступа - пластиковую карточку с содержащимся в ней индивидуальным кодом. (Рисунок 14) У входа в организацию и в подлежащие контролю помещения устанавливаются считыватели - специальные устройства, считывающие с карточек их код и передающие его в систему. (Рисунок 15) В системе каждому коду поставлена в соответствие информация о правах владельца карточки. На основе сопоставления этой информации и ситуации, при которой была предъявлена карточка, система принимает решение: открывает или блокирует двери, переводит помещение в режим охраны, включает сигнал тревоги и т.д. Система запоминает все факты предъявления карточек и связанные с ними действия (проходы, тревоги и т.д.). Одна и та же карточка служит "ключом" для различных дверей. Время считывания информации с карточки - не более 0,1 сек. При этом считыватель закреплен с обратной стороны двери. Принцип работы системы контроля доступа показан на рисунке 13.

    Рисунок 13. Принцип работы пары "считыватель - идентификатор"

Рисунок 14. Карта EM-Marine Clamshell

Бесконтактный идентификатор EM-Marine Clamshell Card представляет собой белую пластиковую карту со встроенным чипом, с вырезом для крепления и напечатанным идентификационным номером с обратной стороны.

Технические характеристики: Бесконтактный интерфейс: Proximity (EM-Marinе) 125KHz

Дальность считывания: до 100 мм

Рисунок 15. Считыватель Proximity с контроллером Matrix-II-K

Технические характеристики: считыватель Proximity, совмещенный с контроллером замка (электромагнитный / электромеханический) Matrix-II-K, дальность считывания 6-8 см, карточки/брелки EM-Marin, звуковая и световая индикация, корпус - пластик, количество карт 680, питание DC 12V.


Система пожарной сигнализации.

Система пожарной сигнализации— совокупность технических средств, предназначенных для обнаружения пожара, обработки, передачи в заданном виде извещения о пожаре, специальной информации и (или) выдачи команд на включение автоматических установок пожаротушения и включение исполнительных установок систем противодымной защиты, технологического и инженерного оборудования, а также других устройств противопожарной защиты. [15]

Система пожарной сигнализации предназначена для:

  1.  выдачи адресного сообщение об обнаружении очага возгорания в помещение поста охраны с указанием адреса датчика;
  2.  выдачи сообщение «неисправность» в помещение поста охраны с указанием адреса датчика;
  3.  выдачи сигнала «пожар», на систему оповещения людей о пожаре, пускатели системы для блокирования приточной вентиляции и на другие системы;
  4.  управления установками автоматического пожаротушения;
  5.  возможности работы в автономном режиме с выполнением вышеуказанных требований;
  6.  ведение протокола событий системы ПС в памяти компьютера с возможностью просмотра на мониторе и его распечатки;
  7.  ведение электронного журнала, фиксирующего действия операторов в стандартных и нештатных ситуациях.

Следует отдать предпочтение пожарной сигнализации, построенной на основе высококачественного профессионального оборудования в области систем пожарной сигнализации на основе адресно-аналоговых пожарных извещателей и оповещателей.

Адресно-аналоговые системы являются более высокой ступенью в развитии систем пожарной безопасности. Особенностью адресно-аналоговых систем  является то, что пожарный извещатель измеряет уровень задымленности, температуру в помещении и передает эту информацию на приёмно-контрольную панель, которая принимает решения о дальнейшем функционировании всех элементов системы в целом в соответствии с настройками. [7+]

Рисунок 16. Состав пожарной сигнализации.

Система пожарной сигнализации состоит из следующих компонентов:

  1.  Контрольная панель – прибор, который занимается анализом состояния пожарных датчиков и шлейфов, а также отдает команды на запуск пожарной автоматики.
  2.  Блок индикации или автоматизированное рабочее место на базе компьютера – служит для отображения событий и состояния пожарной сигнализации.
  3.  Источник бесперебойного питания – служит для обеспечения непрерывной работы сигнализации, даже при отсутствии электропитания.
  4.  Различные типы пожарных датчиков (извещатели) – служат для обнаружения очага возгорания или продуктов горения (дым, угарный газ и т. д.).

Основные факторы, на которые реагирует пожарная сигнализация – это концентрация дыма в воздухе, повышение температуры, наличие угарного газа и открытый огонь. И на каждый из этих признаков существуют пожарные датчики.

Тепловой пожарный датчик реагирует на изменение температуры в защищаемом помещении. Он может быть пороговым, с заданной температурой срабатывания, и интегральным, реагирующим на скорость изменения температуры. (Рисунок 17)

Дымовой пожарный датчик реагирует на наличие дыма в воздухе, самый распространенный тип датчиков. (Рисунок 18)

Датчик пламени реагирует на открытое пламя. Используется в местах, где возможен пожар без предварительного тления, например столярные мастерские, хранилища горючих материалов и т. д.

                                                                       

Рисунок 17. Тепловой пожарный                     Рисунок 18.Дымовой пожарный

                          датчик                                                                    датчик

Ручные пожарные извещатели – имеют вид закрытой прозрачной коробки с красной кнопкой и размещаются на стенах в местах, легкодоступных, чтобы в случае обнаружения пожара работник без труда мог оповестить все предприятие об опасности. Ручные извещатели относятся к общим требованиям установки пожарной сигнализации на предприятиях.

Рисунок 19. Ручной пожарный извещатель



  1.  Оценка рисков.

Процессы оценки и управления рисками служат фундаментом для построения системы управления информационной безопасностью организации. Эффективность этих процессов определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Риск — это вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации.

       Целью данного этапа является идентификация и оценка рисков, которым подвергаются рассматриваемая система информационных технологий и ее активы с тем, чтобы идентифицировать и выбрать подходящие и обоснованные защитные меры безопасности. Величина риска определяется ценностью подвергающихся риску активов, вероятностью реализации угроз, способных оказать негативное воздействие на деловую активность, возможностью использования уязвимостей идентифицированными угрозами, а также наличием действующих или планируемых защитных мер, использование которых могло бы снизить уровень риска.   Вне зависимости от использованного способа оценки измерения риска результатом оценки прежде всего должно стать составление перечня оцененных рисков для каждого возможного случая раскрытия, изменения, ограничения доступности и разрушения информации в рассматриваемой системе информационных технологий. Составленный перечень оцененных рисков затем используют при идентификации рисков, на которые следует обращать внимание в первую очередь при выборе защитных мер. Метод оценки рисков должен быть повторяемым и прослеживаемым. Для оценивания рисков воспользуемся следующей таблицей 5 с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей.


Таблица 5

Штрафные баллы

Уровни угрозы

Низкая

Средняя

Высокая

Уровни уязвимости

Н

С

В

Н

С

В

Н

С

В

Ценность активов

1

0

1

2

1

2

3

2

3

4

2

1

2

3

2

3

4

3

4

5

3

2

2

4

3

4

5

4

5

6

4

3

4

5

4

5

6

5

6

7

5

4

5

6

5

6

7

6

7

8

    Оценка рисков нарушения информационной безопасности проводится для всех информационных активов. Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Основной способ оценки рисков – это тщательно спланированные интервью, с использованием опросников, в которых участвуют необходимые структурные подразделения. По окончании анализа рисков составляется отчет, который предоставляется высшему руководству организации.

Результаты проведения оценки представлены в таблице (Таблица 6).


Таблица 6

Результаты оценки рисков информационным активам организации

Риск

Актив

Ранг риска

1

Персональные данные о сотрудниках

8

2

Кадровый учет

7

3

Персональные компьютеры

6

4

Почтовый сервер

5

5

Сервера баз данных

4

6

Оборудование для обеспечения связи

2

7

Учетная Система

3

8

Windows 7

1


1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.

  1.  Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков.

Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Если говорить об угрозах информационно-технического характера, можно выделить такие элементы как кража информации, вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные сбои, финансовое мошенничество, кража оборудования.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath):

  1.  Кража информации – 64%
  2.  Вредоносное ПО – 60%
  3.  Хакерские атаки – 48%
  4.  Спам – 45%
  5.  Халатность сотрудников – 43%
  6.  Аппаратные и программные сбои – 21%
  7.  Кража оборудования – 6%
  8.  Финансовое мошенничество – 5%

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО. В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы, возрос ущерб наносимый злоумышленником. Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение. Так или иначе, утечка информации происходит по каналам утечки. Большую часть в данном аспекте представляет, так называемый «человеческий фактор». То есть сотрудники организации, что не удивительно, потому что кто, как не они имеют достаточно полномочий и возможностей для завладения информацией. Но совсем не обязательно похищать информацию с целью, например, последующей продажи. Если сотруднику захочется подпортить репутацию компании, или нанести какой либо ущерб в силу каких-то обстоятельств (понижение по должности, сокращение, разногласия с руководством и т.д.), в полнее достаточно исказить информацию представляющую ценность для организации, в следствии чего, данная информация может потерять свою актуальность и ценность, или же окажется просто недостоверной, не подлинной, что может обернуться, например, обманутыми клиентами, партнерами. К счастью, таких «ущемленных» сотрудников не так много. Если же говорить о мотивах, побудивших человека, сотрудника организации к таким шагам, первое место занимает кража денег с электронных счетов (изменение программ по начислению заработной платы и зачислению её на индивидуальные счета, создание файлов с вымышленными вкладчиками, изъятие в хранилищах кредитно-финансовых учреждений банковских карт и PIN кодов к ним, фальсификацию в базе данных фирм информации о клиентах). Но и не обходится без фальсификации информации, или повреждения программного обеспечения, вывод из работы сайтов и прочее. Наиболее опасным являются неумышленные действия персонала. Примером может являться, уже обыденная вещь для современного человека – «флешка», или USB накопитель на основе Flash-memory. Нередко, сотрудники организации используют «флешки» в работе. Или из самых лучших побуждений, человек, может взять некоторую информацию домой, для того чтобы поработать над ней (к примеру, подготовка какой либо отчетности или других документов). В данном случае велик процент утечки информации из-за потери самого носителя – «флешки», в силу ее габаритных характеристик.

Наиболее распространены следующие атаки:

Подслушивание (sniffing) – для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания канала, которая называется password sniffing.

Изменение данных. Злоумышленник, получивший возможность прочитать данные, может их изменить. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе.

Анализ сетевого трафика. Целью атак такого типа является подслушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации. Атакам такого типа подвержены такие протоколы, как FTP или Telnet.

Подмена доверенного субъекта. Большая часть сетей и операционных систем используют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. Иногда возможно некорректное присвоение IP-адреса. Такой способ атаки называется фальсификацией адреса(IP-spoofing).

Посредничество. Подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом.

Посредничество в обмене незашифрованными ключами (атака man-in-the-middle). Такие атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атаки типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение.

Отказ в обслуживании (Denial of Service, DoS). Эта атака делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционных систем или приложения.

Парольные атаки. Такие атаки предусматривают завладение паролем и логином законного пользователя. Злоумышленники могут проводит парольные атаки, используя следующие методы:

  1.  Подмена IP-адреса (IP-спуфинг);
  2.  Подслушивание (сниффинг);
  3.  Простой перебор.

Эти методы позволяют завладеть паролем и логином пользователя, если  они передаются открытым текстом по незащищенному каналу.

Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищенной информации. Ключ, к которому получает доступ атакующий, называется скомпрометированным. Атакующий использует скомпрометированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровывать и изменять данные.

Сетевая разведка – это сбор информации о сети с помощью общедоступных данных и приложений. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов.

Злоупотребление доверием представляет собой злонамеренное использование отношения доверия, существующих в сети.

Компьютерные вирусы, сетевые «черви», программа «троянский конь». Вирусы представляют собой вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя.


Специфичные угрозы безопасности.

Поскольку у всех сотрудников магазина есть свободный доступ в Интернет, самыми частыми и опасными угрозами являются компьютерные вирусы.

Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которой заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

"Первичное" заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, принято называть сетевыми. Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях.

Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост - это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост - сегментированными.

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

  1.  некоторые ранее исполнявшиеся программы перестают запускаться или внезапно останавливаются в процессе работы;
  2.  увеличивается длина исполняемых файлов;
  3.  быстро сокращается объём свободной дисковой памяти;
  4.  на носителях появляются дополнительные сбойные кластеры, в которых вирусы прячут свои фрагменты или части повреждённых файлов;
  5.  замедляется работа некоторых программ;
  6.  в текстовых файлах появляются бессмысленные фрагменты;
  7.  наблюдаются попытки записи на защищённую дискету;
  8.  на экране появляются странные сообщения, которые раньше не наблюдались;
  9.  появляются файлы со странными датами и временем создания (несуществующие дни несуществующих месяцев, годы из следующего столетия, часы, минуты и секунды, не укладывающиеся в общепринятые интервалы и т. д.);
  10.  операционная система перестаёт загружаться с винчестера;
  11.  появляются сообщения об отсутствии винчестера;
  12.  данные на носителях портятся.

Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.

1. По среде обитания различают вирусы сетевые, файловые, загрузочные и файлово-загрузочные.

2. По способу заражения выделяют резидентные и нерезидентные вирусы.

3. По степени воздействия вирусы бывают неопасные, опасные и очень опасные;

4. По особенностям алгоритмов вирусы делят на паразитические, репликаторы, невидимки, мутанты, троянские, макро-вирусы.

Загрузочные вирусы заражают загрузочный сектор винчестера или дискеты и загружаются каждый раз при начальной загрузке операционной системы.

Резидентные вирусы загружается в память компьютера и постоянно там находится до выключения компьютера.

Самомодифицирующиеся вирусы (мутанты) изменяют свое тело таким образом, чтобы антивирусная программа не смогла его идентифицировать.

Стелс-вирусы (невидимки) перехватывает обращения к зараженным файлам и областям и выдают их в незараженном виде.

Троянские вирусы маскируют свои действия под видом выполнения обычных приложений.

По степени и способу маскировки:

  1.  вирусы, не использующие средств маскировки;
  2.  stealth-вирусы - вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных;
  3.  вирусы-мутанты (MtE-вирусы) - вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса.

MtE-вирусы делятся на:

  1.  обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а расшифровщики совпадают;
  2.  полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но их дешифровщики.

Вирусом могут быть заражены следующие объекты:

1. Исполняемые файлы, т.е. файлы с расширениями имен .com и .exe, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус в зараженных исполняемых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те вирусы, которые после своего запуска остаются в памяти резидентно - они могут заражать файлы и выполнять вредоносные действия до следующей перезагрузки компьютера. А если они заразят любую программу из автозапуска компьютера, то и при перезагрузке с жесткого диска вирус снова начнет свою работу.

2. Загрузчик операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными. Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения загрузочных вирусов - заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целиком программу вируса. Часть вируса располагается в другом участке диска, например, в конце корневого каталога диска или в кластере в области данных диска. Обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных на диск.

3. Файлы документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы могут быть заражены макро-вирусами. Макро-вирусы используют возможность вставки в формат многих документов макрокоманд.

Для минимизации рисков потенциальных угроз в магазине Ион используется антивирусное программное обеспечение Kaspersky Internet Security. Но для обеспечения максимальной информационной безопасности в организации одного антивируса будет мало, поэтому предлагаю:

  1.  Разработать политику обеспечения безопасности информации в компании;
  2.  Ввести средства шифрования/дешифрования и аутентификации;
  3.  Ввести средство управления доступом к устройствам, портам ввода-вывода и сетевым протоколам
  4.  Ввести средство резервного копирования данных.
  5.  Ввести ограничения доступа в сеть локальной/Интернет сети;
  6.  Ввести ограничение прав доступа на локальных ПК.


  1.  Определение места проектируемого комплекса задач в комплексе    задач предприятия, детализация задач информационной безопасности и защиты информации.

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

   Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Политика информационной безопасности является объектом стандартизации. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).

   Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов защиты информации.

Данный документ представляет методологическую основу практических мер (процедур) по реализации обеспечения информационной безопасности и содержит следующие группы сведений:

  1.  Основные положения информационной безопасности.
  2.  Область применения.
  3.  Цели и задачи обеспечения информационной безопасности.
  4.  Распределение ролей и ответственности.
  5.  Общие обязанности.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех производимых работ. Комплексный (системный) подход к построению любой системы включает в себя:

  1.  изучение объекта внедряемой системы;
  2.  оценку угроз безопасности объекта;
  3.  анализ средств, которыми будем оперировать при построении   системы;
  4.  оценку экономической целесообразности;
  5.  изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности;
  6.  соотношение всех внутренних и внешних факторов;
  7.  возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

     Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности.

Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации  на основе комплексного подхода.


  1.  Выбор защитных мер.
    1.  Выбор организационных мер.

Для защиты информационных ресурсов организации, в обязательном порядке следует знакомить сотрудников компании с общими правилами защиты служебной информации и принципами работы средств её хранения и обработки.

Организационная  защита информации —  это  регламентация деятельности  и  взаимоотношений  исполнителей на  нормативно-правовой  основе,  исключающей  или  существенно затрудняющей  неправомерное  овладение  конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

  1.  организацию  охраны,  режима,  работу  с  кадрами,  с документами;
  2.  использование  технических  средств  безопасности  и информационно-аналитическую  деятельность  по выявлению  внутренних  и  внешних  угроз  предпринимательской деятельности.

 Выбор защитных мер должен всегда включать в себя комбинацию организационных (не технических) и технических мер защиты. В качестве организационных рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность. Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль за работой персонала и реализацию программ знания и понимания мер защиты.
       Административная безопасность включает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности. При таком способе обеспечения безопасности очень важно, чтобы для каждой системы была разработана система ведения деловой деятельности организации, предусматривающая в том числе возможность появления непредвиденных обстоятельств (ликвидацию последствий нарушения систем безопасности) и включающая в себя соответствующую стратегию и план (планы). План должен содержать подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы. План должен содержать перечень шагов, которые следует предпринять для обеспечения безопасности важнейшей информации, подлежащей обработке, не прекращая при этом ведения организацией деловых операций.

Организационные меры являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты.

Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:

  1.  составление должностных инструкций для пользователей и обслуживающего персонала;
  2.  создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
  3.  разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
  4.  обучение правилам информационной безопасности пользователей.

Для выбора защитных мер, обеспечивающих эффективную защиту при некоторых уровнях риска, необходимо рассмотреть результаты анализа риска. Наличие уязвимости к определенным видам угроз позволяет определить, где и в какой форме необходимо использование дополнительных мер защиты.

Нельзя использовать в работе компании непроверенное программное обеспечение, в отношении которого нет уверенности, что оно не создает несанкционированных копий, не формирует и не отсылает разработчикам  по Интернету отчеты с информацией о работе компьютеров. Необходимо приобрести и установить сертифицированные средства защиты информации.

Необходимо запретить сотрудникам несанкционированную инсталляцию нового программного обеспечения и проинструктировать, что все получаемые по электронной почте исполняемые файлы должны сразу уничтожаться без запуска.

В обязательном порядке должны быть реализованы следующие организационные мероприятия:

  1.  для всех лиц, имеющих право доступа к средствам компьютерной техники, должны быть определены категории допуска;
  2.  определена административная ответственность для лиц за сохранность и санкционированность доступа к имеющимся информационным ресурсам;
  3.  налажен периодический системный контроль за качеством защиты информации посредством проведения регламентных работ как самим лицом, ответственным за безопасность, так и с привлечением специалистов;
  4.  проведена классификация информации в соответствии с ее важностью;
  5.  организована физическая защита.

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать  следующие заявления:

  1.  определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);
  2.  заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;
  3.  основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;
  4.  краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:
  5.  соответствие требованиям законодательства, нормативной базы и договоров;
  6.  требования к повышению осведомленности, обучению и тренингам в области безопасности;
  7.  управление непрерывностью бизнеса;
  8.  последствия нарушений политики информационной безопасности;
  9.  определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;
  10.  ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

   В случае, если для обеспечения безопасности системы информационных технологий используется базовый подход, выбор защитных мер сравнительно прост. Справочные материалы (каталоги) по защитным мерам безопасности предлагают набор защитных мер, способных защитить систему информационных технологий от наиболее часто встречающихся видов угроз. В этом случае рекомендуемые каталогом меры обеспечения безопасности следует сравнить с уже действующими или запланированными, а упомянутые в каталоге меры (отсутствующие или применение которых не планируется) должны составить перечень защитных мер, которые необходимо реализовать для обеспечения базового уровня безопасности.


  1.  Выбор инженерно-технических мер.

Инженерно-технические мероприятия - совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.

 Технические меры защиты предусматривают защиту аппаратных средств и программного обеспечения, а также систем связи. При этом выбор защитных мер проводят в соответствии с их степенью риска для обеспечения функциональной пригодности и надежной системы безопасности. Функциональная пригодность системы должна включать в себя, например, проведение идентификации и аутентификации пользователя, выполнение требований логического контроля допуска, обеспечение ведения контрольного журнала и регистрацию происходящих в системе безопасности событий, обеспечение безопасности путем обратного вызова запрашивающего, определение подлинности сообщений, шифрование информации и т.д. Требования к надежности систем безопасности определяют уровень доверия, необходимый при осуществлении функций безопасности, и тем самым определяют виды проверок, тестирования безопасности и т.д., обеспечивающих подтверждение этого уровня. При принятии решения об использовании дополнительного набора организационных и технических защитных мер могут быть выбраны разные варианты выполнения требований к обеспечению технической безопасности. Следует определить структуру технической безопасности для каждого из данных вариантов, с помощью которой можно получить дополнительное подтверждение правильности построения системы безопасности и возможности ее реализации на заданном технологическом уровне.

Инженерно-техническая защита использует следующие средства:

  1.  физические средства;
  2.  аппаратные средства;
  3.  программные средства;
  4.  криптографические средства.

Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.

Программными называются средства защиты данных, функционирующие в составе программного обеспечения.

Среди них можно выделить следующие:

  1.  средства архивации данных;
  2.  антивирусные программы;
  3.  средства идентификации и аутентификации пользователей;
  4.  средства управления доступом и т.д.

Рассмотрим некоторые из них.

Антивирусные программы.

Антивирусная программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Основные задания современных антивирусных программ:

  1.  Сканирование файлов и программ в режиме реального времени.
  2.  Сканирование компьютера по требованию.
  3.  Сканирование интернет-трафика.
  4.  Сканирование электронной почты.
  5.   Защита от атак опасных веб-узлов.
  6.  Восстановление поврежденных файлов (лечение).

Сегодня Компьютеры стали уязвимы для многих угроз безопасности. Очень важно иметь хороший антивирус на компьютере, чтобы предотвратить потерю важных данных, документов и информации в связи с вирусными атаками.


Сравнение антивирусов:

  1.  Kaspersky® Internet Security 2012 — решение для обеспечения оптимального уровня безопасности. Инновационная гибридная защита мгновенно устраняет вредоносные программы, спам и другие интернет-угрозы, экономя ресурсы компьютера за счет комбинации облачных и антивирусных технологий. Kaspersky является известным поставщиком антивирусного на протяжении многих лет и продолжает производить продукты высокого класса. Он получил хорошую оценку эвристики на основе анализа, хорошую защиту от всех типов вредоносного ПО, вирусов, червей, троянских и шпионских программ. Он также имеет хорошие обновления описаний вирусов, приятный пользовательский интерфейс и функция сканирования сети, что включает в себя программное обеспечение производителя сбора анонимной информации о системе, с тем чтобы принести пользу всем.
  2.  Norton Antivirus 2011 – этот продукт может сканировать очень быстро, обновления очень частые, использует меньше ресурсов, хорошо показал себя со стороны фонового сканирования. Обновления доставляются каждые 15 минут давая свежие сигнатуры актуальные на данный момент. Но все равно есть плохие результаты, потому этот продукт занял 3-е место, ниже чем BitDefender и Kaspersky. Одно из них является обнаружение кейлоггеров. Оказывается антивирус предназначен для отслеживания и мониторинга нажатия клавиш пользователем, часто используется для кражи паролей, номеров кредитных карт, и так далее.
  3.  Webroot Antivirus 2011 Он получил простой интерфейс для работы, обеспечивает хорошее и частое обновления описаний вирусов, а также использует меньше ресурсов. Сканирует достаточно хорошо и уровней защиты очень высокий, но она все еще имеет некоторые отсутствующие функции.
  4.  VIPRE antivirus 2011 – это новый продукт, он решает хорошие задачи наряду с антивирусными и анти шпионскими решениями. VIPRE Antivirus работает плавно без значительного ущерба для производительности системы и дает очень хорошие показатели. Для пользователей никаких-либо ненужных всплывающих окон и подсказок. Обновления также часто делается, в среднем обновления происходят каждые полтора часа.
  5.  ESET NOD32 Antivirus 4 – имеет очень значительное улучшение на протяжении многих лет и по-прежнему сохраняет свою репутацию он получил ее в безопасности Suite. Главная особенность, что ESET продолжает иметь меньше использование ресурсов. Он выполняет сканирование в реальном времени, обновление происходит часто. Функции ESET: сканирование электронной почты, Sys инспектор, Sys спасение, самооборона в более совершенном образе. Он очищает интернет-трафик и электронной почты очень эффективно, даже если они SSL-зашифрованы. Обновления происходят часто в среднем раз в час.
  6.  AVG Antivirus 2011 – предлагает сканер ссылок из социальной защиты сетей. Он находит ошибки реестра , ненужных файлов, ошибки диска, сканирование ярлыков. Механизм сканирования не так быстро по сравнению с его конкурентами, а также иногда дает “ложные вызовы”.
  7.  Avira AntiVir Premium -технология обнаруживает даже неизвестные вирусы и их профили, но большую часть времени он предоставляет ложные угрозы. Avira является самым быстрым из всех рассматриваемых антивирусных программ.
  8.  G-Data Antivirus – работает путем предоставления двух отдельных механизмов сканирования, эвристики, а также самообучения fingerprinting. Он еще пропускает некоторые функции, такие как игровой режим, ссылка сканер и так далее. Присутствует двойная технология сканирования которая не тормозит компьютер и это обеспечивает хороший уровень защиты.
  9.  Trend Micro Titanium Antivirus -Надежное, быстрое и простое в использовании решение Trend Micro Titanium Antivirus обеспечивает критически важную защиту при работе с электронной почтой и просмотре веб-страниц.
  10.  Kingsoft - Главным плюсом данного антивируса является простота использования. Обновляется автоматически, никаких проблем с ним выявлено не было. Также можно отметить относительно небольшой вес, так что антивирус никак не тормозит систему, и вы можете спокойно работать, и чистить систему от вирусов одновременно. Минусом является слабая защита, однако только сравнительно.

По данной статистике наиболее эффективным будет использование антивирусной программы Kaspersky Internet Security 2012.

Межсетевые экраны.

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

  1.  обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
  2.  на уровне каких сетевых протоколов происходит контроль потока данных;
  3.  отслеживаются ли состояния активных соединений или нет.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более нижеперечисленных задач:

  1.  Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет;
  2.  Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.
  3.  Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

  1.  традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
  2.  персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

  1.  сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
  2.  сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
  3.  уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

  1.  stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
  2.  stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Межсетевой экран Cisco Secure PIX Firewall позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, сохраняя простоту эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира.

Контроль доступа

Для выполнения производственных задач сотрудники организации должны иметь доступ к большому количеству приложений. При реализации традиционного подхода к обеспечению безопасности для сотрудника создается учетная запись в каждом приложении.

Под доступом к информации понимается набор действий, такие как ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации, разрешенных для выполнения пользователями системы над объектами данных.

Различают санкционированный и несанкционированный доступ к информации.

  1.  Санкционированный доступ к информации -это доступ к информации, не нарушающий установленные правила разграничения доступа.
  2.  Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа.

Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений. Несанкционированный доступ к информации — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.

Контроль доступа — это предотвращение несанкционированного использование ресурса системы, включая его защиту от несанкционированного использования.

Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс представления компьютерной системе, который включает две стадии

  1.  Идентификация объекта - одна из функций подсистемы защиты. Если процедура идентификации завершается успешно, данный объект считается законным для данной сети.
  2.  Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

После того как объект идентифицирован и подтверждена его подлинность, устанавливают сферу его действия и доступные ему ресурсы компьютерной сети. Такую процедуру называют предоставлением полномочий (авторизацией).

Для защиты информации от несанкционированного доступа создается система разграничения доступа к информации. Исходной информацией для создания системы разграничения доступа является решение системного администратора компьютерной сети о допуске пользователей к определенным информационным ресурсам. При определении полномочий доступа системный администратор устанавливает разрешения, которые можно выполнять пользователю.

Различают следующие операции с файлами:

  1.  чтение (R);
  2.  запись;
  3.  выполнение программ (Е).

Получить несанкционированный доступ к информации при наличии системы разграничения доступа возможно только при сбоях и отказах компьютерной сети, а также используя слабые места в комплексной системе защиты информации. Одним из путей добывания информации о недостатках системы защиты является изучение механизмов защиты.

Описание системы разграничения доступа.

Система разграничения доступа к информации должна содержать четыре функциональных блока:

  1.  блок идентификации и аутентификации субъектов доступа;
  2.  диспетчер доступа;
  3.  блок криптографического преобразования информации при ее хранении и передаче;
  4.  блок очистки памяти.

Контроль доступа к оборудованию

Важный шаг для защиты от утечки информации — применение средств контроля доступа к сменным носителям и портам ввода-вывода компьютера

Каждое устройство для передачи информации — потенциальный канал утечки.

Наибольшей опасностью для безопасности локальных сетей являются не внешние угрозы (из Интернета), а внутренние. Внутренние угрозы вызваны тем, что сотрудники имеют доступ к важной информации изнутри - со своих компьютеров, объединенных в локальную сеть. Если этот доступ не контролировать, то последствием может быть несанкционированное копирование и удаление конфиденциальной информации, а также появление на рабочих компьютерах вредоносных программ (вирусов, троянов) и просто бесполезных файлов (например, видеофильмов и музыки).

Уволенный работник может в отместку или ради личной выгоды передать конфиденциальные данные конкурентам, или опубликовать их в свободный доступ. Последние исследования показали — большинство людей готовы пойти на кражу коммерческой информации в случае сокращения из-за мирового финансового кризиса.

Поэтому очень важно контролировать и блокировать доступ сотрудников к USB флэш брелкам, картам памяти, дисководам FDD, CD и DVD, подключаемым адаптерам Wi-Fi и Bluetooth.

Всвязи с этим предлагаю использовать в средство контроля доступа к сменным носителям и устройствам в системах DeviceLock. DeviceLock — это средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода компьютера. Контроль доступа ко всем видам внешних носителей (CD- и DVD-приводы, жесткие диски, сменные накопители, локальные и сетевые принтеры, дисководы, КПК и смартфоны), портам ввода-вывода (USB, FireWire, IrDA, COM), полная интеграция с Microsoft Active Directory, работа с отдельными пользователями и группами, возможность задать тип доступа «только чтение», детальный аудит (включая теневое копирование) действий пользователей с устройствами и данными, контроль доступа в зависимости от дня недели и времени.

Резервное копирование.

Перебои с электроснабжением, неисправность кабельной системы, отказы компьютерного и сетевого оборудования, некорректная работа программного обеспечения, ошибки пользователей, наконец, стихийные бедствия — это некоторые из причин, которые могут привести к потере данных. Так как данные очень важная составляющая для организации, то необходимо обеспечивать защиту этих данных. Одним из способов защиты данных является резервное копирование.

Резервное копирование (backup)— процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения, соответствующими программами — резервными дубликаторами данных.

Существуют следующие уровни резевного копирования:

  1.  Полное резервирование (Full backup);

Полное резервирование затрагивает всю систему и все файлы. Еженедельное, ежемесячное и ежеквартальное резервирование подразумевает полное резервирование. Первое еженедельное резервирование должно быть полным резервированием, обычно выполняемым по Пятницам или в течение выходных, в течение которого копируются все желаемые файлы. Последующие резервирования, выполняемые с Понедельника по Четверг до следующего полного резервирования, могут быть добавочными или дифференциальными, главным образом для того, чтобы сохранить время и место на носителе. Полное резервирование следует проводить, по крайней мере, еженедельно.

  1.  Дифференциальное резервирование (Differential backup);

При дифференциальном резервировании каждый файл, который был изменен с момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет процесс восстановления. Все, что необходимо, это последняя полная и последняя дифференциальная резервная копия. Популярность дифференциального резервирования растет, так как все копии файлов делаются в определенные моменты времени, что, например, очень важно при заражении вирусами.

  1.  Добавочное резервирование (Incremental backup);

При добавочном ("инкрементальном") резервировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее добавочное резервирование добавляет только файлы, которые были изменены с момента предыдущего добавочного резервирования. В среднем, добавочное резервирование занимает меньше времени, так как копируется меньшее количество файлов. Однако, процесс восстановления данных занимает больше времени, так как должны быть восстановлены данные последнего полного резервирования, плюс данные всех последующих добавочных резервирований. При этом, в отличие от дифференциального резервирования, изменившиеся или новые файлы не замещают старые, а добавляются на носитель независимо.

  1.  Пофайловый метод;

Система пофайлового резервирования запрашивает каждый индивидуальный файл и записывает его на носитель. Всегда следует использовать предлагаемую опцию верификации. При верификации, все копируемые с диска данные перечитываются с источника и проверяются или побайтно сравниваются с данными на носителе. Так как фрагментированные файлы на диске из-за большего количества выполняемых операций поиска замедляют процесс резервирования, то производительность можно обычно увеличить производя регулярную дефрагментацию диска. При дефрагментации блоки данных располагаются по порядку, друг за другом так, чтобы они были доступны в кэше упреждающего чтения.

  1.  Блочное инкрементальное копирование (Block level incremental).

Для резервного копирования предлагаю использовать специализированное программное обеспечение, такое как Acronis True Image.

Acronis True Image — программа для резервного копирования и восстановления данных. Программное обеспечение позволяет пользователю создавать образ диска во время его работы Microsoft Windows или в автономном режиме, загрузившись с CD, DVD, USB флэш-накопителя, или другой загрузочный носитель.

Криптографические средства.

Криптографические методы защиты информации применяются для обработки, хранения и передачи информации на носителях и по сетям связи. Криптографическая защита информации при передаче данных на большие расстояния является единственно надежным способом шифрования. Цели защиты информации в итоге сводятся к обеспечению конфиденциальности информации и защите информации в компьютерных системах в процессе передачи информации по сети между пользователями системы.

 

Контроль действия пользователей.

LanAgent – программа для наблюдения за компьютерами в локальной сети. Предназначена для контроля действий пользователей. LanAgent осуществляет мониторинг активности на любом компьютере, подключённом к сети вашей организации. Программа позволит выявить деятельность, не имеющую отношения к работе, покажет, насколько рационально ваши сотрудники используют рабочее время.

Возможности программы LanAgent:

  1.  Регистрирует все нажатия клавиш.
  2.  Делает снимки экрана (скриншоты) через заданный промежуток времени.
  3.  Запоминает запуск и закрытие программ.
  4.  Следит за содержимым буфера обмена.
  5.  Осуществляет мониторинг файловой системы.
  6.  Перехватывает переписку ICQ, mail.ru agent, e-mail.
  7.  Перехватывает посещённые сайты.
  8.  Отслеживает включение/выключение компьютера.
  9.  Расширенная система аналитических отчетов.
  10.  Вся информация хранится в базе данных на компьютере администратора.
  11.  Удалённое управление настройками агента, возможность удалённо запустить/остановить мониторинг.
  12.  Автоматическое получение логов от агентов на компьютер администратора.
  13.  Логи передаются по сети в зашифрованном виде.
  14.  Агенты абсолютно невидимы на компьютерах пользователей.
  15.  Возможность отправки текстовых сообщений на компьютер пользователя.


II. ПРОЕКТНАЯ ЧАСТЬ 

  1.  Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
    1.  Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; проводится федеральный закон о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Законодательные меры по защите информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц – пользователей и обслуживающего технического персонала – за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре информации.

Цель законодательных мер – предупреждение и сдерживание потенциальных нарушителей. [8]

Роль стандартов зафиксирована в основных понятиях закона Российской Федерации «О техническом регулировании» от 27 декабря 2002 года под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 года):

  1.  стандарт – документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплоатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.
  2.  стандартизация – деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ и услуг. [9]

Государственные (национальные) стандарты Российской Федерации.

Установление стандартов и нормативов в сфере обеспечения информационной безопасности Российской Федерации является наиболее важной регулирующей функцией.

Среди различных стандартов по безопасности информационных технологий, существующих в настоящее время в России, выделяют следующие нормативные документы по критериям оценки защищенности средств вычислительной техники и автоматизированных систем и документы, регулирующие информационную безопасность (таблица 7, строки 1 — 10). К ним можно добавить нормативные документы по криптографической защите систем обработки информации и информационных технологий (таблица 7, строки 11 —13).

Таблица 7.

Российские стандарты, регулирующие информационную безопасность

№ п/п

Стандарт

Наименование

1

ГОСТ Р ИСО/МЭК 15408-1—2008

Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

2

ГОСТ Р ИСО/МЭК 15408-2-2008

Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

3

ГОСТ Р ИСО/МЭК 15408-3-2008

Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

4

ГОСТ Р 50739-95

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования

5

ГОСТ Р 50922-2006

Защита информации. Основные термины и определения

6

ГОСТ Р 51188-98

Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство

7

ГОСТ Р 51275-99

Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

8

ГОСТ Р ИСО 7498-1-99

Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель

9

ГОСТ Р ИСО 7498-2-99

Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации

10

ГОСТ Р 50739-95

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования

11

ГОСТ 28147-89

Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования

12

ГОСТ Р 34.10-2001

Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи

13

ГОСТ Р 34.11-94

Информационная технология. Криптографическая защита информации. Функция хэширования

Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности стал гарантией качества и надежности сертифицированных по нему программных продуктов. Стандарт ISO 15408—2002 позволил потребителям лучше ориентироваться при выборе программного обеспечения и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT-компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.

ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» действует в России с января 2004 г. и является аналогом стандарта ISO 15408. ГОСТ Р И СО/ МЭК 15408, называемый также «Общими критериями», является на сегодня самым полным стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования. Он направлен на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.

ГОСТ Р ИСО/МЭК 15408-2002 состоит из трех частей.

Часть 1 (ГОСТ Р ИСО/МЭК 15408-1 «Введение и общая модель») устанавливает общий подход к формированию требований безопасности и оценке безопасности. На их основе разрабатываются основные конструкции (профиль защиты и задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ.

Часть 2 (ГОСТ Р ИСО/МЭК 15408-2 «Функциональные требования безопасности») содержит универсальный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 (ГОСТ Р ИСО/МЭК 15408-3 «Требования доверия к безопасности») включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы информационных технологий для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

Главные достоинства ГОСТ Р ИСО/МЭК 15408:

  1.  полнота требований к И Б;
  2.  гибкость в применении;
  3.  открытость для последующего развития с учетом новейших достижений науки и техники.

Международные стандарты

ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. [18]

Можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:

  1.  оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;
  2.  спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Оценочные стандарты описывают важнейшие, с точки зрения информационной безопасности, понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Другие спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Первым оценочным стандартом, получившим международное признание и оказавшим исключительно сильное влияние на последующие разработки в области информационной безопасности, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем", известный (по цвету обложки) под названием "Оранжевая книга". В нем заложен понятийный базис информационной безопасности.

После "Оранжевой книги" была выпущена целая "Радужная серия". С концептуальной точки зрения, наиболее значимый документ в ней - "Интерпретация "Оранжевой книги" для сетевых конфигураций". Он состоит из двух частей. Первая содержит интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.

Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью» и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем.

Первая часть стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

  1.  необходимость обеспечения информационной безопасности;
  2.  основные понятия и определения информационной безопасности;
  3.  политика информационной безопасности компании;
  4.  организация информационной безопасности на предприятии;
  5.  классификация и управление корпоративными информационными ресурсами;
  6.  кадровый менеджмент и информационная безопасность;
  7.  физическая безопасность;
  8.  администрирование безопасности КИС;
  9.  управление доступом;
  10.  требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
  11.  управление бизнес-процессами компании с точки зрения информационной безопасности;
  12.  внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью», определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:

  1.  «Введение в проблему управления информационной безопасностью»;
  2.  «Возможности сертификации на требования стандарта BS 7799»;
  3.  «Руководство BS 7799 по оценке и управлению рисками»;
  4.  «Руководство для проведения аудита на требования стандарта;
  5.  «Практические рекомендации по управлению безопасностью информационных технологий».

Федеральный стандарт США FIPS 140-2 "Требования безопасности для криптографических модулей" – выполняет организующую функцию, описывая внешний интерфейс криптографического модуля, общие требования к подобным модулям и их окружению. Наличие такого стандарта упрощает разработку сервисов безопасности и профилей защиты для них.

Германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению вопросов управления информационной безопасностью компании.

В германском стандарте BSI представлены:

  1.  общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);
  2.  описания компонентов современных ИТ;
  3.  описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
  4.  характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
  5.  характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением ОС семейства DOS, Windows и UNIX);
  6.  характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
  7.  характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
  8.  подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге). [9]

Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

Таблица 8.

Международные стандарты

ISO/IEC 27000:2009

Определения и основные принципы. Выпущен в июле 2009 г.

ISO/IEC 27001:2005/BS 7799-2:2005

Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Выпущен в октябре 2005 г.

ISO/IEC 27002:2005, BS 7799-1:2005,BS ISO/IEC 17799:2005

Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. Выпущен в июне 2005 г.

Таблица

ISO/IEC 27003:2010

Руководство по внедрению системы управления информационной безопасностью. Выпущен в январе 2010 г.

ISO/IEC 27004:2009

Измерение эффективности системы управления информационной безопасностью. Выпущен в январе 2010 г.

ISO/IEC 27005:2008

Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Выпущен в июне 2008 г.

ISO/IEC 27006:2007

Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью. Выпущен в марте 2007 г

ISO/IEC 27007

Руководство для аудитора СУИБ. Проект находится в финальной стадии. Выпуск запланирован на 2011 год.

ISO/IEC 27008

Руководство по аудиту механизмов контроля СУИБ. Будет служить дополнением к стандарту ISO 27007. Выпуск запланирован в конце 2011 года. 

ISO/IEC 27010

Управление информационной безопасностью при коммуникациях между секторами. Стандарт будет состоять из нескольких частей, предоставляющих руководство по совместному использованию информации о рисках информационной безопасности, механизмах контроля, проблемах и/или инцидентах, выходящей за границы отдельных секторов экономики и государств, особенно в части, касающейся "критичных инфраструктур".

ISO/IEC 27011:2008

Руководство по управлению информационной безопасностью для телекоммуникаций. Выпущен в мае 2009 г.

ISO/IEC 27013

Руководство по интегрированному внедрению ISO 20000 и ISO 27001. Выпуск запланирован в 2011 году.

ISO/IEC 27014

 Базовая структура управления информационной безопасностью. Проект находится в разработке.

ISO/IEC 27015

Руководство по внедрению систем управления информационной безопасностью в финансовом и страховом секторе. Проект проходит начальную стадию обсуждения.

ISO/IEC 27031 

Руководство по обеспечению готовности информационных и коммуникационных технологий к их использованию для управления непрерывностью бизнеса. Проект находится в финальной стадии. Выпуск запланирован в начале 2011 года.

ISO/IEC 27032

Руководство по обеспечению кибербезопасности. Проект находится в начальной стадии разработки.

ISO/IEC 27033

ISO 27033 заменит известный международный стандарт сетевой безопасности ISO 18028, состоящий из пяти частей. Новый стандарт возможно будет включать в себя более 7 частей. Проекты частей 2-7 ISO 27033 надятся в разной стадии готовности.

ISO/IEC 27033-1:2009 – Основные концепции управления сетевой безопасностью. Выпущен в январе 2010 года.

ISO/IEC 27033-2 – Руководство по проектированию и внедрению системы обеспечения сетевой безопасности.

ISO/IEC 27033-3 – Базовые сетевые сценарии - угрозы, методы проектирования и механизмы контроля.

ISO/IEC 27033-4 – Обеспечение безопасности межсетевых взаимодействий при помощи шлюзов безопасности - угрозы, методы проектирования и механизмы контроля.

ISO/IEC 27033-5 – Обеспечение безопасности Виртуальных Частных Сетей - угрозы, методы проектирования и механизмы контроля.

ISO/IEC 27033-6 – Конвергенция в IP сетях (Определение угроз, методов проектирования и механизмов контроля в IP сетях с конвергенцией данных, голоса и видео).

ISO/IEC 27033-7 – Руководство по обеспечению безопасности беспроводных сетей - Риски, методы проектирования и механизмы контроля.

ISO/IEC 27034

ISO/IEC 27034 - Безопасность приложений. Проекты различных частей стандарта ISO 27034 находятся в различной стадии разработки.

ISO/IEC 27034-1 - Обзор и основные концепции в области обеспечения безопасности приложений.

ISO/IEC 27034-2 - Нормативная база организации.

ISO/IEC 27034-3 - Процесс управления безопасностью приложений.

ISO/IEC 27034-4 - Оценка безопасности приложений.

ISO/IEC 27034-5 - Протоколы и структура управляющей информации для обеспечения безопасности приложений (XML схема).

ISO/IEC 27034-6 - Руководство по обеспечению безопасности конкретных приложений.

ISO/IEC 27035

Управление инцидентами безопасности. Проект находится в разработке и, после выпуска, заменит технический отчет ISO TR 18044.

ISO/IEC 27036

Руководство по аутсорсингу безопасности. Выпуск запланирован на 2012 год.

ISO/IEC 27037

Руководство по идентификации, сбору и/или получению и обеспечению сохранности цифровых свидетельств. Проект разрабатывается на базе британского стандарта BS 10008:2008

ISO 27799:2008

Управление информационной безопасностью в сфере здравоохранения. Опубликован в 2008 году.


  1.  Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики.

Правила могут быть написаны для защиты аппаратных средств, программного обеспечения, средств доступа к информации, людей, внутренних коммуникаций, сети, сети, телекоммуникаций, правоприменения и т.д.

Правила информационной безопасности не должны быть единым документом. Чтобы упростить пользование ими, правила могут быть включены в несколько документов. На рисунке 21 представлен примерный перечень разрабатываемых правил информационной безопасности. [10]

Рисунок 21. Список систем,  для которых разрабатываются правила безопасности.

Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационная структура, основные функции службы компьютерной безопасности

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в автоматизированных системах может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности).

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования.

Основные функции службы заключаются в следующем :

  1.  формирование требований к системе защиты в процессе создания автоматизированной системы;
  2.  участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
  3.  планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования автоматизированной системы;
  4.  распределение между пользователями необходимых реквизитов защиты;
  5.  наблюдение за функционированием системы защиты и ее элементов;
  6.  организация проверок надежности функционирования системы защиты;
  7.  обучение пользователей и персонала автоматизированной системы правилам безопасной обработки информации;
  8.  контроль за соблюдением пользователями и персоналом автоматизированной системы установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
  9.  принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

  1.  численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;
  2.  служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
  3.  штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием автоматизированной системы;
  4.  сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура автоматизированных систем и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
  5.  руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;
  6.  службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

Обычно выделяют четыре группы сотрудников (по возрастанию иерархии):

  1.  Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема автоматизированной системы имеет своего сотрудника группы безопасности.
  2.  Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления и за хранением резервных копий.
  3.  Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.
  4.  Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления.

Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты

Включают:

  1.  разовые мероприятия –однократно проводимые и повторяемые только при полном пересмотре принятых решений;
  2.  мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой автоматизированной системе или внешней среде;
  3.  периодически проводимые мероприятия;
  4.  постоянно проводимые мероприятия – непрерывно или дискретно в случайные моменты времени.

Разовые мероприятия

К разовым мероприятиям относят:

  1.  общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты автоматизированных систем;
  2.  мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов автоматизированных систем (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);
  3.  мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);
  4.  проведение спецпроверок всех применяемых в автоматизированных системах средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;
  5.  разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
  6.  внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов автоматизированных систем и действиям в случае возникновения кризисных ситуаций;
  7.  оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
  8.  определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
  9.  мероприятия по созданию системы защиты автоматизированных систем и созданию инфраструктуры;
  10.  мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием автоматизированных систем, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от несанкционированного доступа при передаче, хранении и обработки в автоматизированных системах; выявление наиболее вероятных угроз для данной автоматизированной системы, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);
  11.  организацию надежного пропускного режима;
  12.  определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;
  13.  организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
  14.  определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы;
  15.  создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;
  16.  определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса автоматизированной системы в критических ситуациях, возникающих как следствие несанкционированного доступа, сбоев и отказов, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

  1.  распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
  2.  анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;
  3.  мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;
  4.  периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;
  5.  мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

  1.  мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
  2.  мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);
  3.  мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

Постоянно проводимые мероприятия

Постоянно проводимые мероприятия включают:

  1.  мероприятия по обеспечению достаточного уровня физической защиты всех компонентов автоматизированной системы (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).
  2.  мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;
  3.  явный и скрытый контроль за работой персонала системы;
  4.  контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования автоматизированной системы;
  5.  постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации от НСД

Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов:

  1.  документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в автоматизированной системе (план защиты информации в автоматизированной системе, план обеспечения непрерывной работы и восстановления информации);
  2.  документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).

План защиты информации в автоматизированной системе должен содержать следующие сведения:

  1.  описание защищаемой системы (основные характеристики защищаемого объекта): назначение автоматизированной системы, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в автоматизированной системе и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.;
  2.  цель защиты системы и пути обеспечения безопасности автоматизированной системы и циркулирующей в ней информации;
  3.  перечень значимых угроз безопасности, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
  4.  основные требования к организации процесса функционирования автоматизированной системы и мерам обеспечения безопасности обрабатываемой информации ;
  5.  требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от несанкционированного доступа;
  6.  основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности автоматизированной системы (особые обязанности должностных лиц автоматизированной системы).

План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы:

  1.  цель обеспечения непрерывности процесса функционирования автоматизированной системы, своевременность восстановления ее работоспособности и чем она достигается;
  2.  перечень и классификация возможных кризисных ситуаций;
  3.  требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
  4.  обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.

Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы:

  1.  разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
  2.  определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
  3.  определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
  4.  определение порядка разрешения споров в случае возникновения конфликтов. [19]

Разработанная политика безопасности для компании представлена в приложении №1.


  1.  Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
    1.  Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности..

DeviceLock.

Для защиты и администрирования компьютерной сети организации важно предотвратить запись информации на сменные носители и установку с них ненужных программ.

При помощи DeviceLock администратор компьютера или домена может контролировать доступ пользователей к дисководам, DVD/CD-ROM, другим сменным устройствам, адаптерам Wi-Fi и Bluetooth, а также к USB, FireWire, инфракрасным, COM и LPT-портам.

Кроме функции контроля доступа, DeviceLock позволяет осуществлять протоколирование и аудит использования устройств и сетевых протоколов на локальном компьютере, как отдельными пользователями, так и группами. Для хранения записей аудита DeviceLock использует стандартный журнал Windows, что позволяет просматривать их как с помощью стандартной программы просмотра событий, так и встроенного средства просмотра.

DeviceLock поддерживает функцию теневого копирования – возможность сохранять точную копию данных, копируемых пользователем на внешние устройства хранения данных, передаваемых через COM и LPT-порты или по сети.

Точные копии всех файлов и данных сохраняются в SQL-базе данных. Теневое копирование, как и аудит, может быть задано для отдельных пользователей и групп пользователей.

Кроме того, теневое копирование DeviceLock совместимо с библиотекой программного обеспечения, поддерживаемой национальным институтом стандартов и технологий США, а также с базой данных Hashkeeper, созданной и поддерживаемой министерством юстиции США. Данные теневого копирования могут быть проверены на вхождение в базы данных известных файлов, что позволяет их использовать в компьютерной криминалистике. Такие базы данных содержат цифровые “отпечатки” множества известных файлов (файлы операционных систем, прикладного программного обеспечения и т.п.).

Кроме того, DeviceLock предоставляет возможность быстрого поиска текста в файлах теневого копирования и журналах аудита, хранящихся в централизованной базе данных. DeviceLock может автоматически распознавать, индексировать, искать и показывать документы в различных форматах данных, таких как Adobe Acrobat (PDF), Ami Pro, архивы (GZIP, RAR, ZIP), Lotus 1-2-3, Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Word, Microsoft Works, OpenOffice (документы, таблицы и презентации), Quattro Pro, WordPerfect, WordStar и во многих других.

DeviceLock состоит из трех частей: агента (DeviceLock Service), сервера (DeviceLock Enterprise Server и DeviceLock Content Security Server) и консоли управления (DeviceLock Management Console, DeviceLock Group Policy Manager и DeviceLock Enterprise Manager).

  1.  DeviceLock Service – это ядро системы DeviceLock. Агент устанавливается на каждый компьютер, автоматически запускается и обеспечивает защиту устройств и сети на машине-клиенте, оставаясь в то же время невидимым для локального пользователя.

Рисунок 2.2.1.1. Схема DeviceLock Service


  1.  DeviceLock Enterprise Server – это дополнительный необязательный компонент, используемый для централизованного сбора и хранения данных теневого копирования и журналов аудита. DeviceLock Enterprise Server использует MS SQL Server для хранения данных.

Рисунок 2.2.1.2. Схема DeviceLock Enterprise Server

  1.  Консоль управления – это интерфейс контроля, который системный администратор использует для удаленного управления любой системой, на которой установлен агент (DeviceLock Service). DeviceLock поставляется с тремя различными консолями управления: DeviceLock Management Console (оснастка для MMC), DeviceLock Enterprise Manager и DeviceLock Group Policy Manager (интегрирован в редактор групповых политик Windows). DeviceLock Management Console также используется для управления DeviceLock Enterprise Server и DeviceLock Content Security Server.

Рисунок 2.2.1.3. Схема консоль управления

Управляемый контроль доступа для устройств и протоколов

Контроль доступа для устройств работает следующим образом: каждый раз, когда пользователь пытается получить доступ к устройству, DeviceLock перехватывает запрос на уровне ядра ОС. В зависимости от типа устройства и интерфейса подключения (например USB), DeviceLock проверяет права пользователя в соответствующем списке управления доступом (ACL). Если у пользователя отсутствуют права доступа к данному устройству, будет возвращено сообщение об ошибке “доступ запрещен”.

Контроль доступа может выполняться на трех уровнях: уровне интерфейса (порта), уровне типа и уровне содержимого файлов. Некоторые устройства проверяются на всех трех уровнях, в то время как другие – только на одном: либо на уровне интерфейса (порта), либо на уровне типа.

Рассмотрим случай доступа пользователя к USB-флеш через USB-порт. В данном случае DeviceLock в первую очередь проверит на уровне интерфейса (USB-порта), открыт или нет доступ к USB-порту. Затем, поскольку Windows определяет USB-флеш как съемное устройство, DeviceLock также проверит ограничения на уровне типа устройства (Removable). И в завершение проверки DeviceLock также проверит ограничения на уровне содержимого файла, определенные контентно-зависимыми правилами (Content-Aware Rules). В случае использования USB-сканера доступ будет проверяться только на уровне интерфейса (USB-порта), поскольку DeviceLock не имеет отдельного типа устройств для сканеров.[17]

Рисунок 2.2.1.4. Алгоритм контроля доступа

Handy Backup Office Expert

Handy Backup Office Expert – это одна из лучших программ для резервного копирования. Разработанная, как для частных, так и для корпоративных пользователей, она обеспечивает полное, лёгкое и экономичное резервное копирование и восстановление данных. Она выполняет бэкап баз данных MS SQL, MySQL, Oracle, MS Access, FoxPro, PostgreSQL и других с помощью ODBC-драйвера. При этом копируются таблицы базы данных. Бэкап базы MS SQL возможен через интерфейс API, когда копируются все компоненты базы данных - таблицы, представления, индексы, процедуры, триггеры и прочие.

Программа резервного копирования Handy Backup разработана для копирования самых разнообразных данных, не требуя от пользователя знания их месторасположения. Пользователь должен только уточнить, какие именно данные следует копировать, все остальные действия выполняются программой. Handy Backup работает практически со всеми существующими устройствами для хранения данных, включая внешние и внутренние жёсткие диски, сменные носители (например, дискеты), CD/DVD диски, а также локальные сети и отдалённые серверы.

Задачи копирования могут быть запланированы, и осуществляться автоматически, как однократно, так и на постоянной основе. Посредством электронной почты программа информирует пользователей о состоянии процесса копирования и его завершении.

Использование Zip-сжатия файлов позволяет значительно сократить, как объём хранимой информации, так и время подключение к Интернету, во время резервирования данных на удалённый сервер. Пользователь может изменять тип параметров сжатия и уровень сжатия. Для защиты данных от несанкционированного доступа используется 128-битный алгоритм шифрования. Файлы, зашифрованные с помощью Handy Backup, невозможно преобразовать в первоначальный вид без уникального пароля и самой программы. Для обеспечения полного соответствия хранимых данных и их первоисточников Handy Backup использует функцию синхронизации.

Данный программный продукт будет установлен на сервере баз данных. Ответственность по установке и использованию Handy Backup возлагается на системного администратора. [18]

Криптографические средства.

eToken - персональное средство аутентификации и защиты информации, использующее сертифицированные алгоритмы шифрования и аутентификации и объединяющее в себе российские и международные стандарты безопасности.

eToken представляет собой небольшое электронное устройство, подключаемое к USB-порту компьютера (USB-брелок). Он является аналогом смарт-карты, но для работы с ним не требуется дополнительное оборудование (считыватель), данные надежно хранятся в энергонезависимой памяти, прочный корпус eToken устойчив к внешним воздействиям.

 

Рисунок 2.2.1.5. Электронный ключ eToken

Основу eToken составляет микроконтроллер, который выполняет криптографическое преобразование данных, и память, в которой хранятся данные пользователя (пароли, сертификаты, ключи шифрования и т. д.).

Электронные идентификаторы обычно используются в комплексе с соответствующими программно-аппаратными средствами. eToken поддерживает основные промышленные стандарты, что позволяет без труда использовать токены в уже существующих системах безопасности информации.

eToken разработан компанией «Аладдин Р.Д.» с учетом современных требований к устройствам защиты информации. Главным немало важным является то, что в eToken аппаратно реализован российский стандарт шифрования - ГОСТ 28147-89. [19]

На базе eToken ЭЦП и программного обеспечения КриптоПро разработан программно-аппаратное CКЗИ КриптоПро eToken CSP.


Основные технические характеристики

Криптографические возможности:

  1.  Алгоритм ГОСТ Р 34.10-2001:
  2.  Генерация ключевых пар.
  3.  Срок действия закрытых ключей до 3-х лет;
  4.  Формирование и проверка электронной цифровой подписи.
  5.  Алгоритм ГОСТ ГОСТ 34.11-94 — вычисление значения хеш-функции данных (в т.ч. с возможностью последующего формирования ЭЦП):
  6.  Поддержка алгоритма ГОСТ 28147-89:
  7.  Генерация и импортирование ключей шифрования;
  8.  Зашифрование и расшифрование данных в режимах простой замены, гаммирования и гаммирования с обратной связью;
  9.  Вычисление и проверка имитовставки.
  10.  Выработка сессионных ключей (ключей парной связи) по схеме ГОСТ Р 34.10-2001;
  11.  Выработка ключа парной связи по алгоритму Диффи-Хеллмана согласно RFC 4357;
  12.  Генерация последовательности случайных чисел;
  13.  Поддержка алгоритма RSA.

Возможности аутентификации владельца:

  1.  Поддержка 3 категорий владельцев: Администратор, Пользователь, Гость;
  2.  Поддержка 2-х Глобальных PIN-кодов: Администратора и Пользователя;
  3.  Поддержка Локальных PIN-кодов для защиты конкретных объектов (например, контейнеров сертификатов) в памяти устройства;
  4.  Настраиваемый минимальный размер PIN-кода (для любого PIN-кода настраивается независимо);
  5.  Поддержка комбинированной аутентификации:
  6.  Администратор или Пользователь;
  7.  Аутентификация по Глобальным PIN-кодам в сочетании с аутентификацией по локальным PIN-кодам;
  8.  Индикация факта смены Глобальных PIN-кодов по умолчанию на оригинальные.

Интерфейсы:

  1.  Поддержка PC/SC;
  2.  Сертификаты X.509 v3, SSL v3, IPSec/IKE;
  3.  Поддержка USB CCID (работа без установки драйверов в Windows Vista и Windows 7);
  4.  Microsoft Crypto API;
  5.  PKCS#11 версии 2.30 (включая российский профиль).

Поддерживаемые операционные системы

  1.  Microsoft Windows XP/2003/Vista/2008/7 (32/64-бит);
  2.  MacOS X (RISC, Intel);
  3.  Linux (SuSE, RedHat, Ubuntu).

Возможности eToken ЭЦП позволяют осуществлять механизм электронной цифровой подписи так, чтобы закрытый (секретный) ключ подписи никогда не покидал пределы токена. Таким образом, исключается возможность компрометации ключа и увеличивается общая безопасность информационной системы.

Средство криптографической защиты информации (СКЗИ) eToken ЭЦП имеет Сертификат соответствия ФСБ РФ №СФ/124-1674 от 11 мая 2011 года, который удостоверяет, что eToken ЭЦП соответствует требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94 и ГОСТ Р 34.10-2001, а также требованиям ФСБ России к СКЗИ класса КС2 и может использоваться для генерации и управления ключевой информацией, шифрования, хеширования и электронной цифровой подписи. [19]

Правила эксплуатации и хранения eToken.

  1.  Оберегайте электронный идентификатор от механических воздействий (падения, сотрясения, вибрации и т.п.), от воздействия высоких и низких температур, агрессивных сред, высокого напряжения; все это может привести к его поломке.
  2.  Не прилагайте лишних усилий при подсоединении устройства к порту компьютера.
  3.  Не допускайте попадания на электронный идентификатор (особенно на его разъем) пыли. Грязи, влаги и т.п. При засорении разъема примите меры для его очистки. Для очистки корпуса и разъема устройства используйте сухую ткань. Использование органических растворителей недопустимо.
  4.  Не разбирайте электронный идентификатор. Кроме того, что при этом будет утрачена гарантия на устройство, такие действия могут привести к поломке корпуса, а также к порче или поломке элементов печатного монтажа и, как следствие – к ненадежной работе или выходу из строя самого идентификатора.
  5.  Разрешается подключать идентификатор только к исправному оборудованию. Параметры USB порта должны соответствовать спецификации для USB.
  6.  Запрещается использовать длинные переходники или USB – хабы без дополнительного питания, поскольку из-за этого на вход, предназначенный для идентификатора, может подаваться несоответствующее напряжение.
  7.  Запрещается извлекать электронный идентификатор из порта компьютера, если на устройстве моргает индикатор, поскольку это обозначает работу с данными и прерывание работы может негативно сказаться как на данных, так и на работоспособности идентификатора.
  8.  Запрещается оставлять идентификатор подключенный к компьютеру во время перезагрузки, ухода в режим sleep, поскольку в это время возможны перепады напряжения на USB – порте и, как следствие, вывод устройства из строя.
  9.  Не рекомендуется оставлять идентификатор подключенный к компьютеру, когда он не используется.
  10.  Рекомендуется отключать другие USB – устройства на время работы с токеном. Большое количество USB – устройств может приводить к значительным изменениям в режимах питания USB – портов компьютера и, как следствие, к выходу из строя токенов.


  1.  Контрольный пример реализации проекта и его описание.

Структура программно-аппаратного комплекса защиты информации спроектированной информационной системы представлена рисунке 2.2.2.1.

Рисунок 2.2.2.1. Структура программно-аппаратного комплекса защиты информации информационной системы ООО «Торговый Дом ЛФЗ».

Handy Backup

Для установки Handy Backup на сервере базы данных, необходимо запустить установочный файл Handy Backup. Появиться мастер установки, необходимо нажать кнопку «Далее». В следующем окне необходимо прочитать лицензионное соглашение и нажать «Согласен». Далее появиться окно, где необходимо выбрать приложение установки. В нашем случае это будет Handy Backup, поскольку резервное копирование будет происходить только на одном компьютере, сервере баз данных.

Рисунок 2.2.2.2. Мастер установки Handy Backup

После следует выбрать место, куда следует установить программу и нажать «Установить». После установки откроется программа.

Для того, чтобы зарезервировать данные необходимо создать задачу резервного копирования с помощью значка , который располагается на панели инструментов.

После запуска программы появиться мастер создания новой задачи. Handy Backup работает с данными, сгруппированными по задачам. Для резервного копирования, восстановления или синхронизации данных требуется создать задачу, определив:

  1.  имя задачи;
  2.  тип выполняемой операции (резервное копирование, восстановление, синхронизация);
  3.  месторасположение копируемых данных;
  4.  место хранения резервных копий;
  5.  тип и степень сжатия при архивировании;
  6.  пароль для шифрования;
  7.  расписание копирования;
  8.  и прочие дополнительные опции.

Рисунок 2.2.2.3. Мастер создания новой задачи. Выбор типа задач.

Задачу резервного копирования можно создать, либо в стандартном режиме, обеспечивающим минимально необходимый набор настроек, либо в режиме эксперт с расширенными возможностями настройки свойств задачи.

В следующем окне по кнопке «Добавить» будет предложено указать, какие файлы и папки следует включить в набор для резервного копирования.

Рисунок 2.2.2.4. Мастер создания новой задачи.

Поле «включить маски» определяет, какие файлы включаются в задание. В него можно ввести полные имена файлов, отделённые точкой с запятой друг от друга; и/или обозначить маски, указывающие на группы файлов. Аналогично поле «Исключить маски». Можно обозначить файлы и/или маски, указывающие, какие файлы или группы файлов не надо резервировать. Кнопка «добавить стандартные расширения временных файлов» позволяет добавить в список исключения временные файлы. После нажатия на кнопку стандартные маски временных файлов появятся в окне «исключить маски».

На следующем этапе будет предложено выбрать место хранения резервных копий.

Рисунок 2.2.2.5. Мастер создания новой задачи. Выбор места хранения резервных копий.

В следующем окне будут предложены расширенные настройки, где можно выбрать тип резервного копирования.

Рисунок 2.2.2.6. Мастер создания новой задачи. Установка расширенных настроек.

Полное резервирование – программа будет делать резервные копирование всех файлов при каждой операции.

Инкрементальное резервирование – программа сделает резервное копирование только тех файлов, которые были изменены с момента последнего копирования.

Дифференциальное резервирование – программа выполняет резервное копирование новых файлов и части изменившихся файлов (побайтово), с момента последнего полного бэкапа.

Флажок «удалить все файлы в папке назначения, за исключением копируемых» отмечается, если надо удалить в папке, куда совершается резервирование, все файлы, не относящиеся к данной операции копирования.

Флажок «сохранить резервную копию с временной меткой» отмечается, если требуется, чтобы каждая резервная копия сопровождалась информацией о дате создания. Программа дает возможность определить свойства временной метки, нажав «настройки временной метки». При этом открывается следующее окно:

Рисунок 2.2.2.7. Установка формата временной метки

«Точность временной отметки» предназначена для степени уточнения временной отметки (минута, час, неделя, месяц и т.д.).

«Формат временной отметки» определяет формат отображения даты создания, например, 2012, Октябрь 10, (20.00).

Также следует решить, что делать со старыми версиями резервных копий: сохранить все, оставить только определённое количество самых последних версий или сохранить последние за определённый период времени.

«Установки обработки файлов» эта опция позволяет пропускать некоторые файлы при копировании ("только для чтения", скрытые, системные).

Рисунок 2.2.2.8. Установка обработки файлов.

На этапе сжатия и шифрования имеется возможность типа сжатия.

Рисунок 2.2.2.9. Мастер создания новой задачи. Установка параметров сжатия и шифрования.

При сжатии используется zip-архивирование. Оно рекомендуется при резервировании на сетевые диски или FTP сервера, поскольку позволяет экономить место, время и объемы данных, передаваемых через Интернет.

Имя ZIP-архива - здесь указывается имя архива;

Качество сжатия - чем выше качество, тем больше степень сжатия и тем меньше будет объем резервной копии, но тем больше времени потребуется для компрессии.

Шифровать - если данная опция отмечена, то данные будут зашифрованы с помощью алгоритма Blowfish и таким образом защищены от несанкционированного доступа. Если выбрано шифрование данных, то необходимо заполнить следующие поля:

  1.  Пароль – пароль для шифрования данных, обеспечивающий доступ к резервным копиям при восстановлении.

Подтверждение пароля: поле должно быть заполнено тем же самым паролем шифрования, что и предыдущее поле, чтобы избежать ошибок при вводе пароля.

Для продолжения нажимаем кнопку «Далее».

Следующее окно позволяет спланировать расписание запуска резервного копирования.

Рисунок 2.2.2.10. Мастер создания новой задачи. Установка расписания для автоматического запуска операции.

Окно устроено следующим образом:

Установка флага «включить планировщик» – позволяет выполнять копирование согласно определенному времени. Если по каким-либо причинам задача резервного копирования не была проведена в установленное время, она будет выполнена в следующий раз при благоприятных обстоятельствах.

Повторить – предлагает четыре варианта:

  1.  Каждый день – для ежедневного выполнения операции;
  2.  В дни недели – для выполнения операции по определённым дням недели;
  3.  В дни месяца – для выполнения операции по определённым числам месяца;
  4.  Произвольный период – с точностью до минут указывается интервал времени, через который будет запускаться задача копирования.

Если предполагается, что в установленное для резервирования время, компьютер может бездействовать (быть выключен или выведен из системы), можно отметить «выполнять пропущенные запуски». Это позволит Handy Backup выполнить задание, как только системный администратор войдет в систему.

Два оставшихся флажка позволяют выполнять дополнительные сессии по восстановлению данных. Первый пункт запускает задачу при каждом входе системного администратора в систему. Второй пункт позволяет выполнить задачу при выходе системного администратора из системы.

Следующее окно это завершающий этап.

В этом окне отображена полная информация о задаче, её настройки. Все пройденные этапы резюмированы здесь. Если необходимо что-то изменить, отсюда можно вернуться назад к любому этапу и внести необходимые изменения.

Рисунок 2.2.2.11. Мастер создания новой задачи. Параметры готовой задачи.

В заключение, можно запустить задачу сразу после завершения её создания. Чтобы это сделать, необходимо отметить опцию «выполнить эту задачу сразу» и нажать кнопку «Завершить».

Результат процедуры резервного копирования сразу же появиться в области задач.

Рисунок 2.2.2.12. Результат процедуры резервного копирования.

Криптографические средства.

Электронный идентификатор eToken подключается к USB-порту компьютера. Поэтому необходимо проверить, чтобы на компьютерах где используется электронный идентификатор eToken был открыт USB порт. Нельзя подключать eToken к USB-порту до установки драйвера.

Для начала работы с электронным идентификатором eToken необходимо:

  1.  Установить драйвер. Драйверы eToken устанавливаются до подключения устройства.
  2.  Подсоединить eToken к USB-порту. После установки драйверов eToken подсоединяется к порту компьютера. На идентификаторе загорается светодиод - признак того, что eToken электрически исправен и корректно распознан операционной системой.
  3.  Набрать PIN-код. Чтобы получить доступ к eToken, необходимо набрать PIN-код - своеобразный аналог пароля.

Для установки драйвера КриптоПро CSP необходимо запустить инсталляционный файл продукта. После распаковки дистрибутива начнется процесс установки. Необходимо нажать «Далее».

Рисунок 2.2.2.13. Окно начала установки программы CryptoPro CSP

В процессе установки eToken должен быть отсоединен от порта компьютера. Если он подключен, то его следует отсоединить и нажать «Установить».

После установки драйвера будет установлен модуль поддержки для КриптоПро CSP. В случае если на компьютере имеется более ранняя версия модуля поддержки, появится окно с предложением его обновить.

Рисунок 2.2.2.14. Окно с предложением обновления программы.

Следует нажать «Да».

Рисунок 2.2.2.15. Окно установки программы CryptoPro CSP

По окончании установки будет предложено перезагрузить операционную систему.

Рисунок 2.2.2.16. Окно окончания установки программы CryptoPro CSP

Подключение eToken.

После установки продукта и перезагрузки компьютера необходимо подсоединить идентификатор к USBпорту. В системной области панели задач появятся сообщения, свидетельствующие об успешной установке eToken.

После подключения на идентификаторе загорается светодиод. Это признак того, что eToken корректно распознан операционной системой и готов к работе.

Рисунок 2.2.2.17. Уведомление о подключенном устройстве eToken

Настройки КриптоПро CSP

После установки «eToken для КриптоПро CSP» следует настроить считыватели для работы с eToken.

Для КриптоПро CSP 3.6 настройка считывателей не требуется – она выполняется автоматически при установке криптопровайдера.

Регистрация сертификата открытого ключа в локальном хранилище

Чтобы различные приложения могли обращаться к контейнеру КриптоПро CSP, хранящемуся в памяти идентификатора eToken, необходимо зарегистрировать в локальном хранилище рабочей станции сертификат открытого ключа для этого контейнера.

Для этого из панели управления открыть окно настроек Крипто-Про CSP на закладке сервис и нажать на кнопку «Просмотреть сертификаты в контейнере».

Рисунок 2.2.2.18. Окно настроек КриптоПро CSP

Нажать на кнопку «Обзор» на первой странице мастера «Сертификаты в контейнере закрытого ключа».

Рисунок 2.2.2.19. Мастер «Сертификаты в контейнере закрытого ключа»

Выбрать нужный контейнер в появившемся окне «Выбор ключевого контейнера» и нажать на кнопку «ОК» 

Рисунок 2.2.2.20. Выбор ключевого контейнера.

По нажатию на кнопку «Далее» в мастере сертификаты в контейнере закрытого ключа и после появления страницы сертификат для просмотра необходимо нажать кнопку «Свойства».

Рисунок 2.2.2.21. Сертификат для просмотра.

В открывшемся окне свойств сертификата необходимо нажать на кнопку «Установить сертификат».

Рисунок 2.2.2.22. Свойства Сертификата.

Это приведет к запуску мастера импорта сертификатов, в окне которого надо нажать на кнопку «Далее».

Рисунок 2.2.2.23. Мастер импорта сертификатов.

Следуя указаниям мастера, нужно выбрать хранилище сертификатов (рекомендуется выбрать опцию автоматического определения) и нажать на кнопку «Далее».

Рисунок 2.2.2.24. Мастер импорта сертификатов. Выбор хранилища сертификатов.

В финальном окне мастера нажмите на кнопку «Готово». После появления окна ввода pin-кода введите PIN Пользователя и нажмите на кнопку «ОК».

Рисунок 2.2.2.25. Окно ввода pin-кода

В случае успешной регистрации появится соответствующее окно с подтверждением.

Рисунок 2.2.2.26. Окно подтверждения импорта сертификатов.

Для завершения регистрации нажатием кнопок «ОК» и «Готово». Закройте оставшиеся окна.


III. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА.

  1.  Выбор и обоснование методики расчета экономической эффективности.

 Оценка экономической эффективности ИТ-проекта является обязательной  составляющей его технико-экономического обоснования. Только сочетание этих двух составляющих может привести к достоверному результату проводимого анализа.

Под эффективностью в общем случае понимается степень соответствия системы поставленным перед ней целям. Экономическая эффективность - это мера соотношения затрат на разработку, внедрение, эксплуатацию и модернизацию системы и прибыли от ее применения.

При оценке эффективности ЭИС используют обобщающие и частные показатели.

Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:

  1.  во-первых, полный перечень угроз информации;
  2.  во-вторых, потенциальную опасность для информации для каждой из угроз;
  3.  в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.


Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации:

Ri = 10(Si + Vi – 4),

где:

Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;

Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. Полученные результаты приведенные в таблице 3.1.1.

Таблица 3.1.1

Величины потерь (рисков) для критичных информационных ресурсов

до внедрения/модернизации системы защиты информации

Актив

Угроза

Величина потерь (тыс.руб.)

Персональные данные о сотрудниках

Угрозы, обусловленные преднамеренными действиями

100

Угрозы, обусловленные случайными действиями

100

Угрозы, обусловленные естественными причинами

0,1

Кадровый учет

Угрозы, обусловленные преднамеренными действиями

100

Угрозы, обусловленные случайными действиями

100

Угрозы, обусловленные естественными причинами

0,1

Персональные компьютеры

Угрозы, обусловленные преднамеренными действиями

100

Угрозы, обусловленные случайными действиями

10

Угрозы, обусловленные естественными причинами

1

Сервера баз данных

Угрозы, обусловленные преднамеренными действиями

1000

Угрозы, обусловленные случайными действиями

100

Угрозы, обусловленные естественными причинами

0,1

Почтовый сервер

Угрозы, обусловленные преднамеренными действиями

10

Угрозы, обусловленные случайными действиями

10

Угрозы, обусловленные естественными причинами

0,001

Оборудование для обеспечения связи

Угрозы, обусловленные преднамеренными действиями

1

Угрозы, обусловленные случайными действиями

1

Угрозы, обусловленные естественными причинами

0,001

Учетная Система

Угрозы, обусловленные преднамеренными действиями

100

Угрозы, обусловленные случайными действиями

10

Угрозы, обусловленные естественными причинами

0,001

Windows 7

Угрозы, обусловленные преднамеренными действиями

10

Угрозы, обусловленные случайными действиями

1

Угрозы, обусловленные естественными причинами

0,001

Суммарная величина потерь

1754,304


  1. Расчёт экономической эффективности

Для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные :

  1.  расходы на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
  2.  величины потерь, обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;

Данные о содержании и объеме разового ресурса, выделяемого на защиту информации представлены в таблице 3.2.1.

Данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации представлены в таблице 3.2.2.

Таблица 3.2.1

Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия

№ п\п

Выполняемые действия

Среднечасовая зарплата специалиста (руб.)

Трудоемкость операции (чел.час)

Стоимость

(тыс.руб.)

1

Установка и настройка системы контроля управления доступом

300

80

21,000

2

Установка и настройка программного обеспечения на сервер и рабочие станции

300

90

25,000

Стоимость проведения организационных мероприятий, всего

46,000

Мероприятия инженерно-технической защиты

№ п/п

Номенклатура ПиАСИБ, расходных материалов

Стоимость, единицы (тыс.руб.)

Кол-во (ед.измер.)

Стоимость (тыс.руб.)

1

Программное обеспечение Handy Backup Office Expert

6,400

1

5,400

2

Программное обеспечение DeviceLock

13,000

1

11,000

3

Средство криптографической защиты информации КриптоПРО eToken CSP

2,100

30

61,000

4

Антивирусное программное обеспечение Antivirus Kaspersky 

12,000

1

10,000

Стоимость проведения технических мероприятий защиты

87,400

Объем разового ресурса, выделяемого на защиту информации

122,400

Таблица 3.2.2

Содержание и объем постоянного ресурса, выделяемого на защиту информации

Организационные мероприятия

№ п\п

Выполняемые действия

Среднечасовая зарплата специалиста (руб.)

Трудоемкость операции (чел.час)

Стоимость

(тыс.руб.)

1

поддержка программах средств информационной защиты

150

250

34,500

Стоимость проведения организационных мероприятий, всего

34,500

Мероприятия инженерно-технической защиты

№ п/п

Номенклатура ПиАСИБ, расходных материалов

Стоимость, единицы (тыс.руб.)

Кол-во (ед.измер.)

Стоимость (тыс.руб.)

Стоимость проведения мероприятий инженерно-технической защиты

0

Объем постоянного ресурса, выделяемого на защиту информации

34,500

Данные о содержании и объеме разового ресурса, выделяемого на защиту информации представлены в таблице 3.2.1.

Данные о содержании и объеме постоянного ресурса , выделяемого на защиту информации представлены в таблице 3.2.2.

Определим уровень потерь для критичных информационных ресурсов после внедрения системы защиты информации. Результаты представлены в таблице 3.2.3.

Таблица 3.2.3

Величина потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации.

Актив

Угроза

Величина потерь (тыс.руб.)

Персональные данные о сотрудниках

Угрозы, обусловленные преднамеренными действиями

10

Угрозы, обусловленные случайными действиями

10

Угрозы, обусловленные естественными причинами

0,1

Кадровый учет

Угрозы, обусловленные преднамеренными действиями

10

Угрозы, обусловленные случайными действиями

10

Угрозы, обусловленные естественными причинами

0,1

Персональные компьютеры

Угрозы, обусловленные преднамеренными действиями

1

Угрозы, обусловленные случайными действиями

1

Угрозы, обусловленные естественными причинами

1

Сервер баз данных

Угрозы, обусловленные преднамеренными действиями

10

Угрозы, обусловленные случайными действиями

1

Угрозы, обусловленные естественными причинами

0,1

Почтовый сервер

Угрозы, обусловленные преднамеренными действиями

0,1

Угрозы, обусловленные случайными действиями

0,1

Угрозы, обусловленные естественными причинами

0,001

Оборудование для обеспечения связи

Угрозы, обусловленные преднамеренными действиями

1

Угрозы, обусловленные случайными действиями

0,1

Угрозы, обусловленные естественными причинами

0,0001

Учетная Система

Угрозы, обусловленные преднамеренными действиями

10

Угрозы, обусловленные случайными действиями

1

Угрозы, обусловленные естественными причинами

0,001

Windows 7

Угрозы, обусловленные преднамеренными действиями

10

Угрозы, обусловленные случайными действиями

1

Угрозы, обусловленные естественными причинами

0,001

Суммарная величина потерь

77,6031

Оценим динамику величин потерь за период 2 года.

  1.  Суммарное значение ресурса (R), выделенного на защиту информации за год составило  122,400+34,500*12=583,400 тыс.рублей.
  2.  Объем среднегодовых потерь организации (Rср) из-за инцидентов информационной безопасности составлял 1754,304 тыс.рублей.
  3.  Прогнозируемый ежегодный объем потерь (Rпрогн) составит 77,6031

Динамика потерь представлена в таблице 3.2.4.

Таблица 3.2.4

Оценка динамики величин потерь.

1 кв.

2 кв.

3 кв.

1 год

1 кв.

2 кв.

3 кв.

2 год

До внедрения СЗИ

425,526

867,162

1215,728

1654,304

2292,88

2731,456

3270,032

3708,608

После внедрения СЗИ

19,401

38,8015

58,2023

77,6031

97,0038

116,4047

135,8054

155,2062

Снижение потерь

419,1752

838,3505

1257,526

1676,701

2095,876

2515,051

2934,227

3353,402

После принятия  обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности  созданной системы защиты информации определим срок окупаемости системы (Ток).

Ток = R∑ / (Rср – Rпрогн)

Ток = 583,400/(1754,304-77,6031) 0,34 года

График представлен на рисунке 3.2.1.

Рисунок 3.2.1. Динамика потерь.

С помощью проведенных расчетов выявлено, что срок окупаемости составил 4 месяца.

ЗАКЛЮЧЕНИЕ

Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему кроме методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой что-то статичное, а являться непрерывным процессом. Но данный процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность, по определению, включает в себя процесс,  цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.

Основной целью дипломного проектирования была разработка организационно-технических решений по обеспечению защиты информации.

Организационная защита информации — это регламентация деятельности и взаимоотношений исполнителей на  нормативно-правовой  основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

В процессе написания диплома была разработана комплексная политика безопасности, отражающая подход организации к защите своих информационных активов.

Инженерно-технические мероприятия представляют собой совокупность специальных технических средств и их использование для защиты информации.

Итоговой целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

В процессе работы было решено принять следующие
организационно - технические меры по обеспечению защиты информации:

  1.  Разработка политики информационной безопасности организации. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Целью разработки политики организации в области информационной безопасности является определение правильного способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности
  2.  Использование антивирусных программ – позволяет защитить компьютер от вредоносных программ.
  3.  Организация резервного копирования – является одним из важных средств защиты, так как позволяет создавать резервные копии , предназначенные для восстановления данных в случае их повреждения или разрушения.
  4.  Организация управления доступа к устройствам – является одним из наиболее важных средств защиты информации от утечки.
  5.  Введение криптографических средств. Является единственно надежным способом шифрования. Применяются для обработки, хранения и передачи информации на носителях и по сетям связи. Защиты информации в итоге сводятся к обеспечению конфиденциальности информации и защите информации в компьютерных системах в процессе передачи информации по сети между пользователями системы.


СПИСОК ЛИТЕРАТУРЫ

  1. Информационная безопасность: Учебное пособие для вузов. – Ярочкин В.И. – М: Академический Проект, Гаудеамус, 2-е изд. – 2004. – 544 с.
  2.  Безопасность программного обеспечения компьютерных систем. Казарин О.В. Монография. – М.: МГУЛ, 2003. – 212 с.
  3. Основы информационной безопасности. Учебное пособие для вузов. Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. – М: Горячая линия – Телеком, 2006. – 544 с.
  4. Технические средства и методы защиты информации: Учебник для вузов. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др., под ред. А.П. Зайцева и А.А.Шелупанова. – М.: ООО «Издательство Машиностроение», 2009 – 508 с.
  5. Информационная безопасность и защита информации: учеб. Пособие для студ. Высш. Учеб. Заведений, Мельников В.П., Клейменов С.А., Петраков А.М., под. Ред. Клеменова С.А.. 3-е изд., стер. – М.: Издательский центр « Академия», 2008. -336с.
  6.  Основы информационной безопасности Курс лекций Учебное пособие , Издание второе, исправленное . Галатенко В А Под редакцией члена-корреспондента РАН В Б Бетелина – М: ИНТУИТРУ «Интернет-университет Информационных Технологий», 2004 -264 с
  7.  Федеральный закон от 27 июля 2006 года 152  ФЗ «О персональных данных».
  8.  Разработка правил информационной безопасности.: Пер. с англ. – Бармен Скотт, – М.: Издательский дом «Вильямс», 2002. – 208 с.
  9.  http://www.scriru.com
  10.  http://old.cio-world.ru
  11.  http://www.sernam.ru
  12.  http://dehack.ru
  13.  http://ru.wikipedia.org
  14.  http://www.iso27000.ru
  15.  http://www.devicelock.ru
  16.  www.handybackup.ru/
  17.  http://www.aladdin-rd.ru/
  18.  http://forum.antichat.ru/


Приложение№1

ООО «Торговый Дом ЛФЗ»

УТВЕРЖДЕНО

Приказом_________

№___ от "__" _____ 2012г.

                                                                              ___________ (______________)

ПРОЕКТИРОВАНИЕ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ И БАЗ ДАННЫХ

                                               

Москва  

2012

  1.  Общие положения 
  2.  Область применения

            Настоящая Политика охватывает всю информацию в электронном виде и на материальных носителях, создаваемую, получаемую, передаваемую, хранимую и обрабатываемую с использованием информационных систем, а также сами системы, владельцем и пользователем которых является ООО «Торговый Дом ЛФЗ»

(далее — Организация) и другие активы, необходимые для достижения основных бизнес-целей. Положения настоящей Политики относятся ко всему штатному персоналу,  временным работникам и другим сотрудникам подразделений Организации, в том числе выполняющим работу по гражданско-правовому  договору.

Положения данной Политики распространяются на сотрудников подрядных организаций, имеющих доступ к активам Организации.

  1.  Назначение

Основным назначением данной Политики является общее определение основных положений для всех видов деятельности, связанной с обеспечением информационной безопасности, а также описание инфраструктуры управления процессом обеспечения информационной безопасности, ролей и ответственности подразделений Организации в рамках этого процесса, состава нормативно-распорядительной документации.

В рамках настоящей Политики вводится ряд базовых определений и терминов, связанных с информационной безопасностью.

Реализация данной Политики предназначена для обеспечения следующих свойств информационных активов, необходимых для функционирования основных бизнес-процессов Организации:

конфиденциальности;

целостности;

доступности.

Также, целями реализации данной Политики являются:

установление ответственности за управление и использование информационных активов Организации;

установление ответственности за обеспечение информационной безопасности Организации;

определение порядка обеспечения информационной безопасности;

применение обоснованных, экономически эффективных и совместимых организационных и технических мер по обеспечению информационной безопасности.

  1.   Внесение изменений

Отделом информационной безопасности ежегодно должен проводиться анализ необходимости изменения настоящей Политики с целью совершенствования системы управления информационной безопасностью и обеспечения её соответствия бизнес-целям. 

Утверждать изменения данной Политики имеет право руководство Организации на основании рекомендаций отдела информационной безопасности.

  1.  Основные требования к обеспечению информационной безопасности 

Процессы по обеспечению информационной безопасности Организации составляют один из видов вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности Организации в целях достижения поставленных задач.

Основным требованием к процессу обеспечения информационной безопасности является обеспечение уверенности в том, что риски для основных бизнес-процессов и репутации Организации, возникающие в связи с использованием информационных технологий:

учтены;

надлежащим образом доведены до руководства Организации и других заинтересованных лиц;

находятся под управлением и контролем уполномоченных лиц.

При осуществлении деятельности по обеспечению информационной безопасности необходимо строго соблюдать требования:

законодательства РФ;

устава Организации;

решений руководства Организации;

внутренних документов Организации;

данной Политики и упомянутой в ней нормативно-распорядительной документации;

Руководствоваться лучшими практиками в области информационной безопасности и управления непрерывностью бизнеса и информационно-коммуникационных технологий, определенными в международных  стандартах ISO 27001, ISO 15408, COBIT, стандарте безопасности данных индустрии платежных карт (PCI DSS), BS 25999, BS 25777, а также национальных стандартах (ГОСТ Р), стандарте Банка России в области информационной безопасности банковских систем (СТО БР ИББС) и других стандартах.


  1.  Процесс обеспечения информационной безопасности
  2.  Основные роли процесса 

Владелец актива. Под владельцем актива понимается сотрудник или коллегиальный орган Организации, уполномоченный управлять жизненным циклом актива, на основании его критичности применять схему классификации и выбирать режим обеспечения его безопасности. Эти обязанности могут быть делегированы владельцем другому лицу, но в любом случае владелец несет ответственность за выбор надлежащего режима обеспечения безопасности. Термин «владелец актива» не означает, что данный сотрудник или коллегиальный орган обладает фактическими правами собственности на актив.  

Жизненный цикл актива.  Под жизненным циклом актива понимается создание, развитие, обслуживание, использование, уничтожение и обеспечение безопасности актива.

Пользователь. Под пользователем понимается лицо, осуществляющее обработку или эксплуатацию информационного актива. Пользователь должен строго соблюдать порядок обеспечения информационной безопасности, выбранный владельцем актива.

Контролер. Контролер предоставляет владельцам актива методы и средства для реализации порядка обеспечения информационной безопасности. Контролер гарантирует адекватность предоставляемых методов и средств ценности актива, определенной владельцем.

Аудитор. Аудитор – лицо, проверяющее выполнение требований по обеспечению информационной безопасности лицами, попадающими в область действия системы управления информационной безопасностью (СУИБ).

  1.  Организационная структура

Контроль и реализация процессов обеспечения информационной безопасности возлагается на следующие подразделения:

руководство Организации;

отдел информационной безопасности;

ИТ подразделения;

службу безопасности;

департамент по работе с персоналом.

  1.  Руководство Организации

Генеральным директором Организации и руководством Организации, курирующим процессы обеспечения информационной безопасности, в рамках СУИБ выполняются следующие задачи:

активная поддержка деятельности по обеспечению информационной безопасности;

утверждение регламентирующих документов по информационной безопасности и стратегических решений по вопросам обеспечения информационной безопасности;

возложение ответственности по исполнению положений данной Политики, другой нормативно-распорядительной документации по информационной безопасности;

утверждение критериев принятия рисков и приемлемого уровня риска;

утверждение планов обработки рисков;

выделение ресурсов, необходимых для обеспечения информационной безопасности;

утверждение решений по результатам анализа эффективности процессов обеспечения информационной безопасности;

контроль и оценка эффективности (качества) функционирования СУИБ.

  1.  Отдел информационной безопасности 

Деятельность отдела информационной безопасности регламентируется «Положением об отделе информационной безопасности».

Если это не оговорено отдельно, отдел информационной безопасности выполняет роли  «Контролера» и «Аудитора» и устанавливает режим обеспечения безопасности активов, для которых их владельцами не определены требования к безопасности.

Дополнительно, на отдел информационной безопасности возлагаются следующие задачи:

планирование и реализация организационных и технических мер по обеспечению информационной безопасности Организации;

защита информационных ресурсов Организации от несанкционированной модификации (искажения), удаления, блокирования  и утечки информации;

координация деятельности подразделений Организации по поддержанию требований информационной безопасности в повседневной деятельности;

разработка и контроль реализации требований по информационной безопасности (в том числе требований по отказоустойчивости и  катастроф устойчивости) при проектировании, внедрении, тестировании, эксплуатации, совершенствовании сетевого и серверного оборудования, средств и каналов связи, хранилищ данных, программного обеспечения и информационных сервисов Организации;

мониторинг состояния защищенности информационных систем Организации;

оценка рисков информационной безопасности, разработка критериев принятия рисков, разработка и реализация планов обработки рисков информационной безопасности;

обнаружение и устранение уязвимостей в информационных системах Организации;

управление обработкой инцидентов ИБ, в том числе, расследование инцидентов ИБ;

подготовка предложений по совершенствованию бизнес-процессов, с целью снижения рисков информационной безопасности.

Если это не оговорено отдельно, владельцы активов Организации делегируют отделу информационной безопасности применять схему классификации к активам и выбирать режим обеспечения их безопасности.

Для обеспечения нормативно-правой деятельности, оценки рисков информационной безопасности, эффективного управления обработкой инцидентов ИБ отдел информационной безопасности по согласованию с руководством подразделений может привлекать:

сотрудников службы безопасности;

сотрудников юридического отдела, с целью обеспечения экспертной и нормативно-правой деятельности;

сотрудников департамента по работе с персоналом, с целью обеспечения административной и процедурной деятельности;

сотрудников других подразделений Организации, с целью обеспечения административной, экспертной и технологической деятельности;

внешних экспертов, для обеспечения консультативной, экспертной и технологической деятельности.

  1.  ИТ подразделения

Деятельность ИТ подразделений регламентируется нормативной и технической документацией ИТ подразделений.

В рамках процессов по обеспечению информационной безопасности на ИТ подразделения возлагаются следующие задачи:

участие в разработке и реализация требований по информационной безопасности (в том числе требований по отказоустойчивости и  катастроф устойчивости) при проектировании, внедрении, тестировании, эксплуатации, совершенствовании сетевого и серверного оборудования, средств и каналов связи, хранилищ данных, программного обеспечения и информационных сервисов Организации;

обслуживание (эксплуатация) технических средств защиты;

предоставление/блокирование доступа к информационным ресурсам Организации;

мониторинг и аудит информационных систем Организации;

обнаружение инцидентов ИБ;

участие в выявлении и устранении уязвимостей в программном обеспечении и информационных системах Организации;

выполнение резервного копирования и восстановления данных.

  1.  Служба безопасности

Деятельность службы безопасности регламентируется положением о службе безопасности.

В рамках процессов по обеспечению информационной безопасности на службу безопасности возлагаются следующие задачи:

проведение мероприятий по выявлению и предотвращению преступных действий по отношению к Организации;

обеспечение физической защиты помещений Организации, средств вычислительной техники, документов независимо от формы представления,  носителей информации и других материальных ценностей Организации;

обеспечение безопасности персонала Организации, находящегося в помещениях Организации;

проверка персонала при приёме на работу;

координация действий подразделений Организации при взаимодействии с правоохранительными органами.

  1.  Департамент  по работе с персоналом

Деятельность департамента по работе с персоналом регламентируется «Положением о департаменте по работе с персоналом».

В рамках процессов по обеспечению информационной безопасности на департамент по работе с персоналом возлагаются следующие задачи:

  1.  деятельность по подбору и учету персонала Организации;
  2.  деятельность по ознакомлению персонала с внутренними нормативными документами по обеспечению информационной безопасности;
  3.  реализация мер, направленных на повышение лояльности персонала к Организации;
  4.  реализация мер, направленных на обеспечение персоналом Организации трудовой дисциплины;
  5.  предоставление полной и своевременной информации об изменениях организационно-штатной структуры Организации руководству Организации, сотрудникам отдела информационной безопасности, ИТ подразделениям.
  6.  Система управления информационной безопасностью

Эффективное управление процессом обеспечения информационной безопасности в Организации обеспечивается Системой управления информационной безопасностью (СУИБ). Основной целью СУИБ является соответствие требованиям Раздела 2 данной Политики.

СУИБ базируется на следующих основополагающих процессах:

анализ рисков;

аудит;

мониторинг эффективности СУИБ;

анализ СУИБ руководством;

улучшение СУИБ.

Руководство Организации признает, что основополагающим фактором успешности функционирования СУИБ является поддержка этого процесса руководством Организации.

  1.  Анализ рисков

Основной задачей анализа рисков является идентификация и расчет рисков, возникающими в процессе эксплуатации информационных систем, поддерживающих основные бизнес-процессы Организации, эффективное реагирование на риск.

Все решения о применении специфических средств и методов защиты информации и экономические обоснования подобных решений принимаются на основании анализа рисков. Методика анализа рисков регламентируется документом «Методика анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ»

Процедура анализа рисков регламентируется документом «Процедура анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ»

Критерии обработки рисков вырабатываются отделом информационной безопасности и утверждаются Генеральным директором Организации.

План обработки рисков утверждается руководством Организации, курирующим информационную безопасность.

Для обеспечения качественного проведения анализа рисков все активы Организации должны быть идентифицированы и учтены. Если не указано иного, владельцем актива является руководство Организации. С целью реализации данных положений регулярно должна проводиться инвентаризация активов. В случае изменения состава активов, их владельцы должны сообщать об этом в отдел информационной безопасности. Порядок и методика инвентаризации активов регламентируется документами «Процедура анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ» и «Методика анализа рисков информационной безопасности ООО «Торговый Дом ЛФЗ»

  1.  Аудит информационной безопасности

Основной задачей аудита информационной безопасности, проводящегося в рамках СУИБ, является выявление соответствия целей, методов и средств, процессов и процедур СУИБ:

бизнес-требованиям  к информационной безопасности;

настоящей Политике, другим нормативно-распорядительным документам по информационной безопасности Организации;

законодательству РФ;

требованиям национальных (ГОСТ Р) и международных стандартов в области информационной безопасности.

При проведении аудитов Организация руководствуется принципами независимости и объективности оценки. Для реализации этих принципов аудиты информационной безопасности проводятся отделом информационной безопасности и внешней организацией. Аудиты выполнения отделом информационной безопасности требований по обеспечению информационной безопасности, следованию требованиям законодательства РФ и международных стандартов проводятся либо сотрудниками подразделения, не входящего в отдел информационной безопасности, либо внешней организацией.

Порядок проведения аудитов регламентируется документом «Регламент аудита информационной безопасности».

  1.  Мониторинг эффективности

Мониторинг эффективности мер по обеспечению процессов управления  информационной безопасностью является важной составляющей СУИБ.

Мониторинг эффективности предназначен для достижения следующих целей:

определения правильности используемых и внедряемых мер по обеспечению информационной безопасности и повышения их эффективности;

повышение эффективности процессов в рамках СУИБ;

предоставление данных руководству для анализа эффективности процесса обеспечения информационной безопасности в Организации.

Ежемесячно отдел информационной безопасности направляет Руководству отчет о деятельности по обеспечению информационной безопасности и выполнении СУИБ бизнес-требований.

  1.  Анализ СУИБ руководством

Объективный анализ функционирования СУИБ со стороны руководства Организации является важной составляющей СУИБ.

Анализ СУИБ руководством предназначен для достижения следующих целей:

функционирование СУИБ удовлетворяет бизнес-целям  Организации;

эффективность СУИБ соответствует заданным руководством критериям;

своевременно определяются критерии, определяющие функционирование СУИБ и вопросы обеспечения информационной безопасности,  такие как приемлемый уровень  рисков, законодательные и договорные требования, и др.

Эффективность СУИБ оценивается руководством Организации на основании определенных им ключевых показателей эффективности (KPI) СУИБ.

  1.  Улучшение системы

Непрерывное улучшение  является одним из важнейших показателей качества СУИБ. Основной задачей данного процесса является проведение корректирующих и предупреждающих действий для устранения выявленных или возможных несоответствий определенным/измененным бизнес-требованиям.

Все выявленные или прогнозируемые отклонения показателей СУИБ от определенных руководством Организации показателей эффективности (KPI) СУИБ учитываются, и предпринимаются документированные действия для исправления ситуации.


  1.  Порядок обеспечения информационной безопасности

Под порядком (режимом) обеспечения информационной безопасности в Организации понимается свод правил, требований, описание мер и средств, регламентирующих и используемых при реализации положений данной Политики и других нормативных документов.

Порядок обеспечения информационной безопасности разрабатывается на основе положений данной Политики, результатов анализа рисков, требований законодательных документов, стандартов, общепринятых практик и профессиональных знаний сотрудников отдела информационной безопасности в области защиты информации.

  1.  Классификация информации

С целью унификации порядка работы с информационными активами Организации вводится следующая схема классификации информационных активов:

Открытый;

Конфиденциальный;

Коммерческая тайна;

Персональные данные.

Порядок обработки конфиденциальной информации и сведений, составляющих коммерческую тайну, устанавливается в соответствии с  Федеральным законом РФ от 29 июня 2004 г. № 98-ФЗ «О коммерческой тайне», Гражданским и Трудовым кодексами РФ, нормативными документами Организации:

«Положение о конфиденциальной информации ООО «Торговый Дом ЛФЗ»

«Соглашения о конфиденциальности с контрагентами»;

«Перечень сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ»

«Перечень конфиденциальных сведений ООО «Торговый Дом ЛФЗ»

«Политика конфиденциальности ООО «Торговый Дом ЛФЗ» (декларация о защите конфиденциальной информации)».

Порядок обработки персональных данных, регламентируется Федеральным законом РФ от 27 июля 2006 года N 152-ФЗ «О персональных данных», нормативными документами Организации:

«Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Торговый Дом ЛФЗ» «Соглашение об обеспечении безопасности персональных данных».

  1.  Обеспечение непрерывности бизнес процессов

Стратегическим приоритетом в развитии Организации является реализация программы обеспечения непрерывности бизнеса и восстановления после аварий.

При разработке и  реализации программы обеспечения непрерывности бизнеса и восстановления после аварий должны соблюдаться требования к обеспечению информационной безопасности активов Организации.

Все ситуации, в рамках процессов обеспечения непрерывности бизнеса и восстановления после аварий, в которых происходит нарушение установленного режима обеспечения информационной безопасности, должны быть доведены до сведения руководства Организации, курирующего ИТ и информационную безопасность,  при этом должно быть принято решение по обработке рисков, возникающих в подобных ситуациях.

Порядок обеспечения непрерывности бизнес-процессов и восстановления после аварий регламентируется документом «План обеспечения непрерывности бизнеса».

  1.  Инциденты информационной безопасности

Для эффективного управления инцидентами ИБ в Организации применяется ряд процессов по управлению инцидентами ИБ. Управление инцидентами ИБ строится в соответствии с рекомендациями  международных стандартов PCI DSS, COBIT и другими специализированными стандартами. Основными задачами процесса реагирования на инциденты ИБ являются:

координация реагирования на инцидент ИБ;

подтверждение/опровержение факта возникновения инцидента ИБ;

обеспечение сохранности и целостности доказательств возникновения инцидента ИБ, создание условий для накопления и хранения точной информации об имевших место инцидентах ИБ, о полезных рекомендациях;

минимизация нарушений нормальной работы и повреждения данных автоматизированных систем, восстановление в кратчайшие сроки работоспособности автоматизированных систем;

минимизация последствий нарушения конфиденциальности, целостности и доступности информации;

защита информационных ресурсов Организации и ее репутации;

обучение персонала Организации действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ.

При обработке инцидентов ИБ должны учитываться ценность активов, задействованных в инциденте, возможный ущерб имиджу Организации.

Весь штатный персонал,  временные работники и другие сотрудники подразделений Организации, в том числе выполняющие работу по гражданско-правовому договору, а также сотрудники подрядных организаций, имеющих доступ к активам Организации должны максимально быстро сообщать об инцидентах ИБ сотрудникам отдела информационной безопасности.

Информация об инциденте ИБ должна доводиться отделом информационной безопасности до всех заинтересованных сторон (до руководства Организации, владельцев активов, задействованных в инциденте и др.).

При расследовании инцидентов ИБ необходимо уделять внимание сбору документированных свидетельств.

Порядок реагирования на инциденты ИБ регламентируется документом «Положение об управлении инцидентами информационной безопасности».

  1.  Безопасность ресурсов, связанная с персоналом

Весь персонал Организации должен проходить процедуры проверки службой безопасности в соответствии  с критичностью активов, к работе с которыми он допущен. В отдельных случаях, возможно проведение дополнительных проверок перед приемом на работу, в рамках законодательства РФ.

Порядок допуска персонала к работе с активами Организации определяется следующими нормативными документами:

«Регламент управления доступом к информационным ресурсам и сервисам».

Организацией прилагаются все усилия, для доведения до персонала значимости вопросов обеспечения информационной безопасности в повседневной деятельности. Эти усилия предпринимаются для того, чтобы персонал осознавал важность информационной безопасности, свою ответственность в части выполнения требований по информационной безопасности и влияние информационной безопасности на успешность достижения целей Организации.

Департамент по работе с персоналом должен своевременно доводить до всего персонала требования по информационной безопасности, положения данной Политики и других нормативных документов, в части необходимой для выполнения служебных обязанностей.

С целью обеспечения понимания персоналом выдвигаемых требований отделом информационной безопасности должны с периодичностью не реже 1 раза в пол года проводиться мероприятия, направленные на повышение осведомленности персонала в вопросах угроз информационной безопасности и противодействия этим угрозам.

Сотрудники Организации обязаны информировать своё руководство и  отдел информационной безопасности департамента информационных технологий обо всех известных им случаях нарушения данной политики или других нормативных документов по информационной безопасности.

Все информационные ресурсы Организации предназначены исключительно для достижения бизнес-целей Организации. Информационные ресурсы Организации не могут использоваться для достижения иных целей, не связанных с деятельностью Организации.

  1.  Физическая безопасность

Физическая безопасность сотрудников, зданий, помещений и других активов критически важна для деятельности Организации.

Должны применяться усиленные меры по обеспечению физической безопасности центров обработки данных. Применяемые меры помимо организационных положений, должны включать  в себя использование специализированных технических средств.

Физическая безопасность средств обработки и хранения информации также может влиять на бизнес-процессы Организации. Ответственность за обеспечение физической безопасности ноутбуков, съемных носителей данных и других мобильных ресурсов возлагается на пользователей этих ресурсов и их руководителей. Ответственность за обеспечение охраны помещений Организации и установленных в них средств обработки информации возлагается на Службу безопасности Организации. В случае привлечения сторонних организаций к охране помещений, центров обработки данных, средств обработки и хранения информации Организации ответственность за нарушение физической безопасности данных активов и обязательства возмещения ущерба должны быть определены в договоре об оказании услуг.

Персонал Организации не должен допускать несанкционированного доступа к информации, указанной в «Перечне конфиденциальных сведений ООО «Торговый Дом ЛФЗ» и «Перечне сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ», к персональным данным, обрабатываемым в Организации, а также оставлять носители, содержащие подобную информацию в общедоступных принтерах, на рабочих столах, размещать такую информацию в общедоступных сетевых папках, передавать ее лицам, неуполномоченным на ее обработку.

Порядок обеспечения физической защиты ресурсов определяется  нормативным документом: «Политика обеспечения физической защиты помещений и средств вычислительной техники».

  1.  Безопасность при коммуникациях и эксплуатации систем и сервисов

Все средства коммуникаций Организации предназначены для решения бизнес-задач Организации. Для всех информационных потоков, выходящих из Организации, должны предприниматься меры по обеспечению целостности и конфиденциальности передаваемой информации. Состав предпринимаемых мер должен определяться критичностью передаваемой информации.

Организация оставляет за собой право просматривать все информационные потоки, как пересекающие границы локальной вычислительной сети Организации, так и находящиеся внутри этих границ. Подобные действия направлены исключительно на выявление угроз информационной безопасности активов Организации.

Во всех информационных системах должны применяться меры противодействия вредоносным программам.

Должна быть предусмотрена многоуровневая система противодействия распространению вредоносных программ.

Порядок обеспечения защиты от вредоносных программ определяется нормативным документом: «Политика защиты от вредоносных программ».    

Должны быть обеспечены процедуры резервного копирования для всех критичных информационных активов.

Должно быть обеспечено дублирование всех критичных компонентов автоматизированных систем и инфраструктуры.

Процедуры эксплуатации средств информационных технологий должны быть документированы.

Должен быть предусмотрен формальный процесс внесения изменений в состав средств информационных технологий Организации.

Необходимо реализовывать принцип разделения промышленной и тестовой информационной среды, а также среды разработки.

Все события автоматизированных систем, связанные с информационной безопасностью, должны протоколироваться соответствующим образом.  Данные протоколы должны регулярно анализироваться и  использоваться в процессе расследования инцидентов ИБ.

При уничтожении и снятии с эксплуатации средств вычислительной техники, носителей информации должны учитываться требования по обеспечению информационной безопасности.  

Внутренние сети Организации должны быть защищены от несанкционированного доступа и других угроз со стороны сетей партнеров и публичных сетей. Все коммуникации с внешними сетями должны контролироваться специализированными шлюзами безопасности.

Использование любых форм подключения внешних автоматизированных систем возможно только по согласованию с руководством Организации, курирующим процессы обеспечения информационной безопасности, и отделом информационной безопасности.

Порядок обеспечения безопасности при подключении к локальной вычислительной сети Организации внешних информационных систем и удаленного доступа к ней регламентируется следующими документами:

«Политика межсетевого экранирования»;

«Политика использования мобильных и удаленных компьютеров, персональных устройств и технологий».

Для выявления и своевременного устранения недостатков (уязвимостей) в средствах защиты информационных системах Организации сотрудниками отдела информационной безопасности или внешними организациями должны регулярно проводиться тестирования систем и процессов обеспечения информационной безопасности (тестирование на проникновение), а также сканирования уязвимостей в информационных системах. Данные процессы регламентируются  документами:

«Политика управления уязвимостями»;

«Регламент сканирования уязвимостей»;

«Регламент тестирования систем и процессов обеспечения информационной безопасности».

По результатам тестирований систем и процессов обеспечения информационной безопасности, а также на основе данных о выявленных при сканировании уязвимостях должны быть реализованы меры по устранению недостатков в средствах защиты информационных систем Организации.

  1.  Контроль доступа

Во всех информационных системах Организации должны быть реализованы механизмы контроля доступа.

Каждому пользователю информационной системы должен быть предоставлен уникальный идентификатор.

Доступ к информационным системам и ресурсам Организации должен осуществляется на основании безопасной процедуры входа. В рамках данной процедуры пользователь должен как минимум предъявить свой уникальный идентификатор и пароль. Для всех критичных информационных систем и ресурсам должна выполняться регистрация событий доступа к ним пользователей.

Доступ к информационным системам предоставляется  в соответствии с формальной процедурой, описанной в нормативном документе «Регламент управления доступом к информационным ресурсам и сервисам».

Права доступа должны назначаться в соответствии с критичностью обрабатываемой информации и необходимостью доступа к информации для выполнения служебных обязанностей и регулярно пересматриваться.

  1.  Безопасность при приобретении, разработке и сопровождении информационных систем

Процессы по приобретению, разработке и сопровождению информационных систем должны быть формализованы и документально оформлены. При приобретении и разработке информационных систем должны учитываться требования по информационной безопасности.

При выборе информационных систем и сервисов по их поддержке необходимо учитывать жизненный цикл информации, обрабатываемой в данных системах.

При приобретении и разработке информационных систем должна учитываться совместимость с используемыми в Организации средствами защиты информации.

При эксплуатации информационных систем должны учитываться требования по безопасности для  всех компонент системы: обрабатываемой информации, файлов системных данных и конфигураций, прикладному и системному программному обеспечению.

  1.  Безопасность при использовании услуг сторонних организаций

При использовании сервисов, предоставляемых сторонними организациями, необходимо учитывать требования по обеспечению информационной безопасности.

Все договоры на предоставление сервиса, касающиеся создания, обработки, хранения и передачи информации должны проходить согласование в отделе информационной безопасности.

В состав договоров должны быть включены разделы с требованиями к показателям информационной безопасности предоставляемых сервисов, неразглашении  конфиденциальной информации и информировании об инцидентах ИБ.

Отдел информационной безопасности несет ответственность за наличие в договорах данных разделов и их соответствие требованиям Организации по обеспечению инфомационной безопасности.

  1.  Ответственность

Нарушением порядка обеспечения информационной безопасности является действие или бездействие, в результате которого нарушаются утвержденные требования к режиму обеспечения информационной безопасности активов Организации.

Ответственность за нарушение порядка обеспечения информационной безопасности несет персонально каждый работник Организации, допустивший данное нарушение.

При выявлении нарушения порядка обеспечения информационной безопасности,  к лицу, допустившему нарушение, могут быть применены меры дисциплинарного взыскания.

Руководство Организации принимает решение о применении к виновным лицам мер ответственности в соответствии с действующим законодательством Российской Федерации и внутренними нормативными актами Организации.

При наличии в действиях лица, нарушившего порядок обеспечения информационной безопасности, признаков административного правонарушения или преступления, руководство Организации имеет право обращаться в правоохранительные органы для привлечения его к ответственности в соответствии с действующим законодательством.

При причинении лицом, нарушившим порядок обеспечения информационной безопасности, ущерба (экономического, морального и др.) и при отказе добровольно возместить причиненный ущерб, Организация имеет право обратиться в суд за защитой своих интересов.

  1.  Нормативно–распорядительная документация

С целью регламентирования и упорядочивания деятельности по обеспечению информационной безопасности вводится нормативно–распорядительная база, реализованная комплектом документации.

Нормативно-распорядительная документация, регламентирующая вопросы обеспечения информационной безопасности в Организации, представляет собой комплекс взаимосогласованных документов.  В состав данного комплекса входят следующие документы:

Политика информационной безопасности ООО «Торговый Дом ЛФЗ» — документ, регламентирующий общие вопросы обеспечения информационной безопасности;

документы, регламентирующие вопросы функционирования Системы управления информационной безопасностью. К числу подобных документов относятся «Процедура и методика оценки рисков информационной безопасности ООО «Торговый Дом ЛФЗ», «Политика мониторинга информационной безопасности»,  «Регламент аудита информационной безопасности», «Политика управления уязвимостями», «Положение об управлении инцидентами информационной безопасности» и подобные документы;

документы, регламентирующие порядок обеспечения информационной безопасности. К их числу относятся положения и политики безопасности по отдельным процессам обеспечения информационной безопасности (например, политика защиты от вредоносных программ, политика обеспечения безопасности электронной почты, политика межсетевого экранирования и т.п.);

документы, регламентирующие порядок обеспечения информационной безопасности при взаимодействии с внешними организациями. К их числу относятся договора и соглашения об уровне обслуживания, соглашения о конфиденциальности, соглашения об обеспечении безопасности персональных данных и другие документы;

документы, регламентирующие ежедневную деятельность сотрудников Организации. К их числу относятся должностные инструкции, инструкции администраторов средств защиты, инструкции для пользователей информационных систем и другие документы;

документы, определяющие стандарты конфигурирования средств защиты и ключевых элементов локальной вычислительной сети (профили защиты).

Приложение№2

ООО «Торговый Дом ЛФЗ»

УТВЕРЖДЕНО

Приказом_________

№___ от "__" _____ 2012г.

                                                                              ___________ (______________)

Политика информационной безопасности по защите персональных данных

Москва  

2012


Общие положения

Настоящая политика определяет цели и принципы обеспечения информационной безопасности в ООО «Торговый Дом ЛФЗ»

Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей ООО «Торговый Дом ЛФЗ», в рамках заключенных контрактов.

Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность – в случае внесения в данные исключительно авторизованных изменений, доступность – при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.

Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации и корпоративной культуры ООО «Торговый Дом ЛФЗ»

Информация является важным активом организации и ее защита является обязанностью каждого сотрудника.

Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме.

Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.

Система управления информационной безопасностью в ООО «Торговый Дом ЛФЗ» строится на основе международных стандартов ISO 27001 и ISO 27002.

Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных политик информационной безопасности:

  1. Политика парольной защиты
  2. Политика работы с документами
  3. Политика работы с базами данных
  4. Политика работы с электронной почтой
  5. Политика работы с интернетом

Политика парольной защиты

Разъяснительная часть

Учетная запись пользователя это его реквизиты в сети, основные параметры которой есть имя и пароль пользователя. Средствами управления учетными записями всех пользователей обеспечиваются системными администраторами сети.

Права доступа в сети распределяются на основе учетных данных пользователей.

Пароль пользователя, в случае если он держится в секрете, гарантирует что:

1. Никто другой, не мог произвести действия, которые были зафиксированы системой как действия данного пользователя.

2. Никто не мог получить доступ к защищаемой информации, воспользовавшись учетной записью пользователя.

Если пользователю требуется доступ к данным другого пользователя, он может получить его с соответствующего разрешения, продолжая работать под своей учетной записью.

Если пользователю требуются возможности, которыми обладает компьютер другого пользователя, он может войти на нем под своей учетной записью.

Нормативная часть

Пользователь обязан сохранять свой пароль в тайне и вводить его самостоятельно.

Правила работы с учетными записями:

  1. Пользователям заводятся, отключаются учетные записи и присваиваются соответствующие права по распоряжению Генерального директора.
  2. Учетные записи подчиненных могут быть заблокированы на время отпуска по распоряжению непосредственного и любого вышестоящего начальника, а так же отдела кадров.
  3. Учетная запись подчиненного может быть временно заблокирована и разблокирована, либо изменено время доступа по ней через распоряжение начальника, если она не была заблокирована распоряжением вышестоящего начальника.
  4. Администраторы обязаны записывать в журнал операции заведения, блокирования, удаления учетных записей пользователей и групп.

Политика работы с документами

Пользователь самостоятельно или его руководитель определяют, является ли документ необходимым только пользователю или другим сотрудникам и степень его конфиденциальности. Если документ в последствии необходимым другим пользователям, он может быть помещен в папку для групповой работы. Поместить документ в существующую папку пользователь может самостоятельно, а для создания новых групповых папок следует обратиться к администраторам.

Помещая документ в общую папку, пользователь разрешает доступ к нему для всех пользователей, имеющих доступ к данной папке. Отправляя документ по электронной почте, пользователь разрешает доступ к документу тому получателю, которому он его отправляет.

Лицо, разрешающее доступ к какому-либо документу несет ответственность за возможное нежелательное открытие информации содержащейся в нем тем лицам, которым оно разрешает доступ.

Правила работы с документами и папками для документов:

  1. Все документы должны храниться в личных или общих папках (паках для групповой работы) определенных системным администратором.
  2. Доступ руководителя к документам подчиненного разрешается системным администратором всегда.
  3. Доступ пользователя или группы к каким-либо документам может быть разрешен только владельцем документов или руководителем группы (отдела, подразделения), которой принадлежат данные документы.
  4. Документы, имеющие отношение только к группе и требующие доступа со стороны всех членов группы, должны храниться исключительно в папке группы.
  5. Папки для публикаций предназначены для предоставления материалов группы (отдела, подразделения) для общего использования, они открыты на чтение для всех, но на запись только для группы ведущей данную папку.

Политика работы с базами данных

Права доступа к средствам и операциям работы с базами данных, так же как и сами средства, определяются разработчиками. Администраторы и пользователи действуют на основании инструкций и документации, составленных разработчиком.

Пользователи не имеют права осуществлять самовольное копирование и сохранение баз данных.

Политика работы с электронной почтой

Все пользователи, для обеспечения рабочих потребностей имеют адрес и ящик электронной почты. Пользователи должны понимать, что при отправке и получении почты через интернет, её конфиденциальность не обеспечивается. При обмене по электронной почте действуют следующие правила:

  1. Пользователи должны использовать электронную почту только для передачи сообщений и документов, но не программ.
  2. Системный администратор может выдвигать дополнительные требования по содержимому сообщений обусловленные соображениями совместимости форматов сообщений и документов, пересылаемых по электронной почте, как для внутреннего, так и для внешнего обмена.

Политика работы с интернетом

  1. Пользователи, обеспеченные доступом в интернет, должны использовать его только для обмена информацией, но не программами.
  2. Пользователи не должны передавать закрытую информацию по каналам интернет.
  3. Системный администратор предоставляет доступ только к тем сервисам и адресам интернет, которые являются безопасными.
  4. Пользователи не должны игнорировать предупреждения о возможном снижении уровня безопасности или опасности содержимого при передаче/получении информации через интернет.

Сотрудникам ООО «Торговый Дом ЛФЗ» категорически запрещается:

  1. использовать компоненты программного и аппаратного обеспечения автоматизированной системы ООО «Торговый Дом ЛФЗ»в неслужебных целях;
  2. самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и  аппаратные средства, не предусмотренные формулярами рабочих станций;
  3. осуществлять обработку конфиденциальной информации в присутствии посторонних лиц;
  4. записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного распространения) на неучтенных носителях информации;
  5. оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного доступа;
  6. передавать кому-либо свой персональный ключе, делать неучтенные копии ключа, снимать защиту записи и вносить какие-либо изменения;
  7. использовать свою ключ для формирования цифровой подписи любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;
  8. оставлять без личного присмотра на рабочем месте или где бы то ни было свою персональный ключ, персональное устройство идентификации, машинные носители и распечатки, содержащие защищаемую информацию (сведения ограниченного распространения);
  9. умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок – ставить в известность ответственного за безопасность информации и руководителя своего подразделения.

Несоблюдение политик информационной безопасности сотрудниками ООО «Торговый Дом ЛФЗ» может повлечь дисциплинарные меры взыскания вплоть до увольнения.

Приложение№3

УТВЕРЖДЕНО

Приказом_________

№___ от "__" _____ 2012г.

                                                                              ___________ (______________)

ПОЛОЖЕНИЕ

о защите персональных данных работников

ООО «Торговый Дом ЛФЗ»

1. Общие положения

1.1. Настоящее Положение разработано в соответствии с  Конституцией Российской Федерации, Трудовым Кодексом РФ, Федеральным законом от 27 июля 2006г. № 149-ФЗ  «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006г. № 152-ФЗ «О персональных данных» и другими нормативными правовыми актами Российской Федерации.

1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т.д.) с персональными данными работников и гарантии конфиденциальности сведений о работнике.

1.3. Цель настоящего Положения - защита персональных данных работников ООО «Торговый Дом ЛФЗ» (далее Организация) от несанкционированного доступа, неправомерного их использования и разглашения.

1.4. Настоящее Положение является локальным нормативным актом Организации. Все дополнения и изменения к нему утверждаются генеральным директором Организации.

1.5. Все работники Организации должны быть ознакомлены с настоящим Положением, а также со всеми дополнениями и изменениями к нему под роспись. При приеме на работу ознакомление производится до подписания трудового договора.

2. Понятие и состав персональных данных

2.1. Персональными данными работника является любая информация, относящаяся к определенному или определяемому на основании такой информации работнику.

2.2. В состав персональных данных работника входят:

- анкетные и биографические данные;

- данные об образовании;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- паспортные данные;

- сведения о воинском учете;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность;

- наличие судимостей;

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- содержание трудового договора;

- состав декларируемых сведений о наличии материальных ценностей;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям.

2.3. Информация, содержащая персональные данные работников, используется в частности, в целях выполнения требований:

- трудового законодательства и иных актов, содержащих нормы трудового права, при приеме на работу, при предоставлении гарантий и компенсаций и др.;

- налогового законодательства, в частности, в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;

- пенсионного законодательства при формировании и предоставлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование;

- заполнение первичной учетной документации в соответствии с постановлением Госкомстата РФ от 5 января 2004г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод работника-гражданина,  Организация и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

- обработка персональных данных работника может осуществляться исключительно в целях содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

- персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Организация должна сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

- Организация не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Организацией только с его письменного согласия.

- Организация не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ и другими федеральными законами.

3.3. Доступ к персональным данным работника Организации имеют:

- Генеральный директор;

- директора департаментов;

- руководитель структурного подразделения, которому подчиняется работник;

- работники департамента по работе с персоналом;

- работники финансового департамента.

3.4. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда работнику. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством РФ.

4. Передача персональных данных

4.1. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством РФ.

4.2. При передаче персональных данных работника Организация должна соблюдать следующие требования:

- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральными законами;

- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

- лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и другими федеральными законами;

- разрешать доступ к персональным данным работников только должностным лицам, определенным распоряжением Генерального директора Организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

4.3. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

5. Защита персональных данных

5.1. Личные дела и личные карточки работников в бумажном виде хранятся в  запирающихся металлических шкафах, защищенных от несанкционированного доступа.

5.2. Трудовые книжки работников, вкладыши в них, журналы учета, бланки строгой отчетности хранятся в сейфах.

5.3. Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети и персональных ЭВМ работников департамента по работе с персоналом. Доступ к электронным носителям, содержащим персональные данные работников, обеспечивается системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.

6. Права и обязанности работника

6.1. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право на:

- полную информацию о своих персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по его выбору;

- требование об исключениях или исправлениях неверных или неполных персональных данных;

- обжалование в суд любых неправомерных действий или бездействия Организации при обработке и защите его персональных данных.

6.2. Работник обязан:

- передавать в департамент по работе с персоналом достоверные, документированные персональные данные, состав которых установлен Трудовым кодексом РФ;

- своевременно сообщать работнику департамента по работе с персоналом об изменении своих персональных данных (изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов).

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

7.2. За неисполнение или ненадлежащее исполнение работником обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

Составил:

Специалист     П.П.    Я.А Глушаков

Согласовано:

Начальник юридического отдела  П.П.    С.В Киселева


ДИПЛОМНЫЙ ПРОЕКТ

Дипломный проект выполнен мной совершенно самостоятельно.

Все использованные в работе материалы и концепции из опубликованной научной литературы и других источников имеют ссылки на них.

 

 Глушаков Яроослав Андреевич

 

Ф.И.О.

подпись

дата

15.05.2012 


 

А также другие работы, которые могут Вас заинтересовать

16516. ИЗМЕРЕНИЕ ПАРАМЕТРОВ СИГНАЛОВ И ЦЕПЕЙ 789.5 KB
  ИЗМЕРЕНИЕ ПАРАМЕТРОВ СИГНАЛОВ И ЦЕПЕЙ Методические указания к лабораторной работе № 1 по курсам Основы теории цепей Теория электрических цепей для студентов направлений Радиотехника Телекоммуникации Информационная безопасность В методических...
16517. ПРОСТЕЙШИЕ ЭЛЕКТРИЧЕСКИЕ ЦЕПИ ПРИ ГАРМОНИЧЕСКОМ ВОЗДЕЙСТВИИ 141 KB
  ПРОСТЕЙШИЕ ЭЛЕКТРИЧЕСКИЕ ЦЕПИ при гармоническом воздействии Методические указания к лабораторной работе №2 по курсам Основы теории цепей Теория электрических цепей для студентов направлений Радиотехника Телекоммуникации Информационная безопа
16518. АНАЛИЗ СЛОЖНЫХ ЛИНЕЙНЫХ ЦЕПЕЙ 186.5 KB
  АНАЛИЗ СЛОЖНЫХ ЛИНЕЙНЫХ ЦЕПЕЙ Методические указания к лабораторной работе № 3 по курсам Основы теории цепей Теория электрических цепей для студентов направлений Радиотехника Телекоммуникации Информационная безопасность АНАЛИЗ СЛОЖНЫХ ЛИНЕЙ...
16519. ИНДУКТИВНО-СВЯЗАННЫЕ ЦЕПИ 188.5 KB
  ИНДУКТИВНОСВЯЗАННЫЕ ЦЕПИ Методические указания к лабораторной работе № 4 по курсам Основы теории цепей Теория электрических цепей для студентов направлений Радиотехника Телекоммуникации Информационная безопасность Составители Е.В. Вострец
16520. ИССЛЕДОВАНИЕ ЧАСТОТНЫХ ХАРАКТЕРИСТИК 126.5 KB
  ИССЛЕДОВАНИЕ ЧАСТОТНЫХ ХАРАКТЕРИСТИК Методические указания к лабораторной работе № 5 по курсам Основы теории цепей Теория электрических цепей для студентов направлений Радиотехника Телекоммуникации Информационная безопасность Составител...
16521. ЧАСТОТНЫЕ ХАРАКТЕРИСТИКИ РЕЗОНАНСНЫХ ЦЕПЕЙ 217.5 KB
  ЧАСТОТНЫЕ ХАРАКТЕРИСТИКИ РЕЗОНАНСНЫХ ЦЕПЕЙ Методические указания к лабораторной работе № 6 по курсам Основы теории цепей Теория электрических цепей для студентов направлений Радиотехника Телекоммуникации Информационная безопасность Сост
16522. СВЯЗАННЫЕ КОЛЕБАТЕЛЬНЫЕ КОНТУРЫ 155 KB
  СВЯЗАННЫЕ КОЛЕБАТЕЛЬНЫЕ КОНТУРЫ Методические указания к лабораторной работе № 7 по курсам Основы теории цепей Теория электрических цепей для студентов направлений Радиотехника Телекоммуникации Информационная безопасность СВЯЗАННЫЕ КОЛЕБАТЕ...
16523. ИЗМЕРЕНИЕ ПАРАМЕТРОВ СИГНАЛОВ И ЦЕПЕЙ 643.91 KB
  Отчет по лабораторной работе №3 ИЗМЕРЕНИЕ ПАРАМЕТРОВ СИГНАЛОВ И ЦЕПЕЙ 1.Цель работы Экспериментальное подтверждение основных теоретических разделов курса ознакомление с некоторыми приборами и овладение методикой основных электрических измерений. Так ж
16524. Поверка вольтметра В-7-72 и генератора ГЗ-118 100 KB
  Поверка вольтметра В772 и генератора ГЗ118 Лабораторная работа №3 Цель и задачи работы В данной лабораторной работе необходимо провести исследование различных способов измерения разности фаз двух гармонических колебаний на примере осцилло...