В качестве инженерно-технических мер защиты в данном случае необходимо использовать [7]:
— экранирующие пленки для снижения прозрачности окон в помещениях, где производится обработка конфиденциальной информации;
— системы шумопонижения (звукоизолирующие материалы) на стенах в кабинетах;
— для защиты от утечек по радиоканалам — использование приборов, создающих зашумление, что делает перехваченные сигналы неинформативными;
— устройства для уничтожения документов перед их утилизацией (шредеры).
2.3 Общая характеристика программных систем защиты информации.
Программная компонента системы защиты информации в технологии специалистов служит для обеспечения сохранности и конфиденциальности защищаемой информации, содержащейся в программных комплексах предприятия.
Основными компонентами программной защиты информации являются [4]:
— средства защиты от вредоносных программ, а также от сетевых угроз;
— средства защиты от несанкционированного доступа (НСД) в программные комплексы;
— средства разграничения доступа;
— криптографические системы.
Антивирусное ПО используется для защиты от вредоносного программного обеспечения. Корпоративные решения предполагают возможность настройки, обеспечивающие оптимальный уровень безопасности системы: ограничение использования flash-накопителей, исключения возможностей отключения защиты на уровне пользователей, централизованную установку программных продуктов и обновлений системы.
В работе специалистов по работе с персоналом при работе с прикладным программным обеспечением используются технологии парольной защиты с возможностью к определению сложности паролей, периодичности их смены.
Защита от НСД в прикладных системах предполагает [6]:
— разграничение доступа в прикладных подсистемах;
— ограничение доступа при входе в систему (исключение возможности наделение пользователей правами локальных администраторов);
— протоколирование работы пользователей;
— разграничение правил доступа к ресурсам файловых серверов.
Как правило, администрирование на уровне прикладного ПО, находится в компетенции специалистов профильных подразделений, так как выполнение разграничения доступа не предполагает непосредственного управления базой данных. Администраторы базы данных и администраторы системы назначаются из числа ИТ-специалистов.
При обращении паролей необходимо соблюдение дисциплины (исключение передачи паролей между специалистами, исключение возможности авторизации в системе с чужими учетными данными). Нарушение данных требований должно повлечь за собой дисциплинарные взыскания.
2.4 Использование программных и аппаратных средств для защиты от НСД.
Использование электронных ключей при работе в программных комплексах позволяет решать усилить защищенность системы посредством принятия мер [5]:
— хранение всех пользовательских паролей в памяти ключа, либо на сервере управления ключами, для авторизации в системе ввод пароля производится единожды через ввод ПИН-кода ключа;
— возможность централизованного управления электронными ключами, что позволяет проводить централизованную блокировку, а также управление пользовательскими сессиями (что исключает, например, вход в систему для пользователей, отсутствующих на рабочем месте — находящихся в отпуске, на больничном или уволившихся);
— возможность централизованного управления ключами также дает возможности по управлению их содержимым — через управление политиками парольной защиты по срокам их изменения, степени сложности, блокировкам при ошибках авторизации в системе или прикладных программных комплексах;
— возможность ведения протоколов работы пользователей в системе, связанных с авторизацией в системе или прикладных комплексах, что дает возможности для анализа инцидентов, связанных с ошибками аутентификации;
— пользователи несут персональную ответственность за работу с электронными ключами и обязаны обеспечить их хранение в недоступном месте. Факты передачи электронных ключей относятся к инцидентам информационной безопасности;
— существуют возможности хранение помимо аутентификационных данных также и закрытых ключей электронной подписи, что также повышает степень защищенности системы от угроз, связанных с компрометацией.
Электронный ключ eToken является персональным средством аутентификации и хранения информации, аппаратно поддерживающим работу с цифровыми сертификатами и ЭЦП. Ключи eToken выпускаются в форм-факторе USB-ключей. Ключи eToken имеют защищённую энергонезависимую память и используются как портативные хранилища секретной информации, к которой относятся: ключи шифрования, данные авторизации в системе и прикладных программных комплексах, Web-формах, ключи шифрования [3].
Схема архитектуры управления аппаратными аутентификаторами приведена на рисунке 1.
При всех достоинствах использование электронных ключей не позволяет устранять следующие уязвимости [7]:
— невозможность предотвращения авторизации с действующим электронным ключом на рабочие станции, которые не предусмотрены технологией работы специалиста, что создает уязвимость перед инсайдерской активностью внутри организации;
— невозможность предотвращения входа с использованием встроенных учетных записей локального администратора или гостя (так как авторизация по ключу не исключает включения опций двухфакторной аутентификации).
Наличие активных встроенных учетных записей создает опасности, связанные с возможностью их использования вредоносным ПО.
Рисунок 2 — Схема управления электронными ключами.
Рисунок 3 — Технологическая схема смены паролей с использованием технологии электронных ключей Использование комплексных систем защиты информации (КСЗИ) В качестве наступательной тактики при использовании программной защиты информации в технологии работы специалистов по работе с персоналом предлагается использование комплексной системы защиты информации «Панцирь-К».
Основными функциями КСЗИ «Панцирь-К» являются [6]:
— жесткая настройка списка пользователей компьютеров, исключающая возможности авторизации не включенных в список учетных записей даже с правами Гостя;
— ведение протоколов активности учетных записей, в которые возможно включение: снимков экранов, списка запущенных процессов, распределения памяти, сетевой активности;
— возможность контроля активности и изменения системного ПО;
— возможность централизованного завершения пользовательских сессий;
— возможность защиты установленного ПО от несанкционированного удаления (то есть пользователь лишается возможности самостоятельного удаления программ даже с административными).
На рисунке 4 приведено окно запуска системы КСЗИ «Панцирь-К».
Рисунок 4 — Окно запуска КСЗИ «Панцирь-К».
Таким образом, в случае возникновения инцидентов, связанных с нарушением требований к аутентификации, существует возможность предъявления протоколов его действий. Настройка контроля учетных записей пользователей приведена на рисунке 4. В данном режиме есть возможность контроля типов авторизации — с использованием вода пароля с консоли или использования смарт-карт, контролировать активность встроенных учетных записей, которые зачастую используются вредоносным ПО.
Рисунок 5 — Настройки контроля целостности.
Таким образом, даже при наличии признаков активности вредоносного ПО, использующего встроенные учетные записи, возможна блокировка рабочей станции. Также исключается возможность доступа вредоносного ПО к информационным системам, список которых определен администратором.
Рисунок 6 — Настройка аудита действий пользователя Рисунок 7 — Настройка контроля учетных записей пользователей.
Также использование КСЗИ позволяет осуществлять управление:
— доступом к сетевым ресурсам;
— к буферу обмена;
— к подключенным устройствам;
— к файловой системе;
— другим ресурсам.
Данные сервисы позволяют блокировать активность вредоносного ПО, функционал которого связан с указанными ресурсами.
Заключение
.
В рамках данной работы проведен анализ вопросов проектирования архитектуры информационной безопасности применительно к экономическим информационным системам. Проведен анализ теоретических аспектов проектирования систем информационной безопасности, определены объекты защиты информации в информационных системах предприятий. Показано, что наиболее распространенными тактиками при проектировании системы информационной безопасности являются как комплекс защитных мер, так и активные, атакующие мероприятия. В рамках данной работы был проведен анализ возможности применения данных стратегий на примере инженерно-технической, организационной и программной защиты информации.
Опыт организаций, занимающихся защитой информации, показывает, что для достижения удачных решений по обеспечению информационной безопасности необходимо сочетание правовых, организационных и инженерно-технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.
Список использованных источников
.
Бирюков, А. А. Информационная безопасность. Защита и нападение [Текст] /А.А.Бирюков. — М.: ДМК-Пресс, 2014. — 647 с.
Астахов, А. М. Искусство управления информационными рисками [Текст]/ А. М. Астахов. — М.: ДМК Пресс, 2015. — 314 с.
Блинов, А. М. Информационная безопасность [Текст]/ А. М. Блинов. — СПб: СПбГУЭФ, 2015 — 96с.
Абдикеев, Н. М. Информационный менеджмент [Текст]/ Н. М. Абдикеев. — М.: ИНФРА-М¸ 2015. — 658с.
Алешенков, М. В. Основы национальной безопасности [Текст]/ М. В. Алешенков /Основы безопасности жизни.-2015.-№ 11.-С.5−10.
Андрианов, В. В. Обеспечение информационной безопасности бизнеса [Текст]/ В. В. Андрианов, С. Л. Зефиров, В. Б. Голованов, Н. А. Голдуев. — М.: Альпина Паблишерз, 2015. — 338с.
Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография [Текст] / Л. Л. Ефимова, С. А. Кочерга. — М.: ЮНИТИ-ДАНА, 2013. — 239 c.
Лапонина, О. Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий [Текст]/ О. Р. Лапонина. — М.: ИНТУИТ.ру, 2014.
Соната 3-М. Защита от утечек с использованием ПЭМИН. [Электронный ресурс]. Режим доступа:
http://www.npoanna.ru/Content.aspx?name=models.sonata-avm.
Системы защиты от утечек с использованием ПЭМИН. [Электронный ресурс]. Режим доступа:
http://www.support17.com /component /content/39.html?task=view.
Исаев, Г. Н. Информационные технологии: Учебное пособие / Г. Н. Исаев. — М.: Омега-Л, 2013. — 464 c.
Карпова, И. П. Базы данных: Учебное пособие / И. П. Карпова. — СПб.: Питер, 2013. — 240 c.
Петров, Сергей Викторович; Кисляков Павел Александрович Информационная Безопасность / Александрович Петров Сергей Викторович; Кисляков Павел. — Москва: СПб. [и др.]: Питер, 2013.
— 329 c. 19. Рассел, Джесси Honeypot (информационная безопасность) / Джесси Рассел. — М.: VSD, 2013. — 686 c.
20. Сальная, Л. К. Английский язык для специалистов в области информационной безопасности / Л. К. Сальная, А. К. Шилов, Ю. А. Королева. — М.: Гелиос АРВ, 2016. — 208 c.
21. Степанов, Е. А. Информационная безопасность и защита информации. Учебное пособие / Е. А. Степанов, И. К. Корнеев. — М.: ИНФРА-М, 2017. ;
304 c. 22. Федоров, А. В.
Информационная безопасность в мировом политическом процессе / А. В. Федоров. — М.: МГИМО-Университет, 2017. — 220 c. 23. Чипига, А. Ф.
Информационная безопасность автоматизированных систем / А. Ф. Чипига. — М.: Гелиос АРВ, 2013. — 336 c.
