В договорах с третьими лицами, получающими доступ к информации ООО «Формат», должна быть оговорена обязанность третьего лица по соблюдению требований политик безопасности. Перейдем к практическим рекомендациям по реализации организационных мер защиты электронного документооборота в ООО «Формат»:
1. Определение персональной ответственности всех сотрудников организации в отношении всех информационных активов ООО «Формат», активов, находящихся под контролем ООО «Формат», а также активов, используемых для получения доступа к инфраструктуре ООО «Формат». 2. Четкое следование должностным инструкциям. 3. Обеспечение шифрования данных. 4. Организация систематического пересмотра руководством (или специалистами службы безопасности) права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
5. Контроль за обеспечением санкционированного доступа, который должен осуществляться строго с использованием уникального имени пользователя и пароля. 6. Обязательное использование сотрудниками режима «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.
7. Предоставление сотрудникам удаленного доступа к сетевым ресурсам должно осуществляться в соответствии с правами в корпоративной информационной системе.
8. Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности. 9. Запрет самостоятельного изменения сотрудниками конфигурации аппаратного и программного обеспечения.
10. Обязательное обеспечение сотрудниками сохранности компьютеров, содержащих информацию, составляющую коммерческую тайну ООО «Формат». 11. Проверка компонентов оборудования, в состав которых входят носители данных (включая жесткие диски), перед утилизацией. 12. Проверка носителей информации на предмет отсутствия на нем данных перед его передачей партнерам по бизнесу или контрагентам.
13. Использование программного обеспечения исключительно в производственных целях.
14. Категорический запрет на установку нелицензионного программного обеспечения или программного обеспечения, не имеющего отношения к производственной деятельности.
15. Содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики. 16. Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях. 17. Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.
18. На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:
персональный межсетевой экран;
антивирусное программное обеспечение;
программное обеспечение шифрования жестких дисков;
программное обеспечение шифрования почтовых сообщений.
2.3. 2 Технические меры защиты.
Технические меры по защите информации разделяются на два класса:
Ограничение и контроль физического доступа к объектам информационной системы и ее техническим средствам (совместно с организационными мерами).Использование программных, программно-аппаратных и аппаратных средств для защиты информации. Для всесторонней защиты информации, необходимо построение комплексной системы защиты, направленной на предотвращение разного рода угроз. На основе анализа существующих на современном этапе решений выбор был сделан в пользу следующих сертифицированных средств защиты:
Для организации защищенной сети выбран продукт компанииInfotecsVipNetOffice. Для защиты информации от НСД SecretNet. Для организации антивирусной защиты.
Антивирус Касперского для WindowsServersEnterpriseEdition. Организация защищенной сети средствами VipNetOffice. VipNetOFFICE — это пакет программного обеспечения, который содержит три компонента технологии ViPNet: ViPNetManager, ViPNet Координатор и ViPNet Клиент. Cоздание и модификация защищенной сети производится с помощью V iPNetManager. V.
iPNetManager — это облегченная версия программного обеспечения ViPNet Администратор, позволяющее простым образом, на интуитивном уровне, задавать и изменять структуру защищенной сети ViPNet™. Входящий в состав ViPNet Координатора и Клиента ViPNet Драйвер обеспечивает надежное шифрование IP-трафика, а также функции межсетевого и персонального сетевого экранов соответственно. В качестве криптографического ядра в программном обеспечении решения ViPNetOFFICE используется СКЗИ Домен-К. Для рассматриваемой АС предприятия VipNetOffice является наиболее оптимальным решением, так как с помощью него можно быстро, качественно и за небольшие деньги построить VPN и обеспечить защищенную передачу информации через Интернет. Защита от несанкционированного доступа средствами SecretNetSecretNet — это сертифицированное средство защиты информации от несанкционированного доступа, которое позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:№ 152-ФЗ («О персональных данных»);№ 98-ФЗ («О коммерческой тайне»);№ 5485−1-ФЗ («О государственнойтайне»);СТО БР ИББС (Стандарт Банка России).К основным возможностям системы относятся [24]: Аутентификация пользователей. Разграничение доступа пользователей к информации и ресурсам ЛВС. Доверенная информационная среда. Контроль утечек и каналов распространения конфиденциальной информации. Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации. Централизованное управление системой защиты, оперативный мониторинг и аудит безопасности. Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов. Защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).Организация антивирусной защиты средствами Антивирус Касперского для WindowsServersEnterpriseEditionК особенности данного приложения относятся [11]: Поддержка гетерогенных сред. Единая консоль управления. Эффективная защита.Проактивная защита от вредоносного ПО. Оптимизированная производительность. Проверка критических областей системы. Защита терминальных серверов. Масштабируемость. Баланс загрузки сервера.
Выбор доверенных процессов. Поддержка непрерывной работы сервера. Средства защиты от утечки информации по каналам ПЭМИНОсновные проблемы защиты информации в компьютерных сетях возникают из-за того, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи, тем самым подвергая информационную систему как внешним, так и внутренним угрозам со стороны нарушителей. Выделим ряд методов защиты информации от утечки по каналам ПЭМИН:
Ограничение доступа на территорию объекта, где установлен терминал (зона доступа). Экранирование. Фильтрация. Электромагнитное зашумление. Применение волоконно-оптических кабелей. Таким образом, модель защиты системы документооборота в ООО «Формат» можно представить в следующем виде (см. рис.
2).Рисунок 2 — Модель защиты системы документооборота в ООО «Формат"Заключение.
Данная работа посвящено вопросам построения защищенной системы документооборота на примере предприятия ООО «Формат». В рамках исследования была определена организационная структура рассматриваемого предприятия и выявлены основные принципы организации системы информационной безопасности. Анализ исходной защищенности позволил сделать вывод о существовании возможных угроз системе документооборота, а именно — перехват за пределами контролируемой зоны, угрозы внедрения по сети вредоносных программ, угрозы утечки информации по каналам ПЭМИН. На наш взгляд, наиболее рациональными мерами защиты системы документооборота могут стать защита от вредоносного программного обеспечения, организация безопасной передачи данных, предотвращение несанкционированного доступа к ресурсам сети, разработка политики безопасности. Именно поэтому исследование было посвящено вопросам внедрения названных мер для организации эффективной защиты документооборота в ООО «Формат».В ходе курсового исследования были получены следующие результаты:
Определены законодательные основы информационной безопасности — выделены стандарты, определено направление государственной политики регулирования в сфере информатизации. Определена структура предприятия и рассмотрены егоинформационные активы. Разработаны практические рекомендации по внедрению организационных и технических мер для снижения уровня рисков безопасности документооборота в ООО «Формат». Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении.
Список используемых источников
.
Гражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.
11.1994 № 51-ФЗ в ред. от 23.
05.2015 г. (Собрание законодательства Российской Федерации от 05.
12.1994)Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне"Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации"Федеральный закон от 27.
07.2006 N 152-ФЗ (ред. от 21.
07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.
09.2015)Закон РФ от 21.
07.1993 N 5485−1 (ред. от 08.
03.2015) «О государственной тайне"Указ Президента РФ от 6 марта 1997 г. N 188"Об утверждении перечня сведений конфиденциального характера» (с изм. и доп. от 13 июля 2015 г.)ГОСТ Р 50 922- 2006.
Защита информации. Основные термины и определения. — Введ. 2008;02−01. -М.: Стандартинформ, 2007. — 12 с. ГОСТ Р ИСО/МЭК 27 001−2006.
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. Стандарт банка России СТО БР ИББС-1.0−2014.
Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. — М.: ФИЗМАТЛИТ, 2006.
— 768 с. Грошев А. С. Информатика: Учебник для вузов. — Архангельск: Арханг. гос. техн. ун-т,.
2010. — 470с. Каторин Ю. Ф. и др. Энциклопедия промышленного шпионажа. — СПб.: Полигон, 2011.
— 896с. Килясханов И. Ш., Саранчук Ю. М. Информационное право в терминах и понятиях: учебное пособие. — Юнити-Дана, 2011 г. -&# 160;135 с. Кобб М., Джост М. Безопасность IIS, ИНТУИТ, 2013 г. - 678 с. Козлова Е. А.
Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации // Молодой ученый. — 2013. — № 5. — С.
154−161.Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2012. — 304 с. Могилев А. В. Информация и информационные процессы. -.
Спб.: БХВ-Петербург, 2010. — 125с. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2011 г.- 320 с. Сосунов Б. В., Мешалкин В. А. Основы энергетического расчета радиоканалов.
Л.: ВАС, 1991. — 110сХорев А. А. Технические каналы утечки информации. — М.:Аналитика, 2008. — 435с. Хорошко В.
А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013 г. — 504с. Чернова М. Время — деньги.
Как превратить пассив в актив// Бизнес-журнал. — № 8. — 2013. — С.4−5Шапиро Д. Н. Основы теории электромагнитного экранирования. ;
Л.: Энергия, 1975. — 112с. SecretNet [Электронный ресурс] Режим доступа ;
http://www.securitycode.ru/products/secret_net/Блог о информационной безопасности [Электронный ресурс] Режим доступа ;
http://itsecblog.ru/fizicheskie-sredstva-zashhity-informacii/ Стандарты информационной безопасности [Электронный ресурс] Режим доступа ;
http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27 697.html.
