Разработка мероприятий по совершенствованию системы защиты информации в ООО «Электронные платежи»

Формирование системы информационной безопасности

Возможные каналы потери конфиденциальности информации:

разглашение конфиденциальной информации, хранящейся на АРМ;

разрушение КИ при помощи специальных программ и вирусов;

разглашение конфиденциальной информации, хранящейся на сервере;

физический доступ нарушителя к АРМ;

физический доступ нарушителя к серверу;

физический доступ нарушителя к конфиденциальным документам;

разглашение конфиденциальной информации, использованной в документах;

вынос документов за пределы контролируемой зоны.

несанкционированное копирование, печать и размножение конфиденциальных документов.

Предполагаемые мероприятия по защите информации:

установка системы видеонаблюдения;

установка системы охранной и пожарной сигнализации;

усовершенствование контроля и управления доступом на объект;

смена сейфа на более надежный сейф для хранения особо важной информации;

установка новой антивирусной программы;

установка межсетевого экрана;

усовершенствование системы хранения информации в электронном виде;

разработка инструкции пользователя объекта вычислительной техники (ОВТ);

усовершенствование инструкции по организации парольной защиты на АРМ;

проведение инструктажа персонала в соответствии с новой комплексной системой зашиты информации;

разработка «Соглашения о неразглашении конфиденциальной информации», проведение инструктажа по разъяснению персоналу компании положений «Памятки» ;

разграничение доступа пользователей к информации с помощью установки СЗИ от несанкционированного доступа (НСД) на рабочих местах и сервере (СЗИ Secret Net);

установление средств защиты при проведении закрытых совещаний;

отключение мобильных телефонов всех присутствующих в помещении при проведении совещаний и переговоров;

ключи и коды от сейфов должны храниться у руководителя компании;

обязательное выключение компьютеров после завершения рабочего дня.

Для управления проектом его следует разбить на иерархические подсистемы и компоненты. В терминах управления проектами структура проекта представляет собой «дерево» ориентированных на продукт проекта компонентов, представленных оборудованием, работами, услугами и информацией, полученными в ходе реализации проекта. Можно сказать, что структура проекта — это организация связей и отношений между его элементами. Формирование структуры проекта позволяет представить его в виде значительно меньших блоков работ вплоть до получения самых мелких, поддающихся непосредственному контролю позиций. Именно такие блоки передаются под управление отдельным специалистам, ответственным за достижение конкретной цели достигаемой при реализации задач данного блока. Структуризация является неотъемлемой частью общего процесса планирования проекта и определения его целей, а также подготовки плана проекта и матрицы распределения ответственностей и обязанностей.

Задачей проекта является построение надежной системы защиты информации в компании.

Для компании «Электронные платежи» в ходе разработки комплексной системы защиты информации необходимо выделить несколько задач в пределах следующих требований:

техническое оснащение объекта должно сводить к минимуму возможность снятия конфиденциальной информации по возможным каналам потери информации;

техническое оснащение должно удовлетворять требованиям и нормам стандартов в области защиты информации;

техническое оснащение не должно мешать рабочему процессу компании;

должна быть проведена оценка защищенности АРМ в соответствии с требованиями стандартов;

должны быть разработаны должностные инструкции в соответствии с поставленными задачами и формами допуска к конфиденциальной информации;

по завершении работ по построению комплексной системы защиты информации необходимо провести ознакомление сотрудников с новой системой.

Итогом работы по построение КСЗИ должно быть:

защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации;

создание собственной политики безопасности компании;

строгий контроль доступа к конфиденциальной информации на электронных и бумажных носителях, к автоматизированным рабочим местам, содержащим конфиденциальную информацию;

техническое оснащение помещений, в которых ведется работа с конфиденциальными документами;

введение

строгого учета конфиденциальной документации;

введение

системы ответственности за невыполнение норм и требований по работе с конфиденциальной информацией.

Структура разбиения работ с учетом продолжительности по времени отражается в табл. 3.1.

Таблица 3.1 — Структура разбиения работ.

Структурная схема компании.

Структурная схема компании содержит в себе совокупность должностных лиц, участвующих в проекте по созданию КСЗИ, и выполняемых ими функций в процессе этой деятельности.

В структурную схему входят:

начальник отдела по защите информации;

главный инженер по защите информации;

начальник службы безопасности;

инженер по защите информации;

начальник отдела конфиденциального делопроизводства;

менеджер по кадрам;

сотрудник службы безопасности.

Матрица ответственности для конкретного должностного лица по определенному виду работ представлена в табл. 3.2.

Таблица 3.2 — Матрица ответственности.

Предлагаемые средства защиты информации.

Физические средства защиты.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т. п.

Система охранного телевидения (СОТ).

В последнее время системы видеонаблюдения стали основой комплексной системы безопасности. Современные системы видеонаблюдения позволяют не только наблюдать за объектом и записывать происходящие события, но и реагируют на возникновение нештатных ситуаций, контролируя действия всей системы безопасности. В зависимости от типа используемого оборудования они делятся на два типа, цифровые и аналоговые.

Цифровые системы видеонаблюдения.

Данные охранные системы имеют множество плюсов:

• — возможность цифрового увеличения и масштабирования любого кадра;
• — мгновенный поиск и просмотр видеозаписи по камере, дате и времени;
• — высокую скорость доступа к видеоархиву;
• — возможность отправки тревожных сообщений по электронной почте и SMS;
• — возможность экспорта видеоинформации на совместимые внешние носители;
• — возможность интеграции с другими компьютерными системами безопасности;
• — легкая и недорогая трансляция видеоархивов по каналам связи (Интернет и пр.);
• — обеспечивает высокое качество воспроизводимой видеозаписи.

Очень важным преимуществом цифровых систем является возможность создания на их основе интегрированных систем безопасности. В зависимости от требований, предъявляемых к системе, в состав цифровой системы видеонаблюдения могут входить и другие охранные и исполнительные элементы. Их комплексное использование существенно повышает надежность всей системы безопасности.

Купольные видеокамеры черно-белого изображения предназначены для установки внутри помещений. Объектив видеокамеры с фиксированной диафрагмой «board lens» (М12). Форма купола позволяет устанавливать данную видеокамеру в любых помещениях, как в офисах, так и в магазинах, домах, не привлекая к себе особого внимания как элемент декора. Черно-белые миниатюрные видеокамеры типа КРС-400Р1, 190 SP1 могут использоваться как самостоятельные устройства в недорогих системах видеонаблюдения. Подключаются к любым видеомониторам, видеодомофонам и устройствам обработки видеосигнала. Могут использоваться как видеокамеры скрытого видеонаблюдения, как в офисе, так и в составе видеодомофонной системы. Питание камеры осуществляется от внешнего стабилизированного источника питания с постоянным напряжением 12 В.

Видеокамера КРС-190 SP1 1/3″, 420 ТВЛ, 0,05 лкс, 3,6 мм, угол обзора Н-78°, конусный объектив, питание 12 В, цилиндр, стоимость 1690 руб. (5 штук).

Монитор HS-BM122A 12″, 1000 ТВЛ, аудиоканал, стоимостью 5232,25 руб.

Система охранной и пожарной сигнализации (ОПС).

Система пожарной сигнализации (ПС) — это комплекс технических средств, служащих для своевременного обнаружения возгорания, возникновения дыма или замыкания.

Система охранно-пожарной сигнализации (ОПС) состоит из трех основных подсистем:

• — пульт централизованного управления пожарной сигнализации;
• — устройство сбора и обработки данных с датчиков пожарной сигнализации;
• — датчики и извещатели пожарной сигнализации.

Извещатели служат для обнаружения пожара, устройства сбора и обработки данных — для протоколирования информации и подачи данных на пульт централизованного управления пожарной сигнализации. Помимо этих основных функций, современная пожарная сигнализация способна отдавать команды на включение автоматического пожаротушения и дымоудаления. Также должно включаться оборудование оповещения о пожаре (звуковое и световое оповещение).

В данном случае выберем следующее оборудование:

— Контрольная панель VISTA-50LP.

Характеристики:

• — 9 проводных зон;
• — расширение до 86 зон по встроенной двухпроводной линии связи;
• — до 86 беспроводных зон;
• — 7 уровней приоритета, 75 кодов пользователей;
• — до 16 пультов управления;
• — до 16 двухпроводных пожарных датчиков на первой зоне.

Стоимость — 14 820 руб.

• — ИП-212−5М3. Извещатель оптический дымовой (ДИП-3М), 2-х проводной, уменьшенный габарит, 16−24 В, 0,2мА, стоимостью 514,80 руб. (9 штук).
• — Окно-4. Датчик разбития стекла ударно-контактный, стоимостью 120, 90 руб. (17 штук).
• — АС-22. Звуковой оповещатель, 103дБ, 220 В, стоимостью 195 руб.
• — ИО-102−5. Извещатель магнитоконтактный для немагнитных дверей, скрытой установки, стоимостью 58,50 руб. (6 штук).

Система контроля и управления доступом на объект (СКУД).

Система контроля доступа (СКУД, СКД) является третьим рубежом защиты помещения после охранно-пожарной и телевизионной систем безопасности. Основная задача систем контроля и управления доступом — регламентировать передвижение сотрудников и посетителей в дневное время и предотвращать попадание нежданных гостей в помещение. Так же, система контроля доступа — это фискальная система, отслеживающая события, происходящие в системе СКУД. На основании полученных данных решается еще одна актуальная на сегодняшний день задача — учет рабочего времени.

Всем сотрудникам компании, в которой установлена система контроля доступа, выдаются специальные электронные пропуска, например, проксимити идентификаторы, представляющие собой пластиковые карты или брелоки, которые содержат персональные коды доступа. Считыватели, устанавливаемые у входа в контролируемое помещение, распознают код идентификаторов. Информация поступает в систему контроля доступа, которая на основании анализа данных о владельце идентификатора, принимает решение о допуске или запрете прохода сотрудника на охраняемую территорию. В случае разрешения доступа, система приводит в действие исполнительные устройства, такие как электромеханические замки, турникеты, автоматические шлагбаумы или приводы ворот. В противном случае двери блокируются, включается сигнализация и оповещается охрана.

Современные системы контроля доступом на базе оборудования KANTECH оснащаются чрезвычайно гибким программным обеспечением, позволяющим работать системам, как с малым, так и с огромным количеством контролируемых дверей, предоставляя при этом сервис высочайшего уровня.

В системе СКУД при этом могут использоваться технологии самого различного плана, такие как магнитные полосы, эффект Wiegand, считыватели на базе proximity, биометрические технологии.

Правильно организованный контроль доступа в современной компании является основой эффективной организации труда, как в офисе, так и в производственном секторе.

В данном случае примем следующее решение:

— ISEO-5210-хх-хх-х. Электромеханический замок для двери, внутренний цилиндр, стоимостью 2189,20 руб. Используем замок на входной двери компании.

— Для защиты окон устанавливаются решетки стоимостью 780 руб. за квадратный метр. Будем считать общую площадь окон равной 39. Общая стоимость 30 420 руб.

Для хранения особо важной информации будем использовать сейф P 36. Его габариты 655×435×420, вес — 65 кг. Стоимость 17 076,80 руб.

Программно-аппаратные средства защиты.

Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Программные средства — специализированные программы и программные комплексы, предназначенные для защиты информации в информационных системах (ИС).

Система защиты от НСД.

Подсистема защиты информации от НСД реализуется с помощью программного средства Secret Net. Система защиты информации Secret Net является программно-аппаратным комплексом, предназначенным для обеспечения информационной безопасности в локальной вычислительной сети.

Безопасность рабочих станций и серверов сети обеспечивается с помощью всевозможных механизмов защиты:

• — усиленная идентификация и аутентификация,
• — полномочное и избирательное разграничение доступа,
• — замкнутая программная среда,
• — криптографическая защита данных,
• — другие механизмы защиты.

Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.

Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.

Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.

Компоненты Secret Net.

Система Secret Net состоит из компонентов:

• — клиентская часть;
• — сервер безопасности;
• — подсистема управления.

Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.

Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:

• — ведение центральной базы данных (ЦБД) системы защиты, функционирующей под управлением СУБД Oracle 8.0 Personal Edition и содержащей информацию, необходимую для работы системы защиты;
• — сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления;
• — взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.

Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:

• — централизованное управление защитными механизмами клиентов Secret Net;
• — контроль всех событий имеющих отношение к безопасности информационной системы;
• — контроль действий сотрудников в ИС компании и оперативное реагирование на факты и попытки НСД;
• — планирование запуска процедур копирования ЦБД и архивирования журналов регистрации.

Схема управления, реализованная в Secret Net, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности. Стоимость составляет — 8645 руб.

Система защиты от вирусов.

Антивирусная программа — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операционной системы вредоносным кодом. Согласно многочисленным исследованиям на сегодняшний день самой распространенной и наносящей самые большие убытки информационной угрозой являются вирусы, «троянские кони», утилиты-шпионы и прочее вредоносное программное обеспечение. Для защиты от него используются антивирусы. Причем этим средством обеспечения безопасности должен быть оборудован каждый компьютер вне зависимости от того, подключен он к Интернету или нет.

Для защиты информации в ООО «Электронные платежи» от вредоносного программного обеспечения будет использоваться Антивирус Касперского 2013. Его стоимость с лицензией на 10 компьютеров — 8000 руб.

Межсетевой экран.

Между локальной сетью и глобальной сетью создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Будем использовать Core Force — первый файрволл, созданный с использованием комьюнити-решения. Он предназначен для защиты персональных компьютеров, работающих под управлением Windows 2003 и Windows XP. Смысл комьюнити-решения заключается в том, что большая группа экспертов по сетевой безопасности (community of security experts) подготавливает и выкладывает для общего пользования настройки для работы Core Force, которые постоянно, с учетом появления новых приложений, обновляются.

Эти настройки безопасности могут быть бесплатно скачаны с сайта комьюнити. Такой подход, по замыслу разработчиков, должен позволить даже самому неподготовленному в вопросах безопасности пользователю без труда настроить свой файрволл на его оптимальную работу, т. е. максимально возможно защитить компьютер.

Core Force бесплатен как для некоммерческого, так и для коммерческого использования. Распространяется по лицензии Apache 2.0.

Система хранения информации.

Взрывной рост объемов данных — одна из основных тенденций развития современных IT-систем. Помимо роста объемов, наблюдается рост значимости данных, и, как следствие, появляется необходимость в бесперебойном доступе к данным, к защите от аварий и катастроф. При этом на передний план выходят так же вопросы стоимости хранения данных и сохранения инвестиций в инфраструктуру.

Все эти задачи успешно решаются за счет применения передовых принципов дизайна систем хранения, таких как консолидации и виртуализации вычислительных ресурсов. Будем использовать Storage Works DAT HP систему хранения информации.

Данное программное обеспечение является недорогим и надежным решением резервного копирования данных для серверов начальных уровней и рабочих станций. Стоимость: 38 233 руб.

Система проведения закрытых совещаний.

" Грань-300″. Габариты — 90×55×25 мм. Устройство защиты аналоговых телефонных аппаратов от потери информации за счет микрофонного эффекта и ВЧ-навязывания, блокировка. Стоимость — 5850 руб. Будем использовать для защиты от прослушивания телефона в кабинете руководителя.

ОMS-2000. Акустический излучатель является специализированным электроакустическим преобразователем и предназначен для возбуждения акустического шума. Он предназначен для защиты пространства подвесных потолков, ниш, шкафов, вентиляционных коробов. Стоимость 3250 руб.

Оценка стоимости средств защиты информации приведена в табл. 3.3.

Таблица 3.3 — Расчет стоимости защиты информации.

Оценка стоимости комплексной системы защиты информации.

В табл. 3.4 представлена примерная среднерыночная стоимость работ и оборудования необходимого для внедрения комплексной системы защиты информации в ООО «Электронные платежи» .

Таблица 3.4 — Примерная стоимость работ и оборудования КСЗИ.

Таким образом, из приведенных выше расчетов видно, что в случае реализации угроз на конкретный ресурс компания понесет убы…