Разработка программно-технических средств для защиты от несанкционированного доступа (на примере ООО «Минерал»)
В связи с этим выбранная тема исследования, связанная с решением задачи защиты информации является важной и актуальной. Защищенная информационная система должна противостоять внутренним и внешним угрозам и воздействиям как естественного, так и искусственного происхождения и поддерживать предсказуемый уровень работоспособности независимо от этих воздействий. Подобная система должна быть устойчива… Читать ещё >
Разработка программно-технических средств для защиты от несанкционированного доступа (на примере ООО «Минерал») (реферат, курсовая, диплом, контрольная)
Разработка программно-технических средств для защиты от несанкционированного доступа (на примере ООО «Минерал»)
- Введение
- 1. Общесистемный раздел
- 1.1 Общие вопросы обеспечения информационной безопасности
- 1.1.1 Корпоративный подход к системам и безопасность
- 1.1.2 Актуальность вопросов информационной безопасности
- 1.1.3 Особенности защищаемой информации
- 1.1.4 Правовая классификация защищаемой информации
- 1.1.5 Угрозы и уязвимости защищаемой информации
- 1.1.6 Несанкционированный доступ и утечка информации
- 1.1.7 Общие понятия о мероприятиях по защите информации
- 1.1.8 Методы (способы) и средства защиты информации
- 1.2 Обзор деятельности организации
- 1.2.1 Состав организации
- 1.2.2 Анализ инфраструктуры организации
- 1.2.3 Средства информационного обмена в фирме
- 1.2.4 Программное и аппаратное обеспечения сети ООО «Минерал»
- 1.3 Характеристика объекта защиты от НСД
- 1.3.1 Обеспечение конфиденциальности информации как основная цель защиты ООО «Минерал»
- 1.3.2 Программный уровень защиты
- 1.3.3 Программно-технический уровень защиты
- 1.4 Определение класса защиты инфраструктуры ООО «Минерал»
- 1.4.1 Классы и группы защищенности систем
- 1.4.2 Требования к классу защищенности 1Г
- 1.5 Цели и задачи дипломного проектирования
- 2. Специальный раздел
- 2.1 Построение модели корпоративной безопасности и защиты от НСД
- 2.1.1 Структура модели
- 2.1.2 Модель построения корпоративной системы защиты информации от НСД
- 2.1.3 Детализация потоков в инфраструктуре ООО «Минерал»
- 2.1.4 Определение информации, подверженной угрозам НСД
- 2.1.5 Детализация сетевого и программного обеспечения фирмы
- 2.1.6 Категории вероятных нарушителей режима доступа
- 2.1.7 Классификация и способы реализации угроз НСД по каналам утечки информации
- 2.1.8 Оценка актуальности угроз инфраструктуры ООО «Минерал» и мер по противодействию НСД
- 2.2 Технические решения по защите ИС
- 2.2.1 Разработка контекстных и DFD-диаграмма инфраструктуры ООО «Минерал» по направлению ИБ и защите от НСД
- 2.2.2 Структура СЗИ от НСД для ИСПДн
- 2.2.3 Установка межсетевого экрана — внешней защиты от НСД
- 2.2.4 Установка криптопровайдера в системе защиты данных от НСД
- 2.10 Работа с контейнером ключей и панель управления контейнерами
- 2.11 Добавление сертификата в контейнер и окно свойств сертификата
- 2.2.5 Установка средства обнаружения вторжений и антивируса
- 2.2.6 Перспектива установки комплексных СЗИ от НСД
- 2.3 Вывод по разделу
- Заключение
- Список использованных источников
Любая деятельность человека, организации, государства основывается на информации. В современном обществе информация представляет также орудие конкурентной борьбы. В ней побеждает тот, кто при прочих равных условиях владеет более полной, качественной и своевременной информацией. Предотвращение утечки информации основывается на четком представлении о механизмах ее утечки, возможностях тех или иных каналов утечки, определении рациональных способов защиты информации и средств их реализации.
Большинство современных компьютерных систем не имеют надежной защиты внутренних ресурсов. Поэтому, возрастает потенциальная уязвимость систем накопления информации и, даже, систем управления технологическими объектами. Эксперты по вопросам информатики считают, что сбор экономической информации о конкурентах и защита собственных информационных ресурсов — главные задачи обеспечения экономики государства. В случае полного рассекречивания компьютерных баз данных большая часть компаний будет разорена конкурентами за очень короткий срок.
Положение усугубляется доступностью технических средств шпионажа, простотой их изготовления, а также, массовым характером применения технических устройств снятия информации и средств несанкционированного доступа в конкурентной борьбе коммерческих фирм.
Несмотря на то, что современные ОС для персональных компьютеров, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами. И в этих случаях для защиты данных используются аппаратно-программные средства защиты информации.
Тема является актуальной по следующим причинам:
· производственная информация имеет экономическую ценность;
· средства защиты информации обычно реагируют на уязвимости и «дыры», на их развитие определяется реакцией на те или иные разработки в области доступа к данным;
· постоянная потребность в информации, необходимой для качественного выполнения функций менеджмента и маркетинга;
· сложность задач информационного противодействия и оценки ущерба, недостатки компетентной аналитики и справочных ресурсов.
В связи с этим выбранная тема исследования, связанная с решением задачи защиты информации является важной и актуальной. Защищенная информационная система должна противостоять внутренним и внешним угрозам и воздействиям как естественного, так и искусственного происхождения и поддерживать предсказуемый уровень работоспособности независимо от этих воздействий. Подобная система должна быть устойчива к отказу различных блоков в результате специальных атак, а ответом на повреждение или угрозу должна быть адаптация или реконфигурация структуры системы. Корректно организованная защита информации фирмы непременно обеспечит и информационную безопасность последней от внешней среды. Целью данного дипломного проекта является повышение эффективности функционирования объекта ООО «Минерал» посредством выбора программно-технического решения по защите от несанкционированного доступа к информации.
Основными задачами для достижения цели исследования являются:
1. Анализ существующей на объекте информационной системы и средств ее защиты.
2. Рассмотрение существующих подходов к организации защиты от НСД.
3. Выбор и внедрение новых средств, исходя из проведенного анализа.
1. Общесистемный раздел
1.1 Общие вопросы обеспечения информационной безопасности
Для практической реализации системы защиты конфиденциальной информации на предприятии необходимо правильно определить: что защищать; кто будет защищать; чем защищать.
Корпоративный подход к функционированию современного предприятия предполагает построение информационной среды, связывающий в единую структуру основные информационные потоки, в основе которой находится корпоративная сеть — коммуникационная система, принадлежащая и управляемая в соответствии с определенным регламентом.
Следовательно, информационная безопасность организации — это такое состояние защищённости информационной среды организации, которое обеспечивающее её надежное формирование, использование и развитие — при постоянном воздействии на нее внешних и внутренних угроз информации.
Рассмотрим основные понятия информационной безопасности.
1.1.1 Корпоративный подход к системам и безопасность
Корпоративные информационные системы (КИС) — это интегрированные системы управления территориально распределенной корпорацией, основанные на углубленном анализе данных, широком использовании систем информационной поддержки принятия решений, электронных документообороте и делопроизводстве.
Причины внедрения корпоративных информационных систем [1]:
· оперативный доступ к достоверной и представленной в удобном виде информации;
· создание единого информационного пространства;
· упрощение регистрации данных и их обработки;
· избавление от двойной регистрации одних и тех же данных;
· регистрация информации в режиме реального времени;
· снижение трудозатрат, их равномерное распределение на всех участников системы учета, планирования и управления;
· автоматизация консолидации данных для распределенной организационной структуры.
Все корпоративные информационные системы можно разделить на два больших класса. Первый — включает единую систему, собранную по модульному принципу и имеющую высокий уровень интеграции. Второй — представляет собой набор хоть и интегрированных между собой при помощи сервисов и интерфейсов, но все же разнородных приложений.
К первому классу в основном относятся современные ERP системы.
ERP-система (англ. Enterprise Resource Planning System — Система планирования ресурсов предприятия) — корпоративная информационная система, предназначенная для автоматизации учёта и управления. Как правило, ERP-системы строятся по модульному принципу, и в той или иной степени охватывают все ключевые процессы деятельности компании.
Исторически концепция ERP стала развитием более простых концепций MRP (Material Requirement Planning — Планирование материальных потребностей) и MRP II (Manufacturing Resource Planning — Планирование производственных ресурсов). Используемый в ERP-системах программный инструментарий позволяет проводить производственное планирование, моделировать поток заказов и оценивать возможность их реализации в службах и подразделениях предприятия, увязывая его со сбытом.
В основе ERP-систем лежит принцип создания единого хранилища данных, содержащего всю корпоративную бизнес-информацию и обеспечивающего одновременный доступ к ней любого необходимого количества сотрудников предприятия, наделенных соответствующими полномочиями. Основные функции ERP систем: ведение конструкторских и технологических спецификаций; формирование планов продаж и производства; планирование потребностей в материалах и комплектующих, сроков и объемов поставок для выполнения плана производства; управление запасами и закупками: ведение договоров, реализация закупок, обеспечение учета и оптимизации складских и цеховых запасов; планирование производственных мощностей; оперативное управление финансами; управления проектами, включая планирование этапов и ресурсов.
Они обычно обладают ядром, состоящим из нескольких ключевых модулей, без которых невозможна работа системы. Помимо прочих в это набор включена и система безопасности, которая берёт на себя большинство функций, связанных с защитой информации во всей системе в целом и в каждом из встраиваемых модулей в частности. Такой подход весьма удобен сразу по нескольким причинам [8]:
Механизмы обеспечения конфиденциальности, целостности и доступности данных в такой системе максимально унифицированы. Это позволяет администраторам избежать ошибок при настройке различных модулей системы, которые могли бы привести к образованию брешей в безопасности.
Система имеет высокий уровень централизации и позволяет легко и надёжно управлять защитой корпоративной информационной системы.
Использование ERP-системы позволяет использовать одну интегрированную программу вместо нескольких разрозненных.
Реализуемая в ERP-системах система разграничения доступа к информации, предназначена (в комплексе с другими мерами информационной безопасности предприятия) для противодействия как внешним угрозам (например, промышленному шпионажу), так и внутренним (например, хищениям).
Второй класс систем, более подвержен образованию пробелов в безопасности, вызванных ошибками при конфигурации системы безопасности приложения. Как уже отмечалось, несмотря на свою некоторую интегрированность, такие системы, по сути, являются набором отдельных независимых продуктов. Соответственно каждый из них использует свои подходы к обеспечению целостности, конфиденциальности и доступности данных и требует отдельной конфигурации. Если учесть так же тот факт, что части такой системы не всегда совместимы друг с другом, становится очевидным, что для совместной работы приложений иногда приходится жертвовать безопасностью. Децентрализованность таких систем часто не позволяет администраторам следить за разграничением прав доступа в системе.
1.1.2 Актуальность вопросов информационной безопасности
Основными факторами, способствующими повышению уязвимости информации, являются [3]:
резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
сосредоточение в единых базах данных информации различного назначения;
резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам информационной системы и находящимся в ней данных;
усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима; автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.
Актуальность вопросов информационной безопасности в корпоративных также определяется следующими причинами [5]: существуют внешние и внутренние уровни интеграции КИС, в которых используют стандартизированные и частные протоколы; постоянное развитие и усложнение оборудование и приложений, используемых в корпоративных сетях; наличие технологических недостатков, обусловленных проблемами защиты в компьютерных технологиях; недостатки конфигурации, реализации и использование технологии защиты, результатом чего может оказаться появление проблем защиты; ошибки и недостатки в организации политики зашиты, что может привести к уязвимости даже самую лучшую технологию сетевой защиты.
1.1.3 Особенности защищаемой информации
Независимо от того, из какого источника получена информация и на каком носителе она представлена, она должна соответствовать определенному регламенту Федеральный закон Российской Федерации «О техническом регулировании» Принят Государственной Думой 15 декабря 2002 года. Одобрен Советом Федерации 18 декабря 2002 года (в ред. Федерального закона от 09. 05.2005 N 45-ФЗ) и удовлетворять определенным требованиям: достоверность, т. е. строго соответствовать действующему законодательству и правоприменительным документам; полнота, т. е. отражение всех важнейших аспектов объекта исследования и результаты их познания; своевременность (оперативность) — иначе информация потеряет свое практическое значение; структурированность — свойство, позволяющее выделять информацию из получаемых сигналов; смысл и ценность.
Однако, с точки зрения сетевой безопасности наиболее важными особенностями информации являются ее: конфиденциальность; целостность; доступность.
Рисунок 1.1 Цели сетевой безопасности
Конфиденциальность. Конфиденциальная информация подразумевает ограничение доступа. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести следующие данные: личная информация пользователей, учетные записи (имена и пароли), данные о кредитных картах, бухгалтерская информация. Конфиденциальность должна достигаться физическим или логическим разграничением доступа к закрытой информации или шифрование трафика идущего через сеть, например:
· использование механизмов безопасности для предотвращения неавторизированного доступа к сетевым ресурсам;
· использование подходящей авторизации (например, имена пользователей и пароли) для доступа к разным ресурсам сети;
· шифрование трафика, для того чтобы нарушитель не мог дешифровать перехватываемую им информацию.
Целостность. Одна из основных целей сетевой безопасности — гарантированность того, чтобы данные не были изменены, подменены или уничтожены. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности. Баутов А. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции «Стандарты в проектах современных информационных систем». — Москва, 23−24 апреля 2003 г.
К задачам обеспечения целостности, например, относят защиту от изменения внешнего вида веб-сайта; проникновения в транзакцию электронной коммерции; изменение финансовых записей, которые хранятся в электронном виде.
несанкционированный доступ информационная безопасность Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении отданных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения.
Доступность. Доступность компонента или ресурса системы — это свойство компонента или ресурса быть доступным' для авторизованных законных субъектов системы. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за недоступности. Вот пара примеров как нарушитель может попытаться подорвать доступность сети:
· он может послать специальным образом измененную информацию сетевому устройству, в результате возникнет необрабатываемая ошибка;
· он может наводнить сеть огромным количеством трафика или запросов. Это заставит системные ресурсы обрабатывать эти запросы, и мешает обрабатывать легитимные запросы.
1.1.4 Правовая классификация защищаемой информации
В информационном законодательстве центральное место занимает Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Закон регулирует отношения, возникающие при формировании и использовании информационных ресурсов, создании и использовании информационных технологий и средств их обеспечения, а также защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
В соответствии с этим законом защите подлежит любая документированная информация, несанкционированный доступ к которой способен нанести вред или ущерб собственнику информации или иному лицу. Документированной информацией или документом называется зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Тип сведений, подлежащих защите, приведен на рисунке 1.2.
Рисунок 1.2 Тип сведений, подлежащие защите.
Перечень и необходимый уровень защиты обрабатываемых информационных ресурсов содержащих сведения, составляющие конфиденциальную информацию (служебную информацию, персональные данные и коммерческие сведения), определяется следующим образом:
· перечень сведений, отнесенных к служебной информации, определяется пометкой «Для служебного пользования» ;
· перечень сведений, отнесенных к персональным данным, определяется в соответствии с 152-ФЗ «О персональных данных» ;
· перечень сведений, отнесенных к коммерческой тайне, определяется в соответствии с «Перечнями сведений, отнесенных к коммерческой тайне», составляемых руководителями подразделений Организации;
· необходимый уровень защиты определяется, в соответствии с требованиями основных документов.
По режимам доступа социальная информация подразделяется на открытую информацию (без ограничения), информацию с ограничением доступа; закрытую; государственную тайну; конфиденциальная информацию; коммерческую тайну; профессиональную тайну; служебную тайну.
Информация, содержащая государственные секреты (государственная тайна), включает военные, стратегические, особо важные экономические сведения. Их режим установлен Федеральным законом «О государственной тайне» от 21 июля 1993 г N 5485−1 Федеральный закон Российской Федерации «О государственной тайне» от 21. 07.1993 г. N 5485−1 в ред. Федерального закона от 6 октября 1997 г. N 131-ФЗи перечнем сведений, отнесенных к государственной тайне Перечень сведений, отнесенных к государственной тайне, утвержден Указом Президента РФ от 24 января 1998 г. N 61 «О перечне сведений, отнесенных к государственной тайне» .
Служебная и коммерческая информация (тайна). В ст. 139 ГК РФГражданский кодекс Российской Федерации часть первая от 30 ноября 1994 г. N 51-ФЗ, часть вторая от 26 января 1996 г. N 14-ФЗ, часть третья от 26 ноября 2001 г. N 146-ФЗ и часть четвертая от 18 декабря 2006 г. N 230-ФЗ «Служебная и коммерческая тайна» дано ее законодательное определение: «1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность и в силу неизвестности ее третьим лицам к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными нормативными актамиФедеральный закон Российской Федерации «О коммерческой тайне». Принят Государственной Думой 9 июля 2004 года. Одобрен Советом Федерации 15 июля 2004 года (в ред. Федерального закона от 02. 02.2006 № 19-ФЗ) .
Информация, которая составляет служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и иными нормативными актами" .
Конфиденциальная информация представляет собой разновидность информации с закрытым доступом. Согласно Федеральному закону «Об информации» это документированная информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации. Примерами конфиденциальной информации могут служить персональные данные и информация о частной жизни.
Информация о гражданах (персональные данные) — пол, возраст, семейное положение, сведения о социальном положении, национальность, политические, философские, религиозные взгляды, принадлежность к политическим партиям и общественным движениям, физическое и психическое здоровье, вклады в сберегательных банках, владение собственностью и др.
Основными элементами информации о личности являются: дата и место рождения, адрес, образование, семейное положение, состояние здоровья.
Основными целями обеспечения информационной безопасности, являются:
· защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования объектов;
· обеспечение соблюдения требований законодательства, руководящих и нормативных документов и общей политики безопасности;
· обеспечение требований и условий целостности и конфиденциальности информации циркулирующей в системе.
1.1.5 Угрозы и уязвимости защищаемой информации
Прежде чем рассмотреть уязвимости корпоративной информационной системы введём несколько определений в соответствии с национальным стандартом Российской Федерации - ГОСТ Р 50 922−2006.
Безопасность информации (данных) — состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность; защита информации (ЗИ) — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации; собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо; заинтересованными субъектами получения защищаемой информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
Четко разграничены исходные понятия информационной безопасньсти:
· угроза (безопасности информации) — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации;
· источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации;
· уязвимость (информационной системы), брешь — свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации (если уязвимость соответствует угрозе, то существует риск).
Корпоративная информационная система, как и любая информационная система подвержена угрозам безопасности. Рассмотрим эти угрозы [3−5].
Ш нарушение конфиденциальности информации в корпоративных информационных системах
Ш нарушение целостности информации в корпоративных информационных системах.
Ш отказ в обслуживании корпоративных информационных системах.
Угрозы могут быть классифицированы по нескольким параметрам [5]:
· по величине принесенного ущерба: предельный, после которого фирма может стать банкротом; значительный, но не приводящий к банкротству; незначительный, который фирма за какое-то время может компенсировать.
· по вероятности возникновения: весьма вероятная угроза; вероятная угроза; маловероятная угроза.
· по причинам появления: стихийные бедствия; преднамеренные действия.
· по характеру нанесенного ущерба: материальный; моральный;
· по характеру воздействия: активные; пассивные.
· по отношению к объекту: внутренние; внешние.
Источниками внешних угроз являются: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно-управленческого аппарата. Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности.
Наиболее опасной с точки зрения размера нанесённого ущерба в большинстве случаев является именно нарушение конфиденциальности информации.
1.1.6 Несанкционированный доступ и утечка информации
Под доступом к информации понимается ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации. Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа субъектов доступа к объектам доступа.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений. Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.
Причины несанкционированного доступа к информации: ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных); слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников); ошибки в программном обеспечении; злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации); прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС; использование клавиатурных шпионов [5−6].
При рассмотрении проблем защиты данных в компьютере и компьютерной сети, прежде всего, возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к потере, уничтожению или нежелательной модификации данных. Среди таких потенциальных угроз, приводящим к утечкам информации, можно выделить следующие (таблица 1.1):
Таблица 1.1 — Потенциальные угрозы защищаемой информации.
Факторы | Потенциальные угрозы информации | |
Сбои оборудования | сбои кабельной системы; сбои электропитания; сбои дисковых систем сбои сетевых компонент | |
Некорректная работа ПО | ошибки ПО; заражение компьютерными вирусами | |
Несанкционированный доступ | копирование; уничтожение; подделка; хищение (на носителях информации или без них) | |
Неправильное хранение архивных данных | чрезвычайные ситуации | |
Ошибки обслуживающего персонала и пользователей | случайное уничтожение (изменение); некорректное использование ПО | |
Сбои оборудования:
· сбои кабельной системы; перебои электропитания; сбои дисковых систем; сбои систем архивации данных,
· сбои работы сетевых компонентов (серверов, рабочих станций, сетевых карт и т. д.).
Потери информации из-за некорректной работы программною обеспечения (сбои ПО):
· потеря или изменение данных при ошибках ПО;
· потери при заражении системы компьютерными вирусами.
Потери, связанные с несанкционированным доступом (НСД):
· несанкционированное копирование, уничтожение или подделка информации;
· ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц.
Потери информации, связанные с неправильным хранением архивных данных.
· возникают в нештатных ситуациях, в чрезвычайных условиях и при стихийных бедствиях.
Ошибки обслуживающего персонала и пользователей:
· случайное уничтожение или изменение данных;
· некорректное использование программного или аппаратного обеспечения, ведущего к уничтожению или изменению данных.
Все выше перечисленные особенности по мере своего проявления и обуславливают условия доступности информации по трем направлениям [11]:
возможность получения информации лицами, для которых она не предназначалась;
возможность доступа к информации в результате умышленных или неосторожных действий пользователя информационных ресурсов;
возможности доступа к информации по техническим каналам связи.
Возможный доступ реализуется путем: инициативного сотрудничества, наблюдения, копирования, перехвата, ознакомления, фотографирования, сбора и аналитической обработки информации.
Умышленные или неосторожные действия пользователей: прямое сообщение, передача, предоставление, пересылка, опубликование — также могут привести к возможности доступа.
Классификацию возможных каналов доступа обычно проводят исходя из типа объекта, являющегося основным при получении информации. Различают три типа таких объектов: человек, аппаратура, программа.
К возможным каналам доступа, в которых основным объектом получения информации является человек — относятся:
v приобретение носителей информации;
v чтение информации с экрана монитора;
v чтение распечаток программы.
В группе каналов, в которых основным средством является аппаратура, можно выделить следующие:
· подключение к устройствам компьютера и каналам сетевой связи специальных аппаратных средств, обеспечивающих доступ и перехват информации;
· использование специальных технических средств для отслеживания электромагнитных излучений периферийных устройств компьютера.
К возможным каналам доступа, в которых основным средством является программа принадлежат:
· прямой доступ программы к информации;
· расшифровка программой зашифрованной информации;
· копирование программой информации с носителей.
Кроме того, доступ к информации может быть реализован через технические средства не обрабатывающие непосредственно информацию, но, устанавливаемые совместно с основным оборудованием. К числу такого вспомогательного оборудования относят системы сигнализации, энергоснабжения, кондиционирования.
Последствия несанкционированного доступа к информации:
· утечка персональных данных (сотрудников компании и организаций-партнеров);
· утечка коммерческой тайны и ноу-хау;
· утечка служебной переписки;
· полное либо частичное лишение работоспособности системы безопасности компании.
Таким образом — вскрытие и защита от каналов утечки информации является основной целью системы информационной безопасности.
1.1.7 Общие понятия о мероприятиях по защите информации
Из определения объектов и элементов системы защиты информации непосредственно вытекает состав и содержание мероприятий по обеспечению информационной безопасности. Комплекс организационных, технических и программных мер по защите информации в общем случае включает в себя [7−8]: мероприятия (действия) по предотвращению несанкционированного доступа лиц к устройствам ПЭВМ и коммуникационным каналам; мероприятия по предотвращению несанкционированного внесения изменений в данные и программы обработки данных; мероприятия по предотвращению несанкционированного распространения данных и программ для их обработки.
Предотвращение несанкционированного доступа лиц к устройствам компьютеров и коммуникационным каналам обеспечивается комплексом организационных и технических мер по категорированию объекта, введению пропускного режима, применением аппаратуры зашумления эфира и кодированием информации в каналах связи.
Предотвращение несанкционированного внесения изменений в данные и программы для их обработки обеспечивается комплексом программных мер по разграничению доступа пользователей фирмы, анализу причин возникновения нештатных ситуаций в процессе работы, выявлению и ликвидации последствий «вирусной атаки», ведению протоколов работы пользователей, созданию резервных копий баз данных и программного обеспечения.
Предотвращение несанкционированного распространения информации обеспечивается комплексом организационных, технических и программных мер по исключению возможности изготовления нелегальных копий на компьютерных и других носителях информации и их перемещения за пределы мест дислокации защищаемой системы.
Направления работ по защите информации включают в себя следующий комплекс правовых, организационных, инженерно-технических и иных мероприятий.
Организационные и инженерно - технические мероприятия по защите информации включают в себя [1]:
· Лицензирование деятельности предприятий в области защиты информации.
· Аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности.
· Сертификацию средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам.
· Категорирование предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности.
Защите также подлежат технические средства, не обрабатывающие информацию, но размещенные в помещениях, где информация обрабатывается. К ним относятся системы и средства радиотрансляции, пожарной и охранной сигнализации и т. д.
Специальное обследование — обследование объекта информатизации с целью определения его соответствия требованиям защиты информации. Состоит из следующих видов деятельности.
1.1.8 Методы (способы) и средства защиты информации
Можно выделить следующие методы (способы) и средства защиты информации (таблица 1.2):
1. Организационные методы (способы) и средства защиты информации.
2. Инженерно-технические методы (способы) и средства защиты информации, включающие в себя: физические, аппаратные, программные, криптографические и комбинированные методы (способы) и средства защиты информации.
Таблица 1.2 — Способы защиты информации.
Классы защиты | Способы | |
Физическая защита | Защита кабельных линий Защита системы электропитания Системы архивации Защита дисковой системы Защита от э/м излучения | |
Административная защита | Разработка стратегии и планов безопасности Ограничение доступа к ПЭВМ Работа с кадрами Создание специальных органов ОБИ Разработка планов для чрезвычайных ситуаций | |
Программные и программно-аппаратные средства | Антивирусные программы Системы разграничения доступа Системы контроля доступа Криптографические методы | |
Средство защиты информации — техническое, криптографическое, программное и иное средство, предназначенное для защиты информации, средство, в котором оно реализовано, а также средство контроля эффективности защиты информации.
Организационные методы (способы) защиты информации предполагают регламентацию производственной деятельности и взаимоотношений сотрудников (исполнителей) на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией.
Эти методы (способы) включают в себя: организацию режима и охраны средств (объектов) информатизации; организацию работы с сотрудниками и документами; организацию использования средств (объектов) информатизации, например, СВТ; организацию работы по анализу и оценке внешних и внутренних угроз безопасности информации.
Инженерно-техническая защита информации — это совокупность органов, технических средств и мероприятий, направленных на защиту информации.
Методы (способы) инженерно-технической защиты информации базируются на применении физических, аппаратных, программных и криптографических средств защиты.
Физические средства защиты информации — это методы и устройства, инженерные сооружения, исключающие или существенно затрудняющие проникновение злоумышленников к объектам информатизации (источникам конфиденциальной информации). Эти средства создают преграды на пути движения злоумышленников к объекту защиты информации и включают в себя: системы ограждения и физической изоляции; системы контроля и управления доступом; запирающие устройства и хранилища. К данным средствам относятся системы охраны и охранно-пожарной сигнализации, охранного телевизионного наблюдения, охранного освещения, ограждения и системы физической охраны.
Аппаратные средства защиты информации предназначены для решения следующих задач [1]:
· проведения специального исследования объекта информатизации с целью выявления возможных технических каналов утечки информации;
· выявление каналов утечки информации;
· блокирования (локализации) каналов утечки информации;
· поиска и обнаружения средств шпионажа;
· противодействие несанкционированному доступу к объектам информатизации.
Эти задачи могут быть решены посредством [5]:
· предотвращения утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;
· исключения или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов), устройств измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
· применения устройств для шифрования информации;
· выявления возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств).
Программные средства защиты информации включают в себя [4]:
программные средства собственной защиты, присущие собственно самому программному средству;
программные средства защиты в составе самого объекта информатизации (защиты аппаратуры, жестких дисков и т. п.);
программные средства защиты с запросом информации, требующие для своей работы ввода дополнительной информации с целью идентификации полномочий пользователей;
средства активной защиты, инициируемые при неправильном вводе пароля, указании неправильной даты и времени, при запуске программ, несанкционированном доступе;
средства пассивной защиты, направленные на предостережение, контроль, поиск улик, доказательств в целях неотвратимости раскрытия преступления.
Назначение программных средств защиты [1]:
предотвращение специальных программно-математических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники (далее — СВТ);
идентификацию технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;
определение прав пользователей (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);
контроль работы технических средств и пользователей;
регистрацию работы технических средств и пользователей при обработке информации ограниченного доступа;
уничтожение информации в записывающем устройстве после использования;
сигнализацию при несанкционированных действиях;
вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;
Программные средства обеспечивают выполнение следующих функций защиты информации:
· защита информации (данных) от копирования;
· защита программ от копирования;
· защита информации (данных) от вирусов;
· защита программ от вирусов;
· защита каналов связи.
Виды программных средств защиты информации:
· идентификации файлов, технических средств и аутентификации пользователей;
· регистрации, контроля и идентификации работы технических средств и пользователей;
· разграничения и ограничения доступа пользователей к ресурсам;
· защиты операционных средств ЭВМ, прикладных программ пользователей;
· уничтожение информации;
сигнализации нарушений использования средств информатизации и др.
Программные средства обеспечивают:
· защиту данных и программ;
· сохранение конфиденциальности и целостности данных;
· требуемое качество обработки данных, защиту программ, являющихся коммерческой тайной, наиболее уязвимых для злоумышленника.
Комбинированные средства защиты информации — совокупность аппаратных, программных и криптографических средств защиты информации.
1.2 Обзор деятельности организации
ООО «Минерал» — общество с ограниченной ответственностью является коммерческой организацией. Деятельность общества осуществляется в соответствии с действующим законодательством и Уставом.
Основные направления деятельности общества в соответствии с Уставом:
оптовая и розничная торговля продуктами питания;
торгово-закупочная деятельность;
торгово-посредническая деятельность.
Имущество общества составляют основные и оборотные средства также иные материальные и финансовые ресурсы, создаваемые обществом. Имущество общества принадлежит ему на праве собственности и отражается на его самостоятельном балансе, в том числе имущество, переданное участниками в виде вкладов в капитал.
1.2.1 Состав организации
Организационная структура управления ООО «Минерал» приведена на рисунке 1.3.
Рис. 1.3 Организационная структура управления ООО «Минерал»
Численность персонала ООО «Минерал» по состоянию на 1 января 2013 года составляет 20 человек. ООО «Минерал» имеет Линейно-функциональную структуру организации. Исполнительным и распорядительным органом общества является генеральный директор, который действует на основе единоначалия, руководит всей деятельностью и организует работу общества.
В состав ООО «Минерал» входят следующие структурные единицы:
· Дирекция
Дирекция представлена директором и секретарем
· Бухгалтерия и финансовый отдел (БФО)
Занимается ведением финансово-хозяйственного учета и финансового и экономического состояния предприятия. В бухгалтерию входят 3 человека. Главный бухгалтер (1 чел.) на предприятии подчиняется директору, в подчинении у него находятся бухгалтера и 2 экономиста.
· Кадровая деятельность
Заместитель директора по кадрам (1 чел.) подчиняется генеральному директору и выполняет функции, связанные с персоналом.
· Маркетинговая деятельность
Реализуется маркетологом (1 чел.). Осуществляет разработку рекомендаций по определению сбытовой политики фирмы и продажам в зависимости от имеющихся ресурсов и динамики рынка.
· Юридическая деятельность
Реализуется юристом (1 чел.) Занимается согласованием всех юридических вопросов с внешними организациями
· Отдел снабжения
Включает менеджера по снабжению (1 чел.) и двух товароведов (2 чел.). Отдел связан с решением задач снабжения, закупки и комплектации
· Отдел продаж
Включает старшего менеджера (1 чел.), кладовщиков (2 чел.) и продавцов (4 чел.). Отдел связан с решением задач продаж, складского учета и хранения товаров.
Менеджер по снабжению и старший менеджер подчинены заместителю директора по общим вопросам (1 чел.).
· Отдел ИТ
Представлен администратором (1 чел.) и специалистом (1 чел.). Отдел занимается контролем работы компьютерной сети предприятия, доступом к сети Интернет, а также технической поддержкой программных и аппаратных средств рабочих станций предприятия.
Оперативный, бухгалтерский и статистический учет и отчетность общества осуществляется в порядке, установленном действующим законодательством. Финансовые результаты деятельности общества устанавливаются на основе годового бухгалтерского отчета. Финансовый год общества совпадает с календарным годом. Контроль государственных органов за деятельностью общества осуществляется в порядке, установленном действующим законодательством РФ.
На балансе ООО «Минерал» имеется: два торговых склада и магазин. Развоз товара производится по торговым предприятиям г. Твери и Тверской области.
1.2.2 Анализ инфраструктуры организации
Внутреннее информационное поле объединяет следующую информацию:
· первичные документы;
· данные внутреннего документооборота (бумажного и электронного), включая приказы и распоряжения руководителя;
· данные бухгалтерского учета и другой обязательной отчетности за текущий и прошлые периоды;
1. Информационный поток, обслуживающий движение материального потока. Материальный поток двигается от первичного источника через цепь производственных, транспортных и посреднических звеньев к конечному потребителю. Сопровождается такими документами: договорами, счетами, счет-фактурами, накладными, доверенностями, актами и т. д.
2. Информационный поток, обслуживающий процесс управления. Этот поток обслуживает основные функции управления предприятием: прогнозирование, планирование, организацию, регулирование, координацию, контроль, принятие решений и т. д. Предоставление таких данных в информационную систему — это основная функция бухгалтерского (финансового и управленческого) учета.
Основные информационные потоки предприятия. Можно разделить на следующие блоки [12]:
1. Планирование и бюджетирование (план-прогноз продаж; финансовое планирование: синхронное планирование и оптимизация).
2. Управление сбытом (управление взаимоотношениями с клиентами; ведение реестра договоров на поставку продукции; формирование приказов на отгрузку продукции; управление складом готовой продукции; учет расчетов с покупателями, учет лицевых счетов; электронная коммерция; печать приказов и страховых квитанций).
3. Управление персоналом (нормирование трудозатрат, штатное расписание и кадровый учет; табельный учет; учет «горячего стажа»; подготовка отчетности для ПФР).
4. Бухгалтерский учет (главная книга и баланс; учет основных средств и капвложений: подготовка документации по поступлению, выбытию и перемещению основных средств, расчет амортизационных отчислений, формирование возрастной структуры оборудования; финансовые средства и расчеты: расчет заработной платы, учет кредитов сотрудникам; прочие бухгалтерские операции; подготовка отчетности для ГНИ).
5. Управление финансами и экономический анализ хозяйственной деятельности (калькуляция плановой и фактической себестоимости продукции; формирование и анализ производственной себестоимости продукции по статьям затрат; анализ затрат на 1 рубль товарной продукции, сравнительный анализ плановой и фактической себестоимости; формирование бюджетов и контроль их исполнения; анализ рентабельности).
6. Маркетинг (прогнозирование состояния рынка сбыта готовой продукции; планирование рекламных компаний; прогноз изменения рынков сырья и основных материалов).
7. Подсистема электронного документооборота (контроль исполнения поручений; реестр служебных записок; управление нормативно-технической документацией; договора на поставку продукции, на снабжение).
8. Служебное администрирование и управление политикой безопасности (управление доступом: настройка полномочий пользователей, организация пользовательских групп, ограничение доступа к данным; поддержание логической и физической целостности данных системы; операционный мониторинг действий пользователей
Организационная инфраструктура фирмы приведена на рисунке 1.4.
Рисунок 1.4 Организационная инфраструктура предприятия
Все компьютеры инфраструктуры объединены в единую корпоративную сеть. На рисунке в блоках отмечено количество компьютеров для каждого отдела. Инфраструктура расположена в одном здании на двух этажах.
На рисунке 1.5 изображена схема корпоративной сети ООО «Минерал» — коммуникационная система, принадлежащая и управляемая единой организацией в соответствии с правилами этой организации. Корпоративная сеть отличается от других структур тем, что правила распределения адресов, работы с ресурсами едины для всей корпоративной сети.