Реферат: Проектирование системы информационной безопасности

/>/>/>/>/>Введение

Насовременном этапе развития нашего общества многие традиционные ресурсычеловеческого прогресса постепенно утрачивают свое первоначальное значение. Насмену им приходит новый ресурс, единственный продукт не убывающий, а растущийсо временем, называемый информацией. Информация становится сегодня главнымресурсом научно-технического и социально-экономического развития мировогосообщества. Чем больше и быстрее внедряется качественной информации в народноехозяйство и специальные приложения, тем выше жизненный уровень народа,экономический, оборонный и политический потенциал страны.

Внастоящее время хорошо налаженная распределенная сеть информационно-вычислительныхкомплексов способна сыграть такую же роль в общественной жизни, какую в своевремя сыграли электрификация, телефонизация, радио и телевидение вместе взятые.Ярким примером этому стало развитие глобальной сети Internet.Уже принято говорить о новом витке в развитии общественной формации — информационном обществе.

Любаяпредпринимательская деятельность тесно связана с получением, накоплением,хранением, обработкой и использованием разнообразных информационных потоков.Целостность современного мира как сообщества обеспечивается, в основном, засчет интенсивного информационного обмена. Приостановка глобальныхинформационных потоков даже на короткое время способно привести к не меньшемукризису, чем разрыв межгосударственных экономических отношений. Поэтому в новыхрыночно-конкурентных условиях возникает масса проблем, связанных не только собеспечением сохранности коммерческой (предпринимательской) информации как видаинтеллектуальной собственности, но и физических и юридических лиц, ихимущественной собственности и личной безопасности.

Учитывая известный афоризм «цельоправдывает средства», информация представляет определенную цену. И поэтому самфакт получения информации злоумышленником приносит ему определенный доход,ослабляя тем самым возможности конкурента. Отсюда главная цель злоумышленника — получение информации о составе, состоянии и деятельности объекта конфиденциальныхинтересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворениясвоих информационных потребностей. Возможно в корыстных целях и внесениеопределенных изменений в состав информации, циркулирующей на объекте конфиденциальныхинтересов. Такое действие может привести к дезинформации по определенным сферамдеятельности, учетным данным, результатам решения некоторых задач. Болееопасной целью является уничтожение накопленных информационных массивов в документальнойили магнитной форме и программных продуктов. В связи с этим все большеезначение приобретает организация эффективной системы информационнойбезопасности.

Информационной безопасностью называют мерыпо защите информации от неавторизованного доступа, разрушения, модификации,раскрытия и задержек в доступе. Информационная безопасность включает в себямеры по защите процессов создания данных, их ввода, обработки и вывода. Цельюинформационной безопасности является обезопасить ценности системы, защитить игарантировать точность и целостность информации, и минимизировать разрушения,которые могут иметь место, если информация будет модифицирована или разрушена.Информационная безопасность требует учета всех событий, в ходе которыхинформация создается, модифицируется, к ней обеспечивается доступ или онараспространяется.

Целью данной курсовой работыявляется обеспечение защиты данных в информационной системе предприятия ОООмагазин «Стиль».

Исходя из поставленной цели,необходимо решить следующие задачи:

1.        Обследоватьсуществующую инфраструктуру ООО магазин «Стиль» и определитьисходные данные для проектирования системы ИБ;

2.        Определить минимальные требования на основе потребностей вИБ;

3.        Разработать концепцию ИБ;

4.        Проанализировать риски;

5.        Разработать политику ИБ и выбрать решения по обеспечении политикиИБ;

6.        Разработать систему информационной безопасности.

/>/>/>/>1. Обследованиесуществующей инфраструктуры и определение исходныхданных для проектирования системы ИБ/>/>/>/>1.1 Организационнаяструктура

Полное фирменное наименование: Обществос ограниченной ответственностью магазин «Стиль».

Сокращенное наименование: ОООмагазин «Стиль».

Орган, осуществившийгосударственную регистрацию: Росстат Территориальный орган Федеральной службыГосударственной статистики по Омской области (ОмскСтат).

Дата государственной регистрациикомпании: 03.03.1999 г. Номер свидетельства о государственной регистрации: ОГРН– 1046182528418.

Адрес места нахождения: 644010, Россия,Омская область, г. Омск, ул. Ленинградская площадь 1.

Юридический адрес: 644010, Россия,Омская область, г. Омск, ул. Ленинградская площадь 1.

Почтовый адрес: 644010, Россия,Омская область, г. Омск, ул. Ленинградская площадь 1.

Тел.: (3812) 58–07–79;

Руководство: Генеральный директор –Узкова Лариса Александровна.

ОООмагазин «Стиль» осуществляет розничную продажу одежды иобуви. Основной целью организации, как полностью коммерческого предприятия,состоит в получении прибыли от своей деятельности и максимально длительный срокоставаться на рынке, стремясь расширять свой ассортимент и рынок сбыта.

Предприятие работает с множествомразличных поставщиков. Заказ товара происходит по телефону. Оплата товарапоставщикам осуществляется путем безналичного расчета платежным поручением.

Процесс продаж происходит следующимобразом: клиент покупает необходимые комплектующие в розницу через розничныймагазин предприятия. Расчет производится наличными деньгами через кассу. Всеобслуживание клиентов осуществляется продавцами розничного магазина.

Бухгалтерскую документацию ведут бухгалтера. Они также занимаются сдачейрегулярных отчетов в налоговую службу.

/>/>/>1.2 Состав ивыполняемые функции должностных лиц

Персонал предприятия:

ü  директор – осуществляет непосредственноеруководство процессами организации, производит безналичные расчеты споставщиками и покупателями, производит анализ прошлых продаж и принимаетзаявки от менеджера на заказ товаров, на основе анализа и заявок производитзаказ необходимых товаров у поставщиков, ищет возможности для расширенияассортимента;

ü  менеджер – передаёт директору заявки назаказ товаров у поставщиков;

ü  продавцы – производят розничную реализацию вторговом зале, после продажи товаров делают отметки в базе данных о количествереализованной продукции, являются ответственным за хранение комплектующих;

ü  системный администратор – осуществляетнастройку и установку оборудования, занимается устранением неполадок с ПО икомпьютерным оборудованием, следит за работоспособностью компьютеров ипериферийного оборудования.

ü  БухгалтерияООО магазин «Стиль» осуществляет сплошное, непрерывное, взаимосвязанное, документальноеотражение хозяйственной деятельности данного предприятия.

Функции данного отдела организациивозлагаются на соответствующие должностные лица (бухгалтеров), которыепроизводят учет, необходимый для характеристики отдельных сторон деятельностикомпании. Указанные должностные лица несут ответственность за правильное и своевременноеоформление хозяйственных операций, а также обеспечивают сохранность и учетденежных средств, циркулирующих в процессе осуществления хозяйственнойдеятельности организации.

С бухгалтерами заключаются договорыо полной материальной ответственности в соответствии с законодательством РФ.

Организационная структура предприятия в виде графической схемыпредставлена на рисунке 1.

/>/>Рисунок 1.Организационная структура ООО магазин «Стиль»

/>/>/> 1.3 Состав и назначение аппаратных и программных средств

ЛВС бухгалтерии ОООмагазин «Стиль» создана с учетомединых концептуальных положений, лежащих в основе построения современныхвычислительных сетей связи. Основу таких положений в первую очередь составляетиспользование общих принципов построения и однородного активного сетевогооборудования.

Сетевая структура ЛВС компаниисодержит несколько выраженных иерархических уровней. ЛВС бухгалтериипредставляет фрагмент корпоративной сети, данный фрагмент сети состоит из нескольких сегментов, подключенных к магистралиболее высокого уровня и осуществляющих доступ информационным ресурсам сети.ЛВС построена на базе стандарта Ethernet10/100 Base-T.

Стандарт Ethernet10/100 Base-Tподходит для работы с различными операционными системами и сетевымоборудованием. Применение этого стандарта позволяет простыми методами добитьсястабильной работы сети.

Для построения сети необходимовыбрать кабель, от качества и характеристик которого во многом зависит качествоработы сети. В данном случае использована неэкранированная витая пара категории5.

Конфигурация сети представлена втаблице 1.

Таблица 1

Компонент/характеристика Реализация Топология Звезда Линия связи Неэкранированная витая пара категории 5 Сетевые адаптеры Ethernet 10/100 Base-T Коммуникационное оборудование Коммутатор Ethernet 10/100 Base-T Совместное использование периферийных устройств Подключение сетевых принтеров через компьютеры к сетевому кабелю. Управление очередями к принтерам осуществляется с помощью программного обеспечения компьютеров. Поддерживаемые приложения Организация коллективной работы в среде электронного документооборота, работа с базой данных.

При выборе сетевых компонентов необходимо придерживаться следующихобщих требований:

·         компьютеры должны обладать хорошим быстродействием, чтобыобеспечить работу всех сетевых служб и приложений в реальном времени беззаметного замедления работы;

·         жесткие диски компьютеров должны быть максимально надежными длятого, чтобы обеспечить безопасность и целостность хранимых данных;

·         сетевые принтеры должны устанавливаться в зависимости отместоположения пользователей, активно их использующих;

·         коммутатор, являющийся центральным устройством данной сети,необходимо располагать в легкодоступном месте, чтобы можно было без проблем подключатькабели и следить за индикацией.

Перечисленные требования определилиследующую конфигурацию сетевых компонентов: все компьютеры сети на базепроцессора IntelPentium 4, в качестве сетевогопринтера выбрано многофункциональное устройство (лазерное), поскольку они имеютнаибольший ресурс и малые затраты на расходные материалы.

Конфигурациярабочих станций приведена в таблице 3.

Таблица 3

Наименование товара Количество, шт. Материнская плата MSI 945G Neo2-F (i945G, LGA775, Dual DDRII-667, Video, LAN, ATX) 3 Процессор Intel Celeron D 346 (3,06 Ghz, LGA775, EM64T) 3 Оперативная память Transcend DIMM 512MB DDRII-533 3 Жесткий диск Seagate Barracuda 7200.9 ST3120814A 120,0Gb (U-ATA, 7200 rpm) 3 Корпус InWin S523T (MidiTower, ATX, USB, 350Вт, Fan, белый) 3 Монитор NEC (LCD) AccuSync 73V (17", 1280x1024, 500:1) 3 Мышь Genius NetScroll Eye Mouse (оптика, PS/2) 3 Клавиатура Logitech Value Keyboard (PS/2) 3

Конфигурациясетевого оборудования приведена в таблице 4.

Таблица 4

Наименование товара Количество Коммутатор D-Link DES-1016D (UTP, 16 x 10/100) 1 шт. Кабель UTP (Alcatel, категория 5) 40 м. Коннектор RJ-45 (категория 5) 6 шт.

Конфигурацияпериферийного оборудования приведена в таблице 5.

Таблица 5

Наименование товара Количество, шт. Принтер Hewlett Packard LaserJet P2015 (A4, 1200dpi, 26 ppm, 32Mb, USB 2.0) 1

Конфигурацияпрограммного обеспечения приведена в таблице 6.

Таблица 6

Наименование товара Количество, шт. Windows Server 2003 Std Russian R2 (OEM) 1 Windows XP Professional Russian SP2 (OEM) 3 Office 2003 Standart Edition Russian SP2 (Коробка) 3 1С: Бухгалтерия 7.7 1 Лицензия на 10 доп. рабочих мест для «1С: Бухгалтерия 7.7» 1 Лицензия на сервер для «1С: Бухгалтерия 7.7» 1 Kaspersky Enterprise Space Security 1

Таким образом, с помощьюпрограммных и аппаратных средств в бухгалтерии ООО магазин «Стиль» решаютсяследующие задачи:

1.                      Организацияобщедоступной базы данных с помощью бухгалтерской программы «1С: Бухгалтерия7.7».

2.                      Совместнаяобработка информации пользователями.

3.                      Централизованноерезервное копирование всех данных.

4.                      Контрольза доступом к данным.

5.                      Совместноеиспользование оборудования и программного обеспечения.

План помещения показан на рис. 2.

/>

Рисунок 2. План помещения ОООмагазин «Стиль»

/>/>/>1.4 Основные цели защиты информации напредприятии

Формулирование целей и задач защитыинформации, как любой другой деятельности, представляет начальный и значимыйэтап обеспечения безопасности информации. Важность этого этапа частонедооценивается и ограничивается целями и задачами, напоминающими лозунги. В тоже время специалисты в области системного анализа считают, что от четкости иконкретности целей и постановок задач во многом зависит успех в их достижении ирешении. Провал многих, в принципе полезных, начинаний обусловлен именнонеопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, чтои за счет какого ресурса предполагает решать продекларированные задачи.

Цели защиты информациисформулированы в ст. 20 Закона РФ «Об информации, информатизации и защитеинформации»:

ü  предотвращениеутечки, хищения, искажения, подделки информации;

ü  предотвращениеугроз безопасности личности, общества, государства;

ü  предотвращениенесанкционированных действий по уничтожению, модификации, копированию,блокированию информации, предотвращение других форм незаконного вмешательства винформационные ресурсы и информационные системы, обеспечение правового режимакак объекта собственности;

ü  защитаконституционных прав граждан по сохранению личной тайны, конфиденциальностиперсональных данных, имеющихся в информационных системах;

ü  сохранениегосударственной тайны, конфиденциальности документированной информации всоответствии с законодательством;

ü  обеспечениеправ субъектов в информационных процессах и при разработке, производстве иприменении информационных систем, технологии и средств их обеспечения.

В общем виде цель защиты информацииопределяется как обеспечение безопасности информации, содержащейгосударственную или иные тайны. Но такая постановка цели содержитнеопределенные понятия: информация и безопасность.

Основной целью защиты информацииявляется обеспечение заданного уровня ее безопасности. Под заданным уровнембезопасности информации понимается такое состояние защищенности информации отугроз, при которых обеспечивается допустимый риск ее уничтожения, изменения ихищения. При этом под уничтожением информации понимается не только еефизическое уничтожение, но и стойкое блокирование санкционированного доступа кней. В общем случае при блокировке информации в результате неисправности замкаили утери ключа сейфа, забытия пароля компьютера, искажения кода загрузочногосектора винчестера или дискетки и других факторах информация не искажается и непохищается и при определенных усилиях доступ к ней может быть восстановлен.Следовательно, блокирование информации прямой угрозы ее безопасности несоздает. Однако при невозможности доступа к ней в нужный момент ее пользовательтеряет информацию так же, как если бы она была уничтожена.

/>/>/>1.5 Перечень конфиденциальной информации иинформации, составляющей коммерческую тайну

Коммерческая тайна − формаобеспечения безопасности наиболее важной коммерческой информации, предлагающаяограничение ее распространения. С правовой точки зрения, коммерческая тайнапредприятия представляет собой средство защиты против недобросовестной конкуренциив рамках реализации права на интеллектуальную собственность.

Перечень сведений, составляющихкоммерческую тайну предприятия:

1.        Производство

1.1.  Сведенияо структуре производства, производственных мощностях, типе и размещенииоборудования, запасах сырья, материалов, комплектующих и готовой продукции.

2. Управление

2.1. Сведения о применяемыхоригинальных методах управления предприятием.

2.2. Сведения о подготовке,принятии и исполнении отдельных решений руководства предприятия покоммерческим, организационным, производственным, научно-техническим и инымвопросам.

3. Планы

3.1. Сведения о планах расширенияили свертывания производства различных видов продукции и ихтехнико-экономических обоснованиях.  3.2.Сведения о планах инвестиций, закупок,продаж.  4. Совещания

4.1. Сведения о фактах проведения,целях, предмете и результатах совещаний и заседаний органов управленияпредприятия.  5. Финансы

5.1. Сведения о балансахпредприятия.

5.2. Сведения, содержащиеся вбухгалтерских книгах предприятия.  5.3. Сведения о кругообороте средствпредприятия.

5.4. Сведения о финансовыхоперациях предприятия.

5.5. Сведения о состояниибанковских счетов предприятия и производимых операциях.

5.6. Сведения об уровне доходовпредприятия.

5.7. Сведения о долговыхобязательствах предприятия.

5.8. Сведения о состоянии кредитапредприятия (пассивы и активы). 6. Рынок

6.1. Сведения о применяемыхпредприятием оригинальных методах изучения рынка.

6.2. Сведения о результатахизучения рынка, содержащие оценку состояния и перспектив развития рыночнойконъюнктуры.

6.3. Сведения о рыночной стратегиипредприятия.

6.4. Сведения о применяемыхпредприятием оригинальных методах осуществления продаж.

6.5. Сведения об эффективностикоммерческой деятельности предприятия.  7. Партнеры

7.1. Систематизированные сведения овнутренних и зарубежных заказчиках, подрядчиках, поставщиках, потребителях,покупателях, компаньонах, спонсорах, посредниках, клиентах и других партнерах деловыхотношений предприятия, а также о его конкурентах, которые не содержатся воткрытых источниках (справочниках, каталогах и др.).

8. Переговоры

8.1. Сведения о подготовке ирезультатах проведения переговоров с деловыми партнерами предприятия.

9. Контракты

9.1. Сведения, условияконфиденциальности которых установлены в договорах, контрактах, соглашениях идругих обязательствах предприятия.  10. Цены

10.1. Сведения о методах расчета,структуре, уровне цен на продукцию и размерах скидок.

11. Торги, аукционы

11.1. Сведения о подготовке кторгам или аукциону и их результатах.  12. Наука и техника

12.1. Сведения о целях, задачах,программах перспективных научных исследований.

12.2. Ключевые идеи НИР.

12.3. Точные значения конструкционныххарактеристик создаваемых изделий и оптимальных параметров разрабатываемыхтехнологических процессов (размеры, объемы, конфигурация, процентное содержаниекомпонентов, температура, давление, время и т.д.).

12.4. Аналитические и графическиезависимости, отражающие найденные закономерности и взаимосвязи.

12.5. Данные об условияхэкспериментов и оборудования, на котором они проводились.

12.6. Сведения о материалах, изкоторых изготовлены отдельные детали.

12.7. Сведения об особенностяхконструкторско-технологического, художественно-технического решения изделия,дающие положительный экономический эффект.

12.8. Сведения о методах защиты отподделки товарных знаков.

12.9. Сведения о состояниипрограммного и компьютерного обеспечения.  13. Технология

13.1. Сведения об особенностяхиспользуемых и разрабатываемых технологий и специфике их применения.

14. Безопасность

14.1. Сведения о порядке исостоянии организации защиты коммерческой тайны.

14.2. Сведения, составляющиекоммерческую тайну предприятий-партнеров и переданные на доверительной основе.

Правильная организацияконфиденциального делопроизводства в фирме является составной частьюкомплексного обеспечения безопасности информации и имеет важное значение вдостижении цели ее защиты. Как известно, специалисты, занимающиеся в областиинформационной безопасности утверждают, что порядка 80% конфиденциальнойинформации находится в документах делопроизводства. Поэтому вопросыконфиденциального документооборота в фирме несомненно играют важную роль вдостижении ею экономических успехов.

А, следовательно, и документы,содержащие ту или иную информацию подразделяются на секретные иконфиденциальные. Причем, секретные документы могут быть с грифом«Секретно», «Совершенно секретно», «Особойважности». Конфиденциальные документы соответственно с грифами«Коммерческая тайна», «Банковская тайна» и т.д. В настоящеевремя видов конфиденциальной информации (а, следовательно, и возможныхгрифованных документов) насчитывается более 30. Что в целом не создаетблагоприятной атмосферы в смысле обеспечения их безопасности. По этой причинеколичество видов конфиденциальной информации в перспективе надо полагатьуменьшится.

/>ИT-ресурсыООО магазин «Стиль» делятся на три группы:

1.  Информация, являющаяся коммерческой тайной.

2.        Конфиденциальная информация.

3.        Информацияобщего доступа.

Сведения, относящиеся к эти трем группам, сроки действия и условия прекращений ограничений на доступ, а также ограничительный гриф приведены в табл. 8.

 

Таблица 8

Перечень сведений, составляющих коммерческую тайну ООО «Стиль»

№

п/п

Наименование сведений Срок действия, условия прекращения ограничений на доступ Ограничительный гриф

 

1. Сведения делового характера

 

1.1 Информация о номерах домашних телефонов и адресах работников и членов их семей. Местонахождение руководителей, учредителей и членов их семей. Конфликтные ситуации и другие внутренние отношения Постоянно Коммерческая тайна

 

1.2 Учредительные документы ООО «Стиль» Постоянно Конфиденциально

 

1.3 Информация, раскрывающая детальные планы капитальных вложений в развитие предприятия. Перспективные и текущие планы развития и роста ООО «Стиль» До реализации планов Коммерческая тайна

 

1.5 Планы и методы продвижения услуг на рынок, планируемые новые рынки и услуги До момента реализации планов Коммерческая тайна

 

1.7 Информация об участии (подготовке) компании в торгах и аукционах До момента завершения торгов Коммерческая тайна

 

2. Информация по организационно-правовым вопросам

 

2.1 Информация по делам, рассматриваемым в судах, разглашение которой может нанести ущерб интересам компании До потери актуальности Коммерческая тайна

 

2.2 Информация, на конфиденциальности которой настаивает хотя бы одна из договаривающихся сторон До принятия согласованного решения об их раскрытии Коммерческая тайна

 

3. Информация по вопросам торгово-экономических отношений

 

3.2 Номенклатура и количество услуг по взаимным обязательствам До потери актуальности Информация общего доступа 4. Информация по финансово-хозяйственным вопросам 4.1 Сведения об открытых расчетных и иных счетах, в том числе и в иностранной валюте), о движении средств по эти счетам, о имеющихся вкладах. Операции по банковским счетам Постоянно Конфиденциально 4.2 Информация об особых сделках или условиях платежа по бартерным операциям, об условиях компенсационных сделок 3 года Конфиденциально 4.3 Данные о состоянии дебиторской задолженности, а также о заключенных договорах и соглашениях До принятия решения об их раскрытии Конфиденциально 4.4 Акты комплексных проверок финансово-хозяйственной деятельности ООО «Стиль» (кроме заключений ревизионной комиссии и аудитора) Постоянно Конфиденциально 4.5 Информация об условиях проведения зачетов и вексельных операций по дебиторской и кредиторской задолженностям 3 года Конфиденциально 4.6 Информация об эффективности сделок, договоров 1 год после прекращения действия договора Информация общего доступа 4.7 ИНН, документы об уплате налогов и обязательных платежах Постоянно Конфиденциально 4.8 Акты проверки финансово-хозяйственной деятельности региональных филиалов и компании в целом, проведенные специалистами по аудиту Постоянно Конфиденциальнона /> /> /> /> /> /> /> /> /> /> /> 5. Информация о производственной деятельности 5.1 Штатное расписание Постоянно Информация общего доступа 5.2 Сведения об обработанных и необработанных заказах Постоянно Информация общего доступа 5.3 Разрабатываемые проекты по автоматизации предприятий и бизнес-процессов Постоянно Коммерческая тайна 5.4 Консалтинговые услуги: постановка управленческого учета на предприятии, внедрение систем бюджетирования Постоянно Коммерческая тайна 6. По вопросам обеспечения безопасности 6.1 Информация об организации и состоянии физической охраны административного здания ООО «Стиль», пропускном режиме, установленных системах сигнализации и видеонаблюдения До потери актуальности Конфиденциально /> /> /> /> /> 6.2 Информация, раскрывающая организацию, средства и методы обеспечения безопасности ООО «Стиль» Постоянно Конфиденциально 6.3 Информация о защищаемых информационных ресурсах Постоянно Конфиденциально 6.4 Базы данных ООО «Стиль» Постоянно Конфиденциально 6.5 Информация о детальной структуре корпоративной сети Постоянно Конфиденциально 6.7 Сведения о системе разграничения доступа к информации, правах пользователей, ограничениях на использование информационных ресурсов На период действия Конфиденциально 7. По организационно-управленческой деятельности 7.1 Условия индивидуальных трудовых договоров с работниками и руководителями ООО «Стиль» Постоянно Конфиденциально /> /> /> /> /> 7.2 Информация о персональных данных работников ООО «Стиль», внесенная в личные дела, а также информация об условиях оплаты труда и премирования Постоянно Конфиденциально 7.3 Информация о персональных данных работников ООО «Стиль», индивидуальных размерах оплаты труда, предоставляемые для проведения актуарных расчетов по негосударственному пенсионному обеспечению Постоянно Конфиденциально />/>/> 
2. Предпроектное обследование информационной безопасностиотдела бухгалтерии ООО магазин «Стиль»/>/>/> 2.1 Информационная безопасность в вычислительной сети/>/>/> 2.1.1 Классификация угроз безопасности информации

Под угрозой безопасности информациив компьютерной сети (КС) понимают событие или действие, которое может вызватьизменение функционирования КС, связанное с нарушением защищенностиобрабатываемой в ней информации.

/>/>/>Уязвимость информации — это возможностьвозникновения такого состояния, при котором создаются условия для реализацииугроз безопасности информации./>/>/>Атакой на КС называют действие,предпринимаемое нарушителем, которое заключается в поиске и использовании тойили иной уязвимости. Иначе говоря, атака на КС является реализацией угрозыбезопасности информации в ней./>/>/>Проблемы, возникающие с безопасностьюпередачи информации при работе в компьютерных сетях, можно разделить на триосновных типа:/>/>/>-    перехватинформации – целостность информации сохраняется, но её конфиденциальность нарушена;/>/>/>-    модификацияинформации – исходное сообщение изменяется либо полностью подменяется другим иотсылается адресату;/>/>/>-    подменаавторства информации. Данная проблема может иметь серьёзные последствия.Например, кто-то может послать письмо от чужого имени (этот вид обмана принятоназывать спуфингом) или Web – сервер может притворяться электронныммагазином, принимать заказы, номера кредитных карт, но не высылать никакихтоваров./>/>/>Специфика компьютерных сетей, с точкизрения их уязвимости, связана в основном с наличием интенсивногоинформационного взаимодействия между территориально разнесенными и разнородными(разнотипными) элементами./>/>/>Уязвимыми являются буквально все основныеструктурно-функциональные элементы КС: рабочие станции, серверы (Host-машины),межсетевые мосты (шлюзы, центры коммутации), каналы связи и т.д./>/>/>Известно большое количество разноплановыхугроз безопасности информации различного происхождения. В литературевстречается множество разнообразных классификаций, где в качестве критериевделения используются виды порождаемых опасностей, степень злого умысла,источники появления угроз и т.д. Одна из самых простых классификаций приведенана рис. 3.

/>/>/> 

/>

/>/>/> 

Рис. 3. Общая классификация угроз безопасности

/>/>/> 

Естественные угрозы — это угрозы, вызванные воздействиями наКС и ее элементы объективных физических процессов или стихийных природных явлений,независящих от человека.

/>/>/>Искусственные угрозы — это угрозы КС,вызванные деятельностью человека. Среди них, исходя из мотивации действий,можно выделить:

/>/>/>непреднамеренные (неумышленные,случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов,ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

/>/>/>преднамеренные (умышленные) угрозы,связанные с корыстными устремлениями людей (злоумышленников).

/>/>/>Источники угроз по отношению к КСмогут быть внешними или внутренними (компоненты самой КС — ее аппаратура,программы, персонал).

/>/>/>Анализ негативных последствийреализации угроз предполагает обязательную идентификацию возможных источниковугроз, уязвимостей, способствующих их проявлению и методов реализации. И тогдацепочка вырастает в схему, представленную на рис. 4.

/>

/>/>/>Рис. 4. Модель реализации угрозинформационной безопасности

/>/>/> 

Угрозы классифицируются по возможности нанесения ущербасубъекту отношений при нарушении целей. Ущерб может быть причинен каким-либосубъектом (преступление, вина или небрежность), а также стать следствием, независящим от субъекта проявлений. Угроз не так уж и много. При обеспеченииконфиденциальности информации это может быть хищение (копирование) информации исредств ее обработки, а также ее утрата (неумышленная потеря, утечка). Приобеспечении целостности информации список угроз таков: модификация (искажение)информации; отрицание подлинности информации; навязывание ложной информации.При обеспечении доступности информации возможно ее блокирование, либоуничтожение самой информации и средств ее обработки.

/>/>/>Все источники угроз можно разделитьна классы, обусловленные типом носителя, а классы на группы по местоположению(рис. 5а). Уязвимости также можно разделить на классы по принадлежности кисточнику уязвимостей, а классы на группы и подгруппы по проявлениям (рис. 5б).Методы реализации можно разделить на группы по способам реализации (рис. 5в).При этом необходимо учитывать, что само понятие «метод», применимо только прирассмотрении реализации угроз антропогенными источниками. Для техногенных истихийных источников это понятие трансформируется в понятие «предпосылка».

/>/>/>/>

/>/>/>Рис. 5. Структура классификаций: а)«Источники угроз»; б) «Уязвимости»; в) «Методы реализации»

/>/>/>Классификация возможностей реализацииугроз (атак), представляет собой совокупность возможных вариантов действийисточника угроз определенными методами реализации с использованием уязвимостей,которые приводят к реализации целей атаки. Цель атаки может не совпадать сцелью реализации угроз и может быть направлена на получение промежуточногорезультата, необходимого для достижения в дальнейшем реализации угрозы. Вслучае такого несовпадения атака рассматривается как этап подготовки ксовершению действий, направленных на реализацию угрозы, т.е. как «подготовка ксовершению» противоправного действия. Результатом атаки являются последствия,которые являются реализацией угрозы и/или способствуют такой реализации.

/>/>/>Исходными данными для проведенияоценки и анализа угроз безопасности при работе в сети служат результатыанкетирования субъектов отношений, направленные на уяснение направленности ихдеятельности, предполагаемых приоритетов целей безопасности, задач, решаемых всети и условий расположения и эксплуатации сети.

/>/>/>/>/>/> 

/>/>/>2.1.2 Наиболее распространенныеугрозы

/>/>/>Самыми частыми и самыми опасными (сточки зрения размера ущерба) являются непреднамеренные ошибки штатныхпользователей, операторов, системных администраторов и других лиц,обслуживающих компьютерную сеть.

/>/>/>Иногда такие ошибки и являютсясобственно угрозами (неправильно введенные данные или ошибка в программе,вызвавшая крах системы), иногда они создают уязвимые места, которыми могутвоспользоваться злоумышленники (таковы обычно ошибки администрирования). Понекоторым данным, до 65% потерь — следствие непреднамеренных ошибок.

/>/>/>Пожары и наводнения не приносятстолько бед, сколько безграмотность и небрежность в работе.

/>/>/>Очевидно, самый радикальный способборьбы с непреднамеренными ошибками — максимальная автоматизация и строгийконтроль.

/>/>/>Другие угрозы доступности можноклассифицировать по компонентам КС, на которые нацелены угрозы:

/>/>/>отказ пользователей;

/>/>/>внутренний отказ сети;

/>/>/>отказ поддерживающей инфраструктуры.

/>/>/>Обычно применительно к пользователямрассматриваются следующие угрозы:

/>/>/>нежелание работать с информационнойсистемой (чаще всего проявляется при необходимости осваивать новые возможностии при расхождении между запросами пользователей и фактическими возможностями итехническими характеристиками);

/>/>/>невозможность работать с системой всилу отсутствия соответствующей подготовки (недостаток общей компьютернойграмотности, неумение интерпретировать диагностические сообщения, неумениеработать с документацией и т.п.);

/>/>/>невозможность работать с системой всилу отсутствия технической поддержки (неполнота документации, недостатоксправочной информации и т.п.).

/>/>/>Основными источниками внутреннихотказов являются:

/>/>/>отступление (случайное илиумышленное) от установленных правил эксплуатации;

/>/>/>выход системы из штатного режимаэксплуатации в силу случайных или преднамеренных действий пользователей илиобслуживающего персонала (превышение расчетного числа запросов, чрезмерныйобъем обрабатываемой информации и т.п.);

/>/>/>ошибки при (пере)конфигурированиисистемы;

/>/>/>отказы программного и аппаратногообеспечения;

/>/>/>разрушение данных;

/>/>/>разрушение или повреждение аппаратуры.

/>/>/>По отношению к поддерживающейинфраструктуре рекомендуется рассматривать следующие угрозы:

/>/>/>нарушение работы (случайное или умышленное)систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;

/>/>/>разрушение или повреждение помещений;

/>/>/>невозможность или нежеланиеобслуживающего персонала и/или пользователей выполнять свои обязанности(гражданские беспорядки, аварии на транспорте, террористический акт или его угроза,забастовка и т.п.).

/>/>/>Весьма опасны так называемые «обиженные»сотрудники — нынешние и бывшие. Как правило, они стремятся нанести вредорганизации — «обидчику», например:

/>/>/>испортить оборудование;

/>/>/>встроить логическую бомбу, которая современем разрушит программы и/или данные;

/>/>/>удалить данные.

/>/>/>Обиженные сотрудники, даже бывшие, знакомы с порядками ворганизации и способны нанести немалый ущерб. Необходимо следить за тем, чтобыпри увольнении сотрудника его права доступа (логического и физического) к информационнымресурсам аннулировались.

/>/>/>2.1.3 Вредоносное программноеобеспечение

/>/>/>Одним из опаснейших способовпроведения атак является внедрение в атакуемые системы вредоносногопрограммного обеспечения.

/>/>/>Выделяют следующие аспекты вредоносногоПО:

/>/>/>вредоносная функция;

/>/>/>способ распространения;

/>/>/>внешнее представление.

/>/>/>/>/>Часть,осуществляющая разрушительную функцию, предназначается для:

/>/>/>внедрения другого вредоносного ПО;

/>/>/>получения контроля над атакуемойсистемой;

/>/>/>агрессивного потребления ресурсов;

/>/>/>изменения или разрушения программи/или данных.

/>/>/>По механизму распространенияразличают:

/>/>/>/>/>вирусы — код, обладающий способностью краспространению (возможно, с изменениями) путем внедрения в другие программы;

/>/>/>/>/>«черви» — код, способный самостоятельно, тоесть без внедрения в другие программы, вызывать распространение своих копий посети и их выполнение (для активизации вируса требуется запуск зараженнойпрограммы).

/>/>/>Вирусы обычно распространяются локально, впределах узла сети; для передачи по сети им требуется внешняя помощь, такая какпересылка зараженного файла. «Черви», напротив, ориентированы впервую очередь на путешествия по сети.

/>/>/>Иногда само распространение вредоносногоПО вызывает агрессивное потребление ресурсов и, следовательно, являетсявредоносной функцией. Например, «черви» «съедают» полосупропускания сети и ресурсы почтовых систем.

/>/>/>Вредоносный код, который выглядит какфункционально полезная программа, называется троянским. Например, обычнаяпрограмма, будучи пораженной вирусом, становится троянской; порой троянскиепрограммы изготавливают вручную и подсовывают доверчивым пользователям вкакой-либо привлекательной упаковке (обычно при посещении файлообменных сетейили игровых и развлекательных сайтов).

/>/>/>2.2 Разработка концепции ИБ/>/>/>2.2.1 Цели и задачи информационнойбезопасности

Режим информационной безопасности –это комплекс организационных и программно-технических мер, которые должныобеспечивать следующие параметры:

·       доступностьи целостность информации;

·       конфиденциальностьинформации;

·       невозможностьотказа от совершенных действий;

·       аутентичностьэлектронных документов.

Цель информационной безопасности — обеспечитьбесперебойную работу организации и свести к минимуму ущерб от событий, таящихугрозу />безопасности, посредством их предотвращения исведения последствий к минимуму.

К задачам информационнойбезопасности бухгалтерии ООО магазин «Стиль» относится:

·       объективнаяоценка текущего состояния информационной безопасности;

·       обеспечениезащиты и надежного функционирования прикладных информационных сервисов;

·       обеспечениебезопасного доступа в Интернет с защитой от вирусных атак и спама;

·       защитасистемы электронного документооборота;

·       организациязащищенного информационного взаимодействия с территориально удаленными офисамии мобильными пользователями;

·       получениезащищенного доступа к информационной системе организации;

·       обеспечениецелостности и доступности информации;

·       предотвращениенекорректного изменения и модификации данных.

/>/>/>/>2.2.2 Общиенаправления информационной безопасности

Проблема обеспечения необходимого уровня защиты информации – весьма сложная задача, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации.

В рамках комплексного подхода квнедрению системы безопасности для бухгалтерии ООО «Стиль» можно выделитьследующие общие направления:

·         внедрениерешений по сетевой безопасности с применением средств компьютерной защитыинформации;

·         внедрениесистем однократной аутентификации (SSO);

·         внедрениесистемы контроля целостности информационной системы;

·         внедрениерешений по мониторингу и управлению информационной безопасностью;

·         внедрениесистемы контроля доступа к периферийным устройствам и приложениям;

·         внедрениесистем защиты от модификации и изменения информации.

Основными требованиями к комплексной системе защиты информации являются:

·  система защиты информации должна обеспечивать выполнение

информационной системой своих основных функций без существенного ухудшения характеристик последней;

·  система защиты должна быть экономически целесообразной;

·  защита информации должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

·  в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации;

·  система защиты в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;

·  система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации;

·  применение системы защиты не должно быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.

 />/>/>/>2.2.3 Основныеаспекты, решаемые при разработке ИБ

Уязвимость данных в информационной системе бухгалтерии компанииобусловлена долговременным хранением большого объема данных на магнитныхносителях, одновременным доступом к ресурсам нескольких пользователей. Можновыделить следующие трудности при разработке системы информационнойбезопасности:

·       на сегодняшний день нет единой теории защищенных систем;

·       производители средств защиты в основном предлагают отдельныекомпоненты для решения частных задач, оставляя вопросы формирования системызащиты и совместимости этих средств на усмотрение потребителей;

·       для обеспечения надежной защиты необходимо разрешить целыйкомплекс технических и организационных проблем и разработать соответствующуюдокументацию.

Для преодоления вышеперечисленных трудностей необходима координациядействий всех участников информационного процесса. Обеспечение информационнойбезопасности — достаточно серьезная задача, поэтому необходимо, прежде всего,разработать концепцию безопасности информации, где определить интересыкомпании, принципы обеспечения и пути поддержания безопасности информации, атакже сформулировать задачи по их реализации.

В основе комплекса мероприятий по информационной безопасностидолжна быть стратегия защиты информации. В ней определяются цели, критерии,принципы и процедуры, необходимые для построения надежной системы защиты. Вразрабатываемой стратегии должны найти отражение не только степень защиты,поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В нейнеобходимо еще четко определить процедуры и способы их применения для того,чтобы гарантировать надежную защиту.

Важнейшей особенностью общей стратегии информационной защитыявляется исследование системы безопасности. Можно выделить два основных направления:

·       анализ средств защиты;

·       определение факта вторжения.

На основе концепции безопасности информации разрабатываются стратегиябезопасности информации и архитектура системы защиты информации. Следующий этапобобщенного подхода к обеспечению безопасности состоит в определении политики,содержание которой — наиболее рациональные средства и ресурсы, подходы и целирассматриваемой задачи.

/>/>/>/>2.3 Анализ рисков/>/>/> 2.3.1 Оценка и анализ рисков ИБ

На этапе анализа рисковопределяется возможность понести убытки из-за нарушения режима информационнойбезопасности организации, детализируются характеристики (или составляющие)рисков для информационных ресурсов и технологий. Под управлением рискамипонимается процесс идентификации и уменьшения рисков, которые могутвоздействовать на информационную систему.

 В простейшем случае используетсяоценка двух факторов: вероятность происшествия и тяжесть возможных последствий.Обычно считается, что риск тем больше, чем больше вероятность происшествия итяжесть последствий.

Общая идея выражена формулой:

РИСК = P происшествия * ЦЕНАПОТЕРИ.

Определим субъективную шкалувероятностей событий:

A − событие практически никогдане происходит;

B − событие случается редко;

C− вероятность события зарассматриваемый промежуток времени около 0,5;

D − скорее всего, событиепроизойдет;

E − событие почти обязательнопроизойдет.

Кроме того, используем субъективнуюшкалу серьезности происшествий.

1. N (Negligible) – Воздействиемможно пренебречь.

2. Mi (Minor) – Незначительное происшествие: последствия легкоустранимы, затраты на ликвидацию последствий невелики, воздействие на информационнуютехнологию – незначительно.

3. Mo (Moderate) – Происшествие сумеренными результатами: ликвидация последствий не связана с крупнымизатратами, воздействие на информационную технологию не велико и не затрагиваеткритически важные задачи.

4. S (Serious) – Происшествие с серьезнымипоследствиями: ликвидация последствий связана со значительными затратами,воздействие на информационные технологии ощутимо.

5. C(Critical) – Происшествие приводит к невозможности решения критически важныхзадач.

Для оценки рисков определяетсяшкала из трех значений:  1. Низкий риск.

2. Средний риск.

3. Высокий риск.

Риск, связанный с определеннымсобытием, зависит от двух факторов и может быть определен следующим образом(табл. 8).

Таблица 8

Определение риска в зависимости отдвух факторов

Negligible Minor Moderate Serious Critical A Низкий риск Низкий риск Низкий риск Средний риск Средний риск B Низкий риск Низкий риск Средний риск Средний риск Высокий риск C Низкий риск Средний риск Средний риск Средний риск Высокий риск D Средний риск Средний риск Средний риск Средний риск Высокий риск E Средний риск Высокий риск Высокий риск Высокий риск Высокий риск

Показатель риска измеряется в шкале от 0 до 8 со следующими определениямиуровней риска:

1 − риск практическиотсутствует; теоретически возможны ситуации, при которых событие наступает, нона практике это случается редко, а потенциальный ущерб сравнительно невелик;

2 − риск очень мал; событияподобного рода случались достаточно редко, кроме того, негативные последствиясравнительно невелики.

8 − риск очень велик; событиескорее всего наступит, и последствия будут чрезвычайно тяжелыми и т.д.

Следующей по важности группойинформации является информация по организационно – правовым вопросам (группа 2), информацияпо вопросам торгово-экономических отношений (группа 3) и информация по вопросамуправления имуществом предприятия (группа 2). Разглашение такого родаинформации конкурентам приведет к нарушению планов компании и, соответственно,повлечет за собой большие убытки. Вся остальная информация также нуждается вопределенной защите, но нарушение ее безопасности приведет к устранимымпоследствиям.

Оценка рисков нарушениябезопасности

Расходы на системузащиты информации необходимо сопоставить и привести в соответствие с ценностьюзащищаемой информации и других информационных ресурсов, подвергающихся риску, атакже с ущербом, который может быть нанесен организации из-за сбоев в системезащиты.

Для оценки рисковнеобходимо систематически рассматривать следующие аспекты:

а) ущерб, который можетнанести деятельности организации серьезное нарушение информационнойбезопасности, с учетом возможных последствий нарушения конфиденциальности,целостности и доступности информации;

б) реальная вероятностьтакого нарушения защиты в свете превалирующих угроз и средств контроля.

Данные бухгалтерского учета имеют первостепенное значение для деятельностилюбой организации, так как они формируют целостную картинуфинансово-хозяйственного состояния предприятия. На основании бухгалтерскойотчетности осуществляются такие важнейшие функции, как планирование,оперативное управление деятельностью компании, прогнозирование, оценкасостояния предприятия. Ежедневно в бухгалтерию поступает огромный потокпервичных документов, которые обрабатываются бухгалтерами, вводятся винформационную систему, затем на основании первичной документации и отчетнойинформации предыдущего периода формируется бухгалтерская отчетность одеятельности компании в текущем периоде.

Ущерб и затраты на восстановление отповреждения, модификации и уничтожения информации напрямую зависит отвременного периода, за который были уничтожены, повреждены или модифицированыданные. Чем больше временной период, тем больше ущерб и затраты навосстановление данных. Для минимизации ущерба и затрат на восстановлениенеобходимо осуществлять резервное копирование базы данных.

/>/>/>/>2.3.2 Изучение исистематизация угроз ИБ

Под угрозой понимается событие (воздействие), которое в случаесвоей реализации становится причиной нарушения целостности информации, еепотери или замены. Угрозы могут быть как случайными, так и умышленными(преднамеренно создаваемыми).

Необходимо отметить, что зачастую ущерб наносится не из-зачьего-то злого умысла, а просто по причине элементарных ошибок пользователей, которыеслучайно портят или удаляют данные, жизненно важные для системы. В связи сэтим, помимо контроля доступа, необходимым элементом защиты информации вкомпьютерных сетях является разграничение полномочий пользователей. Кроме того,вероятность ошибок обслуживающего персонала и пользователей сети может бытьзначительно уменьшена, если их правильно обучать и, кроме того, периодическиконтролировать их действия со стороны, например, администратора безопасностисети.

Трудно предсказуемыми источниками угроз информации являются авариии стихийные бедствия. Но и в этих случаях для сохранения информации могутиспользоваться различные средства.

Наиболее надежное средство предотвращения потерь информации прикратковременном отключении электроэнергии — установка источников бесперебойногопитания (UPS). Различные по своим техническим и потребительскимхарактеристикам, подобные устройства могут обеспечить питание всей локальнойсети или отдельного компьютера в течение времени, достаточного длявосстановления подачи напряжения или для сохранения информации на магнитныхносителях. Большинство UPS выполняют функции еще и стабилизатора напряжения, что являетсядополнительной защитой от скачков напряжения в сети. Многие современные сетевыеустройства (серверы, концентраторы, мосты и др.) оснащены собственнымидублированными системами электропитания.

Основной, наиболее распространенный метод защиты информации и оборудованияот стихийных бедствий (пожаров, землетрясений, наводнений и т. п.) состоит всоздании и хранении архивных копий данных, в том числе, в размещении некоторыхсетевых устройств, например, серверов баз данных, в специальных защищенныхпомещениях, расположенных, как правило, в других зданиях, либо, реже, в другомрайоне города или в даже другом городе.

Особенностью компьютерной неосторожности является то, что безошибочныхпрограмм в принципе не бывает. Если проект практически в любой области техникиможно выполнить с огромным запасом надежности, то в области программированиятакая надежность весьма условна, а иногда почти не достижима. И это касается нетолько отдельных программ, но и целого ряда программных продуктов фирм,известных во всем мире.

Как считают эксперты по безопасности, из-за недостатков в программныхпродуктах Microsoft, связанных с обеспечением безопасности данных в сети Internet, хакеры могут захватыватьличные ключи шифров пользователей и действовать от их лица. Посколькусуществуют дефекты в некоторых программах Microsoft, включая браузер Internet Explorer и пакет Internet Information Server, ключи шифров можно легкоскопировать с жестких дисков компьютеров, подключенных к WWW.

Проблема состоит в том, что форматы файлов, применяемые для защитыличных ключей шифров, до конца не проработаны. Используя лазейки в системезащиты, можно с помощью вирусного программного кода, скрытого на Web-страницах, читатьсодержимое жестких дисков пользователей во время посещения ими данной страницы.А из-за дефекта в программных интерфейсах криптографии, используемых многимисредствами Microsoft, множество ключей могут быть считаны с жесткого дискапользователя по простому запросу. Легкость, с которой это можно выполнить,ставит под угрозу все остальные средства шифрования, применяемые на Web-страницах и в браузерах.

Уровень указанных угроз в значительной мере снижается за счет повышенияквалификации обслуживающего персонала и пользователей, а также надежностиаппаратно-программных и технических средств.

Однако наиболее опасным источником угроз информации являютсяпреднамеренные действия злоумышленников. Спектр их противоправных действийдостаточно широк, а итогом их вмешательства в процесс взаимодействияпользователей сети является разглашение, фальсификация, незаконное тиражированиеили уничтожение конфиденциальной информации.

Стандартность архитектурных принципов построения оборудования ипрограмм обеспечивает сравнительно легкий доступ профессионала к информации,находящейся в персональном компьютере. Ограничение доступа к ПК путем введениякодов не гарантирует стопроцентную защиту информации.

Угрозы, преднамеренно создаваемые злоумышленником или группой лиц(умышленные угрозы), заслуживают более детального анализа, так как часто носят изощренныйхарактер и приводят к тяжелым последствиям

Обычно выделяют три основных вида угроз безопасности: угрозы раскрытия,целостности и отказа в обслуживании. Угроза раскрытия заключается в том, чтоинформация становится известной тому, кому не следует ее знать. В терминахкомпьютерной безопасности угроза раскрытия имеет место всегда, когда получендоступ к некоторой конфиденциальной информации, хранящейся в вычислительнойсистеме или передаваемой от одной системы к другой.

Нарушение конфиденциальности (раскрытие) информации — это не тольконесанкционированное чтение документов или электронной почты. Прежде всего, этоперехват и расшифровка сетевых пакетов (как известно, информация в сетипередается пакетами), другими словами, анализ трафика.

/>/>/>/>2.3.3 Определениеканалов несанкционированного доступа

Способ несанкционированного доступа (способ НСД) — также совокупностьприемов и порядок действий, но с целью получения охраняемых сведений незаконнымпротивоправным путем и обеспечения возможности воздействовать на эту информацию(например, подменить, уничтожить и т. п.).

Существующие в настоящее время способы НСД к информации многообразны:применение специальных технических устройств, использование недостатковвычислительных систем и получение секретных сведений о защищаемых данных.

Утечка информации через технические средства может происходить, засчет:

·       микрофонного эффекта элементов электронных схем;

·       магнитной составляющей поля электронных схем и устройствразличного назначения и исполнения;

·       электромагнитного излучения низкой и высокой частоты;

·       возникновения паразитной генерации усилителей различного назначения;

·       наводок по цепям питания электронных систем;

·       наводок по цепям заземления электронных систем;

·       взаимного влияния проводов и линий связи;

·       высокочастотного навязывания мощных радиоэлектронных средств исистем;

Каждый из этих каналов будет иметь структуру в зависимости отусловий расположения и исполнения.

Каналы утечки информации и способы несанкционированного доступа кисточникам конфиденциальной информации объективно взаимосвязаны. Каждому каналусоответствует определенный способ НСД.

Вариант взаимосвязи способов несанкционированного доступа к объектами источникам охраняемой информации и каналов утечки конфиденциальной информацииприведен в табл. 10.

Таблица 10

Способ

несанкционированного

доступа

Тип канала утечки информации Визуальный Акустический

Электромагнитный

(магнитный,

электрический)

Материально-вещественные Подслушивание + + Визуальное наблюдение + Хищение + + Копирование + + Подделка + + Незаконное подключение + + Перехват + + Фотографирование + Итого по виду канала 2 3 6 3

Способы НСД к проводным линиям связи.

Наиболее часто для передачи информации применяются телефонныелинии в качестве проводных линий связи. Это связано с тем, что большинство компьютеровиспользуют для передачи данных модемы, подключенные к телефонной линии.

Общепринятые способы подслушивания линии, связывающей компьютеры:

·       непосредственное подключение к телефонной линии:

·       контактное — последовательное или параллельное (прямо на АТС илигде-нибудь на линии между телефонным аппаратом и АТС);

·       бесконтактное (индукционное) подключение к телефонной линии;

·       помещение радиоретранслятора («жучка») на телефонной линии:

·       последовательное включение;

/>/>/>/> 
2.3.4 Оценка состояния информационнойбезопасности в ООО магазин «Стиль»

/>Завершающимэтапом предпроектного обследования является оценка состояния информационнойбезопасности в организации.

/>Решение даннойзадачи основывается на анализе сведений, полученных на этапе информационногообследования ИС.

Целью этапаявляется анализ соответствия уровня нормативного и организационно-техническогообеспечения информационной безопасности объекта аудита установленнымтребованиям руководящих документов Гостехкомиссии при Президенте РФ, типовымтребованиям международных стандартов ISO и соответствующим требованиямкомпании-заказчика. К первой области также относятся работы, проводимые на основеанализа рисков, инструментальные исследования (исследование элементовинфраструктуры компьютерной сети и корпоративной информационной системы наналичие уязвимостей, исследование защищенности точек доступа в Internet).Данный комплекс работ также включает в себя анализ документооборота, который, всвою очередь, можно выделить и как самостоятельное направление.

Рассмотрим инструментальныйанализ защищённости АС, направленный на выявление и устранение уязвимостейпрограммно-аппаратного обеспечения системы.

Инструментальныйанализ представляет собой чаще всего сбор информации о состоянии системысетевой защиты с помощью специального программного обеспечения и специальныхметодов. Под состоянием системы сетевой защиты понимаются лишь те параметры инастройки, использование которых помогает злоумышленнику проникнуть в сети инанести урон предприятию. В процессе проведения инструментального анализазащищенности моделируется как можно большее количество таких сетевых атак,которые может выполнить злоумышленник.

Результатомявляется информация обо всех уязвимостях, степени их критичности и методахустранения, сведения о широкодоступной информации (информации, доступной любомупотенциальному нарушителю) сети заказчика.

Позавершении инструментального анализа выдаются рекомендации по модернизациисистемы сетевой защиты, которые позволяют устранить опасные уязвимости и темсамым повысить уровень защищенности ИС от действий злоумышленника приминимальных затратах на ИБ.

Результатытестирования на соответствие ГОСТ Р ИСО/МЭК 17799–2005 представлены на рис. 6.

/>

Рис. 6.Определение степени соответствия требованиям стандарта

Информация,полученная по результатам комплексной оценки, является отправной точкой дляпринятия руководителями управленческих решений, способствующих повышениюзащищенности информационных ресурсов.

/>/>/>2.4 Определениекласса защищенности системы и показателей защищенности от несанкционированногодоступа

Коммерческая тайна — режим конфиденциальности информации, позволяющий еёобладателю при существующих или возможных обстоятельствах увеличить доходы,избежать неоправданных расходов, сохранить положение на рынке товаров, работ,услуг или получить иную коммерческую выгоду. Защищаемая информация напредприятии не может быть отнесена к разряду коммерческой тайны. Исходя изэтого, можно определить четвертый класс защищенности системы.

/>/>/>2.4.1 Определениетребований к информационной безопасности

Данные бухгалтерского учета в видевсевозможных отчетов сохраняются длительное время, причем как в электронном,так и бумажном виде. Информация о состоянии финансово-хозяйственнойдеятельности предприятия в текущем периоде может быть получена только приналичии аналогичной информации за предшествующий период, поэтому потеря, порчаи модификация этой информации может причинить немалый вред компании. В рамкахинформационной безопасности для нормального функционирования механизмовбухгалтерского учета необходимо обеспечить целостность и полноту базы данных,предотвращение потери и некорректного изменения информации в базе данных.

Каждый сбой работы базыданных − это не только моральный ущерб для работников предприятия исетевых администраторов. По мере развития технологий электронных платежей,«безбумажного» документооборота и серьезный сбой локальных сетей можетпарализовать работу компании, что приведет к ощутимым убыткам. При этом защитаданных в компьютерных сетях становится одной из самых острых проблем.

Для данной информации необходимо обеспечить выполнение всех трехкритериев обеспечения безопасности:

ü  конфиденциальность — доступность информации только определённомукругу лиц;

ü  целостность — гарантия существования информации в исходном виде;

ü  доступность — возможность получение информации авторизованнымпользователем в нужное для него время.

Это обусловлено тем, что потеря, несанкционированная модификация илиразглашение информации из данных баз может повлечь за собой тяжелые последствияв виде убытков, временных остановок деятельности предприятия и др.

Также необходимо обеспечить целостность и доступность поступающих данныхот поставщиков комплектующих: цен и перечня доступных товаров для закупки.Недоступность данной информации может привести к остановке выполнения оптовыхзаказов клиентов, что негативно скажется на работе предприятия.

Целостность данных необходимо гарантировать для отчетности и платежныхпоручений, отправляемых посредством сети Интернет.

Требования к показателям четвертогокласса защищенности:

1. Дискреционный принцип контролядоступа.

Комплекс средств защиты (КСЗ) долженконтролировать доступ наименованных субъектов (пользователей) к наименованнымобъектам (файлам, программам, томам и т.д.). Для каждой пары (субъект – объект)в средствах вычислительной техники (СВТ) должно быть задано явное инедвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.),т.е. тех типов доступа, которые являются санкционированными для данногосубъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).Должны быть предусмотрены средства управления, ограничивающие распространениеправ на доступ. Контроль доступа должен быть применим к каждому объекту икаждому субъекту (индивиду или группе равноправных индивидов). Механизм,реализующий дискреционный принцип контроля доступа, должен предусматриватьвозможности санкционированного изменения правил разграничения доступа (ПРД), втом числе возможность санкционированного изменения списка пользователей СВТ исписка защищаемых объектов. Права изменять ПРД должны предоставлятьсявыделенным субъектам (администрации, службе безопасности и т.д.).

Дополнительно КСЗ должен содержатьмеханизм, претворяющий в жизнь дискреционные ПРД, как для явных действийпользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД(т.е. от доступа, не допустимого с точки зрения заданного ПРД). Под «явными»здесь подразумеваются действия, осуществляемые с использованием системныхсредств — системных макрокоманд, инструкций языков высокого уровня и т.д., апод «скрытыми» — иные действия, в том числе с использованиемсобственных программ работы с устройствами.

Дискреционные ПРД для систем данногокласса являются дополнением мандатных ПРД.

2. Мандатный принцип контроля доступа.

Для реализации этого принципа должнысопоставляться классификационные метки каждого субъекта и каждого объекта,отражающие их место в соответствующей иерархии. Посредством этих метоксубъектам и объектам должны назначаться классификационные уровни (уровниуязвимости, категории секретности и т.п.), являющиеся комбинациямииерархических и не иерархических категорий. Данные метки должны служить основоймандатного принципа разграничения доступа.

КСЗ при вводе новых данных в системудолжен запрашивать и получать от санкционированного пользователяклассификационные метки этих данных. При санкционированном занесении в списокпользователей нового субъекта должно осуществляться сопоставление емуклассификационных меток. Внешние классификационные метки (субъектов, объектов)должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатныйпринцип контроля доступа применительно ко всем объектам при явном и скрытомдоступе со стороны любого из субъектов:

l  субъект может читать объект, только если иерархическаяклассификация в классификационном уровне субъекта не меньше, чем иерархическаяклассификация в классификационном уровне объекта, и не иерархические категориив классификационном уровне субъекта включают в себя все иерархические категориив классификационном уровне объекта;

l  субъект осуществляет запись в объект, только есликлассификационный уровень субъекта в иерархической классификации не больше, чемклассификационный уровень объекта в иерархической классификации, и всеиерархические категории в классификационном уровне субъекта включаются внеиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должнапредусматривать возможности сопровождения: изменения классификационных уровнейсубъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчердоступа, т.е. средство, осуществляющее перехват всех обращений субъектов кобъектам, а также разграничение доступа в соответствии с заданным принципомразграничения доступа. При этом решение о санкционированности запроса на доступдолжно приниматься только при одновременном разрешении его и дискреционными, имандатными ПРД. Таким образом, должен контролироваться не только единичный актдоступа, но и потоки информации.

3. Очистка памяти.

При первоначальном назначении или приперераспределении внешней памяти КСЗ должен затруднять субъекту доступ костаточной информации. При перераспределении оперативной памяти КСЗ долженосуществлять ее очистку.

4. Изоляция модулей.

При наличии в СВТмультипрограммирования в КСЗ должен существовать программно-техническиймеханизм, изолирующий программные модули одного процесса (одного субъекта), отпрограммных модулей других процессов (других субъектов) — т.е. в оперативнойпамяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

5. Маркировка документов.

При выводе защищаемой информации надокумент в начале и конце проставляют штамп № 1 и заполняют его реквизиты всоответствии с Инструкцией № 0126-87.

6. Защита ввода и вывода на отчуждаемыйфизический носитель информации.

КСЗ должен различать каждое устройствоввода-вывода и каждый канал связи как произвольно используемые илиидентифицированные («помеченные»). При вводе с«помеченного» устройства (вывода на «помеченное»устройство) КСЗ должен обеспечивать соответствие между меткой вводимого(выводимого) объекта (классификационным уровнем) и меткой устройства. Такое жесоответствие должно обеспечиваться при работе с «помеченным» каналомсвязи.

Изменения в назначении и разметкеустройств и каналов должны осуществляться только под контролем КСЗ.

7. Сопоставление пользователя сустройством.

КСЗ должен обеспечивать вывод информациина запрошенное пользователем устройство как для произвольно используемыхустройств, так и для идентифицированных (при совпадении маркировки).

Идентифицированный КСЗ должен включатьв себя механизм, посредством которого санкционированный пользователь надежносопоставляется выделенному устройству.

8. Идентификация и аутентификация.

КСЗ должен требовать от пользователейидентифицировать себя при запросах на доступ, должен проверять подлинностьидентификатора субъекта — осуществлять аутентификацию. КСЗ должен располагатьнеобходимыми данными для идентификации и аутентификации и препятствовать входув СВТ неидентифицированного пользователя или пользователя, чья подлинность приаутентификации не подтвердилась.

КСЗ должен обладать способностьюнадежно связывать полученную идентификацию со всеми действиями данногопользователя.

9. Регистрация.

КСЗ должен быть в состоянииосуществлять регистрацию следующих событий:

l  использование идентификационного и аутентификационного механизма;

l  запрос на доступ к защищаемому ресурсу (открытие файла, запускпрограммы и т.д.);

l  создание и уничтожение объекта;

l  действия по изменению ПРД.

Для каждого из этих событий должнарегистрироваться следующая информация:

l  дата и время;

l  субъект, осуществляющий регистрируемое действие;

l  тип события (если регистрируется запрос на доступ, то следуетотмечать объект и тип доступа);

l  успешно ли осуществилось событие (обслужен запрос на доступ илинет).

КСЗ должен содержать средствавыборочного ознакомления с регистрационной информацией.

Дополнительно должна быть предусмотренарегистрация всех попыток доступа, всех действий оператора и выделенныхпользователей (администраторов защиты и т.п.).

10. Целостность КСЗ.

В СВТ четвертого класса защищенностидолжен осуществляться периодический контроль за целостностью КСЗ.

Программы КСЗ должны выполняться вотдельной части оперативной памяти.

11. Тестирование.

В четвертом классе защищенности должнытестироваться:

l  реализация ПРД (перехват запросов на доступ, правильноераспознавание санкционированных и несанкционированных запросов в соответствии сдискреционными и мандатными правилами, верное сопоставление меток субъектов иобъектов, запрос меток вновь вводимой информации, средства защиты механизмаразграничения доступа, санкционированное изменение ПРД);

l  невозможность присвоения субъектом себе новых прав;

l  очистка оперативной и внешней памяти;

l  работа механизма изоляции процессов в оперативной памяти;

l  маркировка документов;

l  защита вода и вывода информации на отчуждаемый физическийноситель и сопоставление пользователя с устройством;

l  идентификация и аутентификация, а также их средства защиты;

l  запрет на доступ несанкционированного пользователя;

l  работа механизма, осуществляющего контроль за целостностью СВТ;

l  регистрация событий, средства защиты регистрационной информации ивозможность санкционированного ознакомления с этой информацией.

12. Руководство для пользователя.

Документация на СВТ должна включать всебя краткое руководство для пользователя с описанием способов использованияКСЗ и его интерфейса с пользователем.

13. Руководство по КСЗ.

Данный документ адресованадминистратору защиты и должен содержать:

l  описание контролируемых функций;

l  руководство по генерации КСЗ;

l  описания старта СВТ, процедур проверки правильности старта, процедурработы со средствами регистрации.

14. Тестовая документация.

Должно быть представлено описаниетестов и испытаний, которым подвергалось СВТ и результатов тестирования.

/>/>/>2.4.2 Модель потенциального нарушителя

Потенциальных нарушителей системы безопасности 2:

1)        неквалифицированный(или враждебно настроенный) работник;

2)        внешний по отношению корганизации злоумышленник.

Оба типа нарушителей столкнутся с меньшим уровнем защиты в дневноевремя суток, т.к. для сотрудника вход на рабочее место является свободным, адля внешнего злоумышленника существует потенциальная возможность войти всистему через Интернет.

Наиболее вероятным нарушителем выступает сотрудник компании, т.к.ему не придется преодолевать уровни защиты от внешних злоумышленников. Даженеумышленные (возможно, ошибочные) действия сотрудника с высоким уровнемдоступа к информации может серьезно повредить систему и затормозить, а иногдадаже полностью остановить работу компании.

Маловероятно, что квалификация сотрудника как умышленногонарушителя информационной безопасности будет очень высокой. Скорее всего, этобудет уровень начинающего взломщика или просто продвинутого пользователя ПК.

Хоть и маловероятен, но теоретически возможны попытки взлома извнешней среды через подключение к Интернет. В данном случае также непредполагается высокая квалификация потенциального нарушителя, т. к.информация, хранящаяся на сервере не составляет коммерческой тайны.

Основным мотивом действий того и другого типа нарушителей можетбыть попытка вредительства компании в качестве мести (в случае сотрудника),ради развлечения или по заказу конкурентов (в случае внешнего злоумышленника).Заказ конкурентов мало вероятен, но даже в случае реализации данной угрозыконкуренты не будут нанимать высококвалифицированного специалиста, т.к.преодолеть физическую защиту будет намного дешевле.

/>/>/>3. Проектирование системы информационнойбезопасности отдела бухгалтерии ООО магазин «Стиль»/>/>/>3.1 Рекомендации по разработке концепцииинформационной безопасности ООО магазин «Стиль»

Концепция информационнойбезопасности организации − это:

– во-первых, это нормативныйдокумент, на основании которого будет строиться ИБ организации;

– во-вторых, это решение проблемыинформационной безопасности в организации;

– в-третьих, этот документопирается на нормативную базу Российского законодательства, моральные нормы,научно-технические принципы и организационные возможности.

Концепция информационнойбезопасности для организации должна состоять из следующих разделов:

1. Введение

Настоящая Концепция определяетсистему взглядов на проблему обеспечения безопасности информации в организациии представляет собой систематизированное изложение целей и задач защиты, атакже принципов и способов достижения требуемого уровня безопасности информации.

При построении системы безопасностиинформационных ресурсов организация основывается на комплексном подходе,доказавшем свою эффективность и надежность. Комплексный подход ориентирован насоздание защищенной среды обработки информации, сводящей воедино разнородныемеры противодействия угрозам. Сюда относятся правовые, морально-этические,организационные, программные и технические способы обеспечения информационнойбезопасности.

Правовой базой для разработки настоящейконцепции служат требования действующих в России законодательных и нормативныхдокументов.

Концепция является методологическойосновой для формирования и проведения в организации единой политики в областиобеспечения безопасности информации (политики безопасности), для принятияуправленческих решений и разработки практических мер по ее воплощению.

2. Общие положения

В данном разделе концепции даноназвание и правовая основа данного документа, т.е. необходимо дать понять, чтоподразумевается под словом «концепция» в данном документе, какова системавзглядов на проблему безопасности.

В концепции должно быть учтеносовременное состояние, и ближайшие перспективы развития системы информационнойбезопасности. Также описывается, на какие объекты информационной системы онараспространяется, и для чего будет являться методологической основой. Взавершении данного раздела необходимо указать, какие принципы были положены воснову построения системы информационной безопасности.

3. Объекты защиты

В данном разделе концепциинеобходимо указать основные объекты, на которые направлена информационнаябезопасность в организации:

— информационные ресурсы сограниченным доступом, составляющие коммерческую, банковскую тайну, иныечувствительные по отношению к случайным и несанкционированным воздействиям инарушению их безопасности информационные ресурсы, в том числе открытая(общедоступная) информация, представленные в виде документов и массивов информации,независимо от формы и вида их представления;

— процессы обработки информации,информационные технологии, регламенты и процедуры сбора, обработки, хранения ипередачи информации, научно-технический персонал разработчиков и пользователейсистемы и ее обслуживающий персонал;

— информационная инфраструктура,включающая системы обработки и анализа информации, технические и программныесредства ее обработки, передачи и отображения, в том числе каналыинформационного обмена и телекоммуникации, системы и средства защитыинформации, объекты и помещения, в которых размещены чувствительные компонентыАС.

4. Основные угрозы

В этом разделе необходимо описатьмодель возможного нарушителя, рассмотреть различные возможности утечкиинформации по техническим каналам, дать определение умышленным действиямразличными лицами, указать, какие пути могут быть для реализации неправомерныхдействий и какие вообще могут быть угрозы безопасности информации и ее источники.

5. Основные положения техническойполитики в обеспечении безопасности информации

Реализация технической политики пообеспечению информационной безопасности в организации должна исходить из того,что нельзя обеспечить требуемый уровень безопасности только одним мероприятиемили средством, а необходим комплексный подход с системным согласованиемразличных элементов, а каждый разработанный элемент должен рассматриваться какчасть единой системы при оптимальном соотношении как технических средств, так иорганизационных мероприятий.

Должны быть перечислены основныенаправления технической политики и то, как она будет осуществляться.

Также необходимо формированиережима безопасности информации, т.е. согласно выявленным угрозам режим защитыформируется как совокупность способов и мер защиты информации. Комплекс мер поформированию режима безопасности информации должен включать в себя: организационно-правовойрежим (нормативные документы), организационно-технические мероприятия(аттестация рабочих мест), программно-технические мероприятия, комплексмероприятий по контролю за функционированием АС и систем ее защиты, комплексоперативных мероприятий по предотвращению несанкционированного доступа, а такжекомплекс действий по выявлению таких попыток.

6. Принципы построения комплекснойсистемы защиты

Построение системы безопасностиинформации АС и ее функционирование должны осуществляться в соответствии соследующими принципами:

·         законность:предполагает осуществление защитных мероприятий и разработку системыбезопасности информации АС организации в соответствии с действующимзаконодательством;

·         системность:системный подход к построению системы защиты информации предполагает учет всехвзаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условийи факторов, существенных для понимания и решения проблемы обеспечениябезопасности информации;

·         комплексность:комплексное использование методов и средств защиты компьютерных системпредполагает согласованное применение разнородных средств при построениицелостной системы защиты, перекрывающей все существенные (значимые) каналыреализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов;

·         непрерывностьзащиты: непрерывный, целенаправленный процесс, предполагающий принятиесоответствующих мер на всех этапах жизненного цикла АС;

·         своевременность:предполагает упреждающий характер мер для обеспечения безопасности информации;

·         преемственностьи совершенствование: предполагают постоянное совершенствование мер и средствзащиты информации;

·         разумнаядостаточность (экономическая целесообразность): предполагает соответствиеуровня затрат на обеспечение безопасности информации ценности информационныхресурсов и величине возможного ущерба;

·         персональнаяответственность: предполагает возложение ответственности за обеспечениебезопасности информации и системы ее обработки на каждого сотрудника в пределахего полномочий;

·         принципминимизации полномочий: означает предоставление пользователям минимальных правдоступа в соответствии с производственной необходимостью;

·  взаимодействиеи сотрудничество: предполагает создание благоприятной атмосферы в коллективахподразделений;

·         гибкостьсистемы защиты: для обеспечения возможности варьирования уровня защищенностисредства защиты должны обладать определенной гибкостью;

·         открытостьалгоритмов и механизмов защиты: суть данного принципа состоит в том, что защитане должна обеспечиваться только за счет секретности структурной организации иалгоритмов функционирования ее подсистем. Знание алгоритмов работы системызащиты не должно давать возможности ее преодоления (даже авторам), однако этоне означает, что информация о конкретной системе защиты должна быть общедоступна;

·         простотаприменения средств защиты: механизм защиты должен быть интуитивно понятен ипрост в использовании, без значительных дополнительных трудозатрат;

·         научнаяобоснованность и техническая реализуемость: информационные технологии,технические и программные средства, средства и меры защиты информации должныбыть реализованы на современном уровне развития науки и техники, научнообоснованы с точки зрения достижения заданного уровня безопасности информации идолжны соответствовать установленным нормам и требованиям по безопасностиинформации;

·         специализацияи профессионализм: предполагает привлечение к разработке средств и реализациймер защиты информации специализированных организаций, имеющих опыт практическойработы и государственную лицензию на право оказания услуг в этой области,реализация административных мер и эксплуатация средств защиты должнаосуществляться профессионально подготовленными специалистами;

·         обязательностьконтроля: предполагает обязательность и своевременность выявления и пресеченияпопыток нарушения установленных правил безопасности.

7. Первоочередные мероприятия

В данном разделе необходимо описатьпервоочередные действия, которые предстоит исполнить в ближайшее время, описатьаппаратно-программный комплекс, который обеспечит информационную безопасность организации.

/>/>/>3.2 Разработка политики ИБ и выбор решенийпо обеспечению политики ИБ

В основе организационных мер защитыинформации лежит политика безопасности, от эффективности которой в наибольшейстепени зависит успешность мероприятий по обеспечению информационнойбезопасности.

Под политикой информационнойбезопасности понимается совокупность документированных управленческих решений,направленных на защиту информационных ресурсов организации. Это позволяет обеспечитьэффективное управление и поддержку политики в области информационной безопасностисо стороны руководства организации.

 Политика безопасности строится наоснове анализа рисков. С учетом рисков, выявленных в организации, политикаинформационной безопасности для организации должна содержать семь разделов:

-«Введение».Необходимость появления политики безопасности на основании выявленных недостатковв информационной безопасности ООО «Стиль»;

-«Цельполитики». В этом разделе документа для ООО «Стиль» необходимо отразить целисоздания данного документа (в частности, для парольной политики – «установлениестандартов для создания «сильных» паролей, их защиты и регулярной смены»);

-«Областьприменения». В данном разделе необходимо описать объекты или субъекты ООО«Стиль», которые должны выполнять требования данной политики (например, «даннаяполитика применяется ко всем сотрудникам, имеющим любую форму доступа к любыминформационным ресурсам компании»);

-«Политика».В данном разделе необходимо описать сами требования к информационнойбезопасности (например, парольная политика должна содержать пять подразделов:«Создание паролей», «Изменение паролей», «Защита паролей», «Использованиепаролей при разработке приложений», «Использование паролей при удаленномдоступе»);

-«Ответственность».Описывает наказание за нарушение указанных в предыдущем разделе требований;

-«Историяизменений данной политики». Дает возможность отследить все вносимые в документизменения (дата, автор, краткая суть изменения).

Такаяструктура позволит лаконично описать все основные моменты, связанные спредметом политики безопасности организации, не «привязываясь» к конкретнымтехническим решениям, продуктам и производителям. Иначе изменение политическойситуации в компании и т. п. приведет к необходимости изменения концепции ИБ, аэтого происходить не должно.

Кроме того, в политике безопасностиорганизации должны быть определены обязанности должностных лиц по выработкепрограммы безопасности и проведению ее в жизнь. В этом смысле политикабезопасности является основой подотчетности персонала.

/>/>/>3.2.1 Административныйуровень ИБ

К административному уровнюинформационной безопасности относятся действия общего характера,предпринимаемые руководством организации.

Главная цель мер административногоуровня — сформировать программу работ в области информационной безопасности иобеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояниедел.

Основой программы является политикабезопасности, отражающая подход организации к защите своих информационныхактивов. Руководство компании должно осознать необходимость поддержания режимабезопасности и выделения на эти цели значительных ресурсов, а также назначить ответственныхза разработку, внедрение и сопровождение системы безопасности. Для ООО «Стиль»актуальным является создание службы информационной безопасности в составе 3человек, которые будут отвечать за разработку, внедрение и совершенствованиесистемы безопасности.

С практической точки зренияполитику безопасности целесообразно рассматривать на трех уровнях детализации.К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Ониносят весьма общий характер и исходят от руководства организации. Списокрешений этого уровня включает в себя следующие элементы:

·       решениесформировать или пересмотреть комплексную программу обеспечения информационнойбезопасности, назначение ответственных за продвижение программы;

·       формулировкацелей, которые преследует организация в области информационной безопасности,определение общих направлений в достижении этих целей;

·       обеспечениебазы для соблюдения законов и правил;

·       формулировкаадминистративных решений по тем вопросам реализации программы безопасности,которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня целиорганизации в области информационной безопасности формулируются в терминахцелостности, доступности и конфиденциальности. Так как компания отвечает заподдержание критически важной базы данных бухгалтерии, то на первом плане стоитзадача уменьшение числа потерь, повреждений или искажений данных.

На верхний уровень выноситсяуправление защитными ресурсами и координация использования этих ресурсов,выделение специального персонала для защиты критически важных систем ивзаимодействие с другими организациями, обеспечивающими или контролирующимирежим безопасности.

Политика верхнего уровня имеет делос тремя аспектами законопослушности и исполнительской дисциплины. Во-первых,организация должна соблюдать существующие законы. Во-вторых, следуетконтролировать действия лиц, ответственных за выработку программы безопасности.Наконец, необходимо обеспечить определенную степень исполнительности персонала,а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровеньследует выносить минимум вопросов. Подобное вынесение целесообразно, когда оносулит значительную экономию средств или когда иначе поступить простоневозможно.

В документ, характеризующийполитику безопасности компании необходимо включить следующие разделы:

·       вводный,подтверждающий озабоченность высшего руководства проблемами информационнойбезопасности;

·       организационный,содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работыв области информационной безопасности;

·       классификационный,описывающий имеющиеся в организации материальные и информационные ресурсы инеобходимый уровень их защиты;

·       штатный,характеризующий меры безопасности, применяемые к персоналу (описание должностейс точки зрения информационной безопасности, организация обучения и переподготовкиперсонала, порядок реагирования на нарушения режима безопасности и т.п.);

·       раздел,освещающий вопросы физической защиты;

·       управляющийраздел, описывающий подход к управлению компьютерами и компьютерными сетями;

·       раздел,описывающий правила разграничения доступа к производственной информации;

·       раздел,характеризующий порядок разработки и сопровождения систем;

·       раздел,описывающий меры, направленные на обеспечение непрерывной работы организации;

·       юридическийраздел, подтверждающий соответствие политики безопасности действующемузаконодательству.

К административным мероприятиямзащиты, необходимым для проведения в бухгалтерии торговой компании, относятся:

·        поддержкаправильной конфигурации ОС;

·        создание,ведение и контроль журналов работы пользователей в ИС с помощью встроенныхмеханизмов программы 1С: Бухгалтерия 7.7;

·        выявление«брешей» в системе защиты;

·        проведениетестирования средств защиты;

·        контрольсмены паролей.

/>/>/>/>3.2.2Организационный уровень ИБ

К организационным средствам защитыможно отнести организационно-технические и организационно-правовые мероприятия,осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защитыинформации. Организационные мероприятия охватывают все структурные элементы ИС исистемы защиты на всех этапах их жизненного цикла. При этом организационныемероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяютполностью или частично перекрывать значительную часть каналов утечкиинформации, а с другой – обеспечивают объединение всех используемых в ИСсредств в целостный механизм защиты.

Организационные меры защитыбазируются на законодательных и нормативных документах по безопасностиинформации. Они должны охватывать все основные пути сохранения информационных ресурсови включать:

· ограничениефизического доступа к объектам ИС и реализацию режимных мер;

· ограничениевозможности перехвата информации вследствие существования физических полей;

· ограничениедоступа к информационным ресурсам и другим элементам ИС путем установленияправил разграничения доступа, криптографическое закрытие каналов передачиданных, выявление и уничтожение «закладок»;

· созданиетвердых копий важных с точки зрения утраты массивов данных;

· проведениепрофилактических и других мер от внедрения вирусов.

К организационно-правовыммероприятиям защиты, необходимыми для проведения в бухгалтерии ООО «Стиль»относятся:

·         организация и поддержание надежного пропускного режима и контрольпосетителей;

·         надежная охрана помещений компании и территории;

·         организация защиты информации, т. е. назначение ответственного зазащиту информации, проведение систематического контроля за работой персонала,порядок учета, хранения и уничтожения документов;

Организационные мероприятия при работе с сотрудниками компании включаютв себя:

·         беседы при приеме на работу;

·         ознакомление с правилами и процедурами работы с ИС на предприятии;

·         обучение правилам работы с ИС для сохранения ее целостности и корректностиданных;

·         беседы с увольняемыми.

В результате беседы при приеме на работу устанавливаетсяцелесообразность приема кандидата на соответствующую вакансию.

Обучение сотрудников предполагает не только приобретение исистематическое поддержание на высоком уровне производственных навыков, но ипсихологическое их воспитание в глубокой убежденности, что необходимо выполнятьтребования промышленной (производственной) секретности, информационнойбезопасности. Систематическое обучение способствует повышению уровнякомпетентности руководства и сотрудников в вопросах защиты коммерческихинтересов своего предприятия. Беседы с увольняющимися имеют главной цельюпредотвратить разглашение информации или ее неправильное использование. В ходебеседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имееттвердые обязательства о неразглашении фирменных секретов и эти обязательства,как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальныхсведений.

Организационно-технические меры защиты включают следующие основныемероприятия:

·       резервирование (наличие всех основных компонентов операционнойсистемы и программного обеспечения в архивах, копирование таблиц распределенияфайлов дисков, ежедневное ведение архивов изменяемых файлов);

·       профилактика (систематическая выгрузка содержимого активной частивинчестера на дискеты, раздельное хранение компонентов программного обеспеченияи программ пользователей, хранение неиспользуемых программ в архивах);

·       ревизия (обследование вновь получаемых программ на дискетах идисках на наличие вирусов, систематическая проверка длин файлов, хранящихся навинчестере, использование и постоянная проверка контрольных сумм при хранении ипередаче программного обеспечения, проверка содержимого загрузочных сектороввинчестера и используемых дискет системных файлов);

·       фильтрация (разделение винчестера на логические диски с различнымивозможностями доступа к ним, использование резидентных программных средствслежения за файловой системой);

Все эти мероприятия, в той или иной степени, включаютиспользование различных программных средств защиты. К их числу необходимоотнести программу-архиватор WinRar, программы резервирования важных компонентов файловой системы,просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумми собственно программ защиты. Резервирование данных ИС должно проводиться сиспользованием встроенных средств программы 1С Бухгалтерия 7.7.

/>/>/>/>3.2.3 Техническийуровень ИБ

Инженерно-техническоеобеспечение безопасности информации путем осуществления необходимых техническихмероприятий должно исключать:

·       неправомочный доступ к аппаратуре обработки информации путемконтроля доступа в помещении бухгалтерии;

·       неправомочный вынос носителей информации персоналом, занимающимсяобработкой данных, посредством выходного контроля;

·       несанкционированное введение данных в память, изменение илистирание информации, хранящейся в памяти;

·       неправомочное пользование системами обработки информации инезаконное получение в результате этого данных;

·       доступ в системы обработки информации посредством самодельных устройстви незаконное получение данных;

·       возможность неправомочной передачи данных через компьютерную сеть;

·        бесконтрольный ввод данных в систему;

·       неправомочное считывание, изменение или стирание данных в процессеих передачи или транспортировки носителей информации.

Инженерно-техническая защита использует следующие средства:

·       физические средства;

·       аппаратные средства;

·       программные средства;

Методы защиты информации от большинства угроз базируются на инженерныхи технических мероприятиях. Инженерно-техническая защита — это совокупностьспециальных органов, технических средств и мероприятий, функционирующихсовместно для выполнения определенной задачи по защите информации.

Для построения системы физической безопасности необходимы следующиесредства

·       аппаратура тревожной сигнализации, обеспечивающая обнаружениепопыток проникновения и несанкционированных действий, а также оценку ихопасности;

·       системы связи, обеспечивающие сбор, объединение и передачутревожной информации и других данных (для этой цели подойдет организацияофисной АТС);

·       персонал охраны, выполняющий ежедневные программы безопасности,управление системой и ее использование в нештатных ситуациях.

Кинженерным мероприятиям, необходимым для проведения в бухгалтерии ООО «Стиль»,относятся:

·       защитаакустического канала;

·       экранированиепомещения бухгалтерии.

К аппаратным средствамотносятся приборы, устройства, приспособления и другие технические решения,используемые в интересах обеспечения безопасности.

В бухгалтерии необходимо:

· в терминалах пользователей размещать устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (блокираторы);

· обеспечить идентификацию терминала (схемы генерирования идентифицирующего кода);

· обеспечить идентификацию пользователя (магнитные индивидуальные карточки).

Программные средства — это специальные программы, программныекомплексы и системы защиты информации в информационных системах различногоназначения и средствах обработки данных.

К задачам программных средств защиты относятся:

·       идентификация и аутентификация;

·       управление доступом;

·       обеспечение целостности и сохранности данных;

·       контроль субъектов взаимодействия;

·       регистрация и наблюдение.

 />/>/>3.3. Созданиесистемы информационной безопасности/>/>/>/> 3.3.1 Разработка структуры системы

В соответствии с выделенными требованиями система информационнойбезопасности бухгалтерии ООО «Стиль» должна включать в себя следующиеподсистемы:

·       подсистемуидентификации и аутентификации пользователей;

·       подсистемузащиты от вредоносного программного обеспечения;

·       подсистемурезервного копирования и архивирования;

·       подсистемазащиты информации в ЛВС;

·       подсистемаобеспечения целостности данных;

·       подсистемарегистрации и учета;

·       подсистемаобнаружения сетевых атак.

/>/>/>/>3.3.2 Подсистемаидентификации и аутентификации пользователей

Предотвратить ущерб, связанный сутратой хранящейся в компьютерах данных бухгалтерского учета, — одна изважнейших задач для бухгалтерии компании. Известно, что персонал предприятиянередко оказывается главным виновником этих потерь. Каждый сотрудник должениметь доступ только к своему рабочему компьютеру во избежание случайной илипреднамеренной модификации, изменения, порчи или уничтожения данных.

Основным способом защиты информациисчитается внедрение так называемых средств ААА, или 3А (authentication,authorization, administration — аутентификация, авторизация, администрирование).Среди средств ААА значимое место занимают аппаратно-программные системыидентификации и аутентификации (СИА) к компьютерам.

При использовании СИА сотрудникполучает доступ к компьютеру или в корпоративную сеть только после успешногопрохождения процедуры идентификации и аутентификации. Идентификация заключаетсяв распознавании пользователя по присущему или присвоенному емуидентификационному признаку. Проверка принадлежности пользователюпредъявленного им идентификационного признака осуществляется в процессеаутентификации.

Современные СИА по виду используемыхидентификационных признаков разделяются на электронные, биометрические икомбинированные (см. рис. 7)./>

/>

Рис. 7. Классификация СИА по виду идентификационных признаков

В бухгалтерии планируетсяиспользование систему идентификации и аутентификации Rutoken.

Rutoken RF — это usb-токен со встроенной радиочастотной меткой (RFID-меткой). Онпредназначен для доступа пользователей к информационным ресурсам компьютера идля физического доступа в здания и помещения.

РУТОКЕН RF объединяет возможности,предоставляемые usb-токенами, смарт-картами и бесконтактными электроннымипропусками:

·         строгаядвухфакторная аутентификация при доступе к компьютеру и к защищенным информационнымресурсам;

·         безопасноехранение криптографических ключей и цифровых сертификатов;

·         применениев системах контроля и управления доступом, в системах учета рабочего времени иаудита перемещений сотрудников;

·         использованиев виде пропуска для электронных проходных.

Электронный идентификатор РУТОКЕНэто небольшое устройство, подключаемое к USB-порту компьютера. РУТОКЕН являетсяаналогом смарт-карты, но для работы с ним не требуется дополнительное оборудование(считыватель).

РУТОКЕН предназначен дляаутентификации пользователей при доступе к информации и различным системам,безопасного хранения паролей, ключей шифрования, цифровых сертификатов. РУТОКЕНспособен решать проблемы авторизации и разделения доступа в сетях, контролироватьдоступ к защищённым информационным ресурсам, обеспечивать необходимый уровеньбезопасности при работе с электронной почтой, хранить пароли и ключи шифрования.

В РУТОКЕН реализована файловаясистема организации и хранения данных по ISO 7816. Токен поддерживает стандартыPS/CS и PKCS#11. Это позволит быстро встроить поддержку РУТОКЕН, как в новые,так и в уже существующие приложения.

РУТОКЕН используется для решенияследующих задач:

Аутентификация

·         Заменапарольной защиты при доступе к БД, VPN-сетям и security-ориентированнымприложениям на программно-аппаратную аутентификацию.

·         Шифрованиесоединений при доступе к почтовым серверам, серверам баз данных, Web-серверам,файл-серверам, аутентификация при удалённом администрировании.

Защита данных

·          Защитаэлектронной почты (ЭЦП, шифрование).

·          Защитадоступа к компьютеру (авторизация пользователя при входе в операционнуюсистему).

РУТОКЕН может выступать как единоеидентификационное устройство для доступа пользователя к разным элементамкорпоративной системы и обеспечивать, необходимое разграничение доступа,автоматическую цифровую подпись создаваемых документов, аутентификация придоступе к компьютерам и приложениям системы.

Техническиехарактеристики:

·          базируетсяна защищенном микроконтроллере;

·          интерфейсUSB (USB 1.1 / USB 2.0);

·          EEPROMпамять 8, 16, 32, 64 и 128 Кбайт;

·          2-факторнаяаутентификация (по факту наличия РУТОКЕН и по факту предъявления PIN-кода);

·          32-битовыйуникальный серийный номер;

·          поддержкастандартов:

o    ISO/IEC7816;

o    PC/SC;

o    ГОСТ28147-89;

o    Microsoft Crypto API иMicrosoft Smartcard API;

o    PKCS#11(v. 2.10+).

Бесконтактный пропуск для выхода изпомещения и средство доступа в компьютерную сеть объединены в одном брелке. Длявыхода из помещения необходимо предъявить РУТОКЕН RF, а при отключенииидентификатора от USB-порта компьютера пользовательская сессия автоматически блокируется.

В РУТОКЕН RF используются пассивныерадиочастотные метки стандартов EM-Marine, Indala, HID (рабочая частота 125кГц). Это самые распространенные метки в России на сегодняшний день, считыватели,совместимые с ними, установлены в большинстве существующих систем контроля иуправления доступом.

/>/>/>/>3.3.3 Подсистемазащиты от вредоносного программного обеспечения

Согласно многочисленнымисследованиям на сегодняшний день самой распространенной и наносящей самыебольшие убытки информационной угрозой являются вирусы, «троянские кони»,утилиты-шпионы и прочее вредоносное программное обеспечение. Для защиты от негоиспользуются антивирусы. Причем этим средством обеспечения безопасности долженбыть оборудован каждый компьютер вне зависимости от того, подключен он к Интернетуили нет.

Для защиты информации вбухгалтерии ООО «Стиль» от вредоносного программного обеспечения будетиспользоваться Антивирус Касперского 2010.

Антивирус Касперского 2010 – эторешение для базовой защиты компьютера от вредоносных программ. Продукт содержитосновные инструменты для обеспечения безопасности ПК. Для полноценной защитыкомпьютера рекомендуется дополнительно использовать сетевой экран.

Признанные во всем миреантивирусные технологии защищают компьютер от таких современных информационныхугроз, как:

·    вирусы,троянские программы, черви, шпионские, рекламные программы и др.

·    новыебыстро распространяющиеся и неизвестные угрозы

·    руткиты,буткиты и прочие изощренные угрозы

·    ботнетыи другие незаконные способы скрытого удаленного управления компьютерамипользователей

В Антивирусе Касперского 2010реализованы новейшие технологии защиты, позволяющие обеспечить безопасность истабильную работу компьютера.

·         УсовершенствованнаяЗащита персональных данных, включающая модернизированную безопасную Виртуальнуюклавиатуру.

·         Системамгновенного обнаружения угроз, моментально блокирующая новое вредоносное ПО

·         МодульПроверка ссылок, предупреждающий о зараженных или опасных веб-сайтах

·         Проактивнаязащита нового поколения от неизвестных угроз

·         СпециальныйИгровой профиль для временного отключения обновлений, проверки по расписанию иуведомлений.

Функции программы АнтивирусКасперского 2010:

Базовая защита:

·         Защита от вирусов, троянских программ и червей

·         Защита от шпионских и рекламных программ

·         Проверка файлов в автоматическом режиме и по требованию

·         Проверка почтовых сообщений (для любых почтовых клиентов)

·         Проверка интернет-трафика (для любых интернет-браузеров)

·         Защита интернет-пейджеров (ICQ, MSN)

·         Проактивная защита от новых вредоносных программ

·         Проверка Java- и VisualBasic-скриптов

Предотвращение угроз:

·         Поиск уязвимостей в ОС и установленном ПО

·         Анализ и устранение уязвимостей в браузере Internet Explorer

·         Блокирование ссылок на зараженные сайты

·         Распознавание вирусов по способу их упаковки

·         Глобальный мониторинг угроз (Kaspersky Security Network)

Восстановление системы иданных:

·         Возможность установки программы на зараженный компьютер

·         Функция самозащиты программы от выключения или остановки

·         Восстановление корректных настроек системы после удалениявредоносного ПО

·         Наличие инструментов для создания диска аварийного восстановления

Защита конфиденциальныхданных:

·         Блокирование ссылок на фишинговые сайты

·         Защита от всех видов кейлоггеров

Удобство использования:

·         Автоматическая настройка программы в процессе установки

·         Готовые решения (для типичных проблем)

·         Наглядное отображение результатов работы программы

·         Информативные диалоговые окна для принятия пользователемобоснованных решений

·         Возможность выбора между простым (автоматическим) и интерактивнымрежимами работы

·         Круглосуточная техническая поддержка

·         Автоматическое обновление баз

/>/>/>/>3.3.4 Подсистемарезервного копирования и архивирования

Один из эффективных методов борьбыс последствиями информационно-компьютерных катаклизм, модификации и потериинформации – это правильная организация резервного копирования данных на предприятии.

Оптимальным решением дляцентрализованного резервного копирования данных на рабочих станциях вкорпоративной сети является Acronis True Image 9.1 Workstation — комплексныйпродукт для резервного копирования информации на рабочих станциях, входящих всостав локальной компьютерной сети предприятия. Эта программа позволяетсоздавать резервные копии:

1) жестких дисков и их разделов, совсеми хранящимися на них данными, операционными системами и приложениями;

2) наиболее важных для пользователяфайлов и папок.

Поддержка как 64-разрядных, так и32-разрядных версий ОС Windows обеспечивает эффективную защиту данных накомпьютерах разных поколений. В случае фатальной ошибки программного илиаппаратного обеспечения Acronis True Image 9.1 Workstation позволит выполнитьполное восстановление системы или восстановление отдельных файлов и папок.Система может быть восстановлена как на прежний компьютер, так и на новыйкомпьютер с другими аппаратными средствами или на виртуальную машину.

С консоли управления Acronis,входящей в состав Acronis True Image 9.1 Workstation, производится удаленноеадминистрирование всех компьютеров в сети: установка агентов (приложений,необходимых для резервного копирования каждого компьютера), создание резервныхкопий и восстановление данных. Централизованное управление облегчает работуадминистратора и снижает общие затраты на обслуживание корпоративной сети.

Благодаря фирменной технологии AcronisDrive Snapshot Acronis True Image 9.1 Workstation производит резервноекопирование данных без выключения и перезагрузки рабочих станций, что позволяетизбежать перерывов в работе персонала.

/>/>/>/>3.3.5 Подсистемаобнаружения сетевых атак

RealSecure Server Sensor — это программное решение, которое позволяет обнаруживать всеатаки (т.е. на всех уровнях), направленные на конкретный узел сети. Помимообнаружения атак RealSecure Server Sensor обладает возможностью проведения анализазащищенности и обнаружения уязвимостей на контролируемом узле.

/>

Рис. 8. Компоненты RealSecureServer Sensor

RealSecure Server Sensor может иконтролировать журналы регистрации ОС, а также журналы регистрации любыхприложений, функционирующих под управлением этих ОС. Кроме того, RealSecureServer Sensor может обнаруживать атаки в сетях TCP/IP и SMB/NetBIOS, построенныхна базе любых сетевых архитектур, поддерживаемых контролируемым компьютером.

/>/>/>/>3.3.6 Подсистема защитыинформации в ЛВС

Подсистема защиты информации в ЛВСреализуется с помощью программного средства Secret Net. Система защитыинформации Secret Net является программно-аппаратным комплексом,предназначенным для обеспечения информационной безопасности в локальнойвычислительной сети.

Безопасность рабочих станций исерверов сети обеспечивается с помощью всевозможных механизмов защиты:

·  усиленнаяидентификация и аутентификация,

·  полномочноеи избирательное разграничение доступа,

·  замкнутаяпрограммная среда,

·  криптографическаязащита данных,

·  другиемеханизмы защиты.

Администратору безопасностипредоставляется единое средство управления всеми защитными механизмами,позволяющее централизованно управлять и контролировать исполнение требованийполитики безопасности.

Вся информация о событиях винформационной системе, имеющих отношение к безопасности, регистрируется ведином журнале регистрации. О попытках свершения пользователями неправомерныхдействий администратор безопасности узнает немедленно.

Существуют средства генерацииотчетов, предварительной обработки журналов регистрации, оперативногоуправления удаленными рабочими станциями.

КомпонентыSecret Net:

Система Secret Net состоит из трехкомпонент:

·          клиентскаячасть;

·          сервербезопасности;

·          подсистемауправления.

/>

Рис. 9. Компоненты системы Secret Net

Особенностью системы Secret Netявляется клиент-серверная архитектура, при которой серверная часть обеспечиваетцентрализованное хранение и обработку данных системы защиты, а клиентская частьобеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющейинформации в собственной базе данных.

/>Сервербезопасности устанавливается на выделенныйкомпьютер или контроллер домена и обеспечивает решение следующих задач:

·         ведениецентральной базы данных (ЦБД) системы защиты, функционирующую под управлениемСУБД Oracle 8.0 Personal Edition и содержащую информацию, необходимую дляработы системы защиты;

·         сборинформации о происходящих событиях со всех клиентов Secret Net в единый журналрегистрации и передача обработанной информации подсистеме управления;

·         взаимодействиес подсистемой управления и передача управляющих команд администратора наклиентскую часть системы защиты.

Подсистема управления Secret Net устанавливается на рабочем месте администраторабезопасности и предоставляет ему следующие возможности:

·         централизованноеуправление защитными механизмами клиентов Secret Net;

·         контрольвсех событий имеющих отношение к безопасности информационной системы;

·         контрольдействий сотрудников в ИС организации и оперативное реагирование на факты ипопытки НСД;

·         планированиезапуска процедур копирования ЦБД и архивирования журналов регистрации.

Схема управления, реализованная вSecret Net, позволяет управлять информационной безопасностью в терминахреальной предметной области и в полной мере обеспечить жесткое разделениеполномочий администратора сети и администратора безопасности.

/>/>/>/>3.3.7 Подсистемаобеспечения целостности данных

Целостностьинформационной базы бухгалтерии обеспечивается встроенными механизмамипрограммы 1С Бухгалтерия 7.7. При удалении помеченных объектов программа 1СБухгалтерия 7.7 в автоматическом режиме осуществляет поиск ссылок на удаляемыйобъект. В диалоговом окне удаления помеченных объектов кнопка Удалитьстановится активной только после нажатия на кнопку Контроль и поиска ссылок наобъект (рис. 10).

/>

Рис.10. Диалоговое окно удаления помеченных объектов программы 1С Бухгалтерия 7.7.

После осуществления контроляпрограммой выдается сообщения о количестве объектов, которые нельзя удалить,так как их удаление вызовет нарушение ссылочной целостности и приведет кнекорректной работе информационной базы (рис. 11).

/>

Рис. 11. Сообщение о количественеудаляемых объектов

В диалоговом окне удаленияпомеченных объектов появляется информация о ссылках на данный объект (рис. 12).

/>

Рис.12. Диалоговое окно удаления помеченных объектов программы 1С Бухгалтерия 7.7.после контроля целостности

В процессе работы системы1С: Предприятие могут возникать различные внештатные ситуации — отключениепитания компьютера «зависание» операционной системы, сбои оборудования ипрочее. Такие ситуации, возникшие в процессе записи изменений в таблицыинформационной базы системы 1С: Предприятие, могут привести к некорректномусостоянию информационной базы. Внешние проявления некорректного состоянияинформационной базы могут быть различными, вплоть до невозможности запуска1С: Предприятия.

Процедура «Тестирование иисправление информационных баз» предназначена для диагностики и устраненияошибочных состояний информационных баз, имеющих как формат DBF, так и формат MSSQL Server 6.5, при любом составе установленных компонент системы 1С: Предприятие.

/>

/>/>/>/>3.3.8 Подсистемарегистрации и учета

Даннаяподсистема также реализуется с помощью встроенных средств системы 1СБухгалтерия 7.7. Регистрация и учет осуществляются с помощью специальногорежима Монитор.

Монитор пользователей являетсядополнительным средством, предназначенным для администрирования системы1С: Предприятия.

Монитор позволяет просматриватьсписок активных пользователей, то есть тех пользователей, которые в данныймомент работают с информационной базой. Кроме того, монитор позволяетанализировать журнал регистрации действий, выполняемых пользователями за любыепериоды времени (историю работы пользователей).

Для вызова основных функцийМонитора пользователей в режиме запуска «Монитор» используются пункты «Активныепользователи» и «Журнал регистрации» колонки «Монитор» главного меню илисоответствующие кнопки панели инструментов. Работа с этими функциями ведетсятакже, как и в режиме запуска «1С: Предприятие».

/>/>/>Архивирование журнала регистрации

Кроме основных функций (просмотрасписка активных пользователей и журнала регистрации), в режиме запуска«Монитор» доступна функция архивирования журнала регистрации.

Режим просмотра журнала регистрацииимеет возможность показывать события из текущего журнала, а также события техпериодов, которые помещены в архив. При этом, если выбранный для просмотра интервалвключает периоды, за которые события помещены в архив, то извлечение данных изархива происходит автоматически. Разумеется, при обращении к данным архива наизвлечение необходимой информации будет тратиться дополнительное время.

Для вызова функции архивированияжурнала регистрации следует выбрать пункт меню «Архивирование журнала» изколонки «Монитор» главного меню или нажать соответствующую кнопку панелиинструментов.

Режим архивирования может бытьвызван только в том случае, если с данной информационной базой больше неработает ни один пользователь ни в каком режиме запуска 1С: Предприятия.

При вызове режима архивированияпоявляется диалог, в котором устанавливается период, за который данные журналарегистрации должны быть помещены в архив. В верхней части диалога выводитсяначальная и конечная даты текущего журнала.

Архивирование всегда выполняется,начиная с самых ранних событий текущего журнала: фактически, начальная границаархивируемого периода всегда определяется началом текущего журнала. В диалогезадается конечная граница периода архивирования.

/>/>/>3.4. Техническое задание на проектированиесистемы />/>/>информационной безопасности

1.Общие сведения

1.1. Наименование системы

Система информационной безопасностиООО магазин «Стиль».

1.2. Шифр работ

Шифр работ − «ИБОООмС-3».

1.3. Заказчики и исполнители

1.3.1. Заказчик − ООО «Стиль»,адрес: 644010,Россия, Омская область, г. Омск, ул. Ленинградская площадь 1.

1.3.2. Разработчик − Омскийгосударственный технический университет, кафедра прикладной математики иинформационных систем, адрес: Россия, 644050, г. Омск, пр. Мира, 11, тел. 65-20-48.

1.4. Основание для разработки

Договор № ### о создании Системыинформационной безопасности ООО «Стиль». Утвержден 01.04.2010 г. директором ООО«Стиль» Узковой Л.А.

1.5. Сроки выполнения работ

1.5.1. Разработка и ввод «ИБОООмС-3»в действие реализуются в сроки:  — начало работ – 01.04.2010 г.;  — окончаниеработ– 31.05.2010 г.

1.6. Сведения об источникахфинансирования работ

1.6.1. Источник финансирования – ООО«Стиль».

1.6.2. Порядок финансированияопределяется договором № ###.

1.6.3. Объем финансирования – 80 000рублей.

1.7. Порядок оформления ипредъявления результатов работ

Результаты работ оформляются впорядке, установленном в договоре № ### от 01.04.10.

1.8.Порядок внесения изменений 1.8.1.В настоящее техническое задание (ТЗ) допускается внесение изменений и уточнениетребований на основании решений заказчика.  1.8.2. Изменения к настоящему ТЗдолжны оформляться дополнением или протоколом, подписанным заказчиком иисполнителем. Дополнение или протокол в этом случае будут являться неотъемлемойчастью настоящего ТЗ.

2. Назначение и цели созданияСистемы

            2.1.Назначение системы

2.1.1. Разрабатываемая СИБпредназначена для комплексного решения задач обеспечения информационнойбезопасности в подразделении на основе новых технологий и оборудования,отвечающих современным требованиям, действующим нормативным документам,техническим требованиям и условиям органов государственного надзора. Основнойфункцией системы информационной безопасности является обеспечение адекватнойзащиты, целостности и конфиденциальности информационных ресурсов компании. Объектинформационной защиты – ООО «Стиль».

2.2. Цели создания системы

Главной целью системы обеспеченияинформационной безопасности является обеспечение устойчивого функционированияпредприятия, предотвращение угроз его безопасности, защита законных интересовпредприятия от противоправных посягательств, недопущение хищения финансовыхсредств, разглашения, утраты, утечки, искажения и уничтожения служебнойинформации, обеспечение нормальной деятельности всех сотрудников предприятия.Еще одной целью системы информационной безопасности является повышение качествапредоставляемых услуг и гарантий безопасности интересов клиентов.

3. Характеристики объекта защиты

ООО «Стиль» – это предприятие сраспределенными по корпоративной сети коммерческими информационными ресурсами,подлежащими защите.

3.1. Объектом защиты является деятельностьотдела бухгалтерии.

3.2. Управление должно вестись потехнологическим этапам управленческого процесса: планирование, учет, контроль,анализ.

3.3.    Сведенияоб условиях эксплуатации ИБОООмС-3

Условия эксплуатации должнысоответствовать Гигиеническими требованиями к видеодисплейным терминалам, персональнымэлектронно-вычислительным машинам и организации работы.

4.Требования к Системе в целом. 4.1.Требования к структуре и функционированию системы4.1.1.Структураи составные части ИБОООмС-3

4.1.1.1. ИБОООмС-3 должна состоять:

— из CRM, разворачиваемой вотделе бухгалтерии;

— организационного обеспечения;

— нормативно-правового обеспечения;

— прикладного программногообеспечения (ППО);

— комплекса технических средств(КТС);

— информационного обеспечения (ИО).

4.1.1.3. ППО должно состоять из подсистем,соответствующих классу защищенности 2А.

4.1.2. Требования к способам исредствам защиты связи

для информационного обмена

4.1.2.1. На транспортном и сетевомуровнях взаимодействия (по семиуровневой модели OSI ГОСТ Р ИСО/МЭК 7498) должениспользоваться стандартизованный стек протоколов TCP/IP.

4.1.2.2. Канальный и физическийуровень взаимодействия должны реализовываться средствами локальных сетейпользователя и Интернет.

4.1.3.Требования к режимам функционирования ИБОООмС

Должно быть обеспеченофункционирование СИБ Д в следующих режимах:

·  штатный режим (режим работы, обеспечивающий выполнениепользователями своих функциональных обязанностей);

·  сервисный режим (для проведения обслуживания, реконфигурациии пополнения новыми компонентами);

·  аварийный режим.

4.2. Требования к численности иквалификации персонала системы и режиму его работы:

 Персонал ИБОООмС-3 долженсостоять:  — из пользователей ИБОООмС-3;  — администратора ИБОООмС-3.  4.3.Требования к показателям назначения:

4.4. Требования к надежности:

4.4.1. Требования к надежности АИСУБП-2 устанавливаются для следующих составных частей системы:

— подсистем;

— КТС.

4.4.2. СИБ Д должна проектироватьсякак обслуживаемое восстанавливаемое изделие многократного применения (ГОСТ27.003-90).

4.4.3. Оценка надежности системыдолжна проводиться с использованием основных показателей надежности (ГОСТ24.701-86 и ГОСТ 27.003-90).

4.5.Требования безопасности4.5.1.Программно-аппаратные средства ИБОООмС-3 должны обеспечивать безопасностьобслуживающего персонала при эксплуатации, техническом обслуживании и ремонте сучетом требований ГОСТ 21552-84, ГОСТ 25861-83.4.5.2.Электробезопасность должна соответствовать требованиям ГОСТ 12.1.030-81, ГОСТ12.2.003, ГОСТ 12.2.007.0-75 и ГОСТ 12.2.007.13-2000.4.5.3.Технические средства должны отвечать действующей системе Государственныхстандартов безопасности труда и иметь сертификаты по электробезопасности иэлектромагнитной безопасности.

4.6. Требования к эргономике итехнической эстетике: <отсутствуют>

4.7. Требования к эксплуатации,техническому обслуживанию, ремонту и хранению комплектов системы:

4.7.1. Эксплуатация ИБОООмС-3должна производиться в соответствии с эксплуатационной документацией иРегламентом технического обслуживания.

4.7.2. Обслуживание ИБОООмС-3должно производиться администратором информационной безопасности.

4.7.3. Допускается использованиеспециализированных служб или подразделений на объектах внедрения дляобслуживания и ремонта оборудования.

4.8. Требования к эксплуатации:<отсутствуют>

4.9. Требования к защите информацииот несанкционированного доступа:

4.9.1. ИБОООмС-3 должнысоответствовать требованиям класса 2А «Классификации автоматизированныхсистем и требования по защите информации» в соответствии с РД Гостехкомиссии.

4.9.2. Кроме технических мер должныприменяться организационные меры защиты информации.

4.9.3. ИБОООмС-3 должнапредоставлять средства аутентификации, авторизации, защиты целостностиинформации и защиты от атак.

4.10.Требования по сохранности информации при авариях

4.10.1. Должна быть обеспеченасохранность информации при авариях.  4.10.2. Должны быть предусмотрены средствадля резервного копирования информации. В состав эксплуатационной документациидолжен входить регламент, определяющий процедуры резервного копирования,восстановления данных и программного обеспечения.

4.11. Требования к патентнойчистоте: <отсутствуют>

4.12. Требования к стандартизации иунификации: <отсутствуют>

5.Требования к функциям

5.1. Подсистема управлениядоступом:

·  должны осуществляться идентификация ипроверка подлинности субъектов доступа при входе в систему по идентификатору(коду) и паролю условно-постоянного действия длиной не менее шестибуквенно-цифровых символов;

·  должна осуществляться идентификациятерминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по ихлогическим адресам (номерам);

·  должна осуществляться идентификацияпрограмм, томов, каталогов, файлов, записей, полей записей по именам;

·  должно осуществляться управлениепотоками информации с помощью меток конфиденциальности. При этом уровеньконфиденциальности накопителей должен быть не ниже уровня конфиденциальностизаписываемой на них информации.

5.2. Подсистема регистрации и учета:

Должна осуществляться регистрация входа (выхода) субъектов доступа всистему (из системы). Регистрация выхода из системы или остановка не проводитсяв моменты аппаратурного отключения АС. В параметрах регистрации указываются:

·  дата и время входа (выхода) субъектадоступа в систему (из системы) или загрузки (останова) системы;

·  результат попытки входа: успешная илинеуспешная (при НСД);

·  идентификатор (код или фамилия)субъекта, предъявленный при попытке доступа;

Должна осуществляться регистрация выдачи печатных (графических)документов на «твердую» копию. Выдача должна сопровождатьсяавтоматической маркировкой каждого листа (страницы) документа порядковымномером и учетными реквизитами АС с указанием на последнем листе документаобщего количества листов (страниц). В параметрах регистрации указываются:

· дата и время выдачи (обращения кподсистеме вывода);

· спецификация устройства выдачи[логическое имя (номер) внешнего устройства], краткое содержание (наименование,вид, шифр, код) и уровень конфиденциальности документа;

· идентификатор субъекта доступа,запросившего документ;

Должна осуществляться регистрация запуска (завершения) программ ипроцессов (заданий, задач), предназначенных для обработки защищаемых файлов. Впараметрах регистрации CRMдолжны указываться:

·   дата и время запуска;

·   имя (идентификатор) программы(процесса, задания);

·   идентификатор субъекта доступа,запросившего программу (процесс, задание);

·   результат запуска (успешный,неуспешный – несанкционированный);

Должна осуществляться регистрация попыток доступа программных средств(программ, процессов, задач, заданий) к защищаемым файлам. В параметрахрегистрации должны указываться:

·  дата и время попытки доступа кзащищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная,

·  идентификатор субъекта доступа;

·  спецификация защищаемого файла.

Должна осуществляться регистрация попыток доступа программных средств кследующим дополнительным защищаемым объектам доступа: ПК, узлам сети, линиям(каналам) связи, внешним устройствам, программам, томам, каталогам, файлам,записям, полям записей.

В параметрах регистрации должны указываться:

·   дата и время попытки доступа кзащищаемому объекту с указанием ее результата: успешная, неуспешная – несанкционированная;

·  идентификатор субъекта доступа;

·  спецификация защищаемого объекта[логическое имя (номер)];

Должен осуществляться автоматический учет создаваемых защищаемых файлов спомощью их дополнительной маркировки, используемой в подсистеме управлениядоступом. Маркировка должна отражать уровень конфиденциальности объекта;

Должно проводиться несколько видов учета (дублирующих) защищаемыхносителей информации;

5.3. Криптографическаяподсистема:

– должно осуществляться шифрование всей информации, записываемой насовместно используемые различными субъектами доступа (разделяемые) носителиданных, в каналах связи, а также на съемные носители данных долговременнойвнешней памяти для хранения за пределами сеансов работы санкционированныхсубъектов доступа. При этом должны выполняться автоматическое освобождение иочистка областей внешней памяти, содержавших ранее незашифрованную информацию;

– доступ субъектов к операциям шифрования и криптографическим ключамдолжен дополнительно контролироваться подсистемой управления доступом.

5.4. Подсистема обеспеченияцелостности:

– должна быть обеспечена целостность программных средств СЗИ НСД,обрабатываемой информации, а также неизменность программной среды. При этом:

– целостность СЗИ НСД проверяется при загрузке системы по наличию имен(идентификаторов) компонент СЗИ;

– целостность программной среды обеспечивается отсутствием в АС средствразработки и отладки программ;

– должны осуществляться физическая охрана СВТ (устройств и носителейинформации), предусматривающая постоянное наличие охраны территории и здания,где размещается АС, с помощью видеонаблюдения, использование строгогопропускного режима, специальное оборудование помещений АС;

 – должен быть предусмотрен администратор (служба) защиты информации,ответственный за ведение, нормальное функционирование и контроль работы СЗИНСД;

 – должно проводиться периодическое тестирование функций СЗИ НСД приизменении программной среды и персонала АС с помощью тест — программ,имитирующих попытки НСД;

– должны быть в наличии средства восстановления СЗИ НСД, предусматривающиеведение двух копий программных средств СЗИ НСД и их периодическое обновление иконтроль работоспособности;

– должны использоваться сертифицированные средства защиты.

6.Требования к видам обеспечения 6.1.Требования к информационному обеспечению: <отсутствуют>

6.2.Требования к математическомуобеспечению: <отсутствуют>

6.3.Требования к информационномуобеспечению: <отсутствуют>

6.4.Требования к лингвистическомуобеспечению: <отсутствуют>

6.5. Требования к программномуобеспечению

 6.5.1. Для построения СИБнеобходимо использовать современные программные решения от ключевых вендоров вобласти информационной безопасности.

6.6. Требования к техническомуобеспечению:

СИБ должна обеспечивать комплекснуюзащиту приложений и всех объектов ИТ-инфраструктуры на базе передовыхтехнологий безопасности, возможности работы с любыми аппаратными платформами(Windows, Unix/Linux), возможности масштабирования и гибкой конфигурациииспользуемых аппаратно-программных средств безопасности.

6.7. Требования к метрологическомуобеспечению: <отсутствуют>

6.8. Требования к организационномуобеспечению:

Должнабыть определена ответственность за нарушение режима безопасности информации.

7. Состав и содержание работ посозданию (развитию) системы.

7.1. Номер и наименование этапа:

1)         проведениеобследования: начало этапа – 01.04.2010 г., конец – 31.04.2010 г.

2)         созданиемодели СИБ – начало этапа: 01.05.2010 г., конец –  31.05.2010 г.

8. Порядок контроля и приемкисистемы:

Контроль функционирования СИБдолжен обеспечиваться:

-         силамисобственного подразделения по защите информации (администратора безопасности);

9. Требования к составу исодержанию работ по подготовке объекта автоматизации к вводу в действие:<отсутствуют>

10. Требования к документированию:

10.1. Документация, разрабатываемаяв ходе создания ИБОООмС-3, должна соответствовать требованиям ГОСТ 34.201-89.

10.2. Проектная документация насистему защиты информации должна включать следующие документы по информационнойбезопасности:

-         руководствопользователя;

-         руководствоадминистратора СЗИ;

-         тестовая иинструктивно-методическая документация;

-         конструкторская(проектная) документация.

11. Источники разработки:

1.        Техническоезадание на создание автоматизированной системы. ГОСТ 34.602-89.

2.        Виды,комплектность и обозначение документов при создании автоматизированных систем.ГОСТ 34.201-89.

3.        Требованияк содержанию документов. РД 50-34.698-90.

/>/>/>/>Заключение

В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену информационного фактора. Широкое внедрение персональных компьютеров вывело уровень информатизации деловой жизни на качественно новую ступень. Ныне трудно представить себе фирму или предприятие (включая самые мелкие), которые не были бы вооружены современными средствами обработки и передачи информации. В ПК на носителях данных накапливаются значительные объемы информации, представляющей большую ценность для ее владельца.

Однако создание индустрии переработки информации, давая объективные предпосылки для грандиозного повышения эффективности жизнедеятельности человечества, порождает целый ряд сложных и крупномасштабных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в распределенных информационных системах.

В рамках даннойкурсовой работы спроектирована система информационнойбезопасности для бухгалтерии ООО магазин «Стиль».

В ходе выполнения курсовой работыбыли решены следующие задачи:

1.        Обследованаинфраструктура ООО магазин «Стиль» и определены исходные данные дляпроектирования системы ИБ;

2.        Разработана концепция ИБ;

3.        Разработана система информационной безопасности.

/>/>/>/>Библиографическийсписок

1.        Силаенков А.Н. Проектирование системыинформационной безопасности: учеб. пособие – Омск: Изд-во ОмГТУ, 2009. – 128 с.

2.        Руководящий документ Средства вычислительной техники.Защита от несанкционированного доступа к информации. Показатели защищенности отнесанкционированного доступа к информации от 30 марта 1992 г.

3.        ГрязновЕ.С., Панасенко С.А. Безопасность локальных сетей. – М.: Вузовский учебник,2006.- 525 с.

4.        КозлачковП.С. Основные направления развития систем информационной безопасности. – М.:финансы и статистика, 2004.- 736 с.

5.        ЛеваковГ.Н. Анатомия информационной безопасности. – М.: ТК Велби, издательствоПроспект, 2004.- 256 с.

6.        СоколовД.Н., Степанюк А.Д. Защита от компьютерного терроризма. – М.: БХВ-Петербург,Арлит, 2002.- 456 с.

7.        СычО.С.Комплекснаяантивирусная защита локальной сети. – М.: финансы и статистика, 2006.- 736 с.

8.        Швецова Н.Д. Системы технической безопасности: актуальные реалии.– Спб: Питер, 2004. – 340 с.

9.        http://www.lghost.ru/lib/security/kurs5/theme01_chapter04.htm

10.       http://www.globaltrust.ru/

11.       http://www.arnis.ru/gost_17799_common.htm