Угроза/уязвимость	Th	CTh
1/1	0,04	0,050
1/2	0,01
2/1	0,06	0,079
2/2	0,02

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,124

Рассчитаем риск по ресурсу:

R=CTh*D=0,124*300 000=37 347, 46 (руб.).

Риск по этому ресурсу также невелик - всего 12,4 % и потери - 37 347,46 руб. Главной проблемой является неорганизованность служащих.

4. Объект защиты - кабинеты с конфиденциальной информацией и кабельные системы.

Так как доступ на предприятие ограничен и по пропускам, и по именным картам, то проникнуть на территорию предприятия, а также в офисные помещения посторонним лицам невозможно.

1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1 Выбор комплекса задач обеспечения информационной безопасности

На основании оценки рисков наиболее ценным информационным активам были выбраны основные задачи по совершенствованию информационной безопасности.

Можно выделить 3 группы задач разрабатываемой системы информационной безопасности:

1. Обеспечение доступности следующих активов: Цены на товары и материалы, Информационные услуги, Скидки клиентов, Наряд на выполнение работ, Бухгалтерская и налоговая отчетность.

2. Обеспечение конфиденциальности следующих активов: Приходные накладные, Расходные накладные, Инвентаризационная ведомость, Заказы клиентов, Внутренняя переписка сотрудников.

3. Обеспечение целостности следующих активов: Программное обеспечение.

Основная цель разработки системы информационной безопасности - это снижение уровня риска по каждому активу и по всем информационным объектам в совокупности. Таким образом, необходимо решить следующий комплекс задач:

1. Возможность самостоятельно в привычной терминологии запрашивать, согласовывать и получать доступ к необходимым информационным ресурсам через web-портал.

2. Возможность работать с документами без нарушения уровня конфиденциальности.

3. Возможность непрерывно контролировать все изменения правдоступа к информационным ресурсам компании и другие изменения значимых настроек; иметь всю необходимую информацию для оперативного расследования инцидентов, связанных с несоблюдением правил политики безопасности.

Основной задачей предприятия является завоевание новых рынков, привлечение покупателей за счет внедрения новинок, обеспечение доступности для клиентов информации по продукции и обслуживанию. Все это возможно только за счет обеспечения информационной безопасности на предприятии.

Внедрением системы защиты на предприятии будет заниматься системный администратор (подбор, установка, настройка и обслуживание технических и программных средств защиты), а также начальник службы безопасности и руководитель предприятия (разработка положений, приказов, распоряжений).

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

Решение задачи обеспечения информационной безопасности является очень важной для функционирования предприятия. Потеря информации приведет к выходу всей системы из строя, потере прибыли, потере постоянных клиентов.

Учитывая система мер для обеспечения информационной безопасности предприятия:

I. Технические

1. Аппаратные:

1) Приобрести источник бесперебойного питания для сервера.

2) Установить видеокамеры.

3) Приобрести сейфы и другие устройства для хранения документации.

2. Программные:

1) Установить систему КУБ.

2) Установить программное средство Secret Net 5.1.

3) Установить на рабочие места пользователей антивирусы. Наиболее удобной будет такая система: на сервере устанавливается антивирус-сервер, а на рабочих местах - клиентские приложения, работой которых управляет сервер. Это сравнительно недорогое решение, а главное, что администратор сможет управлять проверкой всех компьютеров с сервера.

4) Усовершенствовать политику паролей. Предлагать пользователю смену пароля раз в месяц, рекомендовать использование сложного пароля.

5) Выполнить разграничение доступа к документам на сервере;

6) Выделять разное количество трафика разным группам пользователей интернета, а также определить некоторый набор ресурсов, к которым можно получить доступ.

При введении этих мер нужно взять с работников письменное соглашение о соблюдении правил работы с информацией и техникой, которые могут быть изложены в трудовом договоре или отдельным документом.

1.4 Выбор защитных мер

1.4.1 Выбор организационных мер

Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль работы персонала и реализацию программ знания и понимания мер защиты.

Административная безопасность включает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности.

Существуют три стратегии обеспечения информационной безопасности:

- оборонительная;

- наступательная;

- упреждающая.

В рамках данного предприятия выбрана наступательная стратегия информационной безопасности. Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

В основном режиме функционирования система учета заказов компания должна обеспечивать работу пользователей в режиме «24х7» (24 часа в день, 7 дней в неделю).

В состав персонала, необходимого для обеспечения эксплуатации ИС в рамках соответствующего подразделения входят менеджеры по продажам и заведующий складом. Техническая поддержка и администрирование осуществляется штатным программистом.

К квалификации персонала, эксплуатирующего разрабатываемую систему, предъявляются следующие требования:

- Менеджер по продажам - знание принципов работы с клиентами при регистрации заказов и подборе мебели; изучение инструкции по эксплуатации ИС (руководство пользователя).

- Заведующий складом - знание принципов работы с клиентами при приеме материалов на склад; изучение инструкции по эксплуатации ИС (руководство пользователя).

- Администратор ИС - знание методологии проектирования хранилищ данных; знание 1С; опыт администрирования 1С; знание и навыки операций архивирования и восстановления данных; знание и навыки оптимизации работы 1С; знание и навыки администрирования приложения; знание инструментов разработки.

Уровень надежности должен достигаться согласованным применением организационных, организационно-технических мероприятий и программно-аппаратных средств. Надежность должна обеспечиваться за счет:

- применения технических средств, системного и базового программного обеспечения, соответствующих классу решаемых задач;

- своевременного выполнения процессов администрирования системы;

- соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

- предварительного обучения пользователей и обслуживающего персонала.

Для обеспечения безопасности при использовании ИС пользователям требуется соблюдать стандартные требования по технике безопасности при работе с ПК. Комплекс технических средств, необходимый для нормального функционирования ИС, должен отвечать требованиям СанПин 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы», утв. Главным государственным санитарным врачом РФ 30 мая 2003 г.

В части диалога с пользователем:

- для наиболее частых операций должны быть предусмотрены «горячие» клавиши;

- при возникновении ошибок в работе подсистемы, на экран монитора должно выводиться сообщение с наименованием ошибки и с рекомендациями по её устранению на русском языке.

Для обеспечения сохранности при авариях и сбоях необходимо предусмотреть следующие меры по восстановлению работоспособности системы:

- Резервное копирование базы данных - операция создания резервных архивных копий должна производиться автоматически ежедневно в конце рабочего дня при завершении работы ИС, либо в любой момент времени администратором системы по его инициативе.

- Восстановление из резервной копии - операция должна проводиться только администратором системы.

Предполагается, что единая база данных для работы с информационной системой будет находиться на выделенном сервере с установленной СУБД «1С: Предприятие».

Пользователи смогут подсоединяться и работать с системой посредством клиентского приложения. Для этого на сервере должно быть установлено следующее системное ПО:

- Операционная система Windows 7;

- СУБД «1С: Предприятие»;

На клиентской машине должны быть установлены:

- Операционная система Windows 7;

- Офисный пакет Microsoft Office;

- Почтовый клиент;

- СУБД «1С: Предприятие»;

Для того чтобы сотрудники компании использовали ресурсы проектируемой системы квалифицированно, эффективно и по назначению, придерживаясь норм этики и соблюдая законы, определены две категории пользователей системы, описание которых представлено в таблице 1.18.

Таблица 1.19

Разграничение прав пользователей

Пользователи	Справочники	Документы	Отчеты
Администратор	Полный доступ	Полный доступ	Полный доступ
Менеджер по продажам	Чтение Добавление Редактирование	Формирование Предварительный просмотр Печать	Формирование Предварительный просмотр Печать
Дизайнеры	Чтение Добавление Редактирование	Формирование Предварительный просмотр Печать	Формирование Предварительный просмотр Печать

План содержит подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы.

К числу разрабатываемых планов можно отнести:

- положение о пропускном режиме предприятия;

- регламент защищенного (конфиденциального) документооборота;

- порядок реагирования на инциденты;

- техническое задание на разработку информационной системы;

- руководство пользователя;

- руководство администратора;

- руководство программиста.

1.4.2 Выбор инженерно-технических мер

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую -- генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны -- недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств -- универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки -- ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства. Зачастую в программно-аппаратных средствах реализуется целый комплекс мер по защите информации например, это может быть крипто-маршрутизатор с функциями межсетевого экрана.

Программные средства защиты информации Программные средства являются наиболее распространенными средствами защиты информации (особенно это касается корпоративных сетей). Их можно классифицировать следующим образом:

Встроенные средства защиты информации в сетевых ОС. При современном развитии информационных технологий и растущем уровне угроз безопасности информации, обязательным элементом операционной системы является подсистема обеспечения безопасности, в зависимости от операционной системы, уровень сложности, надежности и эффективности этих подсистем может сильно меняться, но, тем не менее, они почти всегда присутствуют. Приведем несколько примеров таких средств:

Сетевые ОС позволяют осуществить надежную "эшелонированную" защиту данных от аппаратных сбоев и повреждений с помощью системы SFT (System Fault Tolerance - система устойчивости к отказам) компании Novell. В сетевой ОС предусмотрена возможность кодирования данных по принципу "открытого ключа" (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов. В Linux системах стандартом де-факто является система межсетевого экранирования netfilter/iptables, дающая мощные возможности по управлению сетевым трафиком. Так же существует механизм chroot, который изменяет корневой каталог для программы или пользователя и позволяет запереть их там, таким образом, что остальная файловая система будет для них не доступна. Сhroot может использоваться как упреждающий способ защиты от бреши в безопасности, предотвращая возможного атакующего от нанесения любых повреждений или зондирования системы с помощью скомпрометированной программы. В Windows системах, также имеются встроенные СЗИ, например межсетевой экран - Брандмауэр Windows, или Защитник Windows - программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появление spyware-модулей в операционных системах Microsoft Windows.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Из наиболее распространенных решений следует отметить следующие средства защиты информации:

Программы шифрования и криптографические системы защиты информации. Шифрование представляет собой сокрытие информации от неавторизованных лиц с предоставлением в этоже время авторизованным пользователям доступа к ней. Пользователи называются авторизованными, если у них есть соответствующий ключ для дешифрования информации. Еще одной важной концепцией, является то, что цель любой системы шифрования максимальное усложнение получения доступа к информации неавторизованными лицами, даже если у них есть зашифрованный текст и известен алгоритм, использованный для шифрования. Пока неавторизованный пользователь не обладает ключом, секретность и целостность информации не нарушается.

Firewalls - брандмауэры. Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью - маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Виртуальные частные сети обладают несколькими характеристиками: трафик шифруется для обеспечения защиты от прослушивания, осуществляется аутентификация удаленного сайта, виртуальные частные сети обеспечивают поддержку множества протоколов (используемые технологии: PPTP, PPPoE, IPSec.), соединение обеспечивает связь только между двумя конкретными абонентами.

Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Обнаружение вторжений - это активный процесс, при котором происходит обнаружение злоумышленника при его попытках проникнуть в систему. При обнаружении несанкционированных действий такая система выдаст сигнал тревоги о попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. Системы предотвращения вторжений помимо обнаружения запрещенных действий в сети могут также принимать активные меры по их предотвращению. Основными недостатками таких систем можно назвать невозможность обнаружить все атаки, осуществляемые на сеть и ложные срабатывания.

информация защита безопасность актив



2. Разработка комплекса мер по обеспечению защиты информации

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

? Конституция РФ;

? Законы федерального уровня (включая федеральные конституционные законы, кодексы);

? Указы Президента РФ;

? Постановления правительства РФ;

? Нормативные правовые акты федеральных министерств и ведомств;

? Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

1. Методические документы государственных органов России:

? Доктрина информационной безопасности РФ;

? Руководящие документы ФСТЭК (Гостехкомиссии России);

? Приказы ФСБ;

2. Стандарты информационной безопасности, из которых выделяют:

? Международные стандарты;

? Государственные (национальные) стандарты РФ;

? Рекомендации по стандартизации;

? Методические указания.

Основным документом, в соответствии с которым фирмы выстраивают структуру защиты данных, не предназначенных для посторонних глаз, является Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне». Согласно представленному в нем определению, коммерческая тайна - это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (п. 1 ст. 3 Закона № 98-ФЗ).

Под разглашением коммерческой тайны в законе понимается передача третьим лицам сведений, составляющих коммерческую тайну при условии, что сведения содержались хозяйствующим субъектом в тайне, что они были в установленном порядке вверены разгласившему их лицу без согласия на разглашение и что разглашением был причинен ущерб [1, п.1 ст.3].

К информации, которая требует «скрытого режима», относятся имеющие коммерческую ценность сведения не только экономического, но также организационного и производственного характера. Секретная информация может храниться в организации на совершенно разных носителях - от простой бумаги до жестких дисков компьютеров.

Существуют сведенья, которые ни при каких условиях не могут быть «засекречены» компанией. Их перечень закреплен в статье 5 Закона № 98-ФЗ. В соответствии с законом общедоступной является информация:

1) содержащаяся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащаяся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которой или недопустимость ограничения доступа к которой установлена иными федеральными законами.

Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» так же заключает в себя правила по охране конфиденциальности информации:

1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

- определение перечня информации, составляющей коммерческую тайну;

- ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

- учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

- регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

- нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.

3. Индивидуальный предприниматель, являющийся обладателем информации, составляющей коммерческую тайну, и не имеющий работников, с которыми заключены трудовые договоры, принимает меры по охране конфиденциальности информации, указанные в части 1 настоящей статьи, за исключением пунктов 1 и 2, а также положений пункта 4, касающихся регулирования трудовых отношений.

4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.

5. Меры по охране конфиденциальности информации признаются разумно достаточными, если:

- исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

- обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

6. Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

- выделение специальных ЭВМ для обработки конфиденциальной информации;

- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

- организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;

- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

- постоянный контроль за соблюдением установленных требований по защите информации.

На основе анализа существующей системы безопасности было принято решение реализовать такие административные меры безопасности:

1) Разработать и утвердить приказом по предприятию:

- положение о защите сведений, содержащих коммерческую тайну, и другой информации ограниченного пользования, определённые законодательством РФ;

- перечень сведений, содержащих коммерческую тайну;

- инструкцию по правилам работы со сведениями, содержащими коммерческую тайну;

- инструкцию по делопроизводству с документами ограниченного пользования.

2) Издать приказ по предприятию, в котором:

- на руководителей подразделений возложить обязанность проведения мероприятий, направленных на обеспечение сохранности коммерческой тайны;

- определить меры административного наказания за нарушение правил работы с документами и сведениями, содержащими коммерческую тайну;

- на службу безопасности возложить обязанность по выявлению возможных нарушений, в результате которых возможна утечка охраняемых сведений.

3) Ввести запрет на хранение личной информации на компьютере.

4) Установить правила копирования документов, исключающих изготовление копий важных документов без санкции руководителя.

5) От работников, по должности обладающих сведениями коммерческой тайны, при заключении трудового договора брать письменные обязательства о неразглашении. В случае увольнения работника, требовать от него передачи всех носителей информации, составляющих коммерческую тайну, которые находились в его распоряжении.

6) Изготовить выписки, содержащие выдержки из положения о конфиденциальной информации для использования работниками в повседневной деятельности;

7) Разработать журнал учета персональной информации;

8) Разработать правила работы с электронной почтой.

9) При включении компьютера перед вводом пароля программным способом выдавать пользователю сообщение, напоминающее пользователю о правилах работы с компьютером.

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия

Для решения задачи обеспечения информационной безопасности была выбрана системв КУБ, КУБ -- уникальное кроссфункциональное решение для автоматизации и управления доступом к информационным ресурсам компании и контроля соблюдения политики безопасности. КУБ предназначен для крупных компаний с большой, разнородной КИС, с географически разветвленной структурой, имеющих большое количество ежедневных кадровых операций и/или высокую цену любых ошибок, связанных с неверно предоставленными правами доступа к информационным ресурсам. КУБ позволяет автоматизировать управление учетными записями, реализовать процесс согласования прав доступа, а также обеспечить непрерывный мониторинг их изменений.

КУБ -- единственная на российском рынке система, которая решает задачи сразу трех основных групп пользователей:

1. Бизнес-подразделениям. Возможность самостоятельно в привычной терминологии запрашивать, согласовывать и получать доступ к необходимым информационным ресурсам через web-портал; в любой момент времени видеть текущий статус своей заявки.

2. Службе информационных технологий/автоматизации. Возможность получать четкие инструкции к выполнению в понятных исполнителю терминах; не тратить время на уточнение требований заявок; быть уверенным, что своими действиями инженер не нарушает политику информационной безопасности компании. Возможна полная автоматизация выполнения заявок.

3. Службе информационной безопасности. Возможность непрерывно контролировать все изменения прав доступа к информационным ресурсам компании и другие изменения значимых настроек; иметь всю необходимую информацию для оперативного расследования инцидентов, связанных с несоблюдением правил политики безопасности.

Возможности КУБ

1. Управление:

? Электронный документооборот заявок, электронная подпись и политики их согласования

? Ролевая модель управления

? Инструменты анализа и оптимизации ролей

? Гибкая система отчетов для разных категорий пользователей

2. Безопасность:

? Соответствие вносимых измений прав доступа установленной политике ИБ

? Непрерывный контроль несанкционированных изменений прав доступа

? Согласованное управление логическим и сетевым доступом

? Управление цифровыми сертификатами и контроль программно-аппаратных конфигураций.

3. Автоматизация:

? Динамическое построение маршрутов согласования заявок на изменение прав доступа

? Управление учетными данными и правами доступа пользователей на основе кадровых изменений

? Автоматическая генерация инструкций на изменение прав доступа, либо автоматическое исполнение инструкций

При использовании системы КУБ процесс управления доступом представлен на рисунке 2.1.

Рисунок 2.1. Процесс управления доступом

Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей. При этом роль КУБ заключается в формировании и согласовании заявок на доступ, а также реализации и контроле доступа. Именно эти задачи являются ключевыми для комплексного управления доступом.

Типовая архитектура решения задач управления доступом представлена на рисунке.



Рисунок 2.2. Типовая архитектура управления доступом

КУБ обладает следующими преимуществами:

1. Обеспечение безопасности. КУБ - единственная система, полностью решающая задачу обеспечения информационной безопасности компании в дополнение к функциональности типовой IDM. Помимо управления логическим доступом, КУБ обеспечивает управление сетевым доступом, цифровыми сертификатами и контроль программно-аппаратных конфигураций. КУБ осуществляет непрерывный контроль соответствия запрошенных и реализованных прав доступа.

2. Расследование инцидентов. Хранение полной истории всех изменений прав пользователей открывает перед службой безопасности широкие возможности по оперативному и эффективному расследованию инцидентов, связанных с нарушением политики безопасности компании. В КУБ реализована защита электронных заявок и выполняемых с ними операций (создание, согласование, отклонение) с помощью электронно-цифровой подписи.

3. Оптимизация технических ресурсов. Логика работы информационных систем в КУБ закладывается в процессе настройки, благодаря чему КУБ может оперативно выявлять несанкционированные изменения. Возможность автоматического выполнение заявок на изменение доступа, позволяет оптимизировать работу технических отделов и минимизировать ошибки, связанные с человеческим фактором.

4. Обучение и поддержка клиентов. В поставку КУБ входит подробная документация на русском языке. Для клиентов работает горячая линия поддержки. Мы обучаем наших клиентов в специализированных учебных центрах.

5. Развитие. Гибкая архитектура системы КУБ обеспечивает широкие возможности по расширению функциональности и интеграции с внешними системами. Система стремительно развивается навстречу требованиям рынка. В каждой версии КУБ появляются новые уникальные возможности.

В результате аудита информационной безопасности предприятия, были выявлены основные проблемы системы видеонаблюдения. Учитывая вышеизложенное, разработаны меры для повышения эффективности функционирования системы видеонаблюдения организации:

1. Замена устаревших видеокамер.

2. Установка камер в помещениях и на прилегающей территории.

3. Замена монитора видеооператора.

4. Установка сервера в отдельном помещении.

5. Установка видеомонитора у проходной.

6. Замена программного обеспечения вывода видеосигнала.

7. Замена соединительного кабеля.

Благодаря предложенным мероприятиям будет построена эффективная система видеонаблюдения в организации. Рассмотрим более подробно, что будут включать в себя предложенные мероприятия.

1. Замена устаревших камер.

Срок службы электронных компонентов системы охранного телевидения составляет порядка 7 лет. В кабинете директора и на проходной используются камеры производителя mintron. На основании документации о монтаже системы видеонаблюдения, закупленные камеры были не новыми. Уже использовались ранее, т.е. срок их службы может быть более 7 лет.

Для замены этих видеокамер выбраны камеры серии KPC-190. Видеокамеры серии KPC-190 обладают повышенной чувствительностью и разрешением.

2. Установка камер в помещениях.

Принято решение выбрать телекамеру KPC-S20. Видеокамеры серии KPC-S20 обладают повышенной чувствительностью и разрешением. Эта модель видеокамеры зарекомендовала себя как очень надежная и неприхотливая. Она способна дать четкое и контрастное изображение и обладает очень малыми габаритами. Производитель фирма KT&C (Корея). Камера близка по своим характеристикам камерам серии KPC-400. Основное отличие - это меньшие размеры, но несколько более высокая цена. Между собой видеокамеры серии KPC-S20 отличаются объективами и чувствительностью. В комплекте с камерой входит П-образный кронштейн

3. Выбор видеокамер для охраны периметра.

При модернизации системы видеонаблюдения периметра нужно устранить учесть проблемы.

- Ненадлежащая защита камер от условий внешней среды.

- Повышение информативности изображения камер наблюдающих за въездом на территорию школы.

Для защиты камеры от мороза, осадков и прочих неблагоприятных условий. Возможно использование кожухов для стандартных бескорпусных камер или использование готовых уличных камер уже укомплектованных термокожухом.

Для этого были выбраны камеры AS-1 и A-4. Черно-белая видеокамера для уличной установки AS-1, уличная камера вмдеонаблюдения, с автоподогревом; CCD Sharp 1/3"; 420 ТВЛ; 0,1 люкс; диапазон рабочих температур -50...+50°С, DC12V/0,27А. Угол обзора, град.: 21, 28, 56, 78, 90, 110 на выбор.

Уличные видеокамеры наблюдения были разработаны на основе термокожуха Модельный ряд уличных камер видеонаблюдения AS-1 включает в себя модели с углами обзора от 21 до 110 градусов, что позволяет решать большинство задач, связанных с обеспечением уличного видеонаблюдения на любом объекте.

Камеры видеонаблюдения AS-1 имеют высокую чувствительность в инфракрасном диапазоне и могут использоваться совместно с ИК-прожектором. Благодаря использованию дополнительного фильтра по питанию возможно подключение нескольких камер к одному источнику питания. Приятный дизайн и цветовое решение видеокамер с использованием эпоксиполиэфирной краски, способствует отражению солнечных лучей, что защищает камеры от перегрева.

Для точек видеонаблюдение, в которых призвано обеспечивать высокое качество изображения и идентификацию некоторых деталей. Принято решение использовать видеокамеру того же модельного ряда, но с более высоким разрешением AS-4.

Черно-белая уличная камера наблюдения высокого разрешения для уличной установки с автоподогревом; CCD SONY SUPER HEAD 1/3"; 600 твл; 0,05 люкс; объектив f=от 2,9 мм до 16 мм; диапазон рабочих температур -50...+50°С, DC 12V/0,27А. Угол обзора град.: 21, 28, 56, 78, 90, 110 на выбор. Данная камера позволяет получить четкое изображение объекта, обладает высокой степенью надежности и небольшими габаритами. Использование ее позволяет распознавать номера автомобилей подъезжающих к зданию.

4. Замена монитора видеооператоров.

Для более комфортного видеонаблюдения в системе видеонаблюдения следует заменить старый монитор.

Выбирая тип монитора следует отдать предпочтение ЖК-монитору. В основе того, что ЖК-монитор более приятен для глаз лежит следующее:

- Отсутствует мерцание, присущее ЭЛТ в связи с постоянным перерисовыванием экрана. На ЖК-дисплее пиксели занимают строго определенное, фиксированное положение, и цвет их менятся только в том месте экрана, где на `картинке` происходит движение.

- Никаких проблем связанных со сведением лучей. У цветного ЭЛТ-монитора не одна, а три пушки, каждая на свой цвет, и которые посылают каждая по лучу, возникает проблема настроек по сведению и фокусировке лучей, идеально ничего не бывает, а потому опять страдает качество изображения. В ЖК-мониторе каждый пиксель расположен в фиксированной матрице и `знает свое место`

- Бликов на экране ЖК монитора в несколько раз меньше. Коэффициент отражения света от поверхности ЖК монитора в три и более раз меньше, чем от поверхности кинескопа с самым совершенным на сегодняшний момент антибликовым покрытием (Sony FD Trinitron, Mitsubishi Diamondtron NF).

Другие важные преимущества ЖК перед ЭЛТ:

- ЖК-монитор не создает вокруг себя очень вредного для здоровья человека постоянного электростатического потенциала, так как имеет нулевой постоянный потенциал дисплея потому, что не обстреливается из электронной пушки.

- Малый вес ЖК-монитора. ЖК-монитор это тонкая пластина со стойкой, которая нужна, чтбы зафиксировать ЖК-пластину в удобном положении.

- ЖК-монитор потребляет раза в три-четыре меньше электроэнергии, чем ЭЛТ, что может оказться важным показателем в ряде случаев, например для тесных офисов.

5. Замена соединительного кабеля.

Состояние кабеля соединяющего элементы системы видеонаблюдения можно оценить, как неудовлетворительное. Поэтому высок риск искажений и потерь в качестве изображения. Принято решение использовать для передачи стандартный коаксиальный кабель с волновым сопротивлением 75 Ом. В зависимости от качества кабеля (вносимого им затухания), как правило, приемлемое качество изображения может быть достигнуто, если видеокамера удалена от поста наблюдения на расстояние не более 200…400 м. При больших расстояниях для компенсации потерь в кабеле рекомендуется использовать магистральные видеоусилители. Будучи вспомогательными приборами, они могут быть размещены в отдалении от оператора, причем, для повышения отношения сигнал/шум магистральные видеоусилители желательно располагать как можно ближе к видеокамере.

Видеокамеры KPC-190 имеют цилиндрическую форму, что значительно упрощает монтаж при скрытой установке камер. Между собой видеокамеры серии KPC-190 отличаются формой объектива и, соответственно, чувствительностью. В комплекте с камерой входит удобный металлический кронштейн. Видеокамера KPC-190SВ1 имеет обычный объектив со стеклянной (не пластмассовой) оптикой и самую высокую чувствительность из камер этой серии. Видеокамера KPC 190SР-120 имеет точечный объектив "pin-hole" с диаметром наружной линзы около 2 мм, что наряду с маленькими габаритными размерами камеры позволяет использовать ее для скрытой установки. Также эта камера имеет самый большой угол обзора 90 градусов по горизонтали из всех камер этой серии в стандартной комплектации. Данная камера показывает высокие характеристики разрешения 420 ТВЛ, что совпадает с разрешением KPC-500 и больше, чем у камер SK. Среди данных камер стандартной комплектации KPC-190 обладает самой высокой чувствительностью, что делает ее оптимальной для темных участков здания.

Видеокамера KPC-S20B имеет обычный объектив со стеклянной (не пластмассовой) оптикой и самую высокую чувствительность из камер этой серии. С помощью камеры KPC-S20B и специальной оптической насадки "СОН-170", "СОН-120" можно сделать простой, но качественный видеоглазок, предназначенный для установки внутри двери.

Видеокамеры KPC-S20PH4, KPC-S20P4 имеют точечный объектив "pin-hole" с диаметром наружной линзы около 1 мм, что наряду с маленькими габаритными размерами камер позволяет использовать их для скрытой установки.

Так же, как и в кассовом помещении в зоне банкоматов производится работа с деньгами. Но как было сказано ранее использование цветной камеры нецелесообразно. Поэтому для зоны банкоматов также выбрана камера повышенного разрешения KPC-S20. Но в данном помещении постоянно находится достаточно большое количество людей, которые постоянно в пределах него перемещаются. В такой ситуации многие важные детали могут быть скрыты от камеры видеонаблюдения.

В связи с этим принято решение использовать в данном помещении вместо одной камеры две расположенных в противоположных углах комнаты. Четкой идентификации, такой как в кассовых помещениях не требуется, поэтому угол обзора в 90° вполне соответствует целям видеонаблюдения в данном помещении. Схема расположения камер приведена на рисунке 2.3.

Рис. 2.3. Встречное расположение камер

Преимуществом такого расположения видеокамер, кроме дублирования является то, что с помощью противоположной камеры имеется возможность просмотра ближней зона данной видеокамеры, что еще более минимизирует потерю видеоданных.

Кроме размещения видеокамер будет выполнен перенос видеосервера в специальное помещение, там же будет заменен монитор.

Для защиты компьютеров организации от несанкционированного доступа целесообразно использовать средство защиты информации Secret Net 5.1. Наличие необходимых сертификатов ФСТЭК обеспечивает возможность использования Secret Net 5.1 для защиты автоматизированных систем до уровня 1Б включительно и информационных систем обработки персональных данных до 1 класса включительно.

Система Secret Net 5.1 совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя с помощью программно-аппаратных средств при его входе в систему. В качестве устройств для ввода в нее идентификационных признаков могут использоваться:

- iButton;

- eToken Pro.

Функция управления доступом пользователей к конфиденциальной информации работает следующем образом, каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: "Не конфиденциально”, "Конфиденциально”, "Строго конфиденциально”, а каждому пользователю - уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.

С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. В качестве аппаратной поддержки система Secret Net 5.1 использует программно-аппаратный комплекс Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.

Контроль целостности используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:

- регистрация события в журнале Secret Net;

- блокировка компьютера;

- восстановление повреждённой/модифицированной информации;

- отклонение или принятие изменений.

Самоконтроль подсистем СКЗИ производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.1 загружены и функционируют.

Шифрование файлов предназначено для усиления защищенности информационных ресурсов компьютера. В системе Secret Net 5.1 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им не только индивидуально, но и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147-89.

Система Secret Net 5.1 регистрирует все события, происходящие на компьютере: включение\выключение компьютера, вход\выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители.

В организации необходимо использование межсетевого экрана, который разделяет сегменты, сети в которых обрабатывается конфиденциальная информация, персональные данные сотрудников, а также информация открытого характера.

Межсетевой экран -- комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Для решения этой задачи подойдёт программно-аппаратный межсетевой экран Cisco ASA 5505, который соответствует требованиям к 3 классу защищённости в соответствии с руководящим документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации»

Межсетевой экран Cisco Systems серии ASA (Adaptive Security Appliances) -- выскопроизводительные устройства для фильтрации трафика, защиты от вирусов, червей и различных видов интернет-атак, охраны периметра корпоративных сетей, организации шифрованных каналов через интернет для связи офиса и филиалов, а также для удаленного подключения сотрудников и организации extranet-доступа.

Cisco ASA 5505 - многофункциональное устройство защиты ресурсов сети от внутренних и внешних атак. В инфраструктуре предприятия ASA 5505 занимает место классического межсетевого экрана (firewall), позволяющего защитить сеть предприятия или отдельные сегменты, но функционал данного решения намного шире.

ASA 5505 объединяет в себе множество технологий и решений по обеспечению информационной безопасности.

Контроль соединений между узлами сети обеспечивает встроенный межсетевой экран с механизмами инспекции пакетов с учетом состояния протокола (stateful inspection firewall) на уровнях 2-7, который позволяет следить за состоянием всех сетевых коммуникаций и помогает предотвратить несанкционированный доступ к сети. Механизмы анализа протоколов на прикладном уровне позволяют обеспечить защиту от нелегального использования разрешенных портов, к примеру HTTP - TCP порт 80 для ICQ и других приложений.

ASA 5505 может функционировать в «бесшумном» режиме, при этом она не будет является видимым узлом сети, будет прозрачно для пользователя пропускать трафик, обеспечивая необходимый уровень защиты.

ASA 5505 реализует часть функций современного маршрутизатора, такие как протоколы динамической маршрутизации RIP и OSPF, резервирование каналов доступа в сеть Интернет, механизмы обеспечения качества обслуживания (QoS).

Для обеспечения возможности восстановления всех критически важных данных и программ после выхода из строя автоматизированной рабочей станции, сервера или порчи цифрового носителя информации, необходимо иметь надлежащие средства резервного копирования.

Резервное копирование - процесс создания копии данных на цифровом носителе, предназначенной для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения.

Для решения задачи резервного копирования рекомендуется использовать программный продукт Drive Backup 10 Workstation, который необходимо установить на каждую рабочую станцию, на которой планируется резервное копирование данных. Для удаленного администрирования программы можно установить на любом из компьютере, входящем в состав локальной вычислительной сети предприятия Paragon Remote Manager 2.0.