Главная База знаний "Allbest" Программирование, компьютеры и кибернетика Разработка программно-технических средств для защиты от несанкционированного доступа (на примере ООО "Минерал")

Разработка программно-технических средств для защиты от несанкционированного доступа (на примере ООО "Минерал")

Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 19.01.2015
Размер файла 2,3 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Страница:

Рисунок 1.5 Схема корпоративной сети ООО "Минерал"

1.2.3 Средства информационного обмена в фирме

В состав сети входят двадцать рабочих станций и три многофункциональных сервера, которые нужны для выполнения определенных задач [13]. Рабочая станция обеспечивает сотрудника всеми возможностями для выполнения своей профессиональной деятельности. Информационная сеть подразделений фирмы построена по топологии "звезда". Каждое рабочее место имеет доступ к локальным ресурсам сети и имеет выход в интернет. Используется технология Fast Eternet до 100 Мбит/с.

В состав серверов входят:

· Прокси-сервер, почтовый сервер и сайт предприятия (1).

· Сервер баз данных, 1С сервер (2).

· Файловый сервер (3).

Прокси-сервер обеспечивает доступ в интернет. Почтовый сервер обеспечивает приём и отправку сообщений и создание корпоративного почтового ящика, так же на данном сервере размещен сайт предприятия. Файловый сервер служит для хранения информации и предоставление ее пользователям по требованию. На сервере 1С установлена лицензия программы. Сервер обеспечивает доступ к базам 1С и другим базам.

Для подключения к сети Интернет используются услуги провайдера "Аннет". Выделенная линия 8000 кбит/сек (Аннет).

1.2.4 Программное и аппаратное обеспечения сети ООО "Минерал"

Для обеспечения надежности, слаженности и работоспособности всех компонентов корпоративной сети ООО "Минерал" используются следующие программные обеспечения:

· Microsoft Windows 7

· Windows Server 2008

· Microsoft Office 2010.

На всех серверах установлена операционная система Windows Server 2008, на рабочих станциях сотрудников предприятия установлена операционная система Microsoft Windows 7.

Перечень используемого сетевого оборудования и средств связи включает в себя: маршрутизатор D-Link DFL-800, управляемый коммутатор D-Link DES-3326S и коммутатор DES-1024D 10/100 Мбит/с.

Коммутаторы DES-1024D служат для соединения рабочих групп отделов. Для построения ЛКС использовался кабель - неэкранированная витая пара.

Конфигурации компьютерного оборудования представлена серверами и рабочими станциями. На серверах установлена ОС Windows Server 2008, оптимальными системными требованиями являются: Процессор 3ГГц, ОЗУ 2ГБ, место на жестком диске 80 ГБ.

Прокси-сервер. Прокси-сервер предоставляет доступ в интернет всем пользователям и позволит отслеживать и регулировать трафик. Используется сервер DEPO Storm 2300N5, с параметрами: 2 процессора, 2-хядерный 2.53 ГГц, ОЗУ 64 Гб DDR3, 1 жестких диск 1ТБ.

Сервер баз данных. Используется сервер DEPO Storm 2300N5, с параметрами: 2 процессора 2-х ядерных по 2.53 ГГц, ОЗУ 32ГБ, жесткий диск 1ТБ.

Файловый сервер. Поскольку данный сервер является файл сервером, то значительно увеличен размер жесткого диска. Используется сервер DEPO Storm 2300N5, с параметрами: 2 процессора 2-х ядерных по 2.53 ГГц, ОЗУ 32ГБ, 2 жестких диска по 1ТБ.

Для рабочих станций предприятия были выбраны компьютеры с оптимальными системными требованиями:

Процессор: CPU Intel Core 2 Duo E7300 2.66 ГГц / 2core / 3Мб / 65 Вт / 1066МГц LGA775, так же установлена оперативная память DDR3 4Гб, которая позволяет повысить производительность и снизить энергопотребление системы. Также в каждом отделе установлены: сетевые или локальные принтера HpLJ 1100.

Следовательно, ООО "Минерал" имеет инфраструктуру, объединенную в корпоративную сеть. ООО "Минерал" это общество с ограниченной ответственностью и является коммерческой организацией, что определяет политику информационной безопасности.

1.3 Характеристика объекта защиты от НСД

В системе безопасности существуют следующие средства защиты информации: физические, аппаратные, программные, криптографические и комбинированные методы (способы) и средства защиты информации.

Детально рассмотрим цель защиты информации в фирме и два наиболее важных уровня защиты - программный и технический уровни защиты.

1.3.1 Обеспечение конфиденциальности информации как основная цель защиты ООО "Минерал"

Чтобы обеспечить защиты конфиденциальности информации в первую очередь необходимо классифицировать отделы предприятия по степени важности хранящихся и используемых в работе данных.

Категории информации:

· служебная тайна;

· персональные данные;

· коммерческая тайна;

· открытые регламентные ресурсы.

ООО "Минерал" является коммерческой структурой, следовательно, служебная тайна и персональные данные должны быть надежно защищены. Исходя из категории, к отделам будут применяться определенные степени защиты [8]:

· возможность пользоваться внешними носителями;

· интернет (с возможностью выхода на посторонние сайты или полный запрет;

· доступ к файл-серверу;

· доступ к 1С предприятию;

· возможность пользования другими почтовыми ящиками;

· возможность внесения изменений данных документации (по согласованию с директором фирмы).

Каждый сотрудник имеет свой почтовый ящик. Доступ к социальным сетям полностью закрыт. Целостность и доступность информации осуществляется путем координации деятельности сотрудников начальством. Определение право доступа и разрешение на внесения изменения данных документаций.

На предприятии существует файловый сервер, через который проходит основной поток документов и файлов. Также существуют справочные и бухгалтерские системы 1С. Все сетевые ресурсы имеют строго ограниченный доступ. Пользователи имеют возможность получить доступ к какому-либо ресурсу только после согласования с начальником отдела или системным администратором, после чего осуществляется доступ к данным ресурсам.

На предприятии активно используются сетевые базы данных, такие как 1С, Доступ к ним имеют только не сотрудники, которые непосредственно работают с ними. Также активно используются локальные сетевые ресурсы, хранящиеся на файл-сервере, там хранятся документы, которые могут потребоваться нескольким сотрудникам.

Сбор информации происходит посредством сервера, хранение осуществляется на сервере, обмен информацией между базами данных осуществляется с помощью программного обеспечения, резервное копирование данных осуществляется на специально выделенный жесткий диск

1.3.2 Программный уровень защиты

Обзор сертифицированного программного обеспечения в фирме представлен операционными системами Windows Server 2008 и Microsoft Windows 7.

Microsoft Windows Server 2008 - полнофункциональная серверная многозадачная и многопользовательская операционная система общего назначения со встроенными средствами защиты от НСД. Может быть использована для защиты конфиденциальной информации и персональных данных на серверах в составе сети. WindowsServer 2008 обеспечивает:

· упрощенное управление ИТ-инфраструктурой с помощью новых средств, обеспечивающих единый интерфейс для настройки и мониторинга серверов и возможность автоматизации рутинных операций;

· облегченное управление веб-серверами с помощью Internet Information Services 7.0 - мощной веб-платформы для приложений и служб. Эта модульная платформа имеет более простой интерфейс управления на основе задач и интегрированные средства управления состоянием веб-служб;

· улучшенный контроль параметров пользователей с помощью расширенной групповой политики.

Microsoft Windows Server Standard Edition 2008 - программный комплекс, является программным средством со встроенными средствами защиты от несанкционированного доступа к конфиденциальной информации, и соответствует требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информациию. Сертифицированная версия Microsoft Windows Server 2008 Standard Edition поставляется в составе базового или полного пакета. Cертификат соответствия № 1928 от 27.10.2009 г.

Microsoft Windows 7 - представляет собой версию Windows 7, направленную непосредственно на бизнес-пользователей и IT-специалистов. Благодаря короткому времени отклика и постоянной готовности ПК к работе повышается производительность и обеспечивается лучшая защита от угроз безопасности. Может быть использована для защиты конфиденциальной информации и персональных данных на серверах в составе сети. Операционная система Windows 7 создана на основе принципов безопасности WindowsVista, отвечает пожеланиям пользователей о создании более удобной и управляемой системы и содержит усовершенствования безопасности, необходимые для защиты данных в условиях быстро меняющейся структуры угроз.

Основные функции Windows 7: упрощенный контроль учетных записей пользователей. поддержка устройств безопасности. обеспечение безопасности универсального доступа.

обеспечивает гибкую защиту от вредоносных программ и вторжений, поэтому пользователи могут получить нужное соотношение безопасности, контроля и продуктивности. Основными усовершенствованиями системы безопасности являются компонент AppLocker™ и браузер Internet Explorer® 8, которые обеспечивают новый стандарт защиты операционной системы от вторжения вредоносных программ в Windows 7.

Операционная система Windows 7, является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну, соответствуют требованиям руководящего документа "Средства вычислительной техники. Защита от несанкционированного доступа к информации.

Сертифицированная версия Microsoft Windows 7 Корпоративная поставляется в составе базового или полного пакета. Cертификат соответствия ФСТЭК России № 2180 от 30.09.2010 г.

В фирме имеется: Антивирус: Касперского 6.0 для Windows Workstation, программа обслуживания сети Anyplace Control и набор сетевых утилит для диагностики сетей и мониторинга сетевых соединений компьютера Essential Net Tools v.4.1.

1.3.3 Программно-технический уровень защиты

Для обеспечения защиты от сетевых атак наиболее широко используемым и эффективным является установка [9]:

1. Комплексных систем защиты класса ЗАСТАВА, обеспечивающих защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных частных сетей (Virtual Private Networks - VPN) и распределенного межсетевого экранирования (МЭ, FW).

2. Широкополосный аппаратный IP-шифратор класса "Заслон" - это отечественный магистральный широкополосный аппаратный IP-шифратор, предназначенный для криптографической защиты информации в современных телекоммуникационных системах.

3. Средств комплексной защиты информации - СЗИ ОТ НСД Secret Net 7.

Рассмотрим данные продукты более подробно.

Продукты ЗАСТАВА работают на различных аппаратных платформах, под управлением многих популярных операционных систем. Они используются как в крупных, территориально распределенных системах, где одновременно работают тысячи агентов ЗАСТАВА, так и в системах малого и среднего бизнеса, где необходима защита всего для нескольких компьютеров. Программный комплекс "VPN/FW "ЗАСТАВА", версия 5.3, обеспечивает защиту корпоративных информационно-вычислительных ресурсов на сетевом уровне с помощью технологий виртуальных частных сетей (Virtual Private Networks - VPN) и распределенного межсетевого экранирования (МЭ).

ЗАСТАВА 5.3 обеспечивает:

· защиту отдельных компьютеров, в том числе мобильных, от атак из сетей общего пользования и Интернет;

· защиту корпоративной информационной системы или ее частей от внешних атак;

Сертифицированная ФСБ РФ версия продукта предоставляет заказчикам готовое решение, позволяющее органично интегрировать продукт в любые информационные системы без необходимости получения дополнительных заключений о правильности встраивания и обеспечивающее полную легитимность его использования для защиты конфиденциальной информации, включая персональные данные. Срок действия сертификатов с 30 марта 2011 г. по 30 марта 2014 г.

Шифратор Заслон - это полностью аппаратное решение. Все криптографические функции и сетевое взаимодействие реализованы в нём схемотехническими, а не программными методами. Выбор аппаратной реализации, в отличие от распространенных устройств (криптомаршрутизаторов), базирующихся на ПЭВМ общего назначения, обусловлен необходимостью преодоления ограничений архитектуры таких ЭВМ. Это, в первую очередь, ограничения общей шины, к которой подключаются сетевые интерфейсные карты. Несмотря на высокую скорость работы современных шин PCI и PCI-X, особенности работы сетевых шифраторов (коррелированные во времени прием и передача пакета со сдвигом на время зашифрования/расшифрования) не позволяют использовать всю их пропускную способность.

В общем, если требуется объединить локальные вычислительные сети незащищенными каналами связи, не опасаясь нарушения конфиденциальности данных при передаче и не тратя значительных усилий на обеспечение совместимости приложений при работе по шифрованным каналам. Заслон выполнен в виде "прозрачного" с точки зрения сети устройства. По этой причине в большинстве случаев достаточно только сконфигурировать шифратор и включить его "в разрыв" соединения защищаемой локальной сети с внешним каналом связи.

СЗИ ОТ НСД Secret Net 7 предназначена для предотвращения несанкционированного доступа к рабочим станциям и серверам, работающим в гетерогенных локальных вычислительных сетях [21]. Система дополняет своими защитными механизмами стандартные защитные средства операционных систем и тем самым повышает защищенность всей автоматизированной информационной системы предприятия в целом, обеспечивая решение следующих задач:

v управление правами доступа и контроль доступа субъектов к защищаемым информационным, программным и аппаратным ресурсам;

v управление доступом к конфиденциальной информации, основанное на категориях конфиденциальности;

v шифрование файлов, хранящихся на дисках;

v контроль целостности данных;

v контроль аппаратной конфигурации;

v дискреционное управление доступом к устройствам компьютера;

v регистрация и учет событий, связанных с информационной безопасностью;

v мониторинг состояния автоматизированной информационной системы;

v ролевое разделение полномочий пользователей;

v аудит действий пользователей (в том числе администраторов и аудиторов);

v временная блокировка работы компьютеров;

v затирание остаточной информации на локальных дисках компьютера.

Система Secret Net 7 состоит из трех функциональных частей:

· защитные механизмы, которые устанавливаются на все защищаемые компьютеры автоматизированной системы (АС) и представляют собой набор дополнительных защитных средств, расширяющих средства безопасности ОС Windows.

· средства управления защитными механизмами, которые обеспечивают централизованное и локальное управление системой.

· средства оперативного управления, которые выполняют оперативный контроль (мониторинг, управление) рабочими станциями, а также централизованный сбор, хранение и архивирование системных журналов.

Secret Net 7 состоит из трёх компонентов:

1. СЗИ Secret Net 7 - Клиент. Устанавливается на все защищаемые компьютеры. В состав этого ПО входят следующие компоненты:

· Защитные механизмы - совокупность настраиваемых программных и аппаратных средств, обеспечивающих защиту информационных ресурсов компьютера от несанкционированного доступа, злонамеренного или непреднамеренного воздействия.

· Модуль применения групповых политик.

· Агент сервера безопасности.

· Средства локального управления - это штатные возможности операционной системы, дополненные средствами Secret Net 7 для управления работой компьютера и его пользователей, а также для настройки защитных механизмов.

2. СЗИ Secret 7 - Сервер безопасности. Включает в себя:

· Собственно сервер безопасности.

· Средства работы с базой данных (БД).

3. СЗИ Secret Net 7 - Средства управления. Включает в себя:

· Программу "Монитор". Эта программа устанавливается на рабочем месте администратора оперативного управления - сотрудника, уполномоченного контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени.

В фирме требуется внедрение аналогичных технологий.

1.4 Определение класса защиты инфраструктуры ООО "Минерал"

Необходимыми исходными данными для проведения классификации конкретного объекта защиты являются [8]:

· перечень защищаемых информационных ресурсов объекта и их уровень конфиденциальности;

· перечень лиц, имеющих доступ к штатным средствам объекта, с указанием их уровня полномочий;

· регламент доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам объекта;

· режим обработки данных в объекта.

1.4.1 Классы и группы защищенности систем

Классы и группы защищенности систем, определенные руководящим документом "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" [15] приведены на рисунке 1.6.

Рисунок 1.6 Классы и группы защищенности систем

Часто спрашивают, как связаны Приказ ФСТЭК России от 5.02.2010 N 58 [14] и руководящие документы Гостехкомиссии России, какой является таблица соответствия информационных систем персональных данных (ИСПДн) и автоматизированных систем (АС)?

К сожалению, в самом Приказе ФСТЭК такой таблицы в явном виде нет, но, если внимательно построчно сравнивать требования к подсистемам ИСПДн, указанные в Положении о методах и способах защиты информации в информационных системах персональных данных (утвержденного Приказом ФСТЭК № 58), и требования к подсистемам, указанные в РД Гостехкомиссии по АС и по МЭ, то можно составить следующую таблицу 1.3 и рисунок:

Таблица 1.3 - Таблица соответствия категории информации и классов защиты системы.

Для удобства анализа таблицы красным цветом указаны требования, предъявляемые к защите государственной тайне, синим - к защите конфиденциальной информации (в понимании СТР-К), зеленым - упрощенные требования.

Рисунок 1.7 Классы и группы защищенностей, применяемых для АС и ИСПДн

На основании данных рисунка 1.6 и таблицы соответствия категории информации и классов защиты системы можно сделать следующий вывод.

Рассматриваемый объект защиты относится к классу защищенности 1Г, который относится к первой группе (К1) и включает в себя многопользовательские АС третьей группы (рисунок 1.7), в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС.

1.4.2 Требования к классу защищенности 1Г

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: управления доступом; регистрации и учета; криптографической; обеспечения целостности. В таблице 1.4 приведены требования к классу защищенности 1Г [14].

Таблица 1.4 приведены требования к классу защищенности 1Г.

Подсистемы и требования

Класс 1Г

1. Подсистема управления доступом

1.1 Идентификация, проверка подлинности и контроль доступа субъектов:

в систему

+

к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

+

к программам, к томам, каталогам, файлам, записям, полям записей

+

1.2 Управление потоками информации

-

2. Подсистема регистрации и учета

2.1 Регистрация и учет:

входа (выхода) субъектов доступа в (из) систему (узел сети)

+

выдачи печатных (графических) выходных документов

+

запуска (завершения) программ и процессов (заданий, задач)

+

доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

+

доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей

+

изменения полномочий субъектов доступа

-

создаваемых защищаемых объектов доступа

-

2.2 Учет носителей информации

+

2.3 Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

+

2.4 Сигнализация попыток нарушения защиты

-

3. Криптографическая подсистема

3.1 Шифрование конфиденциальной информации

-

3.2 Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах

-

3.3 Использование аттестованных (сертифицированных) криптографических средств

-

4. Подсистема обеспечения целостности

4.1 Обеспечение целостности программных средств и обрабатываемой информации

+

4.2 Физическая охрана средств вычислительной техники и носителей информации

+

4.3 Наличие администратора (службы) защиты информации в АС

-

Подсистема управления доступом:

· должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю;

· должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

· должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

· должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета:

· должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова;

· должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию.;

· должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

· должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

· должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа;

· должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей;

Подсистема обеспечения целостности:

· должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды;

· должна осуществляться физическая охрана СВТ (устройств и носителей информации;

· должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;

· должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

1.5 Цели и задачи дипломного проектирования

Целью данного дипломного проекта является повышение эффективности работы ООО "Минерал" посредством выбора решения по организации защиты информации от несанкционированного доступа в корпоративной сети фирмы. Чтобы достичь поставленной цели, необходимо решить следующие задачи:

1. Провести анализ корпоративной сети предприятия как объекта защиты информации и выявить основные угрозы безопасности

2. Определить требования и класс защищенности объекта

3. Рассмотреть вероятные способы защиты информации

4. На основе проведенного анализа фирмы выбрать программно-технические средства защиты информации от НСД.

В первом разделе были рассмотрены общие вопросы, связанные с проблемами НСД в корпоративной сети, а так же проанализирован объект защиты ООО "Минерал". Программно-технические средства защиты должны обеспечивать разграничение доступа к информационным ресурсам, программам, к базам данных, интернету и сетевым принтерам.

2. Специальный раздел

Повышение эффективности работы ООО "Минерал" посредством выбора решения по организации защиты информации от несанкционированного доступа в корпоративной сети фирмы требует комплексно проанализировать существующую инфраструктуру, информационные потоки и оборудование системы в фирме. Такой анализ обычно осуществляется в рамках модели безопасности корпоративной сети, которая формирует требования к системе защиты от НСД.

Проанализировав информационную безопасность фирмы можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:

· большое количество документов на бумажных носителях в основном находятся в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;

· отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);

· нерегулярное обновление баз антивируса и сканирование рабочих станций;

· не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;

· отсутствие политики паролевой защиты;

· отсутствие политики информационной безопасности и четного определения полномочий и действий системного администратора.

Все вышеперечисленное актуализирует вопросы обеспечения информационной безопасности фирмы от НСД.

2.1 Построение модели корпоративной безопасности и защиты от НСД

Главная цель любой системы корпоративной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств. Для этого необходимо [8]:

· отнести информацию к категории ограниченного доступа (служебной тайне);

· прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

· создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

· создать механизм и условия оперативного реагирования на угрозы информационной безопасности;

· создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.

2.1.1 Структура модели

При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации (рисунок 2.1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности”, стандарту ISO/IEC 17799 "Управление информационной безопасностью" и ГОСТ Р ИСО/МЭК ТО 15446-2008.

2.1.2 Модель построения корпоративной системы защиты информации от НСД

Представленная модель защиты информации - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы [11]:

угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;

уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;

риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности.

Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

2.1.3 Детализация потоков в инфраструктуре ООО "Минерал"

Основным назначением информационной инфраструктуры фирмы является: ведение маркетинга; ведение кадрового учета; ведение бухгалтерского учета; сбор, учет, накопление, хранение, обработка и анализ информации, связанной с деятельностью фирмы; формирование отчетов, относящихся к деятельностью ООО "Минерал", организация электронного документооборота.

Целевая информация, хранимая и обрабатываемая в информационной инфраструктуре ООО "Минерал", востребована рядом информационных систем органов государственной власти и учреждений. В частности информационная инфраструктура ООО "Минерал", осуществляет посредством сети Интернет информационный обмен с: Федеральной налоговой службой; Пенсионным фондом Российской Федерации; Сбербанком РФ.

Таким образом, информационная инфраструктура ООО "Минерал" представляет собой информационную систему, имеющую подключения к сетям связи общего пользования и сетям международного информационного обмена. Исходя из этого, все информационные потоки в информационной инфраструктуры ООО "Минерал" можно разделить на две основные группы: внутренние и внешние.

К внешним информационным потокам относится передача информации во внешние информационные системы (Федеральную налоговую службу, Сбербанк РФ, Пенсионный фонд РФ и др.);

К внутренним информационным потокам относятся [11]:

· сбор (ввод) целевой информации, первичных бухгалтерских данных и данных кадрового учета;

· просмотр, создание архивных копий, вывод на печать и др.;

· обмен служебной информации (приказы, распоряжения и др.);

· разрешения на доступ к целевой информации;

· передача запрошенной целевой информации;

· процессы авторизации пользователей информационной инфраструктуры, запросы на получение доступа к целевой информации в соответствии с правилами доступа на предоставление целевой информации.

2.1.4 Определение информации, подверженной угрозам НСД

Информационными ресурсами инфраструктуры ООО "Минерал", потенциально подверженными угрозам НСД являются следующие [13]:

1. Целевая информация: коммерческая тайна ООО "Минерал"; персональные данные работников ООО "Минерал" и других физических лиц, которым становятся известны ООО "Минерал" при осуществлении своей деятельности.

2. Технологическая информация: конфигурационные данные и другая информация по технологиям, программным и техническим средствам, используемым для накопления, хранения, обработки, передачи и защиты информации; служебная информация средств защиты информации (идентификаторы, пароли, таблицы разграничения доступа, криптографические ключи, информация журналов аудита безопасности и др.).

3. Программное обеспечение: программные информационные ресурсы информационной инфраструктуры ООО "Минерал", содержащие общее и специальное программное обеспечение, резервные копии программного обеспечения, программное обеспечение средств ЗИ.

Источники информации для осуществления НСД:

· общая информация - это информация о назначения и общих характеристиках информационной инфраструктуры ООО "Минерал";

· эксплуатационная информация - это информация, полученная из эксплуатационной документации;

· чувствительная информация - это информация, дополняющая эксплуатационную информацию об информационной инфраструктуре ООО "Минерал" (например, сведения из проектной документации информационной инфраструктуры ООО "Минерал").

В частности, нарушитель доступа может иметь:

· данные об уязвимостях технических, программных и программно-технических средств информационной инфраструктуры ООО "Минерал";

· данные о реализованных в системе принципах и алгоритмах защиты;

· сведения об информационных ресурсах информационной инфраструктуры ООО "Минерал": порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков;

· данные об организации работы, структуре и используемых технических, программных и программно-технических средствах информационной инфраструктуры ООО "Минерал".

Состав имеющихся у нарушителя средств, которые он может использовать для НСД, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах информационной инфраструктуры ООО "Минерал" конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Предполагается, что нарушитель имеет: штатные средства информационной инфраструктуры; доступные в свободной продаже и доступе технические средства и программное обеспечение.

Инфраструктура ООО "Минерал" содержит следующие информационные ресурсы:

информация, относящаяся к коммерческой тайне:

· заработная плата,

· договоры с поставщиками и покупателями,

· технологии производства;

защищаемая информация (ограниченного доступа):

· трудовые договора,

· личные дела работников,

· материалы отдела снабжения,

· личные карты работников,

· содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,

· прочие разработки и документы для внутреннего пользования;

открытая информация:

· информация маркетинговой деятельности фирмы

· информация на web-сайте фирмы и буклеты

· устав и учредительный документ,

· информация отдела продаж,

· прайс-лист продукции.

Рассмотрим категории персональных данных и определим информацию отделов ООО "Минерал", подлежащую защите:

· Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

· Категория 2 - персональные данные, позволяющие идентифицировать персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.

· Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных.

· Категория 4 - обезличенные и (или) общедоступные персональные данные.

Ввиду того, что деятельность ООО "Минерал" не связана с информацией, относящейся к категории 1, рассмотрим классификацию отделов по категориям К2, К3, К4.

К категории 2 относится информация:

· Бухгалтерии и финансового отдела (БФО);

· Кадровой деятельности;

· Юридической деятельности;

· Отдела ИТ.

К категории 3 относится информация:

· Отдела снабжения;

· Дирекции.

К категории 4 относится информация::

· Отдела продаж;

· Маркетинговой деятельности;

Директорат фирмы, в которую входят: директор, заместитель директора по общим вопросам - используют информацию, относящуюся к категории 3.

2.1.5 Детализация сетевого и программного обеспечения фирмы

Локальные вычислительные сети ООО "Минерал" построены на базе стандартных сетевых решений. В состав ЛВС ООО "Минерал" входит:

· серверное оборудование, расположенное в отдельной стойке (шкафу);

· автоматизированные рабочие места пользователей ООО "Минерал".

· общее коммутационное оборудование и структурированная кабельная система;

Обмен данными между ООО "Минерал" и налоговой службой, пенсионным фондом, сбербанком осуществляется через внешние сети. Средство защиты информации ПК "Спринтер" используется для криптографической защиты данных отдела бухгалтерского учета и отчетности при передачи отчетов в налоговую службу и пенсионный фонд, Средство защиты информации "Бикрипт КСБ-С" используется для криптографической защиты данных отдела бухгалтерии при передачи файлов в Сбербанк РФ.

В ООО "Минерал" используется: сертифицированное, лицензионное и свободно распространяемое ПО (см. таблицы 2.1 - 2.2).

Таблица 2.1 - Сертифицированное ПО ООО "Минерал"

Наименование продукта

Количество

Microsoft Windows 7 Professional

20

Microsoft Office 2010

20

Microsoft Windows Server 2008 R2 EE

3

Таблица 2.2 - Лицензионное ПО ООО "Минерал"

№ п/п

Наименование программного средства

Тип лицензии

Количество

Срок действия

1

Правовая база данных "Консультант +"

Электронная с подпиской

2

1 год

2

Информационная система "Делопроизводство 3.0"

Box

4

Бессрочная

3

1С-Бухгалтерия 8

Box

3

Бессрочная

Следовательно, в информационной инфраструктуре ООО "Минерал" реализован многопользовательский режим обработки информации с разграничением прав доступа, который регламентируется действующим законодательством Российской Федерации, документами ООО "Минерал" и осуществляется в соответствии с должностными инструкциями.

2.1.6 Категории вероятных нарушителей режима доступа

По признаку принадлежности информационной инфраструктуры все нарушители делятся на две группы [16]:

· внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ООО "Минерал";

· внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ООО "Минерал".

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны. Предполагается, что внешний нарушитель может осуществлять попытки доступа и негативного воздействия на передаваемую по каналам связи информацию. Возможности внутреннего нарушителя существенным образом зависят от допуска физических лиц внутрь контролируемой зоны и контроля за порядком в зонах накопления информации ограниченного доступа.

По отношению к защищаемым активам выделяются следующие категории лиц:

· администраторы информационной инфраструктуры (категория I);

· технический персонал инфраструктуры (категория II);

· пользователи инфраструктуры ООО "Минерал" (категория III);

· внешними пользователи других систем, функционирующих на основе СКС ООО "Минерал" (категория IV);

· работники ООО "Минерал", имеющие санкционированный доступ к ресурсам информационной инфраструктуры ООО "Минерал", но не имеющие права доступа к этим ресурсам (категория V);

· обслуживающий персонал подразделений ООО "Минерал" (охрана, работники инженерно-технических служб и т.д.) (категория VI);

· уполномоченный персонал разработчиков, который имеет право на техническое обслуживание и модификацию компонентов инфраструктуры ООО "Минерал" (категория VII).

Предполагается, что к лицам категорий I и II ввиду их исключительной роли в инфраструктуре ООО "Минерал" должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Поэтому указанные лица исключаются из числа вероятных нарушителей.

К лицам категории III относятся пользователи инфраструктуры ООО "Минерал", которые являются сотрудниками подразделений (например - заместитель по кадрам).

Лица категорий IV, V и VI, в соответствии с "Базовой моделью угроз персональных данных при их обработке в информационных системах персональных данных", утвержденной ФСТЭК России от 18 февраля 2008 года, соответствуют потенциальными нарушителями первой категории (лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн).

Лица категории VII - соответствуют потенциальными нарушителями седьмой категории (программисты-разработчики (поставщики) и лица, обеспечивающие его сопровождение на защищаемом объекте) и восьмой категории (разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн).

Следовательно - лица категорий III-VII относятся к вероятным нарушителям режима безопасности и доступа.

2.1.7 Классификация и способы реализации угроз НСД по каналам утечки информации

Возможны следующие способы реализации угроз НСД в инфраструктуру ООО "Минерал" по каналам утечки информации:

Виды угроз [16]:

1. Человеческий фактор. Осуществление несанкционированного доступа к целевой информации, хранимой и обрабатываемой в информационной инфраструктуре:

v Кража ПЭВМ.

v Кража носителей информации.

v Кража ключей доступа.

v Кражи, модификации, уничтожения информации.

v Вывод из строя узлов ПЭВМ, каналов связи.

v Несанкционированное отключение средств защиты.

2. Программный канал утечки. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)

v Действия вредоносных программ (вирусов).

v Недекларированные возможности системного ПО и ПО для обработки персональных данных.

v Установка ПО не связанного с исполнением служебных обязанностей.

3. Технический канал. Угрозы от утечки по техническим каналам:

v Угрозы утечки акустической информации.

v Угрозы утечки видовой информации.

v Угрозы утечки информации по каналам ПЭМИН.

4. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера:

v Утрата ключей и атрибутов доступа.

v Непреднамеренная модификация (уничтожение) информации сотрудниками.

v Выход из строя аппаратно-программных средств.

v Сбой системы электроснабжения.

v Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке.

4. Угрозы несанкционированного доступа по каналам связи:

v Угроза "Анализ сетевого трафика" с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации.

v Перехват в пределах контролируемой зоны.

v Угрозы удаленного запуска приложений.

v Угрозы внедрения по сети вредоносных программ.

Типовые способы реализации угроз НСД в ООО "Минерал":

· осуществление несанкционированного доступа к защищаемым активам, используя штатные средства инфраструктуры ООО "Минерал";

· использование бесконтрольно оставленных штатных средств инфраструктуры ООО "Минерал" или хищение нарушителями и утрата элементов инфраструктуры (в том числе распечаток, носителей информации);

· осуществление несанкционированного визуального просмотра защищаемой информации, отображаемой на средствах отображения (экранах мониторов), ознакомления с распечатываемыми документами;

· действия по анализу сетевого трафика, сканированию вычислительной сети, атаки, направленные на отказ в обслуживании, выявление парольной информации, подмена доверенного объекта сети, навязывание ложного маршрута сети с использованием нештатных технических и программных средств, доступных нарушителю;

· маскировка под администраторов инфраструктуры ООО "Минерал";

· компрометация (просмотр, подбор и т.п.) парольной информации на доступ к информационным ресурсам ООО "Минерал";

· осуществление перехвата управления загрузкой ОС.

Вид ресурсов, потенциально подверженных угрозе - целевая и технологическая информация (коммерческая информация). Нарушаемые характеристики безопасности активов - конфиденциальность. Возможные последствия реализации угрозы - несанкционированное ознакомление с защищаемой информацией.

2.1.8 Оценка актуальности угроз инфраструктуры ООО "Минерал" и мер по противодействию НСД

Оценка актуальности угроз инфраструктуры осуществляется в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных". Она включает в себя:

· Определение уровня исходной защищенности инфраструктуры как ИСПДн.

· Определение вероятности реализации угроз в ИСПДн.

· Определение возможности реализации угрозы в ИСПДн.

· Оценку опасности угроз в ИСПДн.

· Перечень актуальных угроз безопасности ПДн в ИСПДн.

· Меры по противодействию угрозе.

Уровень исходной защищенности. Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y1). Технические и эксплуатационные характеристики инфраструктуры ООО "Минерал", используемые при оценке защищенности:

· По территориальному размещению: локальная ИСПДн, развернутая в пределах одного здания;

· По наличию соединения с сетями общего пользования: ИСПДн, имеющая одноточечный выход в сеть общего пользования;

· По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск; запись, удаление, сортировка;

· По разграничению доступа к персональным данным: ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющийся владельцем ИСПДн, либо субъект ПДн;

· По наличию соединений с другими базами ПДн иных ИСПДн: ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн;

· По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными;

· По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, не предоставляющие никакой информации.

По каждому фактору оценивается решение, в том числе на высоко, среднем и низком уровнях. Далее рассматривается отношение суммы положительных решений соответствующему среднему уровню защищенности, к общему количеству решений. Инфраструктура ООО "Минерал" является типовой, для которой не менее 60% характеристик ИСПДн инфраструктуры, соответствуют уровню не ниже "средний". Следовательно, ИСПДн инфраструктуры ООО "Минерал" имеет "средний" уровень защищенности, которой ставится в соответствие числовой коэффициент Y1=5.

Определение вероятности реализации угроз в ИСПДн. Под вероятностью реализации угрозы поднимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализации конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вероятность определяется по следующим вербальным градациям: маловероятно, низкая вероятность, средняя вероятность и высокая вероятность.

Оценка вероятности реализации угрозы безопасности рассчитываются для каждой угрозы со стороны каждой категории нарушителей: внешние, III - VII категории. При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2.

Угроза безопасности ПДн считается актуальной, она имеет возможность реализации - не ниже средней, а также степень опасности - не ниже средней (по трем градациям: низкая, средняя, высокая).

Приведем примерный перечень актуальных угроз инфраструктуры ООО "Минерал" и мер по противодействию угрозе (таблица 2.4) [16].

Таблица 2.4 Примерный перечень актуальных угроз инфраструктуры ООО "Минерал" и мер по противодействию угрозам.

Угроза безопасности ПДн

Степень актуальности

Меры по противодействию угрозе

Технические

Организационные

1

Кража носителей информации

актуальная

Инструкция для персонала

2

Кража паролей

актуальная

Инструкция пользователя, учет паролей

3

Кражи, модификации, уничтожения информации.

актуальная

Настройка средств защиты, политика безопасности

Резервное копирование и инструкция пользователя

4

Несанкционированное отключение средств защиты

актуальная

Настройка средств защиты

Инструкция администратора безопасности

5

Действия вредоносных программ (вирусов)

актуальная

Антивирусное ПО

Инструкция по антивирусной защите

6

Недекларированные возможности ПО

актуальная

Настройка средств защиты

Сертификация

7

Установка ПО не связанного с исполнением обязанностей

актуальная

Настройка средств защиты, политика безопасности

Инструкция пользователя, инструкция администратора безопасности

8

Непреднамеренная модификация (уничтожение) информации сотрудниками

актуальная

Настройка средств защиты, политика безопасности

Инструкция пользователя

9

Выход из строя аппаратно-программных средств

актуальная

Резервное копирование

Охрана, Инструкция для персонала

10

Сбой системы электроснабжения

актуальная

Использование ИБП, резервное копирование

Охрана

11

Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке

актуальная

Настройка средств защиты, политика безопасности

Инструкция для персонала, подписка о не разглашении

12

Перехват в пределах контролируемой зоны

актуальная

Средства криптографической защиты, физическая зашита канала

Охрана

13

Угрозы удаленного запуска приложений.

актуальная

Межсетевой экран, Антивирусное ПО

14

Угрозы внедрения по сети вредоносного ПО

актуальная

Межсетевой экран, Антивирусное ПО

15

Угрозы утечки видовой информации

актуальная

Инструкция пользователя

Перечень неактуальных угроз инфраструктуры ООО "Минерал" и мер по противодействию угрозе приведен в таблице 2.5.

Таблица 2.4 Примерный перечень актуальных угроз инфраструктуры ООО "Минерал" и мер по противодействию угрозам.

Угроза безопасности ПДн

Степень актуальности угрозы

Меры по противодействию угрозе

Технические

Организационные

1

Кража ПЭВМ

неактуальная

Пропускной режим, охрана, видеонаблюдение

2

Вывод из строя узлов ПЭВМ, каналов связи

неактуальная

Пропускной режим, охрана, видеонаблюдение

3

Угроза "Анализ сетевого трафика" с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации

неактуальная

Межсетевой экран

Инструкция пользователя, инструкция администратора безопасности

Следовательно, по отношению к инфраструктуре ООО "Минерал" можно сделать следующие выводы:

1. Неактуальность кражи ПЭВМ. В здании введен круглосуточный контроль доступа в контролируемую зону, который осуществляется охраной, двери, закрываются на замок, вынос компьютерный техники за пределы здания возможен только по специальным пропускам.

2. Неактуальность вывода из строя узлов ПЭВМ, каналов связи. В здании введен контроль доступа в контролируемую зону, двери закрываются на замок.

3. Неактуальность действий, направленных на перехват ПЭМИН и акустической информации. Основной объем ПДн консолидировано хранится на сервере БД, сервер БД размещен в отдельном помещении внутри контролируемой зоны,

Вилу того, что вероятность проникновения внешних нарушителей или физического уничтожения данных минимальна - необходимо дорабатывать программно-аппаратный комплекс средств защиты компьютерной информации по направлениям:

Страница:


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.

© 2000 — 2023, ООО «Олбест» Все права защищены