Стандартность архитектурных принципов построения оборудования и программ обеспечивает сравнительно легкий доступ профессионала к информации, находящейся в персональном компьютере. Ограничение доступа к ПК путем введения кодов не гарантирует стопроцентную защиту информации.

Угрозы, преднамеренно создаваемые злоумышленником или группой лиц (умышленные угрозы), заслуживают более детального анализа, так как часто носят изощренный характер и приводят к тяжелым последствиям

Обычно выделяют три основных вида угроз безопасности: угрозы раскрытия, целостности и отказа в обслуживании. Угроза раскрытия заключается в том, что информация становится известной тому, кому не следует ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всегда, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой.

Нарушение конфиденциальности (раскрытие) информации - это не только несанкционированное чтение документов или электронной почты. Прежде всего, это перехват и расшифровка сетевых пакетов (как известно, информация в сети передается пакетами), другими словами, анализ трафика.

2.3.3 Определение каналов несанкционированного доступа

Способ несанкционированного доступа (способ НСД) - также совокупность приемов и порядок действий, но с целью получения охраняемых сведений незаконным противоправным путем и обеспечения возможности воздействовать на эту информацию (например, подменить, уничтожить и т. п.).

Существующие в настоящее время способы НСД к информации многообразны: применение специальных технических устройств, использование недостатков вычислительных систем и получение секретных сведений о защищаемых данных.

Утечка информации через технические средства может происходить, за счет:

· микрофонного эффекта элементов электронных схем;

· магнитной составляющей поля электронных схем и устройств различного назначения и исполнения;

· электромагнитного излучения низкой и высокой частоты;

· возникновения паразитной генерации усилителей различного назначения;

· наводок по цепям питания электронных систем;

· наводок по цепям заземления электронных систем;

· взаимного влияния проводов и линий связи;

· высокочастотного навязывания мощных радиоэлектронных средств и систем;

Каждый из этих каналов будет иметь структуру в зависимости от условий расположения и исполнения.

Каналы утечки информации и способы несанкционированного доступа к источникам конфиденциальной информации объективно взаимосвязаны. Каждому каналу соответствует определенный способ НСД.

Вариант взаимосвязи способов несанкционированного доступа к объектам и источникам охраняемой информации и каналов утечки конфиденциальной информации приведен в табл. 10.

Таблица 10

Способ несанкционированного доступа	Тип канала утечки информации
	Визуальный	Акустический	Электромагнитный (магнитный, электрический)	Материально-вещественные
Подслушивание		+	+
Визуальное наблюдение	+
Хищение			+	+
Копирование			+	+
Подделка			+	+
Незаконное подключение		+	+
Перехват		+	+
Фотографирование	+
Итого по виду канала	2	3	6	3

Способы НСД к проводным линиям связи.

Наиболее часто для передачи информации применяются телефонные линии в качестве проводных линий связи. Это связано с тем, что большинство компьютеров используют для передачи данных модемы, подключенные к телефонной линии.

Общепринятые способы подслушивания линии, связывающей компьютеры:

· непосредственное подключение к телефонной линии:

· контактное - последовательное или параллельное (прямо на АТС или где-нибудь на линии между телефонным аппаратом и АТС);

· бесконтактное (индукционное) подключение к телефонной линии;

· помещение радиоретранслятора («жучка») на телефонной линии:

· последовательное включение;

2.3.4 Оценка состояния информационной безопасности в ООО магазин «Стиль»

Завершающим этапом предпроектного обследования является оценка состояния информационной безопасности в организации.

Решение данной задачи основывается на анализе сведений, полученных на этапе информационного обследования ИС.

Целью этапа является анализ соответствия уровня нормативного и организационно-технического обеспечения информационной безопасности объекта аудита установленным требованиям руководящих документов Гостехкомиссии при Президенте РФ, типовым требованиям международных стандартов ISO и соответствующим требованиям компании-заказчика. К первой области также относятся работы, проводимые на основе анализа рисков, инструментальные исследования (исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы на наличие уязвимостей, исследование защищенности точек доступа в Internet). Данный комплекс работ также включает в себя анализ документооборота, который, в свою очередь, можно выделить и как самостоятельное направление.

Рассмотрим инструментальный анализ защищённости АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы.

Инструментальный анализ представляет собой чаще всего сбор информации о состоянии системы сетевой защиты с помощью специального программного обеспечения и специальных методов. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает злоумышленнику проникнуть в сети и нанести урон предприятию. В процессе проведения инструментального анализа защищенности моделируется как можно большее количество таких сетевых атак, которые может выполнить злоумышленник.

Результатом является информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информации, доступной любому потенциальному нарушителю) сети заказчика.

По завершении инструментального анализа выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности ИС от действий злоумышленника при минимальных затратах на ИБ.

Результаты тестирования на соответствие ГОСТ Р ИСО/МЭК 17799-2005 представлены на рис. 6.

Рис. 6. Определение степени соответствия требованиям стандарта

Информация, полученная по результатам комплексной оценки, является отправной точкой для принятия руководителями управленческих решений, способствующих повышению защищенности информационных ресурсов.

2.4 Определение класса защищенности системы и показателей защищенности от несанкционированного доступа

Коммерческая тайна -- режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Защищаемая информация на предприятии не может быть отнесена к разряду коммерческой тайны. Исходя из этого, можно определить четвертый класс защищенности системы.

2.4.1 Определение требований к информационной безопасности

Данные бухгалтерского учета в виде всевозможных отчетов сохраняются длительное время, причем как в электронном, так и бумажном виде. Информация о состоянии финансово-хозяйственной деятельности предприятия в текущем периоде может быть получена только при наличии аналогичной информации за предшествующий период, поэтому потеря, порча и модификация этой информации может причинить немалый вред компании. В рамках информационной безопасности для нормального функционирования механизмов бухгалтерского учета необходимо обеспечить целостность и полноту базы данных, предотвращение потери и некорректного изменения информации в базе данных.

Каждый сбой работы базы данных ? это не только моральный ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, «безбумажного» документооборота и серьезный сбой локальных сетей может парализовать работу компании, что приведет к ощутимым убыткам. При этом защита данных в компьютерных сетях становится одной из самых острых проблем.

Для данной информации необходимо обеспечить выполнение всех трех критериев обеспечения безопасности:

ь конфиденциальность -- доступность информации только определённому кругу лиц;

ь целостность -- гарантия существования информации в исходном виде;

ь доступность -- возможность получение информации авторизованным пользователем в нужное для него время.

Это обусловлено тем, что потеря, несанкционированная модификация или разглашение информации из данных баз может повлечь за собой тяжелые последствия в виде убытков, временных остановок деятельности предприятия и др.

Также необходимо обеспечить целостность и доступность поступающих данных от поставщиков комплектующих: цен и перечня доступных товаров для закупки. Недоступность данной информации может привести к остановке выполнения оптовых заказов клиентов, что негативно скажется на работе предприятия.

Целостность данных необходимо гарантировать для отчетности и платежных поручений, отправляемых посредством сети Интернет.

Требования к показателям четвертого класса защищенности:

1. Дискреционный принцип контроля доступа.

Комплекс средств защиты (КСЗ) должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.). Для каждой пары (субъект - объект) в средствах вычислительной техники (СВТ) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту). Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ. Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов). Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов. Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).

Дополнительно КСЗ должен содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, не допустимого с точки зрения заданного ПРД). Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д., а под "скрытыми" - иные действия, в том числе с использованием собственных программ работы с устройствами.

Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

2. Мандатный принцип контроля доступа.

Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и не иерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

l субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и не иерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;

l субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все иерархические категории в классификационном уровне субъекта включаются в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

3. Очистка памяти.

При первоначальном назначении или при перераспределении внешней памяти КСЗ должен затруднять субъекту доступ к остаточной информации. При перераспределении оперативной памяти КСЗ должен осуществлять ее очистку.

4. Изоляция модулей.

При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

5. Маркировка документов.

При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87.

6. Защита ввода и вывода на отчуждаемый физический носитель информации.

КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные ("помеченные"). При вводе с "помеченного" устройства (вывода на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи.

Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

7. Сопоставление пользователя с устройством.

КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).

Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.

8. Идентификация и аутентификация.

КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ, должен проверять подлинность идентификатора субъекта -- осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать входу в СВТ неидентифицированного пользователя или пользователя, чья подлинность при аутентификации не подтвердилась.

КСЗ должен обладать способностью надежно связывать полученную идентификацию со всеми действиями данного пользователя.

9. Регистрация.

КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:

l использование идентификационного и аутентификационного механизма;

l запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);

l создание и уничтожение объекта;

l действия по изменению ПРД.

Для каждого из этих событий должна регистрироваться следующая информация:

l дата и время;

l субъект, осуществляющий регистрируемое действие;

l тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);

l успешно ли осуществилось событие (обслужен запрос на доступ или нет).

КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.

Дополнительно должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных пользователей (администраторов защиты и т.п.).

10. Целостность КСЗ.

В СВТ четвертого класса защищенности должен осуществляться периодический контроль за целостностью КСЗ.

Программы КСЗ должны выполняться в отдельной части оперативной памяти.

11. Тестирование.

В четвертом классе защищенности должны тестироваться:

l реализация ПРД (перехват запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов в соответствии с дискреционными и мандатными правилами, верное сопоставление меток субъектов и объектов, запрос меток вновь вводимой информации, средства защиты механизма разграничения доступа, санкционированное изменение ПРД);

l невозможность присвоения субъектом себе новых прав;

l очистка оперативной и внешней памяти;

l работа механизма изоляции процессов в оперативной памяти;

l маркировка документов;

l защита вода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;

l идентификация и аутентификация, а также их средства защиты;

l запрет на доступ несанкционированного пользователя;

l работа механизма, осуществляющего контроль за целостностью СВТ;

l регистрация событий, средства защиты регистрационной информации и возможность санкционированного ознакомления с этой информацией.

12. Руководство для пользователя.

Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.

13. Руководство по КСЗ.

Данный документ адресован администратору защиты и должен содержать:

l описание контролируемых функций;

l руководство по генерации КСЗ;

l описания старта СВТ, процедур проверки правильности старта, процедур работы со средствами регистрации.

14. Тестовая документация.

Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ и результатов тестирования.

2.4.2 Модель потенциального нарушителя

Потенциальных нарушителей системы безопасности 2:

1) неквалифицированный (или враждебно настроенный) работник;

2) внешний по отношению к организации злоумышленник.

Оба типа нарушителей столкнутся с меньшим уровнем защиты в дневное время суток, т.к. для сотрудника вход на рабочее место является свободным, а для внешнего злоумышленника существует потенциальная возможность войти в систему через Интернет.

Наиболее вероятным нарушителем выступает сотрудник компании, т.к. ему не придется преодолевать уровни защиты от внешних злоумышленников. Даже неумышленные (возможно, ошибочные) действия сотрудника с высоким уровнем доступа к информации может серьезно повредить систему и затормозить, а иногда даже полностью остановить работу компании.

Маловероятно, что квалификация сотрудника как умышленного нарушителя информационной безопасности будет очень высокой. Скорее всего, это будет уровень начинающего взломщика или просто продвинутого пользователя ПК.

Хоть и маловероятен, но теоретически возможны попытки взлома из внешней среды через подключение к Интернет. В данном случае также не предполагается высокая квалификация потенциального нарушителя, т. к. информация, хранящаяся на сервере не составляет коммерческой тайны.

Основным мотивом действий того и другого типа нарушителей может быть попытка вредительства компании в качестве мести (в случае сотрудника), ради развлечения или по заказу конкурентов (в случае внешнего злоумышленника). Заказ конкурентов мало вероятен, но даже в случае реализации данной угрозы конкуренты не будут нанимать высококвалифицированного специалиста, т.к. преодолеть физическую защиту будет намного дешевле.

3. Проектирование системы информационной безопасности отдела бухгалтерии ООО магазин «Стиль»

3.1 Рекомендации по разработке концепции информационной безопасности ООО магазин «Стиль»

Концепция информационной безопасности организации ? это:

- во-первых, это нормативный документ, на основании которого будет строиться ИБ организации;

- во-вторых, это решение проблемы информационной безопасности в организации;

- в-третьих, этот документ опирается на нормативную базу Российского законодательства, моральные нормы, научно-технические принципы и организационные возможности.

Концепция информационной безопасности для организации должна состоять из следующих разделов:

1. Введение

Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в организации и представляет собой систематизированное изложение целей и задач защиты, а также принципов и способов достижения требуемого уровня безопасности информации.

При построении системы безопасности информационных ресурсов организация основывается на комплексном подходе, доказавшем свою эффективность и надежность. Комплексный подход ориентирован на создание защищенной среды обработки информации, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности.

Правовой базой для разработки настоящей концепции служат требования действующих в России законодательных и нормативных документов.

Концепция является методологической основой для формирования и проведения в организации единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению.

2. Общие положения

В данном разделе концепции дано название и правовая основа данного документа, т.е. необходимо дать понять, что подразумевается под словом «концепция» в данном документе, какова система взглядов на проблему безопасности.

В концепции должно быть учтено современное состояние, и ближайшие перспективы развития системы информационной безопасности. Также описывается, на какие объекты информационной системы она распространяется, и для чего будет являться методологической основой. В завершении данного раздела необходимо указать, какие принципы были положены в основу построения системы информационной безопасности.

3. Объекты защиты

В данном разделе концепции необходимо указать основные объекты, на которые направлена информационная безопасность в организации:

- информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

- процессы обработки информации, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;

- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС.

4. Основные угрозы

В этом разделе необходимо описать модель возможного нарушителя, рассмотреть различные возможности утечки информации по техническим каналам, дать определение умышленным действиям различными лицами, указать, какие пути могут быть для реализации неправомерных действий и какие вообще могут быть угрозы безопасности информации и ее источники.

5. Основные положения технической политики в обеспечении безопасности информации

Реализация технической политики по обеспечению информационной безопасности в организации должна исходить из того, что нельзя обеспечить требуемый уровень безопасности только одним мероприятием или средством, а необходим комплексный подход с системным согласованием различных элементов, а каждый разработанный элемент должен рассматриваться как часть единой системы при оптимальном соотношении как технических средств, так и организационных мероприятий.

Должны быть перечислены основные направления технической политики и то, как она будет осуществляться.

Также необходимо формирование режима безопасности информации, т.е. согласно выявленным угрозам режим защиты формируется как совокупность способов и мер защиты информации. Комплекс мер по формированию режима безопасности информации должен включать в себя: организационно-правовой режим (нормативные документы), организационно-технические мероприятия (аттестация рабочих мест), программно-технические мероприятия, комплекс мероприятий по контролю за функционированием АС и систем ее защиты, комплекс оперативных мероприятий по предотвращению несанкционированного доступа, а также комплекс действий по выявлению таких попыток.

6. Принципы построения комплексной системы защиты

Построение системы безопасности информации АС и ее функционирование должны осуществляться в соответствии со следующими принципами:

· законность: предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС организации в соответствии с действующим законодательством;

· системность: системный подход к построению системы защиты информации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенных для понимания и решения проблемы обеспечения безопасности информации;

· комплексность: комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов;

· непрерывность защиты: непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС;

· своевременность: предполагает упреждающий характер мер для обеспечения безопасности информации;

· преемственность и совершенствование: предполагают постоянное совершенствование мер и средств защиты информации;

· разумная достаточность (экономическая целесообразность): предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба;

· персональная ответственность: предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий;

· принцип минимизации полномочий: означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью;

· взаимодействие и сотрудничество: предполагает создание благоприятной атмосферы в коллективах подразделений;

· гибкость системы защиты: для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью;

· открытость алгоритмов и механизмов защиты: суть данного принципа состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам), однако это не означает, что информация о конкретной системе защиты должна быть общедоступна;

· простота применения средств защиты: механизм защиты должен быть интуитивно понятен и прост в использовании, без значительных дополнительных трудозатрат;

· научная обоснованность и техническая реализуемость: информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации;

· специализация и профессионализм: предполагает привлечение к разработке средств и реализаций мер защиты информации специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области, реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами;

· обязательность контроля: предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил безопасности.

7. Первоочередные мероприятия

В данном разделе необходимо описать первоочередные действия, которые предстоит исполнить в ближайшее время, описать аппаратно-программный комплекс, который обеспечит информационную безопасность организации.

3.2 Разработка политики ИБ и выбор решений по обеспечению политики ИБ

В основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности.

Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.

Политика безопасности строится на основе анализа рисков. С учетом рисков, выявленных в организации, политика информационной безопасности для организации должна содержать семь разделов:

-«Введение». Необходимость появления политики безопасности на основании выявленных недостатков в информационной безопасности ООО «Стиль»;

-«Цель политики». В этом разделе документа для ООО «Стиль» необходимо отразить цели создания данного документа (в частности, для парольной политики - «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»);

-«Область применения». В данном разделе необходимо описать объекты или субъекты ООО «Стиль», которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);

-«Политика». В данном разделе необходимо описать сами требования к информационной безопасности (например, парольная политика должна содержать пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»);

-«Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований;

-«История изменений данной политики». Дает возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения).

Такая структура позволит лаконично описать все основные моменты, связанные с предметом политики безопасности организации, не «привязываясь» к конкретным техническим решениям, продуктам и производителям. Иначе изменение политической ситуации в компании и т. п. приведет к необходимости изменения концепции ИБ, а этого происходить не должно.

Кроме того, в политике безопасности организации должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

3.2.1 Административный уровень ИБ

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство компании должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов, а также назначить ответственных за разработку, внедрение и сопровождение системы безопасности. Для ООО «Стиль» актуальным является создание службы информационной безопасности в составе 3 человек, которые будут отвечать за разработку, внедрение и совершенствование системы безопасности.

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и исходят от руководства организации. Список решений этого уровня включает в себя следующие элементы:

· решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

· формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

· обеспечение базы для соблюдения законов и правил;

· формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Так как компания отвечает за поддержание критически важной базы данных бухгалтерии, то на первом плане стоит задача уменьшение числа потерь, повреждений или искажений данных.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

В документ, характеризующий политику безопасности компании необходимо включить следующие разделы:

· вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

· штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

· раздел, освещающий вопросы физической защиты;

· управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

· раздел, описывающий правила разграничения доступа к производственной информации;

· раздел, характеризующий порядок разработки и сопровождения систем;

· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

· юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К административным мероприятиям защиты, необходимым для проведения в бухгалтерии торговой компании, относятся:

· поддержка правильной конфигурации ОС;

· создание, ведение и контроль журналов работы пользователей в ИС с помощью встроенных механизмов программы 1С: Бухгалтерия 7.7;

· выявление «брешей» в системе защиты;

· проведение тестирования средств защиты;

· контроль смены паролей.

3.2.2 Организационный уровень ИБ

К организационным средствам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой - обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.

Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:

· ограничение физического доступа к объектам ИС и реализацию режимных мер;

· ограничение возможности перехвата информации вследствие существования физических полей;

· ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;

· создание твердых копий важных с точки зрения утраты массивов данных;

· проведение профилактических и других мер от внедрения вирусов.

К организационно-правовым мероприятиям защиты, необходимыми для проведения в бухгалтерии ООО «Стиль» относятся:

· организация и поддержание надежного пропускного режима и контроль посетителей;

· надежная охрана помещений компании и территории;

· организация защиты информации, т. е. назначение ответственного за защиту информации, проведение систематического контроля за работой персонала, порядок учета, хранения и уничтожения документов;

Организационные мероприятия при работе с сотрудниками компании включают в себя:

· беседы при приеме на работу;

· ознакомление с правилами и процедурами работы с ИС на предприятии;

· обучение правилам работы с ИС для сохранения ее целостности и корректности данных;

· беседы с увольняемыми.

В результате беседы при приеме на работу устанавливается целесообразность приема кандидата на соответствующую вакансию.

Обучение сотрудников предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений.

Организационно-технические меры защиты включают следующие основные мероприятия:

· резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов);

· профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах);

· ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов);

· фильтрация (разделение винчестера на логические диски с различными возможностями доступа к ним, использование резидентных программных средств слежения за файловой системой);

Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программу-архиватор WinRar, программы резервирования важных компонентов файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты. Резервирование данных ИС должно проводиться с использованием встроенных средств программы 1С Бухгалтерия 7.7.

3.2.3 Технический уровень ИБ

Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических мероприятий должно исключать:

· неправомочный доступ к аппаратуре обработки информации путем контроля доступа в помещении бухгалтерии;

· неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля;

· несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;

· неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;

· доступ в системы обработки информации посредством самодельных устройств и незаконное получение данных;

· возможность неправомочной передачи данных через компьютерную сеть;

· бесконтрольный ввод данных в систему;

· неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Инженерно-техническая защита использует следующие средства:

· физические средства;

· аппаратные средства;

· программные средства;

Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.

Для построения системы физической безопасности необходимы следующие средства

· аппаратура тревожной сигнализации, обеспечивающая обнаружение попыток проникновения и несанкционированных действий, а также оценку их опасности;

· системы связи, обеспечивающие сбор, объединение и передачу тревожной информации и других данных (для этой цели подойдет организация офисной АТС);

· персонал охраны, выполняющий ежедневные программы безопасности, управление системой и ее использование в нештатных ситуациях.

К инженерным мероприятиям, необходимым для проведения в бухгалтерии ООО «Стиль», относятся:

· защита акустического канала;

· экранирование помещения бухгалтерии.

К аппаратным средствам относятся приборы, устройства, приспособления и другие технические решения, используемые в интересах обеспечения безопасности.

В бухгалтерии необходимо:

· в терминалах пользователей размещать устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (блокираторы);

· обеспечить идентификацию терминала (схемы генерирования идентифицирующего кода);

· обеспечить идентификацию пользователя (магнитные индивидуальные карточки).

Программные средства - это специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных.

К задачам программных средств защиты относятся:

· идентификация и аутентификация;

· управление доступом;

· обеспечение целостности и сохранности данных;

· контроль субъектов взаимодействия;

· регистрация и наблюдение.

3.3. Создание системы информационной безопасности

3.3.1 Разработка структуры системы

В соответствии с выделенными требованиями система информационной безопасности бухгалтерии ООО «Стиль» должна включать в себя следующие подсистемы:

· подсистему идентификации и аутентификации пользователей;

· подсистему защиты от вредоносного программного обеспечения;

· подсистему резервного копирования и архивирования;

· подсистема защиты информации в ЛВС;

· подсистема обеспечения целостности данных;

· подсистема регистрации и учета;

· подсистема обнаружения сетевых атак.

3.3.2 Подсистема идентификации и аутентификации пользователей

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах данных бухгалтерского учета, - одна из важнейших задач для бухгалтерии компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. Каждый сотрудник должен иметь доступ только к своему рабочему компьютеру во избежание случайной или преднамеренной модификации, изменения, порчи или уничтожения данных.

Основным способом защиты информации считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 7).

Рис. 7. Классификация СИА по виду идентификационных признаков

В бухгалтерии планируется использование систему идентификации и аутентификации Rutoken.

Rutoken RF - это usb-токен со встроенной радиочастотной меткой (RFID-меткой). Он предназначен для доступа пользователей к информационным ресурсам компьютера и для физического доступа в здания и помещения.

РУТОКЕН RF объединяет возможности, предоставляемые usb-токенами, смарт-картами и бесконтактными электронными пропусками:

· строгая двухфакторная аутентификация при доступе к компьютеру и к защищенным информационным ресурсам;

· безопасное хранение криптографических ключей и цифровых сертификатов;

· применение в системах контроля и управления доступом, в системах учета рабочего времени и аудита перемещений сотрудников;

· использование в виде пропуска для электронных проходных.

Электронный идентификатор РУТОКЕН это небольшое устройство, подключаемое к USB-порту компьютера. РУТОКЕН является аналогом смарт-карты, но для работы с ним не требуется дополнительное оборудование (считыватель).

РУТОКЕН предназначен для аутентификации пользователей при доступе к информации и различным системам, безопасного хранения паролей, ключей шифрования, цифровых сертификатов. РУТОКЕН способен решать проблемы авторизации и разделения доступа в сетях, контролировать доступ к защищённым информационным ресурсам, обеспечивать необходимый уровень безопасности при работе с электронной почтой, хранить пароли и ключи шифрования .

В РУТОКЕН реализована файловая система организации и хранения данных по ISO 7816. Токен поддерживает стандарты PS/CS и PKCS#11. Это позволит быстро встроить поддержку РУТОКЕН, как в новые, так и в уже существующие приложения.

РУТОКЕН используется для решения следующих задач:

Аутентификация

· Замена парольной защиты при доступе к БД, VPN-сетям и security-ориентированным приложениям на программно-аппаратную аутентификацию.

· Шифрование соединений при доступе к почтовым серверам, серверам баз данных, Web-серверам, файл-серверам, аутентификация при удалённом администрировании.

Защита данных

· Защита электронной почты (ЭЦП, шифрование).

· Защита доступа к компьютеру (авторизация пользователя при входе в операционную систему).

РУТОКЕН может выступать как единое идентификационное устройство для доступа пользователя к разным элементам корпоративной системы и обеспечивать, необходимое разграничение доступа, автоматическую цифровую подпись создаваемых документов, аутентификация при доступе к компьютерам и приложениям системы.

Технические характеристики:

· базируется на защищенном микроконтроллере;

· интерфейс USB (USB 1.1 / USB 2.0);

· EEPROM память 8, 16, 32, 64 и 128 Кбайт;

· 2-факторная аутентификация (по факту наличия РУТОКЕН и по факту предъявления PIN-кода);

· 32-битовый уникальный серийный номер;

· поддержка стандартов:

o ISO/IEC 7816;

o PC/SC;

o ГОСТ 28147-89;

o Microsoft Crypto API и Microsoft Smartcard API;

o PKCS#11 (v. 2.10+).

Бесконтактный пропуск для выхода из помещения и средство доступа в компьютерную сеть объединены в одном брелке. Для выхода из помещения необходимо предъявить РУТОКЕН RF, а при отключении идентификатора от USB-порта компьютера пользовательская сессия автоматически блокируется.

В РУТОКЕН RF используются пассивные радиочастотные метки стандартов EM-Marine, Indala, HID (рабочая частота 125 кГц). Это самые распространенные метки в России на сегодняшний день, считыватели, совместимые с ними, установлены в большинстве существующих систем контроля и управления доступом.

3.3.3 Подсистема защиты от вредоносного программного обеспечения

Согласно многочисленным исследованиям на сегодняшний день самой распространенной и наносящей самые большие убытки информационной угрозой являются вирусы, «троянские кони», утилиты-шпионы и прочее вредоносное программное обеспечение. Для защиты от него используются антивирусы. Причем этим средством обеспечения безопасности должен быть оборудован каждый компьютер вне зависимости от того, подключен он к Интернету или нет.

Для защиты информации в бухгалтерии ООО «Стиль» от вредоносного программного обеспечения будет использоваться Антивирус Касперского 2010.

Антивирус Касперского 2010 - это решение для базовой защиты компьютера от вредоносных программ. Продукт содержит основные инструменты для обеспечения безопасности ПК. Для полноценной защиты компьютера рекомендуется дополнительно использовать сетевой экран.

Признанные во всем мире антивирусные технологии защищают компьютер от таких современных информационных угроз, как:

· вирусы, троянские программы, черви, шпионские, рекламные программы и др.

· новые быстро распространяющиеся и неизвестные угрозы

· руткиты, буткиты и прочие изощренные угрозы

· ботнеты и другие незаконные способы скрытого удаленного управления компьютерами пользователей

В Антивирусе Касперского 2010 реализованы новейшие технологии защиты, позволяющие обеспечить безопасность и стабильную работу компьютера.

· Усовершенствованная Защита персональных данных, включающая модернизированную безопасную Виртуальную клавиатуру.

· Система мгновенного обнаружения угроз, моментально блокирующая новое вредоносное ПО