Организационные меры предусматривают:

Ограничение доступа в помещения, в которых происходит обработка конфиденциальной информации.

Допуск к решению задач на ПК по обработке секретной, конфиденциальной информации проверенных должностных лиц, определение порядка проведения работ на ПК.

Хранение магнитных носителей (серверов) в тщательно закрытых прочных шкафах или помещениях

Назначение одной или нескольких ПК для обработки ценной информации, и дальнейшая работа только на этих ПК.

Установка дисплея, клавиатуры и принтера таким образом, чтобы исключить просмотр посторонними лицами содержания обрабатываемой информации.

Постоянное наблюдение за работой принтера и других устройств вывода на материальных носитель ценной информации.

Уничтожение красящих лент или иных материалов, содержащих фрагменты ценной информации.

Запрещение ведения переговоров о непосредственном содержании конфиденциальной информации лицам, занятым ее обработкой.

Организационно-технические меры предполагают:

Ограничение доступа внутрь корпуса ПК путем установления механических запорных устройств.

Уничтожение всей информации на винчестере ПК при ее отправке в ремонт с использованием средств низкоуровневого форматирования.

Организацию питания ПК от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.

Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.

Размещение дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других ПК, не использующихся для обработки конфиденциальной информации.

Отключение ПК от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.

Установка принтера и клавиатуры на мягкие прокладки с целью снижения утечки информации по акустическому каналу.

Во время обработки ценной информации на ПК рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), а также обрабатывать другую информацию на рядом стоящих ПК. Эти устройства должны быть расположены на расстоянии не менее 2,5-3,0 метров.

Уничтожение информации непосредственно после ее использования.

2. Разработка политики информационной безопасности ООО «ТД Искра», г. Пермь

2.1 Основные сведения об организации ООО «ТД Искра»

Полное наименование компании ООО «Торговый дом Искра».

Организационно-правовая форма Общество с ограниченной ответственностью. Юридический адрес: Россия, 614990, г. Пермь, ул. Куйбышева 118/А ООО «ТД Искра» имеет статус юридического лица, бухгалтерский учет ведет на самостоятельном балансе. Дочерних компаний и филиалов организация не имеет.

Расчетно-кассовое обслуживание ООО «ТД Искра» осуществляет Западно-Уральский сбербанк г. Пермь.

Среднесписочная численность работников 50 человек.

Уставный капитал общества сформирован без участия иностранного капитала. Целью деятельности общества является получение прибыли.

ООО «ТД Искра» осуществляет коммерческую деятельность по продаже промышленного насосного оборудования и комплектующих.

Основным предметом деятельности является реализация насосного, электротехнического, кабельно-проводникового оборудования.

Организационная структура ООО «ТД Искра»

Организационная структура управления предприятием является линейной, то есть руководитель низких ступеней непосредственно подчиняется одному руководителю более высокого уровня.

При такой организации управления, когда один руководитель отвечает за весь объем деятельности, в наибольшей степени осуществляется принцип единоначалия. Руководитель, таким образом, несет полную ответственность за результат деятельности. Наглядно организационная структура предприятия представлена на рисунке 4.

Размещено на http://www.allbest.ru/

Рис. 4 Структура аппарата управления ООО «ТД Искра»

утечка несанкционированный защита информационный

2.2 Описание ИТ Инфраструктуры ООО «ТД Искра»

Информационные потоки организации ООО «ТД Искра» обозначены на рис. 5

Рис.5 Информационные потоки ООО «ТД Искра»

Для реализации информационных потоков компании будем использовать следующее системное программное обеспечение: операционную систему Windows XP, так как с данной операционной системой совместимо большинство разработанных в настоящее время программ.

Для серверов баз данных, почтовых, файловых серверов и серверов печати используется Microsoft Windows Server 2012.

Для успешного выполнения своих обязанностей работникам предприятия используют различное программное обеспечение.

В качестве общего программного обеспечения на предприятии используется программный пакет Microsoft Office 2007 для подготовки и работы с текстовыми документами, электронными таблицами (MS Excel), базами данных, презентациями. Для просмотра web страниц используется браузер Google Chrome. Для работы с архивными файлами используется WinRar. Антивирусное программное обеспечение - NOD32 комплексная защита ПК.

В своей деятельности ООО «ТД Искра» использует современные технические средства сбора обработки и хранения информации.

Основным инструментом работы отдела оформления и управления договорами являются персональные компьютеры.

Краткая характеристика:

Процессор - Intel Core 2 Duo E4300, оперативная память 6144 Mb, видеокарта 1024 Mb, сетевая карта 100 Mb/s.

Так как на данном оборудовании используется операционная система Windows XP, а основное программное обеспечение - это программа 1С Предприятие 8.1, то данной конфигурации персональных компьютеров вполне достаточно для успешного выполнения основных функций работниками предприятия.

Основные узы сети:

1. 2 сервера

2. 50 стационарных компьютеров

3. 5 сканеров

4. 4 модема

5. 5 принтеров

На всех компьютерах имеются интегрированные сетевые карты. Компьютеры, из которых состоит локальная сеть соединяются между собой витой парой категории 5 имеющей следующие характеристики:

· скорость передачи данных - 100 Мбит/с;

· полное волновое сопротивление в диапазоне частот до 100 МГц равно 100 Ом (ISO 11801 допускает также кабель с волновым сопротивлением 120 Ом);

· величина перекрестных наводок NEXT в зависимости от частоты сигнала должна принимать значения не менее 74 дБ на частоте 150 кГц и не менее 32 дБ на частоте 100 МГц;

· затухание имеет предельные значения от 0,8 дБ ( на частоте 64 кГц ) до 22 дБ ( на частоте 100 МГц);

· активное сопротивление не должно превышать 9,4 Ом на 100 метров;

· емкость кабеля не должна превышать 5,6 нФ на 100 метров.

Для соединения кабелей с оборудованием используются вилки и розетки RJ-45, представляющие собой 8-контактные разъемы.

Для построения сети необходимо будет приобрести следующее оборудование:

Таблица 1 Оборудование для реализации компьютерной сети

Рис. 3 Структурная схема компьютерной сети компании ООО «ТД Искра» (частично)

2.3 Разработка политики безопасности ООО «ТД Искра»

1. Физическая и экологическая безопасность

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например, в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети теряется - и остается полагаться на другие методы, такие как шифрование и туннелирование. Но оборудование в помещении компании должно находиться под пристальным наблюдением.

2. Безопасные зоны Средства обработки критической или важной информации должны быть расположены в безопасных зонах, защищенных определенными периметрами безопасности, с подходящими барьерами безопасности и средствами управления доступом. Они должны быть физически защищены от неразрешенного доступа, ущерба и помех.

1) Периметры безопасности должны быть четко определены. Периметр безопасности предприятия ограничен пределами здания

2) периметры здания, содержащие средства обработки информации должны быть физически целыми (то есть не должно быть никаких брешей в периметре или зон, где могло бы легко произойти проникновение). Внешние стены имеют твердую конструкцию, а все внешние двери надлежащим образом защищены от неразрешенного доступа при помощи: сигнализации, замков и автоматическими доводчиками; двери и окна должны быть заперты, когда находятся без присмотра, и так же учтена внешняя зашита для окон, особенно на первом этаже (на окнах первого этажа установлены решетки во избежание физического проникновения).

3) созданы управляемые персоналом столы регистрации для управления физическим доступом к месту с целью неразрешенного физического доступа, а также при входе расположены турникеты с механизмом пропуска по картам доступа.

4) все пожароустойчивые двери в периметре безопасности оснащены сигнализацией, постоянно контролируются и испытываются вместе со стенами для того, чтобы установить необходимый уровень сопротивления в соответствии с подходящими региональными, национальными и международными стандартами;

5) в соответствии с национальными, региональными или международными стандартами установлены и регулярно испытываются системы обнаружения вторжения для того, чтобы охватить все внешние двери и доступные окна. В периметре здания офиса расположены камеры наблюдения. Для управления работой камер используется 32-канальные видеорегистраторы. При входе в офис установлены инфракрасные датчики движения под управлением приемно-контрольного прибора охранной сигнализации.

6) средства обработки информации, управляемые организацией, физически отделены от средств обработки информации, управляемых третьими сторонами. В здании офиса располагаются серверная и кроссовая комнаты, в которых размещается сетевое оборудование.

3. Средства управления физическим доступом

Безопасные зоны должны быть защищены подходящими средствами управления доступом для того, чтобы обеспечить доступ только полномочному персоналу.

1) дата и время входа и выхода посетителей записываются, все посетители должны находиться под надзором, если их доступ раньше не утверждался, им предоставляется доступ только для конкретных, разрешенных целей; При входе в офис компании будут расположены турникеты для пропуска каждого вошедшего. Сотрудники будут использовать для входа личные карточки, которые дают им доступ в определённые комнаты, в зависимости от специальности. Третьим лицам будут выдаваться временные гостевые карты. Учет посетителей и выдача карт доступа будет производится специальным персоналом. Посетители прежде чем войти должны будут пройти регистрацию. Персонал стола регистрации обязан сообщить посетителям об их правах, полномочиях и проинформировать о правилах использования пропускных карт.

2) доступ к зонам, где обрабатывается или хранится важная информация управляется и ограничен только полномочными лицами; доступ к таким зонам имеет только квалифицированный персонал определённого отдела или третьи лица при наличии пропуска с целью ремонта, замены или установки оборудования.

3) Средства управления аутентификацией: мастер-карты с уникальным PIN кодом (используется электромеханический замок IronLogic). Контрольный журнал всего доступа содержится в надежном месте;

4) от всех служащих, подрядчиков и пользователей третьей стороны и от всех посетителей требуется носить форму видимого идентификационного документа (временные гостевые пропуски для доступа в определённый отдел на определённое время), и они должны немедленно сообщать персоналу службы безопасности, если они сталкиваются с посетителями без сопровождающего и с кем-либо, кто не носит видимого идентификационного документа; персоналу вспомогательных служб третьей стороны предоставлен ограниченный доступ в зоны безопасности или к средствам обработки важной информации только тогда, когда требуется; этот доступ должен быть разрешен и должен постоянно контролироваться;

5) права доступа в зоны безопасности регулярно анализируются, обновляются и отменяются при необходимости;

6) ключевые средства должны быть расположены так, чтобы избежать доступа к ним широкой публики; все отделы компании, располагаются в отдельных комнатах, защищенных дверьми с доводчиками и электронными замками.

7) указатели и внутренние телефонные книги, указывающие на местоположения средств обработки важной информации, не должны быть легко доступны широкой публике.

4. Работа в безопасных зонах

Описать правила, применяющиеся при работе в безопасных зонах предприятия. Должным образом провести инструктаж с персоналом по данным правилам.

1) персонал должен быть осведомлен о существовании безопасной зоны или о деятельности в безопасной зоне только на основе принципа служебной необходимости; все сотрудники осведомлены о своей принадлежности к отделам и имеют специальные пропускные карты, которые предоставляют возможность посещения определенных зон, согласно их полномочиям.

2) необходимо избегать безнадзорной работы в безопасных зонах, как по причинам безопасности, так и для того, чтобы предотвратить возможности для злонамеренной деятельности; безопасность работы в таких зонах обеспечивается путем контроля системы пропусков, а также отслеживанием с помощью камер наблюдения.

3) пустые безопасные зоны должны физически запираться и периодически проверяться; двери с доводчиками и электронными замками предоставляют гарантию на отсутствие вероятности свободного доступа в безопасные зоны.

4) фотографическое, видео, аудио или другое записывающее оборудование, такое как камеры на мобильных устройствах, не должны допускаться, если только это не разрешено руководством; контроль проводится на пропускном пункте офиса, а также с помощью камер наблюдения и персонала охраны.

5. Защита оборудования

Предотвратить потерю, ущерб, кражу или раскрытие активов и прерывание в деятельности организации. Оборудование должно быть защищено от физических и экологических угроз.

Защита оборудования (включая, оборудование, используемое вне рабочего места, и вынос имущества), необходима для того, чтобы снизить риск неразрешенного доступа к информации и защититься от потери или ущерба. Защита также должна учитывать размещение и расположение оборудования. Особые средства управления могут потребоваться для защиты от физических угроз, а также для охраны вспомогательных средств, таких как электроснабжение и кабельная инфраструктура.

Оборудование должно быть расположено или защищено так, чтобы снизить риски возникновения экологических угроз и опасностей, а также количество возможностей для неразрешенного доступа.

Руководство по реализации:

1) оборудование должно быть расположено так, чтобы минимизировать необязательный доступ в рабочие зоны; любой незащищенный компьютер, подсоединенный к сети, может быть использован злоумышленниками для доступа или удаления важной для компании информации. Особенно уязвимы компьютеры, стоящие на свободных рабочих местах или в пустых кабинетах (например, принадлежащим сотрудникам, которые сейчас находятся в отпуске или уволились из компании, а на их место еще никого не взяли), а также в местах, куда могут легко проникнуть посторонние, например, в приемной. Для защиты рабочих зон двери всех помещений оборудованы электромеханическими замками.

2) средства обработки информации, обращающиеся с важными данными, должны располагаться так и иметь такой угол видимости, чтобы снизить риск того, что информацию увидят посторонние лица в ходе их использования, а средства хранения должны охраняться для того, чтобы избежать неразрешенного доступа;

3) элементы, требующие особой защиты, должны быть изолированы для того, чтобы снизить общий уровень необходимой защиты (см. п. 1.6.);

4) должны быть созданы средства управления для того, чтобы минимизировать риск возможных физических угроз, например, кража, пожар, взрывоопасные вещества, дым, вода (или сбой в подаче воды), пыль, вибрации, химические воздействия, помехи электроснабжению, помехи связи, электромагнитное излучение и вандализм; во избежание подобных угроз на территории офиса работают специализированные системы безопасности: противопожарная система, сигнализация, видеонаблюдение, система контроля доступа.

5) должны быть определены руководящие указания по употреблению пищи, напитков и курению вблизи средств обработки информации; необходимо в обязательном порядке провести инструктаж с сотрудниками по правилам поведения на территории офиса.

6) внешние условия, такие как температура и влажность, должны постоянно контролироваться на наличие условий, которые могли бы негативно повлиять на работу средств обработки информации (см. п. 1.6.);

7) молниезащитные фильтры, а также ограничители перенапряжения должны быть установлены на все входящие линии электропередач и линии связи;

8) оборудование, обрабатывающее важную информацию, должно быть защищено для того, чтобы минимизировать риски утечки информации по каналам побочных излучений (см. п. 1.6.).

9) Оборудование должно быть защищено от отказов в системе электроснабжения и других нарушений, вызванными сбоями в работе коммунальных служб. Для оборудования, поддерживающего критические деловые операции рекомендуется использовать источники бесперебойного питания (ИБП) для того, чтобы поддерживать нормальное завершение работы или непрерывную работу. Для непрерывности работы компьютеров в отделах используются ИБП Mustek PowerMust 848 Offline (98-UPS-VN008), обеспечивающие резервное питание (при полной нагрузке) - 20 мин. Для защиты от прерываемости работы серверов, маршрутизаторов и коммутаторов предполагается использование ИБП Smart-UPS.

10) Планы действий на случай аварий в системе электроснабжения должны учитывать действие, которое предстоит предпринять в случае сбоя в работе ИБП.

11) Должна быть рассмотрена возможность использования резервного генератора, если требуется продолжать обработку в случае длительного перерыва в подаче электроэнергии. Должна быть доступна надлежащая поставка топлива для того, чтобы генератор мог работать длительный период. Предполагается возможность использования трёхфазного дизельного генератора мощностью около 10 кВт.

12) Оборудование ИБП и генераторы должны регулярно проверяться для того, чтобы гарантировать, что они обладают требуемой мощностью, и испытываться в соответствии с рекомендациями изготовителя.

13) Переключатели аварийного отключения питания должны быть расположены около запасных выходов в комнатах с оборудованием для того, чтобы облегчить быстрое отключение электропитания в случае аварийной ситуации. На случай сбоя в работе основной сети электропитания должно быть предусмотрено аварийное освещение.

14) Водоснабжение должно быть стабильным и адекватным, чтобы снабжать системы кондиционирования воздуха, увлажняющее оборудование и системы пожаротушения. Неправильная работа системы водоснабжения может повредить оборудование или помешать результативной работе системы пожаротушения

15) сетевые розетки, разъемы, кабели и т.д. также должны быть надлежащего качества

6. Защита кабельных соединений

Перехват сетевых данных представляет собой наиболее эффективный метод сетевого хакинга, позволяющий хакеру получить практически всю информацию, циркулирующую по сети. Наибольшее практическое развитие получили средства снифинга, т.е. прослушивания сетей; однако нельзя обойти вниманием и методы перехвата сетевых данных, выполняемые с помощью вмешательства в нормальное функционирование сети с целью перенаправления трафика на хакерский хост, в особенности методы перехвата TCP-соединений. Силовые кабели и кабели дальней связи, по которым передаются данные или вспомогательные информационные услуги должны быть защищены от перехвата или повреждения.

1) сетевые кабели должны быть защищены от неразрешенного перехвата или повреждения, например, путем использования кабельного канала или избегания маршрутов, пролегающих через общедоступные зоны. Все сетевые кабели располагаются в фальшполу, потолке, что обеспечивает невозможность получения неразрешенного физического доступа к ним.

2) силовые кабели должен быть отделены от кабелей дальней связи для того, чтобы предотвратить помехи, так же во избежание влияния помех на сигнал используется кабель U/FTP Cat. 6 с экранированной парой;

3) легко различимые маркировки кабелей и оборудования должны использоваться для того, чтобы минимизировать ошибки из-за неправильного обращения, такие как случайная коммутация неправильных сетевых кабелей. Во избежание ошибок при коммутации кабелей необходимо руководствоваться технической документацией СКС и соответствуя таблицам подключений, правильно маркировать кабели;

7. Обслуживание оборудования

Оборудование должно правильно обслуживаться для обеспечения непрерывной доступности и целостности.

1) оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и спецификациями технического обслуживания; должно быть организовано обследование помещений и объектов с целью обнаружения скрыто установленных устройств негласного съема информации

2) только полномочный обслуживающий персонал должен выполнять ремонт и обслуживать оборудование;

3) должны храниться записи обо всех предполагаемых или фактических дефектах, а также обо всем предупреждающем и корректирующем обслуживании;

4) если оборудование включено в график обслуживания, то должны быть реализованы подходящие средства управления, учитывающие, выполняется ли это обслуживание местным персоналом или персоналом, внешним по отношению к организации; если это необходимо, то оборудование должно быть очищено от важной информации, или обслуживающий персонал должен иметь достаточный допуск к конфиденциальной работе;

5) все требования, наложенные страховыми полисами, должны быть выполнены.

8. Защита оборудования, находящегося за пределами рабочего места Защита должна применяться для оборудования, находящегося за пределами рабочего места, с учетом различных рисков работы за пределами организационных помещений.

1) Независимо от собственности, использование любых средств обработки информации за пределами организационных помещений должно быть разрешено руководством.

2) оборудование и носители информации, выносимые из помещений, не должны оставляться без присмотра в общедоступных местах; портативные компьютеры при путешествии должны перевозиться в качестве ручной клади и должны быть замаскированы, если возможно;

3) все время должны соблюдаться инструкции изготовителя для защиты оборудования, например, защита от сильных электромагнитных полей;

4) средства управления домашней работой должны быть определены оценкой риска, и подходящие средства управления должны быть применены, по остановке, например, запирающийся картотечный блок, политика чистого стола, средства управления доступом для компьютеров и безопасная связь с офисом.

5) для защиты оборудования, находящегося за пределами рабочего места, должен быть принят адекватный объем страховой ответственности.

6) Риски нарушения системы безопасности, например, риск ущерба, кражи или подслушивания, могут значительно различаться в зависимости от местоположения и должны быть учтены при определении наиболее подходящих средств управления.

7) Оборудование, используемое для хранения и обработки информации, включает все формы персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаг или другую форму, которая держится для домашней работы или уносится с места обычной работы.

9. Информационная безопасность

Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на ресурсы, используемые в автоматизированной системе. Критериями информационной безопасности являются конфиденциальность, целостность и будущая доступность информации. Система защиты информации на предприятии преследует такие цели как предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP. Сетевые атаки через Интернет могут быть классифицированы следующим образом:

Сниффер пакетов (sniffer - в данном случае в смысле фильтрация) - прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).

IP-спуфинг (spoof - обман, мистификация) - происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.

Отказ в обслуживании (Denial of Service - DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

Парольные атаки - попытка подбора пароля легального пользователя для входа в сеть.

Атаки типа Man-in-the-Middle - непосредственный доступ к пакетам, передаваемым по сети.

Атаки на уровне приложений.

Сетевая разведка - сбор информации о сети с помощью общедоступных данных и приложений.

Злоупотребление доверием внутри сети.

Несанкционированный доступ (НСД), который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.

Вирусы и приложения типа "троянский конь".

Защита информации в сети может быть улучшена за счет использования специальных программных средств, включающих программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Защита информации на уровне сети

1) Подключение ко всем сетевым устройствам по безопасному протоколу SSH версии 2, обеспечивающего защищенную аутентификацию, соединение и безопасную передачу данных между хостами сети, путем шифрования, проходящего через него трафика, с возможной сжатия данных.

2) Аутентификация на сетевом оборудовании CISCO производится через удаленный сервер с помощью протокола Tacacs+, что исключает вероятность подключения к устройствам не доверенных лиц.

3) Использование механизма PortFast на коммутаторах уровня Access который позволяет порту пропустить состояния listening и learning и сразу же перейти в состояние forwarding. Это применяется для того чтобы включать рабочие станции и сервера в сеть немедленно, без ожидания конвергенции Spanning Tree

4) Использование механизма BPDU Guard на всех портах коммутаторов уровня Access, этот механизм отключает порт коммутатора если на нём включен Port Fast и на этот порт приходят STP сообщения.

5) Запрещение передачи информации между VLAN с использованием списков доступа

6) Использование технологии PAT(NAT Overload). Это позволяет многим приватным IP адресам использовать один внешний адрес для выхода во внешнюю сеть.

7) Использование файрвола с учетом состояния CBAC на маршрутизаторах. Это возможность, заложенная в Cisco IOS, позволяющая определять, какой трафик должен быть разрешен на основании списков доступа (access list). Списки доступа CBAC включают инструкции анализа ip, позволяющие удостовериться в отсутствии нападения прежде, чем трафик будет передан внутрь локальной сети. CBAC может использоваться совместно с NAT, в этом случае списки доступа должны ссылаться на внешние адреса, а не на адреса локальной сети.

8) Выдача IP адресов по DHCP в привязке к VLAN.

9) Использования протокола VPN для подключения к сети провайдера и сети филиала, что обеспечивает высокую защиту передаваемой информации за счёт специальных алгоритмов шифрования и надёжных механизмов аутентификации. Используются протоколы: L2TP - для подключения к филиалу, SSTP - для удаленных пользователей.

10) Для журналирования событий сетевого оборудования cisco на удаленном сервере используется syslog. Такой подход позволяет централизовать сбор важных лог сообщений что в свою очередь упростить их поиск и разбор, это позволит иметь полную статистику происходящих с оборудованием событий, проводить анализ и заранее выявлять возможные проблемы.

Защита информации на пользовательском уровне

1) На клиентских компьютерах и серверах предполагается установка антивирусной программы ESET NOD32 Bussines Edition Antivirus, что обеспечит централизованную защиту файловых серверов и рабочих станций от троянских и шпионских программ, червей, рекламного ПО, фишинг-атак и других интернет-угроз в организации. Решение включает в себя приложение ESET Remote Administrator (ERA), которое обеспечивает централизованное администрирование антивирусного решения. С помощью решения ESET Remote Administrator можно удаленно осуществлять инсталляцию и деинсталляцию программных продуктов ESET, контролировать работу антивирусного ПО, создавать внутри сети серверы для локального обновления продуктов ESET («зеркала»), позволяющие существенно сокращать внешний интернет-трафик.

2) Брандмауэр Windows обеспечит препятствие несанкционированному доступу вредоносных программ из Интернета и локальной сети.

3) Групповые политики

4) Использование технологий NPS и NAP для проверки клиентских компьютеров и удалённых пользователей на соответствие их конфигурации и состояния требованиям политики безопасности.

5) Установка операционных систем и программ будет проводиться централизовано через сервер WDS, что значительно облегчает задачу внедрения операционных систем. Установка обновлений операционных систем и ПО планируется осуществлять так же через отдельный сервер с помощью программы WSUS. Эта служба позволяет скачивать актуальные обновления с сайта Microsoft, которые могут быть распространены внутри корпоративной локальной сети. Это экономит внешний трафик компании и позволяет быстрее устанавливать исправления ошибок и уязвимостей в операционных системах Windows на рабочих местах, а также позволяет централизованно управлять обновлениями серверов и рабочих станций.