Разработка политики информационной безопасности ООО "ТД Искра"

Пути несанкционированного доступа, классификация угроз и объектов защиты. Методы защиты информации в системах управления производством. Основные каналы утечки информации при обработке ее на компьютере. Информационные потоки организации ООО "ТД Искра".

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 15.03.2016
Размер файла 198,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство сельского хозяйства РФ

Федеральное государственное образовательное учреждение высшего профессионального образования

«Пермская государственная сельскохозяйственная академия имени академика Д. Н. Прянишникова»

Кафедра: Информационных технологий и автоматизированного проектирования

КУРСОВОЙ ПРОЕКТ

по дисциплине «Информационная безопасность»

на тему: «Разработка политики информационной безопасности ООО «ТД Искра»,

г. Пермь 2014

СОДЕРЖАНИЕ

  • ВВЕДЕНИЕ
  • 1. ПУТИ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВОМ
    • 1.1 Пути несанкционированного доступа, классификация угроз и объектов защиты
    • 1.2 Анализ методов защиты информации в системах управления производством
    • 1.3 Защита информации в ПК. Каналы утечки информации
    • 1.4 Организационные и организационно-технические меры защиты информации в системах управления производством
  • 2. Разработка политики информационной безопасности ООО «ТД Искра», г. Пермь
    • 2.1 Основные сведения об организации ООО «ТД Искра»
    • 2.2 Описание ИТ Инфраструктуры ООО «ТД Искра»
    • 2.3 Разработка политики безопасности ООО «ТД Искра»
  • Заключение
  • СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
  • Введение
  • Объектом разработки является исследование и усовершенствование информационной безопасность ООО «ТД Искра»
  • Предметом разработки является создание средств и способов защиты от несанкционированного доступа к секретной информации. Организация информационной безопасности для учреждения, которое занимается обработкой информации, связанной с системой управления производством.
  • Цель работы: провести анализ существующей информационной системы безопасности и разработать политику безопасности для наиболее уязвимых участков сети для системы управления производством. Обеспечить защиту информации в локальной сети и защиту баз данных, находящихся на сервере. Задачи: проанализировать существующие каналы утечки информации и способы их закрытия, разработав универсальную систему защиты для организации в которой имеется бухгалтерия, планово-экономический отдел и отдел кадров.
  • Вопрос защиты информации поднимается уже с тех пор, как только люди научились письменной грамоте. Всегда существовала информация, которую должны знать не все. Люди, обладающие такой информацией, прибегали к разным способам ее защиты. В настоящее время, с увеличением количества обрабатываемой информации, увеличился риск хищения, кражи и уничтожения информации. В организациях, занимающейся обработкой данных должна быть разработана система, удовлетворяющая всем критериям безопасности для данного учреждения или организации.
  • От обеспечения информационной безопасности зависят системы телекоммуникации, банки, атомные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации. Для нормального и безопасного функционирования этих систем необходимо поддерживать их безопасность.

1. ПУТИ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВОМ

1.1 Пути несанкционированного доступа, классификация угроз и объектов защиты

Информация может существовать в различных формах в виде совокупности некоторых символов (знаков) на носителях различных типов. В связи с бурным развитием информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В дальнейшем будут рассматриваться только те формы представления информации, которые используются при ее автоматизированной обработке.

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Таким образом, АС представляет собой совокупность следующих компонентов:

- технических средств обработки и передачи информации;

- программного обеспечения;

- самой информации на различных носителях;

- обслуживающего персонала и пользователей системы.

Одним из основных аспектов проблемы обеспечения безопасности АС является определение, анализ и классификация возможных угроз конкретной АС. Перечень наиболее значимых угроз, оценка их вероятности и модель злоумышленника являются базовой информацией для построения оптимальной системы защиты. При формулировании основных терминов в области информационной безопасности "Основные понятия в области технической защиты информации" мы уже сталкивались с определением угрозы. Остановимся на нем подробнее.

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Угроза информационной безопасности АС - это возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования.

Источник угрозы безопасности информации - субъект, являющийся непосредственной причиной возникновения угрозы безопасности информации.

Основными источниками нарушения безопасности в АС являются:

· аварии и стихийные бедствия (пожар, землетрясение, ураган, наводнение и т.п.);

· сбои и отказы технических средств;

· ошибки проектирования и разработки компонентов АС (программных средств, технологий обработки данных, аппаратных средств и др.);

· ошибки эксплуатации;

· преднамеренные действия нарушителей.

Существует много критериев классификации угроз. Рассмотрим наиболее распространенные из них.

1. по природе возникновения: естественные и искусственные

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека. В свою очередь искусственные угрозы - это угрозы АС, вызванные деятельностью человека.

2. по степени мотивации: непреднамеренные (случайные) и преднамеренные. Первые связаны с разного рода ошибками - в проектировании АС, в программном обеспечении, ошибки персонала при работе с АС и т.п. Вторая группа связана с корыстными, идейными и другими целями людей, в данном случае, злоумышленников. Поводом может быть получение материальной выгоды, месть, моральные убеждения и пр.

К основным случайным угрозам можно отнести следующее:

· неумышленные действия, приводящие к нарушению нормального функционирования системы, либо ее полной остановке. В эту категорию также относится повреждение аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

· неумышленное отключение оборудования;

· неумышленная порча носителей информации;

· использование программного обеспечения, способного при неверном использовании привести к нарушению работоспособности системы (зависанию) или к необратимым изменениям в системе (удаление файлов, форматирование и т.п.);

· использование программ, которые не нужны для выполнения должностных обязанностей. К ним могут быть отнесены игровые, обучающие и др. программы, использование которых может привести к неумеренному расходу ресурсов системы, в частности, оперативной памяти и процессора;

· непреднамеренное заражение компьютера вирусами;

· неосторожные действия, влекущие за собой разглашение конфиденциальной информации;

· ввод ошибочных данных;

· утрата, передача кому-то или разглашение идентификаторов, к которым относятся пароли, ключи шифрования, пропуски, идентификационные карточки; построение системы, технологии обработки данных, создание программ с уязвимостями; несоблюдение политики безопасности или других установленных правил работы с системой;

· отключение или некорректное использование средств защиты персоналом;

· пересылка данных по ошибочному адресу абонента (устройства).

К основным преднамеренным угрозам можно отнести следующее:

· физическое воздействие на систему или отдельные ее компоненты (устройства, носители, люди), приводящее к выходу из строя, разрушению, нарушению нормального функционирования;

· отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

· действия по нарушению нормальной работы системы (изменение режимов работы устройств или программ, создание активных радиопомех на частотах работы устройств системы и т.п.);

· подкуп, шантаж и другие пути воздействия на персонал или отдельных пользователей, имеющих определенные полномочия;

· применение подслушивающих устройств, дистанционная фото- и видеосъемка, и т.п.;

· перехват ПЭМИН (побочных электромагнитных излучений и наводок);

· перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

· хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПК);

· несанкционированное копирование носителей информации;

· хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.); чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;

· чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки мульти задачных операционных систем и систем программирования;

· незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");

· несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;

· вскрытие шифров криптозащиты информации;

· внедрение аппаратных "спецвложений", программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему зашиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

· незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

· незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений. Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.

Рассмотрим другие критерии классификации угроз:

3. по положению относительно контролируемой зоны: внутренние и внешние угрозы. В качестве примера внешних угроз может быть перехват данных, передаваемых по сети или утечка через ПЭМИН. К внутренним угрозам можно отнести хищение носителей с конфиденциальной информацией, порчу оборудования, применение различного рода закладок.

4. по степени воздействия на АС: пассивные и активные. Пассивные угрозы - угрозы, не нарушающие состав и нормальную работу АС. Пример - копирование конфиденциальной информации, утечка через технические каналы утечки, подслушивание и т.п. Активная угроза, соответственно, нарушает нормальное функционирование АС, ее структуру или состав.

5. по виду нарушаемого свойства информации - конфиденциальности, доступности, целостности.

К угрозам доступности можно отнести как искусственные, например, повреждение оборудования из-за грозы или короткого замыкания, так и естественные угрозы. В настоящее время широко распространены сетевые атаки на доступность информации - DDOS-атаки, которые мы рассмотрим в ходе данного курса более подробно.

В последнее время в специальной литературе всё чаще говорится о динамической и статической целостностях. К угрозам статической целостности относится незаконное изменение информации, подделка информации, а также отказ от авторства. Угрозами динамической целостности является нарушение атомарности транзакций, внедрение нелегальных пакетов в информационный поток и т.д.

Также важно отметить, что не только данные являются потенциально уязвимыми к нарушению целостности, но и программная среда. Заражение системы вирусом может стать примером реализации угрозы целостности.

К угрозам конфиденциальности можно отнести любые угрозы, связанные с незаконным доступом к информации, например, перехват передаваемых по сети данных с помощью специальной программы или неправомерный доступ с использованием подобранного пароля. Сюда можно отнести и "нетехнический" вид угрозы, так называемый, "маскарад" - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

6. по типу системы, на которую направлена угроза: системы на базе автономного рабочего места и система, имеющая подключение к сети общего пользования.

7. по способу реализации: несанкционированный доступ (в том числе случайный) к защищаемой информации, специальное воздействие на информацию, утечка информации через технические каналы утечки.

Наиболее распространенными являются классификации по способу реализации и по виду нарушаемого свойства информации.

Компании, занимающиеся разработками в области информационной безопасности, регулярно проводят аналитические исследования по утечкам информации. Результаты публикуются на их официальных сайтах. Приведем некоторую статистику из ежегодного аналитического отчета компании "InfoWath" за 2013 год. Согласно отчету, в 2013 году соотношение случайных и намеренных утечек составило 60/40 (рис. 1), что говорит о необходимости применения защитных мер не только от умышленных действий нарушителей, но и от случайных угроз.

Рис. 1. Соотношение случайных и умышленных утечек в 2013 году

Соотношение каналов утечки сильно зависит от типа носителя информации - рис. 2

Рис. 2. Распределение случайных и умышленных утечек по каналам

В случае обработки защищаемой информации на компьютере преобладают умышленные утечки, а в случае использования бумажного носителя и доступа по сети - случайные. Неосторожная работа сотрудника с принтером зачастую приводит к утечке конфиденциальной информации: распечатал документ и забыл его, отправил не на тот сетевой принтер, проставил не тот адрес при автоматической распечатке и рассылке писем.

Для специалиста в области информационной безопасности важно знать критерии классификации угроз и их соотношение с целью систематизации своих знаний при построении системы защиты, в частности, проведения оценки рисков и выбора оптимальных средств защиты.

1.2 Анализ методов защиты информации в системах управления производством

Обеспечение надежной защиты информации предполагает:

Обеспечение безопасности информации в СУП это есть процесс непрерывный, заключающийся в систематическом контроле защищенности, выявлении узких и слабых мест в системе защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты.

Безопасность информации в СУП. Последняя может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты.

Надлежащую подготовку пользователей и соблюдение ими всех правил защиты.

Что никакую систему защиты нельзя считать абсолютно надежной, надо исходить их того, что может найтись такой искусный злоумышленник, который отыщет лазейку для доступа к информации.

1.3 Защита информации в ПК. Каналы утечки информации

Защита информации в ПК - организованная совокупность правовых мероприятий, средств и методов (организационных, технических, программных), предотвращающих или снижающих возможность образования каналов утечки, искажения обрабатываемой или хранимой информации в ПК.

Канал утечки (КУ) информации - совокупность источника информации, материального носителя или среды распространения несущего эту информацию сигнала и средства выделения информации из сигнала или носителя.

Известны следующие КУ (Рис. 3):

Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в технических средствах обработки информации. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки).

Электромагнитный канал в свою очередь делится на:

Радиоканал (высокочастотные излучения).

Низкочастотный канал.

Сетевой канал (наводки на провода заземления).

Канал заземления (наводки на провода заземления).

Линейный канал (наводки на линии связи между ПК).

Акустический канал. Он связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации.

Канал несанкционированного копирования.

Канал несанкционированного доступа.

Рис. 3 - Основные каналы утечки информации при обработке ее на ПК

Прямое хищение (потеря) магнитных носителей информации и документов, образующихся при обработке данных на ПК.

Организационные меры защиты - меры общего характера, затрудняющие доступ к ценной информации посторонним лицам, вне зависимости от особенностей способа обработки информации и каналов утечки информации.

Организационно-технические меры защиты - меры, связанные со спецификой каналов утечки и метода обработки информации, но не требующие для своей реализации нестандартных приемов и/или оборудования.

Технические меры защиты - меры, жестко связанные с особенностями каналов утечки и требующее для своей реализации специальных приемов, оборудования или программных средств.

Программные “вирусы” - программы, обладающие свойствами самодублирования и могущие скрывать признаки своей работы и причинять ущерб информации в ПК.

Вирусы делятся на:

файловые - присоединяются к выполняемым файлам;

загрузочные - размещаются в загрузочных секторах ПК.

Несанкционированный доступ к информации в ПК - действие противника, приводящие к его ознакомлению с содержанием ценной информации или пользованию программными средствами без ведома их владельца. Несанкционированные действия прикладных программ - действия негативного характера, не связанные с основным назначением прикладных программ.

1.4 Организационные и организационно-технические меры защиты информации в системах управления производством

Организационные меры предусматривают:

Ограничение доступа в помещения, в которых происходит обработка конфиденциальной информации.

Допуск к решению задач на ПК по обработке секретной, конфиденциальной информации проверенных должностных лиц, определение порядка проведения работ на ПК.

Хранение магнитных носителей (серверов) в тщательно закрытых прочных шкафах или помещениях

Назначение одной или нескольких ПК для обработки ценной информации, и дальнейшая работа только на этих ПК.

Установка дисплея, клавиатуры и принтера таким образом, чтобы исключить просмотр посторонними лицами содержания обрабатываемой информации.

Постоянное наблюдение за работой принтера и других устройств вывода на материальных носитель ценной информации.

Уничтожение красящих лент или иных материалов, содержащих фрагменты ценной информации.

Запрещение ведения переговоров о непосредственном содержании конфиденциальной информации лицам, занятым ее обработкой.

Организационно-технические меры предполагают:

Ограничение доступа внутрь корпуса ПК путем установления механических запорных устройств.

Уничтожение всей информации на винчестере ПК при ее отправке в ремонт с использованием средств низкоуровневого форматирования.

Организацию питания ПК от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.

Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.

Размещение дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других ПК, не использующихся для обработки конфиденциальной информации.

Отключение ПК от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.

Установка принтера и клавиатуры на мягкие прокладки с целью снижения утечки информации по акустическому каналу.

Во время обработки ценной информации на ПК рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), а также обрабатывать другую информацию на рядом стоящих ПК. Эти устройства должны быть расположены на расстоянии не менее 2,5-3,0 метров.

Уничтожение информации непосредственно после ее использования.

2. Разработка политики информационной безопасности ООО «ТД Искра», г. Пермь

2.1 Основные сведения об организации ООО «ТД Искра»

Полное наименование компании ООО «Торговый дом Искра».

Организационно-правовая форма Общество с ограниченной ответственностью. Юридический адрес: Россия, 614990, г. Пермь, ул. Куйбышева 118/А ООО «ТД Искра» имеет статус юридического лица, бухгалтерский учет ведет на самостоятельном балансе. Дочерних компаний и филиалов организация не имеет.

Расчетно-кассовое обслуживание ООО «ТД Искра» осуществляет Западно-Уральский сбербанк г. Пермь.

Среднесписочная численность работников 50 человек.

Уставный капитал общества сформирован без участия иностранного капитала. Целью деятельности общества является получение прибыли.

ООО «ТД Искра» осуществляет коммерческую деятельность по продаже промышленного насосного оборудования и комплектующих.

Основным предметом деятельности является реализация насосного, электротехнического, кабельно-проводникового оборудования.

Организационная структура ООО «ТД Искра»

Организационная структура управления предприятием является линейной, то есть руководитель низких ступеней непосредственно подчиняется одному руководителю более высокого уровня.

При такой организации управления, когда один руководитель отвечает за весь объем деятельности, в наибольшей степени осуществляется принцип единоначалия. Руководитель, таким образом, несет полную ответственность за результат деятельности. Наглядно организационная структура предприятия представлена на рисунке 4.

Размещено на http://www.allbest.ru/

Рис. 4 Структура аппарата управления ООО «ТД Искра»

утечка несанкционированный защита информационный

2.2 Описание ИТ Инфраструктуры ООО «ТД Искра»

Информационные потоки организации ООО «ТД Искра» обозначены на рис. 5

Рис.5 Информационные потоки ООО «ТД Искра»

Для реализации информационных потоков компании будем использовать следующее системное программное обеспечение: операционную систему Windows XP, так как с данной операционной системой совместимо большинство разработанных в настоящее время программ.

Для серверов баз данных, почтовых, файловых серверов и серверов печати используется Microsoft Windows Server 2012.

Для успешного выполнения своих обязанностей работникам предприятия используют различное программное обеспечение.

В качестве общего программного обеспечения на предприятии используется программный пакет Microsoft Office 2007 для подготовки и работы с текстовыми документами, электронными таблицами (MS Excel), базами данных, презентациями. Для просмотра web страниц используется браузер Google Chrome. Для работы с архивными файлами используется WinRar. Антивирусное программное обеспечение - NOD32 комплексная защита ПК.

В своей деятельности ООО «ТД Искра» использует современные технические средства сбора обработки и хранения информации.

Основным инструментом работы отдела оформления и управления договорами являются персональные компьютеры.

Краткая характеристика:

Процессор - Intel Core 2 Duo E4300, оперативная память 6144 Mb, видеокарта 1024 Mb, сетевая карта 100 Mb/s.

Так как на данном оборудовании используется операционная система Windows XP, а основное программное обеспечение - это программа 1С Предприятие 8.1, то данной конфигурации персональных компьютеров вполне достаточно для успешного выполнения основных функций работниками предприятия.

Основные узы сети:

1. 2 сервера

2. 50 стационарных компьютеров

3. 5 сканеров

4. 4 модема

5. 5 принтеров

На всех компьютерах имеются интегрированные сетевые карты. Компьютеры, из которых состоит локальная сеть соединяются между собой витой парой категории 5 имеющей следующие характеристики:

· скорость передачи данных - 100 Мбит/с;

· полное волновое сопротивление в диапазоне частот до 100 МГц равно 100 Ом (ISO 11801 допускает также кабель с волновым сопротивлением 120 Ом);

· величина перекрестных наводок NEXT в зависимости от частоты сигнала должна принимать значения не менее 74 дБ на частоте 150 кГц и не менее 32 дБ на частоте 100 МГц;

· затухание имеет предельные значения от 0,8 дБ ( на частоте 64 кГц ) до 22 дБ ( на частоте 100 МГц);

· активное сопротивление не должно превышать 9,4 Ом на 100 метров;

· емкость кабеля не должна превышать 5,6 нФ на 100 метров.

Для соединения кабелей с оборудованием используются вилки и розетки RJ-45, представляющие собой 8-контактные разъемы.

Для построения сети необходимо будет приобрести следующее оборудование:

Таблица 1 Оборудование для реализации компьютерной сети

Наименование

Кол.

1

Switch D Link 8 ports 10/ 100/ 1000Mbps Layer 2 unmanaged Gigabit Ethernet Switch

7

2

ZyXEL ADSL USB modem

4

3

Коннектор RJ-45

100

4

Сетевой кабель 5 категории

170

5

Microsoft Windows XP Professional Russian CD w/SP2 (BOX)

49

6

Canon CanoScan LiDe 60

5

7

Canon LBP-2900

5

8

Сервер

2

Рис. 3 Структурная схема компьютерной сети компании ООО «ТД Искра» (частично)

Наименование должности

Кол-во

Описание функций

Компьютеризация рабочего места

директор

1

Работа с документами. Просмотр финансовых отчетов. Анализ работы предприятия. Печать документов

1 ПК

Заместитель директора

5

Разработка отчетов и финансовое планирование. Печать документов

5 ПК

Главный бухгалтер

1

Работа с документами. Руководство с бухгалтерией предприятия. Создание бухгалтерских отчетов. Печать документов.

1 ПК

бухгалтер

2

Работа с документами. Ведение бухгалтерии предприятия. Создание бухгалтерских отчетов. Печать документов.

2 ПК

Бухгалтер-операционист

1

Работа с документами. Заключение договоров купли-продажи товара. Создание организационных отчетов. Печать документов.

1 ПК

Отдел управления персоналом

6

Прием на работу новых специалистов, кадровые отчеты. Печать документов.

6 ПК

Отдел снабжения

10

Организация учета движения материальных ресурсов, составления установленной отчетности

10 ПК

Отдел продаж

9

Работа с документами. Прием и отгрузка товара. Разработка ценовой политики товара. Печать документов.

9 ПК

Отдел заключения договоров

15

Осуществление координации работы с договорами

15 ПК

2.3 Разработка политики безопасности ООО «ТД Искра»

1. Физическая и экологическая безопасность

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например, в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети теряется - и остается полагаться на другие методы, такие как шифрование и туннелирование. Но оборудование в помещении компании должно находиться под пристальным наблюдением.

2. Безопасные зоны Средства обработки критической или важной информации должны быть расположены в безопасных зонах, защищенных определенными периметрами безопасности, с подходящими барьерами безопасности и средствами управления доступом. Они должны быть физически защищены от неразрешенного доступа, ущерба и помех.

1) Периметры безопасности должны быть четко определены. Периметр безопасности предприятия ограничен пределами здания

2) периметры здания, содержащие средства обработки информации должны быть физически целыми (то есть не должно быть никаких брешей в периметре или зон, где могло бы легко произойти проникновение). Внешние стены имеют твердую конструкцию, а все внешние двери надлежащим образом защищены от неразрешенного доступа при помощи: сигнализации, замков и автоматическими доводчиками; двери и окна должны быть заперты, когда находятся без присмотра, и так же учтена внешняя зашита для окон, особенно на первом этаже (на окнах первого этажа установлены решетки во избежание физического проникновения).

3) созданы управляемые персоналом столы регистрации для управления физическим доступом к месту с целью неразрешенного физического доступа, а также при входе расположены турникеты с механизмом пропуска по картам доступа.

4) все пожароустойчивые двери в периметре безопасности оснащены сигнализацией, постоянно контролируются и испытываются вместе со стенами для того, чтобы установить необходимый уровень сопротивления в соответствии с подходящими региональными, национальными и международными стандартами;

5) в соответствии с национальными, региональными или международными стандартами установлены и регулярно испытываются системы обнаружения вторжения для того, чтобы охватить все внешние двери и доступные окна. В периметре здания офиса расположены камеры наблюдения. Для управления работой камер используется 32-канальные видеорегистраторы. При входе в офис установлены инфракрасные датчики движения под управлением приемно-контрольного прибора охранной сигнализации.

6) средства обработки информации, управляемые организацией, физически отделены от средств обработки информации, управляемых третьими сторонами. В здании офиса располагаются серверная и кроссовая комнаты, в которых размещается сетевое оборудование.

3. Средства управления физическим доступом

Безопасные зоны должны быть защищены подходящими средствами управления доступом для того, чтобы обеспечить доступ только полномочному персоналу.

1) дата и время входа и выхода посетителей записываются, все посетители должны находиться под надзором, если их доступ раньше не утверждался, им предоставляется доступ только для конкретных, разрешенных целей; При входе в офис компании будут расположены турникеты для пропуска каждого вошедшего. Сотрудники будут использовать для входа личные карточки, которые дают им доступ в определённые комнаты, в зависимости от специальности. Третьим лицам будут выдаваться временные гостевые карты. Учет посетителей и выдача карт доступа будет производится специальным персоналом. Посетители прежде чем войти должны будут пройти регистрацию. Персонал стола регистрации обязан сообщить посетителям об их правах, полномочиях и проинформировать о правилах использования пропускных карт.

2) доступ к зонам, где обрабатывается или хранится важная информация управляется и ограничен только полномочными лицами; доступ к таким зонам имеет только квалифицированный персонал определённого отдела или третьи лица при наличии пропуска с целью ремонта, замены или установки оборудования.

3) Средства управления аутентификацией: мастер-карты с уникальным PIN кодом (используется электромеханический замок IronLogic). Контрольный журнал всего доступа содержится в надежном месте;

4) от всех служащих, подрядчиков и пользователей третьей стороны и от всех посетителей требуется носить форму видимого идентификационного документа (временные гостевые пропуски для доступа в определённый отдел на определённое время), и они должны немедленно сообщать персоналу службы безопасности, если они сталкиваются с посетителями без сопровождающего и с кем-либо, кто не носит видимого идентификационного документа; персоналу вспомогательных служб третьей стороны предоставлен ограниченный доступ в зоны безопасности или к средствам обработки важной информации только тогда, когда требуется; этот доступ должен быть разрешен и должен постоянно контролироваться;

5) права доступа в зоны безопасности регулярно анализируются, обновляются и отменяются при необходимости;

6) ключевые средства должны быть расположены так, чтобы избежать доступа к ним широкой публики; все отделы компании, располагаются в отдельных комнатах, защищенных дверьми с доводчиками и электронными замками.

7) указатели и внутренние телефонные книги, указывающие на местоположения средств обработки важной информации, не должны быть легко доступны широкой публике.

4. Работа в безопасных зонах

Описать правила, применяющиеся при работе в безопасных зонах предприятия. Должным образом провести инструктаж с персоналом по данным правилам.

1) персонал должен быть осведомлен о существовании безопасной зоны или о деятельности в безопасной зоне только на основе принципа служебной необходимости; все сотрудники осведомлены о своей принадлежности к отделам и имеют специальные пропускные карты, которые предоставляют возможность посещения определенных зон, согласно их полномочиям.

2) необходимо избегать безнадзорной работы в безопасных зонах, как по причинам безопасности, так и для того, чтобы предотвратить возможности для злонамеренной деятельности; безопасность работы в таких зонах обеспечивается путем контроля системы пропусков, а также отслеживанием с помощью камер наблюдения.

3) пустые безопасные зоны должны физически запираться и периодически проверяться; двери с доводчиками и электронными замками предоставляют гарантию на отсутствие вероятности свободного доступа в безопасные зоны.

4) фотографическое, видео, аудио или другое записывающее оборудование, такое как камеры на мобильных устройствах, не должны допускаться, если только это не разрешено руководством; контроль проводится на пропускном пункте офиса, а также с помощью камер наблюдения и персонала охраны.

5. Защита оборудования

Предотвратить потерю, ущерб, кражу или раскрытие активов и прерывание в деятельности организации. Оборудование должно быть защищено от физических и экологических угроз.

Защита оборудования (включая, оборудование, используемое вне рабочего места, и вынос имущества), необходима для того, чтобы снизить риск неразрешенного доступа к информации и защититься от потери или ущерба. Защита также должна учитывать размещение и расположение оборудования. Особые средства управления могут потребоваться для защиты от физических угроз, а также для охраны вспомогательных средств, таких как электроснабжение и кабельная инфраструктура.

Оборудование должно быть расположено или защищено так, чтобы снизить риски возникновения экологических угроз и опасностей, а также количество возможностей для неразрешенного доступа.

Руководство по реализации:

1) оборудование должно быть расположено так, чтобы минимизировать необязательный доступ в рабочие зоны; любой незащищенный компьютер, подсоединенный к сети, может быть использован злоумышленниками для доступа или удаления важной для компании информации. Особенно уязвимы компьютеры, стоящие на свободных рабочих местах или в пустых кабинетах (например, принадлежащим сотрудникам, которые сейчас находятся в отпуске или уволились из компании, а на их место еще никого не взяли), а также в местах, куда могут легко проникнуть посторонние, например, в приемной. Для защиты рабочих зон двери всех помещений оборудованы электромеханическими замками.

2) средства обработки информации, обращающиеся с важными данными, должны располагаться так и иметь такой угол видимости, чтобы снизить риск того, что информацию увидят посторонние лица в ходе их использования, а средства хранения должны охраняться для того, чтобы избежать неразрешенного доступа;

3) элементы, требующие особой защиты, должны быть изолированы для того, чтобы снизить общий уровень необходимой защиты (см. п. 1.6.);

4) должны быть созданы средства управления для того, чтобы минимизировать риск возможных физических угроз, например, кража, пожар, взрывоопасные вещества, дым, вода (или сбой в подаче воды), пыль, вибрации, химические воздействия, помехи электроснабжению, помехи связи, электромагнитное излучение и вандализм; во избежание подобных угроз на территории офиса работают специализированные системы безопасности: противопожарная система, сигнализация, видеонаблюдение, система контроля доступа.

5) должны быть определены руководящие указания по употреблению пищи, напитков и курению вблизи средств обработки информации; необходимо в обязательном порядке провести инструктаж с сотрудниками по правилам поведения на территории офиса.

6) внешние условия, такие как температура и влажность, должны постоянно контролироваться на наличие условий, которые могли бы негативно повлиять на работу средств обработки информации (см. п. 1.6.);

7) молниезащитные фильтры, а также ограничители перенапряжения должны быть установлены на все входящие линии электропередач и линии связи;

8) оборудование, обрабатывающее важную информацию, должно быть защищено для того, чтобы минимизировать риски утечки информации по каналам побочных излучений (см. п. 1.6.).

9) Оборудование должно быть защищено от отказов в системе электроснабжения и других нарушений, вызванными сбоями в работе коммунальных служб. Для оборудования, поддерживающего критические деловые операции рекомендуется использовать источники бесперебойного питания (ИБП) для того, чтобы поддерживать нормальное завершение работы или непрерывную работу. Для непрерывности работы компьютеров в отделах используются ИБП Mustek PowerMust 848 Offline (98-UPS-VN008), обеспечивающие резервное питание (при полной нагрузке) - 20 мин. Для защиты от прерываемости работы серверов, маршрутизаторов и коммутаторов предполагается использование ИБП Smart-UPS.

10) Планы действий на случай аварий в системе электроснабжения должны учитывать действие, которое предстоит предпринять в случае сбоя в работе ИБП.

11) Должна быть рассмотрена возможность использования резервного генератора, если требуется продолжать обработку в случае длительного перерыва в подаче электроэнергии. Должна быть доступна надлежащая поставка топлива для того, чтобы генератор мог работать длительный период. Предполагается возможность использования трёхфазного дизельного генератора мощностью около 10 кВт.

12) Оборудование ИБП и генераторы должны регулярно проверяться для того, чтобы гарантировать, что они обладают требуемой мощностью, и испытываться в соответствии с рекомендациями изготовителя.

13) Переключатели аварийного отключения питания должны быть расположены около запасных выходов в комнатах с оборудованием для того, чтобы облегчить быстрое отключение электропитания в случае аварийной ситуации. На случай сбоя в работе основной сети электропитания должно быть предусмотрено аварийное освещение.

14) Водоснабжение должно быть стабильным и адекватным, чтобы снабжать системы кондиционирования воздуха, увлажняющее оборудование и системы пожаротушения. Неправильная работа системы водоснабжения может повредить оборудование или помешать результативной работе системы пожаротушения

15) сетевые розетки, разъемы, кабели и т.д. также должны быть надлежащего качества

6. Защита кабельных соединений

Перехват сетевых данных представляет собой наиболее эффективный метод сетевого хакинга, позволяющий хакеру получить практически всю информацию, циркулирующую по сети. Наибольшее практическое развитие получили средства снифинга, т.е. прослушивания сетей; однако нельзя обойти вниманием и методы перехвата сетевых данных, выполняемые с помощью вмешательства в нормальное функционирование сети с целью перенаправления трафика на хакерский хост, в особенности методы перехвата TCP-соединений. Силовые кабели и кабели дальней связи, по которым передаются данные или вспомогательные информационные услуги должны быть защищены от перехвата или повреждения.

1) сетевые кабели должны быть защищены от неразрешенного перехвата или повреждения, например, путем использования кабельного канала или избегания маршрутов, пролегающих через общедоступные зоны. Все сетевые кабели располагаются в фальшполу, потолке, что обеспечивает невозможность получения неразрешенного физического доступа к ним.

2) силовые кабели должен быть отделены от кабелей дальней связи для того, чтобы предотвратить помехи, так же во избежание влияния помех на сигнал используется кабель U/FTP Cat. 6 с экранированной парой;

3) легко различимые маркировки кабелей и оборудования должны использоваться для того, чтобы минимизировать ошибки из-за неправильного обращения, такие как случайная коммутация неправильных сетевых кабелей. Во избежание ошибок при коммутации кабелей необходимо руководствоваться технической документацией СКС и соответствуя таблицам подключений, правильно маркировать кабели;

7. Обслуживание оборудования

Оборудование должно правильно обслуживаться для обеспечения непрерывной доступности и целостности.

1) оборудование должно обслуживаться в соответствии с рекомендуемой поставщиком периодичностью и спецификациями технического обслуживания; должно быть организовано обследование помещений и объектов с целью обнаружения скрыто установленных устройств негласного съема информации

2) только полномочный обслуживающий персонал должен выполнять ремонт и обслуживать оборудование;

3) должны храниться записи обо всех предполагаемых или фактических дефектах, а также обо всем предупреждающем и корректирующем обслуживании;

4) если оборудование включено в график обслуживания, то должны быть реализованы подходящие средства управления, учитывающие, выполняется ли это обслуживание местным персоналом или персоналом, внешним по отношению к организации; если это необходимо, то оборудование должно быть очищено от важной информации, или обслуживающий персонал должен иметь достаточный допуск к конфиденциальной работе;

5) все требования, наложенные страховыми полисами, должны быть выполнены.

8. Защита оборудования, находящегося за пределами рабочего места Защита должна применяться для оборудования, находящегося за пределами рабочего места, с учетом различных рисков работы за пределами организационных помещений.

1) Независимо от собственности, использование любых средств обработки информации за пределами организационных помещений должно быть разрешено руководством.

2) оборудование и носители информации, выносимые из помещений, не должны оставляться без присмотра в общедоступных местах; портативные компьютеры при путешествии должны перевозиться в качестве ручной клади и должны быть замаскированы, если возможно;

3) все время должны соблюдаться инструкции изготовителя для защиты оборудования, например, защита от сильных электромагнитных полей;

4) средства управления домашней работой должны быть определены оценкой риска, и подходящие средства управления должны быть применены, по остановке, например, запирающийся картотечный блок, политика чистого стола, средства управления доступом для компьютеров и безопасная связь с офисом.

5) для защиты оборудования, находящегося за пределами рабочего места, должен быть принят адекватный объем страховой ответственности.

6) Риски нарушения системы безопасности, например, риск ущерба, кражи или подслушивания, могут значительно различаться в зависимости от местоположения и должны быть учтены при определении наиболее подходящих средств управления.

7) Оборудование, используемое для хранения и обработки информации, включает все формы персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаг или другую форму, которая держится для домашней работы или уносится с места обычной работы.

9. Информационная безопасность

Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на ресурсы, используемые в автоматизированной системе. Критериями информационной безопасности являются конфиденциальность, целостность и будущая доступность информации. Система защиты информации на предприятии преследует такие цели как предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP. Сетевые атаки через Интернет могут быть классифицированы следующим образом:

Сниффер пакетов (sniffer - в данном случае в смысле фильтрация) - прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).

IP-спуфинг (spoof - обман, мистификация) - происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.

Отказ в обслуживании (Denial of Service - DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

Парольные атаки - попытка подбора пароля легального пользователя для входа в сеть.

Атаки типа Man-in-the-Middle - непосредственный доступ к пакетам, передаваемым по сети.

Атаки на уровне приложений.

Сетевая разведка - сбор информации о сети с помощью общедоступных данных и приложений.

Злоупотребление доверием внутри сети.

Несанкционированный доступ (НСД), который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.

Вирусы и приложения типа "троянский конь".

Защита информации в сети может быть улучшена за счет использования специальных программных средств, включающих программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Защита информации на уровне сети

1) Подключение ко всем сетевым устройствам по безопасному протоколу SSH версии 2, обеспечивающего защищенную аутентификацию, соединение и безопасную передачу данных между хостами сети, путем шифрования, проходящего через него трафика, с возможной сжатия данных.

2) Аутентификация на сетевом оборудовании CISCO производится через удаленный сервер с помощью протокола Tacacs+, что исключает вероятность подключения к устройствам не доверенных лиц.

3) Использование механизма PortFast на коммутаторах уровня Access который позволяет порту пропустить состояния listening и learning и сразу же перейти в состояние forwarding. Это применяется для того чтобы включать рабочие станции и сервера в сеть немедленно, без ожидания конвергенции Spanning Tree

4) Использование механизма BPDU Guard на всех портах коммутаторов уровня Access, этот механизм отключает порт коммутатора если на нём включен Port Fast и на этот порт приходят STP сообщения.

5) Запрещение передачи информации между VLAN с использованием списков доступа

6) Использование технологии PAT(NAT Overload). Это позволяет многим приватным IP адресам использовать один внешний адрес для выхода во внешнюю сеть.

7) Использование файрвола с учетом состояния CBAC на маршрутизаторах. Это возможность, заложенная в Cisco IOS, позволяющая определять, какой трафик должен быть разрешен на основании списков доступа (access list). Списки доступа CBAC включают инструкции анализа ip, позволяющие удостовериться в отсутствии нападения прежде, чем трафик будет передан внутрь локальной сети. CBAC может использоваться совместно с NAT, в этом случае списки доступа должны ссылаться на внешние адреса, а не на адреса локальной сети.

8) Выдача IP адресов по DHCP в привязке к VLAN.

9) Использования протокола VPN для подключения к сети провайдера и сети филиала, что обеспечивает высокую защиту передаваемой информации за счёт специальных алгоритмов шифрования и надёжных механизмов аутентификации. Используются протоколы: L2TP - для подключения к филиалу, SSTP - для удаленных пользователей.

10) Для журналирования событий сетевого оборудования cisco на удаленном сервере используется syslog. Такой подход позволяет централизовать сбор важных лог сообщений что в свою очередь упростить их поиск и разбор, это позволит иметь полную статистику происходящих с оборудованием событий, проводить анализ и заранее выявлять возможные проблемы.

Защита информации на пользовательском уровне

1) На клиентских компьютерах и серверах предполагается установка антивирусной программы ESET NOD32 Bussines Edition Antivirus, что обеспечит централизованную защиту файловых серверов и рабочих станций от троянских и шпионских программ, червей, рекламного ПО, фишинг-атак и других интернет-угроз в организации. Решение включает в себя приложение ESET Remote Administrator (ERA), которое обеспечивает централизованное администрирование антивирусного решения. С помощью решения ESET Remote Administrator можно удаленно осуществлять инсталляцию и деинсталляцию программных продуктов ESET, контролировать работу антивирусного ПО, создавать внутри сети серверы для локального обновления продуктов ESET («зеркала»), позволяющие существенно сокращать внешний интернет-трафик.

2) Брандмауэр Windows обеспечит препятствие несанкционированному доступу вредоносных программ из Интернета и локальной сети.

3) Групповые политики

4) Использование технологий NPS и NAP для проверки клиентских компьютеров и удалённых пользователей на соответствие их конфигурации и состояния требованиям политики безопасности.

5) Установка операционных систем и программ будет проводиться централизовано через сервер WDS, что значительно облегчает задачу внедрения операционных систем. Установка обновлений операционных систем и ПО планируется осуществлять так же через отдельный сервер с помощью программы WSUS. Эта служба позволяет скачивать актуальные обновления с сайта Microsoft, которые могут быть распространены внутри корпоративной локальной сети. Это экономит внешний трафик компании и позволяет быстрее устанавливать исправления ошибок и уязвимостей в операционных системах Windows на рабочих местах, а также позволяет централизованно управлять обновлениями серверов и рабочих станций.


Подобные документы

  • Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".

    дипломная работа [1,4 M], добавлен 05.06.2011

  • Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.

    контрольная работа [107,3 K], добавлен 09.04.2011

  • Наиболее распространённые пути несанкционированного доступа к информации, каналы ее утечки. Методы защиты информации от угроз природного (аварийного) характера, от случайных угроз. Криптография как средство защиты информации. Промышленный шпионаж.

    реферат [111,7 K], добавлен 04.06.2013

  • Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.

    дипломная работа [839,2 K], добавлен 19.02.2017

  • Исследование понятия и классификации видов и методов несанкционированного доступа. Определение и модель злоумышленника. Организация защиты информации. Классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз.

    реферат [115,1 K], добавлен 16.03.2014

  • Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.

    курсовая работа [2,4 M], добавлен 30.10.2009

  • Анализ организационной структуры ОАО "МегаФон". Информационные потоки отделов. Исследование процессов защиты информации отделов. Классификация информации по видам тайн. Модель нарушителя, каналы утечки информации. Исследование политики безопасности.

    курсовая работа [778,8 K], добавлен 07.08.2013

  • Варианты управления компьютером при автономном режиме. Классификация угроз безопасности, каналов утечки информации. Программно-аппаратные комплексы и криптографические методы защиты информации на ПЭВМ. Программная система "Кобра", утилиты наблюдения.

    контрольная работа [23,8 K], добавлен 20.11.2011

  • Математические модели характеристик компьютеров возможных нарушителей и угроз безопасности информации в условиях априорной неопределённости. Методика построения комплексной системы защиты информационной сети военного ВУЗа от несанкционированного доступа.

    контрольная работа [401,8 K], добавлен 03.12.2012

  • Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.

    презентация [396,6 K], добавлен 25.07.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.