Организация защиты информации в локальной вычислительной сети (на примере ОАО "Марийский машиностроительный завод")

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

АНО ВПО «МЕЖРЕГИОНАЛЬНЫЙ ОТКРЫТЫЙ СОЦИАЛЬНЫЙ ИНСТИТУТ»

Кафедра экономики и информационной безопасности

Специальность 090104

«Комплексная защита объектов информатизации»

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

на тему:

Организация защиты информации в локальной вычислительной сети (на примере ОАО «Марийский машиностроительный завод»)

Научный руководитель: доктор ф.-м. н.,

кандидат т.н., профессор А.Н. Леухин

Рецензент: к.т.н., доцент В.Н. Парсаев

Выполнил: студент 4 курса з/о

группы: КЗ 4СП А.А. Смелов

Йошкар-Ола, 2014

Содержание

Введение

1. Теоритическая часть организации защиты информации на предприятии

1.1 Организация компьютерной безопасности и защиты информации

1.2 Средства защита информации от несанкционированного доступа

1.3 Защита информации в компьютерных сетях

1.4 Криптографическая защита информации

1.5 Электронная цифровая подпись

1.6 Защита информации от компьютерных вирусов

1.7 Применение локальных вычислительных сетей

1.8 Характеристики локально-вычислительных сетей

1.9 Основные функции локально-вычислительных сетей

1.10 Разделение локальных сетей в зависимости от административных взаимоотношений между ЭВМ

1.11 Структуры функционирования локальных сетей

1.12 Способы построения локальных сетей

1.13 Монтаж локально-вычислительных сетей

1.14 Условия обработки персональных данных

2. Аналитическая часть исследования защиты ЛВС на ОАО «Марийский машиностроительный завод»

2.1 Краткая характеристика ОАО «Марийского машиностроительного завода»

2.2 Характеристика локально-вычислительной сети ОАО «Марийского машиностроительного завода»

2.3 Анализ возможных типов атак и модели нарушителя осуществляющего атаки на локальную сеть ОАО «Марийского машиностроительного завода»

3. Разработка мер и выбор средств обеспечения информационной безопасности локальной вычислительной сети ОАО «Марийский машиностроительный завод»

3.1 Организационные меры. Политика безопасности

3.2 Мероприятия по повышению защищенности ЛВС

3.3 Внедрение комплексной системы защиты информации

4. Экономическая часть. Оценка стоимости предлагаемых мер

4.1 Расчет затрат

4.2 Расчет заработной платы исполнителей

Заключение

Список использованной литературы

Приложения

Введение

Обеспечение информационной безопасности является сегодня одним из основных требований к информационным системам. Причина этого - неразрывная связь информационных технологий и основных бизнес-процессов в любых организациях, будь то государственные службы, промышленные предприятия, финансовые структуры, операторы телекоммуникаций.

Безопасность в сфере информационных технологий -- это комплекс мер, и она должна восприниматься как система. Компьютерная безопасность имеет различные аспекты, среди которых нельзя выделить более значимые или менее. Здесь важно все. Нельзя отказаться от какой-либо части этих мер, иначе система не будет работать.

Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться.

Анализ актуальных угроз конфиденциальной информации, на основе которого строится система информационной безопасности предприятия, начинается с понимания и классификации этих угроз. В настоящий момент теория информационной безопасности рассматривает несколько классификаций информационных рисков и угроз защиты информации. Мы остановимся на генерализированном разделении угроз информационной безопасности интеллектуальной собственности организации на две категории - внешние и внутренние угрозы. Данная классификация предусматривает разделение угроз по локализации злоумышленника (или преступной группы), который может действовать как удалённо, пытаясь получить доступ к конфиденциальной информации предприятия при помощи сети интернет, либо же действовать посредством доступа к внутренним ресурсам IT-инфраструктуры объекта.

Появление международного стандарта ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» явилось новым этапом в развитии нормативной базы оценки информационной безопасности в нашей стране.

Настоящий стандарт устанавливает структуру и содержание компонентов функциональных требований безопасности для оценки безопасности. Он также включает каталог функциональных компонентов, отвечающих общим требованиям к функциональным возможностям безопасности многих продуктов и систем ИТ.

В данной работе будет спроектирована система защиты информации локальной вычислительной сети на примере ОАО «Марийский машиностроительный завод».

1. Теоритическая часть организации защиты информации на предприятии

1.1 Организация компьютерной безопасности и защиты информации

Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач.

Безопасность информационной системы - это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней.

Под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации.

Известны следующие источники угроз безопасности информационных систем:

- антропогенные источники, вызванные случайными или преднамеренными действиями субъектов;

- техногенные источники, приводящие к отказам и сбоям технических и программных средств из-за устаревших программных и аппаратных средств или ошибок в ПО;

- стихийные источники, вызванные природными катаклизмами или форс-мажорными обстоятельствами.

В свою очередь антропогенные источники угроз делятся:

- на внутренние (воздействия со стороны сотрудников компании) и внешние (несанкционированное вмешательство посторонних лиц из внешних сетей общего назначения) источники;

- на непреднамеренные (случайные) и преднамеренные действия субъектов.

Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:

- перехват информации;

- модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату);

- подмена авторства информации (кто-то может послать письмо или документ от вашего имени);

- использование недостатков операционных систем и прикладных программных средств;

- копирование носителей информации и файлов с преодолением мер защиты;

- незаконное подключение к аппаратуре и линиям связи;

- маскировка под зарегистрированного пользователя и присвоение его полномочий;

- введение новых пользователей;

- внедрение компьютерных вирусов и так далее.

Для обеспечения безопасности информационных систем применяют системы защиты информации, которые представляют собой комплекс организационно - технологических мер, программно - технических средств и правовых норм, направленных на противодействие источникам угроз безопасности информации.

При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходиться выбирать между уровнем защиты и эффективностью работы информационных систем.

К средствам защиты информации ИС от действий субъектов относятся:

- средства защита информации от несанкционированного доступа;

- защита информации в компьютерных сетях;

- криптографическая защита информации;

- электронная цифровая подпись;

- защита информации от компьютерных вирусов.

1.2 Средства защита информации от несанкционированного доступа

Получение доступа к ресурсам информационной системы предусматривает выполнение сразу трех процедур: идентификация, аутентификация и авторизация.

Идентификация - присвоение пользователю (объекту или субъекту ресурсов) уникальных имен и кодов (идентификаторов)[9].

Аутентификация - установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает. Наиболее распространенным способом аутентификации является присвоение пользователю пароля и хранение его в компьютере[9].

Авторизация - проверка полномочий или проверка права пользователя на доступ к конкретным ресурсам и выполнение определенных операций над ними. Авторизация проводится с целью разграничения прав доступа к сетевым и компьютерным ресурсам[9].

1.3 Защита информации в компьютерных сетях

Локальные сети предприятий очень часто подключаются к сети Интернет. Для защиты локальных сетей компаний, как правило, применяются межсетевые экраны - брандмауэры (firewalls). Экран (firewall) - это средство разграничения доступа, которое позволяет разделить сеть на две части (граница проходит между локальной сетью и сетью Интернет) и сформировать набор правил, определяющих условия прохождения пакетов из одной части в другую. Экраны могут быть реализованы как аппаратными средствами, так и программными.

1.4 Криптографическая защита информации

Для обеспечения секретности информации применяется ее шифрование или криптография. Для шифрования используется алгоритм или устройство, которое реализует определенный алгоритм. Управление шифрованием осуществляется с помощью изменяющегося кода ключа.

Извлечь зашифрованную информацию можно только с помощью ключа. Криптография - это очень эффективный метод, который повышает безопасность передачи данных в компьютерных сетях и при обмене информацией между удаленными компьютерами[22].

1.5 Электронная цифровая подпись

Для исключения возможности модификации исходного сообщения или подмены этого сообщения другим необходимо передавать сообщение вместе с электронной подписью. Электронная цифровая подпись - это последовательность символов, полученная в результате криптографического преобразования исходного сообщения с использованием закрытого ключа и позволяющая определять целостность сообщения и принадлежность его автору при помощи открытого ключа[22].

Другими словами сообщение, зашифрованное с помощью закрытого ключа, называется электронной цифровой подписью. Отправитель передает незашифрованное сообщение в исходном виде вместе с цифровой подписью. Получатель с помощью открытого ключа расшифровывает набор символов сообщения из цифровой подписи и сравнивает их с набором символов незашифрованного сообщения.

При полном совпадении символов можно утверждать, что полученное сообщение не модифицировано и принадлежит его автору.

1.6 Защита информации от компьютерных вирусов

Компьютерный вирус - это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных и распространяться по каналам связи[19].

В зависимости от среды обитания основными типами компьютерных вирусов являются:

- Программные (поражают файлы с расширением .СОМ и.ЕХЕ) вирусы

- Загрузочные вирусы

- Макровирусы

- Сетевые вирусы

1.7 Применение локальных вычислительных сетей

Локально вычислительная сеть (ЛВС) - это система взаимосвязанных вычислительных ресурсов (компьютеров, серверов, маршрутизаторов, программного обеспечения и др.), распределенных по сравнительно небольшой территории (офис или группа зданий), служащая для приема-передачи, хранения и обработки информации различного рода[26].

- Распределение данных. Данные в локальной сети хранятся на центральном ПК и могут быть доступны на рабочих станциях. В связи с этим не надо на каждом рабочем месте иметь накопители для хранения одной и той же информации;

- Распределение ресурсов. Периферийные устройства могут быть доступны для всех пользователей ЛВС. Такими устройствами могут быть, например, сканер или лазерный принтер;

- Распределение программ. Все пользователи ЛВС могут совместно иметь доступ к программам, которые были централизованно установлены на одном из компьютеров.

Локальная вычислительная сеть (ЛВС) представляет собой соединение нескольких ПК с помощью соответствующего аппаратного и программного обеспечения. В локальных сетях скорость передачи данных высока, протоколы в сравнении с протоколами глобальных сетей относительно просты, отсутствует избыточность каналов связи.

1.8 Характеристики локально-вычислительных сетей

- Высокоскоростные каналы (1- 400 Мбит\с), принадлежащие преимущественно одному пользователю[26];

- Расстояние между рабочими станциями, подключаемыми к локальной сети, обычно составляет от нескольких сотен до нескольких тысяч метров;

- Передача данных между станциями пользователей компьютеров;

- Децентрализация терминального оборудования, в качестве которого используются микропроцессоры, дисплеи, кассовые устройства и т.д.

- Передача данных абонентам, подключенным к сети, по общему кабелю.

1.9 Основные функции локально-вычислительных сетей

- Обеспечение одновременного доступа к оборудованию, программному обеспечению и информации, объединенных в сеть;

- Минимизация риска несанкционированного доступа к информации и сетевым ресурсам;

- Разграничение доступа к информации и сетевым ресурсам;

- Обеспечение быстрого и конфиденциального обмена и одновременной работы с информацией определенному кругу лиц;

- Контроль над информационными потоками, в том числе входящими и исходящими;

- Разграничение контрольных функций и ответственных лиц на каждом узле (за каждый узел отвечает системный администратор, выполняющий обслуживающую и, как правило, контрольные функции);

- Оптимизация расходов на ПО и оборудование за счет их коллективного использования (например один принтер на несколько отделов и др.)

1.10 Разделение локальных сетей в зависимости от административных взаимоотношений между ЭВМ

- иерархические или централизованные;

- одноранговые.

Локальные сети в зависимости от физических и логических взаимоотношений между ЭВМ отличаются архитектурой (Ethernet, Token Ring, FDDI и т.д.) и топологией (шинная, кольцевая, звезда и т.д.).

В локальных сетях реализуется технология «клиент - сервер». Сервер - это объект (компьютер или программа) который предоставляет сервисные услуги, а клиент - это объект (компьютер или программа), который запрашивает сервер предоставить эти услуги[26].

1.11 Структуры функционирования локальных сетей

Структура локальной сети определяется принципом управления и типом связи, зачастую она основывается на структуре обслуживаемой организации. Применяются виды топологии: шинная, кольцевая, радиальная, древовидная. Наиболее распространены первые два вида, за счет эффективного использования каналов связи, простоты управления, гибких возможностей расширения и изменения.

Рисунок 1.1 - Топология «шина»

Все компьютеры связываются в цепочку, подключением к магистральному кабельному сегменту (стволу), на его концах размещаются «терминаторы», для гашения сигнала, распространяющегося в обе стороны. Компьютеры в сети соединяются коаксиальным кабелем с тройниковым соединителем. Пропускная способность сети - 10 Мбит/с, для современных приложений, активно использующих видео и мультимедийные данные, этого недостаточно. Преимущество этой топологии заключается в низкой стоимость проводки и унификации подключений.

Рисунок 1.2 - Топология «дерево»

Более развитая конфигурация типа “шина”. К общей магистральной шине через активные повторители или пассивные размножители присоединяются несколько простых шин.

локальный вычислительный сеть информация защита

Рисунок 1.3 - Топология «звезда»

Является наиболее быстродействующей из всех топологий, информация между периферийными рабочими станциями проходит через центральный узел вычислительной сети. Центральный узел управления - файловый сервер может реализовать оптимальный механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть может управляться из ее центра.

Кабельное соединение довольно простое, так как каждая рабочая станция связана только с центральным узлом. Затраты на прокладку кабелей достаточно высокие, особенно когда центральный узел географически расположен не в центре топологии. При расширении вычислительных сетей не могут быть использованы ранее выполненные кабельные связи: к новому рабочему месту необходимо прокладывать отдельный кабель из центра сети.

В случае последовательностной конфигурации ЛВС каждое устройство подключения к физической среде передает информацию только одному устройству. При этом снижаются требования к передатчикам и приемникам, поскольку все станции активно участвуют в передаче.

Рисунок 1.3 - Топология «кольцо»

Компьютеры соединяются сегментами кабеля, имеющего форму кольца, принципиально идентична шинной, за исключением необходимости использования «терминаторов». В случае неисправности одного из сегментов сети вся сеть выходит из строя.

Сигналы передаются только в одном направлении. Каждая станция непосредственно соединена с двумя соседними, но прослушивает передачу любой станции. Кольцо составляют несколько приемопередатчиков и соединяющая их физическая среда. Все станции могут иметь права равного доступа к физической среде. При этом одна из станций может выполнять роль активного монитора, обслуживающего обмен информацией. Прокладка кабелей от одной рабочей станции до другой может быть довольно сложной и дорогостоящей, особенно если географически рабочие станции расположены далеко от кольца (например, в линию).

Основная проблема при кольцевой топологии заключается в том, что каждая рабочая станция должна активно участвовать в пересылке информации, и в случае выхода из строя хотя бы одной из них вся сеть парализуется. Неисправности в кабельных соединениях локализуются легко. Подключение новой рабочей станции требует выключения сети, так как во время установки кольцо должно быть разомкнуто. Ограничения на протяженность вычислительной сети не существует, так как оно, в конечном счете, определяется исключительно расстоянием между двумя рабочими станциями.

Компьютеры могут соединяться между собой, используя различные среды доступа: медные проводники (витая пара), оптические проводники (оптические кабели) и через радиоканал (беспроводные технологии). Проводные, оптические связи устанавливаются через Ethernet, беспроводные -- через Wi-Fi, Bluetooth, GPRS и прочие средства. Чаще всего локальные сети построены на технологиях Ethernet или Wi-Fi. Следует отметить, что ранее использовались протоколы Frame Relay, Token ring, которые на сегодняшний день встречаются всё реже, их можно увидеть лишь в специализированных лабораториях, учебных заведениях и службах.

1.12 Способы построения локальных сетей

Компьютерная сеть - это сложный комплекс взаимосвязанных и согласованно функционирующих программных и аппаратных компонентов[26].

Компьютерную сеть можно представить многослойной моделью, состоящей из слоев:

- компьютеры;

- коммуникационное оборудование;

- операционные системы;

- сетевые приложения.

Компьютеры

Основой любой локальной сети являются ПК, которые подключаются к сети с помощью сетевой карты. Все компьютеры локальных сетей можно разделить на два класса: серверы и рабочие станции.

Коммуникационное оборудование

Сетевой адаптер - это специальное устройство, которое предназначено для сопряжения компьютера с локальной сетью и для организации двунаправленного обмена данными в сети. Сетевая карта вставляется в свободный слот расширения на материнской плате и оборудована собственным процессором и памятью, а для подключения к сети имеет разъем типа RJ-45. Наиболее распространены карты типа PCI, которые вставляются в слот расширения PCI на материнской плате. В зависимости от применяемой технологии Ethernet, Fast Ethernet или Gigabit Ethernet и сетевой карты скорость передачи данных в сети может быть: 10, 100 или 1000 Мбит/с.

Сетевые кабели.

В качестве кабелей соединяющих отдельные ПК и коммуникационное оборудование в локальных сетях применяются:

1. Витая пара - передающая линия связи, которая представляет собой два провода, перекрученных друг с другом с определенным шагом с целью снижения влияния электромагнитных полей[25].

2. Коаксиальный кабель - кабель, который состоит из одного центрального проводника в изоляторе и второго проводника расположенного поверх изолятора[25].

3. Оптический кабель - это кабель, в котором носителем информации является световой луч, распространяющийся по оптическому волокну[25].

Кроме того, в качестве передающей среды в беспроводных локальных сетях используются радиоволны в микроволновом диапазоне.

К коммуникационному оборудованию локальных сетей относятся: трансиверы, повторители, концентраторы, мосты, коммутаторы, маршрутизаторы и шлюзы.

Часть оборудования (приемопередатчики или трансиверы, повторители или репитеры и концентраторы или hubs) служит для объединения нескольких компьютеров в требуемую конфигурацию сети. Соединенные с концентратором ПК образуют один сегмент локальной сети, т.е. концентраторы являются средством физической структуризации сети, так как, разбивая сеть на сегменты, упрощают подключение к сети большого числа ПК.

Другая часть оборудования (мосты, коммутаторы) предназначены для логической структуризации сети. Так как локальные сети являются широковещательными (Ethernet и Token Ring), то с увеличением количества компьютеров в сети, построенной на основе концентраторов, увеличивается время задержки доступа компьютеров к сети и возникновению коллизий. Поэтому в сетях построенных на хабах устанавливают мосты или коммутаторы между каждыми тремя или четырьмя концентраторами, т.е. осуществляют логическую структуризацию сети с целью недопущения коллизий.

Третья часть оборудования предназначена для объединения нескольких локальных сетей в единую сеть: маршрутизаторы (routers), шлюзы (gateways). К этой части оборудования можно отнести и мосты (bridges), а также коммутаторы (switches).

Повторители (repeater) - устройства для восстановления и усиления сигналов в сети, служащие для увеличения ее длины[26].

Приемопередатчики (трансиверы) - это устройства, предназначенные для приема пакетов от контроллера рабочих станций сети и передачи их в сеть. Трансиверы (конверторы) могут преобразовывать электрические сигналы в другие виды сигналов (оптические или радиосигналы) с целью использования других сред передачи информации[26].

Концентраторы или хабы (Hub) - устройства множественного доступа, которые объединяет в одной точке отдельные физические отрезки кабеля, образуют общую среду передачи данных или сегменты сети, т.е. хабы используются для создания сегментов и являются средством физической структуризации сети[26].

Мосты (bridges) - это программно - аппаратные устройства, которые обеспечивают соединение нескольких локальных сетей между собой. Мосты предназначены для логической структуризации сети или для соединения в основном идентичных сетей, имеющих некоторые физические различия[26].

Коммутаторы (switches) - программно - аппаратные устройства являются быстродействующим аналогом мостов, которые делят общую среду передачи данных на логические сегменты[26]. Логический сегмент образуется путем объединения нескольких физических сегментов с помощью одного или нескольких концентраторов. Каждый логический сегмент подключается к отдельному порту коммутатора. При поступлении данных с компьютера - отправителя на какой-либо из портов коммутатор передаст эти данные, но не на все порты, как в концентраторе, а только на тот порт, к которому подключен сегмент, содержащий компьютер - получатель данных.

Маршрутизаторы (routers). Эти устройства обеспечивают выбор маршрута передачи данных между несколькими сетями, имеющими различную архитектуру или протоколы[26]. Они обеспечивают сложный уровень сервиса, так как могут выполнять “интеллектуальные” функции: выбор наилучшего маршрута для передачи сообщения, адресованного другой сети; защиту данных; буферизацию передаваемых данных; различные протокольные преобразования. Маршрутизаторы применяют только для связи однородных сетей.

Шлюзы (gateway) - устройства (компьютер), служащие для объединения разнородных сетей с различными протоколами обмена[26]. Шлюзы выполняют протокольное преобразование для сети, в частности преобразование сообщения из одного формата в другой.

Эффективность функционирования ЛВС определяется параметрами, выбранными при конфигурировании сети. Конфигурация сети базируется на существующих технологиях и мировом опыте, а также на принятых во всем мире стандартах построения ЛВС и определяется требованиями, предъявляемыми к ней, а также финансовыми возможностями организаций.

Исходя из существующих условий и требований, в каждом отдельном случае выбирается топология сети, кабельная структура, коммуникационное оборудование, протоколы и методы передачи данных, способы организации взаимодействия устройств, сетевая операционная система.

1.13 Монтаж локально-вычислительных сетей

Прокладку кабелей ЛВС, как и других видов кабельных сетей можно осуществлять разными способами. При выборе способа монтажа руководствуются индивидуальными архитектурными и конструктивными особенностями здания, его техническими характеристиками, наличием действующих сетей и иного оборудования, порядком взаимодействия слаботочных систем с другими системами. Принципиально можно выделить два метода - открытый и скрытый. Для скрытой проводки кабелей ЛВС используют конструкцию стен, полов, потолков это выглядит более эстетично, трассы защищены от посторонних воздействий, доступ к ним ограничен, прокладка производится сразу в специальные подготовленные места, обеспечиваются лучшие условия для последующего обслуживания. К сожалению возможность выполнить работы скрытым способом бывает редко, чаще приходится проводить работы открытым способом при помощи пластиковых коробов, вертикальных колон и лотков. Не стоит забывать, что есть еще способ прокладки кабелей по воздуху, чаще всего он применяется для коммуникации зданий, когда нет возможности проложить кабель в каналы или если это слишком дорого.

Монтаж ЛВС это сложная и ответственная работа, от качества ее выполнения зависит стабильность и корректность функционирования системы в целом, степень исполнения возложенных на нее задач, скорость передачи и обработки данных, количество ошибок и др. факторы. Относиться к этому нужно очень основательно и серьезно, так как любая сеть это основа (скелет и кровеносная система) целого организма из слаботочных систем, отвечающих за большое количество функций (от электронной почты до безопасности объекта). Каждое последующее вмешательство в работу действующей системы (расширение, ремонт и др.), требует затрат времени и средств, а их количество на прямую зависит от изначально заложенных в систему параметров, качества выполненных работ, квалификации разработчиков и исполнителей. Экономия средств на этапе проектирования и монтажа ЛВС, может обернуться куда большими тратами на стадии эксплуатации и апгрейда.

1.14 Условия обработки персональных данных

В нашем примере по локально - вычислительной сети осуществляется передача персональных данных, соответственно существуют правила обработки персональных данных, оговоренных в «Федеральном законе о защите персональных данных» (статья 6, глава 2).

Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ) (см. текст в предыдущей редакции)

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (в ред. Федерального закона от 05.04.2013 N 43-ФЗ) (см. текст в предыдущей редакции)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

2. Аналитическая часть исследования защиты ЛВС на ОАО «Марийский машиностроительный завод»

2.1 Краткая характеристика ОАО «Марийского машиностроительного завода»

11 июня 1939 года Правительство СССР вынесло решение о строительстве в Йошкар-Оле предприятия под названием «Новая геодезия». В соответствии с этим документом в юго-западной части города началось строительство завода. С началом Великой Отечественной войны в Йошкар-Олу были эвакуированы оптико-механические заводы Ленинграда, Москвы, Одессы и Ленинградский государственный оптический институт, которым руководил академик С.И. Вавилов. Началось освоение оборонной продукции для фронта.

После войны с появлением реактивных двигателей авиация резко подняла свои боевые возможности. Развивалась и расширялась зенитная артиллерия. Постановлением Совета Министров СССР от 15.07.49г. и приказом Министра Вооружения СССР от 11.12.49г. предприятие изменило профиль и перешло к выпуску радиолокационных систем. Был создан новый радиоприборный зенитный комплекс, в который входили зенитная батарея, прибор управления зенитным артиллерийским огнем (ПУАЗО) и РЛС СОН-4.

В истории Марийского машиностроительного завода нет такого года, когда прославленному коллективу было легко и просто. По масштабам и разнообразию взаимосвязей ММЗ подобен маленькому государству. Поэтому он всегда решал большие задачи и сталкивался со столь же трудными вопросами. ММЗ изначально ориентирован на производство исключительных машин.

Далеко не каждому предприятию удалось прожить столько, да еще в годы рыночных преобразований, не утратив свою индивидуальность, свой профиль. Завод занимался разработкой и производством изделий ПВО сухопутных войск, и в будущем он это направление не изменит. Есть заказы на нашу технику - выпуск ее может стать мощным локомотивом развития экономики завода и Республики Марий Эл.

Ордена Ленина Открытое акционерное общество «Марийский машиностроительный завод» является крупным предприятием республики Марий Эл, входящим в состав ОАО «Концерн ПВО «Алмаз-Антей» (г. Москва). Основанный в августе 1941 года завод вырос до многопрофильного универсального производства, тесно сотрудничает в разработке и производстве спецтехники с 20-ю ведущими НИИ страны.

На территории завода расположены следующие производства: заготовительное, литейное, механообрабатывающее, каркасно-штамповочное, гальваническое, лакокрасочное, сборочно-монтажное, цех по производству пластмасс. Предприятие имеет современное оборудование, квалифицированных специалистов, значительный научно-технический потенциал.

В настоящее время ОАО "Марийский машиностроительный завод" специализируется на выпуске сложных радиотехнических комплексов, систем управления, вычислительной техники, поставляемой как по гособоронзаказу и на экспорт, так и на производстве гражданской продукции:

оборудование для агропромышленного комплекса(косилки ротационные, газодувки, экструдеры для приготовления кормов животным);

оборудование для всех типов АЗС (навесы, здания, информационные стелы, дополнительное оборудование);

электротехническая продукция(автотрансформаторы, щиты силовые распределительные);

интеллектуальные программируемые устройства управления (общегородская система управления дорожным движением, контроллер управления дорожными световыми приборами);

товары народного потребления (замки повышенной секретности сувальдного типа, двери металлические противопожарные, светодиодный энергосберегающий светильник).

Продукция гражданского назначения получала положительные отзывы на различных выставках регионального и международного значений, отмечена дипломами и призами различных конкурсов и программ, в том числе Дипломом Лауреата Всероссийского конкурса «100 лучших товаров России 2008».

Собственная производственная база и тысячи выполненных заказов позволяют нашему предприятию гордиться достигнутым и с оптимизмом двигаться вперед, внося свой вклад в экономический и промышленный рост потенциала России.

Система менеджмента качества сертифицирована и соответствует требованиям Госта Р ИСО 9001-2001 и Госта РВ 15.002-2003. Государственную политику в области обороны в отношении ОАО «ММЗ» осуществляет Министерство промышленности и торговли РФ.

2.2 Характеристика локально-вычислительной сети ОАО «Марийского машиностроительного завода»

Рисунок 2.1 - Структурная схема локальной сети организации.

Таблица 2.1 Технические характеристики IP-АТС Panasonic KX- TDE600

Количество внутренних линий
Аналоговые	960
Цифровые	640
В том числе цифровые консоли	64
VoIP (системные IP-телефоны)	672
Количество внешних линий
Аналоговые CO	640
ISDN PRI	640
R2MFC/DTMF	20
E&M	320
ISDN BRI QSIG	320
VoIP (H.323 ver. 2)	640
VoIP (SIP)	32
Другие характеристики
Домофоны	64
Мобильные абоненты DECT	512
Базовые станции DECT	128
Внешние датчики	64
Каналы DISA/OGM	64
Конференц-связь	3-8 абонентов в каждом сеансе конференц-связи (всего 32 абонента)
Интерфейс RS232C	есть
Модем для удаленного администрирования	-
Разъем внешнего источника музыки (лин.вход)	есть
Разъем внешнего динамика оповещения (лин.выход)	есть

В качестве оконечных устройств используются IP-телефоны AT-530 компании ATCOM.

Технические характеристики данной модели телефона представлены в таблице 2.2.

Таблица 2.2 -- Технические характеристики AT-530 ATCOM

Описание	Поддерживает работу с двумя SIP- серверами
Управление	Имеет встроенный NAT, Firewall, DHCP client and server Поддерживает PPPoE, семейство кодеков G7.xxx для компрессии речи, VAD,CNG. Эхокомпенсация G.165 (16ms)
Интерфейсы	Набор номера по стандарту E.164

Локально-вычислительная сеть предприятия построена по технологии Ethernet с использованием маршрутизаторов ZyXEL GS-4024F и ASUS AX- 112W по топологии «дерево с активными узлами».

Технические характеристики маршрутизатора ZyXEL GS-4024F приведены в таблице 2.3.

Таблица 2.3 -- Основные характеристики ZyXEL GS-4024

Наименование	Значение
Коммутационная матрица	Неблокируемая коммутация с пропускной способностью 48 Гбит/с
Скорость коммутации кадров	35.7 млн пак/с
Продвижение jumbo frame	C промежуточным хранением (store- and-forward)
Таблица MAC-адресов	16000 записей
Таблица IP-адресов	8000 записей
Буфер данных	2 Мбайт
Способ коммутации	Продвижение кадров jumbo frame размером до 9216 байт
Приоритезация трафика	8 очередей приоритетов на порт 802.1р Алгоритм обработки очередей: SPQ, WRR Приоритезация на базе DiffServ (DSCP)
Ограничение скорости	Ограничение скорости передачи данных на каждом порту с шагом 1 Мбит/с Параметры указания пиковой и гаратированной скорости передачи данных 2-rate-3-color
Аутентификация пользователей	Аутентификация пользователей 802.1х
Контроль доступа по МАС-адресу	Фильтрация пакетов по МАС- адресам на каждом порту Привязка MAC-адреса к порту Ораничение количества MAC- адресов на каждом порту

Технические характеристики маршрутизатора D-Link DES-3052 приведены в таблице 2.4.

Таблица 2.4 Технические характеристики D-Link DES-3052

Размер буфера пакетов	Значение
Описание	2-го уровня. 48 портов 10/100 Мбит/с + 2 портами 1000BASE-T +2 комбо-порта 1000BASE-T/SFP
Стекирование	Да
Коммутационная фабрика	17.6 Гбит/с
Размер таблицы МАС-адресов	8K
Статическая таблица МАС- адресов	256
Характеристика	4 Мб
Функции уровня 2
IGMP snooping и группы IGMP snooping	Да
802.1D Spanning Tree (Rapid-, Multiple STP)	Да
802.3ad Link Aggregation	Да (8/6)
Управление широковещательным штормом	Да
Аутентификация RADIUS	Да
SSH и SSL	Да
Функция Port Security	Да (16)
Управление доступом 802.1x на основе портов и MAC-адресов	Да
Web-интерфейс, CLI, Telnet и TFTP	Да
SNMP v1, v2, v3, RMON	Да
SNTP, SYSLOG	SNTP, SYSLOG

В качестве среды передачи данных используется кабель витая пара 5 категории (100BASE-TX) со скоростью передачи до 100 мбит/сек.

В сети выделено 2 сегмента:

- серверный сегмент;

- пользовательский сегмент.

Доступ в Интернет организован по выделенной линии по технологии ADSL со скоростью до 10 мбит/сек.

В качестве ADSL-модема используется D-Link DCM-202.

Технические характеристики модема приведены в таблице 2.5.

Таблица 2.5 Технические характеристики D-Link DCM-202

Наименование	Наименование
Интерфейсы устройства	Совместимость с DOCSIS/EuroDOCSIS 2.0 Совместимость с DOCSIS/EuroDOCSIS 1.1 Совместимость с DOCSIS/EuroDOCSIS 1.0 IEEE 802.3/802.3u 10/100BASE-TX Ethernet USB 1.1 тип B
Скорость передачи данных: нисходящий поток	Демодуляция: 64/256QAM Макс. скорость: 38Мбит/с (64QAM).43M6ht/c (256QAM) Диапазон частот: от 91 до 857 МГц ± 30 КГц (точность) Полоса пропускания: 6 МГц Уровень сигнала: от -15dBmV до 15dBmV (автоматически контролируемое модемом усиление)
Питание	Питание на входе: 5В, 1,2А через адаптер питания Потребляемая мощность: 5Вт (режим ожидания), 6Вт (рабочий режим)

В состав серверной фермы входят следующие серверы:

файловый;

сервер баз данных;

почтовый сервер;

сервер управления.

В качестве аппаратной основы серверов используются решения от IBM - сервера модели x3550 Express.

Основные параметры сервера приведены ниже:

Четырехядерный процессор Intel® Xeon® E5320, 1.86ГГц (масштабируется до двух).

Быстродействующая память 2x512МБ, 667МГц (максимальный объем 32ГБ).

Диски SAS или SATA с "горячей" заменой (до 2.4ТБ или 4.0ТБ соответственно).

Технология предсказания сбоев Predicitive Failure Analysis1.

Стандартная гарантия 3 года с обслуживанием на месте.

В комплекте с устройством поставляется специализированное программное обеспечение - IBM Director 6.1 и IBM Systems Director Active Energy Manager.

В качестве устройства резервирования данных будем использовать дисковую систему IBM System Storage DS3200, которая имеет собственное программное обеспечение управления резервированием информации.

Основные характеристики этой системы приведены ниже.

Масштабируемость до 3,6 Тб при использовании дисков SAS объемом 300 Гбс возможностью горячей замены.

Упрощение развертывания и управления с помощью DS3000 Storage Manager.

Возможность дополнительного подключения до трех дисковых полок EXP3000 общим объемом 14,4 Тб.

Интерфейс - Serial Attached SCSI

Защита сети осуществляется за счет применения антивирусной программы и программного брандмауэра. Кроме того, внедрена политика разделения прав доступа к ресурсам сети и выделены фронтальный участок сети и внутренние участки.

Пользовательский сегмент сети разделен на фрагменты в соответствии с организационным делением НИИ.

В каждом сегменте размещены рабочие станции, технические характеристики которых приведены в таблице 2.6 и МФУ Brother DCP- 9010CN для распечатки, размножения, ксерокопирования документов технические характеристики которых приведены в таблице 2.7.

Таблица 2.6 Технические характеристики рабочих станций

Наименование характеристики	Значение характеристики
Производитель	Depo
Модель	Ego 8510 mn
Тип	Рабочая станция * для корпоративного применения
Корпус	Minitower
Процессор	Amd Athlon 64 х2 4400+ 2.3 Ггц socket am2 brisbane (2 х ядерный) Кеш память: 128 кб (level 1) \ 1 мб (level 2)
Материнская плата	200 мгц fsb На основе чипсета nvidia mcp61s
Оперативная память	Pc6400 ddr2 sdram * 1 гб 240-конт. Dimm - поддержка двухканального режима
Жесткий диск	160 гб * serial ata 1.0 * 7200 об./мин.
Оптическое устройство хранения	Dvd±rw * 5.25м
Сетевой адаптер	Встроенный сетевой адаптер тип сети: -ethernet -fast ethernet Скорость передачи данных: -10 мбит/сек. 100 мбит/сек. Сетевые стандарты: -ieee 802.3 (ethernet) -ieee 802.3u (fast ethernet)
Операционная система	Ms windows xp sp3
Устройства ввода	Клавиатура, мышь
Электропитание	Внутренний блок питания 220 В (перемен. ток) 300 Вт (потребляемая мощность) в режиме работы
Размеры, вес	18 x 36.5 x 35.2 см

Таблица 2.7 Технические характеристики рабочих станций МФУ

Наименование	Значение
Интерфейс	Hi-Speed USB 2.0 Встроенный сетевой интерфейс Ethernet 10/100 Base
Память	64 Мбайта
Емкость лотков	Основной 250 листов Слот для ручной подачи По одному листу Устройство автоматической подачи документов на 35 листов
Скорость печати	Скорость цветной и чёрно-белой печати до 16 стр/мин
Разрешение печати	До 2400 x 600 т/д
Скорость копирования	Скорость цветного и чёрно-белого копирования до 16 копий в минуту
Скорость сканирования	Ч/б 2,49 секунд (формат A4) Цвет 7,48 секунд (формат A4)

Безопасность информации в настоящее время обеспечивается за счет применения следующих мер:

Использование разграничения доступа с помощью службы AD;

Использование встроенного брандмауэра в коммутаторе;

Использованием антивирусного программного обеспечения - Kaspersky Security Center.

Применяемые средства защиты информации на сегодняшний день признаны недостаточными.

2.3 Анализ возможных типов атак и модели нарушителя осуществляющего атаки на локальную сеть ОАО «Марийского машиностроительного завода»

Для эффективной защиты ЛВС стоят следующие цели:

Обеспечение конфиденциальности данных в ходе их хранения, обработки или при передаче по ЛВС;

обеспечение целостности данных в ходе их хранения, обработки или при передаче по ЛВС;

обеспечение доступности данных, хранимых в ЛВС, а также возможность их своевременной обработки и передачи

гарантирование идентификации отправителя и получателя сообщений.

Адекватная защита ЛВС требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы. Хотя все эти области являются критическими для обеспечения адекватной защиты, основной акцент в этом документе сделан на возможных технических мерах защиты.

Под угрозой (вообще) обычно понимают потенциально возможное событие, процесс или явление, которое может (воздействуя на что-либо) привести к нанесению ущерба чьим-либо интересам.

Угрозой интересам субъектов информационных отношений будем называть потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию, ее носители и процессы обработки может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Нарушением безопасности (просто нарушением или атакой) будем называть реализацию угрозы безопасности.

В силу особенностей современных АС, перечисленных выше, существует значительное число различных видов угроз безопасности субъектов информационных отношений.

Следует иметь ввиду, что научно-технический прогресс может привести к появлению принципиально новых видов угроз и что изощренный ум злоумышленника способен придумать новые пути и способы преодоления систем безопасности, НСД к данным и дезорганизации работы АС.

Источники угроз безопасности

Основными источниками угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:

* стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

* сбои и отказы оборудования (технических средств) АС;

* ошибки проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);

* ошибки эксплуатации (пользователей, операторов и другого персонала);

* преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).

Классификация потенциальных угроз безопасности

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).



Рисунок 2.2 - Классификация угроз по источникам и мотивации

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

* непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

* преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС - ее аппаратура, программы, персонал, конечные пользователи).

Таблица 2.8 - Анализ угроз информационной безопасности

Способы нанесения ущерба	Объекты воздействий
	Оборудование	Программы	Данные	Персонал
Раскрытие (утечка) информации	Хищение носителей информации, подключение к линии связи, несанкционирован-ное использование ресурсов	Несанкционированное копирование перехват	Хищение, копиро-вание, перехват	Передача сведений о защите, разглаше-ние, халатность
Потеря целостности информации.	Подключение, модификация, спецвложения, изменение режимов работы, несанкционирован-ное использование ресурсов	Внедрение "троянских коней" и "жучков"	Искаже-ние, модифи-кация	Вербовка персонала, "маскарад"
Нарушение работоспосо-бности автоматизир-ованной системы	Изменение режимов функционирования, вывод из строя, хищение, разрушение	Искажение, удаление, подмена	Искаже-ние, удаление, навязы-вание ложных данных	Уход, физическое устранение
Незаконное тиражирова-ние информации	Изготовление аналогов без лицензий	Использование незаконных копий	Публика-ция без ведома авторов

Все источники угроз информационной безопасности для любой информационной системы, в том числе рассматриваемой организации, можно разделить на две основные группы:

Рисунок 2.3 Классификация источников угроз

Обусловленные техническими средствами (технические источники) - эти источники угроз менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

Обусловленные действиями субъекта (антропогенные источники) - субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

В качестве антропогенного источника угроз для информации можно рассматривать субъекта (личность), имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними, как случайными, так и преднамеренными. Внутренние и внешние источники могут использовать различные классы уязвимостей: объективные, субъективные, случайные. Методы противодействия для данной группы управляемы, и напрямую зависят от службы безопасности компании.