Садердинов А.А. Информационная безопасность предприятия

Подождите немного. Документ загружается.

ные).

Организационные (административные) меры защиты — это

меры, регламентирующие процессы функционирования системы

обработки данных, порядок использования ее ресурсов, деятель-

ность персонала, а также порядок взаимодействия пользователей

системы таким образом, чтобы максимально снизить возможность

угроз безопасности.

Они включают:

■ мероприятия, осуществляемые при проектировании, стро и-

тельстве и оборудовании вычислительных систем и других объ-

ектов обработки данных;

■ мероприятия по разработке правил доступа пользователей к

ресурсам системы (разработка политики безопасности);

■ мероприятия, осуществляемые при подборе и подготов ке

персонала, обслуживающего систему;

■ организацию охраны и надежного пропускного режима;

■ организацию учета, хранения, использования и уничто жения

документов и носителей с информацией;

■ распределение реквизитов разграничения доступа(паро-лей,

ключей шифрования и т. п.);

■ организацию явного и скры того контроля за работой пользо-

вателей;

■ мероприятия, осуществляемые при проектировании, разра-

ботке, ремонте и модификациях оборудования и программного

обеспечения и т. п.

Физические меры защиты основаны на применении разного

рода электронно-механических устройств и сооружений, специаль-

но предназначенных для создания физических препятствий на воз-

можных путях проникновения потенциальных нарушителей к ко м-

понентам системы и защищаемой информации, а также техниче-

ских средств визуально го наблюдения, связи и о хранной сигнали-

зации.

Технические (аппаратно-программные) меры защиты основаны

на использовании различных электронных устройств и специаль-

ных программ, вхо дящих в состав автоматизиро ванных систем и

выполняющих функции защиты (идентифи кацию и аутентифика-

цию пользователей, разграничение доступа к ресурсам, регистра-

цию событий, криптографическое преобразование информации и т.

д.).

Персональный компьютер (уровень пользователя)

Компьютер, не включенный в локальную сеть и имеющий ко н-

фиденциальную информацию, подвержен большому количес тву

различных угроз.

Угрозы:

■ НСД к компьютеру со стороны сотрудников и других лиц;

■ потеря информации в результате заражения компьютер ными

вирусами;

■ НСД к информации через наводки кабелей ЛВС или эле к-

тромагнитное излучение средств вычислительной те хники;

■ НСД к информации на съѐмных носителях информации

(включая распечатки на бумажных носителях);

■ НСД к информации, размещенной на отказавших узлах

■ ПК, о тправляемых в ремонт;

■ Кража компьютера с конфиденциальной информацией.

Пути защиты информации:

■ аутентификация пользователя, т. е. проверка принад-

лежности субъекту доступа предъявленного им идентифи -

катора, подтверждение подлинности;

■ ограничение доступа сотрудников в помещения, в кото рых

имеются компьютеры с конфиденциальной инф ормацией - ис-

пользование систем управления доступом;

■ защита от несанкционированной загрузки операционной сис-

темы - использование программно-аппаратных комплексов,

предназначенных для защиты от несанкцио нированного досту-

па к ресурсам персонального компьюте ра, разграничение прав

зарегистрированных пользователей по доступу к ресурсам ПК,

автоматизированного контроля и протоколирования событий по

доступу к компьютеру;

■ ограничение доступа со трудников к вну тренним ресурсам

локального компьютера и к ресурсам Internet -использование

специального комплекса защиты;

■ использование средств защиты от вирусов;

■ проведение специальных исследовательских работ и вы-

полнение всех рекомендаций организации, проводившей дан-

ные работы;

Угрозы безопасности информации в локальной сети и пути

еѐ защиты

Большинство современных автоматизированны х систем (ло-

кальные сети) состоят из с ледующих основных структу рно-

функциональных элементов:

■ рабочих станций - отдельны х ЭВМ или удаленны х тер-

миналов сети, на которых реализуются автоматизированные ра-

бочие места пользователей;

■ серверов или host-машин (служб файлов, печати, баз данны х

и т. п.);

■ межсетевых мостов (шлюзов, центров коммутации паке тов,

коммуникационных ЭВМ);

■ каналов связи (локальных, телефонны х, с узлами ком -

мутации и т. д.).

Рабочие станции являются наиболее доступными компо нентами

сетей, и именно с них могут быть предприняты по пытки соверше-

ния несанкционированных действий. С рабочих станций осуществ-

ляе тся управление процессами обработки информации, запуск про-

грамм, ввод и корректировка данных, на дисках рабочих станций

могут размещаться важные данные и программы обработки. На

видеомониторы и печата ющие устройс тва рабочих станций выво-

дится рабочая информация пользователей, выполняющих различ-

ные функции и имеющих различные полномочия по доступу к дан-

ным и другим ресурсам системы.

Именно поэтому рабочие станции должны быть надежно защи-

щены от доступа посторонних лиц, и содержать средства разграни-

чения доступа к ресурсам со стороны законных поль зователей,

имеющих разные по лномочия.

Пути защиты рабочих станций от НСД - организация цен-

трализованного назначения пользовательских полномочий по до с-

тупу к ресурсам рабочих станций и постоянный автомати-

зированный контроль их действий: использование специа льных

комплексов защиты и администрирования.

В особой защите нуждаются такие привлекательные для зло -

умышленников элементы сетей, как серверы (host-машины) и мос-

ты. Первые как концентраторы больших объемов информации (баз

данных), вторые — в качестве элементов, осуществляющих преоб-

разование данных при согласовании протоко лов обмена в различ-

ных участках сети.

Решения по защите перечислены ниже:

■ Ограничение доступа сотрудников в помещение, в ко то ром

имеются компьютеры с конфиденциальной информацией —

использование систем управления доступом.

■ Использование сетевых средств защиты — разграничение

сетевых ресурсов для пользователей с помощью средств сете-

вой операционной системы.

При организации корпоративной информационной сети с ис-

пользованием Internet возможности несанкционированного доступа

к информации достигают обычно наивысшего уровня.

Угрозы:

■ организация внешних атак на корпоративную сеть;

■ внутренние угрозы информационным ресурсам корпо -

ративной сети;

■ НСД к информации на серверах сети со стороны рабочих

станций;

■ НСД к ресурсам рабочей станции со стороны сотрудников и

других лиц;

■ НСД к информации через наводки кабелей ЛВС;

■ НДС к информации через электромагнитное излучение

средств вычислите льной те хники;

■ НСД к информации на съѐмны х носителях информации

(включая распечатки на бумажных носителях);

Спос обы защиты информации

При работе в сети Internet помогает прежде всего «межсетевой

экран», позволяющий не то лько защититься от несанкци-

онированных действий со стороны внешних сете й, но и орга-

низовать надежную защиту выделенного сервера или группы сер-

веров внутри собственной сети или разделить целесообразным об-

разом сегменты внутренней сети.

Для крупной корпоративной сети для отражения атак, из другой

сети важное значение имеет надежная защита с помощью допол-

нительных программ по обнаружению и отражению нападений,

выявлению злонамеренны х приложений и вирусов. Подобные пр о-

дукты значительно дополняют возможности вышеназванных меж-

сетевых.

11.4. Оснащение объекта техническими средствами

противодействия экономическому шпионажу и за-

щиты речевой информации [^]

Основные задачи, решаемые при оснащении объекта ао-

добными средствами противо действия — это:

■ криптографическая защита конфиденциальной инфор мации

(налоговая отчетность, бу хгалтерская документация и т. п.) на

магнитны х носителях, а также при передаче по электронной

почте;

■ защита информации в специально выделенном помещении,

предназначенном для проведения конфиденциальных перегово-

ров;

■ защита информации в служебных помещениях руководителя

предприятия, его заместителей и других ответствен ных сотруд-

ников предприятия;

■ защита информации на абонентском участке телефон ной ли-

нии (о т телефонного аппарата до городской АТС);

■ защита информации на всем протяжении телефонной линии

(от одно го абонента до другого, включая АТС и магистральный

участок);

■ оснащение службы безопасности предприятия поиско выми

техническими средствами.

Сис темы управления доступом

Управление доступом представляет собой совокупность пр о-

граммно-технических средств и организационно-адми-

нистративных мероприятий, с помощью ко торых решается задача

контроля и управления посещением отдельных помещений, а так-

же осуществляется оперативный контроль за персоналом и врем е-

нем его нахождения на территории предприятия.

Управление доступом обеспечивается созданием на пред-

приятии автоматизированной системы управления доступом.

Главным направлением развития СУД является их инте ллек-

туализация, то есть передача максимально возможного количества

функций по сбору, обработке информации и принятию ре шений

компьютерам, для обеспечения работника службы безо пасности

полной и точной информацией о происходящих на объекте собы-

тиях, а также для безошибочного и своевременного принятия опе-

ративных решений.

Система управления доступом базируется на существующей

локальной вычислительной сети предприятия, состоящей из серве-

ров СУД - компьютеров, которые управляют подклю ченными к

ним контроллерами СУД, а также из различных ис полнительных

механизмов.

Возможности СУД:

■ организация в пределах о дной ЛВС нескольких авто-

матизированных рабочих мест разного уровня - администратора

безопасности, службы охраны, бюро пропусков и т. д.;

■ назначение пользователям прав по доступу на режимную

территорию;

■ регистрация всех событий, связанных с доступом на ре -

жимные объекты;

■ регистрация, в масштабе реального времени, тревожных со-

бытий по доступу на важные объекты с наглядным отоб-

ражением на плане места его совершения, а также всей ин-

формации о сотруднике, его совершившем (включая и фо-

тографию сотрудника);

■ организация работы электронной про ходной;

■ регистрация работы как операторов СУД, так и функци -

онирования самой системы управления доступом;

■ предоставление дополнительных сервисных функций (расчет

рабочего времени сотрудников, оперативное определение ме-

стонахождения сотру дника, фиксация опозда ний на рабочее ме-

сто и т. д.).

Организация сис темы видеонаблюдения

Системы видеонаблюдения являются действенным средст вом

повышения безопасности предприятия и обычно интегрируются

вместе с системами охранно-пожарной сигнализации и управления

доступом. При оснащении предприятия си стемами видеонаблюде-

ния, как правило несколько операторских постов.

Сами системы строятся на основе матричных коммутато ров,

мультиплексоров, цифровых детекторов движения, устройств реги-

страции, видеокамер.

Основа системы матричный коммутатор, позволяющий по д-

ключать любую видеокамеру к любому монитору системы, упра в-

лять видео камерами посредством подключаемых к нему клавиатур,

формировать последовательности изображений в любом порядке,

выводить на экран номер видеокамеры и на звание объекта контро-

ля, сообщения о сигналах тревоги, те кущее время и инструкции

оператору.

Возможности:

■ контроль за периметром предприятия и внутренней от -

крытой территорией;

■ обеспечение безопасности и комплексного контроля штат-

ных сотру дников при пересечении ими рубежей охра ны ре-

жимных объектов и границы пре дприятия в целом;

■ контроль транспорта и грузов, пересекающих границу терр и-

тории предприятия;

■ ведение круглосуточного видеонаблюдения и со хране ние

изображения на видеомагнитофоне с возможностью последую-

щего его воспроизведения.

Защита систем обработки и передачи информации при не -

предвиденных обстоятельствах с помощью планирования

В системе управления предприятием планирование дейст вий

крайне необхо димо в непредвиденных обстоятельствах, ч тобы све-

сти к минимуму ущерб, который может быть нанесен неожидан-

ными и нежелательными событиями, могущих повлиять на процес-

сы обработки и передачи информации. Подобные ситуации скла-

дываются как в результате бедствий с малой вероятностью возник-

новения, так и довольно часто случающихся событий (отказ техни-

ческих средств, наруше ние электроснабжения и т. п.). Планирова-

ние действий в непредвиденных обстоятельствах обычно позволяе т

минимизировать отрицательные функциональные и финансовые

последствия о т нежелательных событий независимо от масшта ба

последних.

Для успешной реализации программы восстановления ЛВС по-

сле непредвиденных обстоятельств важно заранее по стоянно забо-

титься о:

■ надлежащем со хранении файловой системы;

■ обновлении документации;

■ стандартизации технического и программного обеспечения;

■ соблюдении требований по сохранению способности к во с-

становлению при развитии системы;

■ понимании важности взаимосвязей между всеми эле ментами

цикла обработки информации;

■ наличии у обслуживающего персонала хотя бы общих пре д-

ставлений о вероятности наступления неблагоприятных собы-

тий, затрагивающих каждый элемент системы;

■ принятие мер, направленных на минимизацию часто ты и ве-

личины потерь;

■ разработке плана действий на случай чрезвычайны х си-

туаций.

Детализировать последний план необходимо до та кой сте пени,

чтобы свести объемы принимаемых решений (кто, что и как дела-

ет) к минимуму.

Первое, что необ ходимо предусмотреть в таком плане, это его

увязку со схемой готовности к чрезвычайным ситуациям и обеспе-

чение сохранности информации. Все это непременно с учетом при-

емлемой степени риска и затрат. При составлении плана бедствий

преследуются цели:

■ сохранения работоспособности информационной системы;

■ распределение обязанностей (кто, что и когда делает). При

этом также решаются и документируются следующие

вопросы:

■ Какие прикладные задачи должны быть решены?

■ В чем заключаются обязанности служащих?

■ Какое оборудование и материалы необхо димы для ре шения

прикладных задач?

■ Что подлежит перемещению в случае бедствия?

■ Как поступить с невыполненными работами?

■ Что из себя представляют инструкции для по льзователя?

Сос тавление плана

В плане обязательно должны быть:

■ имена, адреса и номера телефонов ведущих сотрудников;

■ цели и обязанности сотрудников при восстановлении дея-

тельности ЛВС;

■ списки необ ходимых внешних ресурсов, включая те хни-

ческие средства, программное обеспечение, средства свя зи,

данные, документы, офисное оборудование, документацию и

персонал;

■ вспомогательная информация (маршруты перевозок, карты,

адреса и т. п.);

■ схемы, детально описывающие, как должны проводить ся

восстановительные работы.

В результате анализа деятельности предприятия должны быть

определены следующие элементы:

■ список жизненно важных прикла дных задач, перечисленных

в порядке убывания их приоритетности;

■ список ресурсов, обеспечивающих обработку данны х и пер е-

численных в порядке убывания приорите тности;

■ потенциально опасные события и оценка вероятности их на-

ступления;

■ оценка возможных денежных убытков в случае наступления

опасных событий.

Среди таких опасных событий вполне возможны:

■ отказ системы кондиционирования возду ха , электрического

питания, оборудования, системы теле коммуникации;

■ наводнение;

■ пожар;

■ гражданские беспорядки;

■ ванда лизм или саботаж;

■ кража;

■ пикетирование предприятия;

■ чрезвычайные происшествия, которые приводят к по-

вреждению здания, оборудования и материалов;

■ забастовки;

■ военные действия.

В плане должны быть описаны конкретные действия, ко торые

необхо димо предпринять в каждом из этих обстоятельств.

Убытки в результате подобных внешних воздействий трудно

оценить количественно, однако можно указать некоторые их по-

тенциальные источники:

■ потеря собственности;

■ увеличение эксплуатационны х расхо дов;

■ потеря прибыли;

■ публикация неблагоприятной информации;

■ потеря конкурентоспособности.

Условия работы

Следует определить - ресурсы, необходимые для обработки

данных:

■ конфигурацию технических средств;

■ системную интеграцию;

■ сеть телеобработки;

■ программное обеспечение, включая системное, прикладное и

для передачи данных;

■ документацию (для программ, по эксплуатации и для пользо-

вателя);

■ потребности в персонале.

При этом необходимо учитывать любые возможные изменения

в будущем.

Хранение документации и данных вне производственных п о-

мещений.

Резервное место хранения для этих целей должно быть бе-

зопасным и удаленным от основных помещений. В плане не-

обходимо предусмотреть наличие резервных экземпляров сле-

дующих документов и данных:

■ описания систем, программ и операционной среды;

■ исходных те кстов программ и объектных кодов;

■ библиотек процедур;

■ библиотек операционной среды;

■ основных файлов;

■ файлов изменений;

■ руководства по плану действий в непредвиденных об-

стоятельствах;

■ учетной ведомости те хнических средств;

■ программного обеспечения.

Продолж ительность

Не менее важным фактором являе тся длите льность пери ода

неработоспособности. При этом необходимо предусмотреть не-

сколько различных предполагаемых периодов неработоспособно-

сти системы и для каждого из них разработать несколько вариантов

плана действий в непредвиденных об стоятельствах. Эти варианты

делятся на три основные кате гории:

■ кратковременная неработоспособность (до 6 ч.);

■ неработоспособность средней продолжительности (от 6 до

24 ч.);

■ длительная неработоспособность (свыше 24 ч.).

Как правило, кратковременная неработоспособность не требует

переезда в резервное производственное помещение, но влече т за

собой изменение графика работы. Однако в о т дельны х с лучаях

оценка периода неработоспособности может оказаться затрудн и-

тельной, что влечет за собой подготовку к переезду в резервное

помещение для повышения оперативности при возникновении ре-

альной угрозы.

Для э той цели необходимо контролировать ситуацию, за ново

оценивать состояние и определять, когда нужно присту пать к вы-

полнению плана более высокой категории. Заблаго временное пре-

дупреждение о принятии новой схемы действий сделает перехо д в

следующий режим работы более плавным и облегчит задачу тех,

кто его осуществляет.

11.5. Этапы проведения работ по обеспечению ин-

формационной безопасности предприятия [^]

Они выглядят следующим образом:

1. Проведение обследования предприятия на предмет вы -

явления реальных угроз несанкционированного доступа к ко н-

фиденциальной информации.

2. Разработка политики безопасности, организацио нно-

распорядительных документов и мероприятий по обеспечению

ИБ ИИСУП в соответствии с требованиями по за щищенности

технических и программных средств от утеч ки конфиденциаль-

ной информации.

3. Проектирование системы информационной безопасности.

4. Создание прото типа системы информационной безо -

пасности.

5. Разработка образца системы информационной безопасности

6. Внедрение системы информационной безопасности в дейс т-

вующую структуру предприятия.

7. Обучение персонала

8. Аттестация системы информационной безопасности пре д-

приятия