Организация системы безопасности информационных систем на предприятиях малого и среднего бизнеса

Предоставляется на платной основе, компания специализируется на крупных промышленных предприятиях.

Услуги компании «Кредо-С»

Наличие всех необходимых лицензий ФСБ и ФСТЭК, комплексные аудит и оценка общей инфраструктуры системы обеспечения безопасности информации на объектах внедрения, комплексный подход к проектированию СЗИ.

Предоставляется на платной основе, проектирует СЗИ для существующих предприятий, нет возможности разработки универсальных рекомендаций.

На основании таблицы сравнения возможных программных комплексов мною был выбран программный комплекс «Построение оптимальной СЗИ» по следующим причинам:

- Программа содержит правовые, организационные, инженерно-технические и программно-аппаратные средства защиты.

- База данных приложения содержит таблицу угроз, составленных на основании банка угроз ФСТЭК и таблицу нормативных правовых документов для каждого вида защищаемой информации.

- Данный программный комплекс является единственным, к которому можно было получить бесплатный доступ.

- С помощью этого программного комплекса возможно разработать универсальные рекомендации по проектированию системы защиты информации.

Для реализации поставленной задачи было выбрано программное обеспечение «Построение оптимальной СЗИ», предоставленное мне еще на научно-исследовательском семинаре «Управление информационной безопасностью». Приложение разработано в среде Visual Studio на языке C# с применением встраиваемой системы управления базами данных SQL Lite. Проектирование оптимальной СЗИ происходит с помощью генетического алгоритма The Genetic Algorithm Framework для платформ .NET.framework. Фреймворк работает конкретно с генетическими алгоритмами, предоставляя широкий выбор уже реализованных в нем стратегий и методологий для того, чтобы построить алгоритм. Первое, с чего начинается работа с приложением - просмотр и изучение базы данных. В ней перечислены все виды защиты, которые могут быть реализованы на предприятие для обеспечения различного уровня защищенности (Рис. 3.1.1).

Рисунок 3.1.1

В базе данных перечислены все средства защиты по каждому подэлементу СЗИ: организационный элемент, инженерно-технический и программно-аппаратный. Правовые элементы СЗИ не перечислены, поскольку они все учитываются в обязательном порядке для каждого предприятия, вне зависимости от желаемого уровня защиты и возможных угроз. Каждый метод защиты имеет набор параметров, необходимых для расчетов целевых функций, которые используются для проектирования СЗИ:

Редактирование базы данных возможно через окно редактирование / добавление записей (Рис. 3.1.2).

Рисунок 3.1.2

3.2 Проектирование оптимальной СЗИ

Для получения СЗИ нужно пройтись по всем вкладкам программы, первая из которых - «Вид информации», которая подлежит защите на предприятии (Рис 3.2.1). При выборе нужно руководствоваться тем, что мы проектируем оптимальную СЗИ, а поэтому требуется выбрать тот вид информации, с которым работают практически все малые и средние предприятия: персональные данные, коммерческая тайна, тайна связи, банковская тайна.

Рисунок 3.2.1

Следующим этапом будет выбор активов бизнеса и определение их цены относительно его стоимости, определить, насколько они важны проставив им относительную стоимость по шкале от 0 (нулевая стоимость) до 1 (максимальная стоимость). Данный список составлен на основании активов, которые входят в предприятия малого и среднего бизнеса, предоставляющего какие-либо услуги для потребителя, оценка стоимости приведена субъективная и, сформированная на основании анализа компании ООО «ИК АВТОКЛЮЧ». Самыми весомыми активами я выбрал: информацию (0.8), документы (0.7), оборудование, обеспечивающее необходимые условия работы (0.6) и услуги, которые предоставляет компания (0.6). Менее важными, но имеющими значение я отметил аппаратные средства, программное обеспечение, оборудование для обеспечения связи, конфиденциальность и доверие при оказании услуг, персонал и престиж организации.

Рисунок 3.2.2

Процедура проставления связи между активами нужна для работы генетического алгоритма, какой актив с каким взаимодействует и какие методы защиты нужно для этого подбирать. Далее происходит выбор уязвимостей, которым подвержен каждый из активов, они будут продемонстрированы в таблице:

В качестве внешних нарушителей для малых и средних предприятий отметим внешних нарушителей (хакеры, конкуренты, преступные организации), а качестве внутренних - обслуживающий персонал, пользователи ИС, удаленные пользователи ИС, администраторы и программисты. После выбора всех возможных нарушителей мы должны для каждой уязвимости обозначить угрозу из банка угроз ФСТЭК. Для демонстрации выбора составим таблицу (в скобках указана вероятность реализации каждой из угроз):

После определения всех угроз нам требуется определить элементы СЗИ, которые должны быть включены в нашу систему. Выделим все: организационные, инженерно технические и криптографические, правовые элементы включены в обязательном порядке. Затем нам нужно определить ограничения для системы, так как система разрабатывается преимущественно для малых предприятий, то не будем предъявлять к ней очень высокие требования, так как уровень атак на подобные предприятия не сравним с уровнем атак на компании большого бизнеса. Все значения проиллюстрированы на рисунке 3.2.3.

На заключительных этапах требуется определить коэффициенты целевой функции и параметры генетического алгоритма, они заданы по умолчанию и будут проиллюстрированы (Рис. 3.2.4 и Рис. 3.2.5 соответственно).

Рисунок 3.2.3

Как только вся информация заполнена, приступаем к запуску алгоритма. Для этого жмем на кнопку «Получить оптимальную СЗИ» и переходим на заключительный экран, на котором нажимаем «Запустить ГА» и ждем получения результатов. По окончании выполнения программа не смогла получить систему, отвечающую заданным параметрам и превысила допустимую сумму трат на данную систему на 900 тысяч рублей. К сожалению, чтобы уложиться в заданный бюджет потребуется снижение параметров качества системы, но, учитывая, что они и так были заданы в среднем диапазоне, то это недопустимо. Рассмотрим все методы, которые предложила нам система:

· Обязательные правовые элементы, соблюдение которых потребует затрат в размере 405 тысяч рублей. Туда входит обязательное исполнение федеральных законов, указов президента, статей трудового кодекса и так далее.

Рисунок 3.2.4

Рисунок 3.2.5

· Организационные элементы, такие как: организация работы с персоналом (подбор и изучение лиц, назначаемых на должности, обучение и воспитание персонала, мероприятия по найму и распределению сотрудников), организация внутриобъектового и пропускного режимов и охраны, комплексное планирование мероприятий по защите информации, организация работы с носителями сведений (организационные мероприятия по работе с носителями конфиденциальной информации). Итоговая стоимость организационных элементов составила 1033 тысяч рублей, что является большой суммой для малого бизнеса. Учитывая малое количество сотрудников на малых и средних предприятиях, затраты на подобные мероприятия определенно могут быть сокращены на 30 процентов.

· Инженерно-технические элементы, такие как: средство физической преграды защитного контура помещений (установка световой охранной сигнализации, установка визуальной охранной сигнализации без записи на видеопленку, пожарная сигнализация и пожаротушение, оснащение замками входных дверей в помещениях, создание контрольно-пропускных пунктов), средство экранирования помещений, средство обеспечения безопасного электропитания оборудования, средство зашумления каналов связи. Так как большинство малых предприятий арендуют офисы в офисных зданиях, то средства физической защиты можно исключить, поскольку офисные здания имеют собственные охранные системы и пользуются услугами охранных предприятий. В связи с этим, расходы на инженерно технические элементы могут быть снижены минимум на 40 процентов. Итоговая стоимость инженерно-технических элементов составляет 1197 тысяч рублей.

· Программные элементы, такие как: средство аутентификации: КриптоПро CSP, средство разграничения доступа: Средства разграничения доступа на уровне СУБД PostgreSQL, средство от НСД (Secret Disk), средство от утечки по техническим каналам (защищенные сетевые криптопротоколы). Итоговая стоимость программных средств - 270 тысяч рублей.

Итоговый экран, полученный при выполнении программы представлен на рисунке 3.2.6. на нем показаны все параметры спроектированной оптимальной СЗИ для малых и средних предприятий. Итоговые показатели надежности являются приемлемыми для подобных компаний, а стоимость с учетом наших поправок составит 2116 тысяч рублей и сможет защитить от большинства распространенных угроз.

Рисунок 3.2.6

Заключение

Информационная безопасность - очень важный элемент любого бизнеса, в особенности малого и среднего. В данной работе были рассмотрены правовые и нормативные документы, регулирующие отношения в области информационной безопасности, изучены возможные угрозы, типы информации, подлежащие обязательной защите, а также предложенные методы противодействия указанным угрозам. В заключении, на основании баку угроз ФСТЭК были разработаны рекомендации по организации СЗИ на малом предприятии.

Мною был проведен анализ организации системы информационной безопасности организации малого бизнеса ООО «ИК АВТОКЛЮЧ». Данная система объединяет в себе набор методов защиты от внутренних и внешних угроз. Большее внимание компания уделяет внутренним угрозам, исходящим от персонала, так как большинство внешних угроз предотвращается ограничением доступа к локальной сети через внешние порты. По словам системного администратора, компания не сталкивалась с серьезными угрозами на протяжении очень длительного времени и может считаться надежной. Для подтверждения достоверности слов мы сопоставили возможные угрозы, с которыми может столкнуться компания, основываясь на банке угроз ФСТЭК, с использующимися методами защиты. Благодаря комплексу мер система предотвращает все возможные угрозы.

Актуальность защиты информации растет [1]. С помощью программного комплекса «Проектирование оптимальной СЗИ» были сформированы рекомендации по организации системы информационной безопасности для предприятий среднего и малого бизнеса. Они учитывают правовые элементы, рассмотренные в данной работе, организационные, инженерно-технические и программные. Организационные элементы учитывают мероприятия по повышению компетенций персонала, инженерно-технические учитывают средства защиты, нацеленные на физическую защиты помещений и носители конфиденуиальной информации. Программные элементы представляют комплекс средств, нацеленных на разграничение прав доступа к информации, защиту от НСД и средства предотвращения утечек информации. Итоговая стоимость внедрения данной системы, учитывающей все рекомендации получилась 2116000 рублей. Уровень защищенности система в районе 78 процентов, производительность - 92 процента, вероятность обнаружения угроз - 69 процентов, вероятность возникновения ложной тревоги - 11 процентов. В результате выполнения работы были получены ответы на все поставленные задачи.

Список литературы

1. Информационная безопасность бизнеса // https://media.kaspersky.com/pdf/IT_risk_report_Russia_2014.pdf (дата обращения: 26.04.2020).

2. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»// СПС КонсультантПлюс

3. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" // СПС КонсультантПлюс

4. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований у защите персональных данных при их обработке в информационных системах персональных данных» // СПС КонсультантПлюс

5. "Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ), статья 23

6. "Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ), статья 24

7. ISO/IEC 27001:2013 «Information security management system» и ГОСТ Р ИСО/МЭК 27001-2006 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»

8. M. D. Schroeder, J. H. Saltzer The Protection of Information in Computer Systems // 1975.

9. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" // СПС КонсультантПлюс

10. Лекция 2: Моделирование угроз ИБ: различные подходы // ИНТУИТ Национальный Открытый Университет URL: https://www.intuit.ru/studies/courses/600/456/lecture/10194 (дата обращения: 07.05.2020).

11. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (ред. от 28.12.2013) // Собрание законодательства Российской Федерации. - 07.01.2002. - N 1 (Ч. 1). - Ст. 3.

12. ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).

13. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.

14. МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ // Студенческий научный форум - 2018 URL: https://scienceforum.ru/2018/article/2018005046 (дата обращения: 07.05.202).

15. Ovsyanitskaya L.Yu., Podpovetnaya Yu.V., & Podpovetnyy A.D. Information security of small business: modern Condition, problems and the ways of their Solutions // Вестник Южно-Уральского государственного университета. 2017. №17. С. 77-84.

16. Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2000. - 316 с.

17. Хорев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2008.

18. Нестров С.А. Основы информационной безопасности. Лань, 2016.

19. Бирюков А.А. Информационная безопасность: защита и нападение. 2 изд. ДМК Пресс, 2017.

20. Глод О.Д. Архитектура предприятия Учебное пособие. Таганрог: Издательства Южного федерального университета, 2016.

21. URL: https://www.avtokluch.ru (дата обращения: 26.04.2020).

22. Киреенко, А. Е. Современные проблемы в области информационной безопасности: классические угрозы, методы и средства их предотвращения / А. Е. Киреенко. -- Текст : непосредственный, электронный // Молодой ученый. -- 2012. -- № 3 (38). -- С. 40-46. -- URL: https://moluch.ru/archive/38/4365/ (дата обращения: 04.05.2020).

23. Классификация средств защиты информации от ФСТЭК и ФСБ России - URL: https://www.anti-malware.ru/analytics/Market_Analysis/infosecurity-systems-classification-fsb-fstek (дата обращения: 29.04.2020).

24. Основы информационной безопасности. Часть 2. Информация и средства её защиты - URL: https://habr.com/ru/company/vps_house/blog/343498/ (дата обращения: 28.04.2020).

25. URL: https://www.rusprofile.ru/id/7518262 (дата обращения: 30.04.2020).

26. П.Ю. Богданов, Н.В. Яготинцева ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Санкт-Петербург: ООО «Андреевский издательский дом», 2015.

27. URL: http://diskashur.ru (дата обращения: 01.05.2020).

28. URL: http://www.infosecurity.ru/_eshop/detail/sd_4_3.pdf (дата обращения: 01.05.2020).

29. Настройка Remote App - URL: https://oblako.kz/help/windows/nastroika-remoteapp (дата обращения: 01.05.2020).

30. Терминальный сервер // Work In Net URL: https://workinnet.ru/terminal-server/ (дата обращения: 26.04.2020).

31. Банк данных угроз безопасности информации // Федеральная служба по техническому и экспортному контролю ФСТЭК России URL: https://bdu.fstec.ru/threat (дата обращения: 30.04.2020).

Размещено на Allbest.ru