Проектирование системы комплексной безопасности информационных систем и баз данных для ООО "Торговый Дом ЛФЗ"

Размещено на http://www.allbest.ru/

Введение

Обеспечение информационной безопасности - одна из важнейших задач любого предприятия, работающего с информацией, разглашение которой может повредить его деятельности. Примечательным в данной работе является то, что каждый человек понимает необходимость защиты информации, но на практике лишь малая доля из них действительно представляет себе возможные последствия и методы их предотвращения. В сознании большинства людей представление о информационной угрозе складывается в основном из художественных фильмов и телесериалов о «хакерах». На практике же работа по обеспечению информационной безопасности должна учитывать множество факторов, связанных с каждым конкретным защищаемым объектом.

С каждым годом скорость появления новых научных открытий неуклонно растет, особенно в сфере информационных технологий. Появляются новые технологии обработки информации, ее хранения, передачи, благодаря чему растут и вычислительные мощности, которые можно направить на преодоление даже самых сложных систем защиты. Развитие физики волн, увеличение чувствительности оборудования, фиксирующего электромагнитные волны, радиоволны порождает все более изощренные методы получения информации, даже не получая непосредственного доступа к компьютеру жертвы.

В российском обществе, где еще со времен начала 90х практика использования противоправных средств при ведении бизнеса стала скорее нормой, чем отклонением от нее, угроза информационной безопасности стоит особо актуально. Поэтому администратору необходимо постоянно следить за появлением новых методов в области взлома, прослушивания каналов связи и защитного программного обеспечения.

Первым делом необходимо подробно разобрать все бизнес и информационные процессы, протекающие в компании. Если упустить из виду хотя бы небольшие нюансы работы, то они могут послужить основой для дальнейшей деятельности злоумышленника. Однако стоит учитывать и возможность препятствия работе предприятия чрезмерными мерами по защите данных.

Следующим шагом должна быть полная инвентаризация имеющегося в компании технического оборудования, обрабатывающего информацию. Если этого не сделать, то использование защитного программного обеспечения может тормозить работу компьютеров сильнее, чем любые вирусные атаки. Так же это необходимо для обеспечения в дальнейшем стабильной работы информационной системы.

Затем необходимо определить приоритеты защиты, какую информацию необходимо защищать в первую очередь и сколько на это можно потратить средств, а какую можно оставить вовсе без защиты, если ее потеря или разглашение не несет никакого ущерба.

Далее идет непосредственно планирование разрабатываемой системы безопасности. При ее разработке необходимо учесть все возможные угрозы, методы их предотвращения и целесообразность их реализации возможным злоумышленником, ведь не только стоимость обеспечения защиты информации, но и затраты на ее обход должны соответствовать ценности данной информации. Таким образом, администратор должен думать как злоумышленник, но всегда на один шаг вперед.

Информационная безопасность состоит из множества взаимосвязанных и последовательных мер, которые в совокупности позволяют достигнуть необходимого уровня безопасности. Однако даже если система продумана достаточно тщательно, но в отдельных ее узлах наблюдаются сбои, такие как недостаточная мощность технических средств или пренебрежение правилами безопасности персоналом, то вся ее деятельность может оказаться напрасной.

I. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)

1.1.1. Общая характеристика предметной области

Основной целью данного предприятия является получение прибыли от предоставляемых услуг. Но получить прибыль организация может только в том случае, если она производит продукцию или услуги, которые реализуются, т.е. удовлетворяют общественные потребности.

Краткая история завода: основанный в 1744 году в Санкт-Петербурге по указу дочери Петра Великого императрицы Елизаветы стал первым фарфоровым предприятием в России и третьим в Европе.

Именно здесь талантливый русский ученый Д.И.Виноградов (1720-1758) открыл секрет изготовления «белого золота». Он впервые в истории керамики составил научное описание фарфорового производства, близкое к новейшим понятиям керамической химии.

Краткая история компании ООО «Торговый Дом ЛФЗ» : компания основана в 2008 году, является партнером ООО «Императорский Фарфоровый Завод», в настоящее время занимается реализацией продукции данной компании на Московском рынке.

1.1.2 Организационная структура управления предприятием

- Генеральный директор - руководитель предприятия, организация работы всего предприятия и эффективное взаимодействие всех структурных подразделений. Выбор стратегии развития предприятия, несет ответственность за работу предприятия как внутреннюю, так и внешнюю.

- Главный бухгалтер - организует оборот всех бухгалтерских документов, обеспечивает своевременную оплату налогов, формирует учетную политику.

Отвечает за работу бухгалтерского отдела, своевременную сдачу налоговой отчетности и точности в отчетных документах.

- Бухгалтер - отвечает за оборот денежных средств в компании, а также с клиентом, его учет и предоставление всех соответствующих документов главному бухгалтеру, ответственен за расчет с сотрудниками фирмы и оплату труда персонала находящегося в штате компании.

- Дизайнер - занимается графическим оформлением web-проектов компании, контролирует размещение проекта в сети интернет, анализирует опыт конкурентов, принимает к исполнению все пожелания и требования клиента.

- Программисты - занимаются поддержкой базы данных 1С, разрабатывают максимально удобную среду работы в данной программе для сотрудников компании, учитывая их индивидуальные пожелания.

Так же занимаются разработкой отдельных блоков web-сайта, такие как flash объекты, javascript, php & mysql.

- Менеджеры отдела продаж - занимаются поиском потенциальных клиентов, ведение переговоров с клиентами а так же партнерами, оперативное реагирование на информацию поступающую от клиентов, выявление потребностей клиента и мотивация его на работу с компанией.

- Менеджер по спецпроектам - принимает заказы от клиентов, учитывая их индивидуальные пожелания.

- Техническая поддержка - Обеспечивает функционирование локальной сети, функционирование программно-технических средств, функционирования серверов компании, систем пожарно-охранной сигнализации и устранение неполадок связанных с ними. Формирование и ведение информационных массивов и баз данных, защита информации от несанкционированного доступа, формирование архивов резервных копий (бекапов).

Отвечает за безотказную работу системы и обеспечения ее всем необходимым (хранение и закупка запасных частей, программного обеспечения и т.д)

Полная структура организации представлена на схеме №3 стр 9

Схема №3 - Структура организации

1.2. Анализ рисков информационной безопасности

1.2.1. Идентификация и оценка информационных активов

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

1) Определить ценность этих активов

2) Определить перечень угроз и вероятность их реализации

3) Произвести оценивание и ранжирование рисков

Информационный актив - это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении.

Типы активов ООО «Торговый Дом ЛФЗ»:

· Информация (база данных бухгалтерии - содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)

· Документы (договора, контракты, служебные записки)

· Программное обеспечение, включая прикладные программы

· Аппаратные средства (персональные компьютеры - необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

ООО «Торговый Дом ЛФЗ» - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Основными рыночными функциями является реализация продукции Петербургского завода «Императорский Фарфоровый Завод» на Московском рынке.

Данные по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.

Таблица 1.2.1.1

Оценка информационных активов ООО «Торговый Дом ЛФЗ».

Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Информационные активы
База данных бухгалтерии	Электронная	Бухгалтерия	Степень важности	-	Имеющая критическое значение
База данных поставщиков	Электронная	Директор	Степень важности	-	Имеющая критическое значение
Персональные данные о сотрудниках	Электронная	Кадровый отдел	Степень важности	-	Высокая
Штатное расписание и кадровый учет	Бумажный документ, электронный документ	Кадровый отдел	стоимость обновления или воссоздания	-	критически высокая
Активы аппаратных средств
Принтеры	Материальный объект	IT-отдел	Первоначальная стоимость	-	Малая
Оборудование для обеспечения связи	Материальный объект	IT-отдел	Первоначальная стоимость	-	Средняя
Сервер баз данных	Материальный объект	IT-отдел	Первоначальная стоимость	-	Имеющая критическое значение
Почтовый сервер	Материальный объект	IT-отдел	Первоначальная стоимость	-	Имеющая критическое значение
Персональный компьютер	Материальный объект	Консультанты, товароведы, администрация.	Первоначальная стоимость	-	Средняя
База данных заказав (MySQL)	Материальный объект	IT-отдел	Первоначальная стоимость		Высокая
Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Активы программного обеспечения
Учетная Система	Электронная	Дирекция технического сопровождения	Обновление и воссоздание	-	Высокое
Программы целевого назначения	Электронная	Дирекция программного сопровождения и разработки	Обновление и воссоздание	-	Высокое
Windows 7 Ultimate	Электронная	Дирекция технического сопровождения	Первоначальная стоимость	-	Малая
MS Office 2010	Электронная	Дирекция технического сопровождения	Первоначальная стоимость	-	Малая

Результат ранжирования представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный - ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

Таблица 1.2.1.3

Результаты ранжирования активов ООО «Торговый Дом ЛФЗ»

Наименование актива	Ценность актива (ранг)
База данных бухгалтерии	5
Почтовый сервер	5
База данных поставщиков	5
Персональные данные о сотрудниках	5
Кадровый учет	5
Учетная Система	4
База данных заказов (MySQL)	4
Программы целевого назначения	4
Windows 7 Ultimate	4
MS Office 2010	2
Принтеры	2
Оборудование для обеспечения связи	4

По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;

8. Windows 7.

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.2.

Таблица 1.2.1.2 Перечень сведений конфиденциального характера ООО «Торговый Дом ЛФЗ»

№ п/п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1.	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа	Информация ограниченного доступа	-
2.	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия	Информация ограниченного доступа	ст. 139, 857 ГК РФ
3.	Персональные данные сотрудников	Информация ограниченного доступа; подлежат разглашению с согласия сотрудника	Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ
4.	Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам).	подлежит разглашению только по решению предприятия	Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

1.2.2. Оценка уязвимостей активов

Уязвимость информационных активов -- тот или иной недостаток, из за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

Уязвимость - есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости информационной системы компании можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.

Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.

Результаты оценки уязвимости активов представлены в таблице 3.

Таблица 3

Группа уязвимостей Содержание уязвимости	Персональные данные о сотрудниках	Кадровый учет	Персональные компьютеры	Сервера баз данных	Почтовый сервер	Коммуникационное оборудование	Учетная Система	Windows 7
1. Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон	Средняя	Средняя		Средняя	Средняя
Нестабильная работа электросети			Средняя	Низкая	Низкая	Низкая
2. Аппаратное обеспечение
Отсутствие схем периодической замены			Средняя	Средняя	Средняя	Средняя
Подверженности воздействию влаги, пыли, загрязнения			Высокая	Высокая	Высокая	Средняя
Отсутствие контроля за эффективным изменением конфигурации			Средняя	Низкая	Низкая
3. Программное обеспечение
Отсутствие тестирования или недостаточное тестирование программного обеспечения							Высокая	Высокая
Сложный пользовательский интерфейс							Средняя	Средняя
Плохое управление паролями			Среднее	Среднее	Среднее		Высокая	Высокая
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая
Незащищенные подключения к сетям общего пользования			Средняя	Средняя	Средняя		Средняя	Средняя
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая
5. Документы (документооборот)
Хранение в незащищенных местах	Среднее	Среднее
Бесконтрольное копирование	Высокая	Среднее
7. Общие уязвимые места
Отказ системы вследствие отказа одного из элементов				Средняя	Средняя		Высокая
Неадекватные результаты проведения технического обслуживания			Средняя	Низкая	Низкая	Средняя
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая
Незащищенные подключения к сетям общего пользования			Средняя	Средняя	Средняя		Средняя	Средняя
Отсутствие идентификации и аутентификации отправителя и получателя			Средняя	Низкая	Средняя		Высокая	Высокая

1.2.3 Оценка угроз активам

Угроза (потенциальная возможность неблагоприятного воздействия) обладает способностью наносить ущерб системе информационных технологий и ее активам. Если эта угроза реализуется, она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему. В основе угроз может лежать как природный, так и человеческий фактор; они могут реализовываться случайно или преднамеренно. Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации - оценена. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы обеспечения безопасности информационных технологий.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. На рисунке 2 представлены основные виды угроз.

Рисунок 2. Основные виды угроз информационной безопасности

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

- ошибки и упущения;

- мошенничество и кража;

- случаи вредительства со стороны персонала;

- ухудшение состояния материальной части и инфраструктуры;

- программное обеспечение хакеров, например имитация действий законного пользователя;

- программное обеспечение, нарушающее нормальную работу системы;

- промышленный шпионаж.

При использовании материалов каталогов угроз или результатов ранее проводившихся оценок угроз следует иметь в виду, что угрозы постоянно меняются, особенно в случае смены организацией деловой направленности или информационных технологий. Например, компьютерные вирусы 90-х годов представляют гораздо более серьезную угрозу, чем компьютерные вирусы 80-х. Нужно также отметить, что следствием внедрения таких мер защиты, как антивирусные программы, вероятно, является постоянное появление новых вирусов, не поддающихся воздействию действующих антивирусных программ.

После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

При этом следует учитывать:

- частоту появления угрозы (как часто она может возникать согласно статистическим, опытным и другим данным), если имеются соответствующие статистические и другие материалы;

- мотивацию, возможности и ресурсы, необходимые потенциальному нарушителю и, возможно, имеющиеся в его распоряжении; степень привлекательности и уязвимости активов системы информационных технологий с точки зрения возможного нарушителя и источника умышленной угрозы;

- географические факторы - такие как наличие поблизости химических или нефтеперерабатывающих предприятий, возможность возникновения экстремальных погодных условий, а также факторов, которые могут вызвать ошибки у персонала, выход из строя оборудования и послужить причиной реализации случайной угрозы.

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Результаты оценки угроз активам представлена в таблице 4.

Группа уязвимостей Содержание уязвимости	Персональные данные о сотрудниках	Кадровый учет	Персональные компьютеры	Сервера баз данных	Почтовый сервер	Коммуникационное оборудование	Учетная Система	Windows 7
1. Угрозы, обусловленные преднамеренными действиями
Похищение информации	Средняя	Средняя					Средняя
Вредоносное программное обеспечение			Высокая	Средняя	Средняя			Средняя
Взлом системы			Средняя	Средняя	Высокая			Средняя
2. Угрозы, обусловленные случайными действиями
Ошибки пользователей	Средняя	Средняя					Средняя
Программные сбои			Средняя				Средняя	Средняя
Неисправность в системе кондиционирования воздуха			Низкая	Низкая	Низкая
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Колебания напряжения			Средняя	Низкая	Низкая
Воздействие пыли			Высокая	Средняя	Средняя	Средняя
Пожар			Высокая	Низкая	Низкая	Средняя

1.2.4 Оценка существующих и планируемых средств защиты

Под защитой информации - понимают комплекс организационных, правовых и технических мер по предотвращению угроз информационной безопасности и устранению их последствий.

Организация защиты информации в организации - это один из важнейших моментов, который ни в коем случае нельзя упускать из вида. Последствия будут очень серьезными, если произойдет утрата баз данных, результатов аналитических исследований, исходных кодов, программных продуктов. При плохой организации защиты информации это возможно, что приведет к достаточно проблематичному дальнейшему ведению бизнеса, а в определенных случаях невозможным вообще.

Задачи по защите информации возлагаются на службу информационных технологий.

Организационная структура службы информационных технологий:

1. Структуру и штаты Службы информационных технологий, а также их изменения утверждает Генеральный директор по представлению заместителя генерального директора по информационным технологиям.

2. Служба состоит из одного подразделения, возглавляемого заместителем генерального директора по информационным технологиям.

Функции службы информационных технологий:

1. Анализ и изучение проблем обслуживания автоматизированных систем управления Компанией и ее подразделений;

2. Контроль состояния и безопасности сети и сетевого оборудования;

3. Назначение пользователям сети прав доступа;

4. Обеспечение бесперебойного функционирования системы и оборудования и принятие оперативных мер по устранению возникающих в процессе работы нарушений;

5. Установка, настройка и управление программными и аппаратными системами Организации;

6. Подготовка планов проектирования и внедрения автоматизированных систем управления Компанией и контроль за их выполнением;

7. Согласование технических заданий на разработку и внедрения нового программного обеспечения в отрасли на предмет обеспечения сетевого и системного взаимодействия;

8. Поддержка Internet-технологий в отрасли, обеспечение доступа к Internet-услугам;

9. Обеспечение правильности переноса исходных данных на машинные носители;

10. Проводит мониторинг развития и использования информационно-коммуникационных технологий и подготавливает по его результатам аналитические и отчетные материалы;

11. Сопровождение системного, сетевого и сопутствующего программного обеспечения.

Техническая архитектура предприятия

На момент анализа на предприятии абсолютно не были реализованы организационные меры по защите информации, однако были представлены программно-аппаратные и инженерно-технические средства защиты информации.

Информационные ресурсы организации сконцентрированы в офисном помещении организации ООО «Торговый Дом ЛФЗ»

Локальная вычислительная сеть организации состоит из сервера БД, почтового сервера, рабочих станций, принтеров. Для объединения компьютеров в локальную сеть используются хабы и свичи. Доступ к сети Интернет осуществляется по волоконно-оптическому каналу Ethernet. На рисунке 1.2.4.1 показана техническая архитектура ООО «Торговый Дом ЛФЗ».

Рисунок 1.2.4.1. Техническая архитектура ООО «Торговый Дом ЛФЗ»

Технические и программные характеристики офисных ПК:

Процессор: Intel Celeron Dual Core G530 (Sandy Bridge, 2.40ГГц, LGA1155, L3 2048Kb)

Память: DDR3 2048 Mb (pc-10660) 1333MHz

Материнская плата: S1155, iH61, 2*DDR3, PCI-E16x, SVGA, DVI, SATA, Lan, mATX, Retail

Видеокарта встроенная Intel® HD Graphics 512Мб

Сетевая карта есть (10/100 Ethernet).

Программное обеспечение:

ОС: Windows 7;

Office: Microsoft Office 2010;

Почтовый клиент Outlook 2010;

Технические и программные характеристики серверов:

Производитель Dell;

Процессор :Intel Xeon E3-1240 (Sandy Bridge, 3.3 ГГц, 8Мб, S1155);

Чипсет: Intel® 3420;

Оперативная память: 2 x DDR3 2048 Mb (pc-10660) 1333MHz;

Жесткий диск: 2 x 700Gb (SATA II);

Сетевая карта: 1 x 10/100/1000 Мбит/с;

Видеокарта: Matrox G200eW, 8 Мбайт памяти;

Программное обеспечение:

ОС: Windows Server 2008;

Сервер электронной почты: Microsoft Exchange Server

СУБД: Microsoft SQL server + Mysql (WEB)

Система охранно-тревожной сигнализации.

Система охранно-тревожной сигнализации предназначена для:

· постановки и снятия с охраны помещений;

· формирования и выдачи сигналов тревоги при несанкционированном появлении или попытке проникновения человека в закрытые и сданные под охрану помещения;

· просмотра состояния охраняемых помещений на планах в графической форме на автоматизированных рабочих местах интегрированной системы безопасности и отображения на них сигналов тревоги или неисправности в графическом, текстовом и голосовом виде с привязкой к плану объекта;

· ведение протокола событий системы охранно-тревожной сигнализации в памяти компьютера с возможностью просмотра на мониторе и его распечатки;

· ведение электронного журнала, фиксирующего действия операторов в стандартных и нештатных ситуациях.

Охранная система рассчитана на предупреждение несанкционированного доступа в помещение. Она состоит из охранной панели (централи) - прибор, который собирает и анализирует информацию, поступившую от охранных датчиков, а так же выполняет заранее запрограммированные в ней функции, исполняемые при срабатывании датчиков. В состав оборудования входит пульт управления, который отображает состояние сигнализации, служит для ее программирования и осуществляет постановку и снятие объекта с охраны. В минимальный набор оборудования необходимо включить источник бесперебойного питания, кабельную сеть а так же, охранные датчики.

Датчики бывают нескольких видов. Наиболее распространенные из них объемные инфракрасные (ИК-датчики), магнитоконтактные (герконы), акустические, вибрационные, ультразвуковые, лучевые, емкостные, а также датчики с направленной диаграммой обнаружения.

На рисунке 4 представлена схема функционирования системы охранно-тревожной сигнализации.[7]

Рисунок 4. Схема функционирования системы охранно-тревожной сигнализации

Объемные датчики или датчики движения - чувствительным элементов является ПИР элемент. Это сенсор, который улавливает тепловое излучение. Картинку он видит как бы разбитую на сектора, с помощью линзы Френеля. И если тепловое пятно движется, из сектора в сектор происходит срабатывание датчика.

Магнитоконтактные (герконы) датчики - устанавливаются на дверях и окнах и отслеживают их открытие или закрытие. Два магнита устанавливаются напротив друг друга: один на подвижной части двери или окна, а другой на неподвижной его части. Когда контакт между двумя магнитами теряется, датчик незамедлительно передает сигнал на контрольную панель.

Акустические датчики - реагируют на громкий звук, в том числе на звук разбитого стекла. В наиболее современных из них установлен микропроцессор, который анализирует звуковую диаграмму и не перепутает звук разбитого стекла с другим резким звуком. Кроме того, в память таких датчиков заложены звуки разбития разных типов стекла. Это может быть обычное стекло, стекло армированное, триплекс. Этот фактор значительно понижает возможность случайного срабатывания охранной системы.

Вибрационные датчики - предполагают защиту стен от пролома, сейфов от вскрытия и окон от разбития. Они реагируют на вибрацию. (Рисунок 8)

Ультразвуковые датчики - они испускают и принимают ультразвуковые колебания. Если в поле их видимости попадает движущийся предмет, длина волны незначительно меняется, что служит сигналом для срабатывания датчика.

Лучевые датчики - служат для перекрытия значительных пространств, и состоят из приемника и передатчика. При пересечении невидимого невооруженным глазом луча происходит срабатывание датчика.

Емкостные датчики - применяются для охраны особо ценных предметов (сейфов, предметов искусства). Принцип их работы основан на создании вблизи охраняемого объекта поля с определенной емкостью. При попадании внутрь любого предмета емкость поля меняется, что приводит к срабатыванию охранной сигнализации. (Рисунок 11)

Датчики с направленной диаграммой обнаружения - это ИК-датчик у которого устанавливается специфическая линза. По направлению и форме диаграммы направленности существует три типа таких датчиков: штора (вертикальная или горизонтальная плоскость), завеса (полусфера), коридор (узкий луч). (Рисунок 12)



Рисунок 5. Объемный датчик

Рисунок 6. Магнитоконтактный датчик

Рисунок 7. Акустический датчик

Рисунок 8. Вибрационный датчики

Рисунок 9. Ультразвуковой датчик

Рисунок 10. Лучевой датчик

Рисунок 11. Емкостный датчик

Рисунок 12. Датчик с направленной диаграммой обнаружения

Системы контроля и управления доступом.

Системы контроля доступа - это средство, которое обеспечивает в организации безопасность, кадровый и бухгалтерский учет, трудовую дисциплину.

Современные системы контроля доступа основаны на электронных технологиях.

Каждый сотрудник организации ГУП «ОЦ «Московский дом книги» получает карту доступа - пластиковую карточку с содержащимся в ней индивидуальным кодом. (Рисунок 14) У входа в организацию и в подлежащие контролю помещения устанавливаются считыватели - специальные устройства, считывающие с карточек их код и передающие его в систему. (Рисунок 15) В системе каждому коду поставлена в соответствие информация о правах владельца карточки. На основе сопоставления этой информации и ситуации, при которой была предъявлена карточка, система принимает решение: открывает или блокирует двери, переводит помещение в режим охраны, включает сигнал тревоги и т.д. Система запоминает все факты предъявления карточек и связанные с ними действия (проходы, тревоги и т.д.). Одна и та же карточка служит "ключом" для различных дверей. Время считывания информации с карточки - не более 0,1 сек. При этом считыватель закреплен с обратной стороны двери. Принцип работы системы контроля доступа показан на рисунке 13.

Рисунок 13. Принцип работы пары "считыватель - идентификатор"

Рисунок 14. Карта EM-Marine Clamshell

Бесконтактный идентификатор EM-Marine Clamshell Card представляет собой белую пластиковую карту со встроенным чипом, с вырезом для крепления и напечатанным идентификационным номером с обратной стороны.

Технические характеристики: Бесконтактный интерфейс: Proximity (EM-Marinе) 125KHz

Дальность считывания: до 100 мм

Рисунок 15. Считыватель Proximity с контроллером Matrix-II-K

Технические характеристики: считыватель Proximity, совмещенный с контроллером замка (электромагнитный / электромеханический) Matrix-II-K, дальность считывания 6-8 см, карточки/брелки EM-Marin, звуковая и световая индикация, корпус - пластик, количество карт 680, питание DC 12V.

Система пожарной сигнализации.

Система пожарной сигнализации-- совокупность технических средств, предназначенных для обнаружения пожара, обработки, передачи в заданном виде извещения о пожаре, специальной информации и (или) выдачи команд на включение автоматических установок пожаротушения и включение исполнительных установок систем противодымной защиты, технологического и инженерного оборудования, а также других устройств противопожарной защиты. [15]

Система пожарной сигнализации предназначена для:

· выдачи адресного сообщение об обнаружении очага возгорания в помещение поста охраны с указанием адреса датчика;

· выдачи сообщение «неисправность» в помещение поста охраны с указанием адреса датчика;

· выдачи сигнала «пожар», на систему оповещения людей о пожаре, пускатели системы для блокирования приточной вентиляции и на другие системы;

· управления установками автоматического пожаротушения;

· возможности работы в автономном режиме с выполнением вышеуказанных требований;

· ведение протокола событий системы ПС в памяти компьютера с возможностью просмотра на мониторе и его распечатки;

· ведение электронного журнала, фиксирующего действия операторов в стандартных и нештатных ситуациях.

Следует отдать предпочтение пожарной сигнализации, построенной на основе высококачественного профессионального оборудования в области систем пожарной сигнализации на основе адресно-аналоговых пожарных извещателей и оповещателей.

Адресно-аналоговые системы являются более высокой ступенью в развитии систем пожарной безопасности. Особенностью адресно-аналоговых систем является то, что пожарный извещатель измеряет уровень задымленности, температуру в помещении и передает эту информацию на приёмно-контрольную панель, которая принимает решения о дальнейшем функционировании всех элементов системы в целом в соответствии с настройками. [7+]

Рисунок 16. Состав пожарной сигнализации

Система пожарной сигнализации состоит из следующих компонентов:

1. Контрольная панель - прибор, который занимается анализом состояния пожарных датчиков и шлейфов, а также отдает команды на запуск пожарной автоматики.

2. Блок индикации или автоматизированное рабочее место на базе компьютера - служит для отображения событий и состояния пожарной сигнализации.

3. Источник бесперебойного питания - служит для обеспечения непрерывной работы сигнализации, даже при отсутствии электропитания.

4. Различные типы пожарных датчиков (извещатели) - служат для обнаружения очага возгорания или продуктов горения (дым, угарный газ и т. д.).

Основные факторы, на которые реагирует пожарная сигнализация - это концентрация дыма в воздухе, повышение температуры, наличие угарного газа и открытый огонь. И на каждый из этих признаков существуют пожарные датчики.

Тепловой пожарный датчик реагирует на изменение температуры в защищаемом помещении. Он может быть пороговым, с заданной температурой срабатывания, и интегральным, реагирующим на скорость изменения температуры. (Рисунок 17)

Дымовой пожарный датчик реагирует на наличие дыма в воздухе, самый распространенный тип датчиков. (Рисунок 18)

Датчик пламени реагирует на открытое пламя. Используется в местах, где возможен пожар без предварительного тления, например столярные мастерские, хранилища горючих материалов и т. д.

Рисунок 17. Тепловой пожарный

Рисунок 18.Дымовой пожарный датчик датчик

Ручные пожарные извещатели - имеют вид закрытой прозрачной коробки с красной кнопкой и размещаются на стенах в местах, легкодоступных, чтобы в случае обнаружения пожара работник без труда мог оповестить все предприятие об опасности. Ручные извещатели относятся к общим требованиям установки пожарной сигнализации на предприятиях.

Рисунок 19. Ручной пожарный извещатель

1.2.5 Оценка рисков

Процессы оценки и управления рисками служат фундаментом для построения системы управления информационной безопасностью организации. Эффективность этих процессов определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Риск -- это вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации.

Целью данного этапа является идентификация и оценка рисков, которым подвергаются рассматриваемая система информационных технологий и ее активы с тем, чтобы идентифицировать и выбрать подходящие и обоснованные защитные меры безопасности. Величина риска определяется ценностью подвергающихся риску активов, вероятностью реализации угроз, способных оказать негативное воздействие на деловую активность, возможностью использования уязвимостей идентифицированными угрозами, а также наличием действующих или планируемых защитных мер, использование которых могло бы снизить уровень риска. Вне зависимости от использованного способа оценки измерения риска результатом оценки прежде всего должно стать составление перечня оцененных рисков для каждого возможного случая раскрытия, изменения, ограничения доступности и разрушения информации в рассматриваемой системе информационных технологий. Составленный перечень оцененных рисков затем используют при идентификации рисков, на которые следует обращать внимание в первую очередь при выборе защитных мер. Метод оценки рисков должен быть повторяемым и прослеживаемым. Для оценивания рисков воспользуемся следующей таблицей 5 с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей.

Таблица 5. Штрафные баллы

	Уровни угрозы	Низкая	Средняя	Высокая
	Уровни уязвимости	Н	С	В	Н	С	В	Н	С	В
Ценность активов	1	0	1	2	1	2	3	2	3	4
	2	1	2	3	2	3	4	3	4	5
	3	2	2	4	3	4	5	4	5	6
	4	3	4	5	4	5	6	5	6	7
	5	4	5	6	5	6	7	6	7	8

Оценка рисков нарушения информационной безопасности проводится для всех информационных активов. Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Основной способ оценки рисков - это тщательно спланированные интервью, с использованием опросников, в которых участвуют необходимые структурные подразделения. По окончании анализа рисков составляется отчет, который предоставляется высшему руководству организации.

Результаты проведения оценки представлены в таблице (Таблица 6).

Таблица 6

Результаты оценки рисков информационным активам организации

Риск	Актив	Ранг риска
1	Персональные данные о сотрудниках	8
2	Кадровый учет	7
3	Персональные компьютеры	6
4	Почтовый сервер	5
5	Сервера баз данных	4
6	Оборудование для обеспечения связи	2
7	Учетная Система	3
8	Windows 7	1

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков

Угроза - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Если говорить об угрозах информационно-технического характера, можно выделить такие элементы как кража информации, вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные сбои, финансовое мошенничество, кража оборудования.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath):

· Кража информации - 64%

· Вредоносное ПО - 60%

· Хакерские атаки - 48%

· Спам - 45%

· Халатность сотрудников - 43%

· Аппаратные и программные сбои - 21%

· Кража оборудования - 6%

· Финансовое мошенничество - 5%

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО. В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы, возрос ущерб наносимый злоумышленником. Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение. Так или иначе, утечка информации происходит по каналам утечки. Большую часть в данном аспекте представляет, так называемый «человеческий фактор». То есть сотрудники организации, что не удивительно, потому что кто, как не они имеют достаточно полномочий и возможностей для завладения информацией. Но совсем не обязательно похищать информацию с целью, например, последующей продажи. Если сотруднику захочется подпортить репутацию компании, или нанести какой либо ущерб в силу каких-то обстоятельств (понижение по должности, сокращение, разногласия с руководством и т.д.), в полнее достаточно исказить информацию представляющую ценность для организации, в следствии чего, данная информация может потерять свою актуальность и ценность, или же окажется просто недостоверной, не подлинной, что может обернуться, например, обманутыми клиентами, партнерами. К счастью, таких «ущемленных» сотрудников не так много. Если же говорить о мотивах, побудивших человека, сотрудника организации к таким шагам, первое место занимает кража денег с электронных счетов (изменение программ по начислению заработной платы и зачислению её на индивидуальные счета, создание файлов с вымышленными вкладчиками, изъятие в хранилищах кредитно-финансовых учреждений банковских карт и PIN кодов к ним, фальсификацию в базе данных фирм информации о клиентах). Но и не обходится без фальсификации информации, или повреждения программного обеспечения, вывод из работы сайтов и прочее. Наиболее опасным являются неумышленные действия персонала. Примером может являться, уже обыденная вещь для современного человека - «флешка», или USB накопитель на основе Flash-memory. Нередко, сотрудники организации используют «флешки» в работе. Или из самых лучших побуждений, человек, может взять некоторую информацию домой, для того чтобы поработать над ней (к примеру, подготовка какой либо отчетности или других документов). В данном случае велик процент утечки информации из-за потери самого носителя - «флешки», в силу ее габаритных характеристик.

Наиболее распространены следующие атаки:

Подслушивание (sniffing) - для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

Перехват пароля, передаваемого по сети в незашифрованной форме, путем «подслушивания» канала является разновидностью атаки подслушивания канала, которая называется password sniffing.

Изменение данных. Злоумышленник, получивший возможность прочитать данные, может их изменить. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе.

Анализ сетевого трафика. Целью атак такого типа является подслушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации. Атакам такого типа подвержены такие протоколы, как FTP или Telnet.

Подмена доверенного субъекта. Большая часть сетей и операционных систем используют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. Иногда возможно некорректное присвоение IP-адреса. Такой способ атаки называется фальсификацией адреса(IP-spoofing).

Посредничество. Подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом.

Посредничество в обмене незашифрованными ключами (атака man-in-the-middle). Такие атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атаки типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение.

Отказ в обслуживании (Denial of Service, DoS). Эта атака делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционных систем или приложения.

Парольные атаки. Такие атаки предусматривают завладение паролем и логином законного пользователя. Злоумышленники могут проводит парольные атаки, используя следующие методы:

· Подмена IP-адреса (IP-спуфинг);

· П...