Проектирование системы комплексной безопасности информационных систем и баз данных для ООО "Торговый Дом ЛФЗ"

· данные на носителях портятся.

Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.

1. По среде обитания различают вирусы сетевые, файловые, загрузочные и файлово-загрузочные.

2. По способу заражения выделяют резидентные и нерезидентные вирусы.

3. По степени воздействия вирусы бывают неопасные, опасные и очень опасные;

4. По особенностям алгоритмов вирусы делят на паразитические, репликаторы, невидимки, мутанты, троянские, макро-вирусы.

Загрузочные вирусы заражают загрузочный сектор винчестера или дискеты и загружаются каждый раз при начальной загрузке операционной системы.

Резидентные вирусы загружается в память компьютера и постоянно там находится до выключения компьютера.

Самомодифицирующиеся вирусы (мутанты) изменяют свое тело таким образом, чтобы антивирусная программа не смогла его идентифицировать.

Стелс-вирусы (невидимки) перехватывает обращения к зараженным файлам и областям и выдают их в незараженном виде.

Троянские вирусы маскируют свои действия под видом выполнения обычных приложений.

По степени и способу маскировки:

· вирусы, не использующие средств маскировки;

· stealth-вирусы - вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных;

· вирусы-мутанты (MtE-вирусы) - вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса.

MtE-вирусы делятся на:

· обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а расшифровщики совпадают;

· полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но их дешифровщики.

Вирусом могут быть заражены следующие объекты:

1. Исполняемые файлы, т.е. файлы с расширениями имен .com и .exe, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус в зараженных исполняемых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те вирусы, которые после своего запуска остаются в памяти резидентно - они могут заражать файлы и выполнять вредоносные действия до следующей перезагрузки компьютера. А если они заразят любую программу из автозапуска компьютера, то и при перезагрузке с жесткого диска вирус снова начнет свою работу.

2. Загрузчик операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными. Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения загрузочных вирусов - заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целиком программу вируса. Часть вируса располагается в другом участке диска, например, в конце корневого каталога диска или в кластере в области данных диска. Обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных на диск.

3. Файлы документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы могут быть заражены макро-вирусами. Макро-вирусы используют возможность вставки в формат многих документов макрокоманд.

Для минимизации рисков потенциальных угроз в магазине Ион используется антивирусное программное обеспечение Kaspersky Internet Security. Но для обеспечения максимальной информационной безопасности в организации одного антивируса будет мало, поэтому предлагаю:

· Разработать политику обеспечения безопасности информации в компании;

· Ввести средства шифрования/дешифрования и аутентификации;

· Ввести средство управления доступом к устройствам, портам ввода-вывода и сетевым протоколам

· Ввести средство резервного копирования данных.

· Ввести ограничения доступа в сеть локальной/Интернет сети;

· Ввести ограничение прав доступа на локальных ПК.

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Политика информационной безопасности является объектом стандартизации. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).

Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов защиты информации.

Данный документ представляет методологическую основу практических мер (процедур) по реализации обеспечения информационной безопасности и содержит следующие группы сведений:

1. Основные положения информационной безопасности.

2. Область применения.

3. Цели и задачи обеспечения информационной безопасности.

4. Распределение ролей и ответственности.

5. Общие обязанности.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех производимых работ. Комплексный (системный) подход к построению любой системы включает в себя:

· изучение объекта внедряемой системы;

· оценку угроз безопасности объекта;

· анализ средств, которыми будем оперировать при построении системы;

· оценку экономической целесообразности;

· изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности;

· соотношение всех внутренних и внешних факторов;

· возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

Задачами обеспечения информационной безопасности являются все действия, которые необходимо выполнить для достижения поставленных целей. В частности, необходимо решать такие задачи, как анализ и управление информационными рисками, расследование инцидентов информационной безопасности, разработка и внедрение планов непрерывности ведения бизнеса, повышение квалификации сотрудников компании в области информационной безопасности.

Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода.

1.4 Выбор защитных мер

1.4.1 Выбор организационных мер

Для защиты информационных ресурсов организации, в обязательном порядке следует знакомить сотрудников компании с общими правилами защиты служебной информации и принципами работы средств её хранения и обработки.

Организационная защита информации -- это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

· организацию охраны, режима, работу с кадрами, с документами;

· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Выбор защитных мер должен всегда включать в себя комбинацию организационных (не технических) и технических мер защиты. В качестве организационных рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность. Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль за работой персонала и реализацию программ знания и понимания мер защиты.

Административная безопасность включает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности. При таком способе обеспечения безопасности очень важно, чтобы для каждой системы была разработана система ведения деловой деятельности организации, предусматривающая в том числе возможность появления непредвиденных обстоятельств (ликвидацию последствий нарушения систем безопасности) и включающая в себя соответствующую стратегию и план (планы). План должен содержать подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы. План должен содержать перечень шагов, которые следует предпринять для обеспечения безопасности важнейшей информации, подлежащей обработке, не прекращая при этом ведения организацией деловых операций.

Организационные меры являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты.

Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:

· составление должностных инструкций для пользователей и обслуживающего персонала;

· создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;

· разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;

· обучение правилам информационной безопасности пользователей.

Для выбора защитных мер, обеспечивающих эффективную защиту при некоторых уровнях риска, необходимо рассмотреть результаты анализа риска. Наличие уязвимости к определенным видам угроз позволяет определить, где и в какой форме необходимо использование дополнительных мер защиты.

Нельзя использовать в работе компании непроверенное программное обеспечение, в отношении которого нет уверенности, что оно не создает несанкционированных копий, не формирует и не отсылает разработчикам по Интернету отчеты с информацией о работе компьютеров. Необходимо приобрести и установить сертифицированные средства защиты информации.

Необходимо запретить сотрудникам несанкционированную инсталляцию нового программного обеспечения и проинструктировать, что все получаемые по электронной почте исполняемые файлы должны сразу уничтожаться без запуска.

В обязательном порядке должны быть реализованы следующие организационные мероприятия:

1. для всех лиц, имеющих право доступа к средствам компьютерной техники, должны быть определены категории допуска;

2. определена административная ответственность для лиц за сохранность и санкционированность доступа к имеющимся информационным ресурсам;

3. налажен периодический системный контроль за качеством защиты информации посредством проведения регламентных работ как самим лицом, ответственным за безопасность, так и с привлечением специалистов;

4. проведена классификация информации в соответствии с ее важностью;

5. организована физическая защита.

Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать следующие заявления:

· определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);

· заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;

· основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;

· краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:

· соответствие требованиям законодательства, нормативной базы и договоров;

· требования к повышению осведомленности, обучению и тренингам в области безопасности;

· управление непрерывностью бизнеса;

· последствия нарушений политики информационной безопасности;

· определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;

· ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.

Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.

В случае, если для обеспечения безопасности системы информационных технологий используется базовый подход, выбор защитных мер сравнительно прост. Справочные материалы (каталоги) по защитным мерам безопасности предлагают набор защитных мер, способных защитить систему информационных технологий от наиболее часто встречающихся видов угроз. В этом случае рекомендуемые каталогом меры обеспечения безопасности следует сравнить с уже действующими или запланированными, а упомянутые в каталоге меры (отсутствующие или применение которых не планируется) должны составить перечень защитных мер, которые необходимо реализовать для обеспечения базового уровня безопасности.

1.4.1 Выбор инженерно-технических мер

Инженерно-технические мероприятия - совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.

Технические меры защиты предусматривают защиту аппаратных средств и программного обеспечения, а также систем связи. При этом выбор защитных мер проводят в соответствии с их степенью риска для обеспечения функциональной пригодности и надежной системы безопасности. Функциональная пригодность системы должна включать в себя, например, проведение идентификации и аутентификации пользователя, выполнение требований логического контроля допуска, обеспечение ведения контрольного журнала и регистрацию происходящих в системе безопасности событий, обеспечение безопасности путем обратного вызова запрашивающего, определение подлинности сообщений, шифрование информации и т.д. Требования к надежности систем безопасности определяют уровень доверия, необходимый при осуществлении функций безопасности, и тем самым определяют виды проверок, тестирования безопасности и т.д., обеспечивающих подтверждение этого уровня. При принятии решения об использовании дополнительного набора организационных и технических защитных мер могут быть выбраны разные варианты выполнения требований к обеспечению технической безопасности. Следует определить структуру технической безопасности для каждого из данных вариантов, с помощью которой можно получить дополнительное подтверждение правильности построения системы безопасности и возможности ее реализации на заданном технологическом уровне.

Инженерно-техническая защита использует следующие средства:

· физические средства;

· аппаратные средства;

· программные средства;

· криптографические средства.

Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.

Программными называются средства защиты данных, функционирующие в составе программного обеспечения.

Среди них можно выделить следующие:

· средства архивации данных;

· антивирусные программы;

· средства идентификации и аутентификации пользователей;

· средства управления доступом и т.д.

Рассмотрим некоторые из них.

Антивирусные программы.

Антивирусная программа (антивирус) -- любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики -- предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Основные задания современных антивирусных программ:

· Сканирование файлов и программ в режиме реального времени.

· Сканирование компьютера по требованию.

· Сканирование интернет-трафика.

· Сканирование электронной почты.

· Защита от атак опасных веб-узлов.

· Восстановление поврежденных файлов (лечение).

Сегодня Компьютеры стали уязвимы для многих угроз безопасности. Очень важно иметь хороший антивирус на компьютере, чтобы предотвратить потерю важных данных, документов и информации в связи с вирусными атаками.

Сравнение антивирусов:

1. Kaspersky® Internet Security 2012 -- решение для обеспечения оптимального уровня безопасности. Инновационная гибридная защита мгновенно устраняет вредоносные программы, спам и другие интернет-угрозы, экономя ресурсы компьютера за счет комбинации облачных и антивирусных технологий. Kaspersky является известным поставщиком антивирусного на протяжении многих лет и продолжает производить продукты высокого класса. Он получил хорошую оценку эвристики на основе анализа, хорошую защиту от всех типов вредоносного ПО, вирусов, червей, троянских и шпионских программ. Он также имеет хорошие обновления описаний вирусов, приятный пользовательский интерфейс и функция сканирования сети, что включает в себя программное обеспечение производителя сбора анонимной информации о системе, с тем чтобы принести пользу всем.

2. Norton Antivirus 2011 - этот продукт может сканировать очень быстро, обновления очень частые, использует меньше ресурсов, хорошо показал себя со стороны фонового сканирования. Обновления доставляются каждые 15 минут давая свежие сигнатуры актуальные на данный момент. Но все равно есть плохие результаты, потому этот продукт занял 3-е место, ниже чем BitDefender и Kaspersky. Одно из них является обнаружение кейлоггеров. Оказывается антивирус предназначен для отслеживания и мониторинга нажатия клавиш пользователем, часто используется для кражи паролей, номеров кредитных карт, и так далее.

3. Webroot Antivirus 2011 Он получил простой интерфейс для работы, обеспечивает хорошее и частое обновления описаний вирусов, а также использует меньше ресурсов. Сканирует достаточно хорошо и уровней защиты очень высокий, но она все еще имеет некоторые отсутствующие функции.

4. VIPRE antivirus 2011 - это новый продукт, он решает хорошие задачи наряду с антивирусными и анти шпионскими решениями. VIPRE Antivirus работает плавно без значительного ущерба для производительности системы и дает очень хорошие показатели. Для пользователей никаких-либо ненужных всплывающих окон и подсказок. Обновления также часто делается, в среднем обновления происходят каждые полтора часа.

5. ESET NOD32 Antivirus 4 - имеет очень значительное улучшение на протяжении многих лет и по-прежнему сохраняет свою репутацию он получил ее в безопасности Suite. Главная особенность, что ESET продолжает иметь меньше использование ресурсов. Он выполняет сканирование в реальном времени, обновление происходит часто. Функции ESET: сканирование электронной почты, Sys инспектор, Sys спасение, самооборона в более совершенном образе. Он очищает интернет-трафик и электронной почты очень эффективно, даже если они SSL-зашифрованы. Обновления происходят часто в среднем раз в час.

6. AVG Antivirus 2011 - предлагает сканер ссылок из социальной защиты сетей. Он находит ошибки реестра , ненужных файлов, ошибки диска, сканирование ярлыков. Механизм сканирования не так быстро по сравнению с его конкурентами, а также иногда дает “ложные вызовы”.

7. Avira AntiVir Premium -технология обнаруживает даже неизвестные вирусы и их профили, но большую часть времени он предоставляет ложные угрозы. Avira является самым быстрым из всех рассматриваемых антивирусных программ.

8. G-Data Antivirus - работает путем предоставления двух отдельных механизмов сканирования, эвристики, а также самообучения fingerprinting. Он еще пропускает некоторые функции, такие как игровой режим, ссылка сканер и так далее. Присутствует двойная технология сканирования которая не тормозит компьютер и это обеспечивает хороший уровень защиты.

9. Trend Micro Titanium Antivirus -Надежное, быстрое и простое в использовании решение Trend Micro Titanium Antivirus обеспечивает критически важную защиту при работе с электронной почтой и просмотре веб-страниц.

10. Kingsoft - Главным плюсом данного антивируса является простота использования. Обновляется автоматически, никаких проблем с ним выявлено не было. Также можно отметить относительно небольшой вес, так что антивирус никак не тормозит систему, и вы можете спокойно работать, и чистить систему от вирусов одновременно. Минусом является слабая защита, однако только сравнительно.

По данной статистике наиболее эффективным будет использование антивирусной программы Kaspersky Internet Security 2012.

Межсетевые экраны.

Межсетевой экран или сетевой экран -- комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов -- динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

· обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

· на уровне каких сетевых протоколов происходит контроль потока данных;

· отслеживаются ли состояния активных соединений или нет.

Межсетевые экраны могут серьезно повысить уровень безопасности хоста или сети. Они могут быть использованы для выполнения одной или более нижеперечисленных задач:

· Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет;

· Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.

· Для поддержки преобразования сетевых адресов (network address translation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

· традиционный сетевой (или межсетевой) экран -- программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

· персональный сетевой экран -- программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай -- использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

· сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

· сеансовом уровне (также известные как stateful) -- отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях -- сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

· уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

· stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

· stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Межсетевой экран Cisco Secure PIX Firewall позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, сохраняя простоту эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира.

Контроль доступа

Для выполнения производственных задач сотрудники организации должны иметь доступ к большому количеству приложений. При реализации традиционного подхода к обеспечению безопасности для сотрудника создается учетная запись в каждом приложении.

Под доступом к информации понимается набор действий, такие как ознакомление с информацией, ее обработка, в частности копирование, модификация или уничтожение информации, разрешенных для выполнения пользователями системы над объектами данных.

Различают санкционированный и несанкционированный доступ к информации.

· Санкционированный доступ к информации -это доступ к информации, не нарушающий установленные правила разграничения доступа.

· Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа.

Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений. Несанкционированный доступ к информации -- доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации.

Контроль доступа -- это предотвращение несанкционированного использование ресурса системы, включая его защиту от несанкционированного использования.

Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс представления компьютерной системе, который включает две стадии

· Идентификация объекта - одна из функций подсистемы защиты. Если процедура идентификации завершается успешно, данный объект считается законным для данной сети.

· Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

После того как объект идентифицирован и подтверждена его подлинность, устанавливают сферу его действия и доступные ему ресурсы компьютерной сети. Такую процедуру называют предоставлением полномочий (авторизацией).

Для защиты информации от несанкционированного доступа создается система разграничения доступа к информации. Исходной информацией для создания системы разграничения доступа является решение системного администратора компьютерной сети о допуске пользователей к определенным информационным ресурсам. При определении полномочий доступа системный администратор устанавливает разрешения, которые можно выполнять пользователю.

Различают следующие операции с файлами:

· чтение (R);

· запись;

· выполнение программ (Е).

Получить несанкционированный доступ к информации при наличии системы разграничения доступа возможно только при сбоях и отказах компьютерной сети, а также используя слабые места в комплексной системе защиты информации. Одним из путей добывания информации о недостатках системы защиты является изучение механизмов защиты.

Описание системы разграничения доступа.

Система разграничения доступа к информации должна содержать четыре функциональных блока:

· блок идентификации и аутентификации субъектов доступа;

· диспетчер доступа;

· блок криптографического преобразования информации при ее хранении и передаче;

· блок очистки памяти.

Контроль доступа к оборудованию

Важный шаг для защиты от утечки информации -- применение средств контроля доступа к сменным носителям и портам ввода-вывода компьютера

Каждое устройство для передачи информации -- потенциальный канал утечки.

Наибольшей опасностью для безопасности локальных сетей являются не внешние угрозы (из Интернета), а внутренние. Внутренние угрозы вызваны тем, что сотрудники имеют доступ к важной информации изнутри - со своих компьютеров, объединенных в локальную сеть. Если этот доступ не контролировать, то последствием может быть несанкционированное копирование и удаление конфиденциальной информации, а также появление на рабочих компьютерах вредоносных программ (вирусов, троянов) и просто бесполезных файлов (например, видеофильмов и музыки).

Уволенный работник может в отместку или ради личной выгоды передать конфиденциальные данные конкурентам, или опубликовать их в свободный доступ. Последние исследования показали -- большинство людей готовы пойти на кражу коммерческой информации в случае сокращения из-за мирового финансового кризиса.

Поэтому очень важно контролировать и блокировать доступ сотрудников к USB флэш брелкам, картам памяти, дисководам FDD, CD и DVD, подключаемым адаптерам Wi-Fi и Bluetooth.

Всвязи с этим предлагаю использовать в средство контроля доступа к сменным носителям и устройствам в системах DeviceLock. DeviceLock -- это средство контроля и протоколирования доступа пользователей к устройствам и портам ввода-вывода компьютера. Контроль доступа ко всем видам внешних носителей (CD- и DVD-приводы, жесткие диски, сменные накопители, локальные и сетевые принтеры, дисководы, КПК и смартфоны), портам ввода-вывода (USB, FireWire, IrDA, COM), полная интеграция с Microsoft Active Directory, работа с отдельными пользователями и группами, возможность задать тип доступа «только чтение», детальный аудит (включая теневое копирование) действий пользователей с устройствами и данными, контроль доступа в зависимости от дня недели и времени.

Резервное копирование.

Перебои с электроснабжением, неисправность кабельной системы, отказы компьютерного и сетевого оборудования, некорректная работа программного обеспечения, ошибки пользователей, наконец, стихийные бедствия -- это некоторые из причин, которые могут привести к потере данных. Так как данные очень важная составляющая для организации, то необходимо обеспечивать защиту этих данных. Одним из способов защиты данных является резервное копирование.

Резервное копирование (backup)-- процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения, соответствующими программами -- резервными дубликаторами данных.

Существуют следующие уровни резевного копирования:

· Полное резервирование (Full backup);

Полное резервирование затрагивает всю систему и все файлы. Еженедельное, ежемесячное и ежеквартальное резервирование подразумевает полное резервирование. Первое еженедельное резервирование должно быть полным резервированием, обычно выполняемым по Пятницам или в течение выходных, в течение которого копируются все желаемые файлы. Последующие резервирования, выполняемые с Понедельника по Четверг до следующего полного резервирования, могут быть добавочными или дифференциальными, главным образом для того, чтобы сохранить время и место на носителе. Полное резервирование следует проводить, по крайней мере, еженедельно.

· Дифференциальное резервирование (Differential backup);

При дифференциальном резервировании каждый файл, который был изменен с момента последнего полного резервирования, копируется каждый раз заново. Дифференциальное резервирование ускоряет процесс восстановления. Все, что необходимо, это последняя полная и последняя дифференциальная резервная копия. Популярность дифференциального резервирования растет, так как все копии файлов делаются в определенные моменты времени, что, например, очень важно при заражении вирусами.

· Добавочное резервирование (Incremental backup);

При добавочном ("инкрементальном") резервировании происходит копирование только тех файлов, которые были изменены с тех пор, как в последний раз выполнялось полное или добавочное резервное копирование. Последующее добавочное резервирование добавляет только файлы, которые были изменены с момента предыдущего добавочного резервирования. В среднем, добавочное резервирование занимает меньше времени, так как копируется меньшее количество файлов. Однако, процесс восстановления данных занимает больше времени, так как должны быть восстановлены данные последнего полного резервирования, плюс данные всех последующих добавочных резервирований. При этом, в отличие от дифференциального резервирования, изменившиеся или новые файлы не замещают старые, а добавляются на носитель независимо.

· Пофайловый метод;

Система пофайлового резервирования запрашивает каждый индивидуальный файл и записывает его на носитель. Всегда следует использовать предлагаемую опцию верификации. При верификации, все копируемые с диска данные перечитываются с источника и проверяются или побайтно сравниваются с данными на носителе. Так как фрагментированные файлы на диске из-за большего количества выполняемых операций поиска замедляют процесс резервирования, то производительность можно обычно увеличить производя регулярную дефрагментацию диска. При дефрагментации блоки данных располагаются по порядку, друг за другом так, чтобы они были доступны в кэше упреждающего чтения.

· Блочное инкрементальное копирование (Block level incremental).

Для резервного копирования предлагаю использовать специализированное программное обеспечение, такое как Acronis True Image.

Acronis True Image -- программа для резервного копирования и восстановления данных. Программное обеспечение позволяет пользователю создавать образ диска во время его работы Microsoft Windows или в автономном режиме, загрузившись с CD, DVD, USB флэш-накопителя, или другой загрузочный носитель.

Криптографические средства.

Криптографические методы защиты информации применяются для обработки, хранения и передачи информации на носителях и по сетям связи. Криптографическая защита информации при передаче данных на большие расстояния является единственно надежным способом шифрования. Цели защиты информации в итоге сводятся к обеспечению конфиденциальности информации и защите информации в компьютерных системах в процессе передачи информации по сети между пользователями системы.

Контроль действия пользователей.

LanAgent - программа для наблюдения за компьютерами в локальной сети. Предназначена для контроля действий пользователей. LanAgent осуществляет мониторинг активности на любом компьютере, подключённом к сети вашей организации. Программа позволит выявить деятельность, не имеющую отношения к работе, покажет, насколько рационально ваши сотрудники используют рабочее время.

Возможности программы LanAgent:

· Регистрирует все нажатия клавиш.

· Делает снимки экрана (скриншоты) через заданный промежуток времени.

· Запоминает запуск и закрытие программ.

· Следит за содержимым буфера обмена.

· Осуществляет мониторинг файловой системы.

· Перехватывает переписку ICQ, mail.ru agent, e-mail.

· Перехватывает посещённые сайты.

· Отслеживает включение/выключение компьютера.

· Расширенная система аналитических отчетов.

· Вся информация хранится в базе данных на компьютере администратора.

· Удалённое управление настройками агента, возможность удалённо запустить/остановить мониторинг.

· Автоматическое получение логов от агентов на компьютер администратора.

· Логи передаются по сети в зашифрованном виде.

· Агенты абсолютно невидимы на компьютерах пользователей.

· Возможность отправки текстовых сообщений на компьютер пользователя.

II. ПРОЕКТНАЯ ЧАСТЬ

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; проводится федеральный закон о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Законодательные меры по защите информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц - пользователей и обслуживающего технического персонала - за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре информации.

Цель законодательных мер - предупреждение и сдерживание потенциальных нарушителей. [8]

Роль стандартов зафиксирована в основных понятиях закона Российской Федерации «О техническом регулировании» от 27 декабря 2002 года под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 года):

· стандарт - документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплоатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.

· стандартизация - деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции и повышение конкурентоспособности продукции, работ и услуг. [9]

Государственные (национальные) стандарты Российской Федерации.

Установление стандартов и нормативов в сфере обеспечения информационной безопасности Российской Федерации является наиболее важной регулирующей функцией.

Среди различных стандартов по безопасности информационных технологий, существующих в настоящее время в России, выделяют следующие нормативные документы по критериям оценки защищенности средств вычислительной техники и автоматизированных систем и документы, регулирующие информационную безопасность (таблица 7, строки 1 -- 10). К ним можно добавить нормативные документы по криптографической защите систем обработки информации и информационных технологий (таблица 7, строки 11 --13).

Таблица 7.

Российские стандарты, регулирующие информационную безопасность

№ п/п	Стандарт	Наименование
1	ГОСТ Р ИСО/МЭК 15408-1--2008	Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель
2	ГОСТ Р ИСО/МЭК 15408-2-2008	Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности
3	ГОСТ Р ИСО/МЭК 15408-3-2008	Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности
4	ГОСТ Р 50739-95	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
5	ГОСТ Р 50922-2006	Защита информации. Основные термины и определения
6	ГОСТ Р 51188-98	Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство
7	ГОСТ Р 51275-99	Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения
8	ГОСТ Р ИСО 7498-1-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель
9	ГОСТ Р ИСО 7498-2-99	Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
10	ГОСТ Р 50739-95	Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
11	ГОСТ 28147-89	Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
12	ГОСТ Р 34.10-2001	Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи
13	ГОСТ Р 34.11-94	Информационная технология. Криптографическая защита информации. Функция хэширования

Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности стал гарантией качества и надежности сертифицированных по нему программных продуктов. Стандарт ISO 15408--2002 позволил потребителям лучше ориентироваться при выборе программного обеспечения и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT-компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.

ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» действует в России с января 2004 г. и является аналогом стандарта ISO 15408. ГОСТ Р И СО/ МЭК 15408, называемый также «Общими критериями», является на сегодня самым полным стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования. Он направлен на защиту информации от несанкционированного раскрытия, модификации, полной или частичной потери и применимы к защитным мерам, реализуемым аппаратными, программно-аппаратными и программными средствами.

ГОСТ Р ИСО/МЭК 15408-2002 состоит из трех частей.

Часть 1 (ГОСТ Р ИСО/МЭК 15408-1 «Введение и общая модель») устанавливает общий подход к формированию требований безопасности и оценке безопасности. На их основе разрабатываются основные конструкции (профиль защиты и задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ.

Часть 2 (ГОСТ Р ИСО/МЭК 15408-2 «Функциональные требования безопасности») содержит универсальный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

Часть 3 (ГОСТ Р ИСО/МЭК 15408-3 «Требования доверия к безопасности») включает систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы информационных технологий для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.

Главные достоинства ГОСТ Р ИСО/МЭК 15408:

· полнота требований к И Б;

· гибкость в применении;

· открытость для последующего развития с учетом новейших достижений науки и техники.

Международные стандарты

ISO (Международная Организация по Стандартизации) и IEC (Международная Электротехническая Комиссия) формируют специализированную систему всемирной стандартизации. Государственные органы, являющиеся членами ISO или IEC, участвуют в разработке Международных Стандартов через технические комитеты, созданные соответствующей организацией для стандартизации отдельных областей технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях взаимных интересов. Другие международные организации, правительственные и не правительственные, совместно с ISO и IEC также принимают участие в этой работе. В области информационных технологий, ISO и IEC организован совместный технический комитет, ISO/IEC JTC 1. Основной задачей совместного технического комитета является подготовка Международных Стандартов. Проекты Международных Стандартов принятые совместным техническим комитетом передаются в государственные органы для голосования. Публикация в качестве Международного Стандарта требует одобрения не менее 75 процентов проголосовавших государственных органов. [18]

Можно выделить две существенно отличающиеся друг от друга группы стандартов и спецификаций:

· оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности;

· спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Оценочные стандарты описывают важнейшие, с точки зрения информационной безопасности, понятия и аспекты ИС, играя роль организационных и архитектурных спецификаций. Другие спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Первым оценочным стандартом, получившим международное признание и оказавшим исключительно сильное влияние на последующие разработки в области информационной безопасности, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем", известный (по цвету обложки) под названием "Оранжевая книга". В нем заложен понятийный базис информационной безопасности.

После "Оранжевой книги" была выпущена целая "Радужная серия". С концептуальной точки зрения, наиболее значимый документ в ней - "Интерпретация "Оранжевой книги" для сетевых конфигураций". Он состоит из двух частей. Первая содержит интерпретацию, во второй описываются сервисы безопасности, специфичные или особенно важные для сетевых конфигураций.

Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью -- Информационные технологии» является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799--1:1995 «Практические рекомендации по управлению информационной безопасностью» и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем.

Первая часть стандарта ISO/IEC 17799:2000 (BS 7799--1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

· необходимость обеспечения информационной безопасности;

· основные понятия и определения информационной безопасности;

· политика информационной безопасности компании;

· организация информационной безопасности на предприятии;

· классификация и управление корпоративными информационными ресурсами;

· кадровый менеджмент и информационная безопасность;

· физическая безопасность;

· администрирование безопасности КИС;

· управление доступом;

· требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;

· управление бизнес-процессами компании с точки зрения информационной безопасности;

· внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799--2:2000 «Спецификации систем управления информационной безопасностью», определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов -- British Standards Institution (BSI), изданные в 1995--2003 гг. в виде следующей серии:

· «Введение в проблему управления информационной безопасностью»;

· «Возможности сертификации на требования стандарта BS 7799»;

· «Руководство BS 7799 по оценке и управлению рисками»;

· «Руководство для проведения аудита на требования стандарта;

· «Практические рекомендации по управлению безопасностью информационных технологий».

Федеральный стандарт США FIPS 140-2 "Требования безопасности для криптографических модулей" - выполняет организующую функцию, описывая внешний интерфейс криптографического модуля, общие требования к подобным модулям и их окружению. Наличие такого стандарта упрощает разработку сервисов безопасности и профилей защиты для них.

Германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению вопросов управления информационной безопасностью компании.

...