Информационная безопасность компании

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Курсовая работа

по дисциплине «Информационные ресурсы и технологии в экономике и менеджменте»

На тему: «Информационная безопасность компании»



Оглавление

Введение

Глава 1. Методы защиты информации

1.1 Разделение угрозы безопасности информационных систем на виды

1.2 Методы и средства защиты информации (конкретизация)

Глава 2. Комплексный подход к понятию «Информационная безопасность»

2.1 Этап анализа и оценки информационной безопасности компании

2.2 Этап внедрения системы обеспечения информационной безопасности

2.3 Этап поддержки

Глава 3. Подробное описание методов информационной безопасности

3.1 Использование межсетевого экрана для обеспечения ИБ

3.2 Защита электронной почты

3.3 Антивирусная защита

3.4 Настройка компьютеров пользователей

3.5 Использование Proxy-сервера

Заключение

Источники



Введение

Обеспечение информационной безопасности Российской Федерации является одной из ключевых задач формирования информационного общества. Её решение предполагает обеспечение информационной безопасности граждан в условиях информационного окружения, а также самой информационной инфраструктуры, чему посвящена отдельная подпрограмма «Безопасность в информационном обществе» Государственной программы Российской Федерации «Информационное общество (2011 - 2020 годы)», утвержденной распоряжением Правительства Российской Федерации от 20 октября 2010 г. № 1815-р.

Основными задачами подпрограммы «Безопасность в информационном обществе» являются:

- обеспечение контроля и надзора, разрешительной и регистрационной деятельности в сфере связи, информационных технологий и массовых коммуникаций;

- обеспечение безопасности функционирования информационных и телекоммуникационных систем;

- развитие технологий защиты информации, обеспечивающих неприкосновенность частной жизни, личной и семейной тайны, безопасность информации ограниченного доступа;

- противодействие распространению идеологии терроризма, экстремизма, пропаганды насилия.

Формирование информационного общества в целом не видится возможным без формирования культуры обеспечения безопасности в информационном пространстве как у пользователей, так и у владельцев информационных систем и ресурсов. Подготовленный теоретически гражданин с минимальными практическими навыками владения инструментами информационной безопасности в разы менее уязвим при возникновении угроз в отношении него или в отношении принадлежащих ему систем.

Минкомсвязь России наряду с другими ведомствами осуществляет функции по выработке и реализации государственной политики по данному направлению.

Государственная политика в области информационной безопасности охватывает государственные информационные системы и информационно-коммуникационные сети, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти, а также в целях предоставления информационных и государственных услуг гражданам (т.н. информационные системы общего пользования).

Система государственного регулирования в области информационной безопасности в качестве важнейшего компонента включает в себя организационно-техническое обеспечение устойчивого и безопасного функционирования информационных систем общего пользования, предусматривающее совокупность требований и мероприятий, направленных на поддержание:

1) целостности информационной системы общего пользования как способности взаимодействия входящих в ее состав компонентов при котором становится возможным выполнение функций по обработке информации;

2) устойчивости функционирования информационной системы общего пользования как ее способности сохранять свою целостность и возвращаться в исходное состояние при отказе части компонентов системы, а также в условиях внутренних и внешних деструктивных информационных воздействий;

3) безопасности информационной системы общего пользования как ее способности противостоять попыткам несанкционированного доступа к техническим и программным средствам системы и преднамеренным дестабилизирующим внутренним или внешним информационным воздействиям, следствием которых могут быть нежелательное состояние системы или ее неправильное функционирование.

Министерство уполномочено утверждать требования по информационной безопасности информационных систем, в том числе информационных систем персональных данных (за исключением информационных систем критически важных объектов), информационно-телекоммуникационных сетей и других сетей связи, требования к формату данных в государственных информационных системах, акты по вопросам обеспечения контроля и надзора в установленной сфере ведения, а также требования к сетям и средствам связи для проведения оперативно-разыскных мероприятий по согласованию с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность.

В соответствии с поручениями Правительства Российской Федерации Минкомсвязь России, совместно с ФСБ России, ФСО России, МВД России, ФСТЭК России и другими органами власти принимает участие в реализации задачи обеспечения информационной безопасности Российской Федерации, в том числе в подготовке проектов федеральных законов, нормативных правовых актов Президента Российской Федерации, Правительства Российской Федерации, а также иных.

Общая государственная политика в сфере обеспечения информационной безопасности Российской Федерации формируется при участии и с учетом позиции Минкомсвязи России.



Глава 1. Методы защиты информации

1.1 Разделение угрозы безопасности информационных систем на виды

Если взять модель, описывающую любую управляемую информационную систему, можно предположить, что возмущающее воздействие на нее может быть случайным. Именно поэтому, рассматривая угрозы безопасности информационных систем, следует сразу выделить преднамеренные и случайные возмущающие воздействия.

Комплекс защиты информации (курсовая защита информации) может быть выведен из строя, например из-за дефектов аппаратных средств. Также вопросы защиты информации встают ребром благодаря неверным действиям персонала, имеющего непосредственный доступ к базам данных, что влечет за собой снижение эффективности защиты информации при любых других благоприятных условиях проведения мероприятия по защите информации. Кроме этого в программном обеспечении могут возникать непреднамеренные ошибки и другие сбои информационной системы. Все это негативно влияет на эффективность защиты информации любого вида информационной безопасности, который существует и используется в информационных системах.

В этом разделе рассматривается умышленная угроза защиты информации, которая отличается от случайной угрозы защиты информации тем, что злоумышленник нацелен на нанесение ущерба системе и ее пользователям, и зачастую угрозы безопасности информационных систем - это не что иное, как попытки получения личной выгоды от владения конфиденциальной информацией.

Защита информации от компьютерных вирусов (защита информации в информационных системах) предполагает средства защиты информации в сети, а точнее программно аппаратные средства защиты информации, которые предотвращают несанкционированное выполнение вредоносных программ, пытающихся завладеть данными и выслать их злоумышленнику, либо уничтожить информацию базы данных, но защита информации от компьютерных вирусов неспособна в полной мере отразить атаку хакера или человека, именуемого компьютерным пиратом.

Задача защиты информации и защиты информации от компьютерных вирусов заключается в том, чтобы усложнить или сделать невозможным проникновение, как вирсов, так и хакера к секретным данным, ради чего взломщики в своих противоправных действиях ищут наиболее достоверный источник секретных данных. А так как хакеры пытаются получить максимум достоверных секретных данных с минимальными затратами, то задачи защиты информации - стремление запутать злоумышленника: служба защиты информации предоставляет ему неверные данные, защита компьютерной информации пытается максимально изолировать базу данных от внешнего несанкционированного вмешательства и т.д.

Защита компьютерной информации для взломщика - это те мероприятия по защите информации, которые необходимо обойти для получения доступа к сведениям. Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации (диплом «защита информации») пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.

Публикации последних лет говорят о том, что техника защиты информации не успевает развиваться за числом злоупотреблений полномочиями, и техника защиты информации всегда отстает в своем развитии от технологий, которыми пользуются взломщики для того, чтобы завладеть чужой тайной.

Существуют документы по защите информации, описывающие циркулирующую в информационной системе и передаваемую по связевым каналам информацию, но документы по защите информации непрерывно дополняются и совершенствуются, хотя и уже после того, как злоумышленники совершают все более технологичные прорывы модели защиты информации, какой бы сложной она не была.

Сегодня для реализации эффективного мероприятия по защите информации требуется не только разработка средства защиты информации в сети и разработка механизмов модели защиты информации, а реализация системного подхода или комплекса защиты информации - это комплекс взаимосвязанных мер, описываемый определением «защита информации». Данный комплекс защиты информации, как правило, использует специальные технические и программные средства для организации мероприятий защиты экономической информации.

Кроме того, модели защиты информации предусматривают ГОСТ «Защита информации», который содержит нормативно-правовые акты и морально-этические меры защиты информации и противодействие атакам извне. ГОСТ «Защита информации» нормирует определение защиты информации рядом комплексных мер защиты информации, которые проистекают из комплексных действий злоумышленников, пытающихся любыми силами завладеть секретными сведениями. И сегодня можно смело утверждать, что постепенно ГОСТ (защита информации) и определение защиты информации рождают современную технологию защиты информации в сетях компьютерных информационных системах и сетях передачи данных, как диплом «защита информации».

1.2 Методы и средства защиты информации

· Безопасность информационных технологий, основанная на ограничении физического доступа к объектам защиты информации с помощью режимных мер и методов информационной безопасности;

· Информационная безопасность организации и управление информационной безопасностью опирается на разграничение доступа к объектам защиты информации - это установка правил разграничения доступа органами защиты информации, шифрование информации для ее хранения и передачи (криптографические методы защиты информации, программные средства защиты информации и защита информации в сетях);

· Информационная защита должна обязательно обеспечить регулярное резервное копирование наиболее важных массивов данных и надлежащее их хранение ( физическая защита информации );

· Органы защиты информации должны обеспечивать профилактику заражение компьютерными вирусами объекта защиты информации.



Глава 2.Комплексный подход к понятию «Информационная безопасность»

2.1 Этап анализа и оценки информационной безопасности компании

На этом этапе предполагается:

· Проведение аудита и выявление уязвимых мест информационной системы организации.

· Разработка концепции информационной безопасности организации.

· Внедрение и централизованное управление политикой безопасности и информационными рисками в организации.

2.2 Этап внедрения системы обеспечения информационной безопасности

На этапе внедрения предполагаются следующие решения:

· Защищенный доступ в Интернет.

· Защита от утечек данных.

· Защита от инсайдеров.

· Защита корпоративного интернет-портала и сайта e-Commerce.

· Подсистема антивирусной защиты и защиты от спама.

· Решение для сокрытия и защиты конфиденциальной информации от несакционированного доступа.

· Защищенное взаимодействие с мобильными сотрудниками, находящимися вне офиса.

· Защищенный доступ партнеров к корпоративным ресурсам.

· Защищенное взаимодействие с клиентами.

· Защита и шифрование корпоративной почты.

· Защита беспроводных сетей.

· Защита IP-телефонии.

· Обнаружение и предотвращение вторжений и сетевых атак на информационные и сетевые ресурсы предприятия.

· Сертификаты и ЭЦП на предприятии.

· Решение для расширенной («строгой») аутентификации пользователей в сети. Смарт-карты.

2.3 Этап поддержки

Эффективное управление информационной безопасностью организации после внедрения ИБ-системы невозможно представить без соответствующей технической поддержки решений и своевременного постпроектного консалтинга, поэтому в рамках этапа поддержки мы предлагаем:

· Система мониторинга и составления отчетности пользования информационными ресурсами в организации

· Техническая поддержка и сопровождение систем информационной безопасности

· Обучение специалистов заказчика



Глава 3. Подробное описание методов информационной безопасности

3.1 Использование межсетевого экрана для обеспечения ИБ

Одним из наиболее эффективных методов защиты сети предприятия от внешних угроз является использование межсетевого экрана - программного или аппаратного маршрутизатора, совмещённого с firewall (особой системой, осуществляющей фильтрацию пакетов данных).

Ни для кого не секрет, что данные в сети, будь то локальная сеть или Интернет, передаются относительно небольшими пакетами. Каждый пакет несёт в себе признак используемого протокола, адреса источника и приёмника, а так же номера соответствующих портов. Последние - это числа, по которым операционная система распознаёт, какое приложение получит конкретный пакет данных. Например, при загрузке страницы с сервера http://ya.ru/ интернет-браузер получает данные с веб-сайта по протоколу HTTP. При этом обмен данными между компьютером и сервером происходит по более низкоуровнему протоколу TCP/IP, а пересылаемые от сервера к компьютеру пакеты данных имеют номер порта приёмника, скажем, 1121, а номер порта источника - всегда 80. Конечно, в реальной сети идёт постоянный обмен данными, и взаимодействие компьютеров всегда намного сложнее, однако этот простой пример доказывает, что если даже для несведущего человека вполне ясно, откуда и куда идёт выбранный пакет данных, то человек искушённый извлечёт из него куда больше информации. По этой причине нельзя позволять пакетам, курсирующим в локальной сети, попадать в Интернет. Также нельзя разрешать некоторым пакетам из Интернета попадать в локальную сеть предприятия.

На каждом предприятии доступ компьютеров в Интернет по локальной сети обеспечивается с помощью отдельно стоящего компьютера (его ещё называют сервером доступа). Иногда это специализированный компьютер, но чаще всего обычный, расположенный близко к устройству, обеспечивающему выход в Глобальную сеть (например, модему). К сожалению, стандартные средства операционных систем не позволяют вести гибкую настройку маршрутизации и фильтрования пакетов, поэтому на таком компьютере следует разместить специальное ПО: маршрутизатор и firewall. Это ПО не так дорого, но если имеется возможность поставить специализированное оборудование, например фирмы Cisco, то этим не следует пренебрегать: подобные аппаратные маршрутизаторы отличаются большей надёжностью.

Настройка ПО гораздо проще конфигурирования специализированного оборудования и может быть выполнена системным администратором средней квалификации. При этом следует запретить трансляцию пакетов, содержащих адрес приёмника в диапазоне адресов локальной сети предприятия или равный широковещательному адресу, в Интернете. Также следует запретить трансляцию пакетов, не содержащих адреса локальной сети предприятия, из Интернета в локальную сеть. Это позволит оградить сеть предприятия от прослушивания извне, а также минимизировать возможности для передачи в локальную сеть враждебных пакетов. Время работы маршрутизатора, когда осуществляется трансляция пакетов, следует выбрать равным времени работы организации плюс небольшой временной резерв для задерживающихся в офисе или пришедших раньше времени сотрудников.

Настройка firewall потребует более серьёзного подхода, но также не должна вызвать затруднений: следует разрешить обмен данными с Интернетом только по тем протоколам, которые реально используются на предприятии. Например, это могут быть протоколы HTTP, HTTPS, SMTP, POP3, DNS, ICQ и т.д. Попытка обмена данными по неразрешённым протоколам должна блокироваться firewall и записываться им в журнал. Особо следует отметить, что требуется обязательно запретить обмен пакетами NETBIOS с Интернетом, так как этот протокол очень слабо защищён от взлома.

Собственно говоря, межсетевой экран готов: он не пропускает наружу внутренние пакеты локальной сети предприятия и блокирует доступ к ней чужих компьютеров.

Практика показывает, что при определённой сноровке системного администратора, межсетевой экран может быть введён в эксплуатацию в течение рабочего дня.

Также необходимо отметить, что при вводе межсетевого экрана в эксплуатацию следует сначала испытать его на одном компьютере, чтобы проверить настройки и уровень обеспечения безопасности с помощью, скажем, специализированных сайтов вроде http://www.auditmypc.com/firewall-test.asp

3.2 Защита электронной почты

Следует уделить особое внимание защите электронной почты, так как вредоносные программы часто рассылают сами себя ничего не подозревающим пользователям.

Обязательно следует поставить антивирус на корпоративный сервер электронной почты. При выборе антивирусного пакета нужно руководствоваться следующими принципами:

- антивирус должен уметь переименовывать исполняемые файлы (в которых не найдено вируса), делая невозможным их автоматический запуск пользователем, например, файл с именем «picture.jpg.exe»будет переименован в файл с именем «picture.jpg.exe.tmp», что сделает невозможным запуск его пользователем без сохранения на диск и переименования;

- антивирус должен уметь проверять архивированные файлы;

- антивирус должен уметь проверять HTML-код на предмет вредоносных сценариев и приложений Java, а также вредоносных ActiveX-компонентов. безопасность информационный компьютер межсетевой

Далее необходимо установить пользователям e-mail-клиент, который не умеет показывать вложенные в письма HTML-страницы (например, Thunderbird). Таких совершенно бесплатных программ для просмотра электронной почты найдётся более десятка. Эта не всегда популярная у пользователей мера требует пояснения: дело в том, что существует целый класс вредоносных программ, именуемых «червями», которые распространяются, заражая компьютеры пользователей, часто посредством вложенного в письмо кода. Подменяя стандартное сообщение e-mail-клиента о том, следует ли запустить вложенное в письмо приложение, с помощью встроенного в HTML-код сценария с каким-нибудь безобидным на первый взгляд текстом вроде «Показать страницу ?», они принуждают пользователя разрешить выполнение вредоносной программы. Конечно, мы защитили антивирусом свой корпоративный сервер, но пользователи могут ходить на незащищённые серверы электронной почты, а запрещать им это не всегда разумно. Установив же e-mail-клиент, который не способен выполнить вредоносную программу, мы немного повысим уровень безопасности.

Также можно поставить транзитный сервер, который будет фильтровать весь проходящий через него трафик электронной почты с помощью антивируса, но это потребует гораздо больших материальных и временных затрат.

3.3 Антивирусная защита

Как уже упоминалось, на корпоративный сервер электронной почты необходимо установить антивирусное ПО. Также стоит установить антивирус на файловый сервер организации и осуществлять проверку его содержимого каждые сутки, например, в 0:00 часов, когда эта проверка не помешает нормальной работе пользователей.

На компьютеры пользователей следует установить антивирусное ПО, которое будет непрерывно проверять все загружаемые файлы. Это позволит избежать заражения компьютеров пользователей известными вирусами. Хорошим выбором в этом случае будет бесплатная система, например AVG. Однако обновляется она исключительно с сайта компании-разработчика, а если 50 компьютеров одновременно будут загружать обновления с сайта, то сеть предприятия может оказаться перегруженной. Поэтому требуется принять определённый способ обновления антивирусного ПО: либо это будет последовательное обновление с каждого компьютера (настраивается временем запуска обновления), либо обновление с корпоративного сервера (что требует определённой ежедневной работы системного администратора).

3.4 Настройка компьютеров пользователей

Одной из базовых составляющих ИБ предприятия является настройка и компоновка определённым ПОкомпьютеров пользователей. Поскольку в подавляющем большинстве случаев на локальном рабочем месте установлена ОС Windows, то рассмотрим настройки и ПО применительно к данному виду ОС.

- Разделить пользователей на тех, кто имеет доступ к компьютеру на уровне администратора (например, сам системный администратор), и тех, кто имеет доступ только уровня пользователя, и соответствующим образом настроить учётные записи. Это позволит избежать потерь времени на восстановление системы в случае, если пользователь по ошибке совершил действие, приводящее к выводу из строя ОС.

-Запретить работу удалённого рабочего стола и удалённое администрирование. Вместо этого лучше установить систему удалённого управления, имеющую более высокий уровень защиты, например RemoteAdmin.

-Установить E-mail-клиент, блокирующий HTML-вложения, и антивирус.

- Установить интернет-браузер, либо дополнения к браузеру, либо специализированное ПО, например AdAware, которые будут блокировать попытки вредоносных сценариев установить на компьютер ненужное ПО при просмотре заражённых страниц.

- Установить локальный firewall, например AgnitumOutpostFirewallPro, и настроить его так, чтобы разрешить доступ к сети только определённым приложениям. Следует особо отметить, что с помощью межсетевого экрана невозможно запретить доступ к сети определённых приложений, так как ПОмежсетевого экрана не может определить приложение, желающее получить доступ к ней. Проще говоря, он имеет дело с уже выпущенными в сеть пакетами. Задача же локального firewallв данном случае - не допустить работы с ней несанкционированных приложений.

Например, в 2006 году случилась повальная эпидемия - массовые заражения «червем», реализовавшим атаку на одно из уязвимых мест Windows- на 445 порт. Этот «червь» рассылал исполняемый код по сети на все компьютеры в зоне досягаемости, заражал их и рассылал свой код дальше. Однако в теле червя имелась ошибка, которая приводила к перезагрузке компьютера после успешной репликации (рассылке) червя на другие компьютеры. Отсутствие локального firewallна компьютерах приводило к тому, что через несколько минут все компьютеры предприятия синхронно перезагружались, не давая войти в пользовательский сеанс и запустить антивирусное ПО. Загруженное в защищённом режиме антивирусное ПО удаляло червя, но при последующей перезагрузке происходило повторное заражение, и процесс повторялся. Глобальные firewall провайдеров и межсетевые экраны не могли обезопасить локальные компьютеры пользователей. В итоге деятельность целых предприятий была парализована на целый день.

- Настройки локальногоfirewall следует защитить паролем.

Также стоит отметить, что штатный брандмауэр Windows обеспечивает весьма слабую защиту, так как его настройки могут бытьизменены вредоносным ПО без ведома пользователя.

- После завершения настройки компьютера пользователя необходимо создать точку восстановления системы на случай сбоя.

3.5 Использование Proxy-сервера

В некоторых случаях имеет смысл установить корпоративный Proxy-сервер с доступом к ресурсам Интернета по паролю. Во-первых, это позволит незначительно сократить интернет-трафик, так как дублирующаяся информация будет кэширована Proxy-сервером. Во-вторых, это позволит скрыть от посторонних глаз внутренние имена и адреса компьютеров, так как Proxy-сервер осуществляет выборку веб-страниц от своего имени, рассылая затем информацию потребителям внутри предприятия по списку. И в-третьих, это позволит выявлять нарушителей, подключившихся к сети предприятия с целью получения доступа в Интернет.

Отдельные организации пытаются с помощью Proxy-сервера ограничивать доступ сотрудников к Internet, но это нельзя считать хорошей практикой, так как нанесённый деятельности предприятия вред и потраченное системным администратором или сотрудниками лишнее время могут перевесить выгоды от такой экономии.



Заключение

Описанные способы обеспечения информационной безопасности предприятия являются малозатратными и достаточно эффективными, чтобы обезопасить предприятие от множества угроз информационной безопасности как извне, так и изнутри. Хотя существуют и другие способы, вроде тотальной слежки за сотрудниками, их эффективность значительно ниже и не попадает под категорию простых средств. Кроме того, не стоит забывать, что обеспечение информационной безопасности не должно наносить вред деятельности предприятия или создавать помехи для работы сотрудникам, ведь в конечном счёте любые бизнес-процессы предприятия должны быть направлены на обеспечение основной деятельности, а не вспомогательных служб.



Источники

1. www.ab-solutions.ru;

2. www.connect.ru;

3.services.softline.ru;

4.www.itsec.ru;

5.www.arinteg.ru;

6.arhidelo.ru;

7.www.compress.ru;

8.vipforum.ru;

9.minsvyaz.ru;

10.www.tsarev.biz;

11.searchinform.ru;

12.www.securrity.ru

Размещено на Allbest.ru

...