Обеспечение безопасности конфиденциальной информации при взаимодействии абонентов с сетью Интернет в ООО "Инфотелеком"

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией.

Первое (и самое главное), что необходимо сделать для обеспечения сетевой безопасности, это установить и правильно сконфигурировать межсетевой экран (другое название - брандмауэр или firewall). Брандмауэр - в информатике - программный и/или аппаратный барьер между двумя сетями, позволяющий устанавливать только авторизованные межсетевые соединения. Брандмауэр защищает соединяемую с Интернет корпоративную сеть от проникновения извне и исключает возможность доступа к конфиденциальной информации. Правильное конфигурирование и сопровождение брандмауэра - обязанность опытного системного администратора.

Для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей лучше использовать Интернет-шлюзы или Интернет-маршрутизаторы Межсетевые экраны также осуществляют антивирусное сканирование загружаемого содержимого WEB или E-mail. Антивирусные базы данных обновляются через Интернет, чтобы обеспечить защиту сети по мере появления новых вирусов. Вся статистика о потоке данных, сигнализация об атаках из Интернета и сведения об активности пользователей по web-навигации сохраняются в реальном времени и могут быть предоставлены в виде отчета.

Межсетевые экраны также осуществляют антивирусное сканирование загружаемого содержимого WEB или E-mail. Антивирусные базы данных обновляются через Интернет, чтобы обеспечить защиту сети по мере появления новых вирусов.

Для защиты корпоративной сети обычно используется комплекс средств безопасности, реализующий основные механизмы и состоящий из нескольких подсистем, например:

1) Подсистема защиты рабочих станций и серверов от НСД.

2) Подсистема межсетевого экранирования, при необходимости, с выделением отдельной подсистемы защищенного доступа к ресурсам сети Интернет.

3) Подсистема криптографической защиты сетевого трафика.

4) Подсистема антивирусной защиты.

5) Подсистема анализа защищенности.

6) Подсистема обнаружения атак.

В соответствии с требованиями "Положения о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы" и руководящего документа ФСТЭК России "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)" конфиденциальная информация АС является объектом защиты.

Определение объектов защиты проводится на предпроектной стадии, на этапах проектирования и приемо-сдаточных испытаний АС, а также в ходе инвентаризации и доработок, аттестационных испытаний и других контрольных мероприятий, проводимых в процессе эксплуатации АС.

Категории конфиденциальной информации как объекта защиты устанавливаются до начала ее автоматизированной обработки с использованием документально оформленных перечней сведений, составляющих служебную тайну, иной конфиденциальной информации, подлежащей защите в соответствии с законодательством Российской Федерации. Эти перечни могут носить обобщающий характер в области деятельности организации или иметь отношение к какому-либо отдельному направлению работ, связанному с созданием АС. Все исполнители и, при необходимости, представители сторонних организаций, привлекаемых к проведению работ с использованием таких сведений, должны быть ознакомлены с этими перечнями под роспись в части, их касающейся.

При отсутствии в организации обобщенного перечня конфиденциальной информации допускается разработка специализированного перечня для конкретной ИСиР.

Для идентификации и кодирования конфиденциальной информации при ее автоматизированной обработке, в том числе в системах управления базами данных (СУБД), должен применяться "Классификатор конфиденциальной информации органов исполнительной власти и организаций города Москвы". Каждый реквизит таблицы базы данных (БД), предназначенной для хранения конфиденциальной информации, должен иметь уникальный идентификатор.

Государственный заказчик эксплуатации АС (далее - Госзаказчик) на основании настоящего Положения и других руководящих документов по информационной безопасности должен выполнить комплекс мероприятий по защите конфиденциальной информации соответствующей категории, исходя из требуемого уровня информационной безопасности объекта защиты, задаваемого на стадии создания АС.

В процессе автоматизированной обработки по завершении очередного установленного календарного периода (не менее года) эксплуатации Госзаказчик должен организовать определение текущего уровня защиты конфиденциальной информации в ИСиР в целях контроля его соответствия требуемому уровню.

В организации должны быть разработаны документы (трудовые договоры, соглашения), регулирующие отношения между организацией и ее работниками, сторонними организациями по порядку обращения с конфиденциальной информацией и ее обмена (приема-передачи).

Для должностных лиц организаций, использующих сведения конфиденциального характера, должны быть созданы необходимые условия для соблюдения установленного порядка обращения с такой информацией при ее автоматизированной обработке.

Для защиты в АС информации, составляющей служебную тайну, а также персональных данных от несанкционированного доступа, за исключением АРМ на базе автономных ПЭВМ, должны использоваться сертифицированные по требованиям безопасности информации программные (программно-аппаратные) средства защиты информации.

Для защиты информации, составляющей служебную тайну, а также для защиты персональных данных от утечки по техническим каналам рекомендуется использовать сертифицированные по требованиям безопасности информации средства вычислительной техники (СВТ) либо СВТ, удовлетворяющие требованиям стандарта по электромагнитной совместимости ГОСТ Р 51318.22-99 (СИСПР 22-97).

Для передачи информации по линиям связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные линии связи, в том числе волоконно-оптические линии связи, оборудованные средствами защиты информации, либо предназначенные для этого средства криптографической защиты информации (СКЗИ). Применяемые средства защиты информации должны быть сертифицированы.

Требования к классу криптографической защиты должны быть определены на предпроектной стадии разработки в соответствии с принятой моделью нарушителя и угроз и согласованы с Заказчиком (Пользователем) АС.

Накопители и носители информации на бумажной, магнитной (магнитно-оптической) и иной основе должны учитываться и храниться в установленном порядке.

Доступ пользователей к конфиденциальной информации осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации.

Организация эксплуатации АС и СЗИ в ее составе осуществляется в соответствии с установленным в учреждении (на предприятии) порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы безопасности.

Для обеспечения защиты информации в процессе эксплуатации АС рекомендуется предусматривать соблюдение следующих основных положений и требований:

1) допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска порядком;

2) на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;

3) в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;

4) по окончании обработки защищаемой информации или при передаче управления другому лицу пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти. Одним из способов стирания информации в оперативной памяти является перезагрузка ПЭВМ;

5) изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС;

6) при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

Раздел 3. Обеспечение безопасности конфиденциальной информации на предприятии ООО "Инфотелеком"

Фирма ООО "Инфотелеком" занимается предоставлением юридических услуг, специализирующихся в недвижимости, строительстве и судебных спорах. Имеет офис по адресу улица Народная дом 4, подъезд 2, офис 312 (этаж 3). Фирма предоставляет юридическое консультирование по жилищным вопросам такие как:

1) снятие с регистрационного учета и выселения;

2) расторжение и заключение договоров ренты;

3) договоры купли-продажи, дарения, обмена помещениями;

4) приватизация жилья;

5) консультация юриста по жилищным вопросам любых других видов.

В фирме работают 15 сотрудников: в кабинете с секретарями находиться генеральный директор, рядом с ними располагается кабинет серверной и IT- отдела. Напротив клиентского отдела находиться кабинет отдела юристов.

Кабинет бухгалтерии расположен рядом с отделом кадров. Офис фирмы состоит из 6 кабинетов, оборудованных персональными компьютерами. (см. Приложение 1)

Цель защиты предприятия ООО "Инфотелеком":

1) Защита персональных данных клиентов в сети Интернет.

2) Конфиденциальность данных о сделках (ограничение доступа к местам виртуального хранения документов).

3) Предотвращение несанкционированного доступа к информации.

4) Предотвращение нарушений прав субъектов при обработке информации.

5) Предупреждение последствий нарушения порядка доступа к информации.

6) Недопущение деструктивного информационного воздействия на информацию.

Наиболее существующими угрозами в ООО "Инфотелеком" являются:

1. Получение данных о системе защиты сети, навязывание ложной информации изменение или отключение программных решений, реализующих защиту сети.

2. НСД к ресурсам системы, ознакомление, искажение, уничтожение данных, которые обрабатываются в сети (троянский конь, IP-спуфинг, сниффинг).

3. Различного рода атаки: сетевая разведка, анализ уязвимости портов маршрутизатора, DoS.

Cуществует ряд способов борьбы с сетевыми угрозами на предприятии ООО "Инфотелеком":

• Ограничить работу с браузерами (Mozila Firefox, Google Chrome)

• Шифровать файлы пользователей

• Обновлять прошивку ADSL- модема

• Выполнить проверку и удаление вирусов со всех компьютеров

• Изменить логин и пароль для входа в роутер

• Блокировать доступ к нецелевым ресурсам Интернета

• Использовать на всех ПК надежный и популярный антивирус (см. Приложение 3)

Для минимизации угроз в сети на предприятии ООО "Инфотелеком", я предлагаю установить следующие типы средств защиты:

• Средства защиты от НСД

• Средства защиты от компьютерных вирусов

• Средства защиты от ЭЦП

• Средства защиты от компьютерных сетей

• Средства защиты от шифрования

В фирме ООО "Инфотелеком" используются программно-аппаратные и криптографические средства защиты.

Лаборатория Касперского - один из лидеров разработки антивирусного программного обеспечения. Множество продуктов, обеспечивающих разноуровневую защиту разных типов устройств (в том числе и мобильных), давно снискали почет и уважение среди большинства пользователей. Наиболее востребованной в этом списке по-прежнему является программа для полноценной защиты от вирусных атак под названием Kaspersky Internet Security. Приложение имеет богатый инструментарий для отражения вирусных атак: антиспам, антишпион, родительский контроль, технологии защиты от троянов, сетевы угроз и фишинг-атак. Антивирус автоматически собирает информацию о новейших угрозах, поэтому практически не оставляет шансов вновь возникающим вирусам атаковать ваш ПК.

Сетевой сканер "Ревизор сети" версия 2.0 является системой анализа программного и аппаратного обеспечения TCP/IP сетей, предназначен для использования администраторами и службами информационной безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP.

Secret Net 7.0 - Сертифицированное средство защиты информации от несанкционированного доступа на рабочих станциях и серверах, предназначено для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным. Данная программа установлена на всех компьютерах. Secret Net обеспечивает защиту конфиденциальной информации и осуществляет контроль и мониторинг при обработке персональных данных, повышая уровень автоматизации и сокращая административные затраты.

Межсетевой экран D-Link DFL -860E- аппаратный межсетевой экран с поддержкой VPN, который является экономически эффективным решением проблемы безопасности, обеспечивая полноценную защиту сети, высокую производительность и надежность. Данный межсетевой экран VPN является идеальной системой по обеспечению безопасности сетей уровня предприятия, предлагая надежную защиту от внешних вторжений, поддержку VPN (Virtual Private Network) и простоту управление. Межсетевой экран DFL-900 защищает сеть от атак Denial of Service (DoS) и обеспечивает стабильность работы сети посредством анализа содержимого пакетов (Stateful Packet Inspection, SPI). Устройство может обнаруживать атаки хакеров и отбрасывать вредоносные пакеты, предотвращая их проникновение в сеть.

Программно-аппаратный комплекс "Соболь" - средство защиты компьютера от несанкционированного доступа, обеспечивающее доверенную загрузку. "Соболь" может применяться для защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

ViPNet Client - это программный комплекс, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.

КриптоПро CSP 3.6 для UserGate 6.0 VPN GOST - средство криптографической защиты информации, реализующее российские криптографические алгоритмы разработанное в соответствии с интерфейсом Microsoft - Cryptographic Service Provider (CSP). Компания разработала полный спектр программных и аппаратных продуктов для обеспечения целостности, авторства и конфиденциальности информации с применением ЭЦП и шифрования для использования в различных средах (Windows, Unix, Java).

Рутокен ЭЦП 64КБ - это токен с аппаратной реализацией функций шифрования и электронной подписи. Это означает, что если ваши сертификаты хранятся на токене Рутокен ЭЦП, то в процессе шифрования или электронной подписи закрытый ключ не будет покидать токен. Это делает процесс электронной подписи максимально защищенным.

Аппаратно - программный комплекс шифрования "Континент" 3.6 является средством межсетевого экранирования и построения отказоустойчивых виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP.

"Блокхост-ЭЦП" 2.0 представляет собой систему для создания и шифрования электронной цифровой подписи. Программа осуществляет операции шифрования и создания электронной подписи (аналогичной собственноручной подписи человека в электронном виде) на базе ОС Windows, с помощью сертифицированного криптопровайдера "КриптоПро CSP".

Расчет затрат

На программно-аппаратные средства защиты потрачено 728755 рублей, а на криптографические средства защиты потрачено 331015 рублей.

Заключение

В ходе своей работы с целью был решён ряд практических вопросов:

1) Изучено действующие законодательство РФ.

2) Раскрыто понятие конфиденциальной информации.

3) Рассмотрены угрозы в сети Интернет.

4) Рассмотрены методы защиты от НСД по сети.

5) Рассмотрены способы защиты от вредоносных программ.

6) Определено экономическое обоснование выбора средств защиты.

Реализация предложенных способом защиты информации на ООО "Инфотелеком" предположено внедрение СЗИ на сумму 1059770 руб.

Таким образом, цель моей работы достигнута.

Список используемой литературы

1. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

2. Учебный Центр "Информзащита" Курс БТ 01. Безопасность информационных технологий, 2013.

3. Кирьянов В.В., Стефаненко П.В., Щербов И.Л., Якушина А.Е. Управление информационной безопасностью в распределенной информационно-телекоммуникационной системе предприятия, 2013.

4. http HYPERLINK "http://www.iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/polozhenie-o-poryadke-organizacii-i-provedeniya-rabot-po-zaschite-konfidencialnoi-informacii-pri-ee-avtomatizirovannoi-obrabotke":// HYPERLINK "http://www.iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/polozhenie-o-poryadke-organizacii-i-provedeniya-rabot-po-zaschite-konfidencialnoi-informacii-pri-ee-avtomatizirovannoi-obrabotke"www HYPERLINK "http://www.iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/polozhenie-o-poryadke-organizacii-i-provedeniya-rabot-po-zaschite-konfidencialnoi-informacii-pri-ee-avtomatizirovannoi-obrabotke". HYPERLINK "http://www.iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/polozhenie-o-poryadke-organizacii-i-provedeniya-rabot-po-zaschite-konfidencialnoi-informacii-pri-ee-avtomatizirovannoi-obrabotke"iso HYPERLINK "http://www.iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/polozhenie-o-poryadke-organizacii-i-provedeniya-rabot-po-zaschite-konfidencialnoi-informacii-pri-ee-avtomatizirovannoi-obrabotke"27000. HYPERLINK "http://www.iso27000.ru/zakonodatelstvo/dokumenty-pravitelstva-moskvy-v-oblasti-informacionnoi-bezopasnosti/polozhenie-o-poryadke-organizacii-i-provedeniya-rabot-po-zaschite-konfidencialnoi-informacii-pri-ee-avtomatizirovannoi-obrabotke"ru - Положение о порядке организации и проведения работ по защите конфиденциальной информации при ее автоматизированной обработке

5. http HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm":// HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"inftis HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm". HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"narod HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm". HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"ru HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"/ HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"adm HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"/ HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"ais HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"- HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"n HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"3. HYPERLINK "http://inftis.narod.ru/adm/ais-n3.htm"htm - Сеть Интернет

6. http HYPERLINK "http://safe-surf.ru/users-of/article/212/":// HYPERLINK "http://safe-surf.ru/users-of/article/212/"safe HYPERLINK "http://safe-surf.ru/users-of/article/212/"- HYPERLINK "http://safe-surf.ru/users-of/article/212/"surf HYPERLINK "http://safe-surf.ru/users-of/article/212/". HYPERLINK "http://safe-surf.ru/users-of/article/212/"ru HYPERLINK "http://safe-surf.ru/users-of/article/212/"/ HYPERLINK "http://safe-surf.ru/users-of/article/212/"users HYPERLINK "http://safe-surf.ru/users-of/article/212/"- HYPERLINK "http://safe-surf.ru/users-of/article/212/"of HYPERLINK "http://safe-surf.ru/users-of/article/212/"/ HYPERLINK "http://safe-surf.ru/users-of/article/212/"article HYPERLINK "http://safe-surf.ru/users-of/article/212/"/212/ - Угрозы в сети Интернет

7. http://life-prog.ru/1_4505_sredstva-zashchiti-konfidentsialnoy-informatsii.html

8. http://www.profiz.ru/sr/4_2008/normativnaya_baza_raboty/

Приложение 1.

План помещения предприятия

Приложение 2.

Схема локальной сети на предприятии

Приложение 3.

Схема способов борьбы с сетевыми угрозами на предприятии

Приложение 4.

Схема DDoS- атаки

Размещено на Allbest.ru