Разработка проекта модернизации системы защиты информации бухгалтерии предприятия ООО "Завод "Калининградгазавтоматика""

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Введение

Информация является одним из ценнейших ресурсов, от которого зависит успешность функционирования предприятия. Как и любой другой актив, информация, составляющая ценность для экономической стабильности организации, подвержена различного рода угрозам, которые могут негативно повлиять не только на успешность функционирования, но и на само существование предприятия, в связи с чем, актуальность проблемы ее защиты стоит особенно остро.

Информационная безопасность должна обеспечиваться комплексом принимаемых мер, объединенных в целостную систему. Система защиты информации должна охватывать все потенциальные каналы реализации угроз. Не следует отдавать предпочтение одному аспекту безопасности в ущерб другому.

Угроза информации предполагает нарушение ее целостности, конфиденциальности и доступности. Угрозы информации разделяют на две группы в зависимости от локализации злоумышленника: внешние и внутренние. К внешним угрозам можно отнести несанкционированное воздействие извне с целью кражи, изменения или уничтожения информационных ресурсов. Внутренние угрозы предполагают преднамеренное или непреднамеренное нарушение сотрудниками предприятия установленной политики безопасности, которое повлекло за собой нанесение ущерба интересам предприятия.

Информационная безопасность заключается в обеспечении системы всеми условиями для ее нормального функционирования, которое включает в себя три основополагающих компонента: целостность, конфиденциальность и доступность.

- целостность - невозможность искажения или уничтожения информационных ресурсов;

- конфиденциальность - невозможность утечки или кражи информации;

- доступность - обеспечение бесперебойного доступа к ресурсам субъектов, обладающих соответствующими привилегиями.

Источники угроз безопасности информационных ресурсом классифицируются следующим образом:

- антропогенные - воздействие на информацию посредством случайных или преднамеренных действий субъектов;

- техногенные - отказ или сбой в функционировании технических ресурсов вследствие использования устаревших программных и аппаратных средств или ошибок в программном обеспечении;

- стихийные - стихийные бедствия, природные катаклизмы или иные форс-мажорные обстоятельства.

В свою очередь антропогенные источники угроз можно классифицировать по:

- локализации злоумышленника - на внутренние (воздействие на информацию со стороны персонала предприятия) и внешние (несанкционированный доступ к ресурсам предприятия извне);

- наличию злого умысла - на непреднамеренные (случайные) и преднамеренные (со злым умыслом).

В зависимости от различных факторов существует множество методов реализации несанкционированного доступа к информационным ресурсам предприятия:

перехват информации в незащищенных каналах связи;

модификация информации с целью ее искажения или подмены сфальсифицированной;

подмена авторства сообщения с целью дискредитации отправителя;

эксплуатация различного рода уязвимостей операционных систем и программного обеспечения;

несанкционированное копирование информации с электронных носителей;

обеспечение несанкционированного доступа к физическим каналам связи и аппаратному обеспечению;

внедрение в информационную систему вредоносного программного обеспечения.

При комплексном подходе к вопросу организации обеспечения информационной безопасности в информационную систему внедряют организационно-правовые меры, программно-аппаратные и физические средства защиты информации, объединенные в целостную систему.

Также при проектировании системы защиты информации необходимо соблюдать баланс между защищенностью информационных ресурсов и удобством их использования, между материальными затратами на проектирование, разработку, внедрение и эксплуатацию системы защиты и потенциальными убытками от реализации угроз.

Технические средства защиты информации классифицируются следующим образом:

- средства защиты информации от несанкционированного доступа;

- средства защиты компьютерных сетей;

- средства криптографической защиты информации;

- средства антивирусной защиты.

Дипломный проект посвящен разработке проекта модернизации системы защиты информации бухгалтерии предприятия ООО Завод «Калининградгазавтоматика», которое является одним из ведущих производителей оборудования для газодобывающей отрасли.

1. Исследование объекта защиты

1.1 Описание деятельности предприятия и его организационная структура

ООО Завод «Калининградгазавтоматика» является разработчиком, производителем и поставщиком оборудования для газодобывающей промышленности, в частности, крупнейшим заказчиком предприятия является ОАО «Газпром».

Днем основания Завода Калининградгазавтоматика стало 29 декабря 1960 года, когда приказом Главгазом СССР и СКБ «Газприборавтоматика» была создана дирекция строительства Калининградского экспериментального завода.

Завод строился на территории разрушенного во время войны мукомольного производства. Уже в начале 1962 года вступила в строй первая очередь завода в составе механосборочного и электромонтажного цехов. В то же время была выпущена первая заводская продукция - 500 узлов для дистанционного управления шаровыми кранами с диспетчерского пульта на компрессорных и газораспределительных станциях ЭПУУ-2.

После успешного выполнения первого заказа Завод начал выпуск различной запорно-регулирующей аппаратуры, приборов и средств агрегатной автоматики и телемеханики для объектов добычи и транспортировки природного газа.

В середине 60-х Завод освоил производство клапана-регулятора «Балтика», горелок инфракрасного излучения, средств автоматизации цехов вспомогательных служб, систем телемеханики «Тема-69», «ТРДС-64» и агрегатной автоматики «Эра», «Электра», «Агат», «Рубин-1» и «Вега-1».

25 января 1973 года Калининградский экспериментальный завод «Газприборавтоматика» переименовывается в Калининградский экспериментальный завод ВНПО «Союзгазавтоматика». Десятки наименований изделий, созданных на предприятии по разработкам конструкторов московского СКБ, его Калининградского филиала и специалистов харьковского института НИПИАСУтрансгаз, направлялись на объекты отрасли. Широкую известность среди газовиков получили изготовленные на заводе комплексы централизованного контроля и автоматизации работы компрессорных и газораспределительных станций. Они успешно зарекомендовали себя на крупнейших газотранспортных магистралях Уренгой - Петровск, Уренгой - Новопсков, Уренгой - Центр, Ямбург - Елец.

В середине 70-х годов по заданию Мингазпрома Калининградским филиалом СКБ и нашим заводом были разработаны и изготовлены специализированные тренажеры для подготовки и повышения квалификации специалистов газовой промышленности. Эти тренажеры получили высокую оценку Мингазпрома и стали активно использоваться в учебных центрах газовой промышленности.

7 января 1983 года Калининградскому экспериментальному заводу ВНПО «Союзгазавтоматика» присвоено имя 60-летия Союза ССР.

В марте 1994 года Завод был реорганизован и переименован в фирму «Калининградгазавтоматика», а СКБ стало самостоятельной организацией ООО фирма «Калининградгазприборавтоматика». А 4 сентября 1998 года фирма «Калининградгазавтоматика» была преобразована в ООО Завод «Калининградгазавтоматика».

Сегодня ООО Завод «Калининградгазавтоматика» разрабатывает, производит и внедряет на объекты газовой, нефтяной и других отраслей промышленности распределительное и взрывозащищенное электрооборудование, системы автоматики и оборудование для КИПиА.

ООО Завод «Калининградгазавтоматика» это стабильное и динамично развивающееся предприятие Калининградской области, выпускающее высокотехнологичную продукцию:

^- ячейки КРУ 6-10 кВ с элегазовыми и вакуумными выключателями;

^- шкафы НКУ до 1000 В;

^- комплектные трансформаторные подстанции внутренней установки;

^- системы гарантированного электропитания;

^- шкафная продукция;

^- щиты и пульты автоматики;

^- взрывозащищенное оборудование (коробки соединительные, коробки управления, контроля и сигнализации);

^- светотехническое оборудование;

^- узлы управления кранами (ЭПУУ);

^- вставки диэлектрические ВДГ;

^- унифицированные блоки наборных зажимов УБНЗ;

^- выключатели ВКЭ;

^- указатели конечного положения УКП.

Гарантией качества выпускаемой продукции является разработанная, внедренная и сертифицированная фирмой TUV CERT (Германия) интегрированная система менеджмента, объединяющая в себе три системы менеджмента:

качества, согласно ISO 9001:2008;

окружающей среды, согласно ISO 14001:2004;

охраны здоровья и безопасности труда, согласно OHSAS 18001:2007.

Благодаря высокому качеству и надежности выпускаемого оборудования, а также безупречной работе на протяжении многих лет, завод завоевал себе репутацию надежного поставщика энергетического оборудования на российском рынке. Наше оборудование успешно эксплуатируется на объектах ведущих отечественных компаний, таких, как ОАО «Газпром», ФСК ЕЭС, холдинг МРСК, ОАО «НК «Роснефть», ОАО «Ростелеком», ОАО "ГМК Норникель", ОАО«Дзержинскхиммаш», ОАО«Волгограднефтемаш», ОАО «Курганхиммаш», ОАО «Энергомашкорпорация», ОАО «ТюменскаяНефтяная Компания».

Руководство деятельностью предприятия осуществляет директор, который является единоличным исполнительным органом общества.

Организационная структура предприятия представляет собой линейно-функциональную структуру управления.

Достоинства:

- стимулирование деловой и профессиональной специализации;

- оптимальное распределение нагрузки и материальных ресурсов;

- улучшение координации в функциональных областях.

Недостатки:

- структурные подразделения могут отдавать своим интересам больший приоритет, чем интересам предприятия.

1.2 Информационная система бухгалтерии

Бухгалтерия - структурное подразделение предприятия, специализированное на аккумулировании информации о материальных активах и долговых обязательствах. Проводит сбор, анализ и структуризацию экономической документации предприятия в целях принятия эффективных управленческих решений в экономической сфере.

Задачи, возложенные на бухгалтерию:

ведение учета материально-технических ресурсов;

ведение учета начисления заработной платы;

ведение учета расходов на производство;

ведение учета финансовой деятельности;

ведение учета денежных операций;

формирование бухгалтерской отчетности.

Таким образом, можно сделать вывод, что бухгалтерия - структурное подразделение предприятия, осуществляющее учет финансовых операций с материальными активами предприятия. Для эффективного выполнения своей задачи отдел взаимодействует с другими структурными подразделениями, а также со сторонними организациями и государственными органами. При осуществлении взаимодействия происходит передача сведений, составляющих коммерческую тайну.

Хищение, уничтожение или искажение этой информации может привести к серьезным материальным потерям. Для предотвращения убытков предприятия вследствие реализации угроз конфиденциальной информации, составляющей коммерческую тайну, требуется обеспечить защиту такой информации.

Компьютеры в локальной вычислительной сети предприятия распределены по рабочим группам, в соответствии с отделами, в которых они располагаются. В отдельную рабочую группу вынесены компьютер бухгалтерии. В бухгалтерии находятся 6 компьютеров, подключенных к сети предприятия неуправляемым коммутатором D-Link DES-1016D и кабеля UTP категории 5. Доступ в сеть Интернет реализован посредством пркоси-сервера, организованного на сервере предприятия.

На всех компьютерах бухгалтерии установлена операционная система Windows XP SP3, на сервере - MS Server 2012, в качестве офисного пакета используется Microsoft Office 2013. Также на каждом рабочем месте установлено специализированное программное обеспечение - 1С:Предприятие 8.3. Состав программных и аппаратных средств бухгалтерии ООО Завод «Калининградгазавтоматика» представлен в таблице 1.1.

Таблица 1.1 - Программно-аппаратное обеспечение бухгалтерии

Аппаратное обеспечение рабочего места
Тип оборудования	Наименование	Технические характеристики	Количество
Процессор	Intel Pentium G3250	Тактовая частота: 3,2 ГГц Ядро: Haswell Количество ядер: 2 Объем кэш L3: 3072 Кб Socket: LGA1150	6
Материнская плата	ASUS P5KR	Двухканальный контроллер памяти Поддержка Hyper-Threading Поддержка PCI-E 3.0 Поддержка USB3.0	6
Оперативная память	GoodRAM	2048 Мб Тип памяти: DDR3 Частота: 1600 МГц	6
Видеоадаптер	Intel HD Graphics		6
Сеть	Ethernet 100Мбит/с		6
Монитор	ASUS 17”		6
Программное обеспечение рабочего места
Тип программного обеспечения	Наименование	Количество
Операционная система	Microsoft Windows XP Service Pack 3	6
Пакет офисных программ	Microsoft Office	6
Специализированное программное обеспечение	1С:Предприятие 8.3	6
Антивирусное программное обеспечение	Kaspersky AntiVirus	6
Брандмауэр	Брандмауэр Windows	6

Перечень документированной информации, составляющей коммерческую тайну, которая находится в распоряжении бухгалтерии ООО Завод «Калининградгазавтоматика» и требует обеспечения конфиденциальности, приведен на таблице 1.2.

Таблица 1.2 - Элементы информации, требующие защиты на объекте

№	Наименование документа	Вид тайны	Срок действия грифа секретности
1	Информация по начисленной и выплаченной заработной плате сотрудников	коммерческая тайна	постоянно
2	Условия кредитов, полученных ООО Завод «Калининградгазавтоматика», и займов, предоставленных юридическим и физическим лицам	коммерческая тайна	На срок действия кредита/займа
3	Валютные поступления и платежи от иностранных фирм. Состояние банковских счетов, задолженности.	коммерческая тайна	постоянно
4	Информация об инвестициях в виде долевого участия ООО Завод «Калининградгазавтоматика»	коммерческая тайна	постоянно
5	Показатели финансового плана и источники финансирования. Планы инвестиций.	коммерческая тайна	постоянно
6	Планово-аналитические материалы за конкретный период	коммерческая тайна	3 года
7	Сведения о реструктуризации кредита (основные условия реструктуризации, состояние переговоров по условиям реструктуризации)	коммерческая тайна	на срок действия кредитной документации
8	Сводные детализированные данные о движении денежных средств по инвестиционным договорам, сведения о финансировании капитальных вложений за счет собственных источников и капитального ремонта основных производственных и непроизводственных фондов	коммерческая тайна	3 года
9	Консолидированные годовые и квартальные балансы, отчеты и документы (приложения) ООО Завод «Калининградгазавтоматика»	коммерческая тайна	постоянно
10	Консолидированные годовые и квартальные балансы, отчеты и документы (приложения) ООО Завод «Калининградгазавтоматика»	коммерческая тайна	постоянно

1.3 Характеристика системы защиты информации на предприятии

В условиях современного мира информация является ценным активом ООО Завод «Калининградгазавтоматика» и играет важную роль в достижении бизнес-целей. В своей деятельности предприятие сталкивается с широким спектром угроз информационной безопасности, как внутреннего, так и внешнего характера, реализация которых может привести к ущербу (финансовые потери, юридические взыскания, потеря репутации, дезорганизация).

Стратегической целью предприятия в области защиты информации является организация устойчивого функционирования и эксплуатации информационных ресурсов с учетом принимаемых рисков получения возможного ущерба от реализации угроз информационной безопасности путем построения системы управления информационной безопасностью, основанной на методологии управления рисками, учитывающей бизнес-требования, а так же правовые требования.

Основными целями деятельности по обеспечению защиты информации предприятия являются:

^- создание условий для устойчивого функционирования предприятия;

^- защита экономических интересов предприятия путем предотвращения или значительного снижения возможности причинения материального ущерба или иного вреда субъектам информационных отношений вследствие нарушения принятых режимов функционирования информационных систем, целостности информационных потоков и ресурсов;

^- защита конституционных прав работников предприятия в информационной сфере;

^- повышение эффективности использования современных информационных технологий.

Для достижения целей обеспечения защиты информации на предприятии необходимо решить следующие задачи:

- создание вертикально интегрированной системы обеспечения защиты информации, включая организационные, программные, аппаратные и физические меры;

- координация действий структурных подразделений предприятия в области обеспечения защиты информации;

- поддержание системы обеспечения защиты информации в состоянии, устойчивом к реализации потенциальных угроз;

- прогнозирование, обнаружение и анализ источников угроз информационной безопасности;

- разработка и внедрение в информационную структуру предприятия современных методов и средств обеспечения защиты информации;

- организация контроля состояния и анализ эффективности системы обеспечения защиты информации и реализация мер по ее совершенствованию;

- подбор кадров для работы в области защиты информации.

Проведение комплекса мероприятий по обеспечению защиты информации на предприятии возложено на отдел корпоративной защиты, который обеспечивает контроль над структурными подразделениями в области соблюдения утвержденной политики безопасности и исполнения инструкций по защите информации. В частности в области организации защиты информации в локальной вычислительной сети предприятия осуществляется взаимодействие с отделом автоматизированных систем управления.

К функциям отдела корпоративной защиты в области обеспечения защиты информации на предприятии относятся:

- планирование работ по защите информации;

- контроль эффективности реализуемых мер по защите информации и внесение рекомендаций по их модернизации;

- координация деятельности в области защиты информации с представителями структурных подразделений;

- контроль выполнения и пересмотр политики безопасности объектов защиты.

Как видно из приведенного выше списка функций отдела корпоративной защиты, он является структурным подразделением предприятия, выполняющим задачи регулирующего и контролирующего органа. Программные и аппаратные средства защиты находятся под управлением отдела автоматизированных систем управления.

Меры, предпринимаемые предприятием для охраны конфиденциальной информации:

- формирование перечня сведений, составляющих конфиденциальную информацию;

- контроль доступа к информации, составляющей конфиденциальную информацию, установлением порядка обращения с этой информацией и надзором за его соблюдением;

- ведение учета субъектов, получивших доступ к информации, составляющей конфиденциальную информацию и субъектов, которым эта информация была предоставлена;

- регулирование отношений по использованию информации, составляющей конфиденциальную информацию, сотрудниками на основании трудовых договоров;

- маркировка материальных носителей, содержащих информацию, составляющую конфиденциальную информацию, грифа секретности с указанием владельца этой информации.

Система контроля управления доступом - комплекс технических средств разграничения доступа, служащий для предоставления доступа авторизованным пользователям, препятствования проникновению посторонних субъектов, а также для учета рабочего времени персонала.

Основные задачи:

ограничение доступа на контролируемую территорию;

идентификация субъекта и его прав доступа на контролируемую территорию.

Дополнительные задачи:

учёт рабочего времени;

регистрация персонала и посетителей;

интеграция с системой безопасности, в частности с системой видеонаблюдения, охранной сигнализации, пожарной сигнализации.

Система объединяет в себе как физические, так и программно-аппаратные средства защиты. Система контроля и управления доступом на предприятии включает в себя различные элементы.

Территория предприятия обнесена забором с воротами. По периметру расположены средства видеонаблюдения и сигнализации.

На входе в административный корпус предприятия установлен турникет, для прохода через который требуется поднести к считывающему устройству персональный идентификатор в виде бесконтактной карты. При взаимодействии с картой считыватель получает уникальный код и передает его на контроллер.

Контроллер представляет собой устройство, задачей которого является сверить полученный от считывателя код с базой данных, содержащей в себе список кодов с соответствием их списку пользователей и их правам доступа. На основании проведенной сверки принимается решение о предоставлении или об отказе в предоставлении тех или иных прав доступа предъявителю.

Бесконтактные карты доступа выполняют функцию электронного ключа и представляют собой электронные пропуска, выдаваемые сотрудникам и посетителям.

Дешевизна карт дает возможность их применения в крупных организациях со значительным числом сотрудников и посетителей.

Бесконтактные карты применяются в системах контроля и управления доступом и служат физическим идентификатором личности. Карты подразделяются на постоянные и временные для сотрудников и посетителей предприятия соответственно.

Принцип работы бесконтактной карты основан на записанном в карту уникальном коде. При поднесении карты к считывающему устройству код передается в контроллер.

Помимо основной функции - разграничения физического доступа на территории предприятия, бесконтактная карта также может служить для осуществления контроля трудовой дисциплины путем фиксации времени взаимодействия индивидуальной карты того или иного сотрудника со считывающим устройством.

Бесконтактная карта - одна из наиболее распространенных систем контроля и управления доступом. Основное ее достоинство заключается в сравнительно невысокой стоимости и долговечности вследствие отсутствия необходимости ее физического контакта со считывающим устройством. К довольно существенному недостатку можно отнести то, что доступ предоставляется предъявителю карты, а не ее владельцу. Иными словами, в случае кражи карты сотрудника злоумышленник получает доступ к ресурсам, к которым фактически имеет доступ сотрудник.

В системе безопасности PERCo-S-20 применяются бесконтактные карты формата EM-4100. Дальность считывания карты для обычных считывателей составляет 5-10 см.

EM-Marin - один из форматов радиочастотной идентификации (от англ. RFID - Radio Frequency IDentification), разработанный компанией EM Microelectronic-Marin SA (также известная как EM-Marin, EM-Micro или просто EM), находящейся в городе Марин, Швейцария.

Бесконтактная карта доступа EM-Marine TK4100 Clamshell является наиболее распространенным идентификатором для систем контроля и управления доступом. При толщине 1,6 мм карта относится к «толстым».

На карте имеется прорезь, предназначенная для использования ее в качестве бейджа, также имеется возможность нанести на карту изображение или какую-либо информацию путем наклеивания пластиковой наклейки.

Карта относится к стандарту EM-Marine с рабочей частотой 125 КГц и является пассивным идентификатором, иными словами, не содержит в себе элемента питания. При приближении карты к считывающему устройству формируется уникальный идентификационный код.

Полученный в результате взаимодействия карты и считывателя код отправляется на контроллер системы контроля и управления доступом для подтверждения прав доступа предъявителя карты.

Технические характеристики толстой карты EM-Marine TK4100 Clamshell представлена на таблице 1.3.

Таблица 1.3 - Характеристики бесконтактной карты EM-Marine TK4100

Описание идентификатора
Рабочая частота	125 КГц
Тип ЧИПа	TK4100 или TK28
Совместимость с EM4100, EM4102	+
Область применения	Системы контроля доступа и учета рабочего времени
Нанесение изображения	Специализированные наклейки
Максимальное количество считываний, заявленное производителем	100 000
Дальность чтения карты	Зависит от считывателя (обычно 1-15 см)
Физические характеристики
Габаритные размеры	85.6 x 54.0 x 1.6 мм (ДxШxВ)
Вес	10 г
Рабочая температура окружающей среды	-25° ... +85° С
Рабочая влажность окружающей среды	0 ... 90 %

При поднесении к считывателю идентификатора EM-Marin, на считыватель циклически передаются 64 бит информации с амплитудной модуляцией несущей. Алгоритм кодирования передаваемых данных - Манчестер. Рабочая частота - 125 кГц.

Из 64 бит передаваемых данных, 40 бит занимает полный номер карты, из которых, в свою очередь, 32 бита отводятся непосредственно под уникальный номер карты, а 8 бит - номеру партии, либо идентификатору производителя.

Остальные 24 бита - техническая информация (биты заголовка, четности и стоповый бит).

Программно-аппаратные средства защиты информации.

Немаловажная роль в области обеспечения защиты информации на предприятии отведена программным средствам.

Traffic Inspector - шлюз безопасности, разработанный российской компанией «Смарт-Софт». Основные задачи продукта - предоставление безопасного доступа в сеть Интернет, организация защиты данных в локальной вычислительной сети, формирование отчетности по использованию сети Интернет, фильтрация контента, маршрутизация, биллинг, ограничение скорости.

Traffic Inspector не нуждается в специализированном сетевом оборудовании и работает на стандартном персональном компьютере, используемом в качестве шлюза для локальной вычислительной сети предприятия.

Имеется возможность расширения функциональности продукта с помощью набора различных модулей.

Traffic Inspector включает набор модулей, расширяющих функциональность программы. Администрирование программы осуществляется в графическом режиме, через оснастку Microsoft Management Console. На сайте разработчика доступна бесплатная 30-дневная пробная версия программы.

Функции Trafic Inspector:

организация контролируемого разграниченного по пользователям или группам пользователей доступа к сети;

обеспечение безопасности локальных сетевых ресурсов с помощью межсетевого экрана, анализа сетевого трафика на уровне шлюза, фильтра спама и защиты от фишинга;

анализ веб-трафика, включающий в себя блокировку к отдельным веб-сайтам, блокировку загрузки нежелательного медиа-контента;

расширенная маршрутизация, резервирование каналов, ограничение скорости работы пользователей и приоритезация трафика, поддержка работы пользователей через NAT и встроенные HTTP/SOCKS-прокси;

контроль сетевой активности пользователей в реальном времени, формирование отчетов по использованию сети Интернет.

Программа Traffic Inspector имеет сертификат соответствия № 2407 от 15 августа 2011 года, выданный ФСТЭК РФ. Срок действия сертификата продлен до 15 августа 2017 года.

Сертификат удостоверяет, что программный комплекс Traffic Inspector является программным средством защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну, обрабатываемой в локальных вычислительных сетях с TCP/IP протоколом, соответствует требованиям:

«Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации» - по 3 классу защищенности; «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» - по 4-му уровню контроля.

Организационные меры обеспечения информационной безопасности.

Важную роль в поддержании необходимого уровня информационной безопасности играют организационные аспекты ее обеспечения. Ввиду затрудненности проникновения в информационную систему предприятия извне основная опасность исходит от внутренних источников угрозы информационной безопасности.

Для предупреждения реализации подобного рода угроз отделом корпоративной защиты разработан перечень нормативных документов, регламентирующих политику безопасности на предприятии. В целях соответствия актуальным вопросам по информационной безопасности нормативная документация регулярно обновляется.

Проводится работа с персоналом по доведению до его сведения последних изменений в политике информационной безопасности предприятия.

При приеме на работу между предприятием в лице генерального директора и соискателем заключается типовой договор о конфиденциальности. В зависимости от замещаемой вакансии и соответствующего должности уровня допуска к конфиденциальной информации, сотрудник берет на себя ответственность по ее неразглашению. Существует управляемый перечень документов, составляющих конфиденциальную информацию, с указанием временного периода, в течение которого сохраняется ее конфиденциальность. В случае разглашения такой информации к злоумышленнику применяются дисциплинарные, административные или уголовные меры воздействия в зависимости от тяжести последствий разглашения.

К организационным мерам обеспечения информационной безопасности на предприятии относятся следующие нормативные документы:

Политика информационной безопасности;

Концепция информационной безопасности.

Политика информационной безопасности - основной нормативный документ, представляющий собой набор норм и правил и регламентирующий меры обеспечения информационной безопасности, организацию работы с персоналом по вопросам информационной безопасности, управление инцидентами информационной безопасности. Включает в себя нижеследующие пункты, регламентирующие соответствующие вопросы организации информационной безопасности на предприятии:

управление информационной безопасностью;

идентификация и классификация объектов защиты;

организация работы с персоналом по вопросам информационной безопасности;

управление инцидентами информационной безопасности;

обеспечение непрерывности бизнес-процессов;

порядок обеспечения информационной безопасности на этапах жизненного цикла объектов информационной инфраструктуры;

обеспечение информационной безопасности при эксплуатации средств обработки, хранения и передачи информации и использовании информационных ресурсов;

контроль доступа;

обеспечение соответствия требованиям по информационной безопасности;

ответственность руководства и работников;

порядок пересмотра политики информационной безопасности.

Концепция информационной безопасности - нормативный документ, дающий определение основным понятиям в области защиты информации на предприятии, ставящий цели и задачи по обеспечению информационной безопасности. Рассматривает следующие вопросы:

основные цели и задачи обеспечения информационной безопасности

виды угроз информационной безопасности;

источники угроз информационной безопасности;

основные принципы обеспечения информационной безопасности;

меры по обеспечению информационной безопасности;

особенности обеспечения информационной безопасности;

организационная основа системы обеспечения информационной безопасности;

документальная основа системы обеспечения информационной безопасности;

техническая основа системы обеспечения информационной безопасности.

Помимо основных нормативных актов, рассматривающих общие вопросы защиты информации, существуют также различного рода инструкции по работе с теми или иными аспектами организации информационной безопасности:

Инструкция по конфиденциальному делопроизводству;

Инструкция о порядке обращения с коммерческой тайной;

Инструкция по парольной защите.

Поскольку на предприятии действует смешанный документооборот, материальные носители приведенных в таблице 1.2 документов могут быть представлены как в бумажном, так и в электронном виде. В связи с этим информационная безопасность должна обеспечиваться комплексом мер и включать в себя организационно-правовые, программно-аппаратные аспекты и средства физической защиты информации.

Однако, существующая на предприятии система защита информации покрывает не все потенциальные каналы реализации угроз информационной безопасности. В частности, на предотвращение реализации внутренних угроз направлены лишь организационные меры по защите информации. Из чего следует, что система защиты информации на предприятии не отвечает принципу комплексности и нуждается во внедрении технических средств предотвращения утечки конфиденциальных данных.

2. Разработка проекта модернизации системы защиты информации

2.1 Постановка задачи

На предприятии существует система защиты информации, включающая в себя комплекс средств обеспечения информационной безопасности. Однако, она покрывает не все каналы утечки информации. В частности, внутренние источники регламентируются лишь организационными документами, технические же средства предотвращения утечек конфиденциальной информации отсутствуют. Из чего можно сделать вывод, что реализованная на предприятии система защиты информации нуждается в доработке и внедрении средств, которые сведут к минимуму риск утраты конфиденциальной информации.

Сформулируем актуальные требования, предъявляемые к системе защиты информации бухгалтерии ООО Завод «Калининградгазавтоматика»:

обеспечение защиты информации, составляющей коммерческую тайну от несанкционированного доступа;

минимально возможная ресурсоемкость системы, которая не будет вызывать критического снижения производительности программно-аппаратного обеспечения рабочего места;

обеспечение высокой отказоустойчивости;

соответствие современному уровню развития информационных технологий;

соответствие требованиям федерального законодательства в области защиты информации.

Внутренние угрозы, которые возможно реализовать при текущей степени защищенности информационной системы предприятия:

несанкционированная запись конфиденциальной информации на электронные носители информации и вынос их за пределы территории предприятия;

несанкционированная печать бумажных копий конфиденциальной информации и вынос их за пределы территории предприятия;

несанкционированная передача конфиденциальной информации через сеть на серверы, находящиеся за пределами территории предприятия;

кража материальных носителей конфиденциальной информации.

Необходимо разработать проект модернизации системы защиты информации бухгалтерии ООО Завод «Калининградгазавтоматика» с учетом предъявляемых требований соответствия бизнес-целям предприятия.

2.2 Системы предотвращения утечки информации

DLP (Data Loss Prevention) - система предотвращения утечки данных. Основная задача любой DLP-системы - защита конфиденциальной информации от внутренних угроз, источником которой по тем или иным причинам может стать любой сотрудник компании, имеющий доступ к конфиденциальной информации. Обладая такой информацией, субъект может стать источником угрозы утечки информации с целью получения материальной или иной выгоды или же непреднамеренно в силу своей некомпетентности, что может повлечь серьезный ущерб для предприятия. Большинство DLP-систем отличаются тем, что свои задачи они выполняют незаметно для пользователей и не вмешиваются в их работу.

Отличительной особенностью большинства современных DLP-систем является способность проводить контентный анализ передаваемой по сетевым каналам информации с целью выявления в ней конфиденциальной.

Современная система предотвращения утечки информации представляет собой распределённый комплекс, включающий в себя различные модули с собственными задачами. В зависимости от предназначения модулей они могут устанавливаться на выделенные серверы или на рабочие станции сотрудников предприятия.

На выделенных серверах происходит консолидирование перехваченных данных в соответствующие базы и анализ информации. Серверные модули являются ядром системы.

База данных, развертываемая на сервере, предназначена для хранения информации об установленных политиках, инцидентах информационной безопасности и документами, перехваченными системой. В некоторых решениях весь сетевой трафик организации или даже вся деятельность пользователя за определенный период времени.

Задача аналитических модулей, также развертываемых на выделенном сервере, заключается в проведении контекстного анализа содержимого документов, перехваченных другими модулями из различных источников. Это могут быть как сетевые каналы передачи данных, так и различные электронные носители информации. Некоторые системы способны анализировать графические изображения на наличие в них текста и распознавать голосовые сообщения. Перехваченные данные сравниваются с заданным эталоном и, в случае обнаружения совпадения, помечаются.

Для контроля над деятельностью пользователей на их рабочие станции устанавливаются отдельные программные модули. Как правило, такие модули работают незаметно для пользователя и могут вести как пассивное наблюдение за деятельностью, так и активно препятствовать нарушению политики безопасности.

Большинство современных DLP-систем содержит модуль управления, предназначенный для администрирования системы, настройки политики безопасности, выявления ее нарушений, проведения инцидентов и формирования отчетов.

Принцип работы DLP-систем заключается в том, что на вход системы передается отправляемое сообщение, а на выходе выносится вердикт о соответствии передаваемых данных конфиденциальной информации и принимается решение о разрешении, блокировке этой передачи или отправке информации на ручной анализ администратору безопасности.

Также многие DLP-системы обладают функцией архивирования всей деятельности с конфиденциальной информацией, как на рабочей станции пользователя, так и в сети, что позволяет проводить расследование возможных инцидентов информационной безопасности.

Современные DLP-системы предусматривают различные способы утраты информации и защищают ее как от непреднамеренных, так и утечек со злым умыслом.

Классифицировать DLP-системы можно по различным признакам:

по архитектуре (шлюзовые/хостовые);

по способу предотвращения утечек (активные/пассивные).

Свойства DLP -систем:

всеобъемлющий контроль потенциальных каналов реализации угроз, как локальных (периферийные устройства и съемные физические носители данных), так и сетевых (электронная почта, Интернет-ресурсы);

перехват всего трафика и его анализ на наличие в нем конфиденциальной информации путем проверки лингвистического содержания, графических файлов на предмет соответствия конфиденциальной информации;

принятие решения DLP-системой о запрете или разрешении передачи сообщения на основе проведенного анализа;

архивирование всего перехваченного трафика и формирование базы данных с целью расследования инцидентов информационной безопасности.

На данный момент на рынке существует множество программных продуктов, которые позволяют обнаружить и предотвратить утечку конфиденциальной информации.

Некоторые разработчики предлагают узкоспециализированные продукты, в задачи которых входит контроль одного канала утечки информации.

Такие продукты обладают одним достоинством - простота во внедрении и эксплуатации.

Однако, покрытие одного канала утечки конфиденциальной информации оставляет уязвимыми остальные.

2.3 Обзор DLP-систем

Authentica ARM Platform.

Компания Authentica предлагает решение для всеобъемлющего контроля над оборотом конфиденциальной информации в сети предприятия. Однако, в отличие от продуктов конкурентов, Authentica делает акцент не на обнаружении и предотвращении утечек, а на управлении цифровыми правами на предприятии (ERM - Enterprise Rights Management). Рассматриваемые на примере Authentica ARM Platform преимущества и недостатки такого метода сопоставимы с преимуществами и недостатками остальных продуктов, основанных на ERM-технологии. Архитектура решения представлена на рисунке 2.1.

Authentica ARM Platform поддерживает дополнительные модули, которые интегрируются с различными приложениями (Microsoft Office и Outlook, Lotus Notes, Adobe Acrobat, Microsoft Explorer и Netscape), а также внешними средствами аутентификации (LDAP, Windows Single Sign-on, X.509, RSA SecurID).

Рисунок 2.1 - Схема работы Authentica ARM Platform

Функциональные возможности Authentica ARM Platform включают в себя средства аутентификации и авторизации пользователей с целью доступа к конфиденциальной информации, осуществление контроля над печатью документов и иными операциями с ними. Вся конфиденциальная информация пребывает в зашифрованном виде и расшифровывается только для санкционированной работы с ней. Также шифруется трафик между сервером политик ARM и клиентскими компонентами. Из этого следует, что конфиденциальная информация постоянно защищена от несанкционированного доступа, в том числе, в момент передачи этой информации по каналам связи.

Однако, продукт реализует защиту от несанкционированного доступа, но не от утечки конфиденциальной информации. Таким образом, блокируется возможность доступа к информации извне, однако, сотрудник, обладающий правами доступа к информации, обладает возможностью воздействовать на нее с целью ее кражи, искажения или уничтожения. Например, если сотрудник создает новый документ для внесения в него конфиденциальной информации, то этот документ еще не контролируется. Также в связи с тем, что все каналы передачи данных шифруются, у злоумышленника есть защищенный канал для передачи конфиденциальной информации.

Также к недостаткам продукта можно отнести отсутствие функции архивирования корреспонденции, что в свою очередь накладывает сложности на процесс расследования инцидентов информационной безопасности.

Authentica ARM Platform является эффективным продуктом для организации защиты информации от несанкционированного доступа извне, другими словами, от реализации внешних угроз, если злоумышленник не обладает ключом шифрования.

В заключение следует отметить обширный комплекс услуг по сопровождению продукта, которые Authentica предоставляет заказчику: анализ информационной системы с учетом профиля организации, техническая поддержка и обучение персонала.

InfoWatch Enterprise Solution.

InfoWatch Enterprise Solution - комплексное решение, позволяющее контролировать веб-трафик, почтовый трафик и иные коммуникационные каналы. Также продукт обладает функцией архивирования всего объема пересылаемого сетевого трафика.

Архитектура InfoWatch объединяет в себе три составляющие: мониторы, осуществляющие контроль действий пользователя на уровне рабочих станций, мониторы, контролирующие коммуникационные каналы, и модуль *Storage. Первые устанавливаются на рабочих станциях и контролируют операции, совершаемые пользователем на уровне операционной системы. Вторые развертываются в сети в виде шлюзов и организовывают фильтрацию исходящего сетевого трафика. Модуль *Storage является базой, в которую архивируется весь перехваченный сетевой трафик. Архитектура представлена на рисунке 2.2.

Рисунок 2.2 - Схема работы InfoWatch Enterprise Solution

Модуль InfoWatch Net Monitor устанавливается на рабочие станции пользователей, его основная задача состоит в контроле операций, совершаемых пользователями с файлами, в том числе при работе в приложениях. К таким операциям относятся чтение, редактирование, копирование, печать. Все действия, совершаемые пользователем с конфиденциальной информацией, протоколируются.

В InfoWatch Net Monitor интегрирован модуль Device Monitor, осуществляющий контроль над обращением к внешним накопителям, портам, сетям беспроводной передачи данных.

При обнаружении попытки пользователя нарушить установленную политику, система уведомляет администратора безопасности.

Все модули, включенные в состав InfoWatch Enterprise Solution, обладают способностью блокировки утечки конфиденциальной информации в режиме реального времени и уведомления администратора безопасности об инциденте информационной безопасности.

В InfoWatch Enterprise Solution отдельная роль отведена администратору безопасности, при помощи которой уполномоченный сотрудник имеет возможность оперативно реагировать на инциденты с помощью центральной консоли.

Отдельный программный модуль InfoWatch Storage в InfoWatch Enterprise Solution отведен для осуществления функции архивирования всей корреспонденции и сетевого трафика. Задачей InfoWatch Storage является перехват передаваемых сообщений и их архивирование с целью дальнейшего анализа. Это происходит в автоматическом режиме и позволяет администратору безопасности в случае выявления нарушения политики не обращаться к рабочей станции предполагаемого злоумышленника, вследствие чего повышается эффективность предотвращения утечки.

Компания InfoWatch также предусматривает набор различных сопроводительных услуг таких, как: предварительное исследование объекта защиты, содействие формализации целей и задач средств защиты информации, разработка политики информационной безопасности, сопровождение продукта и оказание технической поддержки.

Onigma Platform.

Компания Onigma разрабатывает продукт, предназначенный для выявления и предотвращения утечки информации с помощью мониторов деятельности пользователей на уровне рабочих станций и фильтров сетевого трафика. Компания находится в Израиле и штат ее сотрудников включает с себя бывших служащих Министерства Обороны Израиля.

В открытых источниках мало информации об архитектуре и примененных в Onigma Platform технологиях. Однако, основываясь на информации о реализованном в продукте функционале, можно утверждать, что Onigma Platform - система, покрывающая следующие потенциальные каналы реализации угроз: внешние носители информации, электронная почта, веб-трафик. На рабочей станции пользователей устанавливается программа, контролирующая соблюдение политики информационной безопасности, управление системой осуществляется через центральную консоль.

Основное преимущество Onigma Platform - простота внедрения системы в существующую на предприятии информационную систему без необходимости нести дополнительные затраты на обучение персонала работе с продуктом и сопроводительные услуги.

Серьезный недостаток системы заключается в отсутствии функции архивирования трафика, что накладывает трудности на анализ подозрительной деятельности пользователей и расследование инцидентов информационной безопасности. Также продукт предоставляет ограниченный функционал в области мониторинга операций с файлами.

PC Activity Monitor.

Программный продукт PC Activity Monitor разрабатывается и продается компанией Raytown Corp. PC Activity Monitor позволяет обеспечить всеобъемлющий и максимально глубокий контроль деятельности пользователя на уровне рабочей станции. К недостаткам решения сразу следует отнести то, что оно не является комплексным и не охватывает сетевые каналы утечки конфиденциальной информации.

PC Activity Monitor объединяет в себе два модуля. Первый модуль - это средства централизованного управления и развертывания. Второй модуль - программные средства контроля, устанавливаемые на рабочие станции пользователей информационной системы. Первый модуль позволяет централизованно распределить клиентские программы на рабочие станции и, в дальнейшем, так же централизованно осуществлять контроль над ними.

Программные компоненты, устанавливаемые на рабочие станции, глубоко внедряются в операционную систему и интегрируются в ядро, что исключает возможность пользователю отключить модуль своими силами. Программа подробно протоколирует всю деятельность пользователя вплоть до нажатия клавиш и движения мыши. Полученный журнал событий передается на центральную консоль, где запротоколированные данные анализируются. Из этого вытекают недостатки продукта.

Так как протоколируются абсолютно все действия пользователя на рабочей станции, журнал событий получается очень объемным и содержит в себе огромное количество мусора, среди которого очень сложно выделить те события, которые повлекли за собой утечку информации. Можно сказать, что PC Activity Monitor в принципе не работает с политиками и единственная задача, к которой сводится функционал продукта - составление максимально подробного протокола и передача его на модуль управления. За день может быть сгенерировано десятки тысяч событий силами лишь одной рабочей станции, но так как количество компьютеров в организации может исчисляться сотнями, то проанализировать все вручную не представляется возможным. Не является панацеей и встроенный фильтр в силу своей примитивности, так как его возможности ограничиваются лишь привязкой протоколируемых событий к какому-либо конкретному приложению.

Помимо того, что выявить утечку путем анализа громоздкого журнала крайне затруднительно, продукт не позволяет ее предотвратить. Системы оповещения не предусмотрено, и администратор безопасности узнает об инциденте информационной безопасности лишь постфактум.

Обычно, протоколов действий с конфиденциальными документами, ведущихся рассмотренными программными продуктами вполне достаточно, чтобы отреагировать на инцидент, и столь подробные журналы, как ведет PC Activity Monitor, не требуются.

Verdasys Digital Guardian.

Американская компания Verdasys разрабатывает программный продукт Verdasys Digital Guardian, задачей которого является предотвращение утечки на уровне рабочей станции пользователя, однако, покрывает все потенциальные каналы утечки конфиденциальной информации.

Функционал схож с функционалом иных комплексных решений и включает в себя протоколирование действий пользователя в журналы событий, осуществление контроля над приложениями, данными и каналами связи, обнаружение нарушений политики информационной безопасности, фильтрацию событий перед отправкой на сервер.

Verdasys Digital Guardian централизованно распределяется по информационной системе предприятия без ведома пользователей. В систему добавляется новый элемент - сервер, на который модули, установленные на рабочие станции пользователей, отсылают протоколы событий. Также Verdasys Digital Guardian содержит консоль управления, посредством которой можно составлять отчеты, проводить анализ информации, контролировать установку продукта на рабочие станции и осуществлять управление политиками. Архитектура представлена на рисунке 2.3.

Рисунок 2.3 - Архитектура Digital Guardian

Verdasys Digital Guardian обладает широким спектром сопроводительных услуг. Компания предоставляет консалтинговые услуги на этапе, предшествующем внедрению системы, создает предварительные проекты, принимает активное участие в обучении персонала и внедрении готовой системы.

Однако, Verdasys Digital Guardian не лишена недостатков. Во-первых, отсутствует возможность архивирования электронной корреспонденции, что накладывает трудности в расследовании инцидентов информационной безопасности. Во-вторых, отсутствует контентная фильтрация исходящего сетевого трафика вследствие значительной ресурсоемкости фильтров, размещенных на рабочей станции в отличии от других продуктов, осуществляющих лингвистический анализ отправляемых документов на выделенных серверах. Контроль утечек конфиденциальной информации осуществляется на основании заблаговременно подготовленного списка объектов защиты.

...