Анализ на системата за информационна сигурност на предприятието. Анализ на системата за информационна сигурност и избор на метод за нейната модернизация
ВЪВЕДЕНИЕ
Всяка дейност на хората винаги е била свързана с получаване на информация. Днес той се превръща в основен ресурс за научно, техническо и социално-икономическо развитие на световната общност. Всякакъв бизнес и държавна дейносте тясно свързана с получаването и използването на различни информационни потоци. Следователно дори леко спиране на информационните потоци може да доведе до сериозна криза в работата на една организация, а вероятно дори и на редица организации, което води до конфликт на интереси. Именно поради тази причина в днешните конкурентни пазарни условия съществуват множество проблеми, свързани не само с осигуряването на безопасността на търговската информация като вид интелектуална собственост, но и на физическата и юридически лица, тяхната имуществена и лична безопасност. Така информацията се счита за стока.
Информационната сигурност е сравнително млада, бързо развиваща се област информационни технологии. Правилният подход към проблемите на информационната сигурност започва с идентифицирането на субектите на информационните отношения и интересите на тези субекти, свързани с използването на информационните системи. Заплахите за информационната сигурност са обратна странаизползване на информационни технологии.
Защита на информацията в съвременни условиясе превръща във все по-сложен проблем поради редица причини, основните от които са: масовото разпространение на електронно-изчислителна техника; усложняване на технологиите за криптиране; необходимостта от защита не само на държавни и военни тайни, но и на промишлени, търговски и финансови тайни; разширяване на възможностите за неразрешени действия върху информацията.
Системата за сигурност не трябва толкова да ограничава достъпа на потребителите до информационни ресурси, колкото да определя техните правомощия за достъп до тази информация, да открива ненормално използване на ресурси, да прогнозира аварийни ситуации с отстраняване на последствията от тях.
В момента широко се използват методи за неразрешено получаване на информация. Тяхната цел е преди всичко търговски интерес. Информацията е разнообразна и има различни стойности, а степента на нейната поверителност зависи от това кой я притежава.
Паралелно с развитието на компютърните технологии се появяват нови начини за нарушаване на сигурността на информацията, докато старите видове атаки не изчезват никъде, а само влошават ситуацията.
проблемни въпросиИма много проблеми със защитата на информацията, тяхното решаване зависи от целта и субективни факторивключително липсата на възможности.
По този начин горните факти правят проблема за проектиране на ефективна система за информационна сигурност актуален днес.
Аналитична част
1.1 Структурата на предприятието и характеристиките на неговите информационни технологии
Предприятието Alfaproekt се намира в Курск и има два клона, разположени в региона: село Прямицино и Ушаково.
Дейността на организацията Алфапроект е набор от услуги за разработване на проектна документация за промишлени и граждански обекти капитално строителство, реконструкция и техническо преоборудване, както и услуги в областта на стандартизацията и метрологията. Проектирането на производствени мощности, включително разполагането на машини и оборудване, индустриалният дизайн е основен фокус на компанията.
Фигура 1.1 показва организационната структура на Alfaproekt OJSC.
От структурата се вижда, че предприятието е разделено на отдели, които изпълняват определени задачи в зависимост от предназначението им. Ръководството на централния офис пряко управлява и контролира работата на всеки отдел. Отделите се ръководят от водещи специалисти, тоест ръководители на отдели. Всеки отдел на свой ред има свой персонал.
Структурата на предприятието е от йерархичен тип, което позволява ясно управление и изпълнение на работата в кратки срокове. Но навременното изпълнение на работата зависи и от технологичния процес.
Фигура 1.2 показва блокова диаграма на производствения процес на Алфапроект OJSC.
Съгласно схемата на производствения работен процес, клиентът подава списък с документи, необходими за проекта или изготвяне на друг вид поръчка в отдела за получаване / издаване на документи, където се съставя разписка за стойността на предоставената услуга, което е необходимо за отчитане в счетоводството. След предплащане се подава заявление за изготвяне на техническа документация за обекта, което впоследствие се изпраща в архива. Освен това в икономическия отдел се извършва оценка на цената на бъдещия обект, която също се изпраща в архива. Целият контрол на процеса все още се извършва от главния офис.
Фигура 1.1 - Организационна структура на АД "Алфапроект"
Фигура 1.2 - Блокова схема на производствения работен процес
Всички етапи от производствения процес и следователно самото предприятие се обслужват от високотехнологично оборудване. Цялата документация се съхранява в компютърна версия, чертежи за големи обекти се правят с помощта на специални плотери, които са оборудвани с главния отдел и клоновете. АД "Алфапроект" ползва съвременни технологиипредаване и съхранение на данни.
Всички използвани компютри са обединени в локална мрежа (LAN), която от своя страна, за да се гарантира безопасността на данните, е разделена на независими сегменти (производствени отдели) с помощта на VLAN технология. От локалната мрежа служителите имат достъп до интернет за търсене необходими материалии обмен на имейли. Работата на потребителите от всички подразделения в единна информационна база данни ви позволява да поддържате автоматизирани записи за изпълнението на работата по техническата инвентаризация. Програмата автоматично проверява наличието на информация за собствеността и притежателите на авторски права в базата данни, коректността на въвеждане на адресите на обектите. Това ви позволява да премахнете дублирането на информация и да се отървете от неконтролирания растеж на базата данни.
Потребителските работни станции са свързани към корпоративни сървъри в терминален режим, който осигурява висока производителностпроизводителност на приложения на отдалечени терминали.
Също така, с използването на терминален достъп, беше реализирана работа в програмата "1C Счетоводство". Това решение ви позволява да съхранявате информация на централния сървър на предприятието, което гарантира безопасността на данните и осигурява оперативен контрол и получаване на информация за финансовите и икономически дейности на отделите.
Предприятието на АД Алфапроект използва софтуерния пакет InterBase SQL сървър, който осигурява пълен работен процес на предприятието от получаване на заявления до подаване на дела в електронния архив.
Комплексът непрекъснато се модифицира, като се вземат предвид изискванията на организацията за управление на документи. Софтуерният пакет е предназначен за работа с VPN технология и изисква минимални мрежови ресурси по време на работата си.
Клоновете на организацията са свързани чрез каналите на регионален доставчик към главната офисна мрежа чрез VPN (виртуална частна мрежа) технология. За тези цели е избрана VPN технологията, тъй като осигурява надеждна система за пренос на данни и високо ниво на защита на информацията от неоторизиран достъп отвън. Използването на VPN технологията реализира:
− Единно пространство на корпоративната мрежа;
− Пълна прозрачност на мрежата за служителите;
− Защита на информацията от неоторизиран достъп на трети лица;
− Внедряване на единна автоматизирана система за управление в съществуващите структури на фирмените мрежи и пълно интегриране в съществуващия производствен процес;
− Мащабиране на съществуващата мрежа на предприятието и свързване на допълнителни офиси на компанията към единна мрежа на предприятието;
VPN се поддържа и поддържа от четири сървъра на Windows 7 и телекомуникационно оборудване на Cisco. Корпоративната LAN има две точки на връзка с глобалната интернет мрежа, което подобрява надеждността на предаването на данни.
В горната част на корпоративната LAN е разположена услугата директория ActiveDirectory, която ви позволява да управлявате напълно достъпа на потребители и групи до информационни ресурси. Фигура 1.3 показва блоковата схема на LAN на Alfaproekt OJSC.
Фигура 1.3 - Структурна схема на LAN на АД Алфапроект
Разгледани са основните мрежови информационни технологии, които осигуряват стабилността и сигурността на работата в LAN на Alfaproekt OJSC.
VLAN (Virtual Local Area Network) - група устройства, които могат да комуникират директно помежду си на ниво връзка, въпреки че могат да бъдат физически свързани към различни мрежови комутатори. Обратно, устройствата, които са в различни VLAN, са невидими едно за друго на ниво връзка, дори ако са свързани към един и същ комутатор и комуникацията между тези устройства е възможна само на мрежови и по-високи нива.
В съвременните мрежи VLAN са основният механизъм за създаване на логическа топология на мрежата, която е независима от нейната физическа топология. VLAN мрежите се използват за намаляване на трафика на излъчване в мрежа. Те са от голямо значение от гледна точка на сигурността, по-специално като средство за борба с ARP-подправянето.
VPN (Virtual Private Network - виртуална частна мрежа) - технология, която ви позволява да предоставите една или повече мрежови връзки (логическа мрежа) през друга мрежа (Интернет). Нивото на доверие в изградената логическа мрежа не зависи от нивото на доверие в основните мрежи, благодарение на използването на криптографски инструменти (криптиране, удостоверяване, инфраструктура с публичен ключ). В зависимост от използваните протоколи и целта, VPN може да осигури връзки три вида: възел към възел, възел към мрежа и мрежа към мрежа.
Active Directory е реализация от Microsoft на услугата директория за семейството на операционните системи Windows NT. Active Directory позволява на администраторите да използват групови политики, за да осигурят еднакви настройки на работната среда на потребителите, да внедряват и актуализират приложния и сървърен софтуер на всички компютри в мрежата. Active Directory съхранява данни и настройки на средата в централизирана база данни. Мрежите на Active Directory могат да варират по размер от няколкостотин до няколко милиона обекта. Услугата на директории е едновременно инструмент за администратор и инструмент за краен потребител. Тъй като броят на обектите в мрежата нараства, стойността на услугата директория се увеличава.
DNS (Domain Name System) е разпределена компютърна система за получаване на информация за домейни. Най-често се използва за получаване на IP адрес от име на хост (компютър или устройство), получаване на информация за маршрутизиране на поща, обслужване на хостове за протоколи в домейн.
Основата на DNS е идеята за йерархична структура на име на домейн и зони. Всеки сървър, отговорен за името, може да делегира отговорността за друга част от домейна на друг сървър, което дава възможност да се възложи отговорност за уместността на информацията към сървърите на различни организации, които отговарят само за "своята" част от домейна име.
DNS е от съществено значение за функционирането на Интернет, защото той за да се свържете с хост, имате нужда от информация за неговия IP адрес и е по-лесно за хората да запомнят буквални (обикновено значими) адреси, отколкото последователността от числа в IP адреса. В някои случаи това позволява използването на виртуални сървъри, като HTTP сървъри, разграничавайки ги по името на заявката.
1.2 Заплахи за информационната сигурност на предприятието АД "Алфапроект" и описание на възможните щети от тяхното прилагане
Информационната сигурност е защитата на информацията и поддържащата инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, изпълнени с щети за собствениците или потребителите на информация и поддържаща инфраструктура.
Информационни ресурси - отделни документи и отделни масиви от документи, документи и масиви от документи в информационни системи (библиотеки, архиви, фондове, банки данни, други информационни системи). Отношенията по отношение на собствеността върху информационните ресурси се уреждат от съответното гражданско законодателство.
Класификацията на заплахите за информационната сигурност на автоматизираните системи за обработка на данни (ASOD) е необходима поради факта, че съвременните компютърни технологии и информацията, която натрупват, са обект на случайни влияния на изключително голям брой фактори. Следователно не е необходимо да се описва пълният набор от заплахи. В резултат на това за защитената система е необходимо да се определи не пълен списъкзаплахи и разглеждайте само класовете заплахи.
Класификацията на всички възможни заплахи за информационната сигурност на ASOD може да се извърши по редица основни признаци. Класовете заплахи ASOD са показани на Фигура 1.4
Във всеки клас заплахи за информационната сигурност могат да се разграничат няколко вида заплахи, засягащи автоматизираната система за обработка на данни. Въз основа на това е изградена таблица на видовете заплахи за ИС за конкретни класове заплахи и техните характеристики (Таблица 1.1).
Фигура 1.4 – Класове на заплахи за ASOD
Таблица 1.1 - Характеристики на видовете заплахи за информационната сигурност на ASOD за съответните класове
| Вид заплахи | Клас на заплаха |
| 1. По естество на възникване | Природните заплахи са заплахи, причинени от въздействието върху ASOD и неговите компоненти на обективни физически процеси или природни бедствия, които са независими от човек. |
| Изкуствени заплахи - заплахи за информационната сигурност на АС, причинени от човешка дейност. | |
| 2. Според степента на преднамерена проява | Заплахи от случайни действия и/или заплахи, причинени от човешка грешка или небрежност. |
| Заплахи за умишлено действие, като заплахи за действия на нападател за кражба на информация. | |
| 3. Чрез пряк източник на заплахи | Заплахи, чийто пряк източник е природната среда ( природни бедствия, магнитни бури, радиоактивно излъчване). |
| Заплахи, чийто пряк източник е човек. | |
| Заплахи, чийто пряк източник е оторизиран софтуер и хардуер. | |
| Заплахи, чийто пряк източник е неоторизиран софтуер и хардуер. | |
| 4. По позицията на източника на заплахите | Заплахи, чийто източник се намира извън контролираната зона на територията (помещенията), където се намира ASOD. |
| Заплахи, чийто източник се намира в рамките на контролираната зона на територията (помещенията), където се намира ASOD. | |
| Заплахи, чийто източник има достъп до ASOD периферни устройства. | |
| Заплахи, произхождащи от ASOD. | |
| 5. Според степента на зависимост от дейността на АСОД | Заплахи, които могат да се проявят независимо от дейността на ASOD: отваряне на шифри за криптографска защита на информацията; кражба на носители на информация (магнитни дискове, ленти, чипове памет, устройства за съхранение и компютърни системи). |
| Заплахи, които могат да се появят само в хода на автоматизирана обработка на данни (например заплахи от изпълнение и разпространение на софтуерни вируси). |
| Край на таблица 1.1 | |
| 6. Според степента на въздействие върху АСОД | Пасивни заплахи, които при прилагане не променят нищо в структурата и съдържанието на ASOD (например заплахата от копиране на секретни данни). |
| Активни заплахи, които, когато са изложени, променят структурата и съдържанието на ASOD. | |
| 7. По етапи на достъп на потребители или програми до ASOD ресурси | Заплахи, които могат да се появят на етапа на достъп до ASOD ресурси (например заплахи за неоторизиран достъп до ASOD). |
| Заплахи, които могат да се появят след разрешен достъп до ANOD ресурси (например заплахи за неоторизирано или неправилно използване на ANOD ресурси). | |
| 8. Чрез достъп до ресурсите на ASOD | Заплахи, насочени към използване на директен стандартен път за достъп до ASOD ресурси. |
| Заплахи, насочени към използване на скрит нестандартен път за достъп до AS ресурси. | |
| 9. Според текущото местоположение на информацията | Заплахи за достъп до информация на външни устройства за съхранение |
| Заплахи за достъп до информация в RAM. | |
| Заплахи за достъп до информация, циркулираща в комуникационните линии. | |
| Заплахи за достъп до информация, показана на терминал или отпечатана на принтер. |
Всички разглеждани класове и видове заплахи до известна степен са присъщи на ASOD на Алфапроект OJSC.
Също така е възможно да се класифицират заплахите според Наказателния кодекс на Руската федерация и да се подчертаят следните заплахи за информационната сигурност:
− Кражба (копиране) на информация.
− Унищожаване на информация.
− Модификация (изкривяване) на информацията.
− Нарушаване на достъпността (блокиране) на информацията.
− Отричане на автентичността на информацията.
− Налагане на невярна информация.
Присвояване - незаконно безвъзмездно отнемане и (или) преобразуване на чужда собственост в полза на виновното лице или други лица, извършено с наемнически цели, което е причинило вреда на собственика или собственика на имота.
Копиране на компютърна информация – повторение и стабилно отпечатване на информация върху машина или друг носител.
Унищожаване - външно въздействие върху имущество, в резултат на което то престава да съществува физически или е напълно негодно за използване по предназначение.
Повреди - промяна в свойствата на имуществото, при което състоянието му значително се влошава, значителна част от полезните му свойства се губят и то става напълно или частично негодно за предназначението му.
Модификация на компютърна информация - извършване на всякакви промени, с изключение на тези, свързани с адаптиране на компютърна програма или бази данни.
Блокирането на компютърна информация е изкуствена пречка за достъпа на потребителите до информация, която не е свързана с нейното унищожаване.
Измама (отказ на автентичност, налагане на невярна информация) - умишлено изопачаване или укриване на истината с цел подвеждане на лицето, което отговаря за имота и по този начин да се получи от него доброволно прехвърляне на собственост, както и съобщаване на съзнателно невярна информация. за тази цел.
Класификацията на заплахите ще изглежда най-визуално, ако разгледаме заплахите във връзка с техния източник. В съответствие с този подход класификацията на заплахите от ИС в ОАО Алфапроект ще изглежда така (Фигура 1.5).
Всички представени заплахи могат да бъдат умишлени или неволни.
Необходимо е също така да се вземат предвид заплахите, насочени към конкретни съоръжения на ASOD в ОАО Алфапроект. Съгласно структурната диаграма на LAN, показана на фигура 1.3, могат да се разграничат следните обекти автоматизирана система: работна станция на служителите, сървър на база данни, файлов сървър, сървър за управление. За всеки от обектите в Таблица 1.2 са представени специфични заплахи за IS.
От гледна точка на икономическия подход, общата вреда върху информационната сигурност на предприятието се състои от два компонента: пряка и непряка вреда.
Директно увреждане на информационната сигурност на предприятието възниква от изтичането на поверителна информация. Косвени вреди - загуби, понесени от предприятието във връзка с ограничения за разпространение на информация, по установения ред, класифицирана като поверителна.
Фигура 1.5 - Класификация на заплахите от ИС в АД "Алфапроект"
Таблица 1.2. – IS заплахи за всеки от обектите на ASOD
| ASOD обект | Заплахи за информационната сигурност |
| Работна станция на служителите | Копиране на информация в медиите |
| Инсталиране и използване на "левия" софтуер | |
| Инфекция с компютърен вирус | |
| Грешки на оператора по време на работа на SVT | |
| Операторски грешки при работата на софтуера | |
| Неоторизиран достъп до AS ресурси и по-нататъшното им използване (копиране, модифициране, изтриване) | |
| DB сървър | Копиране на информация |
| Достъп до информация чрез нарушаване на функционирането | |
| Потребителски грешки при работата на софтуера | |
| Файлов сървър | Промяна на информацията |
| Копиране на информация | |
| Премахване на информация | |
| Разкриване на защитена информация чрез прехвърляне на носители на информация на лица, които нямат права на достъп | |
| Сървър за управление | Незаконно получаване на пароли и други подробности за контрол на достъпа. |
| Блокиране на достъпа за регистрирани потребители |
Като част от разработването или анализа на система за информационна сигурност най-подходяща е качествената оценка на стойността на информационен ресурс от собственика. В зависимост от нуждите на организацията, нейния размер или други фактори, скалата за качествена оценка може да използва такива обозначения като „незначителен“, „нисък“, „среден“, „висок“, „критичен“, което означава определен интервал от количествена рейтингова скала.
След съставяне на списък със заплахи се съставя степента на вероятност за реализация (CVR) на заплахите. Оценката на риска се извършва чрез сравняване на оценките за тежестта на последствията с оценката на SVR на заплахите от ИВ (Таблица 1.4).
На етапа на оценка на риска се определят потенциалните щети от заплахи за информационната сигурност за всеки ресурс или група ресурси. Определянето на тежестта на последствията от загубата на свойства за информационна сигурност от даден ресурс е необходимо, за да се определи колко ще струва една „проста“ система за времето, необходимо за нейното възстановяване и каква ще бъде щетата, ако тази информация стане известна на конкурентите .
Таблица 1.4 - Сравнения на оценките за тежестта на последствията с оценката на SVR на заплахите от IS
| Степента на вероятност за изпълнение на заплахата от ИВ | Тежестта на последствията от нарушение на ИБ | |||
| минимален | средно аритметично | Високо | критичен | |
| неосъществимо | допустимо | допустимо | допустимо | допустимо |
| минимален | допустимо | допустимо | допустимо | невалиден |
| средно аритметично | допустимо | допустимо | невалиден | невалиден |
| Високо | допустимо | невалиден | невалиден | невалиден |
| критичен | невалиден | невалиден | невалиден | невалиден |
При разглеждане на възможни щети е необходимо да се вземат предвид и ресурсите, използвани от предприятието. Класификацията на информационните ресурси е показана на фигура 1.7.
Фигура 1.7 - Видове ресурси на предприятието
Ресурсите, които трябва да бъдат защитени, включват информация и технически ресурси.
В Alfaproekt OJSC техническите ресурси включват:
− сървър за управление;
− сървър на база данни;
− файлов сървър;
− Принтери и плотери;
− Мрежово оборудване (превключватели, рутери).
Информационните ресурси в електронен вид и на хартиен носител на това предприятие включват:
− Копия от документи за самоличност на клиента;
− Технически паспорти на обекти на недвижими имоти;
− Удостоверения за балансова стойност, посочващи остатъчната балансова стойност за периода на техническата инвентаризация;
− Проектна, строителна документация;
− Счетоводни отчети.
По този начин електронните ресурси на предприятието Alfaproekt OJSC имат ограничен достъп и са класифицирани като поверителни. Следователно разпределените ресурси са обект на заплахи за ИС и ако заплахите се реализират, предприятието може да претърпи различни видове щети. Фигура 1.8 показва три вида повреди.
Фигура 1.8 - Видове възможни повреди
Проявите на възможни щети могат да бъдат различни и да имат смесен характер:
− морални и материални щети върху деловата репутация на организацията
− морални, физически или материални щети, свързани с разкриването на лични данни на физически лица;
− материални щети от необходимостта от възстановяване на повредени защитени информационни ресурси;
− материални щети от невъзможност за изпълнение на поетите задължения към трето лице;
− морални и материални щети от дезорганизация на дейността на организацията;
− материални и морални щети от нарушаване на международните отношения.
Също така щетите могат да се разглеждат според тежестта на последствията от заплахите от ИД. Фигура 1.9 показва класификацията на щетите по тежест.
Фигура 1.9 - Тежест на последствията от заплахите от ИВ
Въз основа на гореизложеното в Алфапроект OJSC могат да бъдат идентифицирани редица възможни последици от прилагането на заплахи за ИС. Преди всичко трябва да се отбележи, че щетите ще бъдат предимно материални. Основните щети ще паднат върху техническите ресурси, тъй като този тип ресурси включва използването и съхранението на цифрови информационни ресурси. Но не може да се пропусне фактът, че предприятието използва и недигитални информационни ресурси, въпреки че повечето от тях имат цифрови копия, но тези ресурси са не по-малко ценни.
Според тежестта на последствията най-големите загуби ще възникнат в случай на повреда на техническите ресурси на Алфапроект OJSC, тъй като производственият процес ще бъде преустановен и цифровите информационни ресурси могат да бъдат загубени, което е значителна тежест на последствията . Ако изпълнението на заплахите от ИС засяга само цифрови информационни ресурси, тежестта на последствията може да се характеризира като средна, в екстремни случаи, например природни бедствия, тежестта може да премине в категорията на значителна тежест на последствията или дори висока. Тежестта на всички тези последици зависи преди всичко от конкретните заплахи. Въз основа на този принцип е съставена таблица 1.5 за тежестта на последствията от специфични заплахи за ИС в Алфапроект ОАО.
Таблица 1.5 - Тежест на последиците от заплахи от ИС в Алфапроект АД
| IS заплаха | Тежест на последствията (щета) |
| Грешки на потребители и системни администратори | средно - ниско |
| Нарушения от служители на компанията на установените правила за събиране, обработка, прехвърляне и унищожаване на информация | средно аритметично |
| Грешки в работата софтуер | ниско |
| Неизправности и повреди в работата на компютърната техника | средно аритметично |
| Заразяване на компютри с вируси или злонамерен софтуер | средно аритметично |
| Неоторизиран достъп (UAS) до корпоративна информация | среден - значителен |
| Мониторинг на информация от конкурентни структури, разузнаване и специални служби | средно аритметично |
| Действия на държавни структури и служби, придружени от събиране, модифициране, изтегляне и унищожаване на информация | среден - значителен |
| Аварии, пожари, катастрофи, причинени от човека | значителен - висок |
Информационната сигурност на ASOD се осигурява, ако се поддържа определено ниво за всички информационни ресурси в системата:
− конфиденциалност (невъзможност за неоторизирано получаване на каквато и да е информация);
− цялост (невъзможност за неоторизирана или случайна модификация);
− достъпност (способност за получаване на необходимата информация в разумен срок).
Заплахите от IS засягат не само свойствата на информацията, но и техническите ресурси на предприятието, така че системата за защита на информацията за сигурност трябва да отговаря на следните изисквания:
− изисквания за недопускане на изкривяване на информационните свойства;
− изисквания за класа на сигурност ASOD;
− изисквания за класа на сигурност SVT;
− изисквания за защита на информацията от неоторизиран достъп.
Също така системата за информационна сигурност трябва да изпълнява:
− предупреждение за поява на заплахи за информационната сигурност;
− откриване, неутрализиране и локализиране на въздействието на заплахите;
− контрол на достъпа до защитена информация;
− възстановяване на системата за информационна сигурност;
− регистриране на събития и опити за неоторизиран достъп;
− осигуряване на контрол върху функционирането на системата за защита.
АНАЛИЗ НА СИСТЕМАТА ЗА ИНФОРМАЦИОННА СИГУРНОСТ И ИЗБОР НА МЕТОДА ЗА МОДЕРНИЗАЦИЯТА ѝ
2.1 Методи и средства за защита на информацията в мрежите
На първия етап от разработването на концепции за сигурност на данните приоритет беше даден на инструментите за софтуерна защита. Но практиката показа, че това не е достатъчно за гарантиране на сигурността на данните и всички видове устройства и системи са получили интензивно развитие. Постепенно, с формиране на системен подход към проблема за осигуряване на сигурността на данните, възниква необходимостта от интегрирано прилагане на методите за защита и създадените на тяхна основа средства и механизми за защита. Обикновено в предприятията, в зависимост от обема на съхраняваните, предавани и обработвани поверителни данни, за сигурността на информацията отговарят отделни специалисти или цели отдели. Фигура 2.1 показва модела цялостна защитаинформация.
Фигура 2.1 цялостен модел за информационна сигурност
Две области са ясно разграничени в защитата на информацията: защита на поверителността и защита на производителността. За изпълнение на тези задачи има специални методии инструменти за защита на данните, които са описани подробно на фигура 2.2.
Фигура 2.2 – Класификация на методите и средствата за защита на данните
Методите за информационна сигурност в ИС се разделят на: препятствие, контрол на достъпа, механизми за криптиране (маскиране), регулиране, принуда, подтикване, противодействие на атаки на зловреден софтуер.
Препятствие - метод за физическо блокиране на пътя на нападателя към защитена информация (към оборудване, носители за съхранение и др.).
Контрол на достъпа – методи за защита на информацията чрез регулиране на използването на всички IP ресурси. Тези методи трябва да се противопоставят на всички възможни начини за неоторизиран достъп до информация.
Контролът на достъпа включва:
− идентифициране на потребители, персонал и ресурси на системата;
- идентификация на субекта по представения от него идентификатор;
− проверка на пълномощията;
− създаване на условия на труд в рамките на установената нормативна уредба;
− регистриране на повиквания към защитени ресурси;
− при опит за неразрешени действия.
Механизми за криптиране – криптографско затваряне на информация.
Регулиране е създаването на такива условия за автоматизирана обработка, съхранение и предаване на защитена информация, при които в най-голяма степен се спазват нормите и стандартите за защита.
Принудата е метод за защита, при който потребителите и персонала на ИС са принудени да спазват правилата за обработка, прехвърляне и използване на защитена информация под заплаха от материална, административна или наказателна отговорност.
Мотивацията е метод за защита, който насърчава потребителите и персонала на ИС да не нарушават установените процедури, като спазват установените морални и етични стандарти.
Противодействието на атаките на зловреден софтуер включва набор от различни организационни мерки и използване на антивирусни програми. Целите на предприетите мерки са намаляване на вероятността от заразяване с IP, установяване на фактите за заразяване на системата; намаляване на последствията от информационни инфекции, локализация или унищожаване на вируси; възстановяване на информация в IS.
Целият набор от технически средства е разделен на хардуерни и физически.
Хардуер - устройства, които са вградени директно в компютърната технология, или устройства, които взаимодействат с нея чрез стандартен интерфейс.
Физически средствавключват различни инженерни устройства и конструкции, които предотвратяват физическото проникване на нарушители в защитени обекти и защитават персонала (лична охранителна техника), материалните активи и финанси, както и информацията от незаконни действия.
Софтуерът е специални програмии софтуерни системи, предназначени за защита на информацията в ИС.
От софтуерните инструменти на системата за защита ще отделим и софтуерни инструменти, които реализират механизми за криптиране (криптография). Криптографията е науката за гарантиране на секретността и/или автентичността (автентичността) на предаваните съобщения.
Организационните средства осъществяват със своя комплекс регулирането на производствените дейности в ИС и взаимоотношенията на изпълнителите на правно основание по такъв начин, че разкриването, изтичането и неоторизиран достъп до поверителна информация става невъзможно или значително затруднено от организационни мерки.
Определят се законови средства за защита законодателни актоведържави, които регулират правилата за използване, обработка и предаване на информация с ограничен достъп и установяват отговорност за нарушаване на тези правила.
Моралните и етичните средства за защита включват всякакви норми на поведение (които традиционно са се развили по-рано), формират се с разпространението на ИС в страната и по света. Моралните и етичните стандарти могат да бъдат неписани или съставени в определен набор от правила или разпоредби. Тези норми по правило не са законово одобрени, но тъй като неспазването им води до намаляване на престижа на организацията, те се считат за задължителни.
2.2 Дефиниране на класове на сигурност
2.2.1 Определяне на необходимия клас сигурност на АСОД в АД "Алфапроект"
За да определите необходимия клас на сигурност в Руска федерацияима специфичен подход, внедрен в ръководството на Държавната техническа комисия при президента на Руската федерация "Класификация на автоматизираните системи и изисквания за защита на информацията" част 1. Този документ идентифицира 9 класа сигурност на автоматизирани системи от неоторизиран достъп до информация и за всеки клас минималния състав на необходимите защитни механизми и изисквания за съдържанието защитни функциивсеки от механизмите във всеки от класовете системи (фигура 2.3).
Статията описва опита в осигуряването на информационната сигурност на операционни системи и системи за управление на бази данни на организационни сложни йерархични структури. Представен е проект на интегрирана система за информационна сигурност, базирана на йерархичен подход към моделирането. сложни системиуправление.
В момента в областта на информационните технологии (ИТ), проблемите на създаването и развитието регулаторна рамкав областта на информационната сигурност, както и необходимостта от комплекс от работи, насочени към разработване на стандартизация и сертифициране в областта на информационната сигурност (ИС).
Стандарти, които определят изискванията за информационна сигурност и са в основата регулаторна рамка, са важни за всички субекти на отношения в тази област, преди всичко за онези организации и предприятия, които се интересуват от защита на своите информационни ресурси. Службите за управление и сигурност на предприятията трябва ясно да разбират на какви изисквания, в зависимост от условията на работа, трябва да отговарят техните информационни системи (ИС). Разработчиците на информационни технологии и информационни системи трябва да се ръководят от стандарти, за да гарантират сигурността на своите разработки.
Всеки, който работи в ИТ, разбира необходимостта от защита на операционните системи (ОС). Необходимостта от вградена защита на това ниво е извън съмнение. Операционната система защитава механизмите на приложния слой от злоупотреба, заобикаляне или налагане на фалшива информация. Ако не успее да изпълни тези изисквания, ще се появят уязвимости в цялата система.
Една от задачите на ИС е съхраняването и обработката на данни. За решаването му бяха положени усилия, които доведоха до появата на специализиран софтуер - системи за управление на бази данни (системи за управление на бази данни, СУБД). СУБД ви позволяват да структурирате, систематизирате и организирате данни за тяхното компютърно съхранение и обработка. Невъзможно е да си представим дейността на съвременно предприятие или институция без използването на професионални системи за управление на бази данни. Несъмнено те формират основата на информационната дейност във всички области – от производството до финансите и телекомуникациите. В този смисъл ОС и СУБД са сходни една с друга.
Основата на правната уредба в областта на информационната сигурност на операционни системи и системи за управление на бази данни, където се обработва поверителна информация, е приети законии нормативни актове на Руската федерация. Един от тези документи е "Доктрината за информационна сигурност на Руската федерация", която представлява набор от официални възгледи за целите, задачите, принципите и основните насоки за осигуряване на информационната сигурност на Руската федерация. Доктрината служи като основа за формирането публична политикав областта на осигуряването на информационната сигурност на Руската федерация и разработва Концепцията за национална сигурност на Руската федерация във връзка с информационната сфера. Интересите на личността в информационната сфера се състоят в осъществяването на конституционните права на човек и гражданин за достъп до информация, за използване на информация в интерес на извършване на дейности, незабранени със закон, физически, духовни и интелектуално развитие, както и в защитата на информацията, която гарантира личната сигурност. Интересите на обществото в информационната сфера са осигуряване на интересите на индивида в тази област, укрепване на демокрацията, създаване на правна социална държава, постигане и поддържане на обществена хармония, духовно обновление на Русия.
Според общата си ориентация заплахите за ИД на Руската федерация се делят на правни; технологични; организационно-икономически (Таблица 1). Общите методи за предоставяне на RF IS са организационно-технически, правни, организационно-икономически, софтуерни и хардуерни и икономически (Таблица 2).
T a b l e 1. Видове заплахи за RF IS
| Правни | | технологични | Организационно-икономически | |
T a b l e 2. Методи за поддръжка на RF IS
| Организационно-технически | | Правни | Организационно-икономически | Софтуер и хардуер | Икономически методи | |
Най-важните обекти на поддръжката на RF IS в областта на науката и технологиите са:
- резултати от фундаментални, търсещи и приложни научно изследванепотенциално важно за научното, техническото, технологичното и социално-икономическото развитие на страната, включително информация, загубата на която би могла да навреди на националните интереси и престижа на Руската федерация;
- открития, непатентовани технологии, промишлени дизайни, полезни модели и експериментално оборудване;
- научно-технически кадри и системата на тяхното обучение.
Сред основните външни заплахи за ИС на РФ в областта на науката и технологиите е желанието на развитите чужди държави да получат нелегален достъп до научните и технически ресурси на Русия, за да използват резултатите, получени от руски учени, в свои интереси.
Основните вътрешни заплахи за ИС на РФ в областта на науката и технологиите включват:
- продължаващата тежка икономическа ситуация в Русия, водеща до рязък спадфинансиране на научно-технически дейности, временен спад на престижа на научно-техническата сфера, изтичане на идеи и напреднали разработки в чужбина;
- сериозни проблеми в областта на патентната защита на резултатите от научно-техническата дейност на руски учени;
- сложността на прилагането на мерки за защита на информацията, особено в акционерни предприятия, в научни и технически институции и организации.
Истинският начин за противодействие на заплахите за ИС на РФ в областта на науката и технологиите е подобряването на законодателството на Руската федерация, което регулира отношенията в тази област, и механизмите за неговото прилагане. За тези цели държавата трябва да допринесе за създаването на система за оценка на възможните щети от прилагането на заплахи за най-важните обекти за осигуряване на информационната сигурност на Руската федерация в областта на науката и технологиите.
литература
- ISO/IEC 17799 Управление на информационната сигурност. Практически правила.
- Сигурност на информационните технологии - Операционни системи - Базов защитен профил (чернова). Център за информационна сигурност. 2003 г.
- GOST R 50739-95. «Средства на компютърните технологии. Защита срещу неоторизиран достъп до информация. Общи технически изисквания".
- ESPD GOST 19102-77. „Изисквания за планиране проектантска работаза разработка на софтуер".
- Ковалев С. В. Изчислително-математически модел на управление на риска за икономическата сигурност за проекти за развитие на сложни системи // Проблеми на управлението на сигурността на сложни системи: Сборник доклади от XVII международна конференция. Москва: RGGU. 2009 г.
- Ковалев С. В. Модел за осигуряване на защита на корпоративната информация на базата на принципите за контрол на риска // Информационна икономика: институционални проблеми. Материали от Деветите четения на Дракър. М: Добра дума. 2009 г.
- Ковалев С. В. Методология на информационната сигурност на сложни системи, базирани на управление на индустриалния риск // Проблеми на управлението на сигурността на сложни системи: Сборник на XVII международна конференция. Москва: RGGU. 2009 г.
- Ковалев С. В. Методология за разработване и прилагане на информационно-технологична поддръжка кръговат на животанаукоемко производство // Информационни технологии на моделиране и управление. 2009. No 5(57).
Един от основните компоненти на успешното функциониране на съвременното предприятие е разработването на система за осигуряване на информационна сигурност и защита на информацията. Необходимостта от извършване на дейности в тази област се обяснява със съхраняването на лични данни за учениците в информационната система, които са поверителна информация. Недобросъвестните конкуренти са готови да предприемат незаконни действия, за да завладеят информация на други хора и след като я завладеят, я използват в ущърб на конкурентите. Друг важен аспект от осигуряването на информационната сигурност е защитата от умишлено или случайно унищожаване на данни, което ще доведе до загуба на информация, важна както за оперативната работа на институцията, така и за аналитичното отчитане.
При водене на хартиено счетоводство в Детско-юношеско спортно училище No 5 ситуацията с осигуряването на информационна сигурност и защита на информацията е много посредствена. Данните за учениците и тяхното здраве, учители и такси за обучение се съхраняват под формата на хартиени документи в кабинетите на служителите, а обработените документи се архивират. В същото време нищо не пречи на външни служители да прочетат тези документи или да ги копират, а нападател да ги открадне. Длъжностните характеристики за необходимостта от спазване на процедурата за съхранение на документи едва ли ще спрат нападател, който си е поставил за цел да ги завладее. При хартиената версия на правене на бизнес също има голяма вероятност от загуба на документи, както и от умишлено или случайно унищожаване на документи.
При използване на компютъризирана версия на работата нивото на информационна сигурност се увеличава с порядък. Самата автоматизирана система за управление на документи принуждава потребителя да бъде по-отговорен по този въпрос.
Технически, информационната сигурност и защитата на информацията се осъществяват с помощта на система с пароли за достъп до ресурси на информационната система на различни нива. На първо място, това е паролата за влизане на потребителя в операционната система на неговото работно място. Въвеждането на тази парола дава на потребителя достъп до ресурсите на този компютър и до документите, съхранявани на него. В същото време политиката за сигурност трябва да бъде конфигурирана по такъв начин, че потребителят да не е пълен "господар" на работното си място и да не може например да инсталира злонамерен софтуер или програми за копиране на информация. Ограничаването на правата донякъде усложнява работата на потребителите, но в същото време гарантира сигурността на данните. Винаги е необходимо да се намери баланс между удобството и комфорта на работа на потребителя и сигурността на съхраняване на корпоративна или клиентска информация.
Когато потребителят въведе паролата си за влизане в операционната система, той получава достъп не само до ресурсите на този компютър, но и до ресурсите на компютърната мрежа на предприятието. Това е възможно, ако потребителят влезе в компютъра като потребител на домейн или мрежа. В този случай е необходимо да се третира още по-внимателно диференцирането на потребителските права в мрежата. Трябва да конфигурирате правата на мрежовия потребител по такъв начин, че да му дадете възможност да работи свободно с документите си, но в същото време да ограничите достъпа до документи, с които той няма права да работи или те са само права за гледане. В този случай задачата за защита на данните от неоторизиран достъп и от случайни повреди се решава едновременно.
Системният администратор в предприятието има прерогатива да присвоява потребителски права. Той е този, който трябва да ограничи правата на потребителите за достъп до документи и приложения както в мрежата, така и на локалните компютри.
Второто ниво на защита на информацията е защита с парола на достъп директно до автоматизираната система за работа на Детско-юношеско спортно училище № 5, внедрена в системата 1C: Enterprise 8.1. Системата 1C:Enterprise включва механизъм за поддържане на списък с потребители и разграничаване на техните права за достъп до данни. В резултат на това можете гъвкаво да конфигурирате достъпа на потребителя само до необходимите данни в информационната система, като се криете от неоторизиран достъп и от възможността за случайно повреждане на данни, до които потребителят няма достъп.
Третото ниво на защита с парола на информацията е паролата за достъп до базата данни на SQL Server при изграждане на клиент-сървър версия на архитектурата на системата 1C:Enterprise 8.1. При този вариант на работа данните, съхранявани в базата данни, са защитени не само от системата за ограничаване на правата за достъп на потребителите на системата 1C:Enterprise, но и от системата SQL Server, което повишава нивото на сигурност с порядък. .
Отговорността за разпределянето на потребителски права за достъп до данни, съхранявани в информационната система 1C:Enterprise 8.1, се носи от системния администратор. Той трябва да конфигурира правата на всеки потребител по такъв начин, че без да му създава затруднения в работата му, да ограничи достъпа си до данни, до които няма достъп. Заедно със системния администратор те също така конфигурират достъп до базата данни на SQL Server.
Безспорен фактор, който повишава нивото на информационна сигурност и защита на информацията при внедряване на електронна система за счетоводство на продажбите, е възможността, ако е необходимо, да се „спасява“ цялата база данни от документи на всеки електронен носител в случай на, например, природни бедствия . В бъдеще това копие на базата данни може да бъде разгърнато на ново място и работата с документи може да продължи от мястото, където е била прекъсната.
В допълнение към организацията на защита с парола на информацията, не трябва да се пренебрегва физическата защита на информацията. Препоръчително е да поставите сървър на компютърна мрежа, система 1C: Enterprise и сървър на база данни SQL Server (с версия клиент-сървър на работа) в отделна стая (сървърна стая), в която освен специалните условия, необходими за работата на сървърите (климатика, вентилация, ...), създават специални условия, изключващи влизането на неоторизирани лица. Това може да е система за контрол на достъпа или други организационни мерки.
Въпреки планираното въвеждане на автоматизирана система в Детско-юношеско спортно училище No5, все пак ще се работи с хартиени документи. Така например договорите, сключени с клиенти, имат юридическа сила само на хартия. Организацията на съхранение на такива документи, изключваща възможността за достъп до тях от неупълномощени лица или служители, които нямат достъп до тях, е важен момент за осигуряване на цялостната система за информационна сигурност. Препоръчително е да се организира архив, в който да се съхраняват такива документи и да се регулира достъпът на служителите до него. Възможността за проникване на неупълномощени лица за изключване на физически методи (желязна врата, решетки на прозорците).
дипломна работа
1.2.4 Анализ на информационната сигурност и системата за защита на информацията
Процесът на глобализация на информационните и телекомуникационните комплекси, въвеждането на информационни технологии в Държавното унитарно предприятие OTs Moscow House of Books, реализиран главно върху хардуер и софтуер от собствено производство, значително изостри проблема със зависимостта на качеството на информацията. транспортни процеси за възможни умишлени и неволни въздействия на нарушителя върху предаваните потребителски данни, информация за управление и хардуер и софтуер, които осигуряват тези процеси.
Увеличаването на обема на съхраняваната и предавана информация води до увеличаване на потенциала на нарушителя за неоторизиран достъп до информационната сфера на Държавното унитарно предприятие ОТС "Московски дом на книгата" и въздействието върху процесите на неговото функциониране.
Усложняването на използваните технологии и процесите на функциониране на Държавното унитарно предприятие OTs Moscow Book House води до факта, че хардуерът и софтуерът, използвани в Държавното унитарно предприятие OTs Moscow Book House, обективно могат да съдържат редица грешки и недекларирани функции, които могат да да бъдат използвани от нарушители.
Липсата на необходимите средства за защита в SUE OC Moscow House of Books в условията на информационна конфронтация прави компанията като цяло уязвима за възможни враждебни действия, нелоялна конкуренция, както и престъпни и други незаконни действия. Организационната структура на системата за информационна сигурност на SUE OC Moscow House Books" може да бъде представена като комбинация от следните нива:
Ниво 1 - Управление на организацията;
Ниво 2 - блок на МКС;
Ниво 3 - Персонал и допълнителни средствазащита;
Ниво 4 - Отговаря за ИС в подразделения (на технологични обекти);
Ниво 5 – Крайни потребители и обслужващ персонал.
При разработването на софтуер Държавното унитарно предприятие OTs "Московски дом на книгата" следва основните стандарти, регулиращи:
Индикатори за качество на софтуера;
жизнен цикъл и технологичен процессъздаване на критични набори от програми, които допринасят за тяхното високо качествои предотвратяване на неволни дефекти;
Тестване на софтуер за откриване и отстраняване на програмни и данни дефекти;
Тестване и сертифициране на програми за удостоверяване на постигнатото качество и безопасност на тяхната работа.
Таблица 1.3. Международни стандарти, насочени към осигуряване на безопасност на процеса
|
ISO 09126:1991. ТО. |
Оценка на софтуерния продукт. Качествени характеристики и насоки за тяхното използване. |
|
|
ISO 09000-3:1991. |
Общо управление на качеството и стандарти за осигуряване на качество. Част 3: Насоки за прилагане на ISO 09001 при разработване, доставка и поддръжка на софтуер. |
|
|
Процеси на жизнен цикъл на софтуера. |
||
|
ANSI/IEEE 829 - 1983. |
Документация при тестване на програми. |
|
|
ANSI/IEEE 1008 - 1986. |
Тестване на софтуерни модули и софтуерни компоненти. |
|
|
ANSI/IEEE 1012 - 1986. |
Планиране на верификация (оценка) (верификация) и валидиране (валидиране) на софтуер. |
За да защити информацията от външни заплахи, SUE OTs Moscow Book House използва защитна стена - софтуерен или хардуерен рутер, комбиниран със защитна стена.Тази система ви позволява да филтрирате пакети с данни.
Фирмата разполага и с правни и организационни и административни документи като:
1. Регламент за информационна сигурност:
достъп на служителите до служебна информация, представляваща търговска тайна;
· достъп до използването на софтуер, конфигуриран персонално в „GUP OTs „Московски дом на книгата“.
2. Правила за ползване на Интернет, електронна поща „ГУП ОЦ „Московски дом на книгата“.
Автоматизиране на работата на старши администратор на пансиона FSUE "OK" Rublevo-Uspensky "UDP RF
Корпоративната система за информационна сигурност обхваща всички компоненти на информационната инфраструктура, описани в този проект и гарантира целостта, поверителността и наличността на информация...
Анализ на информационната система на предприятието АД "Уралтранснефтепродукт"
Във връзка с нарастващите случаи на терористични атаки, кражби на петрол, тази тема стана широко разпространена, тъй като в допълнение към тези видове заплахи има конкуренция на пазара за услуги, свързани с петрол...
Избор и обосновка за придобиване на информационна система за автоматизация на примера на 1C Bit LLC
За да гарантира сигурността и защитата на информацията, ръководството на компанията реши да прибегне до помощта на Kaspersky Lab...
Процесът на глобализация на информационните и телекомуникационните комплекси, въвеждането на информационни технологии в Държавното унитарно предприятие OTs Moscow House of Books, реализиран главно върху хардуер и софтуер от собствено производство ...
Информационна сигурност в Държавното унитарно предприятие ОТС "Московски дом на книгата"
Според методите на изпълнение всички мерки за защита на информацията ...
Информационна сигурност в Държавното унитарно предприятие ОТС "Московски дом на книгата"
Информационна сигурност в Държавното унитарно предприятие ОТС "Московски дом на книгата"
В Руската федерация регулаторните правни актове в областта на информационната сигурност включват: 1 ...
Информационна сигурност в Държавното унитарно предприятие ОТС "Московски дом на книгата"
Организационните (административни) мерки за защита са мерки, които регулират процесите на функциониране на ASOEI, използването на неговите ресурси, дейностите на персонала, както и процедурата за взаимодействие между потребителите на системата по този начин ...
Проектиране и разработване на информационна система за отчитане на ремонтни работи и поддръжка на офис оборудване на LLC "Компютърен свят", Самара
Създаването на системи за информационна сигурност в ИС се основава на следните принципи: системен подход, принцип на непрекъснато развитие на системата, разделяне и минимизиране на правомощията, пълнота на контрол и регистриране на опитите ...
Разработване на модул за бизнес процес на отдел за обслужване на клиенти и склад на базата на конфигурацията на основния 1С модел
Разработване на модул за автоматизиране на бизнес процесите на отдела за обслужване на клиенти и склада на ZhilRemStroy LLC въз основа на конфигурацията на базовия модел 1C
Дружеството разполага с нормативни правни и организационни и административни документи: 1. Регламент за информационна сигурност: достъп на служителите до официална информация...
Разработване на модул за експорт на отчетна документация
За защита от външни заплахи, операционната система (Windows XP SP3), която е инсталирана на всички персонални компютри на служителите на Nympha Trade House, е защитена от лицензирания софтуерен продукт Kaspersky Antivirus 6.0 и Kaspersky Internet Security 6.0...
Подобряване на системата за защита на личните данни на Alfa Bank OJSC
Подобряване на системата за информационна сигурност в помещенията на АД "Рашет"
В предприятието, както виждаме в Таблица 9, повечето от уязвимостите са свързани с недостатъчен надзор на помещенията. Тъй като компанията OJSC "Raschet" наема помещения от друга компания, която осигурява проходна система ...
ЗАО "Консултант Плюс" има политика за сигурност.
Фирмата разполага със следните правни документи в областта на защитата на информацията и информационната сигурност (ИС):
- - Наредба за поверителна информация
- - Декларация относно използването на софтуер
- - Декларация относно използването на електронната поща
- - Правила за ползване на Интернет
- - Наредба за използването на мобилни устройства и носители за съхранение
- - Вътрешен трудов правилник
- - Заповед за въвеждане на политика за информационна сигурност
- - Заповед за въвеждане на Правилник за вътрешния трудов ред
- - Заповед за въвеждане на вътрешнообектен контрол на достъпа
Главният служител по сигурността и началникът на системната администрация са отговорни за прилагането на тези разпоредби.
AT трудови договорислужителите на предприятието имат клауза, посветена на неразкриване на поверителна информация по време на срока на договора, както и три години след прекратяването му. Служителите са длъжни да спазват всички изисквания на свързаните с тях заповеди, инструкции и наредби, за да гарантират безопасността на търговските тайни и друга поверителна информация на Работодателя, спазването на вътрешнообектния и контрол на достъпа.
Когато служителите използват електронна поща, е забранено:
- 1) Използвайте имейл за лични цели.
- 2) Изпращайте електронни съобщения, съдържащи:
а. конфиденциална информация
б. информация, представляваща търговска тайна, освен когато е част от служебните задължения на подателя.
д. Информация, файлове или софтуер, които могат да нарушат или ограничават функционалността на софтуера и хардуера в корпоративна мрежа.
- 3) Следвайте връзки и отворете прикачени файлове на входящи имейл съобщения, получени от неизвестни податели.
- 4) По своя инициатива изпращат (включително масови) електронни съобщения (ако разпространението не е свързано с изпълнение на служебни задължения).
- 5) Публикувайте своя имейл адрес или имейл адреса на други служители на Организацията в публични интернет ресурси (форуми, конференции и др.).
- 6) Осигурете на служителите на Организацията (с изключение на IP администраторите) и на трети страни достъп до тяхната електронна пощенска кутия.
- 7) Шифроване на електронни съобщения без предварително одобрение от администраторите на IS.
При използване на интернет е забранено:
- 1) Използвайте предоставения от Организацията достъп до Интернет за лични цели.
- 2) Използвайте специализиран хардуер и софтуер, които ви позволяват да получите неоторизиран достъп до Интернет.
- 3) Извършване на всякакви действия, насочени към нарушаване на нормалното функциониране на елементите на ИС на Организацията.
- 4) Публикувайте, качвайте и разпространявайте материали, съдържащи:
а) Поверителна информация,
б) Информация, представляваща търговска тайна, освен когато е част от служебни задължения.
- 5) Информация, изцяло или частично, защитена с авторско право или други права, без разрешението на собственика.
- 6) Зловреден софтуер, предназначен да нарушава, унищожава или ограничава функционалността на хардуера и софтуера, както и серийни номера на търговски софтуер и софтуер за генерирането им, пароли и други средства за получаване на неоторизиран достъп до платени интернет ресурси, както и връзки към горната информация.
- 7) Фалшифицирайте своя IP адрес, както и друга частна информация.
CJSC "Консултант Плюс" има право да използва ограничен списък от търговски софтуер (според Регистъра на разрешен софтуер) и безплатен софтуер (необходим за изпълнение на производствени задачи). На потребителите е забранено да инсталират друг софтуер на своите компютри.
В ИС ЗАО „Консултант Плюс” е разрешено използването само на регистрирани мобилни устройства и носители за съхранение, които са собственост на Организацията и подлежат на редовен одит и контрол. На мобилни устройства, предоставени от Организацията, е разрешено използването на търговски софтуер, включен в Регистъра на софтуера, разрешен за използване.
На програмно ниво се извършва контрол на достъп, базиран на роли, в услугата директория на Microsoft Active Directory, както и при достъп до СУБД. Същата услуга управлява потребителските пароли: всяка парола има срок на валидност, след което потребителят е принуден да зададе друга парола; системата не ви позволява да въведете парола, която е твърде кратка или твърде проста. Така се постига защита срещу неоторизиран достъп до системата.
За защита на LAN и компютрите от външни заплахи се използва пакетът Kaspersky Enterprise Space Security, който изпълнява следните функции:
- 1) Защита срещу хакерски атаки.Съвременните хакери използват кейлогъри (кейлогъри) и руткити за атаки – програми, които позволяват неоторизиран достъп до данни и в същото време избягват откриване. Антивирусната машина ефективно неутрализира тези заплахи, предотвратявайки неоторизиран достъп до компютрите в корпоративната мрежа.
- 2) Защита от фишинг.Базата данни с URL адреси на фишинг сайт непрекъснато нараства; той разпознава и блокира подозрителни връзки и филтрира фишинг имейли, повишавайки нивото на LAN сигурност.