Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Анализ системы обеспечения информационной безопасности и Выбор метода ее модернизации

Читайте также:
  1. B) Нарушение анализа смысловых структур у больных с поражением лобных долей мозга
  2. D. Отсрочка выборов в Великое Национальное Собрание Турции и дополнительные выборы
  3. I. ОБЩИЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ
  4. III Анализ положения дел в отрасли
  5. III. ТРЕБОВАНИЯ БЕЗОПАСНОСТИ ВО ВРЕМЯ РАБОТЫ
  6. IV. КОМПЬЮТЕРИЗИРОВАННЫЙ ТЕХНИЧЕСКИЙ АНАЛИЗ
  7. IX. Меры безопасности при пользовании ледовыми переправами

2.1 Методы и средства защиты информации в сетях

На первом этапе развития концепций обеспечения безопасности данных преимущество отдавалось программным средствам защиты. Но практика показала, что для обеспечения безопасности данных этого недостаточно, и интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Обычно на предприятиях в зависимости от объема хранимых, передаваемых и обрабатываемых конфиденциальных данных за информационную безопасность отвечают отдельные специалисты или целые отделы.На рисунке 2.1 представлена модель комплексной защиты информации.

Рисунок 2.1 модель комплексной защиты информации

 

В защите информации четко выделяют два направления: защита конфиденциальности и защита работоспособности. Для выполнения этих задач существуют специальные методы и средства защиты данных, которые подробно представлены на рисунке 2.2.

Рисунок 2.2 - Классификация методов и средств защиты данных

 

Методы обеспечения безопасности информации в ИС делятся на: препятствие, управление доступом, механизмы шифрования (маскировка), регламентация, принуждение, побуждение, противодействие атакам вредоносных программ.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает:

− идентификацию пользователей, персонала и ресурсов системы;

− опознание субъекта по предъявленному им идентификатору;

− проверку полномочий;

− создание условий работы в пределах установленного регламента;

− регистрацию обращений к защищаемым ресурсам;

− при попытках несанкционированных действий.

Механизмы шифрования – криптографическое закрытие информации.

Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при кото­рых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и исполь­зование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования ИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий.

Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС в стране и в мире. Морально-этические нормы могут быть неписаные либо оформленные в некий свод правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

 

2.2 Определение классов защищенности

2.2.1 Определение требуемого класса защищенности АСОД в ОАО «Альфапроект»

Для определения требуемого класса защищенности в Российской Федерации существует конкретный подход, реализованный в руководящем документе Государственной технической комиссии при Президенте РФ «Классификация автоматизированных систем и требований по защите информации» Часть 1. В данном документе вы­делено 9 классов защищенности автоматизированных систем от несанк­ционированного доступа к информации, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем (рисунок 2.3)[3].

 

 

Рисунок 2.3 – Классы защищенности АСОД

 

Классы систем разделены на три группы, причем основным критери­ем деления на группы приняты специфические особенности обработки информации.

Требования к защите растут от систем класса ЗБ к классу 1А.

Комплекс программно-технических средств и организационных решений по системе защиты информации от НСД, состоит из четырех подсистем, представленных на рисунке 2.4.

Требования к подсистемам в соответствии с классами защищенности представлены в таблице 2.1.

 

Рисунок 2.4 – Требования к подсистемам СЗИ

 

Таблица 2.1 – Требования к подсистемам СЗИ в соответствии с классами защищенности

Подсистемы и требования Классы систем
                   
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов в систему: + + + + + + + + +
К терминалам, ЭВМ, каналам связи, внешним устройствам ЭВМ; - - - + - + + + +
К программам; - - - + - + + + +
К томам, каталогам, файлам, записям, полям записей. - - - + - + + + +
1.2. Управление потоками информации - - - + - + + + +
2. Подсистема регистрации и учета 2.1. регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети); + + + + + + + + +
Выдачи печатных (графических) выходных документов; - + - + - + + + +
Запуска/завершения программ процессов (заданий, задач); - - - + - + + + +
Окончание таблицы 2.1
                   
Доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи; - - - + - + + + +
Доступа программ субъектов, доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; - - - + - + + + +
Изменения полномочий субъектов доступа - - - - - + + + +
Создаваемых защищаемых объектов доступа - - - + - - + + +
2.2. Учет носителей информации + + + + + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей - + - + - + + + +
3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации + + + + + + + + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на различных ключах. - - - - - - - - +
3.3. Использование аттестованных (сертифицированных) криптографических средств. - - - + - - - + +
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации + + + + + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + + + + + + + + +
4.3. Наличие администратора (службы) защиты информации в автоматизированной системе обработки данных - - - + - - + + +
4.4. Периодическое тестирование средств защиты информации несанкционированного доступа + + + + + + + + +
4.5. Наличие средств восстановления средств защиты информации несанкционированного доступа + + + + + + + + +
4.6. Использование сертифицированных средств защиты - + - + - - + + +

 

ОАО «Альфапроект», опираясь на данный подход, АСОД необходимо отнести ко второй группе, т.к. вся обработка информации, и дальнейшее её хранение, осуществляется группой сотрудников, а это признак многопользовательских АС, но при этом пользователи работают с одинаковым уровнем доступа, это характеризует АСОД ОАО «Альфапроект», как АС второй группы. Определение класса 2-й группы защищенности АС осуществляется исходя из уровня секретности ресурсов, ресурсы подлежащие защите были определены как ограниченные в доступе и имеющие статус конфиденциальной информации, соответственно класс защищенности рассматриваемой АСОД характеризуется как «А».

Таким образом, комплекс средств защиты информации (КСЗИ) для данного предприятия должен отвечать следующим требованиям, представленным в таблице 2.1 для класса защищенности 2А.

 

2.2.2 Определение требуемого класса защищенности средств вычислительной техники АСОД ОАО «Альфапроект

В части 2 Руководящих документов «Классификация автоматизированных систем и требований по защите информации»[4] устанавливается классификация средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе списка характеристик защищенности и совокупности описывающих их требований. В зависимости от реализованных моделей защиты и надежности их проверки классы подразделяются на 4 группы (рисунок 2.5).

Первая группа включает только один седьмой класс - минимальная защищенность.

Вторая группа характеризуется избирательной защитой и включает шестой и пятый классы. Избирательная защита предусматривает контроль доступа поименованных субъектов к поименованным объектам системы.

Третья группа характеризуется полномочной защитой и включает четвертый, третий и второй классы. Полномочная защита предусматривает присвоение каждому субъекту и объекту системы классификационных меток, указывающих место субъекта объекта в соответствующей иерархии.

Четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Автоматизированная система, предназначенная для обработки конфиденциальной информации, должна быть не ниже классов 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:

− не ниже 5 класса – для класса защищенности АС 2А;

− не ниже 4 класса – для класса защищенности АС 1В;

− не ниже 3 класса – для класса защищенности АС 1Б;

− не ниже 2 класса – для класса защищенности АС 1А.

Для присвоения класса защищенности система должна иметь: руководство администратора по системе, руководство пользователя, тестовую и конструкторскую документацию.

 

 

Рисунок 2.5 – Классы защищенности СВТ

 

В пункте 2.2.1 класс защищенности АС ОАО «Альфапроект» был определен как 2А. Целесообразно устанавливать СВТ с классом защищенности приближенным к данной категории, а именно к 5 классу защищенности. Таким образом, класс защищенности СВТ в ОАО «Альфапроект» должен быть 5.

 

2.3 Средства защиты информации, используемые на предприятии

В ОАО «Альфапроект» используются все группы СЗИ. В таблице 2.4 представлены СЗИ используемые на предприятии.

 

Таблица 2.4 – СЗИ в ОАО «Альфапроект»

Группа СЗИ СЗИ Назначение СЗИ
Технические (аппаратные) Сигнализация проникновения на предприятие Контроль от НСД на предприятие
Техническая охрана помещений
Отдельная серверная комната
Электронные ключи Контроль от НСД к ПЭВМ
Программные Развернута служба каталогов ActiveDirectory Программа для идентификации пользователей, контроля доступа
Установлена антивирусная системы защиты на ПЭВМ Защита от вредоносного ПО
Брандмауэр Контроль интернет трафика
Архивирование Возможность восстановления потерянных данных в результате сбоев СВТ и ошибок сотрудников эксплуатации программных средств
Смешанные (программно аппаратные) Установлена технология VPN Защита и шифрования сетевого трафика во время соединения с другими филиалами
VLAN Логическое деление ЛВС на независимые сети, защита от ARP-spoofing
Организационные   Заключен договор об охране помещения и территории (действует пропускной режим) Юридически оформленная система административных мер, позволяющая применять взыскания или санкции к нарушителям внутренней политики безопасности, а также устанавливать достаточно четкие условия по обеспечению конфиденциальности сведений, используемых на предприятии.
Разработан режим и правила противопожарной безопасности
Положение о конфиденциальном документообороте
Разработаны должностные инструкции служащих, разграничивающие их права и обязанности
Дополнительные соглашения к трудовым договорам сотрудников о неразглашении ими конфиденциальной информации
Отдельная серверная комната под замком

 

Необходимо рассмотреть некоторые из представленных выше СЗИ, а именно:

− электронные ключи;

− служба каталогов ActiveDirectory;

− антивирусная системы защиты на ПЭВМ;

− брандмауэр;

− архивирование;

Электронный ключ – аппаратное средство, предназначенное для защитыпрограммного обеспечения и данных от копирования, нелегального использования и несанкционированного распространения.

В ОАО «Альфапроект» используется Электронный идентификатор Rutoken – это персональное устройство доступа к информационным ресурсам, полнофункциональный аналог смарт-карты, выполненный в виде usb-брелока. Идентификатор предназначен для безопасного хранения и использования паролей, цифровых сертификатов, ключей шифрования и ЭЦП. Ключевой элемент защитыRutoken служит для строгой двухфакторной аутентификации, защиты электронной переписки, установления защищенных соединений, проведения финансовых транзакций и криптографической защиты информации.

Служба каталогов ActiveDirectory (AD) — сервис, интегрированный с Windows NT Server. Она обеспечивает иерархический вид сети, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется. На приведенном ниже рисунке 2.6 схематично изображены основные функции службы каталогов.

Антивирусная системы защиты на ПЭВМ необходима для контроля постоянно растущих рисков полной или частичной остановки бизнес процессов в результате вирусных заражений[5].

В ОАО «Альфапроект» используется антивирусная программа ESET NOD32 PlatinumPack 4.0.

 

 

Рисунок 2.6 – Основные функции службы каталогов

 

Решения ESET NOD32 прошли сертификацию и получили сертификат Федеральной службы по техническому и экспортному контролю (ФСТЭК России) класса «К1». Данный сертификат подтверждает, что программные продукты ESET соответствуют требованиям, предъявляемым к информационным системам защиты персональных данных первого класса, и могут использоваться на предприятиях, обрабатывающих персональные данные высшей категории конфиденциальности.

Данная антивирусная программа обеспечивает комплексную защиту серверов для всех типов организаций, включая в себя антивирус, антишпион, антиспам, персональный файервол. Программа ориентирована на предприятия от 5 до 100 000 ПК в рамках одной структуры.

Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер. Такой сервер автоматически производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании.

Таким образом, все рассмотренные СЗИ, в комплексе, обеспечивают информационную безопасность АСОД В ОАО «Альфапроект».

2.4 Анализ соответствия требованиям по защите информации ивыбор метода к повышению ее безопасности

Необходимо проанализировать систему информационной безопасности ОАО «Альфапроект» на соответствия требованиям выставляемым АС класса защищенности от НСД. Для этого необходимо сопоставить СЗИ, используемые на предприятии, с требованиями к подсистемам СЗИ АС от НСД. Более наглядно это будет выглядеть в виде таблицы (таблица 2.5).

 

Таблица 2.5 – Анализ системы ИБ в ОАО «Альфапроект»

Подсистемы и требования СЗИ Компетентность
     
1. подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов в систему: АD Удовлетворяет в полной мере
К терминалам, ЭВМ, каналам связи, внешним устройствам ЭВМ; АD, Firewаll,Брандмауэр Удовлетворяет в полной мере
К программам; АD, Электронные ключи Удовлетворяет в полной мере
К томам, каталогам, файлам, записям, полям записей. АD Проблемы с наследованием прав доступа
1.2. Управление потоками информации АD, VPN, VLАN, Firewаll, Брандмауэр Удовлетворяет в полной мере
2. Подсистема регистрации и учета 2.1 регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети); АD, server 2007 Удовлетворяет в полной мере
2.2 Доступа программ субъектов доступа к защищаемым файлам, доступа к терминалам, ЭВМ; АD, server 2007 Удовлетворяет в полной мере

 

 


Дата добавления: 2015-10-16; просмотров: 196 | Нарушение авторских прав


Читайте в этой же книге: ВВЕДЕНИЕ | ОАО «АЛЬФАПРОЕКТ» ДЛЯ РАЗГРАНИЧЕНИЯ ДОСТУПА | ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА | МЕРОПРИЯТИЯ ПО ТЕХНИКЕ БЕЗОПАСНОСТИ И ОХРАНЕ ТРУДА | ПРИЛОЖЕНИЕ А | ПРИЛОЖЕНИЕ Б |
<== предыдущая страница | следующая страница ==>
АНАЛИТИЧЕСКАЯ ЧАСТЬ| Окончание таблицы 2.5

mybiblioteka.su - 2015-2024 год. (0.018 сек.)