Главная       Продать работу       Блог       Контакты       Оплата       О нас       Как мы работаем       Регистрация       Вход в кабинет
Тех. дипломные работы
   автомобили
   спец. техника
   станки
   тех. маш.
   строительство
   электроснабжение
   пищевая промышленность
   водоснабжение
   газоснабжение
   автоматизация
   теплоснабжение
   холодильники
   машиностроение
   др. тех. специальности

Тех. курсовые работы
   автомобили
   спец. техника
   станки
   тех. маш.
   строительство
   детали машин
   электроснабжение
   газоснабжение
   водоснабжение
   пищевая промышленность
   автоматизация
   теплоснабжение
   ТММ
   ВСТИ
   гидравлика и пневматика
   машиностроение
   др. тех. специальности

Тех. дополнения
   Отчеты
   Расчетно-графические работы
   Лекции
   Задачи
   Лабораторные работы
   Литература
   Контрольные работы
   Чертежи и 3D моделирование
   Тех. soft
   Рефераты
   Общий раздел
   Технологический раздел
   Конструкторский раздел
   Эксплуатационный раздел
   БЖД раздел
   Экономический раздел
   Экологический раздел
   Автоматизация раздел
   Расчетные работы

Гум. дипломные работы
   педагогика и психология
   астрономия и космонавтика
   банковское, биржевое дело
   БЖД и экология
   биология и естествознание
   бухгалтерский счет и аудит
   военное дело
   география
   геология
   государство и право
   журналистика и СМИ
   иностранные языки
   история
   коммуникации
   краеведение
   кулинария
   культура и искусство
   литература
   экономика и торговля
   математика
   медицина
   международное отношение
   менеджмент
   политология
   музыка
   религия
   социология
   спорт и туризм
   таможенная система
   физика
   химия
   философия
   финансы
   этика и эстетика
   правознавство

Гум. курсовые работы
   педагогика и психология
   астрономия и космонавтика
   банковское, биржевое дело
   БЖД и экология
   биология и естествознание
   бухгалтерский счет и аудит
   военное дело
   география
   геология
   государство и право
   журналистика и СМИ
   иностранные языки
   история
   коммуникации
   краеведение
   кулинария
   культура и искусство
   литература
   экономика и торговля
   математика
   медицина
   международное отношение
   менеджмент
   политология
   музыка
   религия
   социология
   спорт и туризм
   таможенная система
   физика
   химия
   философия
   финансы
   этика и эстетика
   правознавство

Гум. дополнения
   Отчеты
   Расчетные работы
   Лекции
   Задачи
   Лабораторные работы
   Литература
   Контрольные работы
   Сочинения
   Гум. soft
   Рефераты

Рефераты
   Авиация и космонавтика
   Административное право
   Арбитражный процесс
   Архитектура
   Астрология
   Астрономия
   Банковское дело
   Безопасность жизнедеятельнос
   Биографии
   Биология
   Биология и химия
   Биржевое дело
   Ботаника и сельское хоз-во
   Бухгалтерский учет и аудит
   Валютные отношения
   Ветеринария
   Военная кафедра
   ГДЗ
   География
   Геодезия
   Геология
   Геополитика
   Государство и право
   Гражданское право и процесс
   Делопроизводство
   Деньги и кредит
   ЕГЭ
   Естествознание
   Журналистика
   ЗНО
   Зоология
   Издательское дело и полиграф
   Инвестиции
   Иностранный язык
   Информатика
   Информатика, программировани
   Исторические личности
   История
   История техники
   Кибернетика
   Коммуникации и связь
   Компьютерные науки
   Косметология
   Краеведение и этнография
   Краткое содержание произведе
   Криминалистика
   Криминология
   Криптология
   Кулинария
   Культура и искусство
   Культурология
   Литература : зарубежная
   Литература и русский язык
   Логика
   Логистика
   Маркетинг
   Математика
   Медицина, здоровье
   Медицинские науки
   Международное публичное прав
   Международное частное право
   Международные отношения
   Менеджмент
   Металлургия
   Москвоведение
   Музыка
   Муниципальное право
   Налоги, налогообложение
   Наука и техника
   Начертательная геометрия
   Оккультизм и уфология
   Остальные рефераты
   Педагогика
   Политология
   Право
   Право, юриспруденция
   Предпринимательство
   Прикладные науки
   Промышленность, производство
   Психология
   психология, педагогика
   Радиоэлектроника
   Реклама
   Религия и мифология
   Риторика
   Сексология
   Социология
   Статистика
   Страхование
   Строительные науки
   Строительство
   Схемотехника
   Таможенная система
   Теория государства и права
   Теория организации
   Теплотехника
   Технология
   Товароведение
   Транспорт
   Трудовое право
   Туризм
   Уголовное право и процесс
   Управление
   Управленческие науки
   Физика
   Физкультура и спорт
   Философия
   Финансовые науки
   Финансы
   Фотография
   Химия
   Хозяйственное право
   Цифровые устройства
   Экологическое право
   Экология
   Экономика
   Экономико-математическое мод
   Экономическая география
   Экономическая теория
   Этика
   Юриспруденция
   Языковедение
   Языкознание, филология

Главная > Гум. дипломные работы > экономика и торговля
Название:
Анализ средств защиты информации в ООО «Электронные платежи»

Тип: Дипломные работы
Категория: Гум. дипломные работы
Подкатегория: экономика и торговля

Цена:
1 грн



Подробное описание:

Реферат

Дипломная работа объемом 76 с. содержит 8 рис., 13 таб., 12 источников.
ЗАЩИТА ИНФОРМАЦИИ, МЕТОДЫ, АНАЛИТИЧЕСКАЯ РАБОТА, ЭЛЕКТРОННЫЕ ПЛАТЕЖИ, СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, РИСК, КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ, УЯЗВИМОСТЬ, УГРОЗА.
Объектом исследования дипломной работы является ООО «Электронные платежи».
Целью дипломной работы является анализ средств защиты информации в ООО «Электронные платежи».
К основным задачам дипломной работы относятся: определение возможных угроз и уязвимостей защиты информации, анализ рисков уже имеющейся системы информационной безопасности в компании, разработка дополнительных средств защиты информации, оценка эффективности внедренной системы.
В результате анализа выявлено, что имеющаяся система защиты информации в компании требует доработки.
Предлагается осуществить внедрение дополнительных средств защиты информации, которые в достаточном объеме позволят снизить риски потери информации.

 

 

 

Содержание
Введение 5
Глава 1 Теоретические аспекты анализа и организации средств защиты информации в компании 7
1.1 Основные положения теории защиты информации 7
1.2 Основные методы защиты информации в телекоммуникационных сетях компаний 16
1.3 Экономические аспекты защиты информации 21
1.4 Организация аналитической работы в сфере защиты информации в компании 24
Глава 2 Оценка системы защиты информации в ООО «Электронные платежи» 39
2.1 Краткое описание ООО «Электронные платежи» 39
2.2 Анализ системы защиты информации в ООО «Электронные платежи» 41
2.3 Определение рисков угроз информационной безопасности в ООО «Электронные платежи» 47
Глава 3 Разработка мероприятий по совершенствованию системы защиты информации в ООО «Электронные платежи» 51
3.1 Формирование системы информационной безопасности 51
3.2 Оценка рисков комплексной системы защиты информации 70
Заключение 74
Список использованной литературы 76

 

 

 


Введение

Информация давно перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности. Она приобрела ощутимый стоимостный вес, который четко определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу информации. Однако создание индустрии переработки информации порождает целый ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях.
Данная проблема вошла в обиход под названием проблемы защиты информации.
Говоря о защите информации, вводят следующую классификацию тайн по шести категориям: государственная тайна, коммерческая тайна, банковская тайна, профессиональная тайна, служебная тайна, персональные данные. Последние пять составляют конфиденциальную информацию. В отношении конфиденциальной информации режим защиты устанавливается собственником информационных ресурсов.
При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования – документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает – всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Обобщая, можно сказать, что информационная структура должна быть защищена от любых несанкционированных действий. Защищать необходимо все компоненты информационной структуры предприятия – документы, сети связи, персонал и т.д.
Целью дипломной работы является проведение анализа объекта с последующей разработкой системы комплексной защиты информации в компании.
Объектом исследования в дипломной работе является ООО «Электронные платежи».
Основной задачей дипломной работы является построение надежной системы защиты информации в данной компании.
Достижение этой цели предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов комплексной системы защиты информации (КСЗИ), взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения КСЗИ.

 

 

 

 

 

 


Глава 1 Теоретические аспекты анализа и организации средств защиты информации в компании
Основные положения теории защиты информации

Информация любой компании при потере или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов и партнеров и падении финансовых результатов. Еще серьезнее последствия у компаний IT-сферы при потере информации – баз данных, результатов аналитических исследований, исходных кодов, программных продуктов, персональных данных клиентов, без которых дальнейшее продолжение бизнеса становится проблемным, если вообще возможным, а с уничтожением улик и расследование становится бесперспективным. Определяющий фактор экономической безопасности такой компании – информационная безопасность, а ее ключевой аргумент – уровень защиты информации.
Что же такое защита информации или информационная безопасность?
Под информационной безопасностью информационной системы подразумевается техника защиты информации от преднамеренного или случайного несанкционированного доступа и нанесения тем самым вреда нормальному процессу документооборота и обмена данными в системе, а также хищения, модификации и уничтожения информации.
Другими словами вопросы защиты информации и защиты информации в информационных системах решаются для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.
Под фразой «угрозы безопасности информационных систем» понимаются реальные или потенциально возможные действия или события, которые способны исказить хранящиеся в информационной системе данные, уничтожить их или использовать в каких-либо целях, не предусмотренных регламентом заранее.
Отличительным признаком коммерческой деятельности является соизмерение затрат и результатов работы, стремление к получению максимальной прибыли. Кроме того, одной из отличительных особенностей коммерческой деятельности является то, что она осуществляется в условиях жесткой конкуренции, соперничества, борьбы предприятий за получение выгод и преимуществ по сравнению с предприятиями аналогичного профиля.
Конкурентная борьба это спутник и двигатель коммерческой деятельности, а также условие выживания коммерческих предприятий. Отсюда их стремление сохранить в секрете от конкурента приемы и особенности своей деятельности, которые обеспечивают им преимущество над конкурентом. Отсюда и стремление конкурентов выявить эти секреты, чтобы использовать их в своих интересах для получения превосходства в конкурентной борьбе. Несанкционированное получение, использование (разглашение) таких секретов без согласия их владельцев отнесены к одной из форм недобросовестной конкуренции, называемой промышленным шпионажем.
Защищаемые секреты коммерческой деятельности получили название коммерческой тайны. Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью компании, разглашение, которых может нанести ущерб ее интересам.
В Гражданском кодексе РФ изложены основания отнесения информации к коммерческой тайне: информация составляет коммерческую тайну в случае, когда она имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к ней нет доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.
Нарушение статуса любой информации заключается в нарушении ее логической структуры и содержания, физической сохранности ее носителя, доступности для правомочных пользователей. Нарушение статуса конфиденциальной информации дополнительно включает нарушение ее конфиденциальности или закрытости для посторонних лиц.
Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус.
Уязвимость информации проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся:
– хищение носителя информации или отображенной в нем информации (кража);
– потеря носителя информации (утеря);
– несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);
– искажение информации (несанкционированное изменение, подделка, фальсификация);
– блокирование информации;
– разглашение информации (распространение, раскрытие ее содержания).
Та или иная форма уязвимости информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия.
Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.
Реализация форм проявления уязвимости информации приводит или может привести к двум видам уязвимости – утрате или потере конфиденциальности информации.
Потеря конфиденциальности информации в компьютерных системах может быть допущена как случайно, так и преднамеренно, с использованием технических средств съема информации.
Средства противодействию случайной потере конфиденциальности информации, причиной которой может быть программно-аппаратный сбой или человеческий фактор, могут быть разделены на следующие основные функциональные группы:
– дублирование информации;
– повышение надежности компьютерных систем;
– создание отказоустойчивых компьютерных систем;
– оптимизация взаимодействия человека и компьютерной системы;
– минимизация ущерба от аварий и стихийных бедствий (в том числе, за счет создания распределенных компьютерных систем);
– блокировка ошибочных операций пользователей.
К утрате информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной, но в любом случае она наносит ущерб собственнику информации.
Известно большое количество разноплановых угроз безопасности информации различного происхождения. В литературе встречается множество разнообразных классификаций, где в качестве критериев деления используются виды порождаемых опасностей, степень злого умысла, источники появления угроз и т.д. Одна из самых простых классификаций приведена на рисунке 1.1.


Рисунок 1.1 – Общая классификация угроз безопасности

Естественные угрозы – это угрозы, вызванные воздействиями на информационную безопасность и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы – это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
– непреднамеренные (неумышленные, случайные);
– преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рисунке 1.2.


Рисунок 1.2 – Модель реализации угроз информационной безопасности

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации.
Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рисунок 1.3а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рисунок 1.3б). Методы реализации можно разделить на группы по способам реализации (рисунок 1.3в). При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие «предпосылка».

Рисунок 1.3 – Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации»

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как «подготовка к совершению» противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.
Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.
Наиболее распространенными путями несанкционированного доступа к информации являются:
– перехват электронных излучений;
– принудительное электромагнитное облучение (подсветка) линий связи с целью получения «паразитной» модуляции несущей;
– применение подслушивающих устройств (закладок);
– дистанционное фотографирование;
– перехват акустических излучений и восстановление текста принтера;
– копирование носителей информации с преодолением мер защиты;
– маскировка под зарегистрированного пользователя;
– маскировка под запросы системы;
– использование программных ловушек;
– использование недостатков языков программирования и операционных систем;
– незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;
– злоумышленный вывод из строя механизмов защиты;
– расшифровка специальными программами зашифрованной информации;
– информационные инфекции.
Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы потери информации – это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации – канал потери конфиденциальности.
Однако есть и достаточно примитивные пути несанкционированного доступа:
– хищение носителей информации и документальных отходов;
– инициативное сотрудничество;
– склонение к сотрудничеству со стороны взломщика;
– подслушивание;
– наблюдение и др.
Для обеспечения эффективного применения системы защиты информации в телекоммуникационной сети предприятия при ее построении необходимо учитывать следующие требования:
– Эшелонированность. Система защиты должна состоять из нескольких уровней. Нарушение защиты на каком-либо уровне не должно повлечь за собой ослабления других уровней или недееспособности системы защиты в целом.
– Согласованность. Средства защиты, в том числе входящие в региональные составляющие телекоммуникационной сети предприятия, должны обеспечивать возможность их эксплуатации в рамках единой системы.
– Интегрируемость. Средства защиты информации должны оптимальным образом встраиваться в инфраструктуру телекоммуникационной сети.
– Контролируемость. События, связанные с функционированием системы защиты, должны контролироваться средствами мониторинга безопасности.
– Сертифицируемость. Применяемые при построении системы защиты средства должны удовлетворять установленным стандартам и требованиям.
– Масштабируемость. При построении системы защиты должна быть обеспечена возможность ее развития с учетом развития телекоммуникационных сетей предприятия.
Рассмотрев основные положения теории защиты информации необходимо перейти непосредственно к основным методам защиты информации в телекоммуникационных сетях компаний.

1.2 Основные методы защиты информации в телекоммуникационных сетях компаний

Отраслевой стандарт по информационной безопасности определяет защиту информации как деятельность, направленную на предотвращение потери конфиденциальности информации, несанкционированных и непреднамеренных воздействий на информацию. И если первое направление (предотвращение потери конфиденциальности) должно предупреждать разглашение конфиденциальных сведений, несанкционированный доступ к ним и/или их получение разведками (например, коммерческой разведкой фирм-конкурентов), то два других направления защищают от одинаковых угроз (искажение конфиденциальной информации, ее уничтожение, блокирование доступа и аналогичные действия с носителем информации). Вся разница заключается в наличии или отсутствии умысла в действиях с информацией. Основные направления защиты информации представлены на рисунке 1.4.


Рисунок 1.4 – Основные направления защиты информации

Больше всего угроз по-прежнему создают компьютерные вирусы (в число которых помимо традиционных файловых, загрузочных, макровирусов и т.п. вредоносных программ входят также «трояны», «вандалы», перехватчики паролей и т.д.) и атаки распространителей спама.
Многие сети годами остаются открытыми для пришельцев из Интернета, и неизвестно, что в этом случае опаснее – сознательный взлом злоумышленником корпоративной сети для съема конфиденциальной информации или же осуществляемая дезорганизация работы сети с помощью атак типа «отказ в обслуживании». Поскольку для малых и средних коммерческих структур создание специально защищенных линий связи невозможно, приходится использовать открытые каналы для обмена кроме прочего и конфиденциальной информацией, а это чревато как перехватом этой информации, так и нарушением ее целостности или подменой.
Внутри локальной сети актуальна задача надежной аутентификации пользователей: хрестоматийный пример прикрепления к монитору «бумажки» с записанным логином и паролем.
Зачастую не придается значения разграничению доступа между легальными пользователями. Здесь можно привести такую аналогию: иерархию кабинетов все сотрудники соблюдают свято, никому не приходит в голову оккупировать стол или комнату начальства, а вот по отношению к конфиденциальной информации действует, так сказать, принцип «каждому – по интересам», и сведения, предназначенные двум-трем менеджерам высшего звена, становятся известны чуть ли не половине фирмы.
В качестве еще одного канала вероятной потери конфиденциальности информации можно назвать, к примеру, сервисные центры, в которые поступают диски с не уничтоженной должным образом информацией. Наконец, не стоит забывать, что в значительном числе случаев пользователи оперируют информацией не только в электронном, но и в бумажном виде, и регулярное обследование содержимого мусорных ведер, куда отправляются черновики и наброски, может дать конкурентам больше, чем хитроумные атаки и попытки взлома.
Таким образом, можно сделать вывод: защита информации – одно из ключевых направлений деятельности любой успешной фирмы. Перед специально отобранным для этого сотрудником (или подразделением) стоят следующие задачи:
– анализ угроз конфиденциальной информации, а также уязвимых мест автоматизированной системы и их устранение;
– формирование системы защиты информации;
– закупка и установка необходимых средств, их профилактика и обслуживание;
– обучение пользователей работе со средствами защиты, контроль соблюдения регламента их применения;
– разработка алгоритма действий в экстремальных ситуациях и проведение регулярных “учений”;
– разработка и реализация программы непрерывной деятельности автоматизированной системы и плана восстановительных мероприятий (в случае вирусной атаки, сбоя/ошибки/отказа технических средств и т.д.).
Итак, можно констатировать, что деятельность по защите информации протекает в рамках треугольника «руководство компании – служба защиты информации – пользователи», и от доброй воли всех этих сторон зависит, будет ли их сотрудничество эффективным.
С какими же проблемами приходится сталкиваться при построении системы защиты информации?
Метод заплаток. «Кусочное» обеспечение информационной безопасности лишь на отдельных направлениях. Следствие – невозможность отразить атаки на незащищенных участках и дискредитация идеи информационной безопасности в целом.
Синдром амебы. Фрагментарное реагирование на каждый новый раздражитель; часто сочетается с применением «метода заплаток». Следствие – запаздывание с отражением новых угроз, усталость от бесконечной гонки по кругу.
Лекарство от всего. Попытки возложить на одно средство защиты информации все функции обеспечения информационной безопасности (например, стремление отождествить аутентификацию и полный комплекс задач защиты от несанкционированного доступа).
Следствие – непрерывный переход, миграция от одного средства защиты к другому, «более комплексному», последующее разочарование и паралич дальнейших действий.
Волшебная палочка. Вторая ипостась поисков «универсального лекарства», искреннее непонимание необходимости дополнения технических мер защиты организационными мерами. Следствие – предъявление завышенных требований к системе или средству защиты.
Стремление к экономии. Желание построить систему защиты на беззатратной основе. Следствие – применение непроверенных и/или нелицензионных средств защиты, отсутствие поддержки со стороны производителей, постоянные попытки разобраться во всем самостоятельно, неэффективные и разорительные, как и любая самодеятельность.
Таким образом, на предприятии должен быть создан следующий набор средств и методов для защиты информации в сети (таблица 1.1).
Таблица 1.1 – Набор средств и методов для защиты информации в сети
Минимальный пакет Оптимальный пакет (в дополнение к минимуму)
Средства антивирусной защиты рабочих станций, файловых и почтовых серверов Антивирусные средства в программно-аппаратном исполнении; средства контроля содержимого (Content Inspector) и борьбы со спамом
Программный межсетевой экран (МЭ) Программно-аппаратный МЭ, система обнаружения атак (Intrusion Detection System)
Программные средства формирования защищенных корпоративных сетей (VPN – Virtual Private Network) То же в программно-аппаратном исполнении и интеграции с межсетевым экраном
Аппаратные средства аутентификации пользователей (токены, смарт-карты, биометрия и т.п.) То же в интеграции со средствами защиты от несанкционированного доступа (НСД) и криптографическими средствами
Разграничение доступа пользователей к конфиденциальной информации штатными механизмами защиты информации и разграничение доступа операционных систем, прикладных программ, маршрутизаторов и т. п. Программно-аппаратные средства защиты от НСД и разграничения доступа
Программные средства шифрования и электронной цифровой подписи (ЭЦП) для обмена конфиденциальной информацией по открытым каналам связи Аппаратные шифраторы для выработки качественных ключей шифрования и ЭЦП; интеграция со средствами защиты от НСД и аутентификации
Средства “прозрачного” шифрования логических дисков пользователей, используемых для хранения конфиденциальной информации Средства “прозрачного” шифрования конфиденциальной информации, хранимой и обрабатываемой на серверах
Средства уничтожения неиспользуемой конфиденциальной информации (например, с помощью соответствующих функций шифраторов) Аппаратные уничтожители носителей информации
Средства резервного копирования, источники бесперебойного питания, уничтожители бумажных документов
1.3 Экономические аспекты защиты информации

Сегодня высшее руководство любой компании при осуществлении управления, по существу имеет дело только с информацией – и на ее основе принимает решения. Информация в настоящее время решает все.
Информация уже давно стала товаром, который можно покупать и продавать на рынке, иногда – за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс – подлежит защите.
Отечественный IT-рынок в последние годы динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами – более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС). Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС. Владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на повышение этого уровня. Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.
Таким образом, в настоящее время комплексное управление процессами обеспечения ИБ подразумевает не просто бесцельное внедрение совокупности средств и систем защиты. ИБ превратилась в науку о реализации адекватного и эффективного по качеству и стоимости подхода к обеспечению защищенности всех элементов информационных технологий (IT). Такой взгляд на проблему ИБ неизбежно требует определения показателей и метрик, позволяющих сравнивать защищенность различных систем IT, сравнивать эффективность контрмер, ранжировать угрозы и уязвимости по своей важности.
Для любых компаний очень важно деньги в защиту информации (ЗИ) вкладывать обоснованно. В информационной безопасности известен принцип разумной достаточности, который гласит следующее: «Создание 100% надежной системы защиты информации (СЗИ) невозможно в принципе, в любых случаях остается ненулевая возможность реализации какой-либо угрозы либо уязвимости». Любая система ЗИ может быть взломана, это вопрос только времени и потраченных злоумышленником средств. Поэтому бесконечно вкладывать деньги в обеспечение ИБ бессмысленно, необходимо когда-то остановиться (вопрос только в выборе этого порога). Согласно принципу разумной достаточности, стойкость СЗИ считается достаточной, если время взлома злоумышленником СЗИ превосходит время старения информации (либо некоторый разумный предел), либо стоимость взлома системы защиты информации превосходит стоимость полученной злоумышленником выгоды от взлома. В последнем случае, если злоумышленник является нормальным экономическим субъектом, то он, конечно, не будет работать себе в убыток.
Существует, как минимум, два подхода к обоснованию стоимости корпоративной системы защиты.
Первый подход – наукообразный, который заключается в том, чтобы применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определению возможностей реализации потенциальных угроз и уязвимостей, а также потенциального ущерба. Наиболее известный показатель, позволяющий характеризовать меру безопасности, сравнивать защищенность различных систем IT, сравнивать эффективность контрмер – есть риск ИБ. Через риск достаточно эффективно считается наиболее экономичный вариант реализации контрмер.
Второй подход – практический состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования некоторая общая оценка разумной стоимости такой услуги, как страхование собственного автомобиля, составляет от 5 до 15% его рыночной цены – в зависимости от локальных условий эксплуатации, культуры и опыта вождения водителя, интенсивности движения, состояния дорог и т.д. Эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, – стоимость системы ИБ должна составлять примерно 10-20% от стоимости корпоративной информационной системы (КИС) – в зависимости от уровня конфиденциальности информации (но надо их еще правильно вложить). Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. И на вопрос «А почему для создания адекватной целям и задачам бизнеса комплексной системы защиты информации (КСЗИ) требуется сто тысяч долларов?» отвечать «Потому что на сегодняшний день стоимость нашей КИС составила один миллион долларов!». Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов.
1.4 Организация аналитической работы в сфере защиты информации в компании

Анализ состояния защиты информации – это комплексное изучение фактов, событий, процессов, явлений, связанных с проблемами защиты информации, в том числе данных о состоянии работы по выявлению возможных каналов потери информации, о причинах и обстоятельствах, способствующих потере и нарушениям режима секретности (конфиденциальности) в ходе повседневной деятельности компаний.
Основное предназначение аналитической работы – выработка эффективных мер, предложений и рекомендаций руководству компаний, направленных на недопущение потери конфиденциальной информации о деятельности компании и проводимых работах. Аналитическая работа должна включать элементы прогнозирования возможных действий противника по получению важной защищаемой информации.
Основные направления аналитической работы в компаниях следующие:
– анализ объекта защиты;
– анализ внутренних и внешних угроз информационной безопасности компаний;
– анализ возможных каналов несанкционированного доступа к информации;
– анализ системы комплексной безопасности объектов;
– анализ имеющих место нарушений режима конфиденциальности информации;
– анализ предпосылок к разглашению информации, а также к утрате носителей конфиденциальной информации.
Функции анализа в компаниях возлагаются на специально создаваемое в их структуре аналитическое подразделение, которое комплектуется квалифицированными специалистами в области защиты информации.
Вместе с тем, данные специалисты должны в полной мере владеть информацией по всем направлениям деятельности компаний: знать виды, характер и последовательность выполнения производственных работ, взаимодействующие организации, специфику деятельности структурных подразделений компаний и т.д. Как правило, аналитическое подразделение включается в состав службы безопасности компаний.
Аналитическое подразделение должно обеспечивать руководство компаний достоверной и аналитически обработанной информацией, необходимой для принятия эффективных управленческих решений по всем направлениям защиты информации. Основными функциями аналитического подразделения являются:
– обеспечение своевременного поступления достоверных и всесторонних сведений по проблемам защиты информации;
– учет, обобщение и постоянный анализ материалов о состоянии дел в системе защиты информации компаний (их филиалов и представительств);
– анализ возможных угроз защите информации, моделирование реального сценария возможных действий конкурентов (злоумышленников), затрагивающих интересы компаний;
– обеспечение эффективности работы по анализу имеющейся информации, исключение дублирования при ее сборе, обработке и распространении;
– мониторинг ситуации на рынке продукции, товаров и услуг, а также во внешней среде в целях выявления событий и фактов, которые могут иметь значение для деятельности компаний;
– обеспечение безопасности собственных информационных ресурсов, ограничение доступа сотрудников компаний к аналитической информации;
– подготовка выводов и предложений, направленных на повышение эффективности планируемых и принимаемых мер по защите информации, а также уточнение (корректировку) организационно-планирующих документов компаний и их структурных подразделений;
– выработка рекомендаций по внесению изменений и дополнений в методические документы, регламентирующие алгоритм действий сотрудников компаний по защите информации (стандарты компаний).
Наличие постоянной аналитической работы, ее характер и результаты определяют необходимость, основы организации, структуру и содержание системы комплексной защиты информации, требования к ее эффективности и направления ее развития и совершенствования. Анализ состояния системы защиты информации существенно влияет на количество, состав и структуру подразделений компаний, непосредственно решающих эти задачи (служба безопасности компаний, служба охраны, режимно-секретное подразделение и др.). От эффективности и качества ведения в компаниях аналитической работы в полной мере зависит состояние защищенности информационных ресурсов компаний, отнесенных к категории охраняемых, а также своевременность и обоснованность принятия мер по исключению потери конфиденциальной информации и утрат носителей информации. Эффективность аналитической работы и ее результаты служат основой для принятия руководством компаний управленческих решений по вопросам организации защиты информации. С учетом результатов аналитической работы могут вырабатываться следующие основные меры:
– уточнение (доработка) планов работы компаний по защите информации, включение в них дополнительных мероприятий;
– уточнение распределения задач и функций между структурными подразделениями компаний;
– переработка (уточнение) должностных (функциональных) обязанностей сотрудников компаний, в том числе руководящего звена, совершенствование систем пропускного и внутри-объектового режимов;
– ограничение круга лиц, допускаемых к конфиденциальной информации по различным направлениям деятельности компаний;
– пересмотр степени конфиденциальности сведений и их носителей;
– усиление системы охраны компаний и их объектов, применение особых мер защиты информации на отдельных объектах (в служебных помещениях);
– принятие решений об ограничении публикации в открытой печати, использования в рекламной и издательской деятельности отдельных материалов (материалов по отдельным темам), доступа командированных лиц, об исключении рассмотрения этих материалов на конференциях, семинарах, встречах и т.д.
Ведение эффективной аналитической работы возможно лишь при наличии необходимой информации. Для ее получения нужна четко сформулированная цель, определяющая конкретные источники информации. Аналитическая работа в компаниях должна вестись последовательно и непрерывно, представлять собой в полной мере целостное исследование.
В аналитической работе можно выделить следующие основные этапы:
формулирование целей аналитической работы, разработка программы исследований, формулирование предварительных гипотез (результатов аналитической работы);
отбор и анализ источников информации, сбор и обобщение информации;
полноценный анализ имеющейся информации и подготовка выводов.
Основная форма ведения аналитической работы – аналитические исследования.
Проведение аналитических исследований требует четкой организации процесса, оценки имеющихся ресурсов для выполнения исследований и достижения необходимого результата. Итогом исследования должны быть выводы, предложения и рекомендации по совершенствованию системы защиты информации.
На первом этапе аналитического исследования формулируются цели и задачи исследования, разрабатывается программа исследования, которая составляет научную основу сбора, обобщения, обработки и анализа всей полученной информации. Типовая программа исследований включает следующие основные разделы:
– цели и задачи аналитического исследования;
– предметы и объекты исследования;
– сроки (период) проведения аналитического исследования;
– методики проведения исследования;
– ожидаемые результаты и предполагаемые выводы.
При формулировании целей и задач исследования нужно учитывать, кто является его организатором и непосредственным исполнителем, какие силы и средства могут быть задействованы для его проведения, какие будут использоваться источники информации, способы и методы ее сбора, обработки и анализа, какие существуют возможности для реализации предложений и рекомендаций, которые будут выработаны в ходе исследований.
В зависимости от поставленных целей и задач определяются конкретные методы и технологии исследования, а также процедуры сбора и обработки информации.
Наиболее типичны следующие задачи аналитического исследования:
– получение данных о состоянии системы защиты информации в компаниях (их конкретных объектах, в филиалах, представительствах);
– выявление возможных каналов потери информации, подлежащей защите;
– определение обстоятельств, причин и факторов, способствующих возникновению каналов потери и созданию предпосылок для потери информации;
– подготовка для руководства компаний (филиалов, представительств) и их структурных подразделений конкретных рекомендаций по закрытию выявленных каналов потери информации.
Под объектом исследования понимается все то, что изучается и анализируется в ходе исследования. Предмет исследования – та сторона объекта, которая непосредственно подлежит изучению в ходе аналитического исследования.
Особое значение на первом этапе аналитической работы имеет формулирование предварительных гипотез (версий). Предварительные гипотезы должны объяснить роль и место выводов аналитических исследований в логической последовательности происходящих событий в сфере защиты охраняемой информации.
Построение предварительных гипотез проводится в следующем порядке. Сначала формируется полный список сведений, которые предполагается исследовать (проанализировать). Вошедшие в список сведения систематизируются и располагаются по степени важности.
Далее из всего объема информации выделяется группа наиболее значимых сведений, роль которых особенно очевидна в ситуации, подлежащей анализу и оценке. Выбранные сведения классифицируются по актуальности, способу получения и степени достоверности источника. Наиболее актуальные сведения анализируются в первую очередь.
Затем проводится выбор предварительных гипотез, объясняющих проявления тех или иных событий (появление тех или иных сведений). Причем в отношении одного события осуществляется проверка нескольких гипотез (версий). При последовательной проверке гипотез особое внимание уделяется наиболее реальным гипотезам. Эти гипотезы фиксируются. Наименее реальные гипотезы отклоняются.
Таким образом, последовательно выбираются и формулируются наиболее вероятные предположения, объясняющие появление тех или иных конкретных событий (возникновение сведений). Возможные противоречия в полученных выводах о предполагаемых версиях происходящих событий устраняются путем всесторонней последовательной проверки реальности гипотез.
Результатом работы по формулированию предварительных гипотез является выбор версии, которая наиболее точно по сравнению с другими версиями объясняет причину возникновения конкретной ситуации, связанной с появлением возможного канала потери конфиденциальной информации, и характеризует состояние системы защиты информации, в том числе – действия соответствующих должностных лиц, качество выполнения мероприятий и т.д.
На втором этапе проводится отбор и анализ источников информации, сбор и обобщение данных в целях выявления канала несанкционированного доступа к сведениям конфиденциального характера, исключения возможности возникновения такого канала.
Для этого осуществляется постоянный контроль объектов защиты (информационных ресурсов), а также степени защищенности обрабатываемой (циркулирующей) в них информации, проводится анализ данных, получаемых из различных источников.
Для решения конкретной задачи аналитического исследования в рамках второго этапа из всех имеющихся в распоряжении аналитического подразделения источников информации отбираются те, из которых поступает информация, наиболее близкая к исследуемым проблемам, и в то же время достаточно достоверная.
Аналитическое исследование источников информации предусматривает проведение следующих основных мероприятий:
– Формирование исчерпывающего перечня источников конфиденциальной информации в компаниях.
– Формирование и своевременное уточнение перечня и состава конфиденциальной информации, реально циркулирующей (обрабатываемой) на объектах компаний, с указанием конкретных носителей, на которых она хранится.
– Организация и ведение учета осведомленности сотрудников компаний с конфиденциальной информацией, накопление данных об их ознакомлении с конкретными сведениями конфиденциального характера с указанием носителей этих сведений.
– Изучение и оценка соответствия степени конфиденциальности, присвоенной информации, реальной ценности этой информации.
– Изучение внутренних и внешних угроз каждому имеющемуся в компаниях источнику конфиденциальной информации.
– Выявление компаний, заинтересованных в получении конфиденциальной информации (фирм-конкурентов), а также отдельных лиц-злоумышленников и их систематизация (классификация).
– Анализ полноты и качества мер по защите конфиденциальной информации, принимаемых (принятых) в конкретных ситуациях. Учет и анализ попыток представителей фирм-конкурентов, а также других злоумышленников получить конфиденциальную информацию.
– Учет и анализ контактов сотрудников компаний с представителями фирм-конкурентов вне зависимости от того, касались ли они вопросов конфиденциального характера или нет.
В ходе изучения и исследования источников информации производится их оценка с точки зрения надежности и достоверности получаемой из них информации. Оценка источников информации осуществляется методом ранжирования (классификации) самих источников, поступающей из них информации и способов ее получения. В большинстве случаев может использоваться система экспертной оценки (непосредственно аналитиком) надежности и достоверности полученных данных. Уровень подготовки и практические навыки позволяют сотруднику аналитического подразделения наиболее точно оценить собственно информацию, ее источник и способ ее получения.
При проведении оценки указанных элементов, как правило, используются следующие критерии:
Оценка источника:
надежный источник;
обычно надежный источник;
довольно надежный источник;
не всегда надежный источник;
ненадежный источник;
источник неустановленной надежности.
Оценка полученной информации:
информация, подтвержденная другими фактами;
информация, подтвержденная другими источниками;
информация, с высокой степенью вероятности соответствующая действительности;
информация, возможно соответствующая действительности;
сомнительная информация;
неправдоподобная информация;
информация, установить (подтвердить) достоверность которой не представляется возможным.
Оценка способа получения информации источником:
информация получена источником самостоятельно;
информация получена источником из другого постоянного источника информации (например, открытого источника);
информация получена источником из другого «разового» источника (например, в ходе переговоров, неформального общения).
В ходе оценки достоверности информации, а также ее источника необходимо учитывать возможность преднамеренной дезинформации, а также получения непреднамеренно искаженной информации. В обоих случаях необходимо проведение дополнительной проверки и более подробного всестороннего анализа полученной информации для принятия решения о ее использовании в ходе аналитических исследований.
С учетом результатов оценки полученной информации, а также источников и способов ее получения осуществляются сбор и обобщение (систематизация) необходимых для проведения полноценного анализа сведений.
В ходе третьего этапа аналитической работы проводится полноценный анализ полученной информации и, на основе его результатов, – всесторонний анализ состояния системы защиты информации, вырабатываются эффективные меры по ее совершенствованию. На этом этапе оформляются результаты аналитических исследований, готовятся выводы, рекомендации и предложения в области защиты охраняемой информации.
Анализ состояния системы защиты информации включает изучение возможных каналов потери информации, оценку эффективности мер по их закрытию, оценку действий персонала компаний по решению задач в области защиты информации, определение основных направлений деятельности по защите информации.
Содержание и основные виды аналитических отчетов.
Основной формой представления результатов аналитических исследований является аналитический отчет. Отчеты могут оформляться в письменном виде, также они могут быть представлены в устной форме, сопровождаться графиками, диаграммами, рисунками, таблицами, поясняющими или отражающими результаты проведенной работы.
Основные разделы аналитического отчета следующие:
– цели и задачи аналитического исследования (цели и задачи аналитического исследования, пути решения поставленных задач, вопросы, подлежащие анализу и оценке; предполагаемые результаты исследования);
– источники информации, степень достоверности полученной информации (оценки полученной информации, источников и способов ее получения, результаты анализа степени достоверности полученной с использованием этих источников аналитической информации);
– обобщение полученной информации (алгоритм сбора и обобщения необходимой для проведения полноценного анализа информации – из всего объема полученной и обработанной информации выделяются наиболее значимые факты);
– основные и альтернативные версии или гипотезы (мотивированное деление версий, объясняющих или характеризующих исследуемые события и факты, на основную версию и дополнительные или альтернативные);
– недостающая информация (дополнительная информация, необходимая для подтверждения основной версии, ее источники и способы ее получения);
– заключение, выводы (результаты анализа и оценки поставленных вопросов, выводы о степени важности полученной и обработанной информации, значение этой информации для принятия конкретных решений в области защиты конфиденциальной информации, взаимосвязь результатов данного аналитического исследования с другими направлениями аналитической работы в сфере защиты информации, возможные угрозы защищаемой информации, а также возможные последствия воздействия негативных факторов);
– предложения и рекомендации по совершенствованию работы в области зашиты информации (конкретные предложения и рекомендации руководству компаний и руководителям структурных подразделений по совершенствованию работы в области защиты конфиденциальной информации; выработанные на основе проведенного анализа полученной информации, а также различных событий и фактов конкретные меры, принятие которых необходимо для закрытия возможных каналов потери информации и предотвращения потенциальных угроз защищаемой информации).
В отдельных случаях, на основе результатов проведения более глубокого анализа состояния системы защиты информации вырабатываются алгоритм и способы действий персонала компаний в конкретных ситуациях.
В зависимости от предназначения используются следующие основные виды аналитических отчетов:
– оперативный (тактический) отчет;
– перспективный (стратегический) отчет;
– периодический отчет.
Оперативные (тактические) отчеты отражают результаты аналитических исследований, проводимых для подготовки и принятия какого-либо оперативного (экстренного) решения по вопросу кратковременного (срочного) характера. В ходе проведения таких исследований анализу и оценке подвергается информация, как правило, небольшого объема.
Перспективные (стратегические) отчеты содержат информацию, более полную по содержанию. Анализ этой информации не ограничен по сроку (времени) его проведения. В такие отчеты, как правило, включается информация, содержащая более полный анализ предпосылок конкретных ситуаций, фактов, событий. В отчетах излагаются прогнозы и перспективы развития этих ситуаций. Отчеты этого вида соответствуют постоянным направлениям аналитических исследований.
Периодические отчеты предназначены для анализа состояния системы защиты информации (отдельных направлений защиты информации) в соответствии с разработанным и утвержденным руководством компаний графиком. Эти отчеты не зависят от происходящих событий (возникновения различных ситуаций), связанных с защитой информации. Такие отчеты готовятся по проблемам (направлениям), являющимся объектами постоянного внимания со стороны службы безопасности компаний (их аналитического подразделения).
К составлению отчетов, независимо от формы их представления, предъявляются общие требования, такие, как наличие глубокого анализа событий (фактов, полученной информации), простота, четкость и грамотность изложения материала, логичность приводимых рассуждений и выводов, соответствие отчетов установленной форме.
Одно из наиболее важных требований, предъявляемых к отчетам, заключается в том, что их содержание и уровень подготовки аналитического материала должны отвечать запросам конкретных потребителей аналитической информации – руководителей структурных подразделений или отдельных сотрудников компаний.
Полнота и качество проведения аналитических исследований, достоверность полученных результатов и эффективность выработанных предложений и рекомендаций в полной мере зависят от тех методов анализа информации, которые были выбраны и использовались сотрудниками аналитического подразделения непосредственно в ходе проведения исследований.
Применяемые в ходе аналитических исследований методы анализа информации делятся на три группы:
общенаучные (качественные) методы;
количественные методы;
частнонаучные методы.
Основные методы анализа, относящиеся к первой группе, включают метод выдвижения гипотез, метод интуиции, метод наблюдения, метод сравнения, метод эксперимента.
Из количественных методов наиболее распространен метод статистических исследований.
К третьей группе относятся методы письменного и устного опроса, метод индивидуальной беседы и метод экспертной оценки. Метод выдвижения гипотез состоит в процедуре отделения известного от неизвестного и вычленения в неизвестном отдельных, наиболее важных элементов и фактов (событий).
Метод интуиции заключается в использовании аналитиком своей способности к непосредственному постижению истины (достижению требуемого результата) без предварительного логического рассуждения.
Во многом этот метод основывается на личном опыте аналитика.
Метод наблюдения заключается в непосредственном исследовании (обследовании) конкретного объекта (источника информации, события, действия, факта), в самостоятельном описании аналитиком каких-либо фактов (событий, процессов), а также их логических связей в течение определенного времени.
Цель метода сравнения состоит в более глубоком изучении процессов (событий), происходящих в компаниях и имеющих отношение к вопросам защиты охраняемой информации. Сравниваются различные факторы, обусловливающие причины и обстоятельства, приводящие к потере конфиденциальной информации или к возникновению предпосылок к ее потере. При использовании метода сравнения в обязательном порядке соблюдаются следующие основные условия: сравниваемые объекты (действия, явления, события) должны быть сопоставимы по своим качественным особенностям. Сравнение должно определить не только элементы сходства, но и элементы различия между исследуемыми объектами.
Метод эксперимента используется для проверки результатов деятельности по конкретному направлению защиты информации или для поиска новых решений, совершенствования системы ее защиты.
Роль количественных методов анализа заключается в информационном, статистическом обеспечении качественных методов. Наиболее характерен метод статистических исследований, который заключается в проведении количественного анализа отдельных сторон исследуемого явления (факта, события).
В ходе этого анализа накапливаются цифровые данные о состоянии и динамике нарушений режима конфиденциальности (секретности) в ходе проводимых работ, об эффективности решения службой безопасности (режимно-секретным подразделением) задач по их недопущению, о тенденциях развития ситуации в области информационной безопасности и т.д.
Методы письменного и устного опроса заключаются в получении путем анкетирования (или иным способом) необходимой информации от сотрудников компаний, руководителей подразделений, а также лиц, допускающих нарушения установленного режима секретности (конфиденциальности информации). При этом в анкете указываются несколько возможных вариантов ответов на каждый поставленный вопрос.
Метод индивидуальной беседы отличает от метода письменного и устного опроса необходимость личного общения с сотрудником компаний. Использование этого метода позволяет в динамично развивающейся беседе получить конкретную информацию в зависимости от целей аналитического исследования.
Метод экспертной оценки включает учет и анализ различных мнений по определенному кругу вопросов, излагаемых специалистами в той или иной области деятельности компаний, связанной с конфиденциальной информацией.
Выбор конкретных методов анализа при проведении аналитических исследований в области защиты конфиденциальной информации зависит от целей и задач исследований, а также от специфики деятельности компаний, состава и структуры службы безопасности и ее аналитического подразделения.

 

 

 

 


Глава 2 Оценка системы защиты информации в ООО «Электронные платежи»
2.1 Краткое описание ООО «Электронные платежи»

ООО «Электронные платежи» успешно развивающаяся отечественная компания на рынке проектирования, производства и продажи аппаратов по приему платежей совместимых практически с любой платежной системой. Текущие рыночные условия позволяют достичь успехов только в том случае, если качество производимой продукции и уровень сервиса находятся на высочайшем уровне. Компания неуклонно следует этим правилам, постоянно совершенствуя технические решения и качество сервиса, удерживая цены.
Успех компании напрямую зависит от успехов клиента. Компания делает все возможное, чтобы клиентам было удобно работать с компанией. Квалифицированные специалисты готовы ответить на все вопросы, связанные с правильной организацией бизнеса, настройкой и эксплуатацией терминалов, а так же готовы выслушать пожелания клиентов и предложить решения. Подход к клиенту в компании индивидуален, специалисты компании всегда помогают решить любые поставленные задачи качественно.
По желанию заказчика, компания может изготовить эксклюзивные модели, обладающие уникальными качествами и функционалом. Терминалы компании – это всегда качественные, законченные продукты. Компания использует материалы только высокого качества. Все оборудование проходит входной контроль, его работа проверена временем.
Компания «Электронные платежи» предоставляет полный спектр услуг по организации и функционированию бизнеса по приему наличных платежей через платежные терминалы:
– оборудование и программное обеспечение, адаптированные под любые запросы заказчика;
– гарантийное, постгарантийное сервисное обслуживание платежных терминалов;
– работы по настройке оборудования и программного обеспечения;
– пусконаладочные работы;
– техническая диагностика оборудования и программного обеспечения;
– проектирование эксклюзивных моделей терминалов по приему платежей, а так же информационных киосков;
– обучение работы с терминалом;
– консультации по вопросам организации и ведения бизнеса;
– помощь в подборе конфигураций терминалов;
– продажа комплектующих материалов к платежным терминалам.
На сегодняшний день, в компании работает группа высококвалифицированных дизайнеров, конструкторов и технологов, обеспечивающая полный цикл разработки и производства продукции.
Ключевые принципы, на которые опиралась компания с самого начала своего существования следующие:
– партнерство;
– специализация;
– качество.
Автоматизация рутинных операций в производстве привела к гигантскому промышленному скачку, следствием которого стало улучшение условий жизни всего общества, а также его развитие. Автоматизация работ, традиционно выполняемых человеком, несет в себе те возможности, которые и в будущем будут помогать обществу в его развитии и совершенствовании.
Компания ведет деятельность в направлении разработки и производства решений самообслуживания для различных отраслей. Руководство компании полагает, что выполняемая компанией работа помогает людям, занимаясь любимым делом, избегать выполнения монотонной однотипной работы, сосредотачивая свое внимание на интеллектуальном и творческом процессе.
Обязательной составляющей комплексного программно-аппаратного решения является информационная составляющая, позволяющая реализовать основную бизнес функциональность системы. Предлагаемое компанией программное обеспечение является собственной разработкой или разработкой надежных партнеров компании, что позволяет оперативно производить его доработку и расширение функциональности в зависимости от решаемой задачи.
ООО «Электронные платежи» является одной из немногих компаний, с удовольствием принимающей участие в инновационных проектах, подразумевающих разработку уникального оборудования и эксклюзивной функциональности.
Накопленный компанией опыт позволяет в минимальные сроки разрабатывать и внедрять терминальные решения, в том числе обладающие принципиально новыми возможностями.

2.2 Анализ системы защиты информации в ООО «Электронные платежи»

Целью руководства компании «Электронные платежи» является обеспечение надежной защиты информации в компании для ее нормального функционирования.
Угрозы и уязвимости в компании представлены в табл. 2.1-2.2.

Таблица 2.1 – Автоматизированное рабочее место сотрудника в ООО «Электронные платежи»
Угроза Уязвимости
1 2
1. Физический доступ нарушителя к рабочему месту 1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам
2. Отсутствие системы видеонаблюдения в компании
Продолжение таблицы 2.1
1 2
2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника компании 1. Отсутствие соглашения о неразглашении между работником и работодателем
2. Нечеткая регламентация ответственности сотрудников компании
3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов 1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети

Таблица 2.2 – Конфиденциальная информация
Угроза Уязвимости
1. Физический доступ нарушителя к носителям 1. Неорганизованность контрольно-пропускного режима в компании
2. Отсутствие видеонаблюдения в компании
2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны 1. Отсутствие соглашения о неразглашении конфиденциальной информации
2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками компании
3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации 1. Нечеткая организация конфиденциального документооборота в компании
2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

Комплексная модель информационной безопасности компании представлена на рис. 2.1.

Рисунок 2.1 – Диаграмма уровня A0 “Обеспечение информационной безопасности” в ООО «Электронные платежи»

Информация, поступающая в компанию, проходит несколько стадий обработки на наличие программных, сетевых и физических угроз безопасности, прежде чем поступит в использование сотрудниками компании.
За безопасностью следит главным образом системный администратор, который настраивает все программные и аппаратные средства для защиты компании. Это регламентируется регламентом компании, политикой безопасности и должностными инструкциями. В результате сотрудники получают безопасную информацию, также формируется отчет о событиях обработки.
Поступающая информация проходит стадию анализа, где выявляются угрозы, которые она может нанести, далее применяются средства для устранения этих угроз и происходит распределение информации по уровням защиты (административный, программно-технический, законодательный, организационный). Далее применяются средства для дальнейшей защиты информации. Эта работа протекает в компании в соответствии с действующими нормативными и правовыми актами.
В ООО «Электронные платежи» принята следующая модель построения системы информационной безопасности, основанная на адаптации “Общих критериев” ISO 15408 и проведении анализа информационных рисков (рис. 2.2).


Рисунок 2.2 – Алгоритм оценки рисков в ООО «Электронные платежи»

Процесс оценки рисков можно подразделить на девять основных этапов:
– определение характеристик информационной системы;
– идентификация уязвимостей;
– идентификация угроз;
– анализ регуляторов безопасности;
– определение вероятностей;
– анализ воздействий;
– определение рисков;
– рекомендуемые контрмеры;
– результирующая документация.
Идентификация уязвимостей и угроз, а также анализ регуляторов безопасности и воздействий могут выполняться относительно независимо и параллельно после того, как завершен первый этап и определены характеристики информационной системы.
На рис. 2.3 показаны основные этапы процесса оценки рисков вместе с входной и выходной информацией для каждого из них.

Рисунок 2.3 – Основные этапы процесса оценки рисков, их входная и выходная информация в ООО «Электронные платежи»
Оценка рисков действует на протяжении определенного периода. Чтобы иметь основания применять аппарат теории вероятностей, этот период должен быть достаточно большим (три-пять лет). Если вероятность события (например, пожара) мала, рассматриваемый период следует еще увеличить. Но за это время информационная система (ИС) существенно изменится, и старые оценки потеряют смысл. Следовательно, при оценке рисков событиями с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то, что потенциальный ущерб от них может быть велик. Отметим, что это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью. На самом деле, на первом плане должны быть риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода. На рис. 2.4 представлены риски в зависимости от величины ущерба вероятности события.


Рисунок 2.4 – Представление рисков в виде точек на координатной плоскости

Риск события U1 относится к числу обычно переоцениваемых руководителями; на практике, в силу низкой вероятности, большей частью подобных рисков целесообразно пренебречь.
Управлению рисками соответствует перемещение точек по плоскости. Обычно стремятся приблизиться к началу координат вдоль одной оси, не меняя значения другой координаты. Впрочем, если удастся уменьшить сразу обе координаты, это будет еще лучше.

2.3 Определение рисков угроз информационной безопасности в ООО «Электронные платежи»

Рассмотрим управление идентифицированными рисками в ООО «Электронные платежи». В качестве объекта защиты выбираем автоматизированное рабочее место (АРМ) сотрудника.
Критичность ресурса (КР) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.
Критичность реализации угрозы (КРУ) – степень влияния реализации угрозы на ресурс, задается в процентах.
Вероятность реализации угрозы через данную уязвимость в течение года P – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в процентах.
Объект защиты – АРМ сотрудника.
По оценке начальника службы безопасности критичность ресурса равна 1400000 руб.
Возможные угрозы и уязвимости представлены в табл. 2.3.

 


Таблица 2.3 – Угрозы и уязвимости для автоматизированного рабочего места сотрудника
Угроза Уязвимости
1. Физический доступ нарушителя к АРМ 1. Отсутствие системы контроля доступа служащих к чужим автоматизированным рабочим местам
2. Отсутствие системы видеонаблюдения в компании
3. Несогласованность в системе охраны периметра здания
2. Разглашение конфиденциальной информации (КИ), хранящейся на АРМ 1. Отсутствие соглашения о неразглашении между администрацией и служащими
2. Нечеткое распределение ответственности между служащими
3. Разрушение КИ при помощи специальных программ и вирусов 1. Отсутствие или некорректная работа антивирусного программного обеспечения
2. Отсутствие ограничения доступа пользователей к внешней сети

В табл. 2.4 представлены вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы.

Таблица 2.4 – Вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы
Угроза/уязвимость P, % КРУ,%
1/1 50 50
1/2 30 50
1/3 10 40
2/1 30 40
2/2 50 40
3/1 10 90
3/2 20 60

В табл. 2.5 представлен уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный).

Таблица 2.5 – Уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный)
Угроза/уязвимость УУ УУсовокупный
1/1 0,25 0,388
1/2 0,15
1/3 0,04
2/1 0,12 0,296
2/2 0,2
3/1 0,09 0,199
3/2 0,12

Уровень угрозы по определенной уязвимости вычисляют по формуле
УУ= (P×КРУ)/10000, (2.1)
где P – вероятность реализации угрозы через данную уязвимость в течение года, %;
КРУ – критичность реализации угрозы, %.
Уровень угрозы по всем уязвимостям вычисляют по формуле
〖УУ〗_совокупный=1-∏_(i=1)^n▒(1-〖УУ〗_i ) , (2.2)
где УУ – уровень угрозы по определенной уязвимости.
Общий уровень угроз по ресурсу вычисляют по формуле
ОУУ=1-∏_(i=1)^n▒(1-〖УУ〗_i^совокупный ) , (2.3)
где УУсовокупный – уровень угрозы по всем уязвимостям.
Воспользовавшись формулой (2.3) определим значение общего уровня угроз по данному ресурсу, который составит соответственно 0,655.
Риск по ресурсу вычисляется по формуле
Р=ОУУ×КР, (2.4)
где ОУУ – общий уровень угроз по ресурсу;
КР – критичность ресурса, д.е.
Воспользовавшись формулой (2.4) определим значение риска по данному ресурсу, который составит соответственно 917000 руб.
Таким образом, из приведенных расчетов видно, что в случае реализации угроз на данный ресурс компания понесет убытки в размере 917000 руб.

 

 

 

 

 

 

 

 

 

 

 

 

Глава 3 Разработка мероприятий по совершенствованию системы защиты информации в ООО «Электронные платежи»
3.1 Формирование системы информационной безопасности

Возможные каналы потери конфиденциальности информации:
разглашение конфиденциальной информации, хранящейся на АРМ;
разрушение КИ при помощи специальных программ и вирусов;
разглашение конфиденциальной информации, хранящейся на сервере;
физический доступ нарушителя к АРМ;
физический доступ нарушителя к серверу;
физический доступ нарушителя к конфиденциальным документам;
разглашение конфиденциальной информации, использованной в документах;
вынос документов за пределы контролируемой зоны.
несанкционированное копирование, печать и размножение конфиденциальных документов.
Предполагаемые мероприятия по защите информации:
установка системы видеонаблюдения;
установка системы охранной и пожарной сигнализации;
усовершенствование контроля и управления доступом на объект;
смена сейфа на более надежный сейф для хранения особо важной информации;
установка новой антивирусной программы;
установка межсетевого экрана;
усовершенствование системы хранения информации в электронном виде;
разработка инструкции пользователя объекта вычислительной техники (ОВТ);
усовершенствование инструкции по организации парольной защиты на АРМ;
проведение инструктажа персонала в соответствии с новой комплексной системой зашиты информации;
разработка «Соглашения о неразглашении конфиденциальной информации», проведение инструктажа по разъяснению персоналу компании положений «Памятки»;
разграничение доступа пользователей к информации с помощью установки СЗИ от несанкционированного доступа (НСД) на рабочих местах и сервере (СЗИ Secret Net);
установление средств защиты при проведении закрытых совещаний;
отключение мобильных телефонов всех присутствующих в помещении при проведении совещаний и переговоров;
ключи и коды от сейфов должны храниться у руководителя компании;
обязательное выключение компьютеров после завершения рабочего дня.
Для управления проектом его следует разбить на иерархические подсистемы и компоненты. В терминах управления проектами структура проекта представляет собой “дерево” ориентированных на продукт проекта компонентов, представленных оборудованием, работами, услугами и информацией, полученными в ходе реализации проекта. Можно сказать, что структура проекта – это организация связей и отношений между его элементами. Формирование структуры проекта позволяет представить его в виде значительно меньших блоков работ вплоть до получения самых мелких, поддающихся непосредственному контролю позиций. Именно такие блоки передаются под управление отдельным специалистам, ответственным за достижение конкретной цели достигаемой при реализации задач данного блока. Структуризация является неотъемлемой частью общего процесса планирования проекта и определения его целей, а также подготовки плана проекта и матрицы распределения ответственностей и обязанностей.
Задачей проекта является построение надежной системы защиты информации в компании.
Для компании «Электронные платежи» в ходе разработки комплексной системы защиты информации необходимо выделить несколько задач в пределах следующих требований:
техническое оснащение объекта должно сводить к минимуму возможность снятия конфиденциальной информации по возможным каналам потери информации;
техническое оснащение должно удовлетворять требованиям и нормам стандартов в области защиты информации;
техническое оснащение не должно мешать рабочему процессу компании;
должна быть проведена оценка защищенности АРМ в соответствии с требованиями стандартов;
должны быть разработаны должностные инструкции в соответствии с поставленными задачами и формами допуска к конфиденциальной информации;
по завершении работ по построению комплексной системы защиты информации необходимо провести ознакомление сотрудников с новой системой.
Итогом работы по построение КСЗИ должно быть:
защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации;
создание собственной политики безопасности компании;
строгий контроль доступа к конфиденциальной информации на электронных и бумажных носителях, к автоматизированным рабочим местам, содержащим конфиденциальную информацию;
техническое оснащение помещений, в которых ведется работа с конфиденциальными документами;
введение строгого учета конфиденциальной документации;
введение системы ответственности за невыполнение норм и требований по работе с конфиденциальной информацией.
Структура разбиения работ с учетом продолжительности по времени отражается в табл. 3.1.

Таблица 3.1 – Структура разбиения работ
Наименование работы Минимальная продолжительность, дней Максимальная продолжительность, дней
1 2 3
1. Приказ руководства компании о разработке проекта КСЗИ. Назначение ответственных лиц за проект. Определение примерных сроков проекта 1 2
2. Формирование команды разработчиков КСЗИ 1 2
3. Знакомство с информационной системой и информационными ресурсами компании. Составление первого отчета о полученных результатах 2 3
4. Составление перечня КИ компании (изучение уже существующего перечня, дополнение, преобразования) 1 2
5. Изучение нормативной документации компании 1 2

Продолжение таблицы 3.1
1 2 3
6. Изучение журналов регистрации конфиденциальных документов, имеющихся в компании 2 3
7. Выделение объектов защиты и их категорирование. Составление отчета 3 4
8. Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного программного обеспечения) 3 4
9. Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов 8 10
10. Изучение имеющейся системы охраны периметра компании, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра 4 5
11. Составление отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих в компании мер защиты 3 4
12. Разделение персонала компании по уровням доступа к конфиденциальной информации 4 5
13. Составление новых должностных инструкций, согласование с руководством компании, обоснование 5 6


Продолжение таблицы 3.1
1 2 3
14. Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта 7 8
15. Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер 3 4
16. Заключение договора на поставку необходимых технических средств и программного обеспечения. Установка сроков поставки, монтажа и настройки нового оборудования 13 15
17. Обучение персонала компании работе с новым оборудованием 3 4
18. Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты 5 6
19. Составление полного отчета по проделанной работе 4 5
20. Предоставление проекта директору компании 1 2
21. Возможные доработки и исправления проекта 0 2
Итого 74 98

Структурная схема компании.
Структурная схема компании содержит в себе совокупность должностных лиц, участвующих в проекте по созданию КСЗИ, и выполняемых ими функций в процессе этой деятельности.
В структурную схему входят:
начальник отдела по защите информации;
главный инженер по защите информации;
начальник службы безопасности;
инженер по защите информации;
начальник отдела конфиденциального делопроизводства;
менеджер по кадрам;
сотрудник службы безопасности.
Матрица ответственности для конкретного должностного лица по определенному виду работ представлена в табл. 3.2.

Таблица 3.2 – Матрица ответственности
Задачи Начальник отдела по защите информации Главный инженер по защите информации Начальник службы безопасности Инженер по защите информации Начальник отдела конфиденциального делопроизводства Менеджер по кадрам Сотрудник службы безопасности
1 2 3 4 5 6 7 8
1. Приказ руководства компании о разработке КСЗИ. Назначение ответственных лиц за проект. Определение примерных сроков проекта x x x
2. Формирование команды разработчиков КСЗИ x x x
3. Знакомство с информационной системой и информационными ресурсами компании. Составление первого отчета о полученных результатах x x x

Продолжение таблицы 3.2
1 2 3 4 5 6 7 8
4. Составление перечня КИ компании (изучение уже существующего перечня, дополнение, преобразования) x x
5. Изучение нормативной документации компании x x x
6. Изучение журналов регистрации конфиденциальных документов, имеющихся в компании x
7. Выделение объектов защиты и их категорирование. Составление отчета x x x
8. Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного программного обеспечения) x x x
9. Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов x x x x
10. Изучение имеющейся системы охраны периметра организации, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра x x x
11. Составление отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих в компании мер защиты x x x x


Продолжение таблицы 3.2
1 2 3 4 5 6 7 8
12. Разделение персонала компании по уровням доступа к конфиденциальной информации x x
13. Составление новых должностных инструкций, согласование с руководством компании, обоснование x x
14. Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта x x
15. Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер x x x x
16. Заключение договора на поставку необходимых технических средств и программного обеспечения. Установка сроков поставки, монтажа и настройки нового оборудования x x
17. Обучение персонала компании работе с новым оборудованием x x x
18. Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты x x x x x
19. Составление полного отчета по проделанной работе x x x
20. Предоставление проекта директору компании x x x

Предлагаемые средства защиты информации.
Физические средства защиты.
Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
Система охранного телевидения (СОТ).
В последнее время системы видеонаблюдения стали основой комплексной системы безопасности. Современные системы видеонаблюдения позволяют не только наблюдать за объектом и записывать происходящие события, но и реагируют на возникновение нештатных ситуаций, контролируя действия всей системы безопасности. В зависимости от типа используемого оборудования они делятся на два типа, цифровые и аналоговые.
Цифровые системы видеонаблюдения.
Данные охранные системы имеют множество плюсов:
– возможность цифрового увеличения и масштабирования любого кадра;
– мгновенный поиск и просмотр видеозаписи по камере, дате и времени;
– высокую скорость доступа к видеоархиву;
– возможность отправки тревожных сообщений по электронной почте и SMS;
– возможность экспорта видеоинформации на совместимые внешние носители;
– возможность интеграции с другими компьютерными системами безопасности;
– легкая и недорогая трансляция видеоархивов по каналам связи (Интернет и пр.);
– обеспечивает высокое качество воспроизводимой видеозаписи.
Очень важным преимуществом цифровых систем является возможность создания на их основе интегрированных систем безопасности. В зависимости от требований, предъявляемых к системе, в состав цифровой системы видеонаблюдения могут входить и другие охранные и исполнительные элементы. Их комплексное использование существенно повышает надежность всей системы безопасности.
Купольные видеокамеры черно-белого изображения предназначены для установки внутри помещений. Объектив видеокамеры с фиксированной диафрагмой «board lens» (М12). Форма купола позволяет устанавливать данную видеокамеру в любых помещениях, как в офисах, так и в магазинах, домах, не привлекая к себе особого внимания как элемент декора. Черно-белые миниатюрные видеокамеры типа КРС-400Р1, 190 SP1 могут использоваться как самостоятельные устройства в недорогих системах видеонаблюдения. Подключаются к любым видеомониторам, видеодомофонам и устройствам обработки видеосигнала. Могут использоваться как видеокамеры скрытого видеонаблюдения, как в офисе, так и в составе видеодомофонной системы. Питание камеры осуществляется от внешнего стабилизированного источника питания с постоянным напряжением 12В.
Видеокамера КРС-190 SP1 1/3”, 420 ТВЛ, 0,05 лкс, 3,6 мм, угол обзора Н-78°, конусный объектив, питание 12В, цилиндр, стоимость 1690 руб. (5 штук).
Монитор HS-BM122A 12”, 1000 ТВЛ, аудиоканал, стоимостью 5232,25 руб.
Система охранной и пожарной сигнализации (ОПС).
Система пожарной сигнализации (ПС) – это комплекс технических средств, служащих для своевременного обнаружения возгорания, возникновения дыма или замыкания.
Система охранно-пожарной сигнализации (ОПС) состоит из трех основных подсистем:
– пульт централизованного управления пожарной сигнализации;
– устройство сбора и обработки данных с датчиков пожарной сигнализации;
– датчики и извещатели пожарной сигнализации.
Извещатели служат для обнаружения пожара, устройства сбора и обработки данных – для протоколирования информации и подачи данных на пульт централизованного управления пожарной сигнализации. Помимо этих основных функций, современная пожарная сигнализация способна отдавать команды на включение автоматического пожаротушения и дымоудаления. Также должно включаться оборудование оповещения о пожаре (звуковое и световое оповещение).
В данном случае выберем следующее оборудование:
– Контрольная панель VISTA-50LP.
Характеристики:
– 9 проводных зон;
– расширение до 86 зон по встроенной двухпроводной линии связи;
– до 86 беспроводных зон;
– 7 уровней приоритета, 75 кодов пользователей;
– до 16 пультов управления;
– до 16 двухпроводных пожарных датчиков на первой зоне.
Стоимость – 14820 руб.
– ИП-212-5М3. Извещатель оптический дымовой (ДИП-3М), 2-х проводной, уменьшенный габарит, 16-24В, 0,2мА, стоимостью 514,80 руб. (9 штук).
– Окно-4. Датчик разбития стекла ударно-контактный, стоимостью 120, 90 руб. (17 штук).
– АС-22. Звуковой оповещатель, 103дБ, 220В, стоимостью 195 руб.
– ИО-102-5. Извещатель магнитоконтактный для немагнитных дверей, скрытой установки, стоимостью 58,50руб. (6 штук).
Система контроля и управления доступом на объект (СКУД).
Система контроля доступа (СКУД, СКД) является третьим рубежом защиты помещения после охранно-пожарной и телевизионной систем безопасности. Основная задача систем контроля и управления доступом – регламентировать передвижение сотрудников и посетителей в дневное время и предотвращать попадание нежданных гостей в помещение. Так же, система контроля доступа – это фискальная система, отслеживающая события, происходящие в системе СКУД. На основании полученных данных решается еще одна актуальная на сегодняшний день задача – учет рабочего времени.
Всем сотрудникам компании, в которой установлена система контроля доступа, выдаются специальные электронные пропуска, например, проксимити идентификаторы, представляющие собой пластиковые карты или брелоки, которые содержат персональные коды доступа. Считыватели, устанавливаемые у входа в контролируемое помещение, распознают код идентификаторов. Информация поступает в систему контроля доступа, которая на основании анализа данных о владельце идентификатора, принимает решение о допуске или запрете прохода сотрудника на охраняемую территорию. В случае разрешения доступа, система приводит в действие исполнительные устройства, такие как электромеханические замки, турникеты, автоматические шлагбаумы или приводы ворот. В противном случае двери блокируются, включается сигнализация и оповещается охрана.
Современные системы контроля доступом на базе оборудования KANTECH оснащаются чрезвычайно гибким программным обеспечением, позволяющим работать системам, как с малым, так и с огромным количеством контролируемых дверей, предоставляя при этом сервис высочайшего уровня.
В системе СКУД при этом могут использоваться технологии самого различного плана, такие как магнитные полосы, эффект Wiegand, считыватели на базе proximity, биометрические технологии.
Правильно организованный контроль доступа в современной компании является основой эффективной организации труда, как в офисе, так и в производственном секторе.
В данном случае примем следующее решение:
– ISEO-5210-хх-хх-х. Электромеханический замок для двери, внутренний цилиндр, стоимостью 2189,20 руб. Используем замок на входной двери компании.
– Для защиты окон устанавливаются решетки стоимостью 780 руб. за квадратный метр. Будем считать общую площадь окон равной 39 м^2. Общая стоимость 30420 руб.
Для хранения особо важной информации будем использовать сейф P 36. Его габариты 655х435х420, вес – 65 кг. Стоимость 17076,80 руб.
Программно-аппаратные средства защиты.
Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.
Программные средства – специализированные программы и программные комплексы, предназначенные для защиты информации в информационных системах (ИС).
Система защиты от НСД.
Подсистема защиты информации от НСД реализуется с помощью программного средства Secret Net. Система защиты информации Secret Net является программно-аппаратным комплексом, предназначенным для обеспечения информационной безопасности в локальной вычислительной сети.
Безопасность рабочих станций и серверов сети обеспечивается с помощью всевозможных механизмов защиты:
– усиленная идентификация и аутентификация,
– полномочное и избирательное разграничение доступа,
– замкнутая программная среда,
– криптографическая защита данных,
– другие механизмы защиты.
Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.
Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.
Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.
Компоненты Secret Net.
Система Secret Net состоит из компонентов:
– клиентская часть;
– сервер безопасности;
– подсистема управления.
Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.
Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:
– ведение центральной базы данных (ЦБД) системы защиты, функционирующей под управлением СУБД Oracle 8.0 Personal Edition и содержащей информацию, необходимую для работы системы защиты;
– сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления;
– взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.
Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:
– централизованное управление защитными механизмами клиентов Secret Net;
– контроль всех событий имеющих отношение к безопасности информационной системы;
– контроль действий сотрудников в ИС компании и оперативное реагирование на факты и попытки НСД;
– планирование запуска процедур копирования ЦБД и архивирования журналов регистрации.
Схема управления, реализованная в Secret Net, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности. Стоимость составляет – 8645 руб.
Система защиты от вирусов.
Антивирусная программа – программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики – предотвращения заражения файлов или операционной системы вредоносным кодом. Согласно многочисленным исследованиям на сегодняшний день самой распространенной и наносящей самые большие убытки информационной угрозой являются вирусы, «троянские кони», утилиты-шпионы и прочее вредоносное программное обеспечение. Для защиты от него используются антивирусы. Причем этим средством обеспечения безопасности должен быть оборудован каждый компьютер вне зависимости от того, подключен он к Интернету или нет.
Для защиты информации в ООО «Электронные платежи» от вредоносного программного обеспечения будет использоваться Антивирус Касперского 2013. Его стоимость с лицензией на 10 компьютеров – 8000 руб.
Межсетевой экран.
Между локальной сетью и глобальной сетью создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
Будем использовать Core Force – первый файрволл, созданный с использованием комьюнити-решения. Он предназначен для защиты персональных компьютеров, работающих под управлением Windows 2003 и Windows XP. Смысл комьюнити-решения заключается в том, что большая группа экспертов по сетевой безопасности (community of security experts) подготавливает и выкладывает для общего пользования настройки для работы Core Force, которые постоянно, с учетом появления новых приложений, обновляются. Эти настройки безопасности могут быть бесплатно скачаны с сайта комьюнити. Такой подход, по замыслу разработчиков, должен позволить даже самому неподготовленному в вопросах безопасности пользователю без труда настроить свой файрволл на его оптимальную работу, т.е. максимально возможно защитить компьютер.
Core Force бесплатен как для некоммерческого, так и для коммерческого использования. Распространяется по лицензии Apache 2.0.
Система хранения информации.
Взрывной рост объемов данных – одна из основных тенденций развития современных IT-систем. Помимо роста объемов, наблюдается рост значимости данных, и, как следствие, появляется необходимость в бесперебойном доступе к данным, к защите от аварий и катастроф. При этом на передний план выходят так же вопросы стоимости хранения данных и сохранения инвестиций в инфраструктуру. Все эти задачи успешно решаются за счет применения передовых принципов дизайна систем хранения, таких как консолидации и виртуализации вычислительных ресурсов. Будем использовать Storage Works DAT HP систему хранения информации.
Данное программное обеспечение является недорогим и надежным решением резервного копирования данных для серверов начальных уровней и рабочих станций. Стоимость: 38233 руб.
Система проведения закрытых совещаний.
«Грань-300». Габариты – 90х55х25 мм. Устройство защиты аналоговых телефонных аппаратов от потери информации за счет микрофонного эффекта и ВЧ-навязывания, блокировка. Стоимость – 5850 руб. Будем использовать для защиты от прослушивания телефона в кабинете руководителя.
ОMS-2000. Акустический излучатель является специализированным электроакустическим преобразователем и предназначен для возбуждения акустического шума. Он предназначен для защиты пространства подвесных потолков, ниш, шкафов, вентиляционных коробов. Стоимость 3250 руб.
Оценка стоимости средств защиты информации приведена в табл. 3.3.

Таблица 3.3 – Расчет стоимости защиты информации
Средства защиты информации Стоимость, руб.
1 2
1. Физические средства защиты:
Система охранного телевидения (СОТ):
– Видеокамера КРС-190 SP1(5 шт.) 8450
Продолжение таблицы 3.3
1 2
– Монитор HS-BM122A 5232,25
Система охранной и пожарной сигнализации:
– Контрольная панель VISTA-50LP 14820
– ИП-212-5М3 ДИП-3М (9шт.) 4633,32
– Окно-4 Датчик разбития стекла(17 шт.) 2055,30
– АС-22. Звуковой оповещатель 195
– ИО-102-5 Извещатель магнитоконтактный (6шт.) 351
Система контроля и управления доступом на объект (СКУД):
– ISEO-5210-хх-хх-х. Электромеханический замок для двери 2189,20
– Решетки на окна 39 кв.м. (780руб кв.м.) 30420
– Сейф P-36 17076,80
2. Программно-аппаратные средства защиты:
– Система защиты от НСД Secret Net 5.1 8645
– Антивирусная программа Kaspersky AVP Platinum 8000
– Межсетевой экран Core Force бесплатный
– Система хранения информации Storage Works DAT HP 38233
Система проведения закрытых совещаний:
– Устройство защиты аналоговых телефонных аппаратов Грань-300 5850
– Акустический излучатель ОМС-2000 3250
Итого 149400,90

Оценка стоимости комплексной системы защиты информации.
В табл. 3.4 представлена примерная среднерыночная стоимость работ и оборудования необходимого для внедрения комплексной системы защиты информации в ООО «Электронные платежи».

Таблица 3.4 – Примерная стоимость работ и оборудования КСЗИ
Статья затрат Стоимость, руб.
1 2
1. Приобретение средств защиты 149400,90
Продолжение таблицы 3.4
1 2
2. Монтаж СЗИ 71500
3. Специальные исследования помещений 52650
4. Разработка соглашений и инструкций 26000
5. Разработка заключения о степени защищенности и аттестата соответствия 19500
Итого: 319050, 90

Таким образом, из приведенных выше расчетов видно, что в случае реализации угроз на конкретный ресурс компания понесет убытки в размере 458500 руб.
Затраты на разработку комплексной системы защиты информации составляют 70% от стоимости убытков, которые компания может понести в случае реализации возможных угроз.

3.2 Оценка рисков комплексной системы защиты информации

В данном разделе рассчитаем риски для разработанной системы защиты информации.
Критичность ресурса (КР) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.
Критичность реализации угрозы (КРУ) – степень влияния реализации угрозы на ресурс, задается в процентах.
Вероятность реализации угрозы через данную уязвимость в течение года P – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в процентах.
Объект защиты – АРМ сотрудника.
По оценке начальника службы безопасности критичность ресурса равна 700000 руб.
Возможные угрозы и уязвимости представлены в табл. 3.5.
Таблица 3.5 – Возможные угрозы и уязвимости для автоматизированного рабочего места
Угроза Уязвимости
1. Физический доступ нарушителя к АРМ 1. Отсутствие системы контроля доступа служащих к чужим автоматизированным рабочим местам
2. Отсутствие системы видеонаблюдения в компании
3. Несогласованность в системе охраны периметра здания
2. Разглашение конфиденциальной информации (КИ), хранящейся на АРМ 1. Отсутствие соглашения о неразглашении между администрацией и служащими
2. Нечеткое распределение ответственности между служащими
3. Разрушение КИ при помощи специальных программ и вирусов 1. Отсутствие или некорректная работа антивирусного программного обеспечения
2. Отсутствие ограничения доступа пользователей к внешней сети

В табл. 3.6 представлены вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы.

Таблица 3.6 – Вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы
Угроза/уязвимость P, % КРУ,%
1 2 3
1/1 12 50
1/2 5 50
1/3 3 40
2/1 20 40
2/2 20 40
3/1 3 90
3/2 10 60
В табл. 3.7 представлен уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный).

Таблица 3.7 – Уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный)
Угроза/уязвимость УУ УУсовокупный
1/1 0,06 0,094
1/2 0,025
1/3 0,012
2/1 0,08 0,154
2/2 0,08
3/1 0,027 0,085
3/2 0,06

Воспользовавшись формулой (2.3) определим значение общего уровня угроз по данному ресурсу, который составит соответственно 0,299.
Воспользовавшись формулой (2.4) определим значение риска по данному ресурсу, который составит соответственно 418600 руб.
Рассчитаем коэффициент защищенности данного ресурса по формуле
К_з=(1-〖ОУУ〗_зс/〖ОУУ〗_нс )×100%, (3.1)
где 〖ОУУ〗_зс – общий уровень угроз по ресурсу для защищенной системы;
〖ОУУ〗_нс – общий уровень угроз по ресурсу для незащищенной системы.
Воспользовавшись формулой (3.1) коэффициент защищенности требуемого ресурса компании равен 54%.
Соответственно можно сделать вывод, что с внедрением КСЗИ защищенность автоматизированных рабочих мест увеличилась на 54%.
Так же, из приведенных выше расчетов видно, что в случае реализации угроз на данный ресурс, с учетом внедрения комплексной системы защиты информации, компания понесет убытки в размере 418600 руб.
Сумма затрат на разработку и внедрение КСЗИ а также стоимость убытков, которые компания может понести при реализации возможных угроз после внедрения КСЗИ составляет 737650,90 руб.
Следовательно, возможные потери после внедрения комплексной системы защиты информации снизятся на 24%.

 

 

 

 

 

 

 

 

 

 

 

 

Заключение

В настоящее время практически не у кого не вызывает возражений идея об обязательном создании в любой средней и крупной компании системы обеспечения экономической безопасности.
В основе разработки КСЗИ компании должна лежать определенная концепция, которая включает в себя цель комплексной системы обеспечения информационной безопасности, ее задачи, принципы деятельности, объект и субъект, стратегию и тактику. Цель данной системы можно сформулировать следующим образом: минимизация внешних и внутренних угроз экономическому состоянию компании, в том числе его финансовым, материальным, информационным и кадровым ресурсам на основе разработанного и реализуемого комплекса мероприятий экономико-правового и организационно-технического характера.
Тактика обеспечения безопасности компании предполагает применение конкретных процедур и выполнение конкретных действий в целях обеспечения ее информационной и экономической безопасности. Речь идет о таких процедурах и действиях как: принятие дополнительных мер по сохранности коммерческой тайны; создание подразделения компьютерной безопасности; предъявление претензий контрагенту-нарушителю; обращение с иском в судебные органы; обращение в правоохранительные органы и т.п. Таким образом, комплексная система экономической безопасности компании должна включать в себя строго определенное множество взаимосвязанных элементов, обеспечивающих безопасность компании при достижении им основных целей бизнеса.
В результате проделанной работы был проведен анализ объекта с последующей разработкой системы комплексной защиты информации в ООО «Электронные платежи».
Объектом анализа были выбраны автоматизированные рабочие места сотрудников компании, надежная защита которых является одним из аспектов успешной деятельности компании.
Через оценку рисков выявлено, что в случае реализации возможных угроз на данный ресурс компания понесет убытки равные 917000 руб.
Для снижения рисков, следовательно, снижения возможных потерь предлагается определенная комплексная система защиты информации.
После внедрения данной системы возможные убытки компании, с учетом затрат на разработку и внедрение КСЗИ, будут равными 737650,90 руб.
Следовательно, возможные потери после внедрения КСЗИ снизятся на 24%.
При этом следует отметить, что срок эксплуатации средств защиты превышает 1 год и система защиты информации рассчитана на более длительный срок.
Следовательно, построение КСЗИ в ООО «Электронные платежи» можно считать экономически целесообразным.

 

 

 

 

 

 

Список использованной литературы

Бармен С. Разработка правил информационной безопасности. – М.: Издательский дом “Вильямс”, 2009. – 208 c.
Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. – СПб: Изд-во «Юридический центр Пресс», 2009.
Василенко О.Н. Теоретико-числовые алгоритмы в криптографии. – М.: Московский центр непрерывного математического образования, 2009. – 328 c.
Касперски К. Записки исследователя компьютерных вирусов. – СПб: Питер, 2009. – 320 с.: ил.
Пархоменко П.Н., Яковлев С.А., Пархоменко Н.Г. Правовые аспекты проблем обеспечения информационной безопасности. – В сб. Материалы V Международной научно-практической конференции «Информационная безопасность». – Таганрог: ТРТУ, 2009.
Симонис Д. и др. Check Point NG. Руководство по администрированию. – М.: ДМК Пресс, 2009. – 544 c.
Закон РФ «О безопасности» от 05.04.1992 № 2446-1.
Журнал «Компьютерра» №2 (766) январь 2009 г.
Федеральный закон «О коммерческой тайне» от 29.07.2004 №98-ФЗ (ред. от 24.07.2007).
http://all-ib.ru.
http://www.leta.ru.
http://www.npo-echelon.ru.




Комментарий:

Анализ средств защиты информации в ООО «Электронные платежи»


Рекомендовать другу
50/50         Партнёрка
Отзывы