Курсовик1
Корзина 0 0 руб.

Работаем круглосуточно

Доступные
способы
оплаты

Свыше
1 500+
товаров

Каталог товаров

Обеспечение информационной безопасности и защиты информации предприятия

В наличии
0 руб.

Скачать уникальную ВКР бесплатно обеспечения информационной безопасности и защиты информации предприятия

После нажатия кнопки В Корзину нажмите корзину внизу экрана, в случае возникновения вопросов свяжитесь с администрацией заполнив форму

Скачать

Содержание

Введение. 4

1. АНАЛИТИЧЕСКАЯ ЧАСТЬ. 7

1.1 Анализ предметной области исследования. 7

1.1.1 Обоснование актуальности исследования. 7

1.1.2 Постановка задачи, определение предмета и объекта исследования. 7

1.1.3 Теоретическая и методологическая основа исследования. 8

1.2 Характеристика задачи и объекта исследования. 11

1.2.2 Система управления ИБ на предприятии. 11

1.2.3 Обоснование выбора задачи для объекта исследования. 14

1.2.4 Определение связи задачи исследования с другими задачами. 16

1.3 Характеристика задачи в рамках комплекса задач объекта исследования. 19

1.3.1 Оценка существующих ресурсов для решения задачи информационной безопасности. 19

1.3.2 Определение средств информационной безопасности для решения задачи исследования. 23

1.3.3 Определение уровня защиты информации для исследуемой задачи. 24

1.4 Анализ существующих разработок и выбор стратегии информационной безопасности. 26

1.4.1 Анализ существующих разработок для обеспечения информационной безопасности. 26

1.4.2 Обоснование способа приобретения систем информационной безопасности. 27

1.4.3 Обоснование стратегии обеспечения информационной безопасности. 28

Выводы по главе 1. 33

II Проектная часть. 34

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 34

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 34

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 37

2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия. 41

2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности. 41

2.3 Настройка внедренных средств защиты.. 57

2.3.1 Настройка средства защиты информации от несанкционированного доступа. 57

2.3.2 Настройка программного средства комплексной антивирусной защиты «Dr. Web Desktop Security Suite». 64

2.3.3 Настройка межсетевого экрана «РУБИКОН». 69

2.3.4 Настройка системы обнаружения вторжений «РУБИКОН». 75

Выводы по главе 2. 79

III Обоснование экономической эффективности проекта. 80

3.1 Выбор и обоснование методики расчёта экономической эффективности. 80

3.2 Расчёт показателей экономической эффективности проекта. 82

Выводы по главе 3. 87

Заключение. 88

Список использованных источников. 90


Введение



1. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1.1 Анализ предметной области исследования

1.1.1 Обоснование актуальности исследования

Актуальность темы защиты информации на предприятии определяется следующими факторами:

1. становлением «информационного общества»;

2. повсеместной компьютеризацией бизнес-процессов ООО «Строй Персонал»;

3. усилением влияния информационной безопасности на эффективность всех бизнес-процессов ООО «Строй Персонал»;

4. необходимостью перехода к проактивным методам защиты;

5. необходимостью применения комплексного подхода к обеспечению информационной безопасности (ИБ);

6. необходимостью стандартизации систем защиты на всех уровнях.

1.1.2 Постановка задачи, определение предмета и объекта исследования

Сущность защиты информации можно определить через ее предметную область, которая определяет виды, направления и соответствующие им способы, цели и задачи защиты информации. Существуют следующие виды защиты информации: правовая, техническая, криптографическая, физическая. Целью защиты информации является заранее намеченный результат защиты информации. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и несанкционированного и непреднамеренного воздействия на информацию. С учетом характеристик безопасности информации, понятий, используемых в законодательстве, определение «защиты информации» (в широком смысле) может быт сформулировано следующим образом: защита информации — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее и включающая правовые, организационные и технические меры, обеспечивающие конфиденциальность, доступность и целостность защищаемой информации.

В настоящее время предприятия разрабатывают и утверждают маркетинговые, коммуникационные, бизнес-стратегии, но лишь малая часть предприятий разрабатывает стратегию информационной безопасности.

Подход к проблемам информационной безопасности необходимо начинать с выявления субъектов, заинтересованных в обеспечении: своевременного доступа к необходимому массиву информации; конфиденциальности определенной части информации; достоверности информации; защиты части информации от незаконного ее тиражирования; разграничения ответственности за нарушения законных прав других субъектов информационных отношений и установленных правил обращения с информацией; возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.

Предметом исследования являются процессы функционирования системы информационной безопасности на всем протяжении жизненного цикла предприятия.

В качестве объекта исследования выступают информационные системы, развернутые на предприятии.

Целью работы является анализ и обоснование выбора организационных и технологических решений по защите информации с целью повышения эффективности использования ресурсов предприятия, оптимизации контроля (мониторинга) параметров информационной безопасности.

1.1.3 Теоретическая и методологическая основа исследования

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации представляет собой комплекс мероприятий, направленных на обеспечение информационной безопасности.

Важное значение имеет поддерживающая инфраструктура, к которой относятся системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, обслуживающий персонал.

Объектом защиты информации является информационная система. Под информационной системой понимается программно–аппаратный комплекс, предназначенный для автоматизированного сбора, хранения, обработки, передачи и получения информации.

Предметом защиты в информационных системах является информация или информационные ресурсы. Защищенность информации – такое состояние всех модулей информационной системы, при котором обеспечивается зашита от возможных угроз на требуемом уровне.

Целями обеспечения информационной безопасности являются

Доступность – свойство ресурса системы, заключающееся в том, что пользователь и/или процесс, имеющий соответствующие полномочия, может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая заданного (малого) промежутка времени, т.е. когда он находится в необходимом пользователю виде, месте и нужное время.

Целостность – свойство информации, заключающееся в том, что информация не может быть подвергнута модификации неавторизованным пользователем и / или процессом.

Конфиденциальность – свойство информации, заключаемое в том, что информация не может быть получена неавторизованным пользователем и / или процессом.

Рисунок 1 – Основные компоненты информационной безопасности

Под угрозой информационной безопасности понимается потенциальная возможность нарушения информационной безопасности. На рис. 2 показана классификация угроз информационной безопасности.

Угрозы по компонентам информационных систем характеризуются распространением посредством людей (хищением носителей информации, чтение информации с экрана или наблюдение за нажатием клавиш клавиатуры, чтение распечаток), посредством программных средств (перехват паролей, копирование носителя, применение алгоритмов дешифровки информации). К угрозам по характеру воздействия делятся на случайные и преднамеренные, действия техногенного или природного воздействия. К случайным угрозам можно отнести аварийные ситуации вследствие природных катаклизмов, отказы и сбои аппаратного и программного обеспечения, ошибки персонала, помехи в линиях связи вследствие воздействия внешних факторов. К преднамеренным угрозам можно отнести угрозы, вызванные целенаправленными действиями злоумышленника, например, недовольство персонала, конкурентная борьба и пр.

Рисунок 2 – Классификация угроз ИБ

Угрозы по расположению источника угроз делятся на внешние и внутренние.

Угрозы по составляющим ИБ делятся на угрозы доступности информации, целостности и конфиденциальности. Примерами нарушения доступности являются блокирование и уничтожение актива, нарушения целостности - модификация актива, нарушения конфиденциальности - хищение информации, несанкционированное ознакомление и копирование.

1.2 Характеристика задачи и объекта исследования

1.2.2 Система управления ИБ на предприятии

Классификация основных методов осуществления информационной безопасности приведена на рис.3

К теоретическим методам относят формализацию процессов различного рода, связанных с обеспечением информационной безопасности (ИБ), строгое обоснование корректности и адекватности функционирования систем обеспечения ИБ при проведении анализа их защищенности.

К правовым методам относят создание нормативно-правовой базы для организации деятельности, связанной с работой с государственной тайной, защитой авторских прав, лицензированием и сертификацией.

Рисунок 3 - Систематика методов обеспечения информационной безопасности

К организационным методам относят развертывание систем контроля разграничения физического доступа, создание службы охраны, организацию видеонаблюдения за физическим периметром, разработку документов, регулирующих обеспечение ИБ.

К инженерно-техническим методам относят методы обеспечения ИБ при передаче данных по каналам связи.

К сервисам сетевой безопасности относят использование криптографии, хеширование, средства разграничения доступа, идентификацию и аутентификацию, протоколирование и аудит и пр.

Политика безопасности представляет собой набор целей для повышения информационной безопасности в компании, который включает в себя правила поведения для пользователей и администраторов и требования к системе. Эти цели, правила и требования в совокупности обеспечивают безопасность сетевой инфраструктуры, данных и компьютерных систем в организации.

Всесторонняя политика безопасности выполняет следующие задачи:

  • демонстрирует ответственное отношение организации к вопросам безопасности;
  • устанавливает правила поведения;
  • обеспечивает согласованность системных операций и согласованное приобретение, использование и обслуживание программного и аппаратного обеспечения;
  • определяет правовые последствия нарушений;
  • предоставляет сотрудникам, занимающимся обеспечением безопасности, поддержку руководства.

Политики безопасности информируют пользователей, сотрудников и руководителей о требованиях организации к защите технических средств и информационных ресурсов, определяет механизмы, использование которых обусловлено требованиями безопасности.

Политика безопасности обычно включают в себя:

Политику идентификации и аутентификации, которая определяет круг уполномоченных лиц, которым предоставлен доступ к ресурсам сетевой инфраструктуры, и описывает процедуры проверки.

Политику паролей, которая обеспечивает соответствие паролей минимальным требованиям и их регулярное изменение.

Политику приемлемого использования, которая определяет сетевые ресурсы организации и их приемлемое использование.

Политику удаленного доступа, которая указывает, как удаленные пользователи могут получить доступ к сетевой инфраструктуре и сетевые ресурсы, доступные удаленно.

Политику сетевого обслуживания, которая определяет процедуры обновления операционных систем сетевых устройств и приложений конечных пользователей.

Политику действий при инцидентах, которая описывает порядок действий при инцидентах информационной безопасности.

1.2.3 Обоснование выбора задачи для объекта исследования

Применяемые на предприятии информационные системы используют стандартные технологии, например, операционные системы Microsoft, Linux, сеть Ethernet. Вследствие наличия в них большого количества уязвимостей, использование данных систем сопряжено с большими рисками.

В России самыми распространенными проблемами информационной безопасности являются проблемы, связанные с фишингом, вредоносным программным обеспечением (ПО), попытками несанкционированного проникновения в информационную систему, нежелательной корреспонденцией (спамом). Среди внутренних угроз наиболее серьезными являются уязвимости установленного ПО, а также попытки проникновения во внутреннюю сеть через мобильные устройства сотрудников.

Согласно исследованиям Лаборатории Касперского, не менее 30% компаний предоставляют мобильным устройствам сотрудников неограниченный доступ к внутренним ресурсам. Возрастает количество атак на ИТ – инфраструктуру компаний и организаций.

Рисунок 4 – Основные киберугрозы

Чаще всего IT-специалисты сталкиваются с различными уязвимостями в установленном программном обеспечении (49%).

Другими видами угроз, являются: утечка данных из-за неосторожных действий персонала - 39 %, потеря или кража мобильных устройств сотрудников - 19 %.

В 43 % случаев причиной утечки информации стало вредоносное ПО. Заметно возросло количество случаев потери критически важной для бизнеса информации — за последний год с этим столкнулись 25 % российских компаний (в прошлом году эта цифра составила 20 %). Большой процент инцидентов связан с потерей данных о сотрудниках, финансовой информации и данных о клиентах компании, что наносит серьезный удар по имиджу организаций.

На рисунке 5 представлена информация о типах потерянной в результате инцидентов информации.

Рисунок 5 – Типы утерянной информации

Для обеспечения информационной безопасности наиболее распространенной практикой является установка антивирусных программ, проведение регулярного обновления установленного программного обеспечения, шифрование данных, использование политик аварийного восстановления данных. Тем не менее, по данным исследования Лаборатории Касперского около 30% организаций не используют защиту от вредоносного ПО.

1.2.4 Определение связи задачи исследования с другими задачами

На рисунке 6 показаны наиболее популярные в России и мире меры, принимаемые для обеспечения информационной безопасности.

Рисунок 6 – Меры по обеспечению информационной безопасности

Как правило, созданию эффективной защиты мешают внутрикорпоративные проблемы. К ним относятся:

- непонимание руководством проблем информационной безопасности;

- ограниченный бюджет;

- Недостаточная квалификация персонала.

На рисунке 7 приведены основные факторы, препятствующие созданию эффективной системы защиты.

Рисунок 7 – Факторы, препятствующие созданию эффективной информационной защиты

Результаты сравнительного исследования возможностей обеспечения информационной безопасности, свидетельствуют о том, что в течение рабочего дня из-за различных ограничений специалисты по безопасности способны обрабатывать лишь 56 % поступающих сообщений об угрозах.

Среди обработанных оповещений об угрозах обоснованным признается каждое второе (28 %); реальные меры по нейтрализации угрозы принимаются лишь в отношении половины обоснованных оповещений (46 %). Кроме того, 44 % менеджеров по обеспечению безопасности ежедневно просматривают более 5000 оповещений об угрозах безопасности.

В 27 % случаев облачные приложения от сторонних поставщиков, внедренные в корпоративную среду сотрудниками, представляют высокий риск безопасности. Соединения по протоколу OAuth затрагивают корпоративную инфраструктуру и позволяют свободно обмениваться данными с корпоративным облаком и SaaS платформами, для чего достаточно получить от пользователя разрешение на доступ.

Инфраструктура 75 % компаний заражена рекламным ПО. Злоумышленники могут использовать такое заражение для последующей организации атаки.

1.3 Характеристика задачи в рамках комплекса задач объекта исследования

1.3.1 Оценка существующих ресурсов для решения задачи информационной безопасности

Общими техническими требованиями к оборудованию предприятия являются следующие:

1. Локальная вычислительная сеть (ЛВС) развернута на всех этажах, серверное помещение расположено на первом этаже.

2. Средствами ЛВС оснащаются все рабочие места.

3. С любого рабочего места обеспечен выход в единую корпоративную систему, и, при необходимости, доступ в Интернет.

4. ЛВС обеспечивает функционирование всех программных комплексов, используемых на предприятии.

5. Сеть обеспечивает непрерывность обслуживания клиентов, пользующихся услугами.

6. Пропускная способность обеспечивает прохождение всех информационных потоков с учетом перспектив развития сети (100% резерв).

7. Трафик Internet максимально отделён от внутреннего трафика.

8. Предусмотрена защита оборудования от воздействия перепадов и скачков напряжения, время автономной работы от источников гарантированного питания оборудования для рабочих станций составляет не менее 30 минут, для серверов и активного оборудования – не менее 2 часов.

9. В ЛВС применены технические средства, имеющие среднее время безотказной работы оборудования ЛВС не менее To= 40000 часов, среднее время восстановления работоспособности - не более tв = 0,5 часа. Для всех данных обеспечено резервное копирование и возможность восстановления.

10.Сеть разработана с учетом норм структурированной кабельной сети. При прокладке кабеля использовались фальшполы и межэтажные слаботочные ниши, а открытые участка кабеля заизолированы и уложены в короб. Коммутационное оборудование размещено в монтажном шкафу.

Технические средства, обеспечивающие работу информационной системы:

Таблица 1 – Технические средства, обеспечивающие работу информационной системы ООО «Строй Персонал»

Группа средств

Средства

Кол-во

Серверное оборудование

Серверы

12

Стойка для монтирования оборудования 19''

2

Источник бесперебойного питания

8

Рабочие станции

Компьютеры для пользователей

250

Оборудование печати

Черно-белый лазерный принтер

50

Цветной лазерный принтер

10

Другое оборудование

Сканер

20

Устройство многофункциональное (принтер, сканер)

30

Графопостроитель барабанный

6

Источник бесперебойного питания

250

В качестве рабочих станций используются компьютеры, имеющие следующие характеристики:

1. процессор Intel Pentium Dual Core G2020 (2.9 ГГц);

2. материнская плата Intel H61;

3. видеокарта 2 Гбайт;

4. оперативная память - 8 Гбайт;

5. жесткий диск – 1 Тб;

6. монитор с диагональю 21″.

В качестве серверов приобретены Dell Power Edge 2950III, имеющие следующие характеристики:

  • Процессор Quad Core Intel® Xeon E5460;
  • ОЗУ 4х2Гб;
  • слотов для жестких дисков (1 Тб);

В качестве источников бесперебойного питания для серверного оборудования используются ИБП Eaton мощностью 3 кВт, для рабочих станций – Eaton series NV мощностью 800 ВА.

Рассмотрим ключевые информационные активы предприятия.

Активы (ресурсы) – это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней [1]. К основным активам относятся информация, инфраструктура, персонал. Без инвентаризации активов на уровне служебной деятельности невозможно ответить на вопрос, что именно нужно защищать.

Были выявлены следующие потоки информации:

1) личные дела сотрудников;

2) информация по коммерческим сделкам;

3) данные о сооружениях и материальном обеспечении предприятия;

4) данные по приказам, распоряжениям, мероприятиям, распорядку предприятия «Стройперсонал»;

5) бухгалтерская и управленческая отчетность.

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведены в таблицу

Таблица 2 – Перечень сведений конфиденциального характера

Наименование сведений

Гриф конфиденциальности

Нормативный документ, реквизиты, № статей

1

Сведения, раскрывающие характеристики средств защиты ЛВС предприятия от несанкционированного доступа.

Конфиденциально

Устав предприятия «Стройперсонал»

2

Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.

Конфиденциально

Гражданский кодекс РФ ст. 1465

3

Персональные данные

Конфиденциально

Федеральный закон 152-ФЗ

Результат ранжирования активов представляет собой интегрированную оценку степени важности актива для предприятия, взятую по десятибальной шкале и представленную в таблице 3.

Таблица 3 – Ранжирование активов ООО «Стройперсонал»

Наименование актива

Ценность актива (ранг)

Программное обеспечение

7

Информация о деятельности сотрудников

8

Компьютерные средства

4

Информационные услуги

4

Текстовые сообщения

6

Личные дела сотрудников

9

Переписка по почте

9

Информация о технике и технологиях

10

Данные о сооружениях и материальном обеспечении предприятия «Стройперсонал»

6

Расходные накладные

5

Данные по приказам, распоряжениям, мероприятиям, распорядку предприятия «Стройперсонал»

7

Инвентаризационная ведомость

4

Приходные накладные

4

Бухгалтерская и налоговая отчетность

6

Таким образом, были выделены активы, имеющие наибольшую ценность: Личные дела сотрудников, переписка по почте, информация о технике и технологиях

1.3.2 Определение средств информационной безопасности для решения задачи исследования

Аппаратными средствами политики информационной безопасности являются:

- устройства ввода биометрических данных распознавания;

- устройства идентификации сотрудника;

- устройства кодирования информации;

- электронные замки и блокираторы, не дающие бесконтрольно включать рабочие станции.

К вспомогательным средствам защиты информации относятся:

- средства уничтожения магнитных носителей и информации на них;

- средства сигнализации, предупреждающие о несанкционированных действиях пользователей.

К программным средствам защиты информации относятся программы, входящие в состав программного обеспечения, необходимого для защиты данных. К данным средствам защиты информации возможно отнести:

- программы распознавания пользователей;

- программы определения зоны доступа к ресурсу;

- программы криптографической защиты информации;

- программное обеспечение: баз данных, компьютерных средств;

- программы, защищающие информацию от незаконного доступа и копирования

Идентификация пользователей в политике информационной безопасности понимается как 100% определение индивидуального и уникального имени пользователя, а аутентификация служит для того, чтобы определить 100% принадлежность пользователю представленного имени.

Как пример программ, помогающих в защите информации, могут выступать:

- программы удаления оставшейся информации (во временных файлах, оперативной памяти и т.д.);

- аудиторские программы событий, которые описывают произошедшие угрозы, журналы регистрации событий, которые могут представляться как доказательство произошедших угроз;

- программы, создающие возможные события, при которых осуществляется имитация работы с нарушителем; программы тестирования защищенности.

1.3.3 Определение уровня защиты информации для исследуемой задачи

Реализованы следующие физические меры по защите информации на предприятии относятся:

- организация контроля доступа персонала, транспорта и пр. техники;

- организация защитного периметра вокруг предприятия;

- оснащение сейфами и замками помещений;

- опечатывание помещений личными печатями, сдача ключей на охрану.

К организационным мерам относятся, внедренных на предприятии:

- правила внутреннего трудового распорядка, регламентирующие порядок и время входа и выхода персонала, провоз и пронос вещей;

- запрет на использование телефонов с камерами на территории предприятия

- запрет на использование WiFi на территории предприятия;

- назначение выделенного администратора информационной безопасности и определение круга его обязанностей в составе службы безопасности предприятия;

- запрет на использование незарегистрированных флэшносителей;

- периодические проверки компьютеров пользователей на предмет использования незарегистрированных флэш-носителей с ведением журнала проверок;

- определение перечня конфиденциальной информации и внесение положений о ее сохранности в обязанности сотрудников;

- наличие правил пользования сотрудниками Интернетом, положения об архивировании и восстановлении данных, правила создания паролей, правила работы за компьютером и пр.

К техническим средствам защиты информации относятся:

- cистема контроля и управления доступом;

- единая система авторизации и аутентификации на основе Active Directory;

- корпоративная почтовая система;

1.4 Анализ существующих разработок и выбор стратегии информационной безопасности

1.4.1 Анализ существующих разработок для обеспечения информационной безопасности

Электронные и электронно-механические устройства, входящие в состав технических средств охраны, являются аппаратными средствами обеспечения информационной безопасности. Аппаратные средства, работающие вместе с программными средствами или самостоятельно, выполняют задачи необходимые для построения информационной безопасности. Электронные и электронно-механические устройства являются аппаратными средствами обеспечения информационной безопасности. а не инженерно-техническими средствами, если они в обязательном порядке входят в состав технических средств политики информационной безопасности.

Для защиты локальной вычислительной сети необходимо пользователей разделить на группы с соответствующими правами:

1. Administrator – администраторы сети (создание и управление политиками информационной безопасности, глобальные настройки сети и т.д.)

2. Manager – учётные запись для повседневного обслуживания информационно-вычислительной техники.

3. User – учётная запись стандартного пользователя (сотрудника компании) с ограниченными правами

4. Security – ограниченная учёная запись (в случае необходимости доступа не сотрудников организации).

Для идентификации пользователя требуется ActiveDirectory на базе сетевой операционной системы, где для каждого пользователя должна быть создана уникальная запись, и каждая запись была включена в соответствующую группу.

Для снижения уязвимости программных средств было решено оценить степень подготовки операционных систем. Для этого необходимо принять следующие меры:

1. Произведена замена устаревших операционных систем на новые операционные системы;

2. Там, где замена операционных систем нецелесообразна, произведено обновление существующих операционных систем путём установки сервис - паков последних версий.

Для повышения качества антивирусной защиты было принято решение внедрить более совершенный антивирус. Контроль интернет - трафика будет осуществляться при помощи прокси-сервера, который одновременно будет служить и фаерволом.

Можно сделать вывод, что по отдельности программный комплекс и аппаратный комплекс мало эффективны, поэтому необходимо два этих рычага защиты информации использовать вместе, тем самым получив программно-аппаратный комплекс. Поэтому считаю необходимым рассмотреть структуру программно-аппаратного комплекса, используемого для обеспечения информационной безопасности данных в организации

1.4.2 Обоснование способа приобретения систем информационной безопасности

Для разработки систем информационной безопасности планируется приобрести следующий перечень оборудования:

-Заполним после написания практической главы

Средства обеспечения информационной безопасности планируется приобрести за счет собственных средств ООО «Строй Персонал».

1.4.3 Обоснование стратегии обеспечения информационной безопасности

Стратегия обеспечения информационной безопасности предприятия должна базироваться на политике безопасности предприятия.

Политика информационной безопасности предприятия представлена комплексом документов, позволяющих отразить требования к обеспечению защиты данных и основные направления предприятия по обеспечению безопасности. При создании политики безопасности можно выделить три основных уровня: верхний, средний и нижний.

Верхний уровень политики безопасности данных организации позволяет:

- сформулировать и демонстрировать отношение администрации предприятия к системе защиты информации и отразить основные цели и задачи в данной области;

- разработать индивидуальные политики безопасности, инструкции и правила, с помощью которых регулируются отдельные вопросы;

- информировать сотрудников организации про основные задачи и приоритеты в области информационной безопасности.

Политика информационной безопасности среднего уровня служит для отражения отношений и требований предприятия к:

- использованию информационных систем;

- телекоммуникационных и информационных технологий, методов и подходов к обработке информации;

- участникам процессов обработки информации, от которых зависит обеспечение защиты информации на предприятии.

Нижний уровень политики безопасности служит для описания определенных процедур и документов для обеспечения информационной безопасности на предприятии.

Этапы разработки политики безопасности в организации включают:

- выполнение оценки личного отношения к угрозам безопасности со стороны собственников и сотрудников предприятия;

- проведение анализа потенциально важных информационных активов предприятия;

При создании политики безопасностей всех уровней нужно придерживаться того, что разработанная политика безопасности на нижнем уровне должна соответствовать политике безопасности, приведенной на верхнем уровне. При этом в тексте политики безопасности должны быть приведены правила, не имеющие двойной смысл и он должен быть достаточно понятным для сотрудников предприятия. Важное значение для защиты информации в компании имеет политика безопасности, представленная в виде логически и семантически связанных, формируемых и анализируемых структур данных, используемых для защиты информации на всех уровнях функционирования предприятия.

Рассмотрим основные составляющие политики информационной безопасности предприятия. Под защитой в данном случае подразумевается использование приведенных в политике безопасности предприятия организационных мероприятий защиты информации. С помощью политики информационной безопасности на предприятиях выполняют внешний и внутренний аудит защиты данных, результаты которого используются для определения уровня эффективности, используемых методов и средств защиты. В свою очередь улучшение выступает в виде подстройки мероприятий политики безопасности с использованием полученных результатов проведения тестирования и мониторинга. Политика безопасности в процессе функционирования предприятия должна постоянно обновляться. При этом внесенные изменения подлежат постоянному сравнению с теми методами и средствами, которые уже используются. Основные составляющие политики информационной безопасности предприятия можно представить в виде схемы, приведенной на рисунке 8.

Как видно из рисунка 8 в политике информационной безопасности отражаются взаимосвязанные этапы организации информационной безопасности предприятия, которые представлены процедурами, позволяющими систематизировать и эффективно решать поставленные задачи для того, чтобы достичь требуемый уровень защиты данных.

Рисунок 8 - Основные составляющие политики информационной безопасности предприятия

На первом этапе необходимо определить границы, в рамках которых будет функционировать политика информационной безопасности предприятия, задаться критериями для оценки результатов.

На этапе анализа рисков информационной безопасности описывается состав и определяются приоритеты выбранных средств защиты с распределением их по степени важности для предприятия, идентифицируются уязвимости активов предприятия и определяться ущерб. Результаты анализа рисков информационной безопасности предприятия будут применяться в виде основы для планирования работы системы информационной безопасности, выбора наиболее эффективной стратегии и тактики.

Для повышения эффективности политики безопасности применяются такие приемы как групповое определение объектов безопасности, косвенное определение с использованием верительных атрибутов и мандатное управление доступом. Многие предприятия используют глобальную и локальную политики безопасности, основанные на принципах управления безопасностью информации. Глобальная политика информационной безопасности направлена на обеспечение защиты информации на уровне бизнес-процессов компании, а локальная политика формируется на уровне защиты данных предприятия.

В глобальной политике безопасности компании правила функционально разбиваются на следующие группы:

- правила VPN, которые реализованы с использованием протоколов IPSec. В качестве агента исполнения данных правил выступает драйвер VPN, установленный в стеках клиентских устройств или шлюзах безопасности;

- правила пакетной фильтрации, позволяющие обеспечить фильтрацию пакетов типов stateless и stateful;

- прокси - правила, с включением антивирусной защиты, которые отвечают за фильтрацию трафика, который передается через прикладные протоколы. В данном случае в качестве исполнительного агента выступает прокси-агент;

- правила авторизованного доступа, с применением правил однократного входа, позволяющие обеспечить работу пользователей по паролям. Данные правила выполняются агентами различных уровней от VPN-драйвера до прокси-агентов. В качестве агентов выполнения таких правил защиты информации выступают системы авторизации;

- правила, которые отвечают за протоколирование событий, уязвимостей в системе защиты информации. В компании политика ведения журналов событий выполняется агентом протоколирования, а в качестве исполнителей выступает полностью вся информационная система.

С помощью локальной политики безопасности предприятия выполняется настройка средств защиты информации и реплицируются настройки для узлов с выполнением их последующей корректировки. В целом в локальной политике безопасности предприятия размещены правила с помощью которых регламентируются соединения, меняются настройки используемых сетевых устройств.


Выводы по главе 1

II Проектная часть

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

1) Конституция РФ;

2) Законы федерального уровня (включая федеральные конституционные законы, кодексы);

3) Указы Президента РФ;

4) Постановления правительства РФ;

5) Нормативные правовые акты федеральных министерств и ведомств;

6) Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

1. Методические документы государственных органов России:

1) Доктрина информационной безопасности РФ;

2) Руководящие документы ФСТЭК;

3) Приказы ФСБ;

2. Стандарты информационной безопасности, из которых выделяют:

1) Международные стандарты;

2) Государственные (национальные) стандарты РФ;

3) Рекомендации по стандартизации;

4) Методические указания.

сотрудниками (6%).

Согласно Доктрине информационной безопасности, основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются в том числе «повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры», что является непосредственными задачами федеральной службы по техническому и экспортному контролю (ФСТЭК) в части технической защиты информации [4].

Каждый год средства массовой информации публикуют все больше сообщений о кибератаках на объекты критической информационной структуры коммерческих компаний и государственных организаций. В ответ на угрозы было решено спроектировать и ввести в эксплуатацию государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

В 2013 г. Указом президента РФ от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» [1] было постановлено возложить на Федеральную службу безопасности полномочия органа исполнительной власти по созданию системы ГосСОПКА.

Следующим шагом было утверждение Концепции № К 1274 12 декабря 2014 г. [2], в которой более конкретно определяются виды обеспечения, необходимые для ее создания и функционирования. В концепции был увеличен перечень осуществляемых системой функций, а также ее территориальная и отраслевая организация. В составе системы также функционирует Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный в ФСБ.

12 июля 2017 г. Государственная дума приняла во втором чтении Закон «О безопасности критической информационной инфраструктуры» [3]. Он вступает в силу с 1 января 2018 г. Настоящий федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации «в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак», — говорится в документе. В нем описана система, представляющая собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Основные функции системы состоят в том, что она должна представлять собой совокупность отечественных программно-технических средств с максимальным уровнем защиты, сформировать единое информационное пространство, позволяющее осуществлять оперативный контроль и защиту объектов критической инфраструктуры (атомные и гидроэлектростанции, системы снабжения городов и спецхранилища Росрезерва и т. д.).

ГосСОПКА будет проводить мониторинг электронных ресурсов, выявлять и прогнозировать возникновение угроз, а также совершенствовать существующие системы безопасности, взаимодействуя в том числе с операторами связи и интернет провайдерами.

Так, согласно нормативным документам, определяющим создание и развитие системы, в сферу регулирования ФСТЭК будут входить задачи по защите от атак отдельных информационных систем, надзор за выполнением требований, определение набора средств защиты в составе информационных систем.

После утверждения законов и переходя к практике создания системы ГосСОПКА по указу президента № 31 ФСБ начала разработку собственного программного обеспечения, нацеленного на обнаружение и предупреждение компьютерных атак [5]. Для отладки разработанного программного обеспечения ФСБ запросила у объектов критической структуры образцы их трафика за определенное время. На этих образцах будет проводиться проверка компетентности функционирования разработанного программного обеспечения. Его функция состоит в анализе трафика на предмет сигнатур вредоносных программ и дальнейшее информирование ФСБ и работников критически важных объектов о возможных угрозах и способах их устранения.

К январю 2018 г. ФСБ ввело данное программное обеспечение в эксплуатацию на выбранных объектах критической структуры. Для этого объекты обязаны приобрести специальную компьютерную технику, обладающую необходимой производительной мощностью для обработки используемого трафика. Далее каждый критически важный объект должен купить лицензию на использование разработанного ФСБ программного обеспечения и установить его на приобретенной компьютерной технике.

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

К организационно-административным мероприятиям защиты информации относятся:

- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

- выделение специальных ЭВМ для обработки конфиденциальной информации;

- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

- организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;

- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

- постоянный контроль за соблюдением установленных требований по защите информации.

Защита конфиденциальной информации предполагает выбор различных мер. По статистике, нарушения информационной безопасности совершаются, в основном, работниками учреждения (81%) или бывшими его

Рисунок 9 – Соотношение нарушений информации, произведенных разными группами лиц

Таким образом, около 80% всех преступлений в сфере нарушения конфиденциальной информации совершается либо сотрудниками организации, либо с их помощью, а иногда и в следствие халатности и невнимательности работников. Именно поэтому очень важным направлением обеспечения защиты конфиденциальной информации является административная информационная безопасность, которая обеспечивается за счет применения организационных мер. Организационные меры предполагают внедрение безопасных способов ведения документации, применение методов разработки, внедрения и тестирования прикладных программных средств, а также процедур обработки инцидентов в случаях нарушения систем безопасности. Обеспечение административной составляющей информационной безопасности предполагает также выбор определенной стратегии защиты информации в компании.

На основе анализа существующей системы безопасности было принято решение реализовать такие административные меры безопасности:

1) Разработать и утвердить приказом по предприятию:

- положение о защите сведений, содержащих коммерческую тайну, и другой информации ограниченного пользования, определённые законодательством РФ;

- инструкцию по правилам работы со сведениями, содержащими коммерческую тайну;

- инструкцию по делопроизводству с документами ограниченного пользования.

2) Издать приказ по предприятию, в котором:

- на руководителей подразделений возложить обязанность проведения мероприятий, направленных на обеспечение сохранности коммерческой тайны;

- определить меры административного наказания за нарушение правил работы с документами и сведениями, содержащими коммерческую тайну;

- на службу безопасности возложить обязанность по выявлению возможных нарушений, в результате которых возможна утечка охраняемых сведений

3) Ввести запрет на хранение личной информации на компьютере.

4) Установить правила копирования документов, исключающих изготовление копий важных документов без санкции руководителя.

5) От работников, по должности обладающих сведениями коммерческой тайны, при заключении трудового договора брать письменные обязательства о неразглашении. В случае увольнения работника, требовать от него передачи всех носителей информации, составляющих коммерческую тайну, которые находились в его распоряжении.

6) Изготовить выписки, содержащие выдержки из положения о конфиденциальной информации для использования работниками в повседневной деятельности;

7) Разработать журнал учета персональной информации;

8) Разработать правила работы с электронной почтой.

9) При включении компьютера перед вводом пароля программным способом выдавать пользователю сообщение, напоминающее пользователю о правилах работы с компьютером.

Организационно-административные меры защиты информации позволят избежать части непреднамеренных угроз, а также преднамеренных угроз безопасности информации со стороны работников предприятия. Кроме того, жесткий регламент обращения с информационными ресурсами дисциплинирует коллектив, приучает их более внимательно работать с данными и относиться к ней как к ценному ресурсу.

2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности

Комплекс «Рубикон»

Выполняет функции межсетевого экрана (МЭ), системы обнаружения вторжений(СОВ), криптошлюза и однонаправленного шлюза. Предназначен для использования в информационных системах, обрабатывающих информацию любой категории до «Совершенно Секретно» включительно.

Цена: 70 000 – 120 000 руб.

ViPNet Coordinator HW1000 v2

ViPNet Coordinator HW1000 построен на базе ПО ViPNet Coordinator Linux и выполняет в ViPNet-сети функции ПО ViPNet Coordinator, включая функцию VPN-сервера для доступа удаленных VPN-клиентов, оснащенных ПО ViPNet Client и сервера почтовой программы ViPNet Деловая почта.

Цена: 100 000 – 150 000 руб.

TrustAccess

Предназначен для защиты серверов и рабочих станций локальной сети от несанкционированного доступа, разграничения сетевого доступа к сетевым ресурсам на основе уровней допуска или должностей пользователей. Аутентификация сетевых соединений; фильтрация сетевых соединений; защита сетевых соединений; централизованный сбор и отображение данных аудита, связанных с информационной безопасностью; контроль целостности и защита от НСД компонентов СЗИ; централизованное

управление; отчеты по событиям аудита

Цена: 1 650/15 400 руб.

Cisco ASA (Adaptive Security Appliance)

Обеспечение безопасности; поддержка двух сетей VPN для связи между офисами и партнерами, с расширением до 25 (ASA 5505) или 750 (ASA 5520) сотрудников; поддержка от 5 (ASA 5505) до 250 (ASA 5550) пользователей локальной сети из любой точки; множество вариантов высокоскоростных сетевых соединений, в зависимости от потребностей в производительности; заранее настроенные пакеты для упрощения заказа и настройки.

Цена: 150 000 – 200 000 руб.

Требованиям, предъявляемым к СЗИ от НСД, соответствует следующая продукция:

Secret Net

Защита информации на рабочих станциях и серверах в соответствии с требованиями регулирующих органов; контроль утечек и каналов распространения защищаемой информации.

Аутентификация пользователей, разграничение доступа пользователей к информации и ресурсам автоматизированной системы, доверенная информационная среда, контроль утечек и каналов распространения конфиденциальной информации, контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации, централизованное управление системой защиты, оперативный мониторинг и аудит безопасности, защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).

Цена: 7 920 руб.

Dallas Lock 8.0-K

Сертифицированная система защиты информации, работающая на автономных АРМ и в сложных сетевых инфраструктурах.

Предназначена для защиты конфиденциальной информации, в том числе содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также для защиты информации, содержащей сведения, составляющие государственную тайну до уровня «совершенно секретно» включительно.

Выполняет идентификацию и аутентификация в информационной системе, управление доступом к компонентам информационной системы и информационным ресурсам, ограничение программной среды, регистрация событий безопасности в информационной системе, обеспечение целостности информационной системы и информации.

Цена: 5 800-7 500 руб.

«Аура 1.2.4»

Выполняется усиленная аутентификация, контроль доступа к устройствам, файлам и папкам, управление печатью, автоматическая маркировка и учет документов, достоверное уничтожение информационных объектов, регистрация действий пользователя в системных журналах, блокировка консолей с помощью электронных ключей Rutoken, eToken и флеш-накопителей.

Цена: 7 000 руб.

Требованиям, предъявляемым к средству анализа защищенности, соответствуют следующая продукция:

Сканер-ВС

Загрузочный DVD или USB-накопитель с операционной системой и предустановленным программным обеспечением для комплексного тестирования защищенности информационных систем.

Использование системы позволяет выполнить требования многочисленных нормативных документов, определяющих необходимость проведения контроля эффективности средств защиты информации (Постановление Правительства РФ 2007 г. №1119, приказ ФСТЭК России

№21 от 18 февраля 2013 года, Руководящий документ Гостехкомисcии России “Концепция защиты СВТ и АС от НСД к информации”).

Цена: 700 – 1 000 руб.

XSpider

Полная идентификация сервисов на случайных портах; эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы; обработка RPC- сервисов (Windows и *nix) с их полной идентификацией; проверка слабости парольной защиты; глубокий анализ контента WEB-сайтов; анализатор структуры HTTP-серверов; проведение проверок на нестандартные DoS- атаки; специальные механизмы, уменьшающие вероятность ложных срабатываний; ежедневное добавление новых уязвимостей и проверок

Цена: 800 – 1 100 руб.

MaxPatrol

Защита ресурсов организации с помощью автоматического мониторинга ИБ; автоматизирование процессов контроля соответствия стандартам; оценка эффективности подразделений ИТ и ИБ с помощью расширенного набора метрик безопасности и KPI; понижение затрат на контроль защищенности и аудит, подготовку ИТ и ИБ проектов; автоматизирование процессов описи ресурсов, управления уязвимостями, контроля соответствия политикам безопасности и контроля изменений; встроенная поддержка основных стандартов, таких как ГОСТ ИСО/МЭК 17799, ГОСТ ИСО/МЭК 27001, SOX, PCI DSS, NSA, NIST, CIS;

Максимальное автоматизирование процессов снижает трудозатраты и позволяет оперативно контролировать состояние защищенности систем. [2]

Цена: 1 500 – 2 000 руб.

Требованиям, предъявляемым к программному средству антивирусной защиты, соответствуют продукты:

Dr. Web Desktop Security Suite (Комплексная защита)

Обеспечивает надежную защиту от большинства существующих угроз. Непревзойденное качество лечения и высокий уровень самозащиты не дают шанса вирусам и другим вредоносным объектам проникнуть в защищаемую сеть. Наличие встроенного брандмауэра и функции Офисного контроля преграждает путь вирусам через уязвимости ОС и программ и обеспечивает надежный контроль за работой установленных приложений

Цена: 715 руб.

Kaspersky Endpoint Security для бизнеса (стандартный)

IT-безопасность рабочих станций и файловых серверов; инструменты контроля рабочих мест; контроль и защита мобильных устройств; централизованное управление системой защиты.

Цена: 1 600 – 2 500 руб.

Sercurity Studio Endpoint Protection

Комплексное решение осуществляет антивирусную защиту, есть средство обнаружения вторжений, веб-контроль, наличие антиспама и межсетевого экрана. Для АРМ и серверов Windows систем.

Цена: 2 600 – 2 900 руб.

Подсистемы защиты информации

СЗИ, создаваемая в процессе работы, должна содержать подсистемы защиты информации.

Назначение и основные характеристики подсистем указаны в Табл.8.

Табл.8 – Назначение и основные характеристики подсистем

№ п/п

Название подсистемы

Назначение подсистемы

Основные характеристики

1

Подсистема защиты информации от НСД

Защита серверов и рабочих станций от НСД

Должна состоять из следующих функциональных компонентов:

управления доступом;

регистрации и учета;

обеспечения целостности.

2

Подсистема антивирусной защиты

Защита от

программно- математического воздействия, вредоносного ПО

Должна обеспечиваться антивирусная защита всех АРМ и серверов.

Должно быть обеспечено обновление базы данных признаков вредоносных компьютерных программ (вирусов).

Должно быть обеспечено централизованное управление, мониторинг и обновление

антивирусных баз.

3

Подсистема межсетевого экранирования

Защита межсетевого взаимодействия

Должна обеспечиваться надежная защита внешнего периметра Системы. Должна обеспечиваться возможность разделения сети на сегменты

Должна позволять организовать демилитаризованную зону.

4

Подсистема обнаружения

(предотвращения) вторжений

Обнаружение (предотвращение)

несанкционированного

Должно обеспечиваться обнаружение (предотвращение) вторжений

(компьютерных атак), направленных

на преднамеренный

несанкционированный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, с использованием систем обнаружения вторжений.

Должно обеспечиваться обновление базы решающих правил системы обнаружения (предотвращения) вторжений

доступа с

использованием сети передачи данных

5

Подсистема контроля (анализа) защищённости

информации

Анализ защищённости АС

Должны осуществляться выявление (поиск), анализ и устранение уязвимостей.

Обеспечение заданных характеристик системы защиты

Для создания СЗИ АС должны применяться только сертифицированные СЗИ. Все средства должны иметь сертификаты ФСТЭК и ФСБ (СКЗИ).

Подсистема ЗИ от НСД

Для защиты обрабатываемых в организации конфиденциальных данных, установлено СЗИ от НСД «Аура 1.2.4». Соответствие Табл.1 по классу АС 1Г представлено в Табл.9.

Табл.9 – Соответствие Табл.1 по классу АС 1Г

п/п

Формулировка требования

Реализация требования

1

Должна осуществляться защита серверов и рабочих станций от НСД

Функция реализуется СЗИ от НСД «Аура 1.2.4»

2

Должен осуществляться контроль входа пользователей в систему, в том числе и с использованием дополнительных аппаратных средств защиты

Функция реализуется СЗИ от НСД «Аура 1.2.4»

3

Должны осуществляться разграничение доступа пользователей к информации и устройствам и контроль аппаратной конфигурации

Функция реализуется СЗИ от НСД «Аура 1.2.4»

4

Должен осуществляться контроль утечек информации

Функция реализуется СЗИ от НСД «Аура 1.2.4»

5

Должна осуществляться регистрация событий безопасности и аудит

Функция реализуется СЗИ от НСД «Аура 1.2.4»

6

Должна осуществляться возможность блокировки интерактивного входа локальных пользователей

Функция реализуется СЗИ от НСД «Аура 1.2.4»

7

Должна осуществляться поддержка терминального режима работы пользователей для

платформ Microsoft;

Функция реализуется СЗИ от НСД «Аура 1.2.4»

8

Должен осуществляться контроль неизменности

аппаратной конфигурации компьютера

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

9

Должно осуществляться управление

подключениями

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

10

Должен осуществляться контроль вывода

информации на отчуждаемые носители

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

11

Должно осуществляться разграничение доступа к

принтерам

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

12

Должно осуществляться создание для пользователей ограниченной замкнутой среды

программного обеспечения компьютера

Функция реализуется СЗИ от НСД «Аура 1.2.4»

13

Должна осуществляться возможность выбора

уровня конфиденциальности сессии для пользователя

Функция реализуется СЗИ от НСД «Аура 1.2.4»

14

Должно осуществляться разграничение доступа

пользователей к конфиденциальным данным и приложениям

Функция реализуется СЗИ от НСД «Аура 1.2.4»

15

Должно осуществляться мандатное управление

доступом, в том числе – к устройствам и принтерам

Функция реализуется СЗИ от НСД «Аура 1.2.4»

16

Должен осуществляться контроль потоков

конфиденциальной информации в системе

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

17

Должен осуществляться контроль целостности

файлов, каталогов, элементов системного реестра

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

18

Должна осуществляться реакция при нарушении

целостности

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

19

Должна осуществляться возможность контроля

целостности до загрузки операционной системы

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

20

Должен осуществляться функциональный

контроль ключевых компонентов системы

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

21

Должно осуществляться автоматическое затирание данных на диске при удалении

конфиденциальных файлов пользователем

Функция реализуется СЗИ от НСД «Аура 1.2.4»

22

Должна осуществляться регистрация событий

безопасности в журнале безопасности

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

23

Должна осуществляться возможность

централизованного управления СЗИ

Функция реализуется СЗИ от

НСД «Аура 1.2.4»

24

Должна осуществляться блокировка консолей с

помощью электронных ключей Rutoken, eToken и флеш-накопителей

Функция реализуется СЗИ от НСД «Аура 1.2.4»

Подсистема антивирусной защиты

В организации осуществляется использование сертифицированного и удовлетворяющего всем требованиям антивирусное ПО. Соответствие функциональных возможностей компонентов подсистемы антивирусной защиты предъявляемым требованиям представлено в Табл.10.

Табл.10 - Соответствие функциональных возможностей компонентов подсистемы антивирусной защиты

п/п

Формулировка требования

Реализация требования

1

Должно соответствовать требованиями руководящего документа (иметь сертификат ФСТЭК)

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

2

Должно обеспечивать автоматическую проверку наличия вредоносных программ по типовым сигнатурам и с помощью эвристического анализа

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

3

Должно обеспечивать сканирование локальных дисков, подключаемых дисков, отчуждаемых

носителей, в том числе по команде и по расписанию

Программное средство комплексной антивирусной

защиты «Dr. Web Desktop Security Suite»

4

Должно обеспечивать удаление вредоносного программного обеспечения и его блокировку (перемещение в “карантин”)

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

5

Должно обеспечивать откат операций удаления программного обеспечения, воспринятого как вредоносное

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

6

Должно обеспечивать кэширование данных сканирования для сокращения времени обнаружения вредоносного программного

обеспечения;

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

7

Должно иметь возможность обновления антивирусных баз

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

8

Должно обеспечивать проверку вложений почтовых сообщений на наличие вредоносного программного обеспечения

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

9

Должно обеспечивать блокировку активных элементов веб-страниц (activex, Flash, Java, visualbasic)

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

10

Должно обеспечивать защиту электронной почты от спама

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

11

Должно обеспечивать регистрацию событий безопасности

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

12

Должно обеспечивать централизованное управление, мониторинг и обновление антивирусных баз

Программное средство комплексной антивирусной защиты «Dr. Web Desktop

Security Suite»

Подсистема межсетевого экранирования

В организации не используется и не установлен МЭ, необходимо установить сертифицированное программно-аппаратное средство.

Соответствие с РД МЭ для 4-го класса защиты представлено в Табл.11.

Табл.11 – Соответствие с РД МЭ для 4-го класса защиты

п/п

Формулировка требования

Реализация требования

1

Должна осуществляться статическая

маршрутизация

МЭ «РУБИКОН»

2

Должна осуществляться прозрачность для NAT-

устройств (для защищенного трафика)

МЭ «РУБИКОН»

3

Должна осуществляться поддержка DHCP

МЭ «РУБИКОН»

4

Должна осуществляться функция динамического NAT для открытых пакетов (организация доступа рабочих станций или сетевого оборудования в

открытую сеть/Интернет)

МЭ «РУБИКОН»

5

Должна осуществляться фильтрация

МЭ «РУБИКОН»

6

Должно осуществляться предотвращение DoS-

атак

МЭ «РУБИКОН»

7

Должна осуществляться поддержка режима открытых инициативных соединений (режим

невидимости для внешних хостов)

МЭ «РУБИКОН»

8

Должно осуществляться разделение доступа к

узлам сети

МЭ «РУБИКОН»

9

Должна осуществляться регистрация событий

безопасности

МЭ «РУБИКОН»

10

Должна осуществляться статическая

маршрутизация

МЭ «РУБИКОН»

Подсистема обнаружения (предотвращений) вторжений

Требования к подсистеме обнаружения (предотвращения) вторжений реализуются с помощью средства обнаружения вторжений (СОВ)

«РУБИКОН». Соответствие функциональных возможностей компонентов подсистемы обнаружения (предотвращения) вторжений предъявляемым требованиям представлено в Табл.12.

Табл.12 - Соответствие функциональных возможностей компонентов подсистемы обнаружения (предотвращения) вторжений предъявляемым требованиям

№ п/п

Формулировка требования

Реализация требования

1

Должно обеспечиваться обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный несанкционированный доступ к информации специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа

к ней, с использованием систем обнаружения вторжений.

Система обнаружения вторжений «РУБИКОН»

2

Должно обеспечиваться обновление базы

решающих правил системы обнаружения (предотвращения) вторжений

Система обнаружения

вторжений «РУБИКОН»

Подсистема контроля (анализа) защищенности информации

Для реализации требований, предъявляемым к подсистеме контроля (анализа) защищенности информации, необходима установка программного средства анализа защищенности. Соответствие функциональных возможностей компонентов подсистемы контроля (анализа) защищенности информации предъявляемым требованиям представлено в Табл.13.

Табл.13 - Соответствие функциональных возможностей компонентов подсистемы контроля (анализа) защищенности информации предъявляемым требованиям

№ п/п

Формулировка требования

Реализация требования

1

Должна осуществляться идентификация узлов и

программного обеспечения

Функция реализуется средством

Сканер-ВС

2

Должно осуществляться выявление уязвимостей

и ошибок конфигурирования

Функция реализуется средством

Сканер-ВС

3

Должно осуществляться Планирование и

автоматизация сканирования

Функция реализуется средством

Сканер-ВС

4

Должно осуществляться Формирование отчетов

Функция реализуется средством

Сканер-ВС

5

Должна осуществляться Имитация внешних атак

и попыток несанкционированного доступа (НСД)

Функция реализуется средством

Сканер-ВС

6

Должно осуществляться Управление доступом

Функция реализуется средством

Сканер-ВС

7

Должна осуществляться реализация

концепциисканирования без установки агентов на контролируемые узлы

Функция реализуется средством Сканер-ВС

8

Должна осуществляться Идентификация узлов, инвентаризация аппаратного и программного

обеспечения

Функция реализуется средством Сканер-ВС

9

Должно осуществляться выполнение сканирования узлов сети в заданной пользователем области поиска по IP-адресам,

NetBIOS и DNS-именам (FQDN)

Функция реализуется средством Сканер-ВС

10

Должна осуществляться реализация возможности

задания пользователем области поиска

Функция реализуется средством

Сканер-ВС

11

Должно осуществляться сканирование узлов сети, реализующих сетевые сервисы, доступные по протоколу TCP, с номерами портов в

диапазоне от 1 до 65535

Функция реализуется средством Сканер-ВС

12

Должна осуществляться идентификацияоперационных систем (ОС)

семейства Windows

Функция реализуется средством Сканер-ВС

13

Должно осуществляться сканирование сетевых

принтеров

Функция реализуется средством

Сканер-ВС

14

Должно осуществляться сканирование и

идентификация узлов сети, реализующих сетевые сервисы, доступные по протоколам UDP: Echo,

Date, Quota, Charden, DNS, TFTP, PortMapper, NTP, Microsoft RPC, NetBIOSName, SNMP,

MsSQL, UPNP, pcAnyWhere, InternetKeyExchange (IKE), XDMCP, SIP

Функция реализуется средством Сканер-ВС

15

Должно осуществляться задание пользователем области сканируемых портов указанием явного перечня портов TCP и диапазонов портов TCP, а также выбором из приведенного выше перечня

сервисов, использующих протокол UDP

Функция реализуется средством Сканер-ВС

16

В результатах сканирования должен содержаться перечень доступных для взаимодействия портов

UDP и TCP, выявленных в ходе сканирования

Функция реализуется средством Сканер-ВС

17

Должна осуществляться идентификация

аппаратных платформ сканируемых узлов сети

Функция реализуется средством

Сканер-ВС

18

Должна осуществляться идентификация

уязвимостей и ошибок конфигурирования.

Функция реализуется средством

Сканер-ВС

19

Должна осуществляться оценка уровня критичности для выявленных уязвимостей и

ошибок в конфигурации.

Функция реализуется средством Сканер-ВС

20

Должно осуществляться предоставление пользователю краткое описание уязвимости или

ошибки конфигурации, методов ее устранения.

Функция реализуется средством Сканер-ВС

21

Должно осуществляться автоматическое

затирание данных на диске при удалении конфиденциальных файлов пользователем

Функция реализуется средством Сканер-ВС

22

Должна осуществляться регистрация событий

безопасности в журнале безопасности

Функция реализуется средством

Сканер-ВС

23

Должна осуществляться возможность

централизованного управления СЗИ

Функция реализуется средством

Сканер-ВС

24

Должен осуществляться автоматический запуск задач на сканирование в соответствии с

задаваемым пользователем расписанием

Функция реализуется средством Сканер-ВС

25

Должна быть реализована возможность указания пользователем параметров отчетов и создания шаблонов отчетов с предопределенными

параметрами

Функция реализуется средством Сканер-ВС

26

Должен осуществляться анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные

средства

Функция реализуется средством Сканер-ВС

27

Должна осуществляться имитация попыток НСД

к узлам сети с помощью тест-программ

Функция реализуется средством

Сканер-ВС

28

Должна обеспечивать аутентификацию

пользователей по паролю

Функция реализуется средством

Сканер-ВС

Системное ПО

Для организации централизованной идентификации, аутентификации и управления доступом в ЛВС должна быть развернута инфраструктура MS Active Directory. Для того чтобы это осуществить необходимо установить на АРМ сотрудников ОС Microsoft Windows 7 Professional. После установки (обновления) клиентские ОС будут иметь возможность функционирования в домене MS Active Directory.

Сервис обмена почтовыми сообщениями

В целях дополнительной защиты и эффективного контроля за информационными потоками существующую ЛВС необходимо укомплектовать сервером обмена почтовыми сообщениями, что позволит отказаться от хранения информации на внешних ресурсах, а также предотвратить выход информации за пределы сети при внутреннем обмене между сотрудниками.

Для этого необходимо установить и настроить (актуализировать) дистрибутив Альт Линукс СПТ 6.0 на почтовом сервере организации. У дистрибутива есть такие компоненты, как почтовые сервера Postfix 2.5.15 и Dovecot-2.0.12. Эти почтовые серверы смогут обеспечить все эти требования.

Развитие, модернизация системы

Система защиты информации конфиденциальных данных проектируется как единая комплексная СЗИ, охватывающая все процессы обработки конфиденциальных данных с учетом возможности масштабирования решения с учетом перспектив развития.

Архитектура позволяет производить постепенное расширение перечня обрабатываемых протоколов и количества АРМ пользователей без изменения уровня защищенности системы и вывода из эксплуатации в связи с недействительностью Аттестата соответствия АС требованиям безопасности. Должен быть разработан регламент внесения изменений в АС.

Необходимо ведение журнала внесения изменений в АС

2.2.2. Контрольный пример реализации проекта и его описание

Информационная система предприятия «Стройперсонал» представляет собой взаимосвязанную совокупность средств, методов и персонала, используемых для хранения, обработки, и выдачи информации в интересах достижения поставленной цели.

У каждого специалиста в компании имеется свое рабочее место, оснащенное компьютером. Кроме того, в компании имеются многофункциональные устройства. На компьютеры установлен комплект программного обеспечения.

Предприятие «К» занимает 1 этаж одного здания. Компьютеры предприятия «Стройперсонал» включены в единую локальную сеть.

Для организации сети этого сегмента используется топология «звезда», причем в каждом кабинете, где более одного компьютера, имеется концентратор, соединяющий компьютеры внутри кабинета. Архитектура системы до модернизации представлена на рисунке 10, а после внедрения системы защиты информации представлена на рисунке 11.



Рисунок 12 – Схема сетевой инфраструктуры ООО «Стройперсонал» до модернизации

Рисунок 13 – Схема модернизированной, с точки зрения защиты информации, инфраструктуры ООО «Стройперсона

2.3 Настройка внедренных средств защиты

2.3.1 Настройка средства защиты информации от несанкционированного доступа

Система защиты информации от несанкционированного доступа «Аура 1.2.4» предназначена для защиты информации от НСД в процессе ее обработки и хранения на компьютерах под управлением ОС Microsoft Windows. Применение СЗИ НСД позволит предотвратить утечку информации, а также самый широкий спектр преднамеренных и непреднамеренных деструктивных воздействий на информацию, осуществляемых посредством НСД, за счет дополнения и усиления встроенных механизмов безопасности ОС.

В процессе загрузки СЗИ НСД осуществляется идентификация/аутентификация пользователя (см. рисунок 1).

Рисунок 14 - Процесс аутентификации

Для прохождения процедуры идентификации/аутентификации необходимо:

1. ввести имя в поле “Имя пользователя”;

2. ввести пароль в поле “Пароль”;

3. нажать кнопку “OK” для продолжения загрузки.

При неверном вводе имени/пароля предоставляется следующая попытка. Если лимит попыток идентификации/аутентификации исчерпан (лимит попыток определяется политикой блокировки учетной записи), загрузка блокируется. Если имя и пароль были введены верно, то СЗИ НСД продолжит работу.

При загрузке рабочей станции СЗИ НСД проверяет целостность компонентов СЗИ. Если при проверке выяснилось, что целостность компонентов была нарушена, то рабочая станция блокируется (см. рисунок 11). Пользователь должен сообщить об этом администратору.

Рисунок 15 – Блокировка рабочей станции

Рассмотрим панель управления для настройки.

Панель управления является графическим элементом интерфейса. Панель управления можно вызвать посредством главного меню ОС Windows: Пуск → Программы → Аура Персональные Данные →Панель Управления. Также Панель управления можно вызвать, щелкнув на иконку в Области уведомлений (system tray) Windows. Сразу после вызова Панель управления имеет вид, представленный на рисунке 12.

Панель конфигураций представляет конкретные сведения о каждом объекте, выделенном на Панели объектов управления. Обычно панель конфигураций представляет собой группу страниц, содержащих информацию о выделенном объекте и его настройках.

Рисунок 16 – Выпадающее меню выбора страниц менеджера пользователей

Переключение между страницами осуществляется двумя способами:

- с помощью выпадающего меню: необходимо щелкнуть правой кнопкой мыши на заголовок закладки, и в выпадающем меню выбрать нужную страницу.

- с помощью закладок: необходимо щелкнуть левой кнопкой мыши на нужной закладке. Если нужная закладка не видна, то можно прокрутить список закладок, нажав на кнопку или расположенную, соответственно, справа или слева от закладок.

Выбор файлов и каталогов происходит в диалоговом окне “Выбор файла(ов)/каталога”, представленном на рисунке 13.

Выбранный файл отображается в поле “Имя файла”. Файл выбирается из списка, расположенного в средней части окна. В списке содержатся файлы и каталоги, вложенные в указанный путь. Для изменения пути можно ввести новый путь с клавиатуры, а можно воспользоваться выпадающим меню.

Кнопка , расположенная рядом с полем “Путь”, служит для перехода на один уровень вверх. Для каждого файла в списке указывается его имя, размер и дата последнего изменения. Файлы в списке могут быть отсортированы по имени, по размеру или по дате изменения. Для того чтобы отсортировать файлы в списке, надо щелкнуть мышью по названию требуемого поля (“Имя”, “Размер”, “Дата изменения”). Повторное нажатие на то же поле приведет к тому, что файлы будут отсортированы в обратном порядке – если они были отсортированы по возрастанию параметра, то будут отсортированы по убыванию, и наоборот.

Рисунок 17 – Выгрузка контрольного loga системы

Файлы в списке могут быть отфильтрованы по типу. Для этого надо выбрать тип файлов в выпадающем меню поля “Тип”. Перечень типов файлов в выпадающем меню зависит от того, из какого места панели управления было вызвано диалоговое окно “Выбор файла(ов)/каталога”. Для того чтобы в списке файлов отображались скрытые файлы и каталоги, надо включить опцию “Показать скрытые файлы и каталоги”. Для того чтобы завершить выбор файла, надо нажать кнопку “Ладно”, для отказа от выбора файла надо нажать кнопку “Отмена”.

Страница “Параметры” имеет вид, представленный на рисунке 14.

Рисунок 18 – Страница “Параметры”

Параметры пользователя делятся на следующие категории:

1. общая информация;

2. флаги учетной записи пользователя;

3. параметры системы безопасности;

4. параметры Windows.

Каждую из категорий можно свернуть, нажав на значок , расположенный перед названием категории, или развернуть, нажав на значок . Другой вариант – щелкнуть правой кнопкой мыши на название категории и в появившемся контекстном меню выбрать нужное действие – развернуть, свернуть, развернуть все, свернуть все. Изменять значения параметров могут только пользователи, наделенные соответствующими полномочиями. Для того чтобы изменить значение какого-либо параметра, необходимо дважды щелкнуть левой кнопкой мыши на его названии и в открывшемся диалоговом окне задать (выбрать) нужные значения. Другой вариант – щелкнуть правой кнопкой мыши на названии параметра и в появившемся контекстном меню выбрать “Свойства”.

Доступ к носителям информации (жестким дискам, дискетам, CD-ROM), портам ввода-вывода (LPT, COM, USB, PCMCIA) и принтерам управляется специализированными модулями СЗИ НСД – модулем контроля доступа к устройствам и модулем контроля печати. В СЗИ НСД реализован механизм дискретного разграничения доступа.

Управление дискреционным доступом заключается в предоставлении пользователям определенных прав (разрешений) на доступ к объектам. Разрешения, назначаемые объекту, зависят от его типа. Например, разрешения, которые могут быть назначены для логического диска, отличаются от разрешений, допустимых для портов ввода/вывода. Разрешения для устройств: доступ запрещен; доступ разрешен. Разрешения для носителей: нет доступа; чтение; чтение и запись. Разграничение доступа к объектам также может быть выполнено с помощью средств ОС Windows.

Гарантированное уничтожение информации.

Вызов функций гарантированного уничтожения файлов происходит в интерактивном режиме – пользователь СЗИ НСД выбирает объекты, для которых необходимо выполнить затирание, в графической оболочке (Проводник/ Explorer), а затем выбирает команду “Затереть файлы” в контекстном меню.

Рисунок 19 – Процесс затирания

Для того чтобы выполнить гарантированное уничтожение файлов и (или) каталогов, надо выполнить следующие действия:

1) выбрать в “Проводнике” файлы и (или) каталоги, подлежащие уничтожению;

2) нажать правую кнопку мыши;

3) в появившемся контекстном меню выбрать пункт “Затереть файлы”

Рисунок 20 – Вызов функции гарантированного уничтожения файлов

По умолчанию любой пользователь в ОС MS Vista, даже если он администратор, работает в безопасном режиме с привилегиями обычного пользователя. В этом режиме ему недоступны многие административные функции и объекты ОС, в том числе и некоторые файлы. Если какие-то файлы не удается затереть в обычном режиме, то вместо "Да" следует ответить "Да, как администратор". После этого ОС инициирует стандатный процесс повышения привилегий и запустит процесс затирания от имени полноценной администраторской учетной записи. Полное (посекторное) затирание логических дисков невозможно без повышенных привилегий, поэтому при выборе этого пункта контекстного меню сразу же запускается процесс повышения привилегий и уже после этого выводится обычный запрос подтверждения.

2.3.2 Настройка программного средства комплексной антивирусной защиты «Dr. Web Desktop Security Suite»

Dr.Web Security Suite предназначен для защиты системной памяти, жестких дисков и съемных носителей компьютеров, работающих под управлением ОС семейства Microsoft Windows, от угроз любого типа: вирусов, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и всех возможных типов вредоносных объектов из любых внешних источников. Dr.Web Security Suite состоит из нескольких модулей, отвечающих за различный функционал.

Антивирусное ядро и вирусные базы являются общими для всех компонентов и для различных платформ. Компоненты продукта постоянно обновляются, а вирусные базы, базы категорий веб-ресурсов и базы правил спам-фильтрации сообщений электронной почты регулярно дополняются новыми сигнатурами угроз.

Постоянное обновление обеспечивает актуальный уровень защиты устройств пользователей, а также используемых ими приложений и данных. Для дополнительной защиты от неизвестного вредоносного программного обеспечения используются методы эвристического анализа, реализованные в антивирусном ядре. Dr.Web Security Suite способен обнаруживать и удалять с компьютера различные нежелательные программы: рекламные программы, программы дозвона, потенциально опасные программы, программы взлома. Для обнаружения таких программ и действий над содержащими их файлами применяются стандартные средства антивирусных компонентов Dr.Web.

Все антивирусные продукты, разработанные компанией «Доктор Веб», применяют целый набор методов обнаружения угроз, что позволяет проверять подозрительные объекты максимально тщательно.

Сигнатурный анализ. Этот метод обнаружения применяется в первую очередь. Он основан на поиске в содержимом анализируемого объекта сигнатур уже известных угроз. Сигнатурой называется непрерывная конечная последовательность байт, необходимая и достаточная для однозначной идентификации угрозы. При этом сравнение содержимого исследуемого объекта с сигнатурами производится не напрямую, а по их контрольным суммам, что позволяет значительно снизить размер записей в вирусных базах, сохранив при этом однозначность соответствия и, следовательно, корректность обнаружения угроз и лечения инфицированных объектов. Записи в вирусных базах Dr.Web составлены таким образом, что благодаря одной и той же записи можно обнаруживать целые классы или семейства угроз.

Origins Tracing

Это уникальная технология Dr.Web, которая позволяет определить новые или модифицированные угрозы, использующие уже известные и описанные в вирусных базах механизмы заражения или вредоносное поведение. Она выполняется по окончании сигнатурного анализа и обеспечивает защиту пользователей, использующих антивирусные решения Dr.Web, от таких угроз, как троянская программа-вымогатель Trojan.Encoder.18 (также известная под названием «gpcode»). Кроме того, использование технологии Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора. К названиям угроз, обнаруженных при помощи Origins Tracing, добавляется постфикс Origin.

Эмуляция исполнения

Метод эмуляции исполнения программного кода используется для обнаружения полиморфных и шифрованных вирусов, когда использование поиска по контрольным суммам сигнатур неприменимо или значительно усложнено из-за невозможности построения надежных сигнатур. Метод состоит в имитации исполнения анализируемого кода при помощи эмулятора — программной модели процессора и среды исполнения программ. Эмулятор оперирует с защищенной областью памяти (буфером эмуляции). При этом инструкции не передаются на центральный процессор для реального исполнения. Если код, обрабатываемый эмулятором, инфицирован, то результатом его эмуляции станет восстановление исходного вредоносного кода, доступного для сигнатурного анализа.

Эвристический анализ

Работа эвристического анализатора основывается на наборе эвристик (предположений, статистическая значимость которых подтверждена опытным путем) о характерных признаках вредоносного и, наоборот, безопасного исполняемого кода. Каждый признак кода имеет определенный вес (т. е. число, показывающее важность и достоверность этого признака). Вес может быть, как положительным, если признак указывает на наличие вредоносного поведения кода, так и отрицательным, если признак не свойственен компьютерным угрозам. На основании суммарного веса, характеризующего содержимое объекта, эвристический анализатор вычисляет вероятность содержания в нем неизвестного вредоносного объекта.

Если эта вероятность превышает некоторое пороговое значение, то выдается заключение о том, что анализируемый объект является вредоносным. Эвристический анализатор также использует технологию FLY-CODE — универсальный алгоритм распаковки файлов. Этот механизм позволяет строить эвристические предположения о наличии вредоносных объектов в объектах, сжатых программами упаковки (упаковщиками), причем не только известными разработчикам продукта Dr.Web, но и новыми, ранее не исследованными программами. При проверке упакованных объектов также используется технология анализа их структурной энтропии, которая позволяет обнаруживать угрозы по особенностям расположения участков их кода.

Эта технология позволяет на основе одной записи вирусной базы произвести обнаружение набора различных угроз, упакованных одинаковым полиморфным упаковщиком. Поскольку эвристический анализатор является системой проверки гипотез в условиях неопределенности, то он может допускать ошибки как первого (пропуск неизвестных угроз), так и второго рода (признание безопасной программы вредоносной). Поэтому объектам, отмеченным эвристическим анализатором как «вредоносные», присваивается статус «подозрительные».

К общим настройкам относятся следующие:

1. защита настроек программы паролем;

2. выбор языка программы;

3. управление настройками программы (импорт, экспорт, сброс настроек до настроек по умолчанию);

4. настройки ведения журнала работы;

5. настройки карантина;

6. автоматическое удаление записей статистики.

Чтобы открыть общие настройки:

1. Откроем меню программы и выберем пункт Центр безопасности.

2. Убедимся, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт»).

3. В верхней части окна программы нажмем .

4. Откроется окно с основными настройками программы. В левой части окна выберем пункт «Общие».

Рисунок 21 – Общие настройки

Настройки карантина

Изменение настроек хранения обнаруженных угроз

  1. В окне изменения общих настроек нажмем ссылку Дополнительные настройки. В разделе настроек «Карантин» включим необходимую опцию при помощи переключателя.
  2. При включении автоматического удаления объектов из карантина в выпадающем меню выберем время.
  3. Объекты, хранящиеся дольше указанного срока, будут удаляться.
    • 1)красный: сетевой интерфейс, подключаемый к внешней сети. По умолчанию все пакеты, маршрутизируемые с красного интерфейса на зелёный (кроме пакетов, принадлежащих открытым TCP-сессиям), блокируются межсетевым экраном. На красном интерфейсе происходит трансляция сетевых адресов по портам, указанным в составе сетевого пакета;
    • 2)зелёный: сетевой интерфейс, подключаемый к внутренней сети. По умолчанию все пакеты, маршрутизируемые между различными зелёными интерфейсами, не блокируются;
    • 3)синий. Для этого интерфейса включен режим «белого списка», т.е. запрещены как входящие, так и перенаправляемые пакеты от всех адресов, кроме специально разрешённых на странице МЭ → Доступ к синему интерфейсу.
    • 4)оранжевый: демилитаризованная зона. По умолчанию все пакеты, маршрутизируемые с оранжевого интерфейса на зелёный (кроме пакетов, принадлежащих открытым TCP-сессиям), блокируются. При этом возможна настройка проброса портов с красного интерфейса на оранжевый для обеспечения работоспособности внешних сервисов;

Рисунок 22 – Настройки карантина

Опция «Создавать карантин на съемном носителе» при обнаружении на нем угроз позволяет при обнаружении угрозы на съемном носителе создавать папку карантина на том же носителе и помещать в эту папку угрозы без предварительного шифрования. На съемном носителе папка карантина создается, только если возможна запись на носитель. Использование отдельных папок и отказ от шифрования на съемных носителях позволяет предотвратить возможную потерю данных. Если опция отключена, то обнаруженные на съемных носителях угрозы помещаются в карантин на локальном диске.

2.3.3 Настройка межсетевого экрана «РУБИКОН»

Межсетевой экран «Рубикон» реализует следующие основные функции:

1. фильтрация сетевых пакетов на всех уровнях вплоть до прикладного с учетом любых значимых полей;

2. аутентификация входящих и исходящих запросов;

3. регистрация фильтруемых пакетов и учет сервисов прикладного уровня;

4. дистанционная сигнализация попыток нарушения правил фильтрации;

5. идентификация и аутентификация администратора комплекса;

6. препятствование доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась;

7. регистрация входа (выхода) администратора комплекса в систему (из системы) либо загрузки и инициализации системы и ее программного останова;

8. регистрация запуска программ и процессов (заданий, задач);

9. регистрация действия администратора комплекса «Рубикон» по изменению правил фильтрации;

10.обеспечение подключения локальных вычислительных сетей (ЛВС) к инфраструктуре имеющихся сетей передачи данных (СПД) и организации сетевых соединений для двунаправленного прохождения сетевых пакетов, удовлетворяющих требованиям стека протоколов TCP/IP;

11.возможность построения единой сети на основе инфраструктуры имеющихся независимых друг от друга сегментов сетей передачи данных с обеспечением «прозрачных» сетевых соединений между подключаемыми локальными вычислительными сетями (прямая адресация из каждой ЛВС в каждую).

В зависимости от используемых функций в комплексе «Рубикон» предусмотрены следующие типы сетевых интерфейсов:

физические сетевые интерфейсы:

виртуальные сетевые интерфейсы:

1) IPSec — ipsecO, ipsecl, и т.д.;

2) OpenVPN — tunO, tunl, и т.д.;

3) Криптошлюз — vccO;

4) Мост — idsbr, brO, brl, и т.д.

Каждому интерфейсу можно назначить одну из следующих политик

Таблица 4 – Доступность политики в зависимости от цвета интерфейса

Интерфейс

Политика

Закрыто

Полуоткрыто

Открыто

Зелёный

+

+

+

Голубой

+

+

+

Оранжевый

+

-

+

Красный

+

-

-

OpenVPN

+

+

+

Мост

+

+

+

IPSec

+

+

+

Криптошлюз

+

+

+

В таблице 3 приведено описание правил, создаваемых по умолчанию при применении каждой из политик:

Таблица 5 – Описание сетевых политик

Тип правила

Политика

Закрыто

Полуоткрыто

Открыто

Входящее

Все соединения запрещены

DNS, DHCP, NTP, ICMP, Proxy

DNS, DHCP, NTP, ICMP, Proxy

Перенаправление

Разрешён доступ в сеть

Разрешён доступ в сеть

Разрешён доступ в сеть

Исходящее

Доступ разрешён

Доступ разрешён

Доступ разрешён

По умолчанию все физические интерфейсы изделия «Рубикон» являются зелёными. Для переназначения цветов интерфейсов необходимо:

1) настроить администрирование комплекса «Рубикон» на странице МЭ → Настройки межсетевого экрана (Рисунок 2); по умолчанию первые четыре зелёных интерфейса помечены как административные, т.е. по ним разрешено администрирование комплекса «Рубикон»;

2) цвет таких интерфейсов изменить нельзя, поэтому перед назначением цветов необходимо настроить администрирование; – назначить цвета интерфейсов на странице Сеть → Настройка адаптеров (Рисунок ниже); для этого напротив нужного интерфейса необходимо нажать кнопку редактирования, затем выбрать цвет интерфейса и для сохранения настроек нажать кнопку

Рисунок 23 – Настройки межсетевого экрана

После переназначения цветов интерфейсов для применения корректной политики МЭ необходимо перезагрузить комплекс «Рубикон», а также повторно настроить правила межсетевого экрана.

На странице настройки сетевых интерфейсов Система → Интерфейсы (Рисунок ниже) задаются значения сетевых адресов, а также базовые настройки маршрутизации. Для конфигурации сетевого адреса определённого интерфейса нужно ввести числовое значение адреса и маски сети (в полном числовом формате), а затем нажать кнопку «Изменить» напротив полей ввода.

Рисунок 24 – Интерфейсы

Новые значения присваиваются интерфейсу немедленно. В поле «Шлюз» той страницы настройки интерфейсов вводится адрес шлюза по умолчанию. На указанный узел будут отправляться пакеты, для которых отсутствует актуальная запись в таблице маршрутизации. Комплекс «Рубикон» может выполнять роль клиента службы DNS. Для корректной работы в таком режиме необходимо указать адрес как минимум одного сервера DNS и нажать кнопку «Изменить» напротив соответствующих полей ввода.

В изделии «Рубикон» существует возможность назначения до восьми IP-адресов каждому физическому интерфейсу. Данная возможность обеспечивается назначением псевдонимов интерфейсов в разделе Сеть → Псевдонимы (Рисунок ниже).

Рисунок 25 – Добавление псевдонима

В изделии «Рубикон» существует возможность задания статических маршрутов в ручном режиме. Для этого на странице Сеть → Маршруты (Рисунок 7) необходимо задать сеть, маску (в полном десятичном виде), промежуточный узел и интерфейс комплекса «Рубикон», через который он доступен, а также произвольное имя маршрута, состоящее из цифр и букв. В случае если все поля заполнены корректно и в соответствии с текущими сетевыми настройками, маршрут может быть добавлен (указанный интерфейс поднят, промежуточный узел доступен), изменения применяются незамедлительно.

Рисунок 26 – Маршруты

Маршрут автоматически удаляется, если изменяются настройки (цвет, адрес, состояние) указанного сетевого интерфейса, либо если промежуточный узел становится недоступен. Комплекс «Рубикон» не проверяет уникальность добавляемых маршрутов, т.е. не имеет защиты от т.н. «маршрутных петель». Корректность задаваемых маршрутов и отсутствие конфликтов маршрутизации должен проверять сетевой администратор.

Для настройки режима моста нужно:

1) пометить выбранные интерфейсы как неадминистративные на странице МЭ → Настройки межсетевого экрана;

2) отметить галочками выбранные интерфейсы в секции «Мост» на странице настроек сетевых интерфейсов Система → Интерфейсы;

3) по желанию задать сетевой адрес, маску и широковещательный адрес для моста;

В комплексе «Рубикон» существует возможность объединения нескольких зелёных интерфейсов в один с помощью технологии «bridge» (мост). После конфигурации этого режима выбранные интерфейсы потеряют свои IP-адреса и маршруты, а пакеты, приходящие на один из объединённых интерфейсов, будут ретранслироваться на остальные интерфейсы, включённые в мост, без обработки межсетевым экраном. Правила межсетевого экрана должны настраиваться для виртуального интерфейса моста (idsbr или brX), а не для включённых в мост физических интерфейсов.

2.3.4 Настройка системы обнаружения вторжений «РУБИКОН»

Данная подсистема состоит из нескольких модулей.

1) Агент обновления Программный модуль ОО, предназначен для получения актуальной базы решающих правил СОВ с сервера обновлений.

2) Модуль сигнатурного анализа сетевого трафика

3) Программный модуль ОО, использующийся для САВЗ, содержит сигнатуру, позволяющую блокировать сетевой трафик, если САВЗ обнаружил в нем вирусную активность.

4) Модуль эвристического анализа сетевого трафика

5) Программный модуль, предназначен для обнаружения вторжений с помощью эвристического анализа.

6) Модуль реагирования позволяет уведомлять администратора об обнаруженных вторжениях и выдачу управляющих сигналов межсетевому экрану.

7) Веб-интерфейс

Система обнаружения вторжений может быть запущена в качестве отдельного процесса для любого из физических сетевых интерфейсов устройства. Указание о необходимости запуска процесса на том или ином интерфейсе осуществляется выбором соответствующего элемента управления в секции «Интерфейсы» на странице установки параметров «Службы → Обнаружение атак». Секция «Интерфейсы» представлена на рисунке

Рисунок 27 – Интерфейсы, доступные для запуска СОВ

Для того чтобы подключить СОВ к одному из физических интерфейсов, поставим отметку напротив его названия в разделе «Службы → Обнаружение атак», секция «Интерфейсы»

Рисунок 28 – Запуск СОВ на физическом интерфейсе

Режим сигнатурного анализа предполагает наличие базы решающих правил (БРП), которая включает в себя сигнатуры известных атак. Корректная работа данного режима невозможна без актуальной БРП и напрямую зависит от набора правил.

Режим эвристического анализа атак заключается в просмотре сетевого трафика на наличие элементов сканирования портов или узлов сети и выдаче решения о наличии сканирования в сегменте сети. Для настройки режима эвристического анализа зайдем в раздел «СОВ → Настройка обнаружения сканирования».

Существует два элемента управления (рисунок ниже): выбор протокола, и уровень срабатывания. Протокол определяет те сетевые пакеты, которые будут анализироваться. Уровень срабатывания определяет предполагаемую интенсивность сканирования злоумышленником.

Рисунок 29 – – Настройка режима эвристического анализа

Поле «Протокол» может принимать следующие значения:

1) Все;

2) TCP;

3) UDP;

4) ICMP;

5) протокол IP.

Загрузка новой базы решающих правил

Для настройки новой БРП загрузите в разделе «Службы → Обнаружение атак» следующие файлы:

- метка времени в формате tsr: получена от сервера доверенного времени;

- непосредственно набор правил;

- файл УЦ: сертификат, выданный УЦ серверу доверенного времени.

Метка времени состоит из:

- контрольной суммы набора правил;

- времени создания метки;

- ЭП сервера доверенного времени, удостоверяющего целостность описанных выше данных;

- сертификата сервера доверенного времени.

Рисунок 30 – Настройка БРП. Импорт файлов в систему

После загрузки происходит проверка:

- соответствия контрольной суммы загруженного набора правил контрольной сумме, указанной в метке времени;

- актуальности сертификата сервера доверенного времени, извлекаемого из метки времени.

В случае успешного прохождения проверки с помощью сертификата сервера доверенного времени проверяется ЭП метки времени. Если подпись верна, происходит загрузка правил в хранилище СОВ и удаление временных файлов.

Рисунок 31 – Предложение применить внесенные изменения

Пользователю выводится предложение нажать кнопку «Применить», (рисунок 32), что обновит правила и перезапустит СОВ на выбранных интерфейсах.

Выводы по главе 2



III Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.

Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.

Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.

Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять),

- во-первых, ожидаемые потери при нарушении защищенности информации;

- во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:

- во-первых, полный перечень угроз информации;

- во-вторых, потенциальную опасность для информации для каждой из угроз;

- в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации:

где:

Siкоэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;

Viкоэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта рекомендуется использовать следующие значения коэффициентов Si и Vi, приведенные в таблице 6.

Таблица 6 Значения коэффициентов Si и Vi

Ожидаемая (возможная)

частота появления угрозы

Предполагаемое значение Si

Почти никогда

0

1 раз в 1 000 лет

1

1 раз в 100 лет

2

1 раз в 10 лет

3

1 раз в год

4

1 раз в месяц (примерно, 10 раз в год)

5

1-2 раза в неделю (примерно 100 раз в год)

6

3 раза в день (1000 раз в год)

7

Значение возможного ущерба

при проявлении угрозы, руб.

Предполагаемое значение Vi

30

0

300

1

3 000

2

30 000

3

300 000

4

3 000 000

5

30 000 000

6

300 000 000

7

Суммарная стоимость потерь определяется формулой

где N – количество угроз информационным активам

3.2 Расчёт показателей экономической эффективности проекта

Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.

Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.

Наиболее общей формой представления ресурса является денежная мера.

Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.

Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.

Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.

Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):

  • расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
  • величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;

Таблица 7 – Ранжирование по коэффициентам Si и Vi

Наименование актива

Предполагаемое значение Si

Предполагаемое значение Vi

Программное обеспечение

3

5

Информация о деятельности сотрудников

5

6

Компьютерные средства

5

5

Информационные услуги

7

5

Текстовые сообщения

7

1

Личные дела сотрудников

4

6

Переписка по почте

3

6

Информация о технике и технологиях

2

6

Данные о сооружениях и материальном обеспечении предприятия «Стройперсонал»

3

5

Расходные накладные

2

3

Данные по приказам, распоряжениям, мероприятиям, распорядку предприятия «Стройперсонал»

5

6

Инвентаризационная ведомость

6

2

Приходные накладные

6

3

Бухгалтерская и налоговая отчетность

5

4

63

63

Рассчитаем показатель R для каждого актива в таблице 7.

Таблица 8 – Оценка суммарного ущерба до внедрения системы защиты

Наименование актива

Значение

Si+Vi-4

Значение,

Программное обеспечение

4

10000

Информация о деятельности сотрудников

7

10000000

Компьютерные средства

6

1000000

Информационные услуги

8

100000000

Текстовые сообщения

4

10000

Личные дела сотрудников

6

1000000

Переписка по почте

5

100000

Информация о технике и технологиях

4

10000

Данные о сооружениях и материальном обеспечении предприятия «Стройперсонал»

4

10000

Расходные накладные

1

10

Данные по приказам, распоряжениям, мероприятиям, распорядку предприятия «Стройперсонал»

7

10000000

Инвентаризационная ведомость

4

10000

Приходные накладные

5

100000

Бухгалтерская и налоговая отчетность

5

100000

70

122 350 010

Таким образом, суммарный ущерб в случае реализации всех угроз составит 122 350 010 руб.

Рассчитаем разовые и постоянные расходы на обеспечение информационной безопасности. В таблице 10 представлены разовые расходы на обеспечение защиты информации.

Таблица 10 Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия

№ п\п

Выполняемые действия

Среднечасовая зарплата специалиста (руб.)

Трудоемкость операции (чел.час)

Стоимость, всего (тыс.руб.)

1

Настройка и установка СЗИ от НСД «Аура 1.2.4»

900

50

45000

2

Настройка и установка «Dr. Web Desktop Security Suite»

300

250

75000

3

Настройка и установка МЭ «РУБИКОН»

900

50

45000

4

Настройка и установка системы обнаружения вторжений «РУБИКОН»

600

50

30000

5

Настройка и установка проверочного USB-устройство Сканер-ВС

150

250

37500

Стоимость проведения организационных мероприятий, всего

232500

Мероприятия инженерно-технической защиты

№ п/п

Номенклатура ПиАСИБ, расходных материалов

Стоимость, единицы (тыс.руб)

Кол-во (ед.измерения)

Стоимость, всего (тыс.руб.)

1

СЗИ от НСД «Аура 1.2.4»

7000

1

7000

2

Программное средство комплексной антивирусной защиты «Dr. Web Desktop Security Suite»

715

250

178750

3

МЭ «РУБИКОН»

120000

1

120000

4

Система обнаружения вторжений «РУБИКОН»

70000

1

70000

5

Проверочное USB-устройство Сканер-ВС

700

250

175000

Стоимость проведения мероприятий инженерно-технической защиты

550750

Объем разового ресурса, выделяемого на защиту информации

783250

В таблице 12 представлены постоянные расходы на обеспечение информационной безопасности.

Таблица 12 Содержание и объем постоянного ресурса, выделяемого на защиту информации

Организационные мероприятия

№ п\п

Выполняемые действия

Среднечасовая зарплата специалиста (руб.)

Трудоемкость операции (чел.час)

Стоимость, всего (тыс.руб.)

Стоимость проведения организационных мероприятий, всего

Мероприятия инженерно-технической защиты

№ п/п

Номенклатура ПиАСИБ, расходных материалов

Стоимость, единицы (тыс.руб)

Кол-во (ед.измерения)

Стоимость, всего (тыс.руб.)

Стоимость проведения мероприятий инженерно-технической защиты

Объем постоянного ресурса, выделяемого на защиту информации


Выводы по главе 3

Заключение



Список использованных источников


Loading...

Последние статьи из блога

Административное право

Методы оценки эколого-экономической безопасности региона

Факторы эколого-экономической безопасности региона

Экологическая безопасность, как составная часть экономической безопасности региона

Информационные ресурсы библиотечной сети России

Современные технические средства обучения в развитии познавательного интереса

Теоретические основы формирования самооценки в младшем школьном возрасте

Теоретические аспекты маркетинга как функция управления

Французский язык в истории итальянской гастрономии

Понятие дискурса и гастрономического дискурса

Анализ тенденций развития российского рынка микрофинансирования

Совершенствование организационных и методических аспектов внутреннего финансового аудита

Методические и практические аспекты внутреннего финансового аудита в органах исполнительной власти

Теоретико-правовые основы внутреннего финансового аудита в государственных органах исполнительной власти

Теоретические основы экологического воспитания детей старшего дошкольного возраста

Опытно –экспериментальное изучение влияния моделирования на формирование экологических знаний у детей старшего дошкольного возраста

Внеклассная работа

Понятие метафоры. Классификация метафор Джорджа Лакоффа

Теоретические основы изучения метафорических концептов в актовом дискурсе

Теоретико-методологические подходы к изучению представлений о безопасности городской среды