2.5 Информационная безопасность проекта.
В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.
Рассматривая информацию как товар, можно сказать, что обеспечение информационной безопасности в целом может привести к значительной экономии средств, в то время как ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С другой стороны, информация является субъектом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.
Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности - это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности.
Комплексное обеспечение информационной безопасности объектов и субъектов, связанных с информатизацией и использованием информации, является необходимостью.
Под системой защиты информации понимают совокупность органов защиты информации (структурных подразделений или должностных лиц предприятия), используемых ими средств и методов защиты информации, а также мероприятий, планируемых и проводимых в этих целях.
Целью защиты информации АИС является достижение ее безопасности, то есть состояния защищенности информации от внешних и внутренних угроз, характеризуемого способностью персонала, технических средств и информационных технологий обеспечить в процессе обработки ее конфиденциальность, целостность, доступность и аутентичность.
Автоматизированная информационная система (АИС) - комплекс, включающий вычислительное и коммуникационное оборудование, программное обеспечение, лингвистические средства и информационные ресурсы, а также системный персонал, обеспечивающий удовлетворение информационных потребностей пользователей.
Ведущую роль в организации защиты информации в организации играют руководитель организации, а также его заместитель, непосредственно возглавляющий эту работу.
Руководитель организации несет персональную ответственность за организацию и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей информации. Он обязан:
знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;
проявлять высокую требовательность к персоналу организации в вопросах сохранности конфиденциальной информации;
оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.
Заместитель руководителя организации обязан постоянно изучать все стороны и направления деятельности организации для принятия своевременных мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ.
В свою очередь, пользователи должны соблюдать правила и нести ответственность, связанные с использованием информационных ресурсов. На пользователя средств и ресурсов возлагается:
соблюдение конфиденциальности информации;
защита целостности и доступности пользовательских информационных ресурсов;
своевременное информирование непосредственного руководителя о возникновении предпосылок к нарушению конфиденциальности информации и о фактах нарушения, ставших ему известными;
использование только разрешенных к применению программных продуктов и носителей информации;
выполнение требований по исключению несанкционированного использования закрепленного автоматизированного рабочего места и носителей информации.
Способы защиты информации — это совокупность приемов и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам. Каждому виду угроз присущи свои специфические способы и средства.
Обеспечение информационной безопасности достигается системой мер, направленных:
на предупреждение угроз. Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от осознанного отношения сотрудников к проблеме безопасности до создания системы защиты физическими, аппаратными, программными и криптографическими средствами;
на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
на ликвидацию последствий угроз и преступных действий и восстановление состояния, предшествовавшего наступлению угрозы.
Организационные методы ЗИ.
Основные принципы организационной защиты информации:
- принцип комплексного подхода — эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;
- принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);
- принцип персональной ответственности — наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.
Среди основных условий организационной защиты информации можно выделить следующие:
- непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;
- неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.
При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите информации на предприятии.
Разделяют следующие классы мер в системе организационных методов обеспечения безопасности:
Управление персоналом.
Работники проходят обучение с последующим допуском к работе с аппаратными и программными средствам. Каждый сотрудник получает доступ только к необходимым ему для выполнения работы сведениям, программным средствам, БД.
Физическая защита.
Оснащение здания системой видеонаблюдения исключает возможность неконтролируемого проникновения или бесконтрольного пребывания на территории посторонних лиц, а также просмотра посторонними лицами информации ограниченного доступа.
Помещения имеют прочные входные двери с замками, гарантирующими прочное закрытие дверей в нерабочее время.
Помещения оснащены охранной сигнализацией для исключения возможности несанкционированного проникновения.
Кабельная система помещена в кабельные каналы для уменьшения возможности повреждения.
Вся передаваемая по сети информация шифруется, во избежание перехвата или потери данных.
Для минимизации ущерба вследствие пожара в здании установлена пожарная сигнализация и система пожаротушения.
Поддержка работоспособности
Определение порядка отнесения данных к информации ограниченного доступа.
Нормативное определение порядка обмена информацией ограниченного доступа с другими организациями;
Резервное копирование – процесс создания копии данных на носителе, предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения.
Программно-аппаратные средства ЗИ.
Программные средства защиты информации — системы защиты средств автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения.
Встроенное средство Windows для авторизации пользователя. Управление доступом.
Идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;
Регистрация и учет.
Регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа.
Учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме).
Обеспечение целостности.
Обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
Физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации.
Периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа.
Наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент.
Антивирусная защита.
С учетом мощного развития средств коммуникации и резко возросших объемов обмена данными проблема защиты от вирусов становится очень актуальной. Практически, с каждым полученным, например, по электронной почте документом может быть получен макровирус, а каждая запущенная программа может (теоретически) заразить компьютер и сделать систему неработоспособной.
Поэтому среди систем безопасности важнейшим направлением является борьба с вирусами. Существует целый ряд средств, специально предназначенных для решения этой задачи. Некоторые из них запускаются в режиме сканирования и просматривают содержимое жестких дисков и оперативной памяти компьютера на предмет наличия вирусов. Некоторые же должны быть постоянно запущены и находиться в памяти компьютера. При этом они стараются следить за всеми выполняющимися задачами.
На рынке программного обеспечения наибольшую популярность завоевали продукты компании «Лаборатория Касперского». Это универсальный продукт, имеющий версии под самые различные операционные системы.
Антивирус Касперского — это решение для базовой защиты компьютера от вредоносных программ. Продукт обеспечивает защиту в режиме реального времени от основных информационных угроз.
Администратором по защите информации регулярно проверяется работоспособность антивируса Касперского на всех рабочих станциях. Не реже одного раза в месяц проводятся полные проверки компьютеров пользователей. При выявлении фактов попаданий вирусов с внешних носителей информации в компьютеры пользователей, требовать объяснительные с сотрудников, допустивших попадание вирусов.
Использование NetBotz Wall Monitor 355
Одним из главных узлов, контролирующих работу оборудования в серверном помещении, является система контроля параметров окружающей среды NetBotz (рис. 23). Она предназначена для мониторинга основных параметров окружающей среды: влажности, температуры, задымления воздуха, протечки жидкости, а также обеспечения необходимых мер безопасности, таких как контроль доступа.
Рисунок 23 - Внешний вид системы контроля параметров окружающей среды NetBotz
Все устройства мониторинга подключаются к локальной сети с помощью обычных кабелей Ethernet. Блок мониторинга NetBotz Wall Monitor может получать и питание по Ethernet (PoE), но такая возможность должна поддерживаться контролирующим оборудованием. Если нет, используется обычный блок питания, но PoE позволяет уменьшить количество проводов (которых в серверном помещении и так немало).
На задней панели NetBotz 355 расположены основные порты и разъемы: Ethernet Port, Console Port и четыре порта для подключения датчиков (рис. 24).
Рисунок 24 - Задняя панель системы контроля параметров окружающей среды NetBotz
Room monitor обеспечивает безопасность и мониторинг среды, а так же гарантирует обнаружение и подачу сигнала тревоги в потенциально аварийных ситуациях. С единой консоли управления, подключенной к IP-сети, специалисты могут держать под контролем важнейшие физические факторы риска: температуру, влажность, протечки жидкостей, а также мгновенно получать уведомления о несанкционированном доступе непосредственно с систем видеонаблюдения.
Возможно подключение сторонних датчиков (например, датчик открытия двери или датчик затопления). Управление и мониторинг происходит через браузер или с помощью утилиты NetBotz Advanced View (рис. 25).
Рисунок 25 - Утилита NetBotz Advanced View
Правильно настроенные датчики показывают свои значения в левой колонке. Для каждого датчика есть пороговые значения, при достижения которого фиксируется событие Alert и выполняется действие (отправка почты, смс, и т.д.)
На почту периодически приходят графики по всем датчикам. Например, температура (рис. 26).
Рисунок 26 - График показаний температурного датчика
Датчики, которые работают в серверном помещении ТД «Всполье»:
Air Flow – датчик воздушного потока. Строгость статуса датчика – информационный. (возможно задать минимальное значение воздушного потока , на данный момент выставлено 0м/мин).
Camera Motion – датчик движения в поле видимости камеры. При появлении движения в поле видимости камеры она каждую секунду делает снимок в течении пяти секунд. (можно варьировать длительность съемки и количество снимков с секудну или один снимок в несколько секунд).
Dew point – датчик росы - служет для измерения содержания в воздухе вапоризованной (парообразной) влаги. Измерители температуры точки росы показывает температуру, при которой эта влага начнет конденсироваться - т.е., температуру точки росы.
Питание шины A-Link - датчик подключения через одноименный порт.
Humidity – датчик влажности. Снимает показания влажности в помещении.
Temperature – датчик температуры. Замеряет температуру в серверном помещении
Ethernet link status – датчик подключения по локальной сети.
Выводы по разделу
1. Определены требования, предъявляемые к компонентам сети.
2. Обоснован выбор топологии и среды передачи данных.
3. Проведен анализ аппаратной составляющей
4. Проведенный анализ информационной безопасности модернизированной сети показал, что в организации ТД «Всполье» обеспечивается необходимый уровень безопасности хранения и обработки защищаемой информации.
Результатом проектного раздела стала функционирующая на данный момент ЛВС.