КОНЦЕПЦИЯТА ЗА ИНФОРМАЦИОННА СИГУРНОСТ Информационната сигурност (ИС) се отнася до защитата на информацията и поддържащата инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, насочени към причиняване на щети на собствениците или потребителите на информация и поддържаща инфраструктура. Три основни категории субекти трябва да осигурят информационна сигурност: държавни организации, търговски структури и индивидуални предприемачи.
Наличност (възможност за получаване на необходимата информационна услуга в разумно време); целостта (уместност и последователност на информацията, нейната защита от унищожаване и неоторизирани промени); конфиденциалност (защита срещу неоторизирано запознаване).
Достъпът до информация се разбира като запознаване с информацията, нейната обработка, по-специално копиране, модифициране или унищожаване на информация. Оторизиран достъп до информация е достъп до информация, която не нарушава установените правила за контрол на достъпа. Неоторизираният достъп до информация се характеризира с нарушение на установените правила за контрол на достъпа. Атаката срещу информационна система (мрежа) е действие, предприето от нападател с цел намиране и използване на една или друга системна уязвимост.
Конструктивно, когато основната цел на неоторизиран достъп е да се получи копие на поверителна информация, т.е. можем да говорим за разузнавателния характер на разрушителното въздействие, когато неоторизиран достъп води до загуба (промяна) на данни или прекратяване на услугата.
Хармонизиране на националното законодателство за борба с компютърната престъпност с изискванията на международното право; висока професионална подготовка на правоприлагащите органи от следователя до съдебната система; сътрудничество и правен механизъм за взаимодействие на правоприлагащите органи на различни държави.
ЕТАПИ В РАЗВИТИЕТО НА КОМПЮТЪРНАТА ПРЕСТЪПНОСТ 1. Използването на информационни технологии при извършване на такива традиционни престъпления като кражба, вреда и измама. 2. Появата на специфични компютърни престъпления. 3. Прерастване на компютърната престъпност в компютърен тероризъм и екстремизъм. 4. Превръщане на компютърния тероризъм и екстремизъм в информационни войни.
МЕРКИ И СРЕДСТВА НА СОФТУЕРНО И ТЕХНИЧЕСКО НИВО Приложение на защитени виртуални частни мрежи VPN за защита на информация, предавана по отворени комуникационни канали. Приложение на защитни стени за защита на корпоративната мрежа от външни заплахи при свързване към обществени комуникационни мрежи; контрол на достъпа на потребителско ниво и защита срещу неоторизиран достъп до информация; гарантирана идентификация на потребителя чрез използване на токени; защита на информацията на ниво файл (чрез криптиране на файлове и директории); защита срещу вируси с помощта на специализирани комплекси за антивирусна превенция и защита; технологии за откриване на проникване и активно изследване на сигурността на информационните ресурси; криптографска трансформация на данни за гарантиране на целостта, автентичността и поверителността на информацията
ОРГАНИЗАЦИОННО И ИКОНОМИЧЕСКА ПОДДРЪЖКА НА СИГУРНОСТТА стандартизиране на методите и средствата за защита на информацията сертифициране на компютърни системи и мрежи и техните средства за защита Лицензиране на дейности в областта на защитата на информацията застраховане на информационните рискове, свързани с функционирането на компютърните системи и мрежи контрол върху действия на персонала в защитени информационни системи организационна подкрепа за функционирането на информационните системи за защита.
ПРАВНА СИГУРНОСТ СИГУРНОСТ Федерален закон на Руската федерация от 27 юли 2006 г. N 149-FZ "За информацията, информационните технологии и защитата на информацията". урежда правоотношения, възникващи в процеса на формиране и използване на документирана информация и информационни ресурси; създаване на информационни технологии, автоматизирани или автоматични информационни системи и мрежи; определя реда за защита на информационен ресурс, както и правата и задълженията на субектите, участващи в процесите на информатизация.
В близко бъдеще се очаква увеличаване на броя на корпоративните информационни системи, тъй като ръководството на страната е поело курс към формирането на цифрова икономика в страната, фокусирана върху подобряване на ефективността на всички индустрии чрез използване на информационни технологии 1, което означава, че нараства и необходимостта от защита на обработваната в тях информация.
Константин Саматов
Началник отдел за защита на информацията TFOMS
Свердловска област, член на Асоциацията на лидерите
услуги за информационна сигурност, лектор
информационна сигурност URTK им. КАТО. Попова
Основни понятия
Понятието "корпоративна информационна система" (КИС) се съдържа в чл. 2 от Федералния закон от 6 април 2011 г. № 63-FZ „За електронния подпис“. КИС се разбира като информационна система, участниците в електронното взаимодействие в която представляват определен кръг от лица. В същото време кръгът от лица, участващи в обмена на информация, може да бъде не само структурни подразделения на организацията - оператор на ОНД, но и нейни контрагенти. Основното е, че съставът и броят на участниците са строго определени.
Оператор на информационна система - гражданин или юридическо лице, ангажирано с работата на информационна система, включително обработката на информация, съдържаща се в нейните бази данни (член 2 от Федералния закон от 27 юли 2006 г. № 149-FZ "За информацията, информационните технологии" и информационна сигурност).
Под информационна система се разбира набор от информация, съдържаща се в бази данни и информационни технологии и технически средства, които осигуряват нейната обработка (член 2 от Федералния закон от 27 юли 2006 г. № 149-FZ „За информацията, информационните технологии и защитата на информацията“). ). Следователно е необходимо да се разгледа въпросът за защита на информацията в CIS от дефиницията на това каква информация подлежи на защита.
Информация за защита в корпоративната информационна система
Действащото законодателство разделя информацията на два вида: публична и ограничена информация (част 2, член 5 от Федералния закон от 27 юли 2006 г. № 149-FZ „За информацията, информационните технологии и защитата на информацията“). Информацията с ограничен достъп може да бъде разделена на две големи групи - това е държавна тайна и информация с поверителен характер.
Държавна тайна - информация, защитена от държавата в областта на нейната военна, външна политика, икономическа, разузнавателна, контраразузнавателна и оперативно-издирвателна дейност, чието разпространение може да навреди на сигурността на Руската федерация (член 2 от Закона на Руската федерация). Федерация от 21 юли 1993 г. № 5485-1 „За държавна тайна). Въз основа на практиката на автора можем да кажем, че с тази група информация като правило има най-малко проблеми (в сравнение с други видове тайни). Списъкът с посочената информация е конкретен. Редът на обработка е строго регламентиран. Преди да обработва информация, представляваща държавна тайна, организацията трябва да получи подходящ лиценз. Санкциите за нарушаване на реда за обработка са строги. Освен това броят на субектите с такава информация е малък.
Поверителната информация включва около 50 вида тайни, като най-често срещаните са търговски тайни и лични (семейни) тайни, разновидност на които са лични данни.
Личните данни в ОНД са почти винаги там. По-специално, всяка организация, която има поне един служител или паспортни данни на поне един клиент, ще бъде оператор на лични данни по смисъла на Федерален закон № 152-FZ от 27 юли 2006 г. „За личните данни“. Тоест, ако клиентските данни се обработват в корпоративна CRM система (например пълно име и адрес за доставка) или тези данни са във файл на MS Excel на работна станция, безопасно е да се каже, че личните данни се обработват в CIS и следователно организацията трябва да спазва изискванията за тяхната защита. На практика лидерите на повечето организации не разбират това и смятат, че не обработват лични данни и следователно не предприемат мерки за защита на информацията, преди да се случи някакъв инцидент.
В допълнение към личните данни, почти всяка CIS съдържа информация, която има действителна или потенциална стойност поради неизвестността й на трети страни, чието разкриване или неконтролирано предаване организацията се стреми да избегне (търговска тайна). На практика такава ситуация е често срещана, когато списъкът с тази информация се съдържа изключително в съзнанието на ръководителя или собственика на организацията.
Ключът е обучението на персонала по правилата за информационна сигурност, което трябва да се извършва на редовни интервали.
С оглед на гореизложеното става актуален въпросът за приемането в организацията на комплекс от мерки за защита на информацията, обработвана в корпоративната информационна система.
Мерки за защита на информацията в корпоративната информационна система
Има три основни групи мерки:
1. Организационни (организационно-правни). Изготвяне на организационно-административна документация по въпросите на информационната сигурност: инструкции, правилници, заповеди, указания. Целта е да се рационализират бизнес процесите и да се съобразят с изискванията на вътрешната и външната регулация (т.нар. „съответствие”, „хартиена сигурност”). Този тип мярка може да се нарече основна, тъй като:
- режимът на търговска тайна се установява изключително с приемането на организационните мерки, изброени в част 1 на чл. 5 от Федералния закон от 29 юли 2004 г. № 98-FZ "За търговските тайни";
- в случай на лични данни, основната цел за защита на личните данни днес често е успешното преминаване на проверки от така наречените „регулатори“ (Роскомнадзор, FSTEC на Русия, FSB на Русия).
Оттук и терминът "хартиена сигурност", който стана широко разпространен сред специалистите по сигурността.
в почти всяка CIS има информация, която има реална или потенциална стойност поради неизвестността й на трети страни, чието разкриване или неконтролирано предаване организацията се стреми да избегне (търговска тайна). На практика такава ситуация е често срещана, когато списъкът с тази информация се съдържа изключително в съзнанието на ръководителя или собственика на организацията.
Поради това често персоналът неволно прехвърля (изпраща на участника в обмена на информация, за когото не е предназначен) информацията, съхранявана в CIS, или я разкрива (поставя я в публичното пространство). В същото време, при липса на одобрен списък с информация, представляваща търговска тайна, е невъзможно служител да бъде подведен под дисциплинарна отговорност за извършването на тези действия.
2. Технически мерки. Техническата защита на информацията включва четири групи мерки:
- Инженерно-техническа защита. Целта му е да предпазва от физическото проникване на нарушителя в обектите, където се намират техническите средства на КИС (автоматизирани работни станции, сървъри и др.). Защитата срещу проникване се постига чрез използване на инженерни конструкции: огради, врати, брави, турникети, аларми, видеонаблюдение и др.
- Защита срещу неоторизиран достъп до информация. Целта на тази група мерки е да се предотврати неоторизиран достъп директно до най-обработената информация в информационната система. Реализира се чрез следните дейности:
- контрол на достъпа (пароли, възлагане на правомощия);
- регистрация и счетоводство (регистрация);
- защитна стена;
- антивирусна защита;
- прилагане на средства за откриване (предотвратяване) на прониквания.
- Защита от течове по технически канали. Целта е да се защити информацията от течове по технически канали (визуални, слухови, фалшиви електромагнитни лъчения) в процеса на обработка на информацията в CIS. Реализира се чрез следните мерки:
- оборудване на прозорци с щори (пердета);
- използването на средства за защита срещу изтичане през акустични канали, така наречените виброакустични смущения;
- използването на специални филтри за защита от странични електромагнитни лъчения и смущения. Тези мерки обаче са необходими на практика само за държавни информационни системи или информационни системи, в които се обработват държавни тайни.
- Криптографска защита на информацията. Използването на криптографски инструменти за защита на информацията набира доста голяма скорост през последните години, до голяма степен поради активното развитие на корпоративните системи за електронно управление на документи и използването на електронни подписи в тях като механизъм за гарантиране на целостта на информацията. На практика механизмите за криптографско преобразуване на информация се използват за осигуряване на първо място поверителността на информацията, съхранявана в бази данни или на работни станции, както и за защита на информацията в процеса на обмен на информация (по време на предаване). Всъщност, само като се използва криптографска трансформация, е възможно да се изградят напълно VPN мрежи (виртуална частна мрежа).
3. Моралните и етичните мерки са предназначени да предотвратят или поне да сведат до минимум разкриването на ограничена информация от потребителите на CIS.
Според различни проучвания броят на течовете на информация от служителите варира от 80 до 95%, докато по-голямата част - около 90% от течовете - не са свързани с умишлени действия.
Моралните и етичните мерки са неразривно свързани със сигурността на персонала и предвиждат наемане на квалифициран персонал, мерки за контрол, подробни длъжностни характеристики, обучение на персонала, строг контрол на достъпа и сигурност в случай на уволнение на служители. Според автора ключовото е обучението на персонала по правилата за информационна сигурност, което трябва да се извършва на редовни интервали. Така, по-специално, авторът ежегодно изготвя заповед, предвиждаща тримесечно обучение на служителите на организацията, в която работи.
Освен това, за предотвратяване на изтичане на информация от персонала чрез комуникационни канали (електронна поща, мигновени съобщения, социални мрежи), съществува цял клас системи за защита на информацията, наречени „DLP системи“ (Data Loss (Leak) Protection (Prevention), обикновено наричани "системи за предотвратяване на течове". Тези системи в момента са едни от най-популярните решения за контрол на персонала, използвани от ръководителите на службите за информационна и икономическа сигурност. Повечето системи от този клас, съществуващи на пазара, позволяват не само наблюдение и блокиране на електронни комуникационни канали , но и наблюдение на активността на потребителите, което дава възможност да се идентифицират служители, които използват работното си време неефективно: те закъсняват за работа и си тръгват по-рано, „седят“ в социалните мрежи, играят компютърни игри, работят за себе си.
Друга тенденция в темата за сигурността на персонала, която се появи само преди няколко месеца, са системите за наблюдение и откриване на необичайно поведение на потребителите – User and Entity Behavior Analytics (UEBA). Тези системи са предназначени да анализират поведението на потребителите и въз основа на това да идентифицират действителните заплахи за сигурността на персонала и информацията.
По този начин в по-голямата част от корпоративните информационни системи се обработват лични данни и търговски тайни и съответно всички те изискват защита. Почти винаги, особено в търговския сектор, въпросите за информационната сигурност влизат в противоречие с удобството на служителите и финансирането на тези дейности. Авторът разглежда минималния набор от мерки, насочени към защита на информацията във всяка ОНД. Този списък от мерки не изисква уникални познания и е достъпен за практическо приложение от почти всеки специалист в областта на информационните технологии. Освен това повечето от предложените мерки не изискват значителни финансови разходи.
___________________________________________
1 Обръщение на президента на Руската федерация до Федералното събрание на Руската федерация от 1 декември 2016 г.
Експертна колона
Периметър: има ли нещо друго за защита?
Алексей
Лукацки
Бизнес консултант по информационна сигурност
Ние сме доста консервативни в нашата област. Ние сме много зависими от властите, от подходи, от продукти и от термини и дефиниции, които не са се променили през годините. Периметърът за информационна сигурност е просто терминът, който, за съжаление, е толкова остарял, че е почти невъзможно да се използва. Освен това ние дори не знаем напълно какъв е периметърът за информационна сигурност. Някой възприема периметъра като точка на връзка с интернет, колкото и смешно да звучи в контекста на геометрията, в която периметърът все още е затворена линия. Някой възприема периметъра като линия, която очертава корпоративна или ведомствена мрежа. Някой възприема периметъра като набор от устройства, които имат достъп до интернет.
Но всяко от тези определения очевидно има своите плюсове и минуси и всички те са различни. Как да възприемем ситуацията дори с такава привидно проста опция като сегмент от индустриална мрежа, може би дори физически изолиран от външния свят, ако представител на изпълнител дойде там с лаптоп, свързан чрез 3G модем към интернет? Тук периметърът се появява или не се показва? Но какво, ако погледнем ситуацията, когато служител с мобилно устройство се свързва с външен облак, който съхранява поверителни фирмени данни, или работи приложение, което обработва тези данни? Има ли периметър тук или не? А ако служител от личното си устройство се свърже с инфраструктура на някой друг облачен доставчик, в която се съхранява информацията на компанията? Къде е периметърът в такава ситуация?
Е, да кажем, че нашите мобилни устройства принадлежат на компанията, а облаците принадлежат на доставчика. В същото време максимумът, който можем да знаем, е нашата част от облака, в която имаме нашите сървъри, нашите приложения, нашите данни. Но кой има достъп до тях отвън, от страна на облачния доставчик, от страната на другите му клиенти? В такава ситуация по принцип е невъзможно да се очертае периметърът. А това означава, че колкото и да искаме, ние сме принудени да променим нашите подходи към това, което наричахме защита на периметъра. Например в някои компании ръководството се придържа към правилото, че служител на компанията може да работи по всяко време от всяка точка на света, използвайки всяко устройство. В такава концепция, разбира се, не може да има периметър в общоприетия смисъл и това прави напълно различно защитата, не, не периметъра, а интернет връзката! Готови ли сте за нова реалност?
Дефиниции Информационната сигурност на организацията е състоянието на сигурност на информационната среда на организацията, което осигурява нейното формиране, използване и развитие. Защита на информацията - е дейност за предотвратяване на изтичане на защитена информация, неразрешени и непреднамерени въздействия върху защитена информация, тоест процес, насочен към постигане на това състояние. 2
Компоненти за информационна сигурност. конфиденциалност - достъпността на информация само за определен кръг от хора; интегритет (интегритет) - гаранция за съществуването на информацията в оригиналния й вид; наличност (наличност) - възможността за получаване на информация от оторизиран потребител в точното за него време. автентичност - възможността за установяване на автора на информацията; наименование - способността да се докаже, че авторът е декларираното лице, а никой друг. 3
Модели за контрол на достъпа за използване на поверителността, целостта и наличността: Задължителен контрол на достъпа Селективен контрол на достъпа Контрол на достъпа, базиран на роли 4
Задължителен контрол на достъпа. Задължителен контрол на достъпа, MAC - диференциране на достъпа на субекти до обекти, въз основа на присвояване на етикет за чувствителност за информация, съдържаща се в обекти, и издаване на официални разрешения (разрешение) на субектите за достъп до информация от това ниво на поверителност. Също понякога се превежда като принудителен контрол на достъпа. Това е комбинация от защита и ограничаване на правата, прилагани към компютърни процеси, данни и системни устройства и е предназначена да предотврати нежеланото им използване 5
Селективният контрол на достъпа (DAC) е контролът на достъпа на субекта до обекти въз основа на списъци за контрол на достъпа или матрица за достъп. За всяка двойка (субект - обект) трябва да се даде изрично и недвусмислено изброяване на разрешените типове достъп (четене, запис и т.н.), т.е. тези видове достъп, които са разрешени за даден субект (индивидуално или група от индивиди) към даден ресурс (обект) 7
8
Контрол на достъпа, базиран на роли (RBAC) - разработване на политика за селективен контрол на достъпа, докато правата за достъп на субектите на системата до обекти са групирани, като се вземат предвид спецификите на тяхното използване, формирайки роли, например администратор, 1 потребител и др. Формиране на роли Има за цел да дефинира ясни и разбираеми правила за контрол на достъпа за потребителите. 9
Осигуряване на сигурност по време на предаване. Реализация – шифроване – метод за преобразуване на информация, използван за съхраняване на важна информация в ненадеждни източници или прехвърлянето й по несигурни комуникационни канали. Включва 2 процеса, - процеса на криптиране и декриптиране. Методическа база - криптография. 10
Дефиниране на ключ Ключът е секретна информация, използвана от криптографски алгоритъм при криптиране/декриптиране на съобщения, установяване и проверка на цифров подпис и изчисляване на кодове за удостоверяване (MAC). Когато използвате същия алгоритъм, резултатът от криптирането зависи от ключа. За съвременните алгоритми на силна криптография загубата на ключ прави практически невъзможно декриптирането на информацията. Количеството информация в ключ обикновено се измерва в битове. За съвременните алгоритми за криптиране основната характеристика на криптографската сила е дължината на ключа. Криптирането с ключове от 128 бита или повече се счита за силно, тъй като са необходими години на мощни суперкомпютри, за да декриптират информация без ключ.
Методи за криптиране симетрично криптиране: неупълномощени лица може да знаят алгоритъма за криптиране, но малка част от секретната информация е неизвестна - ключът е един и същ за подателя и получателя на съобщението; асиметрично криптиране: трети страни може да знаят алгоритъма за криптиране и евентуално публичния ключ, но не и частния ключ, известен само на получателя. 12
Средства за гарантиране на автентичност: Подпис Цифров подпис Подпис – уникален набор от знаци, написани на ръка, използвайки определени дизайнерски техники, който служи за идентифициране на лице. Свойства на добър подпис Устойчив на фалшифициране. Повторяемост. Идентификация (подписът обикновено прилича на име, фамилия). Скорост на писане 13
Електронен цифров подпис (EDS) - атрибут на електронен документ, предназначен да защитава този електронен документ от фалшифициране, получен в резултат на криптографска трансформация на информация с помощта на частния ключ на електронния цифров подпис и позволяващ идентифициране на собственика на ключа за подпис удостоверение, както и да се установи липсата на изкривяване на информация в електронен документ, както и да се гарантира неотказът на подписващия. Тъй като подписаните документи са с променлива (и доста голяма) дължина, в схемите на EDS подписът често се поставя не върху самия документ, а върху неговия хеш. За изчисляване на хеша се използват криптографски хеш функции.Хеширането е трансформирането на масив от входни данни с произволна дължина в изходен битов низ с фиксирана дължина. Такива трансформации се наричат още хеш функции. Всички промени в документа водят до промени в хеша 14
Схемата за електронен подпис включва: алгоритъм за генериране на ключ; функция за изчисляване на подпис; функция за проверка на подписа. Функцията за изчисление, базирана на документа и секретния ключ на потребителя, изчислява самия подпис. Функцията за проверка на подписа проверява дали даденият подпис съвпада с дадения документ и публичния ключ на потребителя. Публичният ключ на потребителя е достъпен за всеки, така че всеки може да провери подписа на този документ 15
Цифров подпис осигурява доказателство за произхода на документ. В зависимост от детайлите на дефиницията на документа могат да бъдат подписани полета като “автор”, “извършени промени”, “времево клеймо” и др. Защита срещу промени в документа. Всяка промяна в документа (или подписа) случайно или умишлено ще промени хеша и следователно ще направи подписа невалиден. Невъзможността за отказ от авторство. Тъй като е възможно да се създаде правилен подпис само ако частният ключ е известен и той е известен само на собственика, собственикът не може да откаже своя подпис върху документа. шестнадесет
Средства за оторизация и удостоверяване: Паролата е тайна дума или набор от знаци, използвани за проверка на самоличността или пълномощията. Пробиването на парола е ресурсоемка задача, обикновено решавана чрез т. нар. метод на груба сила – тоест чрез просто изброяване.Ключът е секретна информация, известна на ограничен кръг от хора, обикновено използвана в криптиран вид. Биометрията е технология за идентифициране на личността, която използва физиологичните параметри на субекта (пръстови отпечатъци, ирис и др.). 17
Защитата на данните в компютърните мрежи се превръща в един от най-откритите проблеми в съвременните информационни и изчислителни системи. Към днешна дата са формулирани три основни принципа на информационната сигурност, чиято задача е да гарантират: - целостта на данните - защита срещу сривове, водещи до загуба на информация или нейното унищожаване; - конфиденциалност на информацията; - наличие на информация за оторизирани потребители.
Средства за защита - средства за физическа защита; - софтуер (антивирусни програми, системи за диференциране на правомощия, софтуер за контрол на достъпа); - мерки за административна защита (достъп до помещения, разработване на стратегии за сигурност на компанията и др.).
средства за физическа защита са системи за архивиране и дублиране на информация. В локални мрежи, където са инсталирани един или два сървъра, най-често системата се инсталира директно в свободни сървърни слотове. В големите корпоративни мрежи се дава предпочитание на специален специализиран сървър за архивиране, който автоматично архивира информация от твърдите дискове на сървъри и работни станции в определено време, зададено от мрежовия администратор, като издава отчет за архивирането. Най-често срещаните модели на архивирани сървъри са ARCserve на Intel за Windows Storage Express System.
За борба с компютърните вируси най-често се използват антивирусни програми, по-рядко - инструменти за хардуерна защита. Напоследък обаче се наблюдава тенденция към комбинация от софтуерни и хардуерни методи за защита. Сред хардуерните устройства се използват специални антивирусни платки, поставени в стандартни слотове за разширение на компютъра. Intel измисли обещаваща технология за защита срещу вируси в мрежите, чиято същност е да сканира компютърните системи още преди да се заредят. В допълнение към антивирусните програми, проблемът със защитата на информацията в компютърните мрежи се решава чрез въвеждане на контрол на достъпа и ограничаване на правомощията на потребителите. За това се използват вградени инструменти на мрежови операционни системи, най-големият производител на които е Novell Corporation.
За да се изключи неоторизирано проникване в компютърна мрежа, се използва комбиниран подход - парола + идентификация на потребителя чрез личен "ключ". "Ключ" е пластмасова карта (магнитна или с вградена микросхема - смарт карта) или различни устройства за идентифициране на човек по биометрична информация - по ириса, пръстови отпечатъци, размери на ръцете и др. Сървъри и мрежови работни станции, оборудвани със смарт карта четци и специален софтуер, значително повишават степента на защита срещу неоторизиран достъп. Интелигентните карти за контрол на достъпа ви позволяват да изпълнявате функции като контрол на достъпа, достъп до компютърни устройства, програми, файлове и команди.
Kerberos система, - база данни, която съдържа информация за всички мрежови ресурси, потребители, пароли, информационни ключове и др.; - сървър за авторизация (сървър за удостоверяване), чиято задача е да обработва потребителски заявки за предоставяне на определен вид мрежови услуги. При получаване на заявка той осъществява достъп до базата данни и определя правомощията на потребителя да извърши определена операция. Потребителските пароли не се предават по мрежата, като по този начин се повишава степента на информационна сигурност; - Сървърът за издаване на билети получава "пропуск" от сървъра за оторизация с името на потребителя и мрежовия адрес, времето на заявка и уникален "ключ". Пакетът, съдържащ "пропуска", също се предава в криптирана форма. Сървърът за издаване на разрешения след получаване и декриптиране на "пропуска" проверява заявката, сравнява "ключовете" и, ако са идентични, дава зелена светлина за използване на мрежово оборудване или програми.
Тъй като дейността на предприятията се разширява, броят на абонатите нараства и се появяват нови клонове, става необходимо да се организира достъп за отдалечени потребители (потребителски групи) до изчислителни или информационни ресурси до фирмените центрове. За организацията на отдалечен достъп най-често се използват кабелни линии и радиоканали. В тази връзка защитата на информацията, предавана по канали за отдалечен достъп, изисква специален подход. Мостовете и рутерите за отдалечен достъп използват сегментиране на пакети – тяхното разделяне и предаване паралелно по две линии – което прави невъзможно „прихващането“ на данни, когато „хакер“ се свърже незаконно с една от линиите. Процедурата на компресиране на предаваните пакети, използвани по време на предаването на данни, гарантира невъзможността за декриптиране на "прихванати" данни. Мостовете и рутерите за отдалечен достъп могат да бъдат програмирани по такъв начин, че не всички ресурси на фирмения център да могат да бъдат достъпни от отдалечени потребители
В момента са разработени специални устройства за контрол на достъпа до компютърни мрежи чрез комутируеми линии. Пример е модулът Remote Port Securiti Device (PRSD), разработен от AT&T, който се състои от две единици с размерите на конвенционален модем: RPSD Lock (lock), инсталиран в централния офис, и RPSD Key (ключ), свързан към отдалечения потребител. модем. RPSD Key and Lock ви позволяват да зададете няколко нива на защита и контрол на достъпа: - криптиране на данни, предавани по линията с помощта на генерирани цифрови ключове; - контрол на достъпа въз основа на деня от седмицата или часа от деня
Пряко свързана с темата за сигурността е стратегията за създаване на резервни копия и възстановяване на бази данни. Обикновено тези операции се извършват в неработно време в пакетен режим. В повечето СУБД архивирането и възстановяването на данни е разрешено само за потребители с широки права (права за достъп на ниво системен администратор или собственик на база данни), не е желателно да се посочват такива отговорни пароли директно във файловете за пакетна обработка. За да не се съхранява изрично паролата, се препоръчва да се напише проста приложна програма, която сама би извикала помощните програми за копиране/възстановяване. В този случай системната парола трябва да бъде "включена" в кода на посоченото приложение. Недостатъкът на този метод е, че всеки път, когато промените паролата, тази програма трябва да се компилира отново
Във всяко предприятие, независимо от неговия размер, вид собственост и направление на дейност, се използват едни и същи методи и методи за защита, които реализират модела на системата за защита. Блокът от методи за защита са препятствия, регулиране, контрол на достъпа, маскиране, подтикване и принуда.
Препятствия (физически метод), например, монтаж на огради около предприятия, ограничения за достъп до сгради и помещения, инсталиране на аларми, охрана. Мотивация – спазване от потребителите на етичните стандарти при обработката и използването на информация. Регулацията предполага наличието на инструкции и разпоредби за обработка на информация, докато забраната предполага наличието на правни норми, залегнали в нормативни документи и определящи правната отговорност в случай на тяхното нарушаване.
Изброените по-горе методи и методи на защита са комбинирани в четири подсистеми, които са инсталирани в информационните системи: Подсистема за контрол на достъпа Подсистема за регистрация и счетоводство Криптографска подсистема Подсистема за осигуряване на целостта
Подсистемата за контрол на достъпа защитава входа в информационната система с помощта на софтуер (пароли) и софтуер (електронни ключове, ключови дискети, биометрични устройства за разпознаване на потребители и др.).
Подсистемата за регистрация и счетоводство регистрира в специален електронен дневник потребители и програми, които са получили достъп до системата, файлове, програми или бази данни, времето на влизане и излизане от системата и други операции, извършвани от потребителите.
Криптографската подсистема е набор от специални програми, които криптират и декриптират информация. Наличието на криптографска подсистема е особено необходимо в информационните системи, използвани за електронен бизнес.
Подсистемата за осигуряване на целостта на информацията включва наличието на физическа защита на компютърното оборудване и медиите, наличието на инструменти за тестване на програми и данни, използването на сертифицирани инструменти за сигурност
Изпратете добрата си работа в базата от знания е лесно. Използвайте формуляра по-долу
Студенти, специализанти, млади учени, които използват базата от знания в своето обучение и работа, ще Ви бъдат много благодарни.
публикувано на http://www.allbest.ru/
- Въведение
- 1.3 Основни положения на системата за информационна сигурност
- 2.1 Обекти и субекти на защита
- 2.3 Съвременни технологии за информационна сигурност
- 2.4 Разумност на защитата на информацията
- Списък на регулаторните документи, регулиращи дейностите в областта на информационната сигурност:
- 3. Подобряване на мерките, насочени към повишаване на ефективността на мерките за защита на корпоративната информационна система Разстояния на електрозахранване
- 3.1 Недостатъци на организирането на защита на корпоративна мрежа
- 3.2 Организационни събития
- 3.3 Инженерни мерки
- Заключение
- Библиографски списък
Въведение
Съвременното развитие на световната икономика се характеризира с нарастваща зависимост на пазара от значително количество циркулираща в него информация.
В наше време обществото е изцяло зависимо от получаваните, обработвани и предавани данни. Поради тази причина самите данни придобиват висока стойност. И колкото по-висока е цената на полезна информация, толкова по-висока е нейната безопасност.
Актуалността на темата се дължи на действието на редица фактори, които са насочени към подобряване на защитата на корпоративната информационна система, с цел подобряване на икономическия механизъм на съвременните предприятия, работещи в условията на пазарна икономика и прилагането на съвременни технологични разработки. .
С оглед на гореизложеното, законодателните актове, както в Русия, така и в чужбина, предвиждат значителен брой норми, насочени към регулиране на създаването, използването, предаването и защитата на информация във всичките й форми.
Особено ценна е информацията, която съдържа лични данни, служебни тайни, търговски тайни, информация с ограничен достъп, банкови тайни, държавни тайни, вътрешна информация, поверителна информация и друга информация.
Проблемът за информационната сигурност е многостранен и сложен, изискващ необходимото съчетаване на приложими законодателни, организационни и софтуерни и хардуерни мерки.
Изтичането на всякаква информация може да повлияе на дейността на предприятието. Специална роля играе тази информация, загубата на кората може да доведе до големи промени в самото предприятие и материални загуби.
В ежедневния живот на човек сигурността на информацията за неговия живот зависи от самия него. Но съвсем различна е ситуацията, когато сме длъжни да предоставим данни за себе си в съответствие със закона на трето лице и конкретно на работодателя. В тази ситуация служителят предава поверителна информация за себе си за съхранение. Освен това работодателят носи отговорност за безопасността на данните. Той е длъжен да защитава информацията за служителя от посегателства на трети лица и да носи отговорност за разпространението на посочените данни.
Целта на настоящата работа е да се определят изискванията към системата за защита на корпоративната информационна система.
Работни задачи:
1. Идентифициране на проблемни проблеми на системата за защита на корпоративната информационна система на разстоянието за захранване.
2. Формулиране на списък със заплахи и изисквания към системата за защита на корпоративната информационна система на разстоянието за захранване.
3. Обосноваване на структурата на информационните рискове за корпоративната информационна система на разстоянието за захранване.
4. Избор и обосновка на методи и технически средства, насочени към подобряване на ефективността на защита на корпоративната информационна система от разстоянието на електрозахранване.
Обект на изследването е типична система за сигурност за корпоративната информационна система "интранет" на дистанцията за електрозахранване Москва - Смоленск на клона на Руските железници, която има собствени сгради и територия.
Предмет на изследването са методите и техническите средства за защита на корпоративната информационна система от разстоянието за захранване.
Практическата значимост и прилагането на получените резултати позволиха да се създадат мерки за организиране на защитата на корпоративна мрежа, адаптирана към специфични условия, като се вземат предвид спецификата на обекта и различните категории информация и потребители.
Авторите, изучаващи проблемите на A.V. Соколов (професор, ръководител на катедрата по информатика и софтуер на Московския институт по електронни технологии) и V.F. Шангин (професор, доктор на техническите науки) от 1978 г. до момента, обхващат актуални въпроси на информационната сигурност при използване на разпределени корпоративни системи и корпоративни мрежи, защита в интернет.
защита на информацията корпоративна мрежа
1. Теоретични основи на изграждането на корпоративна мрежа
1.1 Концепция, компоненти, функциониране на корпоративна мрежа
Корпоративната мрежа е сложна система, която включва много различни компоненти: компютри от различни типове, от настолни компютри до мейнфрейми, системен и приложен софтуер, мрежови адаптери, концентратори, комутатори и рутери и кабелна система. В тази статия ще бъде разгледана интранетът на Московско-Смоленска област. Разстояниязахранване на клона на АД "Руските железници". Това е обособено структурно подразделение на железницата, което е част от услугата електрификация и електроснабдяване. Осигурява непрекъснато и надеждно захранване на всички консуматори, както и осигурява надеждното функциониране на всички обекти и устройства, контактната мрежа в обслужваната зона.
Интранет функционалността обхваща много широк спектър - от работа със статични уеб страници, които заменят корпоративните печатни документи или предоставят нов начин за споделяне на информация, до сложни клиентски интерфейси за приложения на офис сървъри.
Технологиите, необходими за интранет и инструментите, които ги реализират, са широко разпространени. Те включват: TCP / IP протокол, NFS (мрежова файлова система), уеб браузър (системно търсене и браузър), уеб сървър, HTML редактор, електронна поща и други подобни. Достъпът до информация се основава на IP връзки.
Интранетът се състои от няколко компоненти:
1) мрежова инфраструктура,
2) сървъри,
3) документи,
4) браузъри,
5) приложения.
Интранетът е гръбнакът, осигуряващ необходимите връзки, които осигуряват достъп до информация за служителите на организацията. Интранетът използва мрежовия протокол TCP/IP за свързване и обмен на данни. TCP/IP ви позволява да наименувате уникално компютри в мрежа (тези имена се наричат IP адреси). Този протокол също така предоставя механизъм, чрез който компютрите могат да се намират и да се свързват. Интранетът използва друг протокол, HTTP (Hypertext Transfer Protocol). Използва се за предаване на текстове, изображения и хипервръзки (т.е. връзки към други електронни документи), насочващи към уеб страници. Можем да кажем, че TCP/IP е основният начин, по който компютрите комуникират в мрежа, а HTTP е вид горен слой, който им позволява да обменят информация.
Сървъри. Информацията най-често се намира на компютри, обикновено наричани уеб сървъри. Сървърът съхранява документи и изпълнява потребителски заявки за търсене и преглед на данни.
Документация. Съдържанието на интранет - тоест разглежданата информация - се съхранява в документи. По подразбиране те са във формат HTML (Hypertext Makeup Language), текстов формат, който се състои от действителния текст, тагове, които контролират форматирането, и хипервръзки, които сочат към други документи.
Браузъри. За работа в интранет и преглед на документи, съхранявани на сървъри, се използват приложения, наречени браузъри. Те изпълняват няколко функции:
търсене на информация и свързване към уеб сървър;
зареждане, форматиране и показване на HTML документи;
признаване и преминаване към съответните документи;
Приложения. Приложенията се пишат от разработчици за решаване на специфични проблеми на компанията.
В допълнение към различно мрежово оборудване, интранетът се състои от следните софтуерни компоненти:
1) софтуер за вътрешния уеб сървър на организацията, съдържащ информация за дейността на компанията (цени, заповеди за управление, документи за одобрение и обсъждане и др., и свързан със съществуващи бази данни ("Склад", "Счетоводство" и т.н.);
2) софтуерни инструменти за провеждане на конференции в рамките на организацията за обсъждане на предложения за подобряване на работата, доклади за различни събития и други подобни .;
3) Софтуер, който реализира работата на електронната поща.
В интранет може да има сегментис различна степен на сигурност:
свободно достъпни (различни сървъри);
с ограничен достъп;
затворен за достъп.
Корпоративната дистанционна мрежа за електрозахранване е целесъобразно да се разглежда като система, състояща се от няколко взаимодействащи си слоя. В основата на пирамидата, представляваща корпоративна мрежа, лежи слой от компютри - центрове за съхранение и обработка на информация и транспортна подсистема, която осигурява надеждно предаване на информационни пакети между компютрите.
Фигура 1. Йерархия на слоевете на корпоративната мрежа
Върху транспортната система работи слой от мрежови операционни системи, който организира работата на приложенията в компютрите и предоставя ресурсите на своя компютър за общо ползване чрез транспортната система.
В операционната система работят различни приложения, но поради специалната роля на системите за управление на бази данни, които съхраняват основна корпоративна информация в подредена форма и извършват основни операции за търсене върху нея, този клас системни приложения обикновено се разграничават в отделен слой на корпоративния мрежа.
На следващото ниво има системни услуги, които, използвайки СУБД като инструмент за търсене на необходимата информация сред милионите байтове, съхранявани на дискове, предоставят на крайните потребители тази информация във форма, удобна за вземане на решение, и също така изпълняват някои общи процедури за обработка на информация за предприятия от всякакъв тип. Тези услуги включват система за електронна поща, системи за работа в екип и много други.
Горното ниво на корпоративната мрежа представлява специални софтуерни системи, които изпълняват задачи, специфични за дадено предприятие или предприятия от този тип.
Крайната цел на корпоративната мрежа е въплътена в приложения от най-високо ниво, но за да работят успешно, е абсолютно необходимо подсистемите на другите слоеве да изпълняват ясно своите функции.
Основната задача на системните администратори е да гарантират, че тази тромава система се справя възможно най-добре с обработката на информационните потоци, циркулиращи между служителите на предприятието, и им позволява да вземат навременни и рационални решения, които осигуряват функционирането на предприятието.
Интранет на Москва-Смоленск Разстояниязахранването АД "Руските железници" е изолирано от външни потребители на Интернет и работи като автономна мрежа, която няма достъп отвън.
Фигура 2. Структура на локалната мрежа
1.2 Анализ на източниците на заплахи и информационни рискове
Всички информационни ресурси на компанията са постоянно изложени на обективни и субективни заплахи от загуба на носителя или стойността на информацията. Заплахата или опасността от загуба на информация се разбира като единична или комплексна, реална или потенциална, активна или пасивна проява на неблагоприятните възможности на външни или вътрешни източници на заплаха да създават критични ситуации, събития и да имат дестабилизиращ ефект върху защитената информация. , документи и бази данни. При ограничени информационни ресурси обхватът на заплахите, включващи загуба на информация (разкриване, изтичане) или загуба на медии, е много по-широк в резултат на повишения интерес към тези документи от различни видове нарушители. Основната заплаха за сигурността на ограничените информационни ресурси е неоторизиран (незаконен, неоторизиран) достъп от нападател или неупълномощено лице до документирана информация и в резултат на това придобиването на информация и нейното незаконно използване или други дестабилизиращи действия. Целите и резултатите от неоторизирания достъп могат да бъдат не само придобиването на ценна информация и използването им, но и тяхното модифициране, модифициране, унищожаване, фалшифициране, заместване и други подобни. Предпоставка за успешното реализиране на опит за неоторизиран достъп до информационни ресурси с ограничен достъп е интересът към тях от страна на конкуренти, определени лица, услуги и организации. Основният виновник за неоторизиран достъп до информационни ресурси по правило е персоналът, работещ с документи, информация и бази данни. Загубата на информация в повечето случаи се случва не в резултат на умишлени действия на нападател, а поради невнимание и безотговорност на персонала.
Следователно загубата на информационни ресурси с ограничен достъп може да възникне, когато:
§ наличието на интерес на конкурент, институции, фирми или лица към конкретна информация,
§ риск от заплаха, организирана от нападател или при случайни обстоятелства;
§ наличието на условия, които позволяват на нападателя да извърши необходимите действия и да получи информация.
Тези условия могат да включват:
© липса на системна аналитична и контролна работа за идентифициране и проучване на заплахи, канали и степента на риск от нарушения на сигурността на информационните ресурси;
© неефективна система за сигурност на информацията или липса на такава, което създава висока степен на уязвимост на информацията;
© непрофесионална технология за обработка и съхранение на поверителни документи;
© нарушен подбор на кадри и текучество на кадри, труден психологически климат в екипа;
© липса на система за обучение на служителите в правилата за защита на информацията с ограничен достъп;
© липса на контрол от страна на ръководството на дружеството за спазване от персонала на изискванията на нормативните документи за работа с информационни ресурси с ограничен достъп;
© неконтролирани посещения в помещенията на фирмата от неоторизирани лица.
Винаги трябва да се помни, че фактът на документиране драстично увеличава риска от информационна заплаха. Големите майстори от миналото никога не са записвали тайните на своето изкуство, а са ги предавали устно на сина си ученика. Следователно тайната на производството на много уникални предмети от онова време не е разкрита и до днес.
Съществуващи действия, извършвани с информация, която може да съдържа заплаха: събиране, модифициране, изтичане и унищожаване. Тези действия са основни за по-нататъшно разглеждане. Придържайки се към приетата класификация, ще разделим всички източници на заплахи на външни и вътрешни.
Вътрешни и външни заплахи
Вътрешен човек може да бъде лице от следните категории служители на сервизните отдели: обслужващ персонал (системни администратори, отговорни за експлоатацията и поддръжката на хардуера и софтуера); Програмисти, поддържащи системен и приложен софтуер; технически персонал (работници в помощни помещения, чистачи и др.); служители на отделите на предприятието, на които е предоставен достъп до помещенията, където се намира компютърно или телекомуникационно оборудване.
Източниците на вътрешни заплахи са:
Служителите на организацията
· софтуер;
хардуер.
Вътрешните заплахи могат да се проявят в следните форми:
грешки на потребители и системни администратори;
нарушаване от служители на дружеството на установените правила за обработка, предаване и унищожаване на информация;
софтуерни грешки;
заразяване на компютри с вируси или злонамерен софтуер;
повреди и повреди в работата на компютърната техника.
Външните нарушители включват лица, чийто престой в помещенията с оборудване без контрол от служителите на предприятието е невъзможен.
Външен нарушител прихваща и анализира електромагнитното излъчване от оборудването на информационната система.
Външните източници на заплахи включват:
организации и лица;
· Природни бедствия;
· Техногенни аварии;
Извършване на терористични актове.
Формите на проява на външни заплахи са: прихващане; анализ и модификация на информация; неоторизиран достъп до корпоративна информация; мониторинг на информация от конкурентни структури, разузнаване и специални служби; аварии, пожари, катастрофи, причинени от човека.
Всички видове заплахи, които изброихме (форми на проявление) могат да бъдат разделени на умишлени и неволни, лица, заинтересовани и незаинтересовани от възникването на заплаха.
Умишлените въздействия са целенасочени действия на нападател, причинени от любопитство; хакерска атака; наранена гордост на служителя, опит за извършване на терористични актове. Като нападател може да действа служител, посетител, конкурент, наемник, технически персонал (работни стопански постройки, чистачи и др.).
Причините за непреднамерени аварийни въздействия по време на експлоатация могат да бъдат: аварийни ситуации поради природни бедствия и прекъсвания на електрозахранването (природни и техногенни въздействия); повреди и повреди на оборудването; софтуерни грешки; грешки в работата на персонала; смущения в комуникационните линии поради влиянието на околната среда.
Според начините на въздействие върху обектите за информационна сигурност заплахите подлежат на следната класификация: информационни, софтуерни, физически, радиоелектронни и организационно-правни.
Информационните заплахи включват:
- неоторизиран достъп до информационни ресурси;
- незаконно копиране на данни в информационни системи;
- кражба на информация от библиотеки, архиви, банки и бази данни;
- нарушение на технологията за обработка на информация;
- незаконно събиране и използване на информация.
Софтуерните заплахи включват:
- използване на грешки и "дупки" в софтуера;
- компютърни вируси и зловреден софтуер;
- монтаж на "ипотечни" устройства.
Физическите заплахи включват:
- унищожаване или унищожаване на средствата за обработка на информация и комуникация;
- кражба на носители на информация;
- кражба на софтуерни или хардуерни ключове и средства за криптографска защита на данните;
- Въздействие върху персонала.
Електронните заплахи включват:
- въвеждане на електронни устройства за прихващане на информация в технически съоръжения и помещения;
- прихващане, декриптиране, заместване и унищожаване на информация в комуникационните канали.
Организационни и правни заплахи включват:
- закупуване на несъвършени или остарели информационни технологии и средства за информатизация;
- нарушаване на законовите изисквания и забавяне на вземането на необходимите законови и нормативни решения в информационната сфера.
След идентифициране на информация, представляваща търговска тайна и идентифициране на източниците, които притежават, притежават или съдържат тази информация, методите за неоторизиран достъп до тази информация се идентифицират чрез избор от горния набор от основни методи за неоторизиран достъп до източници на поверителна информация.
Могат да се разграничат следните възможни канали за изтичане на поверителна информация (Фигура 3):
неразрешено копиране на поверителна информация на външни носители и изнасянето й извън контролираната територия на предприятието. Примери за такива носители са флопи дискове, CD-ROM, Flash дискове и др.;
разпечатване на поверителна информация и изнасяне на печатни документи извън контролираната територия.
Трябва да се отбележи, че в този случай могат да се използват както локални принтери, които са директно свързани към компютъра на нападателя, така и отдалечени, които взаимодействат през мрежата;
неоторизирано предаване на поверителна информация през мрежата до външни сървъри, разположени извън контролираната територия на предприятието. Например, нападателят може да прехвърли чувствителна информация към външна интранет поща или файлови сървъри. В същото време, за да прикрие действията си, нарушителят може първо да криптира изпращаната информация или да я прехвърли под прикритието на стандартни графични файлове.
Информационните рискове, най-тясната дефиниция, са рисковете от загуба, неразрешена промяна на информация поради неуспехи във функционирането на информационните системи или техния отказ, водещ до загуби. Информационната сигурност е състоянието на сигурност на информационната среда. Защитата на информацията е дейност за предотвратяване на изтичане на защитена информация, неразрешени и непреднамерени въздействия върху защитена информация, тоест процес, насочен към постигане на това състояние.
Информационната сигурност на дистанционното предприятие за електрозахранване ще бъде осигурена, ако се осигурят минимални информационни рискове. Информация за използване в ежедневните дейности, липса на обективна информация (включително поверителна) от ръководството на предприятието, необходима за вземане на правилно решение, както и разпространение от някого във външната среда на информация, която е неизгодна или опасна за дейността на предприятието.
За решаването на този проблем, от гледна точка на систематичен подход, е препоръчително да се разработи и внедри в предприятието система за минимизиране на информационния риск, която представлява взаимосвързан набор от органи, средства, методи и мерки, които осигуряват минимизиране на рисковете. на изтичане и унищожаване на информация, необходима за функционирането на предприятието. Основните информационни рискове на всяко предприятие са:
рискът от изтичане и унищожаване на информация, необходима за функционирането на предприятието;
рискът от използване на пристрастна информация в дейността на предприятието;
рискът ръководството на дружеството да не разполага с необходимата (включително поверителна) информация, за да вземе правилното решение;
рискът от разпространение от някого във външната среда на информация, която е неизгодна или опасна за предприятието.
Основните задачи, решавани от системата за минимизиране на информационния риск са:
идентифициране на информацията, която трябва да бъде защитена;
идентифициране на източници, които притежават, притежават или съдържат тази информация;
идентифициране на начини за неоторизиран достъп до тази информация;
разработване и прилагане на организационни и технически мерки за защита на поверителна информация.
Информацията на предприятието за отдалечено електрозахранване може да бъде от следните четири нива на важност:
незначителна, тоест информация, чието изтичане или унищожаване не причинява щети на предприятието и не засяга процеса на неговото функциониране.
Рискът от изтичане и унищожаване на информация, необходима за функционирането на предприятието, води до следните последици:
поверителна информация, чието предаване или изтичане на неупълномощени лица ще причини щети на предприятието, неговия персонал;
Критична информация, чието отсъствие или повреда ще направи невъзможна ежедневната работа на персонала и на цялото предприятие като цяло.
Очевидно информацията от първите три нива на важност трябва да бъде защитена, а степента на защита в общия случай трябва да се определя от нивото на важност на информацията. Това се дължи главно на факта, че степента на защита е пряко свързана с цената на нейното изпълнение, поради което не е икономически изгодно в общия случай да се защитава информация със скъпи средства за защита, ако нейното изтичане или унищожаване води до незначително щета.
Информацията от първите три нива, като правило, се отнася до търговска тайна и се определя от ръководителя на предприятието в съответствие с Постановление на правителството на Руската федерация от 05 декември 1991 г. № 35 „За списъка на информация, която не може да представлява търговска тайна“.
Процедурата за идентифициране на информация, представляваща търговска тайна, идентифициране на източници, притежаващи, притежаващи или съдържащи тази информация, следва да бъде както следва.
Със заповед на предприятието ръководителите на отдели са задължени да извършват работа по определяне на конкретна информация, представляваща търговска тайна в техните области на работа, лицата, допуснати до тази информация, както и носителите на тази информация.
Резултатът от тази работа трябва да бъде одобрен от ръководителя на предприятието "Списък на информацията, съставляваща търговска тайна на предприятието" с посочване на такава информация за всяко от структурните подразделения; лица, които са носители на тази информация; документи, съдържащи тази информация, както и други (технически) носители на тази информация, ако има такива.
1.3 Основни положения на системата за информационна сигурност
Анализът на състоянието на нещата в областта на информацията показва, че вече е изградена добре оформена концепция и структура на защита, чиято основа е:
високоразвит арсенал от технически средства за защита на информация, произведена на индустриална основа;
значителен брой фирми, специализирани в решаването на проблеми със сигурността на информацията;
доста добре дефинирана система от възгледи по този проблем;
значителен практически опит.
И въпреки това, както свидетелства местната и чуждестранната преса, злонамерените действия с информация не само не намаляват, но и имат доста стабилна възходяща тенденция. Опитът показва, че за борба с тази тенденция е необходимо:
1. Добре организирана и целенасочена организация на процеса на защита на информационните ресурси. Освен това професионалните специалисти, администрацията, служителите и потребителите трябва да участват активно в това, което обуславя повишената важност на организационната страна на въпроса. Освен това гарантирането на сигурността на информацията не може да бъде еднократен акт. Това е непрекъснат процес, който се състои в обосноваване и прилагане на най-рационалните методи, начини и средства за усъвършенстване и развитие на системата за защита, непрекъснато наблюдение на състоянието й, идентифициране на нейните тесни места и слабости и неправомерни действия;
2. Информационната сигурност може да бъде осигурена само с интегрираното използване на целия арсенал от налични средства за защита във всички структурни елементи на производствената система и на всички етапи от технологичния цикъл на обработка на информацията. Най-голям ефект се постига, когато всички използвани средства, методи и мерки се комбинират в единен цялостен механизъм на системата за информационна сигурност (ИСС). В същото време функционирането на системата трябва да се следи, актуализира и допълва в зависимост от промените във външните и вътрешните условия.
Следователно е възможно системата за информационна сигурност да се представи като организационен набор от специални органи, средства, методи и мерки, които осигуряват защитата на информацията от вътрешни и външни заплахи.
Фигура 4. Модел за изграждане на корпоративна система за информационна сигурност
От гледна точка на системния подход към информационната сигурност се налагат определени изисквания. Информационната сигурност трябва да бъде:
1. Непрекъснато. Това изискване произтича от факта, че нападателите търсят само възможност да заобиколят защитата на информацията, която ги интересува.
2. Планирано. Планирането се извършва чрез разработване на подробни планове за информационна сигурност за всяка услуга в областта на нейната компетентност, като се отчита общата цел на предприятието (организацията).
3. Фокусиран. Защитава се това, което е защитено в интерес на конкретна цел, а не всичко подред.
4. Специфични. На защита подлежат конкретни данни, които обективно подлежат на защита, загубата на които може да причини определени щети на организацията.
5. Активен. Необходимо е информацията да се защитава с достатъчна степен на постоянство.
6. Надежден. Методите и формите на защита трябва надеждно да блокират възможните начини за непрекъснат достъп до защитени тайни, независимо от формата на тяхното представяне, езика на изразяване и вида на физическия носител, върху който са фиксирани.
7. Универсален. Смята се, че в зависимост от вида на канала за теч или метода на неоторизиран достъп, той трябва да бъде блокиран, където и да се появи, с разумни и достатъчни средства, независимо от естеството, формата и вида на информацията.
8. Изчерпателен. За да се защити информацията в цялото разнообразие от конструктивни елементи, всички видове и форми на защита трябва да се прилагат изцяло. Недопустимо е използването само на отделни форми или технически средства.
Сложният характер на защитата произтича от факта, че защитата е специфично явление, което представлява сложна система от неразривно взаимосвързани процеси, всеки от които от своя страна има много различни аспекти, свойства и тенденции, които взаимно се определят.
По този начин, за да се гарантира изпълнението на такива многостранни изисквания за сигурност, системата за информационна сигурност трябва да отговаря на определени условия:
обхващат целия технологичен комплекс от информационни дейности; да бъдат разнообразни по отношение на използваните средства,
многостепенна с йерархична последователност за достъп; да бъде отворен за промени и допълнения в мерките за информационна сигурност;
бъде нестандартен, разнообразен, при избора на средства за защита не може да се разчита на невежеството на натрапниците относно неговите възможности;
да бъде лесен за поддръжка и удобен за работа от потребителите;
бъдете надеждни, всякакви повреди на технически средства причиняват появата на неконтролирани канали за изтичане на информация;
да бъде сложен, да има цялост, което означава, че никоя част от него не може да бъде премахната без увреждане на цялата система.
Има определени изисквания към системата за информационна сигурност:
яснота на дефинирането на правомощията и правата на потребителя за достъп до определена информация;
предоставяне на потребителя на минималните правомощия, необходими за извършване на възложената работа;
минимизиране на броя на защитите, общи за няколко потребители;
регистриране на случаи и опити за неоторизиран достъп до поверителна информация;
предоставяне на оценка на степента на поверителност на информацията;
осигуряване на контрол върху целостта на защитните средства и незабавна реакция при тяхната повреда.
Системата за информационна сигурност, като всяка система, трябва да има определени видове собствена поддръжка, въз основа на която ще изпълнява предназначената си функция. Имайки това предвид, системата за информационна сигурност може да има:
1. Правна подкрепа. Това включва нормативни документи, правилници, инструкции, насоки, чиито изисквания са задължителни в нормите на техния обхват.
2. Организационна подкрепа. Това означава, че осъществяването на защита на информацията се осъществява от определени структурни звена – например службата за защита на документи; режимна, приемно-охранителна служба; услуга за информационна сигурност чрез технически средства; обслужване на информационни и аналитични дейности и други.
3. Хардуер. Предполага се, че техническите средства ще се използват широко както за защита на информацията, така и за осигуряване на функционирането на системата за информационна сигурност.
4. Информационна поддръжка. Той включва информация, данни, индикатори, параметри, които са в основата на решаването на проблеми, които осигуряват функционирането на системата. Това може да включва както показатели за достъп, счетоводство, съхранение, така и системи за информационна поддръжка за различни задачи за сетълмент, свързани с дейностите на услугата за информационна поддръжка.
5. Софтуер. Включва различни информационни, счетоводни, статистически и сетълмент програми, които дават оценка за наличието и опасността от различни канали за изтичане и начини за неоторизиран достъп до източници на поверителна информация;
6. Математическа подкрепа. Тя включва използването на математически методи за различни изчисления, свързани с оценката на опасността от технически средства от нарушители, зони и норми на необходимата защита.
7. Езикова подкрепа. Набор от специални езикови средства за комуникация между специалисти и потребители в областта на информационната сигурност.
8. Нормативно-методическа подкрепа. Това включва нормите и наредбите за дейността на органи, служби, инструменти, които изпълняват функциите по информационна сигурност, различни видове методи, които осигуряват дейността на потребителите при извършване на тяхната работа при строги изисквания за информационна сигурност.
Само системата за сигурност може да удовлетвори съвременните изисквания за осигуряване на дейността на предприятието и защита на неговата поверителна информация. Под системата за сигурност ще разбираме организационния набор от специални органи, служби, средства, методи и мерки, които осигуряват защитата на жизнените интереси на личността, предприятието и държавата от вътрешни и външни заплахи.
Както всяка система, системата за информационна сигурност има свои цели, задачи, методи и средства на дейност, които са координирани по място и във времето в зависимост от условията.
Разбирайки информационната сигурност като "състояние на защита на информационната среда на обществото, осигуряващо нейното формиране, използване и развитие в интерес на гражданите, организациите", е легитимно да се определят заплахите за информационната сигурност, източниците на тези заплахи, методите. на тяхното изпълнение и цели, както и други условия и действия, които нарушават сигурността. В същото време, разбира се, трябва да се обмислят и мерки за защита на информацията от незаконни действия, които водят до увреждане.
Практиката показва, че за да се анализира такъв значителен набор от източници, обекти и действия, е препоръчително да се използват методи за моделиране, които образуват сякаш "заместител" на реални ситуации. Трябва да се има предвид, че моделът не копира оригинала, той е по-прост. Моделът трябва да е достатъчно общ, за да опише реалните действия, като се вземе предвид тяхната сложност.
заключения: Както се вижда от чуждестранния и вътрешния опит, въпреки нарастващото въвеждане на нови информационни технологии в практиката на предприятията, основният източник на изтичане на информация са служителите на тези предприятия.
Следователно във връзка с такава ситуация е необходимо да се разбере, че е практически невъзможно да се създадат условия в предприятието, които напълно изключват неоторизиран достъп до този източник на информация с ограничен достъп, възможно е само значително да се намали ролята му наред с други източници на изтичане на поверителна информация.
Следователно заплахите за ограничена информация винаги са реални, много разнообразни и създават предпоставки за загуба на информация.
Според Института за компютърна сигурност (CSI) и ФБР над 50% от проникванията са дело на собствените служители на компанията. По отношение на честотата на нахлувания, 21% от анкетираните посочват, че са имали повторения на „атаки“. Неоторизираната промяна на данните беше най-честата форма на атака и се използваше главно срещу медицински и финансови институции. Над 50% от анкетираните виждат конкурентите като вероятен източник на „атаки“. Най-голямо значение респондентите отдават на фактите за подслушване, проникване в информационни системи и „атаки”, при които „натрапниците” фалшифицират обратния адрес, за да пренасочат търсенията към неучастни лица. Тези извършители най-често са обидени служители и конкуренти.
Анализът на информационните рискове показва, че те са свързани с поверителна информация.
Някои от причините, които са слабо взети предвид, например лична враждебност към ръководителя на предприятието, влошаване на търговските отношения между предприятията, могат да доведат до появата в медиите на нерентабилна, а в някои случаи и опасна информация за предприятие. Следователно, за да се елиминира или поне да се намали рискът от разпространение на тази информация от конкурентни предприятия, е необходимо проактивно да се разпространява истинска информация, а в някои случаи и дезинформация.
Въпреки разработването на темата, винаги има много въпроси в процеса на усъвършенстване на системата за управление на информационния риск. Целта на изграждането на процес за анализ на риска е не само да се идентифицират, да се оценят последствията от евентуалното им прилагане, да се осигури тяхната обработка и впоследствие системно да се провежда по-нататъшен ефективен мониторинг. Но и при осигуряване на стандартизиране на подхода към рисковете във всички аспекти на дейността на компанията, удобно и бързо получаване на пълна картина на ситуацията с информационните рискове в компанията през всеки период от нейната дейност. А също и в повишаване на конкурентната привлекателност на компанията поради бърз и адекватен отговор на всички нововъзникващи заплахи, в повишаване на доверието в самата компания между бизнеса и сигурността.
2. Организация на защита на корпоративната информационна система Разстояния на захранване на базата на стандартни решения
2.1 Обекти и обекти на защита
За Разстоянието на захранването ресурсите, важни за живота и следователно защитени, са:
1) хора (персонал на предприятието);
2) имущество: документация, материални и финансови ценности, образци на готови продукти, интелектуална собственост (ноу-хау), компютърна техника и др.;
3) Информация: на физически носител, както и циркулираща във вътрешните комуникационни канали за комуникация и информация, в офисите на ръководството на предприятието, на срещи и срещи;
4) Финансови и икономически ресурси, които осигуряват ефективно и устойчиво развитие на предприятието (търговски интереси, бизнес планове, договорни документи и задължения и др.).
Ценности, подлежащи на защита, като информация с ограничен достъп, банкова тайна, лични данни, служебни тайни, търговски тайни, държавни тайни, вътрешна информация и друга информация, по отношение на която е установен задължителен режим на поверителност и отговорност за нейното разкриване.
Същата стойност имат и данните, които се създават или използват в корпоративната информационна мрежа, като научна, техническа и технологична информация, свързана с дейността на предприятието.
Пълен списък на информацията, представляваща търговска тайна, се установява от ръководителите на службите за защита на информацията в допълнение към съответните наредби.
Категориите „Поверителни“ включват информация, която отговаря на следните критерии:
те не са общоизвестни или законно достъпни за обществеността;
монополното притежание на тази информация дава на организацията търговски предимства, икономически и други ползи, чието разкриване или открито използване може да доведе до щети (материални, морални, физически) на организацията, нейните клиенти или кореспонденти (търговска тайна).
банково делотайнасе отнася до информация за транзакции, сметки и депозити, банкови данни, както и информация за клиенти и кореспонденти на Банката, подлежащи на задължителна защита.
Обслужванетайнасе отнася до информация, достъпът до която е ограничен от държавните органи и федералните закони, и се отнася до информация, която не е банкова тайна и подлежи на задължителна защита според списъка с ограничена информация.
Търговскитайнаорганизация се отнася до информация, свързана с научна, техническа, технологична, индустриална, финансова и икономическа или друга информация, която има действителна или потенциална търговска стойност поради неизвестност на трети страни, до която няма свободен достъп на правно основание и по отношение на при което собственикът на такава информация е влязъл в режим на търговска тайна. Разкриването (прехвърляне, изтичане, отворена употреба) може да причини щети на организацията, държавата, нейните клиенти или кореспонденти, контрагенти на Руските железници.
Личниданниотнася се до информация за фактите, събитията и обстоятелствата от личния живот на гражданите, позволяваща да се идентифицира тяхната личност.
състояниетайна- съгласно определението, прието в руското законодателство, защитена от държавата информация в областта на нейната военна, външна политика, икономическа, разузнавателна, контраразузнавателна, оперативно-издирвателна и други дейности, чието разпространение може да навреди на сигурността на държавата.
вътрешен човекинформация- (англ. Insider information) - значима публично неразкрита вътрешна информация на дружеството, която, ако бъде разкрита, може да повлияе на пазарната стойност на ценните книжа на дружеството. Те включват: информация за предстояща смяна на ръководството и нова стратегия, подготовка за нов продукт и нова технология, успешни преговори за сливане или текущо изкупуване на контролен пакет акции; финансови отчети, прогнози, посочващи затрудненията на дружеството; информация за търговото предложение (на търга) преди публичното му разгласяване и др.
Информацияограничендостъппредставлява ценна за собственика информация, достъпът до която е законово ограничен. От своя страна информацията с ограничен достъп се разделя на информация, представляваща държавна тайна, и информация, чиято поверителност е установена от федералния закон (поверителна информация).
Правниисправкаинформация, бизнес кореспонденция, трансфер на отчетна счетоводна информация между потребителски работни станции и сървър на база данни в рамките на автоматизирани SAP R/3 системи за финансово-икономически и технически отдел.
На корпоративната информация може да се присвоят следните четири нива на важност:
жизненоважна, тоест информация, чието изтичане или унищожаване застрашава самото съществуване на предприятието;
важна, т.е. информация, чието изтичане или унищожаване води до високи разходи;
полезна, тоест информация, чието изтичане или унищожаване причинява известна вреда, но след това предприятието може да функционира доста ефективно;
незначителна, тоест информация, чието изтичане или унищожаване не причинява щети на предприятието и не засяга процеса на неговото функциониране.
2.2 Организационни мерки в системата за информационна сигурност
Организационните и правни документи и методи регламентират целия технологичен цикъл на работа на Руските железници, от методологията за подбор на персонал и наемането им, например на договорна основа, до разпоредби за функционалните задължения на всеки служител. Всяка инструкция или разпоредба на инсталацията трябва пряко или косвено да отчита въпросите на безопасността и да влияе върху работоспособността и ефективността на системата за защита.
Документите от различни видове са важен източник на изтичане на поверителна информация. Тук е необходимо да се има предвид, че доста бързото развитие на информационните технологии доведе до появата на нови видове документни носители на информация: компютърни разпечатки, информационни носители и други подобни. В същото време значението на традиционните типове документи на хартиен носител в търговските дейности, като договори, писма и аналитични прегледи, остава практически непроменено.
Появата на нови носители на документална информация доведе не само до появата на нови трудности при решаването на проблема за осигуряване на защитата на информацията от неоторизиран достъп до нейното съдържание, но и до нови възможности за гарантиране на гарантирана защита на тази информация. Това е преди всичко за съхраняване на особено важна документална информация на носители във форма, преобразувана с помощта на криптографски трансформации.
Като част от тези мерки са разработени и внедрени организационни и административни документи на Дистанция за захранване, които определят списък с поверителни информационни ресурси, както и списък на онези мерки, които трябва да бъдат приложени за противодействие.
Организационни документи са политика за информационна сигурност, длъжностни характеристики на служителите на фирмата, правилник за работа на персонален компютър.
За тази цел АД "Руски железници" реши следните организационни задачи:
Правната рамка за осигуряване на защитата на информацията е създадена чрез прилагане на:
- внасяне на допълнения в устава на предприятието, даващи право на управлението на предприятието: издаване на нормативни и административни документи, уреждащи реда за определяне на информация, представляваща търговска тайна, и механизмите за нейната защита;
- допълване на "Колективен трудов договор" с разпоредби, които определят задълженията на администрацията и служителите на предприятието, свързани с разработването и прилагането на мерки за определяне и опазване на търговската тайна;
- допълнения към "Трудов договор" с изисквания за опазване на търговската тайна и вътрешни разпоредби, включително изисквания за опазване на търговската тайна;
- инструктаж на наети лица относно правилата за съхраняване на търговска тайна с изпълнение на писмено задължение за неразгласяване.
- привличане на нарушители на изискванията за опазване на търговската тайна към административна или наказателна отговорност съгласно действащото законодателство.
- включва изисквания за опазване на търговската тайна в договорите за всички видове стопанска дейност;
- изискват защита на интересите на предприятието пред държавни и съдебни органи;
- да се разпорежда с информация, която е собственост на предприятието, с цел извличане на ползи и предотвратяване на икономически щети на предприятието;
- обучение на служителите относно правилата за защита на информацията с ограничен достъп;
- внимателен подбор на служители за работа в системата за офис работа;
- създаване на благоприятни вътрешни условия в предприятието за опазване на търговската тайна;
- идентифицира и стабилизира текучеството на персонала, трудния психологически климат в екипа;
- осигуряване на оценка на степента на поверителност на информацията;
- отстраняване от работа, свързана с търговска тайна, на лица, нарушаващи установените изисквания за нейната защита;
- предоставяне на всеки служител на предприятието "Списък с информация, съставляваща търговска тайна на предприятието";
- осигуряване на надеждно съхранение на документите и своевременното им унищожаване, както и проверка на наличността на документи и наблюдение на навременността и коректността на тяхното изпълнение;
- проектите и вариантите на документи се унищожават лично от изпълнителя, който е лично отговорен за унищожаването им. Унищожаването се извършва на стандартни машини за рязане на хартия или по други начини, които изключват възможността за четене.
- съхраняване на поверителна информация на носител и в паметта на персонален компютър в преобразувана форма с помощта на криптографски трансформации.
Следователно, за да се изключи неоторизиран достъп до този източник на информация, се използват както традиционни, така и нетрадиционни методи, а именно:
· осъществяване на охраната на територията, помещенията и офисите, както и ефективен входен контрол при достъпа до тях;
Внедряване на ясна организация на системата на деловодството.
Информацията, представляваща търговска тайна, включва:
- информация за финансово-стопански дейности;
- информация за оперативни и производствени дейности;
- информация за управленските дейности;
- информация за дейността на персонала;
- информация за контролно-одитната дейност;
- информация за сигнализация и комуникации, електрификация, енергетика;
- информация за договорна работа;
- информация за резултатите от собствени изследвания;
- информация за медицински дейности;
- Информация за защита на информацията и обектите на руските железници.
Уверете се, че компютрите и телекомуникационните ресурси на организацията се използват по предназначение от нейните служители, независими изпълнители. Всички потребители на компютър носят отговорност да използват компютърните ресурси по ефективен, етичен и законосъобразен начин. Нарушенията на политиката за корпоративна сигурност ще доведат до дисциплинарни действия, до и включително прекратяване на трудовото правоотношение и/или наказателно преследване.
Политиката за сигурност не е обичайните правила, които всеки разбира така или иначе. Представен е под формата на сериозен печатен документ. И за да напомня постоянно на потребителите за важността на сигурността, всеки служител има копие от този документ, така че тези правила винаги да са пред очите им на работния плот.
Политика за корпоративна сигурност
· Свободният достъп до информация, представляваща банкова, търговска и служебна тайна на Банката, е затворен с цел защита на поверителната информация и физическата защита на нейните носители.
· Организацията като собственик (притежател) на информация предприема мерки за опазване на банковата тайна, личните данни, бизнес тайните, нейните търговски тайни и друга информация в съответствие с правата и задълженията, предоставени й от действащото законодателство.
Подобни документи
Анализ на системата за управление на търговията и персонала на компанията, счетоводството, нивото на сигурност на корпоративната информационна система на лични данни. Разработване на подсистема от технически мерки за защита на ISPD на маршрутизиране, комутиране и защитна стена.
курсова работа, добавена на 08.07.2014
Анализ на обекта на информатизация. Политика за информационна сигурност. Подсистеми за защита на техническата информация: контрол на достъпа, видеонаблюдение, охранителна и пожарна аларми, защита от изтичане по технически канали, защита на корпоративната мрежа.
презентация, добавена на 30.01.2012
Анализ на модела на информационната и телекомуникационна система на предприятието. Видове заплахи за информационната сигурност. Цели и задачи на информационната сигурност в предприятието. Разработване на процедури за контрол на системата за управление на информационната сигурност в корпоративната мрежа.
дисертация, добавена на 30.06.2011г
Анализ на сигурността на корпоративни мрежи на база АТМ, архитектура на обекти за защита в технологиите. Модел за изграждане на корпоративна система за информационна сигурност. Методология за оценка на икономическата ефективност от използването на системата. Методи за намаляване на риска от загуба на данни.
дисертация, добавена на 29.06.2012г
Аналитичен преглед на корпоративната мрежа. Анализ на съществуващата мрежа, информационните потоци. Изисквания към системата за администриране и етикетиране на LAN елементи. Разработване на защита на системата срещу неоторизиран достъп. Инструкции за системния администратор.
дисертация, добавена на 19.01.2017г
Концепцията за антивирусна защита на информационната инфраструктура, видове възможни заплахи. Характеристики на софтуера, използван в PJSC "ROSBANK". Средства за защита на информационните ресурси на банката срещу заплахи за нарушаване на целостта или поверителността.
курсова работа, добавена на 24.04.2017
Развитие на високоскоростна корпоративна информационна мрежа, базирана на Ethernet линии със сегмент за мобилна търговия за предприятието Monarch LLC. Мерки за монтаж и експлоатация на оборудване. Изчисляване на технико-икономическите показатели на проекта.
курсова работа, добавена на 11.10.2011
Структурата на корпоративната информационна система на организацията. Развитие на адресното пространство и DNS система. Структура на CIS домейн. Избор на хардуерна и софтуерна конфигурация на работни станции и сървърен хардуер. Конфигуриране на типични услуги.
курсова работа, добавена на 29.07.2013
Физическата среда за предаване на данни в локални мрежи. Корпоративна информационна мрежа. Телекомуникационно оборудване и компютри на предприятието. Развитие на корпоративна информационна мрежа на базата на анализ на съвременните информационни технологии.
дисертация, добавена на 07.06.2015г
Актуалността на въпросите за информационната сигурност. Софтуер и хардуер на мрежата на LLC "Минерал". Изграждане на модел на корпоративна сигурност и защита от неоторизиран достъп. Технически решения за защита на информационната система.
