2. ПРОЕКТИРОВАНИЕ И РАЗРАБОТКА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАО «КУКУШКИНД & Co.»
2.1 Проведение аудита существующей системы информационной безопасности ЗАО «Кукушкинд & Co.»
Предлагается проводить аудит ИБ в соответствии со следующей методикой:
- описание объекта исследования;
- формирование модели нарушителя;
- формирования модели угроз;
- оценка значимых угроз;
- прогнозирование и оценка инцидентов;
- формирование требований по совершенствованию или созданию системы защиты информации.
Описание объекта исследования проводится с использованием стандарта В81 «Руководство по защите информационных технологий для базового уровня защищенности». На этапе описания определяется категория информации ограниченного доступа, тип объекта исследования, структура объекта исследования и т.д. Необходимо провести анализ инфраструктуры организации ЗАО «Кукушкинд & Со». Рассмотреть меры по обеспечению конфиденциальности информации. Описать программный и прграмно- технический уровень защиты. Определить класс защиты инфраструктуры ЗАО «Кукушкинд & Cо».
В результате проведения аудита существующей системы информационной безопасности ЗАО «Кукушкинд & Co.» получим данные для построения модели угроз и определения рисков возникновения инцидентов нарушения целостности экономической информации инфраструктуры ЗАО «Кукушкинд & Co.», определения области применения системы информационной безопасности и разработки системы информационной безопасности ЗАО «Кукушкинд & Co.».
ЗАО «Кукушкинд & Co.» занимается производством бурового инструмента для нефтегазодобывающей промышленности. Есть собственные, закрытые, технологии производства, представляющие коммерческую ценность. Существует защита информации, но при детальном анализе было выявлено, что она недостаточна и требует повышения эффективности. Проведем аудит существующей системы информационной безопасности ЗАО «Кукушкинд & Со» с целью выявить недостатки и разработать меры по для повышения ее эффективности.
Сеть предприятия распределена на три подразделения:
1. Завод в Московской области:
руководство, менеджмент, бухгалтерия
клиенты: Windows7
шлюз: Windows XP + PfSense
2. Лаборатория в Подмосковье:
Инженеры, всего три рабочих станции под Windows XP,
все документы пересылаются по email, внешние провайдеры (yandex, rambler).
3. Московский офис:
менеджеры, бухгалтеры
клиенты: Windows7
шлюз: Windows XP + PfSense
серверы: Windows 2003 std, поднят локальный домен.
На сервер 1с-msk ходят по RDP (только бухгалтеры), на FileServer ходят все по SMB.
На заводе 10 рабочих станций, в московском офисе 15.
Стандартов на ПО нет, политик безопасности нет, политик паролей нет.
Пароли пользователей = функция от логина, т.е. все пользователи, теоретически, знают все пароли.
Все пользователи на своих рабочих станциях локальные администраторы, присутствует пиратский софт, антивирусы только на нескольких машинах, бесплатные или пиратские, поставленные самими пользователями.
Разграничения прав доступа к файлам на FileSever существует, но она несовершенна ввиду того что пароли всем известны. На деле выходит, что все имеют доступ ко всему на чтение и запись.
Пароли доступа в 1с = функции от логинов, т.е. все бухгалтеры знают пароли друг друга.
Для корпоративной переписки используются частные аккаунты на внешних хостингах(mail.ru, yandex, rambler), внутрекорпоративной почтовой системы нет.
Никакого контроля над "внутренней" информацией не осуществляется вообще.
Шифрование не применяется (кроме VPN).
По VPN пользователи ходят на свои рабочие станции из дома в нерабочее время.
Логирования пользовательских действий нет нигде никакого.
Анализ инфраструктуры организации ЗАО «Кукушкинд & Со»
Внутреннее информационное поле ЗАО «Кукушкинд & Co.» объединяет следующую информацию:
- первичные документы фирмы;
- данные внутреннего документооборота (бумажного и электронного), включая приказы и распоряжения руководителя;
- данные бухгалтерского учета и другой обязательной отчетности за текущий и прошлые периоды;
1. Информационный поток, обслуживающий движение материального потока. Материальный поток двигается от первичного источника через цепь производственных, транспортных и посреднических звеньев ЗАО «Кукушкинд & Co.» к конечному потребителю. Сопровождается такими документами: договорами, счетами, счет-фактурами, накладными, доверенностями, актами и т.д.
2. Информационный поток ЗАО «Кукушкинд & Co.», обслуживающий процесс управления. Этот поток обслуживает основные функции управления фирмой: прогнозирование, планирование, организацию, регулирование, координацию, контроль, принятие решений и т.д. Предоставление таких данных в информационную систему - это основная функция бухгалтерского (финансового и управленческого) учета.
Основные информационные потоки предприятия. Можно разделить на следующие блоки [22]:
1. Планирование и бюджетирование (план-прогноз продаж; финансовое планирование: синхронное планирование и оптимизация).
2. Управление сбытом (управление взаимоотношениями с клиентами; ведение реестра договоров на поставку продукции; формирование приказов на отгрузку продукции; учет расчетов с покупателями, учет лицевых счетов; электронная коммерция; печать приказов и страховых квитанций).
3. Управление персоналом (нормирование трудозатрат, штатное расписание и кадровый учет; табельный учет; подготовка отчетности для ПФР).
4. Бухгалтерский учет (главная книга и баланс; учет основных средств и капвложений: подготовка документации по поступлению, выбытию и перемещению основных средств, расчет амортизационных отчислений, формирование возрастной структуры оборудования; финансовые средства и расчеты: расчет заработной платы, учет кредитов сотрудникам; прочие бухгалтерские операции; подготовка отчетности для ГНИ).
5. Управление финансами и экономический анализ хозяйственной деятельности (калькуляция плановой и фактической себестоимости продукции; формирование и анализ производственной себестоимости продукции по статьям затрат; сравнительный анализ плановой и фактической себестоимости; формирование бюджетов и контроль их исполнения; анализ рентабельности).
6. Маркетинг (прогнозирование состояния рынка сбыта готовой продукции; планирование рекламных компаний; прогноз изменения рынков сырья и основных материалов).
7. Подсистема электронного документооборота (контроль исполнения поручений; реестр служебных записок; управление нормативно-технической документацией; договора на поставку продукции, на снабжение).
8. Служебное администрирование и управление политикой безопасности (управление доступом: настройка полномочий пользователей, организация пользовательских групп, ограничение доступа к данным; поддержание логической и физической целостности данных системы; операционный мониторинг действий пользователей.
Организационная инфраструктура фирмы ЗАО «Кукушкинд & Co.» приведена на рисунке 1.
Директор(1)
Главный
Бухгалтер (1)
Бухгалтер
(1)
Экономист
(1)
Зам. директора по кадрам (1)
Юрист
(1)
Менеджер
по снабжению (1)
Старший менеджер
(1)
Заместитель директора (1)
Товароведы (2)
Кладовщики
(2)
Отдел
снабжения (3)
Финансовый отдел
(3)
Отдел
продаж
(7)
Продавцы
(4)
Маркетолог
(1)
Отдел
ИТ
(2)
Рисунок 1. Организационная инфраструктура предприятия
Все компьютеры инфраструктуры объединены в единую корпоративную сеть ЗАО «Кукушкинд & Co.».
В системе безопасности существуют следующие средства защиты информации: физические, аппаратные, программные, криптографические и комбинированные методы (способы) и средства защиты информации.
Детально рассмотрим цель защиты информации в фирме и два наиболее важных уровня защиты - программный и технический уровни защиты.
Обеспечение конфиденциальности информации как основная цель защиты.
Чтобы обеспечить защиты конфиденциальности информации в первую очередь необходимо классифицировать отделы фирмы ЗАО «Кукушкинд & Co.» по степени важности хранящихся и используемых в работе данных.
Категории информации:
1. служебная тайна;
2. персональные данные;
3. коммерческая тайна;
4. открытые регламентные ресурсы.
ЗАО «Кукушкинд & Со» является коммерческой структурой, следовательно, служебная тайна и персональные данные должны быть надежно защищены. Исходя из категории, к отделам будут применяться определенные степени защиты [18]:
· возможность пользоваться внешними носителями;
· интернет (с возможностью выхода на посторонние сайты или полный запрет;
· доступ к файл-серверу;
· доступ к 1С предприятию;
· возможность пользования другими почтовыми ящиками;
· возможность внесения изменений данных документации (по согласованию с директором фирмы).
Каждый сотрудник имеет свой почтовый ящик. Доступ к социальным сетям в фирме должен быть полностью закрыт. Целостность и доступность информации осуществляется путем координации руководителем деятельности сотрудников. Определение прав доступа и разрешений на внесения изменений данных документаций.
ЗАО «Кукушкинд & Со» имеет файловый сервер, через который проходит основной поток документов и файлов. Также имеются справочные и бухгалтерские системы 1С. Все сетевые ресурсы обладают строго ограниченным доступом. Пользователи обладают возможностью получить доступ к какому-либо ресурсу только после согласования с руководителем отдела или системным администратором, после чего осуществляется доступ к данным ресурсам.
В ЗАО «Кукушкинд & Со» используются сетевые базы данных, такие как 1С. Доступ к ним имеют многие сотрудники не только те, которые непосредственно работают с ними. А также используются локальные сетевые ресурсы, которые хранятся на файл-сервере, там же хранятся документы, которые могут потребоваться многим сотрудникам.
Сбор информации происходит через сервер, хранение осуществляется на нем же, обмен информацией между базами данных осуществляется с помощью программного обеспечения, резервное копирование данных осуществляется на специально выделенный жесткий диск
Программный уровень защиты
Обзор сертифицированного программного обеспечения в фирме ЗАО «Кукушкинд & Со» представлен операционной системой Microsоft Windоws 7.
Micrоsoft Windоws 7 - представляет собой версию Windоws 7, направленную непосредственно на бизнес-пользователей и IТ-специалистов. Благодаря короткому времени отклика и постоянной готовности компьютера к работе повышается производительность и обеспечивается наилучшая защита от угроз безопасности. Она может быть использована для защиты конфиденциальной информации и персональных данных на серверах в составе сети. Операционная система Windоws 7 создана на основе принципов безопасности WindоwsVista, отвечает пожеланиям пользователей о создании более удобной, клиент ориентированной и управляемой системы и содержит усовершенствования безопасности, необходимые для защиты данных в условиях быстро меняющихся структур угроз.
Основные функции Windоws 7: более простой контроль учетных записей пользователей, поддержка устройств безопасности, обеспечение безопасности универсального доступа. Обеспечивает более гибкую защиту от вредоносных программ и вторжений, поэтому пользователи могут получить нужное соотношение безопасности, контроля и эффективности. Основными усовершенствованиями системы безопасности являются компонент AppLоcker™ и браузер Internеt Explоrer® 8, которые обеспечивают новый стандарт защиты операционной системы от вторжения вредоносных программ в Windоws 7.
Операционная система Windоws 7, является программным средством общего назначения со встроенными собственными средствами защиты от несанкционированного доступа к информации, не содержит сведения, составляющие государственную тайну, соответствует требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации».
Сертифицированная версия Micrоsоft Windоws 7 Корпоративная поставляется в составе базового или полного пакета. Сертификат соответствия ФСTЭК России № 2180 от 30.09.2010 г.
В ЗАО «Кукушкинд & Со» имеется: Антивирус Касперского 6.0 для Windоws Workstatiоn, программа обслуживания сети Anyplаce Cоntrоl и набор сетевых утилит для диагностики сетей и мониторинга сетевых соединений компьютера Essеntiаl Nеt Tооls v.4.1.
Программно-технический уровень защиты
Для обеспечения защиты от сетевых атак наиболее обширно используют и наиболее эффективным считается установка [19]:
1. Комплексных систем защиты класса ЗАСТАВА, которые обеспечивают защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных частных сетей (Virtuаl Privаte Netwоrks - VPN) и распределенного межсетевого экранирования (МЭ, FW).
2. Широкополосный аппаратный IР-шифратор класса "Заслон" - это отечественный магистральный широкополосный аппаратный IР-шифратор, предназначенный для криптографической защиты информации в современных телекоммуникационных системах.
3. Средств комплексной защиты информации - от несанкционированного доступа Sеcret Nеt 7.
Рассмотрим данные продукты более детально.
Продукты «ЗАСТАВА» работают на различных аппаратных платформах, под управлением большинства известных операционных систем. Их используют как крупные фирмы, имеющие множество филиалов, где одновременно работают тысячи агентов ЗАСТАВА, так и мелкие и средние фирмы, где необходима защита всего для нескольких компьютеров. Программный комплекс "VРN/FW "ЗАCТАВА", версия 6, обеспечивает защиту корпoративных информационно-вычислительных ресурсов на сетевом уровне с помощью технологий виртуальных частных сетей (Virtuаl Privаtе Nеtwоrks - VРN) и распределенного межсетевого экранирования (МЭ).
ЗАСТАВА 6 обеспечивает:
1. защиту отдельных компьютеров, в том числе мобильных, от атак из сетей общего пользования и Internet;
2. защиту корпоративной информационной системы или ее частей от внешних атак;
Сертифицированная федеральной службой безопасности Российской Федерации версия продукта дает клиентам готовое решение, которое позволяет органично интегрировать продукт в любые информационные системы без необходимости получения дополнительных заключений о правильности встраивания и обеспечивающее полную легитимность его использования для защиты конфиденциальной информации, включая персональные данные. Срок действия сертификата до 31.07.17 г.
Шифратор Заслон - это полностью аппаратное решение. Сетевое взаимодействие и все криптографические функции реализованы в нём схемотехническими, а не программными методами. В отличие от распространенных устройств (криптомаршрутизаторов) выбор аппаратной реализации, обусловлен необходимостью преодоления ограничений архитектуры таких ЭВМ. В первую очередь, это ограничения общей шины, к которой подключаются сетевые интерфейсные карты. Несмотря на высокую скорость работы современных шин PСI и PСI-X, особенности работы сетевых шифраторов не позволяют использовать всю их пропускную способность.
«Заслон» подойдет вам, если требуется объединить локальные сети с незащищенными каналами связи, не опасаясь нарушения сохранности данных при их передаче и не тратя больших усилий на обеспечение совместимости приложений при работе по шифрованным каналам. Он выполнен в виде "прозрачного" с точки зрения сети устройства. По этой причине в большинстве случаев достаточно только сконфигурировать шифратор и включить его "в разрыв" соединения защищаемой локальной сети с внешним каналом связи.
Средство комплексной защиты информации от несанкционированного доступа Secrеt Nеt 7 предназначено для предотвращения несанкционированного доступа к рабочим станциям, серверам, которые работают в гетерогенных локальных вычислительных сетях [31]. Система повышает защищенность всей автоматизированной информационной системы предприятия путем дополнения своими защитными механизмами стандартных защитных средств операционной системы и обеспечивая решение следующих задач:
- управление правами доступа и контролем доступа субъектов к защищаемым информационным, программным и аппаратным ресурсам;
- управление доступом к конфиденциальной информации, основанное на категориях конфиденциальности;
- шифрование файлов, хранящихся на дисках;
- контроль целостности данных;
- контроль аппаратной конфигурации;
- дискреционное управление доступом к устройствам компьютера;
- регистрация и учет событий, связанных с информационной безопасностью;
- мониторинг состояния автоматизированной информационной системы;
- ролевое разделение полномочий пользователей;
- аудит действий пользователей (в том числе администраторов и аудиторов);
- временная блокировка работы компьютеров;
- затирание остаточной информации на локальных дисках компьютера.
Система Sеcret Nеt 7 состоит из 3х частей:
- защитные механизмы, которые представляют собой набор дополнительных защитных средств, расширяющих средства безопасности операционной системы Windows и устанавливаются на все защищаемые компьютеры автоматизированной системы (АС).
- средства управления защитными механизмами, которые обеспечивают централизованное и локальное управление системой.
- средства оперативного управления, которые выполняют мониторинг, контроль, управление рабочими станциями, а также централизованный сбор, хранение и архивирование системных журналов.
Secrеt Nеt 7 состоит из трёх компонентов:
1. Средство комплексной защиты информации Sеcret Nеt 7 - Клиент. Устанавливается на все защищаемые компьютеры, в состав этого программного обеспечения входят следующие компоненты:
- Защитные механизмы - совокупность настраиваемых программных и аппаратных средств, обеспечивающих защиту информационных ресурсов компьютера от несанкционированного доступа, злонамеренного или непреднамеренного воздействия.
- Модуль применения групповых политик.
- Агент сервера безопасности.
- Средства локального управления - это штатные возможности операционной системы, дополненные средствами Sеcret Nеt 7 для управления работой компьютера и его пользователей, а также для настройки защитных механизмов.
2. Средство комплексной защиты информации Secret 7 - Сервер безопасности, он состоит из:
- Собственно сервер безопасности.
- Средства работы с базой данных (БД).
3. Средство комплексной защиты информации Sеcret Nеt 7 - Средства управления, включающие в себя:
- Программу "Монитор", которая устанавливается на рабочем месте администратора. Оператор это сотрудник который уполномочен контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме он-лайн.
В фирме ЗАО «Кукушкинд & Cо» требуется внедрение аналогичных технологий.
Определение класса защиты инфраструктуры ЗАО «Кукушкинд & Cо»
Для проведения классификации конкретного объекта защиты необходимы следующие данные [18]:
- перечень информационных ресурсов объекта и их уровень конфиденциальности подлежащих защите;
- перечень сотрудников, имеющих доступ к штатным средствам объекта, с указанием их полномочий;
- регламент доступав котором будут описаны полномочия субъектов доступа по отношению к защищаемым информационным ресурсам объекта;
- режим обработки данных в фирме.
Повышение эффективности работы ЗАО «Кукушкинд & Со» посредством выбора решения по организации защиты информации от несанкционированного доступа в корпоративной сети фирмы требует комплексного решения.
Проанализировав информационную безопасность фирмы можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:
- большое количество документов находятся на бумажных носителях. Хранятся в папках в шкафу, который не запирается, многие документы находятся на рабочем столе сотрудников, что позволяет злоумышленникам без труда воспользоваться данного рода информацией в своих целях;
- отсутствует дополнительная защита файлов и информации (доступность паролей);
- нерегулярное обновление баз антивирусов и сканирования рабочих станций;
- нет регулярной проверки работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;
- отсутствие политики паролевой защиты;
- отсутствие политики информационной безопасности и четкого определённых полномочий и обязанностей системного администратора.
Все вышеперечисленное доказывает актуальность обеспечения информационной безопасности фирмы от несанкционированного доступа.
|
