2.3. Определение области применения системы информационной безопасности.
В основном информационная инфраструктура фирмы используется по следующим направлениям:
- ведение маркетинга;
- ведение кадрового учета;
- ведение бухгалтерского учета;
- сбор, учет, накопление, хранение, обработка и анализ информации, связанной с деятельностью фирмы;
- формирование отчетов, относящихся к деятельности ЗАО «Кукушкинд & Со»;
- организация электронного документооборота фирмы.
Информационная инфраструктура ЗАО «Кукушкинд & Со» представляет собой информационную систему, имеющую подключения к сетям связи общего пользования и сетям информационного обмена. Исходя из этого, все информационные потоки можно разделить на две основные группы - внутренние и внешние.
К внешним информационным потокам относится передача информации во внешние информационные системы (Федеральную налоговую службу, Сбербанк РФ, Пенсионный фонд РФ и др.);
К внутренним информационным потокам ЗАО «Кукушкинд & Со» относятся [21]:
- сбор (ввод) целевой информации;
- обработка первичных бухгалтерских данных и данных кадрового учета;
- просмотр, создание архивных копий, вывод на печать и др.;
- обмен служебной информации (приказы, распоряжения и др.);
- разрешения на доступ к целевой информации;
- передача запрошенной целевой информации;
- процессы авторизации пользователей информационной инфраструктуры, запросы на получение доступа к целевой информации в соответствии с правилами доступа на предоставление целевой информации.
Определение информации, подверженной угрозам несанкционированного доступа
Информационными ресурсами потенциально подверженными угрозам несанкционированного доступа являются следующие [23]:
1. Целевая информация:
-коммерческая тайна ЗАО «Кукушкинд & Со»;
- персональные данные работников ЗАО «Кукушкинд & Со» и других физических лиц, которым становятся известны ЗАО «Кукушкинд & Со» при осуществлении своей деятельности.
2. Технологическая информация:
- конфигурационные данные и другая информация по технологиям, программным и техническим средствам, используемым для накопления, хранения, обработки, передачи и защиты информации ЗАО «Кукушкинд & Со»;
- служебная информация средств защиты информации (идентификаторы, пароли, таблицы разграничения доступа, криптографические ключи, информация журналов аудита безопасности и др.).
3. Программное обеспечение:
- программные информационные ресурсы информационной инфраструктуры ЗАО «Кукушкинд & Со», содержащие общее и специальное программное обеспечение, резервные копии программного обеспечения, программное обеспечение средств ЗИ.
Источники информации для осуществления несанкционированного доступа:
- общая информация - это информация о назначения и общих характеристиках информационной инфраструктуры ЗАО «Кукушкинд & Со»;
- эксплуатационная информация - это информация, полученная из эксплуатационной документации;
- чувствительная информация - это информация, дополняющая эксплуатационную информацию об информационной инфраструктуре ЗАО «Кукушкинд & Со».
В частности, нарушитель доступа может иметь:
- данные об уязвимостях технических, программных и программно-технических средств информационной инфраструктуры ЗАО «Кукушкинд & Со»;
- данные о реализованных в системе принципах и алгоритмах защиты;
- сведения об информационных ресурсах информационной инфраструктуры ЗАО «Кукушкинд & Со»:
1. порядок и правила создания, хранения и передачи информации;
2. структура и свойства информационных потоков;
- данные об организации работы, структуре и используемых технических, программных и программно-технических средствах информационной инфраструктуры ЗАО «Кукушкинд & Со».
Состав имеющихся у нарушителя средств, которые он может использовать для несанкционированного доступа, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах информационной инфраструктуры ЗАО «Кукушкинд & Со» конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Предполагается, что нарушитель имеет: штатные средства информационной инфраструктуры, доступные в свободной продаже и доступе технические средства и программное обеспечение.
Инфраструктура ЗАО «Кукушкинд & Со» содержит следующие информационные ресурсы:
информация, относящаяся к коммерческой тайне:
- заработная плата сотрудников,
- договоры с поставщиками и покупателями,
- технологии производства;
2. защищаемая информация (ограниченного доступа) фирмы:
- трудовые договора работников,
- личные дела сотрудников,
- материалы отдела снабжения,
- личные карты сотрудников,
- содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,
- прочие разработки и документы для внутреннего пользования.
3. Открытая информация фирмы ЗАО «Кукушкинд & Со»:
- информация маркетинговой деятельности фирмы;
- информация на web-сайте фирмы и буклеты;
- устав и учредительный документ;
- информация отдела продаж фирмы;
- прайс-лист продукции.
Рассмотрим категории персональных данных и определим информацию отделов ЗАО «Кукушкинд & Со», подлежащую защите:
Категория 1 - персональные данные сотрудников, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
· Категория 2 - персональные данные сотрудников, позволяющие идентификацию персональных данных и получение о сотруднике дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
· Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных.
· Категория 4 - обезличенные и (или) общедоступные персональные данные.
Ввиду того, что деятельность ЗАО «Кукушкинд & Со» не связана с информацией, относящейся к категории 1, рассмотрим классификацию отделов по категориям К2, К3, К4.
К категории 2 относится информация:
· Бухгалтерии и финансового отдела (БФО);
· Кадровой деятельности;
· Юридической деятельности;
· Отдела ИТ.
К категории 3 относится информация:
· Отдела снабжения;
· Дирекции.
К категории 4 относится информация:
· Отдела продаж;
· Маркетинговой деятельности;
Директорат фирмы, в которую входят: директор, заместитель директора по общим вопросам - используют информацию, относящуюся к категории 3.
Детализация сетевого и программного обеспечения фирмы
Локальные вычислительные сети ЗАО «Кукушкинд & Со» построены на базе стандартных сетевых решений. В состав ЛВС ЗАО «Кукушкинд & Со» входит:
· серверное оборудование, расположенное в отдельной стойке (шкафу);
· автоматизированные рабочие места пользователей ЗАО «Кукушкинд & Со».
· общее коммутационное оборудование и структурированная кабельная система;
Обмен данными между ЗАО «Кукушкинд & Со» и налоговой службой, пенсионным фондом, сбербанком осуществляется через внешние сети. Средство защиты информации ПК "Спринтер" используется для криптографической защиты данных отдела бухгалтерского учета и отчетности при передачи отчетов в налоговую службу и пенсионный фонд, Средство защиты информации "Бикрипт КСБ-С" используется для криптографической защиты данных отдела бухгалтерии при передачи файлов в Сбербанк РФ.
В ЗАО «Кукушкинд & Со» используется: сертифицированное, лицензионное и свободно распространяемое ПО (см. таблицы 4 - 5).
Таблица 4 - Сертифицированное ПО ЗАО «Кукушкинд & Со»
|
Наименование продукта
|
Количество
|
|
Microsoft Windows 7 Professional
|
20
|
|
Microsoft Office 2010
|
20
|
|
Microsoft Windows Server 2008 R2 EE
|
3
|
|
|
|
|
Таблица 5 - Лицензионное ПО ЗАО «Кукушкинд & Со»
№ п/п
|
Наименование программного средства
|
Тип лицензии
|
Количество
|
Срок действия
|
|
1
|
Правовая база данных "Консультант +"
|
Электронная с подпиской
|
2
|
1 год
|
|
2
|
Информационная система "Делопроизводство 3.0"
|
Box
|
4
|
Бессрочная
|
|
3
|
1С-Бухгалтерия 8
|
Box
|
3
|
Бессрочная
|
|
|
|
|
|
|
|
Следовательно, в информационной инфраструктуре ЗАО «Кукушкинд & Со» реализован многопользовательский режим обработки информации с разграничением прав доступа, который регламентируется действующим законодательством Российской Федерации, документами ЗАО «Кукушкинд & Со» и осуществляется в соответствии с должностными инструкциями.
Категории вероятных нарушителей режима доступа
По признаку принадлежности информационной инфраструктуры все нарушители делятся на две группы [26]:
- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ЗАО «Кукушкинд & Со»;
- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование информационной инфраструктуры ЗАО «Кукушкинд & Со».
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны. Предполагается, что внешний нарушитель может осуществлять попытки доступа и негативного воздействия на передаваемую по каналам связи информацию. Возможности внутреннего нарушителя существенным образом зависят от допуска физических лиц внутрь контролируемой зоны и контроля за порядком в зонах накопления информации ограниченного доступа.
По отношению к защищаемым активам выделяются следующие категории лиц:
- администраторы информационной инфраструктуры (категория I);
- технический персонал инфраструктуры (категория II);
- пользователи инфраструктуры ЗАО «Кукушкинд & Со» (категория III);
- внешними пользователи других систем (категория IV);
- работники ЗАО «Кукушкинд & Со», имеющие санкционированный доступ к ресурсам информационной инфраструктуры ЗАО «Кукушкинд & Со», но не имеющие права доступа к этим ресурсам (категория V);
- обслуживающий персонал подразделений ЗАО «Кукушкинд & Со» (охрана, работники инженерно-технических служб и т.д.) (категория VI);
- уполномоченный персонал разработчиков, который имеет право на техническое обслуживание и модификацию компонентов инфраструктуры ЗАО «Кукушкинд & Со» (категория VII).
Предполагается, что к лицам категорий I и II ввиду их исключительной роли в инфраструктуре ЗАО «Кукушкинд & Со» должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Поэтому указанные лица исключаются из числа вероятных нарушителей.
К лицам категории III относятся пользователи инфраструктуры ЗАО «Кукушкинд & Со», которые являются сотрудниками подразделений (например - заместитель по кадрам).
Лица категорий IV, V и VI, в соответствии с "Базовой моделью угроз персональных данных при их обработке в информационных системах персональных данных", утвержденной ФСТЭК России от 18 февраля 2008 года, соответствуют потенциальными нарушителями первой категории (лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн).
Лица категории VII - соответствуют потенциальными нарушителями седьмой категории (программисты-разработчики (поставщики) и лица, обеспечивающие его сопровождение на защищаемом объекте) и восьмой категории (разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн).
Следовательно - лица категорий III-VII относятся к вероятным нарушителям режима безопасности и доступа.
|
