Анализ системы защиты ЛВС организации

В организации ООО «КредитИнфо» осуществляется ряд мер по защите информации, циркулирующей в ЛВС.
Разработаны и внедрены определенные организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, возможные угрозы, которые с ними связаны, а также перечень мероприятий, которые должны реализовываться и неукоснительно выполняться для противодействия указанным угрозам. В частности, в организации присутствует Приказ о допуске сотрудников «КредитИнфо» к обработке персональных данных в ИСПДн, циркулирующих в ЛВС ООО «КредитИнфо» (ПРИЛОЖЕНИЕ 1).
Программное обеспечение, в котором производится обработка конфиденциальной информации, имеет определенный уровень защиты от несанкционированного доступа, включая систему разграничения доступа, а также систему аутентификации пользователей. Разграничение доступа выполняется пользователями, имеющими права администраторов с использованием средств программного обеспечения. Разграничение доступа осуществляется на основе дискреционного метода.
Модель данного метода в ООО «КредитИнфо» характеризуется разграничением доступа между  поименованными объектами и субъектами. Субъект с определенным уровнем доступа может передать это право другому субъекту. Для каждой пары (субъект - объект) задано явное и недвусмысленное перечисление допустимых типов доступа (читать, редактировать и т.д.), которые являются санкционированными для данного субъекта (или группы субъектов) к данному ресурсу (объекту) (рисунок 10).
Рисунок 10 – Процессы в ЛВС ООО «КредитИнфо»
Матрица прав доступа задана с помощью списков возможностей. Список возможностей связывается с субъектом и определяет его права доступа к различным объектам

.
Также в ООО «КредитИнфо» установлена многофакторная защита от неавторизованного доступа. Доступ к информации предоставляется сотрудникам после предъявления двух или более доказательств аутентификации. Обычно это следующие рубежи защиты:
введение логина и пароля
код, полученный в SMS или на E-mail
в некоторых случаях используется специальный токен и TAN-пароли.
Криптографические ключи на электронных носителях для выполнения банковских операций, электронные цифровые подписи, электронные ключи для он-лайн кассы и передачи отчетности хранятся в сейфе ИТ-отдела.
В дополнении к организационным средствам защиты в ООО ООО «КредитИнфо» применяются и технические решения, предназначенные для блокирования каналов утечки конфиденциальной информации. Используются комплексные DLP-системы, которые контролируют передачу информации через сеть Интернет, защищают от утечек, контролируют вывод данных на печать, контролируют сохранение информации в случае копирования ее на внешние носители, блокируют пересылку/сохранение конфиденциальных документов, информируют администраторов ИТ - отдела об инцидентах. Используется система Web sense Data Protect от компании Point Lane.
В ООО «КредитИнфо» регулярно проводят инвентаризацию уже имеющегося в организации оборудования и ПО, а также изучают и анализируют новинки оборудования, появляющиеся на компьютерном рынке.
Для защиты информации от вредоносных программ в организации в недавнем времени было принято решение о приобретение и установке лицензионного комплекса антивирусной защиты компании Лаборатория Касперского Kaspersky Internet Security 2018 (сертифицирован ФСТЭК России)