Политика безопасности предприятия

Введение

Стремительное развитие информационных и коммуникационных связано с необходимостью обмена большими массивами информации. Современное общество всецело зависит от информационных систем различного рода - от крупных информационных порталов банков и государственных служб до небольших прикладных систем, используемых в организациях. Большинство государственных услуг переводится в электронную форму, растет доля онлайн платежей, проводимых через банковские информационные системы. Таким образом, информационные ресурсы в настоящее время представляют собой высокоценный актив, обеспечение сохранности которого является залогом успешности функционирования организаций различного рода деятельности. Потери информации с высокой вероятностью могут приводить к простоям в работе сотрудников организаций, что приводит к прямым убыткам, связанным с потерями в клиентской базе, просрочкам в исполнении заказов и подготовке документов и др. В качестве объектов обрабатываемой информации выступают: финансовые данные, элементы коммерческой тайны, объекты, охраняемые законодательством об авторском праве, а также данные о личной жизни и состоянии здоровья людей. Утечки информации, содержащей коммерческую тайну, могут выступать в качестве причины прямых убытков, вплоть до возникновения угрозы функционированию предприятия. Известен ряд прецедентов, когда из-за утечек персональных данных злоумышленники получали возможность совершения неправомерных действий (получать кредиты, снятие наличных средств в банкоматах, кража денежных средств с счетов, находящихся в электронных кошельках). Таким образом, задача обеспечения защиты информации на сегодняшний день имеет особую актуальность.
Цель работы заключается в анализе системы защиты информации в условиях исследуемого предприятия.
Задачи работы:
- проведение анализа теоретических аспектов функционирования систем информационной безопасности;
- проведение анализа типов сетевых атак на информационные ресурсы предприятий;
- проведение анализа структуры АИС изучаемого предприятия;
- анализ технологии защиты конфиденциальных данных от сетевых атак;
- проведение анализа существующей системы информационной безопасности на предприятии;
- разработка мероприятий по совершенствованию системы защиты информации от утечек через беспроводной сегмент в условиях исследуемого предприятия;
- оценка экономической эффективности проекта.
Объект исследования: информационная система АО ИТМиВТ.
Предмет исследования: совершенствование защиты информации в АО ИТМиВТ.
Методы исследования: анализ литературных источников, нормативно-правовых актов и стандартов в области защиты информации, анализ технической документации по средствам защиты информации, анализ функционирования системы защиты от сетевых атак.

1. Анализ обеспечения безопасности в условиях АО ИТМиВТ
1.1 Общая характеристика АО ИТМиВТ
В рамках данной работы проведено изучение технологии по обеспечению безопасности в условиях АО ИТМ и ВТ.
АО «Институт точной механики и вычислительной техники им. С. А. Лебедева Российской академии наук» (ИТМ и ВТ) в настоящее время является ведущим научно-исследовательским институтом в области информационных технологий, вычислительной техники и микроэлектроники, разработки инновационных систем.
ИТМ и ВТ на сегодняшний день представляет собой современный центр по проведению исследований и разработок в области информатики, электроники и телекоммуникаций. Здесь осуществляется проектирование и разработка информационных систем государственного масштаба, аппаратно-программных комплексов, микроэлектронных систем и электронной компонентной базы двойного назначения. Институт входит в список стратегических предприятий России и ведёт работы по  Федеральным программам, например, разработку Государственной системы изготовления, оформления и контроля паспортно-визовых технологий нового поколения (электронных паспортов) и многое другое.
Институт в полной мере сохраняет лучшие традиции отечественной научной школы. Специалисты ИТМиВТ имеют успешный опыт по поиску и созданию оригинальных технических систем для государственных предприятий, работающих в сфере аэрокосмической промышленности, оборонных технологий и безопасности, медицинским и телекоммуникационным оборудованием.
Миссия института:
Возрождение школы передовых отечественных разработок в области информатики и телекоммуникаций;
Сохранение интеллектуального достояния России, формирование современных научных и инженерных кадров.
Специалисты отделов работают с первичной информацией (договора от клиентов, платежные документы, информация о поступающей в ремонт оргтехнике, заявках на поставку компьютерной техники).
Специалисты отделов, по материалам поступившей первичной информации готовят отчеты для начальников отделов, которые готовят консолидированную отчетную информацию для генерального директора.
Информация, циркулирующая в системе АО ИТМиВТ, может предоставляться и обрабатываться как в автоматизированной, так и в неавтоматизированной форме.
Объектами обеспечения безопасности в услоиях АО ИТМиВТ могут выступать:
- персональные данные сотрудников;
- информация о текущей деятельности предприятия;
- научные разработки, в том числе связанные с оборонными технологиями и требующие соблюдения режима секретности;
- инженерная документация на разработанные проекты;
- элементы коммерческой тайны;
- ключи электронной подписи.
1.2 Характеристика системы информационной безопасности АО ИТМиВТ
1.2.1. Характеристика организационной защиты информации

Таким образом, в условиях АО ИТМиВТ имеется в наличии большое количество объектов защиты информации, защита которой должна быть реализована как согласно федеральному законодательству, так и исходя из коммерческих соображений предприятия.
В ходе работы над данным проектом мной было проведено изучение организационной структуры предприятия в области защиты информации.
В таблице 1 приведено распределение обязанностей между сотрудниками по соблюдению требований по обеспечению в условиях АО ИТМиВТ
Таблица SEQ Таблица \* ARABIC 1 - Распределение обязанностей между сотрудниками по соблюдению требований по защите конфиденциальности информации в условиях АО ИТМиВТ
Должность Функционал Ответственность
Руководитель подразделения Контроль соблюдения требований законов по защите конфиденциальной информации, утверждение документации в области защиты конфиденциальных данных Ответственность за нарушения в области информационной безопасности

Заместитель руководителя подразделения Формирует комиссии, курирующие проведение работ по обеспечению требований по защите конфиденциальной информации, подписание актов по выполненным технологическим операциям Ответственность за работу комиссии по обеспечению требований защиты информации
Администратор защиты информации - специалист Практическая реализация требований по комплексной защите информации, ведение документации в области защиты информации, разработка проектов локальных документов, работа с прецедентами, связанными с угрозами защиты информации Ответственность за организацию системы информационной безопасности
Начальник отдела Контроль исполнения требований в области информационной безопасности в отделе. Ответственность за нарушение требований информационной безопасности в отделе
Специалист отдела Контроль исполнения требований информационной безопасности на рабочем месте Ответственность за нарушение требований информационной безопасности
Перечень документов, регламентирующих деятельность в области обеспечения безопасности данных от несанкционированного доступа (НСД), приведен в таблице 2.
Таблица SEQ Таблица \* ARABIC 2 - Перечень документов, регламентирующих деятельность в области защиты информации от НСД
Наименование документа Где издано Тип
«Инструкция по пропускному и внутриобъектовому режиму» Департамент обеспечения безопасности ОП
«Инструкция по авторизации пользователей» ИТ-подразделение Департамент обеспечения безопасности ОП
Положение о порядке отнесения информацииПаспортного стола к конфиденциальной Департамент обеспечения безопасности ОП
Перечень сведений конфиденциального характера, образующихся в результате деятельности Паспортного стола Департамент обеспечения безопасности ОП
Перечень защищаемых информационных и коммуникационных ресурсов
локальной вычислительной сети подразделения Департамент обеспечения безопасности ДСП
Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях Паспортного стола Департамент обеспечения безопасности ДСП
Положение по защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях Паспортного стола Департамент обеспечения безопасности ДСП
Памятка
пользователям информационной системы по вопросам информационной безопасности Департамент обеспечения безопасности ОП
Положение о работе с персональными данными работников Паспортного стола Департамент обеспечения безопасности ОП
1.2.2

. Характеристика программной защиты информации

Защита информации от НСД – деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию).
Система защиты информации от НСД (СЗИ НСД) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в АС.
BioLink Authentication Center – это система биометрической аутентификации пользователей по отпечатку пальца, обеспечивающая доступ к защищенным информационным ресурсам.
Электронный ключ iKey 3000 производства Rainbow Technologies применяется в различных приложениях (защита конфиденциальной информации на компьютере и в сети, разграничение доступа к ресурсам корпоративной сети и Web и т.д.) для хранения паролей, цифровых сертификатов и другой информации ограниченного доступа.
Специальный защитный знак (СЗЗ) – зарегистрированное номерное изделие, предназначенное для контроля НСД к объектам защиты, в процессе которого определяется подлинность и целостность СЗЗ путём сравнения самого знака или композиции «СЗЗ – подложка» по критериям соответствия характерным признакам визуальными, инструментальными и другими методами.
Средства криптографической защиты информации (СКЗИ) обеспечивает шифрование/расшифрование файлов, формирование и проверку электронной цифровой подписи, ведение справочников ключей.
Одной из важнейших компонент обеспечения безопасности информационных является система антивирусной защиты и защиты от сетевых атак. Каждый из пользователей информационной системы несет персональную ответственность за выявленные факты заражения вредоносным ПО на своей рабочей станции.
Целями антивирусной защиты в АИС предприятия являются:
- противодействие активности вредоносного ПО в АИС предприятия;
- обеспечение работоспособности АИС предприятия и возможностей по ее восстановлению в случае сбоев с минимумом финансовых издержек и временных затрат.
Основными принципами антивирусной защиты в Институте являются:
- доведение регламентирующих документов в области антивирусной защиты до пользователей информационной системы;
- регламентация использования внешних носителей информации (допускается оборот только учтенных носителей);
- использование в работе только лицензионных программ, включая операционные системы, своевременное их обновление;
- ежедневное обновление сигнатур антивирусных баз, программных модулей АВЗ в автоматическом режиме;
- проверка на наличие вредоносного ПО всех файлов, полученных из внешних источников;
- обучение правилам и нормам АВЗ вновь принятых на работу сотрудников;
- исключение доступа пользователей к настройкам системы антивирусной защиты;
- ограничение доступа пользователей к ресурсам Интернета.
Объектами антивирусной защиты в структуре ИС АО ИТМ и ВТ являются:
- прокси-сервер;
- файловый сервер (ЛВС);
- рабочие станции пользователей, планшетные компьютеры, ноутбуки.
Структура системы антивирусной защиты АО ИТМ и ВТ показана на рисунке 6.
Рисунок SEQ Рисунок \* ARABIC 1 - Структура системы антивирусной защиты АО ИТМиВТ

В настоящее время используемая версия ПО: Kaspersky End Point Security 10. Автоматическое обновление и администрирование рабочих станций обеспечивается средством Kaspersky SecurityCenter.
В каждом из подразделений АО ИТМиВТ приказом назначается ответственный за антивирусную защиту, каждый из которых подчиняется ответственному за АВЗ ИТ-специалисту АО ИТМиВТ.
Ответственный за АВЗ в подразделении АО ИТМиВТ обязан:
контролировать выполнение требований антивирусной защиты в своем подразделении;
администрировать сеть АВЗ в подразделении, поддерживать структуру сети АВЗ;
своевременно обновлять: антивирусное ПО, антивирусные базы, лицензионные ключи на компьютерах входящих в круг ответственности. Поддерживать функционирование антивирусного ПО на компьютерах, входящих в круг ответственности;
контролировать состояние АВЗ на компьютерах, входящих в круг ответственности;
доводить до сотрудников в подразделении, в том числе вновь принятых на работу, их права и обязанности по обеспечению АВЗ;
при получении рекомендаций от ответственного за АВЗ в АО ИТМиВТ, выполнить указанные действия в указанные сроки;
предоставлять информацию о состоянии антивирусной защиты по запросу руководства.
Одним из основных методов защиты ресурсов операционной системы является установка паролей.
Основными задачами парольной защиты информации являются:
- защита информационных ресурсов автоматизированной системы предприятия от несанкционированного доступа;
- применение политики для соответствующего уровня доступа авторизовавшегося пользователя.
Парольная защита устанавливается на следующих уровнях:
- на уровне BIOS;
- на уровне авторизации при входе в операционную систему;
- на уровне авторизации при входе в сетевые операционные системы;
- на уровне авторизации в приложениях;
- использование пин-кодов при работе с устройствами.
На каждом из уровней авторизации устанавливаются свои требования к сложности пароля и политике их смены.
Политика парольной защиты, используемая в автоматизированных системах организаций, должна соответствовать классу защищенности информационной системы.
Вход под паролем предполагает аутентификацию пользователя в рамках использования информационного ресурса, соответственно пользователь несет ответственность за сохранность в тайне парольной информации.
По функциональному назначению парольный вход, как правило, используется для контроля загрузки системы, контроля функционирования, с целью блокировки и контроля доступа. Для ввода пароля используется клавиатура или более современные методы, такие как голосовой набор или интерактивный набор пароля.
С целью контроля загрузки может устанавливаться процедура идентификации и аутентификации пользователя перед началом загрузки системы, например, встроенными средствами BIOS. В этом случае выполнить загрузку системы сможет только санкционированный пользователь.
Идентификация призвана каждому пользователю (группе пользователей) сопоставить соответствующую ему разграничительную политику доступа на защищаемом объекте. Для этого пользователь должен себя идентифицировать – указать своё «имя» (идентификатор). Таким образом проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. И в соответствии с введённым идентификатором пользователю будут сопоставлены соответствующие права доступа.
Аутентификация предназначена для контроля процедуры идентификации. Для этого пользователь должен ввести пароль. Правильность вводимого пароля подтверждает однозначное соответствие между регистрирующимся пользователем и идентифицированным пользователем.
Для решения задачи контроля функционирования вычислительной системы при помощи пароля выделяются:
1. Контроль пользователя при доступе в систему. Реализуется в том числе штатными средствами ОС.
2. Контроль при запуске процесса. Благодаря этому при запуске некоторых приложений может быть установлена парольная защита. Прежде всего, здесь интерес представляет установка пароля ответственного лица.
3. Контроль при доступе к локальным ресурсам. Например, при доступе к локальному принтеру и т.д. также может использоваться аутентификация ответственного лица.
4. Контроль при доступе к сетевым ресурсам. Реализуется в том числе штатными средствами ос. Например, доступ к ресурсам можно разделить паролем.
1.2.3 Характеристика инженерно-технической защиты информации

Основной целью обеспечения инженерно-технической защиты информации в работе специалистов АО ИТМ и ВТ, является предотвращение несанкционированного доступа к конфиденциальной информации.
Хранение носителей конфиденциальных сведений в кабинетах экономических подразделений предполагается в запирающихся шкафах, исключающих возможность хищения носителей конфиденциальной информации, либо их утраты вследствие пожаров.
Также для обеспечения инженерно-технической защиты используются:
- системы видеонаблюдения;
- системы контроля управления доступом (СКУД);
- охранно-пожарная сигнализация.
Уничтожение бумажных носителей конфиденциальной информации предполагается с использованием шредеров и проводится в присутствии комиссии с составлением акта.
СКУД в работе специалистов помимо физической защиты помещений используются для решения задач учета фактически отработанного времени сотрудников, для решения данной задачи СКУД интегрируются с системами кадрового и бухгалтерского учета (например, «1С Предприятие: Зарплата и Управление персоналом»), что позволяет реализовать возможности автоматического составления табелей, а также фактов работы во внеурочное время.
Системы видеонаблюдения позволяют выявлять факты несанкционированного проникновения в помещения.
В настоящее время существуют интегрированные программные решения, включающие в себя сегменты управления системами видеонаблюдения, СКУД и системами сигнализации