Защищённая сетевая инфраструктура, обеспечивающая защиту от несанкционированного доступа

Введение
Актуальность
Специфика работы современных организаций такова, что в соответствии с технологией работы необходимо осуществление обмена информацией, доступ к которой является ограниченными в соответствии с требованиями законодательства.
Таким образом, для обеспечения нужного уровня защищенности необходимо создать защищённую сетевую инфраструктуру, обеспечивающую защиту от несанкционированного доступа.
Обеспечение защиты персональных данных в настоящее время является актуальной задачей в силу того, что утечка данных, позволяющих идентифицировать личность людей, может привести к негативным последствиям для субъекта персональных данных, что включает: потерю имущества, предоставление несанкционированного доступа к банковским счетам, обнародованию конфиденциальной информации и др. Это связано с тем, что с внедрением систем электронного документооборота становится возможным предоставление доступа к аккаунтам субъекта по предъявлению определенного типа персональной информации.
Политика информационной безопасности должна предусматривать комплекс мероприятий, связанных с обеспечением организационных мер, разработкой документационного обеспечения защиты информации, разработкой регламентов использования программной защиты информации, физической защиты помещений, а также защиты от утечек информации с использованием каналов связи.
Обеспечение защиты персональных данных в настоящее время регламентировано в различных законодательных актах федерального уровня, а также отраслевых документах. Таким образом, при использовании информационных систем, в которых проводится обработка персональных данных необходимо принятие мер по обеспечению их защищенности в соответствии с установленными стандартами.
Цель работы: анализ архитектуры защиты информации в условиях предприятия, работающего в рекреационной отрасли ООО «Турист».
Задачи работы:
Анализ нормативных актов, регламентирующих вопросы информационной безопасности;
Классификация видов угроз безопасности;
Анализ системы защиты конфиденциальной информации;
Анализ программной компоненты защиты информации.
Объект исследования: системы информационной безопасности в рекреационной отрасли.
Предмет исследования: архитектура защиты информации ООО «Турист».
1. Модель системы
Специфика деятельности компаний, работающих в рекреационной отрасли, связана с необходимостью работы с информационными ресурсами. Основные направления использования информационных систем включают:
- поддержку функционирования Web-порталов рекреационных компаний, систем электронной почты;
- поддержку функционирования систем взаимодействия с клиентами;
- поддержку обеспечивающих технологий (систем автоматизации кадровой деятельности, электронного документооборота, бухгалтерского, налогового и управленческого учета).
Качество функционирования информационных систем во многом определяет эффективность работы компаний рекреационной отрасли, так как специфика работы рекреационных компаний связана с привлечением клиентов через сайты и нарушение функциональности Интернет-портала негативно сказывается на количестве принимаемых заявок от туристических групп, так как клиенты теряют возможность просмотра достопримечательностей рекреационной зоны, стоимости обслуживания туристов, контактных данных и информации о транспортном обслуживании.
Угрозы информационной безопасности связаны с:
- активностью вредоносного ПО;
- возможным выходом из строя оборудования;
- функциональностью каналов связи;
- выходом из строя систем обеспечения безопасности туристов;
- вероятными утечками персональных данных клиентов.
На рисунке 1 приведена схема взаимодействия опасностей, угроз и рисков информационной безопасности ООО «Турист».
Рисунок 1 – Схема взаимодействия опасностей, угроз и рисков информационной безопасности ООО «Турист»
Как показано на рисунке 1, основные опасности, связанные с информационной безопасностью, включают:
- халатность персонала, включая как непреднамеренные действия, так и преднамеренное разглашение следственной информации;
- наличие ошибок в прикладном ПО;
- вероятность выхода из строя оборудования.
Угрозы информационной безопасности включают:
- ввод некорректных данных;
- разглашение паролей;
- заражение вредоносным ПО;
- выдача ошибочных данных;
- неработоспособность системы;
- потери данных.
Основными видами рисков информационной безопасности, связанных с функционированием информационных систем ООО «Турист», являются:
- Риски финансовых потерь, связанные с ошибками при принятии управленческих решений вследствие некорректности информации, выдаваемой информационными системами;
- Риски штрафных санкций вследствие разглашения конфиденциальных сведений;
- Риски убытков, связанных с утечкой коммерческой тайны;
- Риски финансовых потерь, связанных с простоем системы;
- Риски финансовых потерь, связанных с необходимостью восстановления информации.
Анализ рисков информационной безопасности в комплексе возможен с использованием программных систем специального класса таких, как RiskWatch, РискМенеджер, COBRA и др.
Рассмотрев существующую систему организации защиты информации ООО «Турист», были сделаны выводы:
в условиях рассматриваемого предприятия принимается ряд организационных, инженерно-технических и программных мер по обеспечению защиты информации;
отсутствуют системы защиты от утечек по физическим каналам;
в организации системы антивирусной защиты отмечен ряд недостатков, связанных с доступностью USB-портов для всех сотрудников, отсутствием модуля проверки электронной почты, возможностью пользовательского управления системой антивирусной защиты (не отключена возможность удаления, отключения компонент антивирусной защиты);
отсутствуют средства, позволяющие осуществлять мониторинг состояния локальной вычислительной сети (активность пользователей, программного обеспечения, анализ сетевого трафика);
в части организации системы защиты информации отсутствует единая номенклатура дел по защите информации, отсутствуют листы ознакомления сотрудников с требованиями защиты информации, отсутствуют регламенты резервного копирования и хранения резервных копий, не определен список выделенных помещений с ограниченным доступом.
2. Основные методы и особенности обеспечения информационной безопасности
2.1. Организационная защита информации
Организационные меры защиты включают в себя административные, управленческие меры, определяющие порядок работы систем по обработке данных, использованию ее ресурсов, деятельности обслуживающего персонала, а также технологии по взаимодействию пользователей с системой таким образом, чтобы минимизировать вероятность реализации угроз безопасности персональных данных (либо максимально снизить размер ущерба при их реализации).
В соответствии с определенными выше угрозами, в подразделениях организаций необходимо принятие ряда организационных мер, определяемых в локальных документах, перечень которых приведен в таблице 2

. Каждому из типов угроз сопоставлено технологическое решение, подкрепленное документационным обеспечением [16].
Таблица 1 - Документационное обеспечение защиты конфиденциальной информации
Угроза Технология защиты Документационное обеспечение
Вредоносная программа Антивирусное программное обеспечение «Положение об антивирусной защите в подразделениях ООО
Вторжение в ИСПД по информационно-телекоммуникационным сетям Технология VipNet
«Аппаратный журнал VipNet Coordinator»
Закладка аппаратная Тестирование аппаратных средств «Акт ввода в эксплуатацию средств вычислительной техники»
Закладка программная Тестирование программных средств «Положение о Фонде Алгоритмов и Программ в в подразделениях ООО
Произвольное копирование баз данных Разграничение доступа «Таблицы разграничения доступа к информационным ресурсам в подразделениях ООО,
«Инструкция о резервном копировании информационных ресурсов в подразделениях ООО
Накопление данных пользователями ИСПД Ограничение уровня доступа «Таблицы разграничения доступа», должностные инструкции
Наличие программных ошибок Взаимодействия с разработчиками «Заявка на доработку программного обеспечения»
Ошибки в работе персонала Программные и аппаратные технологии защиты "Руководство пользователя"
Чрезвычайные ситуации Порядок эвакуации носителей информации Порядок эвакуации носителей информации
Компрометация электронной подписи Выпуск новых ключей ЭП, расследование причин «Порядок обращения с ключами ЭП»
Компрометация паролей Принудительная смена пароля, блокировка учетных записей «Инструкция по обращению парольной документации»
Визуальный съём отображаемых данных (при присутствии посторонних лиц в процессе обработки данных пользователем) Блокировка экрана с использованием электронного ключа Порядок доступа в помещения организации
Таким образом, разработка комплекта документационного обеспечения способствует противодействию угрозам конфиденциальности информации при её обработке в автоматизированный информационной системе.
При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении конфиденциальной информации», к которой также относятся персональные данные [3].
Перечень документов, регламентирующих деятельность предприятия в области защиты персональных данных, приведен в таблице 3.
Таблица 2 - Перечень документов, регламентирующих деятельность в области защиты персональных данных
Наименование документа Где издано
«Инструкция по пропускному и внутриобъектовому режиму» Руководство предприятия
«Инструкция по авторизации пользователей» Руководство предприятия
Положение о порядке отнесения информациик конфиденциальной Руководство предприятия
Положение по работе с персональными данными Руководство предприятия
Перечень сведений конфиденциального характера, образующихся в результате деятельности предприятия Подразделения предприятия
Перечень защищаемых информационных и коммуникационных ресурсов
локальной вычислительной сети подразделения предприятия Подразделения предприятия
Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях предприятия Подразделения предприятия
Положение по защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях предприятия Подразделения предприятия
Памятка
пользователям информационной системы по вопросам информационной безопасности Подразделения предприятия
Положение о работе с персональными данными работников предприятия Подразделения предприятия
Как было показано выше, технология обеспечения защиты информации предполагает обеспечение физической защиты помещений, где производится обработка конфиденциальной информации, обеспечение учета и сохранности носителей персональных данных, сертификацию используемого программного обеспечения, документационное обеспечение технологии обработки персональных данных.
В рамках совершенствования системы организации защиты персональных данных предлагается принятие ряда организационных мер.
1. Документирование учета носителей информации. Пример формы Журнала учета внешних носителей, используемых для работы с персональными данными.
2. Определение приказом рабочих станций, используемых для работы с персональными данными. Станции должны опечатываться специальными защитными знаками, номера которых указываются в данном журнале.
3. Проведение обследования помещений, где обрабатываются персональные данные, с оформлением акта.
Рассмотрев теоретические аспекты обеспечения защиты информации, можно сделать следующие выводы:
- информационные ресурсы в настоящее время являются реальным дорогостоящим активом, нарушения в функциональности которого могут поставить под угрозу существование организаций;
- в настоящее время создана нормативно-правовая база, регулирующая процесс обработки и защиты информации;
- построение архитектуры защиты информации необходимо проводить в соответствии со спецификой организации, типом обрабатываемой информации;
- для выбора методов и средств защиты информации необходимо проводить моделирование систем защиты информации, по результатам которого выбирать оптимальные решения для обеспечения информационной безопасности.
Таким образом, рассмотрев вопросы обеспечения сетевой безопасности, можно сделать следующие выводы:
- технологии использования беспроводных сетей предполагают необходимость реализации системы разграничения доступа;
- основные угрозы сетевой безопасности могут быть связаны с влиянием человеческого фактора, а также с особенностями функционирования технических средств;
- реализация технологий сетевой безопасности предполагает принятие ряда организационных, технологических мер, а также издание ряда нормативных документов;
- модели сетевой безопасности предполагают использование систем парольной защиты, защиты с использованием криптографических систем, а также программно-аппаратных комплексов.
2.2. Программная компонента защиты информации
Программные компоненты в условиях ООО «Турист» включают комплекс решений, обеспечивающих решение задач по обеспечению антивирусной защиты, защиты от сетевых атак, криптографические системы, системы анализа инцидентов. В рамках данной работы было проведено изучение функционала системы сбора информации об инцидентах в области информационной безопасности (DLP-системы).
Используемая в условиях ООО «Турист» DLP-система «КИБ СёрчИнформ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система [5]:
Защита от последствий, обусловленных утечками информации.
Разоблачает мошеннические схемы (откаты, саботаж и другое).
Помогает рассчитывать кадровые риски и прогнозировать поведение работников.
Стимулирование соблюдения трудовой дисциплины и рабочего регламента.
Помощь в повышении продуктивность персонала.
Управление лояльностью коллектива.
Архитектура системы показана на рисунке 2.
Рисунок 2 - Архитектура системы "КИБ Серчинформ"
В таблице 4 приведено описание режимов работы системы.
Таблица 3 - Описание режимов работы системы
SearchInform NetworkController
SearchInform EndpointController
Контроль сетевой активности пользователей