Размещено на http://www.allbest.ru/

7

Размещено на http://www.allbest.ru/

Введение

Целью данного дипломного проекта является аудит информационной безопасности для предприятия ОАО «РОСТСТРОЙ». Необходимо пояснить, что подразумевается под понятием «аудит».

Аудит информационной безопасности - системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании (организации, предприятия) в соответствии с определенными критериями и показателями безопасности.

Актуальность проведенной работы обусловлена тем, что обеспечение безопасности информации - процесс непрерывный, то есть в условиях постоянно изменяющейся обстановки в сфере информационных технологий, в условиях появления все новых угроз конфиденциальности информации, а также и новых технических и программных средств, служащих для реализации этих угроз, необходим постоянный контроль надежности системы защиты. Именно эту функцию и выполняет аудит информационной безопасности. В связи с этим возникают вопросы о методах и результатах проведения аудита, ответы на которые и представлены в данном проекте. При этом речь в данном случае идет не о постоянном внутреннем аудите, который должна вести каждая организация, старающаяся наладить свою информационную безопасность, а о внешнем аудите, проводимом сторонней организацией, отличающимся своей независимостью и комплексностью.

Объектом исследования, проведенного в рамках дипломного проекта, стала система защиты информации предприятия ОАО «РОСТСТРОЙ», а его задачей - выявление ее недостатков и возможностей реализации угроз конфиденциальной информации. Упор был сделан на изучение функционирования информационной системы организации.

Целью исследования, а также и дипломного проекта, стала разработка комплекса мер (рекомендаций) по улучшению системы защиты информации организации на основе выделенных типов угроз и определение приоритетных направлений ее развития на основе анализа надежности полученной системы защиты.

Практическая значимость дипломного проекта заключается в реализации разработанного комплекса мер по защите информации в деятельности ОАО «РОСТСТРОЙ», а также в дальнейшем развитии системы защиты информации по выделенным в ходе работы направлениям, что позволит существенно снизить информационные риски в будущем.

1. Описание предприятия

1.1 Общие сведения о предприятии ОАО «РОСТСТРОЙ»

Открытое акционерное общество «РОСТСТРОЙ» образовано в 1993 г. ОАО «РОСТСТРОЙ» является предприятием стройиндустрии, осуществляющим свою деятельность на строительном рынке по принципу холдинга. В структуру предприятия входят несколько собственных подразделений, каждое из которых выполняет определенный круг задач, что позволяет осуществлять полный цикл услуг, от производства строительных материалов и строительства, до транспортных услуг.

За период своей многолетней истории, предприятие специализировалось не только на выполнении ремонтно-строительных работ, обслуживании и ремонте оборудования, но также и на производстве столярных и металлических изделий. Развиваясь и меняясь вместе с рынком строительных услуг, неизменным остается высокое качество выполняемых работ. Сейчас ОАО «РОСТСТРОЙ» имеет возможность выполнять работы по строительству, ремонту и реконструкции объектов гражданского строительства, жилищно-коммунального хозяйства, а также энергетического и металлургического комплексов.

В ОАО «РОСТСТРОЙ» работает команда высококвалифицированных специалистов с огромным опытом работы. Здесь имеется свой штат строителей, монтажников металлоконструкций, теплоизолировщиков, футеровщиков, промышленных альпинистов, кровельщиков, газо- и электросварщиков, поэтому данное предприятие можем качественно реализовывать проекты любой сложности в кратчайшие сроки. Наличие собственной производственной базы позволяет успешно выполнять любые поставленные заказчиком задачи.

1.2 Основные направления деятельности ОАО «РОСТСТРОЙ»

Предприятие ОАО «РОСТСТРОЙ» обеспечивает:

1. Производство ЖБИ, бетона, бетонного раствора

Производство бетонных, железобетонных изделий, металлоконструкций любой сложности, опалубки, товарного бетона, строительного раствора. За период существования производства освоен практически весь комплекс типовых железобетонных, бетонных изделий гражданского жилищного строительства (плиты, перекрытия шириной 1,2 и 1,5 м, дорожные плиты, плиты фундаментов, лестничные марши, площадки, перемычки всех типов, телефонные колодцы, промзабор, прогоны, сваи до 12 м, ж/б колодцы и др.). Продукция завода поставляется на объекты гражданского, жилищного строительства, на строительство уникальных сооружений культурно - социального назначения.

2. Производство и монтаж элементов фасада: оконные системы (окна из ПВХ и алюминиевого профиля), воротные системы проектирование, изготовление, монтаж светопрозрачных конструкций любой сложности из алюминиевого и ПВХ-профиля (окна, двери, витражи, фасады зданий, крышные конструкции, фонари, зимние сады, остекление балконов и лоджий, в том числе раздвижных, офисные перегородки); ворота всех типов: подъемно-поворотные, секционные, распашные, сдвижные, кованные, роллеты.

3. Производство тротуарной плитки: предприятие производит тротуарную плитку различных типоразмеров. Широкий ассортимент производимой плитки (а также формы, цветовые решения, элементы фактуры и декора) и высокое качество и надежность в эксплуатации, отвечают современным требованиям любого объекта строительства.

4. Строительство: подрядная деятельность, производство строительно-монтажных работ, ремонтно-восстановительных работ, строительная реконструкция. ОАО «РОСТСТРОЙ» выполняет общестроительные работы, реконструкцию промышленных комплексов, зданий, сооружений, объектов жилья, социально-бытового назначения по всему спектру строительных работ.

5. Транспорт: наряду с производством строительных материалов и строительной деятельностью данное предприятие организует поставки жби (строительных материалов) и бетонных растворов на любые объекты строительства на территории Ростовской области. Предприятие имеет в своем распоряжении собственный специализированный автомобильный парк, оснащенный в соответствии с современными требованиями, это позволяет осуществлять полный комплекс автотранспортных услуг. Отличительные особенности: мобильность и оперативность.

1.3 Структура предприятия ОАО «РОСТСТРОЙ»

Организационная структура предприятия - совокупность управленческих звеньев находящихся в строгой соподчиненности взаимосвязанных и взаимодействующих между собой. Организационная структура предприятия определяет область ответственности и функциональную значимость каждого элемента входящего в состав данной структуры.

В структуре строительного предприятия ОАО «РОСТСТРОЙ» есть все отделы и службы, каждый из которых четко выполняет свою функцию, при полном взаимодействии со всеми подразделениями предприятия. И, конечно же, квалифицированные специалисты, руками которых выполняются работы. Такая структура предприятия позволяет успешно и качественно выполнять работы одновременно на нескольких объектах.

Структура строительного предприятия располагает всеми специалистами для производства общестроительных и специализированных работ.

Фирма имеет сильный инженерно-технический персонал, который способен решать сложнейшие производственные, технологические и конструкторские задачи.

В распоряжении фирмы также имеется проектный отдел. Технические решения проекта разрабатываются исходя из технологий, прогрессивных показателей расхода основных материалов и трудоемкости строительства.

1.4 Информационные потоки предприятия ОАО «РОСТСТРОЙ»

Информационными потоками - называется строго определенная последовательность циклов передвижения информации на предприятии.

В основном деятельность сотрудников в сети сводится к работе с базами данных, использованием информации хранящейся на Web-сервере, работа с Интернет протоколами. В связи с этим можно дать следующую классификацию информационных потоков:

· Пакеты больших размеров - (Web Server)

· Пакеты средних размеров - (Data Base)

· Пакеты малых размеров - (POP mail, SMTP mail)

2. Аудит информационной безопасности и необходимость его проведения

В настоящее время информация является одним из самых ценных ресурсов в любой компании (организации, предприятии), а для некоторых - и основным производственным ресурсом, ведь от сохранности информации и бесперебойного доступа к ней нередко зависят важные технологические и бизнес-процессы. Но с развитием информационных технологий также стремительно возрастает риск утечки информации, внешнего вмешательства в работу информационно-телекоммуникационной системы (ИТС), заражение вирусами. Важно осознавать реальное состояние защищенности ценных ресурсов ИТС, чтобы противостоять внешним и внутренним угрозам ее безопасности. В этом реальную помощь может оказать независимое исследование состояния безопасности ИТС - аудит безопасности.

Аудит информационной безопасности - это системный процесс получения объективных качественных и количественных оценок текущего состояния корпоративной ИТС в соответствии с критериями информационной безопасности.

Для того чтобы оценить реальное состояние защищенности ресурсов ИТС и ее способность противостоять внешним и внутренним угрозам безопасности, необходимо регулярно проводить аудит информационной безопасности.

Аудит информационной безопасности можно разделить на два вида:

- экспертный аудит информационной безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре аудита;

- аудит информационной безопасности на соответствие международному стандарту ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», разработанному Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799-2:2002 «Системы управления информационной безопасностью. Спецификация и руководство по применению».

В число задач, которые решаются в ходе проведения аудита информационной безопасности входят:

- сбор и анализ исходных данных об организационной и функциональной структуре ИТС организации, необходимых для оценки состояния информационной безопасности;

- анализ существующей политики обеспечения информационной безопасности на предмет полноты и эффективности;

- анализ информационных и технологических рисков связанных с осуществлением угроз информационной безопасности;

- осуществление тестовых попыток несанкционированного доступа к критически важным узлам ИТС и определение уязвимости в установках защиты данных узлов;

- формирование рекомендаций по разработке (или доработке) политики обеспечения информационной безопасности на основании анализа существующего режима информационной безопасности;

- формирование предложений по использованию существующих и установке дополнительных средств защиты информации для повышения уровня надежности и безопасности ИТС организации.

Цель проведения экспертного аудита информационной безопасности - оценка состояния безопасности ИТС и разработка рекомендаций по применению комплекса организационных мер и программно-технических средств, направленных на обеспечение защиты информационных и других ресурсов ИТС от угроз информационной безопасности.

Экспертный аудит информационной безопасности является начальным этапом работ по созданию комплексной системы защиты информации ИТС. Эта подсистема представляет собой совокупность мер организационного и программно-технического уровня, которые направлены на защиту информационных ресурсов ИТС от угроз информационной безопасности, связанных с нарушением доступности, целостности и конфиденциальности хранимой и обрабатываемой информации.

Экспертный аудит информационной безопасности позволяет принять обоснованные решения по использованию мер защиты, необходимых для отдельно взятой организации, оптимальных в соотношении их стоимости и возможности осуществления угроз нарушения информационной безопасности.

Аудит информационной безопасности на соответствие международному стандарту ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности (СМИБ), обязательных для сертификации. Стандарт устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной СМИБ в контексте существующих бизнес-рисков организации.

Таким образом, результатом проведенного аудита на соответствие международному стандарту ISO/IEC 27001:2005 является:

- описание области деятельности СМИБ;

- методику определения существенных активов;

- список (опись, реестр) существенных активов организации и их ценность (критичность);

- методику оценки рисков;

- отчет по оценке рисков;

- критерии для принятия рисков;

- заявление о принятии (одобрении) остаточных рисков;

- план обработки рисков;

- список политик, руководств, процедур, инструкций, необходимых для функционирования СМИБ организации. Рекомендации по их разработке.

2.1 Шаги проведения комплексного аудита безопасности ИС

· Информационное обследование ИС.

· Анализ соответствия предъявляемым требованиям.

· Инструментальное исследование элементов инфраструктуры компьютерной сети и корпоративной информационной системы.

· Анализ уязвимостей и оценка рисков.

· Рекомендации по результатам организационно-технического анализа системы ИБ предприятия.

По желанию Заказчика может быть проведен аудит по отдельным видам работ, по отдельным объектам ИС (ЛВС, периметр защиты ИС, автоматизированные системы) либо выполнены дополнительные работы:

· Анализ документооборота предприятия категории «коммерческая тайна» на соответствие требованиям нормативных документов отраслевого, федерального уровня и внутренним требованиям предприятия по обеспечению.

· Предпроектное обследование объектов информатизации.

· Тесты на проникновение.

3. Анализ системы безопасности предприятия ОАО «РОСТСТРОЙ»

3.1 Анализ существующей системы инженерно-технической защиты информации. Перечень разработанных рекомендаций по повышению эффективности системы инженерно-технической защиты информации

На предприятии осуществлено ограждение территории заборами, усовершенствованными с помощью нескольких валиков скрученной колючей проволоки, регулярно осуществляется обход территории завода охранниками, средства видеонаблюдения отсутствуют, используется система дежурного и аварийного охранного освещения.

На предприятии используется подсистема контроля и управления доступом.

Подсистема контроля и управления доступом (СКУД) представляет собой совокупность организационных мер, оборудования и приборов, инженерно-технических сооружений, алгоритмов и программ, которая автоматически выполняет в определенных точках объекта в заданные моменты времени, следующие основные задачи:

- разрешает проход уполномоченным субъектам (сотрудникам, посетителям, транспорту);

- запрещает проход всем остальным.

Объект разбит на зоны доступа, в каждую из которых имеет право проходить строго определенные лица (субъекты). Для доступа в зоны субъекту необходимо пройти набор точек доступа. В каждой точке доступа установлены считыватели и преграждающие устройства.

На предприятии имеются две проходные, оборудованные двустворчатыми воротами с шириной проезда 6 метров. Через одну из них осуществляется проход персонала и проезд на личном автотранспорте к зданию администрации. Доступ на территорию предприятия осуществляется посредством смарт-карт. Смарт-карта представляет собой пластиковую карточку, по размерам соответствующую обычной кредитной карточке, в которую заключены микропроцессор и запоминающее устройство.

Внутренняя архитектура смарт-карты включает микропроцессор, позволяющий использовать сложные способы кодирования информации, постоянную память, в которую зашиты команды для процессора, оперативную память, используемую в качестве рабочей, и перезаписываемую память для чтения и записи информации извне.

Для контроля над деятельностью персонала на контрольно-пропускном пункте установлена система контроля доступа, состоящая из считывателя карт, контроллера обработки информации от считывателя, а также программного обеспечения (с персональным компьютером) для ведения непрерывного протокола событий обо всех действиях персонала.

К системе контроля доступа подключены шлагбаум, и турникеты что позволяет открывать шлагбаум автоматически при поднесении карточки к считывателю.

На входе установлены два турникета и четыре считывателя - на вход и на выход. Для прохода через турникет сотруднику необходимо поднести карточку к соответствующему считывателю. Все считыватели подключены к контроллерам системы контроля доступа, которые принимают решение о допуске сотрудников, а также ведут непрерывный протокол всех событий.

Вторая проходная предназначена для грузового транспорта. В непосредственной близости от проходной расположена стоянка грузовых автомобилей, где и осуществляется погрузка-разгрузка материалов.

Доступ на территорию предприятия через вторую проходную осуществляется с помощью системы пропусков. Пропуск выписывается заранее. Государственные номера автотранспорта, цель прибытия, время погрузки и разгрузки фиксируются в специальном журнале.

В здании администрации организована система охранной сигнализации: на окна и входные двери установлены специальные устройства, передающие сигнал тревоги при открывании, во многих помещениях установлены датчики движения.

Разработанные рекомендации:

1. Организовать на предприятии охранное телевидение.

2. Оборудовать входные двери специальными замками, позволяющими регулировать доступ в помещения.

3. Заменить и установить армированную колючую ленту на определенных участках периметра.

4. Установить противотаранное устройство на проходной для автотранспорта.

5. Заменить двустворчатые ворота на проходной для автотранспорта.

6. Установить устройство защиты телефонных линий в кабинете директора (Цикада М, Зевс, Генератор Соната АВ 1М).

7. Установить прибор для защиты помещений от прослушивания через акустический и вибрационный каналы в помещении, предназначенном для конфиденциальных переговоров (Зевс, Генератор ВГШ-103, виброакустический генератор SI-3001, шумогенератор PNG-200).

8. Использовать технические средства для повышения отказоустойчивости и защиты оборудования от сбоя электропитания (источники бесперебойного питания APC Smart 420 VA и источник бесперебойного питания IPPON PowerPro Back 400 VA).

9. Использовать программно-аппаратные средства криптографической защиты линии конференцсвязи директора (аппаратно-программный комплекс шифрования (АПКШ) «Континент», аппаратно-программный криптографический комплекс «Верба» и «ШИП», аппаратно-программный комплекс ViPNet).

3.2 Анализ существующей системы документооборота. Перечень разработанных рекомендаций

Документы, содержащие конфиденциальную информацию, обрабатываются в следующих отделах: бухгалтерия, отдел кадров, юридический одел, отдел безопасности. К ним относятся:

- бухгалтерский баланс;

- отчеты о прибылях и убытках в приложениях к балансу и налоговым декларациям;

- первичные документы (декларация по налогу на добавленную стоимость, платежные поручения, кассовые ордера, выписки банка, справки о состоянии расчетного счета, банковские гарантии и т.д.)

- сводные учетные документы;

- сведения бухгалтерских регистров;

- внутренняя отчетность;

- данные налогового и управленческого учета;

- плановые и фактические показатели финансово-хозяйственной деятельности;

- сведения о личных доходах каждого работника;

- сведения о долговых обязательствах предприятия, в том числе о размерах и условиях полученных кредитов и займов;

- механизм ценообразования (прямые издержки, накладные расходы, норма прибыли);

- результаты изучения рынка, оценка состояния и перспектив развития рыночной конъюнктуры;

- сведения о рыночной стратегии фирмы и об оригинальных методах продвижения товаров;

- проекты прайс-листов и условия предоставления скидок;

- сведения о предполагаемых закупках, о полученных заказах и об объемах взаимных поставок по долгосрочным договорам;

- сведения о предприятии как о торговом партнере;

- данные обо всех контрагентах, деловых партнерах и конкурентах предприятия, которые не содержатся в открытых источниках;

- торговые соглашения, которые по договоренности сторон считаются конфиденциальными;

- сведения о проведении, повестках дня и результатах служебных совещаний;

- сведения о подготовке и результатах переговоров с деловыми партнерами предприятия;

- состояние программного и компьютерного обеспечения фирмы;

- сведения о структуре производства, производственных мощностях, типах и размещении оборудования, запасах сырья, материалов, комплектующих изделий и готовой продукции;

- направления и объемы инвестиций;

- плановые экономические показатели;

- планы расширения или свертывания производства различных видов продукции и их технико-экономические обоснования;

- сведения о новых материалах и технологии их применения, о комплектующих изделиях, которые придают продукции новые качества;

- сведения о модернизации известных технологий, которая позволяет повысить конкурентоспособность продукции;

- сведения о целях, задачах и программах перспективных исследований;

- конструкционные характеристики создаваемых изделий и параметры разрабатываемых технологических процессов (габариты, компоненты, режимы обработки и т.п.);

- особенности конструкторско-технологических решений и дизайнерского оформления, которые могут изменить рентабельность изделий;

- условия экспериментов и характеристика оборудования, на котором они проводились.

При ознакомлении посторонних лиц с данными документами возможны следующие последствия:

- разрыв (или ухудшение) деловых отношений с партнерами;

- срыв переговоров, потеря выгодных контрактов;

- невыполнение договорных обязательств;

- необходимость проведения дополнительных рыночных исследований;

- отказ от решений, ставших неэффективными из-за огласки информации, и, как следствие, финансовые потери, связанные с новыми разработками;

- ущерб авторитету или деловой репутации фирмы;

- более жесткие условия получения кредитов;

- трудности в снабжении и приобретении оборудования и т.д.

Система документооборота на предприятии заключается в следующем.

На предприятии различают три основных потока документации:

- входящие документы, поступающие из других организаций;

- исходящие документы, отправляемые в другие организации;

- внутренние документы, создаваемые на предприятии и используемые работниками предприятия в управленческом процессе.

Все документы, поступающие на предприятие, проходят первичную обработку, предварительное рассмотрение, регистрацию, рассмотрение руководством, передачу на исполнение.

Не вскрываются и передаются по назначению документы с пометкой «лично».

Предварительное рассмотрение документов проводится секретарем с целью распределения поступивших документов на:

- направляемые на рассмотрение руководителю предприятия;

- направляемые непосредственно в структурные подразделения или конкретным исполнителям.

Без рассмотрения руководителем передаются по назначению документы, содержащие текущую оперативную информацию или адресованные в конкретные подразделения. Это позволяет освободить руководителя предприятия от рассмотрения мелких текущих вопросов, решение по которым могут принимать ответственные исполнители.

На рассмотрение руководства передаются документы, адресованные руководителю предприятия и документы, содержащие информацию по наиболее важным вопросам деятельности предприятия.

Если документ должен исполняться несколькими подразделениями или должностными лицами, его размножают в нужном количестве экземпляров.

Документы, подлежащие отправке в другую организацию, сортируют, упаковывают, оформляют как почтовое отправление и сдают в отделение связи.

Внутренние документы предприятия передаются исполнителям под расписку в регистрационной форме.

Регистрации подлежат все документы, требующие специального учета, исполнения и использования в справочных целях независимо от способа получения. Сам процесс регистрации - это снятие с документа показателей (реквизитов) и занесение их в определённую регистрационную форму (журнал, ПЭВМ) для создания базы данных о документах учреждения.

Каждый документ, отнесённый к числу регистрируемых, получает свой регистрационный номер.

Документы регистрируются один раз. Регистрация внутренних документов проводится, децентрализовано по группам внутри отделов.

Для входящих, исходящих и внутренних документов ведутся раздельные регистрационные формы с самостоятельными регистрационными номерами.

К документам, содержащим конфиденциальную информацию, имеют доступ начальники отделов и их заместители. Все документы хранятся в столах у начальников отделов, передаются в другие структурные подразделения лично начальником отдела или его заместителем. Учет документов, содержащих конфиденциальную информацию, ведется вместе с учетом остальных документов. Доступ к документам в электронном виде разграничен системой доступа к файлам.

Недостатками данной системы документооборота является то, что невозможно отследить четкие маршруты прохождения документов и распределить поступающие документы по степени конфиденциальности. Конфиденциальный документ, проходя согласование, визирование у многих руководителей и во многих подразделениях, оказывается в руках большого числа посторонних людей - секретарей, заместителей, помощников руководителей, не имеющих к нему прямого отношения. Также человек, получивший доступ в кабинет начальника отдела, практически беспрепятственно может ознакомиться с конфиденциальными документами, хранящимися в столе.

Необходим комплекс административных, процедурных и программно - аппаратных мер, направленных на минимизацию утечки информации через сотрудников: сократить количество людей, допущенных к конкретной информации, до минимально необходимого, жестко разграничивать доступ к хранилищам информации, контролировать, кто получил информацию, защищать процесс ее передачи.

Разработанные рекомендации:

1. Создать на предприятии сектор по работе с документами, содержащими конфиденциальную информацию.

2. Разработать «Инструкцию по обеспечению сохранности коммерческих тайн на предприятии».

3.3 Анализ существующей системы компьютерной безопасности. Перечень разработанных рекомендаций по повышению компьютерной безопасности

На предприятии существует локальная вычислительная сеть (ЛВС). ЛВС управляется операционной системой Windows 2000 Server.

В качестве основного средства бухгалтерского учета на предприятии используется сетевая версия программы 1С, прекрасно зарекомендовавшая себя по всем характеристикам. Программа поддерживается операционной системой Windows 98/2000/NT/ХР и сервисно обслуживается специально подготовленным для этого персоналом фирмы-продавца.

Так как ОАО «РОСТСТРОЙ» имеет вертикальную структуру и точно известно, какой сотрудник и к какой информации должен иметь доступ, то на предприятии используется вариант сети с выделенным сервером. Только в такой сети существует возможность администрирования прав доступа. Топология типа «звезда» представляет собой более производительную структуру, каждый компьютер, в том числе и сервер, соединяется отдельным сегментом кабеля с центральным концентратором (HAB). Основным преимуществом такой сети является её устойчивость к сбоям, возникающим вследствие неполадок на отдельных ПК или из-за повреждения сетевого кабеля.

Сервер установлен в специальном помещении (серверной), которое удовлетворяет требованиям, то есть уровень шума в помещении минимален, помещение изолированно от других, следовательно, доступ к серверу ограничен. В то же время более удобно проводить обслуживание сервера.

Вся кабельная сеть проложена в пустоте между фальш-полом и плитами перекрытия этажей.

Компьютеры предприятия сгруппированы в рабочие группы, что дает два важных преимущества сетевым администраторам и пользователям. Наиболее важное - серверы домена составляют единый административный блок, совместно использующий службу безопасности и информацию учетных карточек пользователя. Каждая рабочая группа имеет одну базу данных, содержащую учетные карточки пользователя и групп, а также установочные параметры политики безопасности. Все серверы домена функционируют либо как первичный контроллер домена, либо как резервный контроллер домена, содержащий копию этой базы данных. Это означает, что администраторам нужно управлять только одной учетной карточкой для каждого пользователя, и каждый пользователь должен использовать и помнить пароль только одной учетной карточки.

Windows 2000 Server имеет средства обеспечения безопасности, встроенные в операционную систему. Ниже рассмотрены наиболее значимые из них:

1 Слежение за деятельностью сети.

Windows 2000 Server дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.

2 Начало сеанса на рабочей станции.

Всякий раз, когда пользователь начинает сеанс на рабочей станции, экран начала сеанса запрашивает имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в домен для идентификации. Сервер в домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как, например, установки пользователя, свой каталог и переменные среды.

По умолчанию не все учетные карточки в домене позволяют входить в систему. Только карточкам групп администраторов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать.

Для всех пользователей сети предприятия предусмотрено свое имя и пароль.

3 Учетные карточки пользователей.

Каждый клиент, который использует сеть, имеет учетную карточку пользователя в домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе. Таблица 1 показывает содержимое учетной карточки пользователя.

Таблица 1 - Содержимое учетной карточки

Учетная карточка пользователя	Элемент учетной карточки	Комментарии
Username	Имя пользователя	Уникальное имя пользователя, выбирается при регистрации.
Password	Пароль	Пароль пользователя.
Full name	Полное имя	Полное имя пользователя.
Logon hours	Часы начала сеанса	Часы, в течение которых пользователю позволяется входить в систему. Они влияют на вход в систему сети и доступ к серверу. Так или иначе, пользователь вынужден будет выйти из системы, когда его часы сеанса, определенные политикой безопасности, истекут.
Logon workstations	Рабочие станции	Имена рабочих станций, на которых пользователю позволяется работать. По умолчанию пользователь может использовать любую рабочую станцию, но возможно введение ограничений.
Expiration date	Дата истечения срока	Дата в будущем, когда учетную карточку автоматически исключают из базы, полезна при принятии на работу временных служащих.
Home directory	Собственный каталог	Каталог на сервере, который принадлежит пользователю; пользователь управляет доступом к этому каталогу.
Logon script	Сценарий начала сеанса	Пакетный или исполняемый файл, который запускается автоматически, когда пользователя начинает сеанс.
Profile	Установки (параметры)	Файл, содержащий запись о параметрах среды рабочего стола пользователя, о таких, например, как сетевые соединения, цвета экрана и установочные параметры, определяющие, какие аспекты среды, пользователь может изменить.
Account type	Тип учетной карточки	Тип учетной карточки - глобальный или локальный.

4 Журнал событий безопасности.

Windows 2000 Server позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий.

Журнал событий безопасности для условий предприятия является обязательным, так как в случае попытки взлома сети можно будет отследить источник.

Таблица включает категории событий, которые могут быть выбраны для ревизии, а также события, покрываемые каждой категорией.

Таблица 2 - Категории событий для ревизии

Категория	События
Начало и конец сеанса	Попытки начала сеанса, попытки конца сеанса; создание и завершение сетевых соединений к серверу
Доступ к файлам и объектам	Доступы к каталогу или файлу, которые устанавливаются для ревизии в диспетчере файлов; использование принтера, управление компьютером
Использование прав пользователя	Успешное использование прав пользователя и неудачные попытки использовать права, не назначенные пользователям
Управление пользователями и группами	Создание, удаление и модификация учетных карточек пользователя и групп
Изменения полиса безопасности	Предоставление или отменена прав пользователя пользователям и группам, установка и разрыв связи доверия с другими доменами
Перезапуск, выключение и система	Остановка и перезапуск компьютера, заполнение контрольного журнала и отвержение данных проверки, если контрольный журнал уже полон
Трассировка процесса	Начало и остановка процессов в компьютере

Для каждого пользователя предприятия обязательно устанавливаются свои права доступа к информации, разрешение на копирование и восстановление файлов.

5 Установка пароля и политика учетных карточек.

Для домена можно определить все аспекты политики пароля: минимальную длину пароля (по умолчанию 6 символов), минимальный и максимальный возраст пароля (по умолчанию устанавливается 14 и 30 дней) и исключительность пароля, который предохраняет пользователя от изменения его пароля на тот пароль, который пользователь использовал недавно (по умолчанию должен предохранить пользователей от повторного использования их последних трех паролей).

Дается возможность также определить и другие аспекты политики учетных карточек:

- должна ли происходить блокировка учетной карточки;

- должны ли пользователи насильно отключаться от сервера по истечении часов начала сеанса;

- должны ли пользователи иметь возможность входа в систему, чтобы изменить свой пароль.

Когда разрешена блокировка учетной карточки, тогда учетная карточка блокируется в случае нескольких безуспешных попыток начала сеанса пользователя, и не более чем через определенный период времени между любыми двумя безуспешными попытками начала сеанса. Учетные карточки, которые заблокированы, не могут быть использованы для входа в систему. Блокировка учетной карточки обязательно должна быть установлена в предприятие, что бы предотвратить попытки входа в систему.

Если пользователи принудительно отключаются от серверов, когда время его сеанса истекло, то они получают предупреждение как раз перед концом установленного периода сеанса. Если пользователи не отключаются от сети, то сервер произведет отключение принудительно. Часы сеанса в фирме установлены, так как недопустимо, чтобы сотрудники предприятия оставались на рабочем месте дольше установленного времени.

Если от пользователя требуется изменить пароль, то, когда он этого не сделал при просроченном пароле, он не сможет изменить свой пароль. При просрочке пароля пользователь должен обратиться к администратору системы за помощью в изменении пароля, чтобы иметь возможность снова входить в сеть. Если пользователь не входил в систему, а время изменения пароля подошло, то он будет предупрежден о необходимости изменения, как только он будет входить.

На предприятии доступ к сети Интернет имеют ограниченное число пользователей. При этом осуществляется защита вычислительных машин от вредоносных программ извне с помощью программного средства Антивирус Касперского Personal Pro, установленного на ЭВМ, имеющим доступ к сети Интернет.

Разработанные рекомендации:

1. Так как на рабочие станции установлены операционные системы разных версий (Windows от 95 до ХР), то лучше устанавливать антивирусные программы на каждый компьютер. При этом почта будет проверяться на сервере (как это происходит в настоящий момент), а интернет-трафик - на каждой отдельной рабочей станции.

2. Установить программу контроля соблюдения правил работы на персональном компьютере.

3. Установить универсальный замок для защиты корпуса ПЭВМ, на которых производится обработка конфиденциальной информации, от несанкционированного вскрытия.

4. Установить систему санкционированного доступа на ПЭВМ, на которых производится обработка конфиденциальной информации.

информационный аудит безопасность поток

4. Современные методы и средства аудита информационной безопасности

Сегодня не вызывает сомнений необходимость вложений в обеспечение информационной безопасности современного крупного бизнеса. Основной вопрос современного бизнеса - как оценить необходимый уровень вложений в ИБ для обеспечения максимальной эффективности инвестиций в данную сферу. Для решения этого вопроса существует только один способ - применять системы анализа рисков, позволяющие оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков к затратам на ИБ).

По статистике, самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины:

- ограничение бюджета;

- отсутствие поддержки со стороны руководства.

Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для ИТ-менеджера обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что ИТ-менеджеры и руководители разговаривают на разных языках - техническом и финансовом, но ведь и самим ИТ-специалистам часто трудно оценить, на что потратить деньги и сколько их требуется для обеспечения большей защищенности системы компании, чтобы эти расходы не оказались напрасными или чрезмерными.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и всё это подтверждено документально, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting), американский RiskWatch (компания RiskWatch) и российский ГРИФ (компания Digital Security). Рассмотрим далее данные методы и построенные на их базе программные системы.

4.1 Метод CRAMM

Метод CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по компьютерам и телекоммуникациям Великобритании (Central Computer and Telecommunications Agency) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется, начиная с 1985 г., правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире. Фирма Insight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего метод CRAMM.

В настоящее время CRAMM - это довольно мощный и универсальный инструмент, позволяющий, помимо анализа рисков, решать также и ряд других аудиторских задач, включая:

- проведение обследования ИС и выпуск сопроводительной документации на всех этапах его проведения;

- проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995;

- разработка политики безопасности и плана обеспечения непрерывности бизнеса.

В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Метод является универсальным и подходит как для больших, так и для мелких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, ориентированные на разные типы организаций, отличаются друг от друга своими базами знаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций - Правительственный профиль (Government profile). Правительственный вариант профиля, также позволяет проводить аудит на соответствие требованиям американского стандарта ITSEC («Оранжевая книга»).

Грамотное использование метода CRAMM позволяет получать очень хорошие результаты, наиболее важным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками позволяет, в конечном итоге, экономить средства, избегая неоправданных расходов.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: «Достаточно ли для защиты системы применения средств базового уровня, реализующих традиционные функции безопасности, или необходимо проведение более детального анализа?» На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Методика CRAMM для каждого этапа определяет набор исходных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.

На первой стадии исследования производится идентификация и определение ценности защищаемых ресурсов.

Оценка производится по десятибалльной шкале, причем критериев оценки может быть несколько - финансовые потери, потери репутации и т.д.

При низкой оценке по всем используемым критериям (3 балла и ниже) считается, что рассматриваемая система требует базового уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и вторая стадия исследования пропускается.

На второй стадии идентифицируются и оцениваются угрозы в сфере информационной безопасности, производится поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по следующей шкале: очень высокий, высокий, средний, низкий, очень низкий. Уровень уязвимости оценивается как высокий, средний или низкий. На основе этой информации вычисляется оценка уровня риска по семибальной шкале.

На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт предлагает рекомендации следующих типов:

- рекомендации общего характера;

- конкретные рекомендации;

- примеры того, как можно организовать защиту в данной ситуации.

CRAMM имеет обширную базу, содержащую описание около 1000 примеров реализации подсистем защиты различных компьютерных систем. Данные описания можно использовать в качестве шаблонов.

Решение о внедрении в систему новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для руководства организации.

В случае принятия решения о внедрении новых контрмер и модификации старых, на аудитора может быть возложена задача подготовки плана внедрения новых контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки метода CRAMM.

К недостаткам метода CRAMM можно отнести следующее:

- использование метода CRAMM требует специальной подготовки и высокой квалификации аудитора;

- CRAMM в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;

- аудит по методу CRAMM - процесс достаточно трудоемкий и может потребовать месяцев непрерывной работы аудитора;

- программный инструментарий CRAMM генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике;

- CRAMM не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся;

- возможность внесения дополнений в базу знаний CRAMM не доступна пользователям, что вызывает определенные трудности при адаптации этого метода к потребностям конкретной организации;

- программное обеспечение CRAMM существует только на английском языке;

- стоимость лицензии от 2000 до 5000 долл.

4.2 Программное обеспечение RiskWatch

Программное обеспечение RiskWatch является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

- RiskWatch for Physical Security - для физических методов защиты ИС;

- RiskWatch for Information Systems - для информационных рисков;

- HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);

- RiskWatch RW17799 for ISO 17799 - для оценки требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

Семейство программных продуктов RiskWatch имеет массу достоинств. RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.

В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

В основе продукта RiskWatch находится методика анализа рисков, которая состоит из четырех этапов.

Первый этап - определение предмета исследования. Здесь описываются такие параметры, как тип организации, состав исследуемой системы (в общих чертах), базовые требования в области безопасности. Для облегчения работы аналитика, в шаблонах, соответствующих типу организации («коммерческая информационная система», «государственная / военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, потерь, угроз, уязвимостей и мер защиты. Из них нужно выбрать те, что реально присутствуют в организации.

Например, категории потерь:

- Задержки и отказ в обслуживании;

- Раскрытие информации;

- Прямые потери (например, от уничтожения оборудования огнем);

- Жизнь и здоровье (персонала, заказчиков и т.д.);

- Изменение данных;

- Косвенные потери (например, затраты на восстановление);

- Репутация.

Второй этап - ввод данных, описывающих конкретные характеристики системы. Данные могут вводиться вручную или импортироваться из отчетов, созданных инструментальными средствами исследования уязвимости компьютерных сетей.

На этом этапе:

1. Подробно описываются ресурсы, потери и классы инцидентов. Классы инцидентов получаются путем сопоставления категории потерь и категории ресурсов.

Для выявления возможных уязвимостей используется опросник, база которого содержит более 600 вопросов. Вопросы связаны с категориями ресурсов.

2. Задается частота возникновения каждой из выделенных угроз, степень уязвимости и ценность ресурсов. Все это используется в дальнейшем для расчета эффекта от внедрения средств защиты.

Третий и, наверное, самый важный этап - количественная оценка. На этом этапе рассчитывается профиль рисков, и выбираются меры обеспечения безопасности. Сначала устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, выделенными на предыдущих шагах исследования (риск описывается совокупностью этих четырех параметров).

Фактически, риск оценивается с помощью математического ожидания потерь за год. Например, если стоимость сервера $150000, а вероятность того, что он будет уничтожен пожаром в течение года, равна 0.01, то ожидаемые потери составят $1500.

Общеизвестная формула (m=p*v, где m-математическое ожидание, p - вероятность возникновения угрозы, v - стоимость ресурса) претерпела некоторые изменения, в связи с тем, что RiskWatch использует определенные американским институтом стандартов NIST оценки, называемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) - показывает, сколько раз в год в среднем данная угроза реализуется в данном месте (например, в городе). SAFE (Standard Annual Frequency Estimate) - показывает, сколько раз в год в среднем данная угроза реализуется в этой «части мира» (например, в Северной Америке). Вводится также поправочный коэффициент, который позволяет учесть, что в результате реализации угрозы защищаемый ресурс может быть уничтожен не полностью, а только частично.