Размещено на http://www.allbest.ru/

Содержание

Введение

1. Производственные системы и процессы, подлежащие защите

2. Цели политики информационной безопасности

3. Правила информационной безопасности

3.1 Физическая безопасность

3.2 Аутентификация и безопасность сети

3.3 Реализация политики безопасности

3.4 Антивирусная защита

3.5 Шифрование

Заключение

Список используемой литературы

Введение

В данной работе будет разработан проект информационной безопасности на предприятии ООО «ЭкоТрансСервис».

Информационная безопасность компании - это состояние защищенности информационных ресурсов компании, она достигается деятельностью руководства и СБ по защите информации.

Данная работа нацелена на разработку защиты внутренних информационных ресурсов предприятия, как на бумажных, так и на электронных носителях, в том числе внутренней локально-вычислительной сети. В процессе написания данной политики ИБ будут использоваться абстрактные правила, не затрагивая точной технической стороны вопроса. Это сделано для того, чтобы изменения в структуре информационной системы или в политики самого предприятия, не приводили к необходимости изменять политику информационной безопасности, также для того чтобы можно было использовать различные механизмы в зависимости от текущей ситуации. При разработке будут учитываться действующее законодательство и нормативные акты.

В данной работе будут рассмотрены такие вопросы ИБ:

ь физическая безопасность;

ь аутентификация и безопасность сети;

ь правила безопасности интернет;

ь правила безопасности электронной почты;

ь вирусы;

ь шифрование.

Вопросы аутентификация и безопасность сети, правила безопасности интернет, правила безопасности электронной почты будут объедены в один раздел, так как они имеют общие аспекты, которые нет необходимости рассматривать повторно.

1. Производственные системы и процессы, подлежащие защите

Источниками конфиденциальной информации считаются:

- люди (сотрудники, клиенты, посетители, обслуживающий персонал);

- документы материальные и представленные в электронном виде;

- технические средства носителей информации и их обработки;

- выпускаемая продукция;

- производственные и промышленные отходы и т.д.

Защита конфиденциальной информации направлена на предотвращение:

несанкционированного доступа к информации;

искажения информации;

утери информации.

Наиболее опасные последствия для компании возникают при получении несанкционированного доступа к конфиденциальной информации, которые могут проявляться в следующем:

разрыв деловых отношений с партнерами;

срыв переговоров при заключении выгодного контракта;

отказ от коммерческих решений, ставших неэффективными в результате получения информации конкурентами;

создание трудностей в снабжении, производстве и сбыте продукции;

необходимость проведения новых маркетинговых исследований.

К числу наиболее вероятных сценариев получения несанкционированного доступа к конфиденциальной информации относятся следующие:

- совместная деятельность с другими компаниями;

- проведение переговоров;

- посещение компании;

- реклама, публикация в печати, интервью для прессы;

- консультация специалистов со стороны, получающих доступ к документации и производственной деятельности компании;

- фиктивные запросы о возможности работы с компанией, заключение с ней сделок;

- рассылка отдельным сотрудникам компании различных анкет и вопросников под маркой научных или маркетинговых исследований;

- частные беседы с сотрудниками компании, навязывание им незапланированных дискуссий по тем или иным проблемам.

Защита конфиденциальной информации предполагает применение следующего комплекса мер:

правовые меры;

меры, связанные с кадровой работой;

меры, направленные на создание конфиденциального делопроизводства;

режимные мероприятия;

организационные мероприятия;

мероприятия по инженерно-технической защите;

мероприятия по применению технических средств защиты информации.

Согласно действующему законодательству Российской Федерации можно применить следующее разграничение информации по грифу конфиденциальности:

ь открытая информация (ОИ);

ь для внутреннего использования (ДВИ);

ь конфиденциальная информация (КИ).

При этом необходимо отметить, что право на отнесение информации к какому-либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит ее обладателю.

Базовыми принципами защиты информации являются конфиденциальность, целостность и доступность, соблюдение которых есть необходимое условие обеспечения безопасности различных категорий информации.

Открытая информация.

К открытой информации относится:

* информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т. п.);

* информация, полученная из внешних открытых источников;

* информация, находящаяся на внешнем web-сайте компании.

Для ОИ важно соблюдение принципов целостности и доступности.

Многие считают, что защищать открытую информацию не имеет смысла. Однако это не так. Подмена первой страницы на web-сайте компании, в зависимости от того, чем именно она будет заменена, может привести к тем или иным нежелательным последствиям различной тяжести.

Информация для внутреннего использования.

К информации ДВИ относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп, которая:

* циркулирует между подразделениями и необходима для нормального их функционирования;

* является результатом работ с информацией из открытых источников (например, дайджест новостей по телекоммуникационному рынку для руководства);

* не относится к информации конфиденциального характера;

* не относится к открытой информации.

То есть к ДВИ можно отнести всю внутреннюю информацию, циркулирующую в сети компании, потеря которой не влечет губительных последствий для ее деятельности.

Для ДВИ необходимо соблюдение следующих принципов: целостности, доступности и конфиденциальности (при выходе ее за пределы ЛВС компании).

Конфиденциальная информация

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной информацией и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица.

Документированная информация (документ) - это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Для защиты КИ необходимо соблюдение принципов конфиденциальности, целостности и доступности.

К конфиденциальной информации относится:

- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

- сведения, составляющие тайну следствия и судопроизводства;

- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);

- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др.);

- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна);

- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Современное законодательство РФ содержит следующие термины, характеризующие разновидности конфиденциальной информации:

- тайна следствия;

- тайна судопроизводства;

- тайна мер безопасности участников уголовного процесса;

- тайна мер безопасности, применяемых в отношении должностных лиц правоохранительных или контролирующих органов;

- тайна частной жизни граждан;

- семейная и личная тайна;

- налоговая тайна;

- профессиональная тайна;

- адвокатская тайна;

- нотариальная тайна;

- медицинская тайна;

- тайна усыновления (удочерения);

- тайна связи (тайна переписки, тайна телефонных переговоров, тайна почтовых сообщений, тайна телеграфных сообщений);

- журналистская тайна;

- тайна записей актов гражданского состояния;

- тайна завещания;

- врачебная тайна;

- служебная тайна;

- коммерческая тайна;

- тайна изобретения, полезной модели, промышленного образца;

- тайна селекционного достижения;

- тайна научного опыта и тайна торгового процесса;

- банковская тайна, тайна банковского счета, тайна операций по счету и тайна сведений о клиенте;

- тайна сведений о выгодоприобретателях, тайна сведений о состоянии здоровья выгодоприобретателей, тайна об имущественном положении выгодоприобретателей;

- тайна страхования (тайна сведений о страхователе, тайна сведений о состоянии здоровья страхователя, тайна сведений об имущественном положении страхователя, тайна сведений о застрахованном лице, тайна сведений о состоянии здоровья застрахованного лица, тайна сведений об имущественном положении застрахованного лица);

- инсайдерская тайна;

- тайна исповеди.

ФЗ "Об информации, информационных технологиях и защите информации", принятый 27 июля 2006 года установил:

- что такое информация - это сведения (сообщения, данные) независимо от формы их представления (нет привязки к материальным носителям);

- свободу поиска, получения, передачи, производства и распространения информации любым законным способом т.е. граждане (физические лица) и организации (юридические лица) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований федеральных законов;

- ограничения доступа к информации только федеральными законами, а так же обязательность соблюдения конфиденциальности информации, доступ к которой ограничен федеральными законами;

- какая информация предоставляется бесплатно (о деятельности госорганов, затрагивающая права и обязанности заинтересованного лица и т.д.);

- к какой информации не может быть ограничен доступ (нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления, информации о состоянии окружающей среды, информации, накапливаемой в открытых фондах и т.д.);

- неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица);

- информация может являться объектом публичных, гражданских и иных правовых отношений;

- информация в зависимости от порядка ее предоставления или распространения подразделяется на:

- информацию, свободно распространяемую;

- информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

- информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

- информацию, распространение которой в Российской Федерации ограничивается или запрещается.

- обладателем информации (лицо, самостоятельно создавшее информацию либо получившее право разрешать или ограничивать доступ к информации) может быть физическое лицо, юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование;

- обладатель информации вправе:

- разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

- использовать информацию, в том числе распространять ее, по своему усмотрению;

- передавать информацию другим лицам по договору или на ином установленном законом основании;

- защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

- осуществлять иные действия с информацией или разрешать осуществление таких действий.

- обладатель информации при осуществлении своих прав обязан:

- соблюдать права и законные интересы иных лиц;

- принимать меры по защите информации;

- ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

- в случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством;

- электронное сообщение, подписанное электронной цифровой подписью, признается электронным документом, равнозначным документу, подписанному собственноручной подписью;

- в целях заключения гражданско-правовых договоров обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, рассматривается как обмен документами;

- возможность формировать информационные системы, при этом оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств. Права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных;

- защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

- соблюдение конфиденциальности информации ограниченного доступа,

- реализацию права на доступ к информации.

- обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны обеспечить:

- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

- своевременное обнаружение фактов несанкционированного доступа к информации;

- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

- возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

- постоянный контроль за обеспечением уровня защищенности информации.

- лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством РФ требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

Сведения КИ предприятия можно условно разделить на два крупных блока:

- научно-техническая (технологическая) информация;

- деловая информация.

Научно-техническая информация включает:

- сведения о конструкциях машин и оборудования; чертежи; схемы;

- используемые материалы;

- рецептуры;

- методы и способы производства (особенно о вновь разрабатываемых изделиях);

- новые технологии, направления модернизации известных технологий, процессов и оборудования;

- программное обеспечение ПК, пароли, ключи, коды и процедуры доступа к информации;

- организация системы безопасности предприятия.

Деловая информация включает:

- сведения о финансовой стороне деятельности предприятия (промежуточные финансовые отчеты, первичные бухгалтерские документы, задолженность, кредиты и т. п.);

- сведения о наиболее выгодных формах использования денежных средств, ценных бумаг, акций;

- сведения о размере прибыли, себестоимости произведенной продукции;

- планы развития предприятия;

- планы и объемы реализации продукции (планы маркетинга, данные о характере и объеме торговых операций, уровнях цен, наличии товаров);

- анализ конкурентоспособности производимой продукции, эффективность экспорта и импорта, предполагаемое время выхода на рынок;

- планы рекламной деятельности;

- списки торговых и других клиентов, представителей, посредников, конкурентов, сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих и заключаемых контрактов;

- структура и методы управления, связи внутри фирмы и вне ее, распределение обязанностей и их содержание;

- кадровый состав и его формирование;

- сведения из деловой переписки.

Сведения, которые не могут являться коммерческой тайной:

- информация, содержащаяся в учредительных документах и документах, дающих право заниматься коммерческой деятельностью;

- информация, содержащаяся в годовых отчетах, бухгалтерских балансах и других формах бухгалтерской отчетности;

- информация, связанная с исчислением и уплатой налогов и других платежей в бюджет;

- информация по задолженности работодателей по зарплате и другим социальным выплатам;

- информация о наличии свободных рабочих мест;

- информация, связанная с соблюдением экологического и антимонопольного законодательства;

- информация по обеспечению безопасных условий труда.

В итоге можно выделить объекты, которые будут рассматриваться в рамках политики информационной безопасности:

1. Территория предприятия;

2. Локальная вычислительная сеть;

3. Документация предприятия (на бумажном или электронном носителе), не относящиеся к открытой информации и находящиеся непосредственно в обороте или в архиве;

4. Сервер БД, оборудование и доступ к ним системы спутникового контроля движения спецтранспорта СКАУТ (Спутниковый Контроль Автотранспорта и Учет Топлива);

5. Различные разработки предприятия (чертежи, схемы, прототипы экспериментальных устройств, программы на ПК и т.д.);

6. Сайт предприятия;

7. База данных предприятия(http:\transmusor.ru);

8. Различные носители информации (бумажные, электронные).

2. Цели политики информационной безопасности

Какой же должна быть хорошая политика информационной безопасности? Для решения этого вопроса необходимо обратиться к международным стандартам в области управления информационной безопасностью ISO 27001 и ISO 27002 (бывший ISO 17799).

Согласно этим стандартам, целью политики информационной безопасности является обеспечение развития организации в области ИБ в соответствии с целями бизнеса и требованиями, предъявляемыми различными регулирующими органами.

Стандарт ISO 27002 определяет, что политика информационной безопасности должна быть одобрена руководством компании, опубликована и доведена до сведения всех сотрудников и заинтересованных сторонних организаций.

Политика информационной безопасности должна включать следующее:

ь Определение понятия информационная безопасность;

ь Цели обеспечения информационной безопасности;

ь Признание важности обеспечения информационной безопасности;

ь Заявление о намерении руководства компании поддерживать цели и принципы обеспечения информационной безопасности, соответствующим целям бизнеса;

ь Подход к управлению рисками и выбора контрмер для минимизации рисков информационной безопасности;

ь Краткое объяснение принципов информационной безопасности, требования информационной безопасности (выполнение требований регуляторов, обучение в области информационной безопасности, обеспечение непрерывности бизнеса, последствия нарушения положений политики информационной безопасности);

ь Определение общих и специфических обязанностей по обеспечению информационной безопасности;

ь Ссылки на более детальные политики и процедуры, поддерживающие политику информационной безопасности.

Политика информационной безопасности должна пересматриваться через определенные интервалы времени и в случае значительных изменений (изменения структуры компании, стратегических целей бизнеса) для того, чтобы оставаться актуальной и эффективной.

В стандарте ISO 27001 говорится о политике системы управления информационной безопасностью (ISMS policy), которая рассматривается как надмножество политики информационной безопасности, но отмечается, что обе политики могут быть описаны в одном документе. Для простоты изложения будем считать, что это один документ и будем по-прежнему называть его политикой информационной безопасности.

Помимо того, что политика информационной безопасности должна быть утверждена руководством и должна определять принципы информационной безопасности, подход к выбору мер по снижению рисков информационной безопасности, учитывать требования законодательства и закрепленные в контрактах, не противоречить подходу к управлению рисками, принятом в компании, она должна также определять критерии для оценки рисков.

Также к самому документу, как составной части документации системы управления информационной безопасности, стандарт ISO 27001 предъявляет ряд требований, среди которых:

ь наличие истории изменений и версии;

ь утверждение документа перед его публикацией.

Типовые цели (то есть такие, которые должны быть учтены на любом предприятии) это:

- обеспечение уровня безопасности, соответствующего нормативным документам предприятия;

- следование экономической целесообразности в выборе защитных мер;

- обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС;

- обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации;

- выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.

Так как предприятие не является режимным (информация на данном предприятии не относится к информации государственной важности), и не предоставляет информационные ресурсы в реальном времени другим лицам, поэтому из дополнительных целей политики информационной безопасности ограничимся следующими:

- защита интеллектуальной собственности предприятия (чертежи, рецептуры, макеты и т. д.)

- обеспечение конфиденциальности личных данных работников предприятия.

- постоянный мониторинг состояния ИС предприятия

- корректировка политики информационной безопасности в зависимости от текущего положения ИС предприятия

- выработка плана ответных действий на нарушение политики безопасности из двух вариантов:

· «выследить и осудить», когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания (данную стратегию одобряют правоохранительные органы!);

· «защититься и продолжить», когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению.

Перечень обстоятельств, позволяющих выбрать стратегию ответных мер, приведен в таблице:

Критерии выбора ответных мер

Защититься и продолжить	Выследить и осудить
- активы ИВС недостаточно защищены; - продолжительность вторжения сопряжена с финансовым риском; - неизвестен круг пользователей; -пользователи могут привлечь к ответственности организацию ИВС за нанесенный ущерб и др.	- ИВС хорошо защищена, имеются надежные средства резервирования; - наблюдаются повторяющиеся и частые атаки; - действия злоумышленника можно контролировать; - организация имеет положительный опыт работы с правоохранительными и правозащитными органами и др.

3. Правила информационной безопасности

3.1 Физическая безопасность

Администрация предприятия расположена в 2-х этажном здании.

Объектами защиты являются:

ь Серверная комната, в которой находится сервер, RAID-массивы, хранящие основные данные, резервные копии данных, маршрутизаторы, точки выхода в корпоративную сеть и в Internet, и т.д.;

ь Компьютеры в кабинетах;

ь Ubiquiti Bullet M2 HP - это компактная всепогодная точка доступа внешнего исполнения, основанная на высокопроизводительном чипсете Atheros (400 МГц), поддерживающая технологию AirMax и предназначенная для построения высокоскоростных соединений типа "Точка-Точка" (Bridge);

ь Система видеонаблюдения предприятия;

ь GPS GSM терминал MT-600 (GPS/ГЛОНАСС трекер), предоставляемый компанией «СКАУТ» и осуществляющий контроль над автопарком предприятия;

ь Телематический сервер (предоставляется компанией «СКАУТ»), функционирующий на основе базы данных, в которой хранятся данные, принятые от GPS/ГЛОНАСС/GSM терминалов.

Некоторые меры защиты

Для защиты входной двери, нужно использовать металлическую тяжелую дверь и камеру с кодовой клавиатурой, либо карточно-пропускной системы. Расположить пост охраны непосредственно в коридоре за или перед входной дверью, а так же установить дополнительные камеры видеонаблюдения, чтобы исключить «слепые» зоны наблюдения за территорией предприятия.

Для охраны точек выхода в Internet или в корпоративную сеть необходимо установить аппаратные фаерволы.

Для физического контроля за доступом к информации нужно:

· установить электронные системы обнаружения, такие как камеры (как видимые, так и скрытые), дверные переключатели, звуковые датчики, контактные переключатели, инфракрасные сенсоры и беспроводные технологии, в целостную систему обнаружения. Тщательно следить за информацией о состоянии и местоположении всех установленных устройств;

· вести инвентарный список всего компьютерного оборудования, которое кто-нибудь может похитить, проникнув в систему (например, серверов, дисков, мониторов) и наклеить на эти устройства инвентарные номера корпорации или другие соответствующие идентификационные отметки. Ежегодно проверять наличие оборудования по записям в реестре. В случае несанкционированного проникновения в систему эти методы помогут определить, что пропало, и идентифицировать утраченную собственность;

· в BIOS запретить загрузку с дискет, оптических дисков, флэш дисков, внешних жестких дисков;

· не оставлять документацию о системах, архитектуре сети и паролях в общедоступном месте;

· защитить сетевые устройства, такие как маршрутизаторы, концентраторы и коммутаторы. Незаблокированный порт коммутатора может быть использован как точка входа в сеть.

Серверная комната хранит всю наиважнейшую информацию и потому требует дополнительных мера защиты. Вот комплекс мер необходимых для защиты серверной комнаты с учетом конкретных особенностей защищаемого объекта:

1. Защита по периметру

Замки и двери. Надежный замок в двери центра данных - первая строка физического обеспечения безопасности. Рекомендуется кодовый замок, который поддерживает безопасность на уровне пользователя. Надо установите различные комбинации для каждого пользователя и периодически менять их. Ввести процедуру блокировки доступа пользователя, который покидает компанию. Стандартные замки с ключами или кодовые замки с единственной комбинацией небезопасны, поскольку они не имеют достаточно возможностей регистрации, а потерять ключ или подобрать одну комбинацию достаточно легко. Лучше использовать замок, имеющий защитный экран, такой, что только пользователь, вводящий комбинацию, может видеть вспомогательную клавиатуру.

Замок нужно сконфигурировать для записи в журнал событий регистрации пользователей, входящих в закрытую область. Компании предоставляют блокирующие системы, которые поддерживают регистрацию. Эти замки имеют встроенный инфракрасный порт (IR), который можно задействовать для печати журнала событий и списка пользователей. Кроме того, можно использовать замки с магнитными картами и идентификационные бейджи (proximity badges), которые поддерживают регистрацию событий. Основной риск для любой системы, которая требует от пользователей ввода кода, наличия идентификационной карточки или ключа связан с тем, что не имеющие на самом деле прав доступа пользователи все равно могут его получить.

Дверь лучше выбрать металлическую: она должна быть достаточно надежна, чтобы выдержать удар плечом. Укрепить дверную раму и обшивку, петли расположить так, чтобы злоумышленники не могли снять дверь снаружи, или установите несъемные петли. Использовать для крепления петель и несущей конструкции длинные винты, уходящие в стену. Приварить гайки любых болтов, которые выходят на поверхность стальных дверей.

Окон в серверной комнате быть не должно.

Стены, пол и потолок необходимо заэкранировать металлом

Электроэнергия. Если основные панели выключателей находятся возле центра данных (например, снаружи за дверью), перенести их, либо запереть. Один из возможных способов проникновения в систему - отключение энергии в надежде заблокировать сигнал тревоги и другое оборудование защиты периметра. Установить UPS для серверов и расположить оборудование контроля доступа так, чтобы иметь некоторую защиту на время отключения энергии.

2. Внутри центра данных

Безопасность шкафа. Большинство промышленных шкафов для сервера имеют блокировку передней и задней двери. Двери и замки могут быть усилены, но они одновременно мешают доступу при выключении серверов и дисководов.

Внешний контроль (мониторинг). Установить второй контрольный узел за пределами серверной комнаты. Этот узел подаст сигнал тревоги, если злоумышленник выведет из строя сетевое соединение или отключит первичное устройство, чтобы избежать сообщения из серверной. Установить и обслуживать второй контрольный пост надо, стараясь обойтись минимальным количеством сотрудников.

Создать вторую резервную копию данных и поместить в другое хорошо защищенное помещение. В корпорации должно быть общее место для хранения архивов.

3.2 Аутентификация и безопасность сети

Так как данная политика ИБ ограничена в размерах, поэтому в данном разделе объединим такие разделы как: аутентификация и безопасность сети, правила безопасности интернета, правила безопасности электронной почты. В реальной политики безопасности эти вопросы нужно было бы разделить.

Как известно, большая часть повреждения и утечки информации происходит по вине персонала. Поэтому на персонал надо обратить самое пристальное внимание.

В частности необходимо всеми доступными методами обеспечивать лояльность персонала, проводить специализированное обучение и разъяснения на тему «Наиболее распространенные заблуждения, предубеждения и ошибки, приводящие к искажению, уничтожению и утечке информации». Очень важным, с моей точки зрения, составление грамотной политики безопасности и ознакомление с ней под подпись всех сотрудников.

Политика информационной безопасности предприятия должна осуществляется за счёт:

1) Иерархической схемы администрирования;

2) Надёжной системой аутентификации (надёжные логины и пороли);

3) Надлежащего антивирусного ПО.

Общим принципом политики сетевой безопасности в компании является запрет всех видов доступа и всех действий, которые не разрешены явно данной политикой. Другими словами, если нет специального разрешения на проведение конкретных действий или использование конкретных сетевых ресурсов, то такие действия или такое использование запрещены, а лица, их осуществляющие подлежат наказаниям, описанным позднее в этой политике. В ПИБ рассмотрим два вида сетевой среды: ЛВС компании и межсетевая среда.

Межсетевая среда (интернет) - это термин, применяемый при описании ситуации, когда более чем одна сеть соединены между собой и две или более сетей могут обмениваться данными между собой. Примерами межсетевой среды является Интернет, а также корпоративная сеть, и эта политика будет использовать такую нотацию при ссылке на них. Эта политика применима в равной степени ко всем интернетам, но некоторые ее компоненты специально описаны для среды Интернета. Рассмотрение ситуации работы в сети и межсетевой среде в дальнейшем разбивается на две под проблемы - периметр безопасности и внутренняя безопасность. Для сети, которая не присоединена к интернету, периметр безопасности не нужен, иначе, для того чтобы защитить соединение с интернетом, нужно реализовать элементы политик периметра безопасности. Политика внутренней безопасности одинаково применима как к сетям, так и к интернетам, политика же периметра безопасности применима только к интернетам.

Сетевая часть политики описывает подход к обеспечению безопасности для одной сети, обычно ЛВС, независимо от того, присоединена она к интернету или нет. Межсетевая часть этой политики описывает подход к проблеме безопасности в любой сети, соединенной с другой сетью, независимо от того, осуществляется ли это соединение через одну ЛВС, группу ЛВС или глобальную сеть, такую как Интернет. Соединения через глобальную сеть могут быть выделенными каналами между удаленными друг от друга местами или соединениями через Интернет.

3.3 Реализация политики безопасности

информационная безопасность защита сеть

Эта часть будет описывать границы ответственности и отчетности при претворении в жизнь политики, описанной в последующих разделах. Она определяет ответственных за реализацию политики после того, как описывает лиц в организации, к которым она применима.

1. Область действия

Эта политика применима к данной организации. В случае спора в отношении правильности интерпретации или реализации данной политики, последнее слово будет за главным инженером компании. Ответственность за выполнение этой политики в рассматриваемой организации возлагается на главного администратора компании, кто может в свою очередь переложить часть этой ответственности на других лиц.

2. Реализация

Каждое должностное лицо и служащий компании, который администрирует или использует сетевые ресурсы компании, отвечает за строгое соблюдение данной политики. Каждый человек должен обязательно сообщать о подозреваемых или реальных уязвимых местах в безопасности своему непосредственному начальнику.

3. Описание политики

Сети

Политика безопасности, описываемая здесь, в равной степени применима ко всем сетевым компонентам компании.

Интересы организации

Сетевые ресурсы компании существуют лишь для того, чтобы поддерживать деятельность организации. В некоторых случаях тяжело провести черту между интересами организации (служебными интересами) и другими интересами. Система конференций и электронной почты Интернета являются примерами смешения интересов организации и личных интересов сотрудников по использованию этих ресурсов. Компания понимает, что попытки использования ограничений типа “только в интересах компании” в этих случаях бессмысленны. Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения не только задач, стоящих перед компанией. Начальники отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны начальники отделов должны препятствовать некорректному использованию сетевых ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там где оно морально или повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела.

Принцип “знай только то, что ты должен знать для работы”

Доступ к информационным ценностям компании не будет осуществлен, если не будет необходимости знать эту информацию. Это значит, что очень критическая информация должна быть защищена и раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Персональная информация, например, требуется руководителям групп, но им не нужна полная информация о людях, то есть о сотрудниках, работа с которыми не входит в их круг обязанностей.

Выявление необходимости сотруднику знать какую-либо информацию осуществляется младшими начальниками, а ответственность за реализацию принятых решений возлагается на сетевых администраторов в рамках его ответственности. Споры и конфликты будут разрешаться главным администратором и главным инженером, но доступ к информации, явившейся предметом конфликта, будет запрещен до окончания разрешения конфликта. Другими словами, каждый должен знать только то, что ему положено.

Обмен данными

Одним из основных показателей значимости сетевых ресурсов является быстрый и точный обмен данными, а также уничтожение избыточных и устаревших данных. В этом вопросе компания поддерживает и поощряет совместное использование и обмен информацией между подразделениями компании там, где этот обмен не входит в противоречие с принципом “знать только то, что тебе нужно для работы”. Не должно происходить импорта и экспорта информационных ценностей между узлами сети без явного разрешения на это в соответствии с вышеупомянутым принципом. Причина выделения отдельного пункта состоит в необходимости подчеркнуть, что неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения (вирусов и т.д.). Например, как следствие, запрещено вносить данные, полученные вне сетевой инфраструктуры компании, без тщательной проверки на отсутствие источников ее порчи. Из изложенного выше должно быть ясно, что все, что явно не разрешено, - запрещено, так как область обмена данными создает риск целостности данных.

Аутентификация

Доступ к любой информационной ценности компании не должен осуществляться без соответствующей аутентификации, кроме случаев, описанных в этом разделе. Руководители подразделений могут принять решение предоставить публичный доступ к некоторой информации компании для ее рекламы и продвижения на рынке. Сети могут иметь службы общего доступа, аналогичные тем, что имеются в BBS. Эти службы не требуют аутентификации или имеют слабую аутентификацию. Если такая служба делается доступной для пользователей сети, которые не являются постоянными сотрудниками компании или работающими в ней по контракту, или как-то иначе подпадающими под юрисдикцию компании, то они должна получать к ней доступ не из сети, а из интернета с применением соответствующих мер защиты периметра безопасности. Другими словами, если информация раскрывается вне компании, то это не может делаться через сеть, а должно осуществляться через интернет с использованием соответствующих средств защиты, например требования аутентификации для получения доступа к частным информационным ценностям.

Аутентификация должна осуществляться способом, согласованным с критичностью используемой информации. В большинстве случаев достаточно традиционных имени и пароля пользователя. В других случаях требуется более сильная аутентификация помимо традиционной. Эти случаи касаются интернетов и не будут рассматриваться в части относительно сетей.

Межсетевой обмен

Взаимосвязанные сети создают свой собственный набор проблем безопасности помимо тех, которые применимы ко всем сетевым ресурсам. Критической компонентой создания эффективной межсетевой безопасности является определение периметра интернета. Каждый компонент его описывается в этой части вместе со специальными положениями политики в отношении его.

Определение периметра

Невозможно адекватно защитить информационные ценности компании без знания каждой точки риска и выработки соответствующих мер защиты. Для целей этой политики периметр определяется как совокупность всех точек соединения с ближайшими соседями в интернете. Всемирный Интернет приводит к существованию ряда уникальных ситуаций, которые требуется рассмотреть отдельно. Точка риска была определена как точка соединения, а из этого следует, что риск существует только в месте самого соединения. Это - самое неприятное следствие. Точки риска возникают в каждой точке соединения с сетью или узлом, не входящим в состав ЛВС.

Точка риска

Этот термин был выбран вместо точки атаки, так как последняя предполагает преступную деятельность с другой стороны соединения. Компрометация или искажение информации часто не являются результатом преступной деятельности, хотя результат может оказаться таким же. Модем, присоединенный к сетевому узлу, представляет собой точку риска, если отвечает на телефонные звонки и предоставляет возможность соединения удаленному пользователю. Фактически, если такой модем присоединен к сети, то есть меняет свой статус и становится интернетом. В каждой точке доступа к интернету должно быть реализовано управление доступом, независимо от того, является ли она соединением с интернетом или модемом.

Управление доступом

В каждой точке риска интернета должна использоваться некоторая форма управления доступом. Когда точка риска соединяет две сущности с эквивалентными привилегиями доступа, она может быть объявлена доверенным соединением, при условии, что все точки риска в обоих интернетах находятся между сущностями с эквивалентными привилегиями доступа. Если существует точка риска с сущностью с меньшими привилегиями доступа, то всем присоединенным интернетам назначается уровень привилегий, равный низшему уровню точки риска.

Привилегии доступа точки риска могут быть повышены соответствующей фильтрацией или аутентификацией. Фильтрация включает запрет взаимодействия с узлами, имеющими более низкий уровень привилегий, чем тот, что у интернета с другой стороны точки риска. Аутентификация должна использоваться в тех случаях, когда сущность или пользователь могут располагаться на узле с меньшими привилегиями, чем те, которые имеются у узла, на котором находится информация, к которой должен иметься доступ по принципу “знать то, что нужно для работы”.

Не должно существовать прецедентов получения доступа через точку риска между интернетами с различными уровнями привилегий без использования сильной аутентификации. Традиционные имя и пароль пользователя не считаются сильной аутентификацией в рамках этой политики. Эта форма аутентификации является достаточной только тогда, когда оба интернета имеют одинаковые уровни привилегий, но может применяться как дополнение к сильной аутентификации, до или после сеанса усиленной аутентификации для большего контроля доступа.

Рассмотрим эти вопросы более подробно.

1. Обмен данными

В отличие от сети, где обмен происходит только между узлами сети, интернет позволяет совместно использовать и обмениваться информацией с узлами других интернетов. Должно уделяться достаточное внимание тому, какие данные импортируются из или экспортируются в интернеты различных уровней привилегий. Данные, которые предназначены для замены или обновления данных, находящихся на узлах, доступных любым пользователям интернета, могут экспортироваться из интернета с большими привилегиями в интернет без ограничений на доступ к общедоступной информации.

Допустимо экспортировать данные из интернета с низким уровнем привилегий в сеть с высоким уровнем привилегий, если известно, что данные не представляют риска компрометации или искажения для интернета-получателя. Примером таких допустимых передач может быть импорт пользователем технической статьи или текста программы для внутреннего использования. Вообще, исходный (то есть читаемый человеком) материал может импортироваться из интернетов с низкими привилегиями без тщательного просмотра, если данный материал служит интересам Корпорации. Но этого нельзя сказать про импорт исполняемых файлов или двоичных данных. Двоичные данные или программы не могут быть импортированы из интернета с низкими привилегиями без тщательной проверки для оценки риска разрушения или компрометации информационных ценностей внутри интернета с более высокими привилегиями. из интернета с низкими привилегиями без тщательной проверки для оценки риска разрушения или компрометации информационных ценностей внутри интернета с более высокими привилегиями. Нельзя записывать в интернете какие-либо данные или программы на носители информации и импортировать в сеть Корпорации без тщательного анализа компетентными ответственными лицами.

Допустимо экспортировать данные из интернета с высокими привилегиями в интернет с низкими привилегиями, если уровень привилегий сети назначения выше или равен уровню привилегий, требуемому для доступа к данным. Нельзя записывать в сети Корпорации какие-либо данные или программы на носители информации и экспортировать их в интернет без тщательного анализа компетентными ответственными лицами.

2. Аутентификация

Этот вопрос упоминается несколько раз при описании политики, так как он играет большую роль в каждой области, в которой он упоминается. Аутентификация в точке риска между интернетами - это первый шаг по управлению доступом к информационным ценностям с другой стороны точки риска. Если уровень привилегий обоих сторон одинаков, то можно реализовать обычные механизмы аутентификации. Примерами не столь сильных технологий является использование r-команд Unixа, с помощью которых два узла доверяют друг другу с помощью взаимной верификации на основе идентификатора пользователя и узла; традиционные идентификатор пользователя и пароль тоже не очень сильная технология, так как она уязвима к компрометации неосторожным пользователем. Более сильные технологии включают процессы, которые менее уязвимы к компрометации. Это могут быть одноразовые пароли, которые никогда не используются снова. Одноразовые пароли могут генерироваться программой и печататься на листах бумаги или они могут генерироваться смарт-картами на основе текущего времени и даты, случайных чисел, или других методов, приводящих к получению уникального пароля. Применение того или иного метода зависит от текущего состояния ИБ предприятия и от требований к ИБ(со временем требования к безопасности могут повысится). Усиленная аутентификация может быть реализована с помощью технологии запрос-ответ. В этом случае аутентифицирующийся сущности дается случайное число-запрос, которое она должна зашифровать и отослать зашифрованный результат.

3. Сервер аутентификации

Для интернетов, которые соединяются с сетью Корпорации через точки риска, требующие усиленной аутентификации, Корпорация требует наличия безопасного сервера аутентификации для протоколирования верификации попыток аутентификации и их результатов. Сервер аутентификации должен размещаться в интернете, к которому не должно быть доступа с других интернетов с целями, отличными от обработки событий, связанных с аутентификацией. Допускается вход в этот интернет транзакций аутентификации, ответов на запросы службы имен, и результатов синхронизации времени для поддержки технологий аутентификации на основе времени. Выходить из этого интернета через единственную точку риска могут только ответы на транзакции аутентификации, запросы к службе имен и запросы к службе времени. Для этого интернета может также допускаться передача сообщений службы протоколирования событий, связанных с безопасностью, если администратор безопасности сочтет нужным хранить протоколы событий на сервере аутентификации. Серверу аутентификации также разрешается посылать уведомления об инцидентах с безопасностью информации по электронной почте для последующего анализа их администратором безопасности. Сервер аутентификации может быть физически защищен путем помещения его в закрытую комнату, доступ в которую разрешен только администратору.

4. Доступ к Интернету

Это - специальный случай в политике компании, требующий отдельного описания и рекомендаций. При подключении компании к Интернету она получает значительные выгоды при ведении своей деятельности, но также подвергается при этом большом риску. Компания придерживается политики быть членом Интернета, и поэтому эта часть описывает, как уменьшить риск, связанный с Интернетом.

Разрешенные службы

Корпорация поддерживает и поощряет свободный обмен электронной почтой между своими служащими и их корреспондентами в Интернете. Эта поддержка ограничивается такими формами обмена данными, которые не противоречат требованиям части 3.2.2. В некоторых случаях при импорте закодированных графических или аудио-файлов имеется прямая выгода для компании, но в большинстве случаев такая практика запрещена.

Корпорация поддерживает свободный обмен статьями конференций новостей с другими узлами Интернета. Реальная транспортировка этих статей в и из Корпорации должна быть ограничена небольшим числом доверенных соседей-серверов новостей, другой обмен статьями конференций запрещен. Ни при каких условиях узлы Интернета не имеют права читать новости из компании. Служащие должны быть проинформированы о порядке составления и передачи статей в конференции Интернета перед тем, как им будет позволено читать или посылать статьи в конференции. Компания будет поддерживать группы новостей, которые необязательно имеют прямую деловую направленность в интересах повышения производительности работы сотрудников, но она оставляет за собой право ограничить или удалить трафик новостей, который будет представляться ей бесполезной тратой сетевых ресурсов.

Предприятие поддерживает Службу Доменных Имен Интернет. Ни при каких обстоятельствах компания не будет разрешать зональные передачи списков имен узлов компании, кроме случаев, когда доверенный вторичный сервер имен запрашивает зональную передачу; сервера имен компании всегда будут отвечать на UDP-запросы имен.

Администраторы отвечают за принятие решения в отношении допустимости обмена узлов компании сообщениями по протоколу ICMP с другими узлами Интернета. Кроме того, они отвечают за принятие решения в отношении допустимости команды traceroute на основе протокола UDP в сетях компании и границ допустимости применения этой команды.

Предприятие не имеет намерения разрешать выходящие из сети компании соединения по протоколу TCP с узлами где-либо в Интернете. Администраторы безопасности отвечают за принятие решения о том, какие известные службы протокола TCP полезны для деятельности компании и оценить оценку риска компании, представляемого выбранными службами. Администраторы отвечают за поддержание целостности периметра между интернетами компании и Интернетом. Они должны использовать все доступные средства для предотвращения несанкционированного доступа в интернеты компании и всеми силами отражать любую форму атаки на периметр обороны.