Разработка системы защиты информации ООО «ИН-ТЕК» (33 ПК, построена система резервирования, оценка рисков и перспектив проектов кикстартер)

В связи с бурным развитием информационно-коммуникационных технологий, связанных с компьютерной техникой, и появлением новых информационных технологий, развитием мощных компьютерных систем хранения и обработки информации повысили требования к уровню защиты информации и определили необходимость разработки эффективных механизмов защиты информации, адаптированной под современные архитектуры хранения данных. Обеспечение защиты информации в организации является непрерывным процессом, который предусматривает применение современных методов, позволяющих вести контроль внешней и внутренней среды предприятия, организацию и реализацию мероприятий по поддержке стабильного функционирования локальной сети и вычислительной техники, а также минимизацию потерь в связи с утечкой информации приобретают особую важность. Поэтому тема выпускной квалификационной работы является актуальной. Для осуществления защиты информации, как в сетях, так и на производстве, на предприятиях должен быть сформирован определенный свод правил и нормативных документов, регламентирующих действия сотрудников по обеспечению безопасности и описывающий технические и программные средства для защиты информации. Данный свод документов называется политикой информационной безопасности. В работе были использованы методы научного анализа, классификации, обобщения, сравнения, дедукции. Специальные методы, применяемые в исследовании: системный анализ, компьютерное и математическое моделирование, информационно-аналитические технологии. При написании работы использовались научные труды следующих авторов: Аверченкова В. И., Алексанова А. К., Анина Б. Ю., Башлы П. Н., Беленькой М.Н., Бурняшова Б.А., Герасименко В. А., Зайцева А. П., Мельникова В. В., Осипова В. Ю., Партыки Т.Л., Садердинова А. А. и других. Объектом исследования является защита информации в организациях. Предметом исследования является информационная безопасность. Целью работы является разработка предложений по системе защиты информации на примере информационной системы организации. Для достижения поставленной цели необходимо решить следующие задачи:  привести общие сведения об объекте защиты информации;  рассмотреть нормативно правовое регулирование обеспечения информационной безопасности инженерно-техническими средствами;  осуществить мониторинг эффективности применяемых инженерно-технических средств обеспечения информационной безопасности на объекте;  осуществить проверку технического состояния инженерно-технических средств обеспечения информационной безопасности предприятия;  осуществить разработку рекомендаций по техническому обслуживанию и текущему ремонту инженерно-технических средств обеспечения информационной безопасности предприятия;  определить требования к проектируемой системе;  осуществить выбор оборудования проектируемой системы для данного объекта;  произвести моделирование системы безопасности объекта;  произвести расчет затрат на внедрение. Структурно работа состоит из введения, заключения, шести глав, списка использованных источников, насчитывающего 20 наименований и приложений.

1.1 Характеристика деятельности организации В организации «Интек» работают 12 штатных сотрудников различных специальностей, 5 единиц административного персонала, 13 человек прочего персонала. Всего 6 помещений, объединенных в сеть Windows. 1.2 Анализ информационных ресурсов Информационная система организации разветвлена и состоит из следующих основных элементов. Связь внутри сети и между зданиями обеспечивается при помощи:  интеллектуальных сетевых устройств - маршрутизаторов, коммутаторов;  локальной сети по кабелю «витая пара»;  каналов доступа к интернету - основного и резервного. Сервер локальной сети работает под управлением 64-битной операционной системы Windows Server 2008, содержит 4 массива жестких дисков RAID-10 объемом 500, 1000, 1000 и 2000 Гбайт (2 массива уже используются, 2 последних - свободны). Центральных процессора на сервере 4 шт., семейство - Intel Xeon с 4-мя физическими ядрами на каждый процессор. Объем оперативной памяти 64 Гбайт. Сервер оснащен 2-мя портами локальной сети (local area network, LAN) на 1 Гбит/сек каждый и 2-мя портами на 10 Гбит/сек. Есть 1 DVD-RW дисковод, 2 порта USB для подключения Flash-накопителей и других устройств. Сервер выполняет функции контроллера домена Windows, файлового сервера для хранения общих файлов и папок, сервера базы данных MSSQL. Таким образом, рассмотрены общие сведения об организации.

Терминология в области защиты информации изложена в федеральных законах, указах Президента, постановлениях Правительства, государственных и отраслевых стандартах, руководящих документах ФСТЭК России. Определение понятия «безопасность» наиболее полно выражено в Федеральном законе от 5 марта 1992 г. «О безопасности». В трактовке закона безопасность - это «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Понятие защищенности указывает на способность (степень, уровень) противостояния конкретным, четко сформулированным угрозам. В прикладном аспекте, на более низком уровне, чем государство и общество в целом, безопасность определяется как состояние защищенности жизненно важных интересов человека, общества, государства и субъекта защиты в определенной сфере отношений при соблюдении баланса интересов между ними. Под безопасностью информации понимается такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. Защита информации подразумевает совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей. Защита информации осуществляется на объекте, которым может быть, как все предприятие, так и некоторая его часть. Объект информатизации - это совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Электронные и электронно-механические устройства, входящие в состав технических средств охраны, являются аппаратными средствами обеспечения информационной безопасности. Аппаратные средства, работающие вместе с программными средствами или самостоятельно, выполняют задачи необходимые для построения информационной безопасности. Электронные и электронно-механические устройства являются аппаратными средствами обеспечения информационной безопасности. а не инженерно-техническими средствами, если они в обязательном порядке входят в состав технических средств политики информационной безопасности. Реализация инженерно-технической защиты информации представлена следующими задачами:  установка камер видеонаблюдения; установка детекторов движения; установка систем оповещения о пожаре;  установка систем автоматического пожаротушения;  установка средств пассивной защиты от огня. Установка камер видеонаблюдения. В данном случае были установлены 4 видеокамеры Vision Hi-Tech VB32BS-HVF49, в местах потенциального входа посетителей:  камера № 1 установлена на противоположной стене коридора и в поле её обзора попадают все люди, входящие или выходящие из лифта;  камера №2 установлена так, что в её обзор попадают люди, попадающие в помещение по лестнице;  камера №3 установлена так, что в поле её обзора попадают все люди, входящие приёмную и кабинет директора;  камера №4 фиксирует пытающихся попасть в помещение через балкон.

В структуру обновленного программного комплекса включено:  сервер 1С: работает на операционной системе Windows Server 2008, на нем располагается база программы 1С Предприятие 8.1; антивирус, установленный на данном сервере NOD 32. Через службу каталогов Active Directory осуществляется распределение доступа;  сервер IBM - работает на операционной системе Windows Server 2008, на нем располагается файл-сервер, а также Firewall. Доступ в интернет осуществляется через Firewall, на файл-сервер стекается информация от прикладных программ с рабочих станций;  рабочие станции 1-ого типа работают на операционной системе Windows 7, на них установлена: программа 1С предприятие (клиент), Microsoft Office 2013, а также браузер Internet Explorer 11, антивирус NOD 32;  рабочие станции 2-ого типа работают на операционной системе Windows 8, на них установлена: программа 1С предприятие, Microsoft Office 2013, а также браузер Internet Explorer 11, антивирус NOD 32. Для реализации разработанных мер и создания защищенного интернета, а также для ограничения доступа к серверу узлам сети и рабочим станциям необходимо произвести мероприятия по реализации разработанных мер ограничения доступа. Реализация разработанных мер по ограничению доступа и средства контроля доступа к ресурсу описана в таблице 15 приложения 1.

Таким образом, перечень документации, которую необходимо иметь на предприятии во избежание неприятностей при проведении различных проверок намерений, контролирующих сферу информационной безопасности должен состоять из:  План мероприятий по организации защиты персональных данных;  Положение о (защите) персональных данных предприятия;  Приказ о введении в действие Положения «О персональных данных»;  Приказ о назначении лиц, ответственных за обеспечение безопасности ПДН;  Должностные инструкции всех лиц, ответственных за обеспечение безопасности ПД;  Приказ о создании комиссии по классификации ИСПДН;  АКТ классификация ПДИ на предприятии;  Модель угроз безопасности КЗИС;  Модель нарушителя ИСПДИ;  Приказ об определении мест хранения материальных носителей ПД, обработанных без использования средств автоматизации;  Приказ об определении мест хранения материальных носителей ПД, обработанных с использованием средств автоматизации;  Приказ о создании комиссии по уничтожению ПД и материальных носителей ПД;  Журнал учета материальных носителей ПД, обработанных с использованием средств автоматизации;  Акт уничтожения (обезличивания) субъекта ПД;  Акт уничтожения материального носителя персональных данных;  Приказ о допуске работников (ответственных исполнителей) к обработке ПД на предприятии;  Должностные инструкции всех сотрудников, допущенных к обработке ПДН;  Приказ о создании комиссии по проведению проверок состояния охраны (контроля безопасности) ИСПДН;  Инструкции по проверке состояния защиты ИПДН;  План внутренних аудитов состояния защиты ПДИ на текущий год;  Руководство администратора информационной безопасности КЗИС;  Руководство администратора КЗИС;  Инструкции по антивирусной защите ИПДН;  Инструкции по резервному копированию и восстановлению баз данных ИСПДН;  Инструкции по модификации программного и аппаратного обеспечения ИСПДН;  Порядок парольной защиты ИСПДН;  Инструкция указание администратора информационной безопасности о внесении изменений в списки авторизованных пользователей ИСПДН;  Инструкции пользователю по действиям в чрезвычайных ситуациях;  Положение об использовании сети Интернет на предприятии;  Инструкции по обработке персональных данных посетителей;  Журнала посетителей предприятия;  Журнал письменных обращений субъектов ПДН;  Журнал криптографической защиты, используемой на предприятии;  Приказ о вводе в эксплуатацию системы защиты ПДИ.

Данная политика распространяется на всех сотрудников предприятия и требует полного исполнения. Данная политика укрепляет общую политику безопасности образовательной организации. Весь персонал должен быть ознакомлен и подотчетен за информационную безопасность в отношении своих должностных полномочий. Настроены «Групповые политики», такого состава: а) заданы политики для паролей (таблица 7 приложение 1) 2) в «Брандмауэре Windows» настроены разрешения доступа к сетевым портам, с отключением потенциально опасных, а также неиспользуемых. В «политиках аудита» использованы правила:  события входа в систему - внесение в журнал «успехов» и «отказов»;  доступ к объектам - внесение в журнал «успехов» и «отказов»;  системные события - внесение в журнал «отказов», перезагрузок, и пр. В качестве антивирусной защиты настроен Kaspersky Internet Security:  «Выполнять проверку во время простоя» - оптимизирует использование ресурсов (памяти, времени процессора), выполняя задачи в фоновом режиме;  Ежедневное автообновление антивирусных баз на 3 ч. ночи. Сетевой экран настроен так (таблица 8 приложение 1). Для контроллера домена и сервера - настроено резервное копирование данных по расписанию (таблица 9 приложение 1) с помощью «Системы архивации данных Windows Server» [4]. Сами копии создаются на выделенном для этих целей свободном RAID-массиве жестких дисков. Также, делаются резервные копии базы данных - при помощи отдельного файла оболочки Windows, содержащего необходимые команды. Сетевой экран рабочих станций из ПО Kaspersky Internet Security настроен аналогично таковому у сервера. Антивирусная защита настроена аналогично серверной с учетом особенностей рабочей станции. Установлена система ViPNet IDS HS - клиентская разновидность системы обнаружения вторжений. При этом оптимизировано потребление трафика (уменьшена нагрузка на сеть) и запрещен доступ к внешним сетям там, где он не требуется. На 49 компьютерах физически отключены неиспользуемые порты ввода-вывода COM и LPT. На 27 - за ненадобностью отключены порты USB [19]. CD/DVD-приводы не используются на 14 компьютерах - их тоже отключили.

Для каждой информационной системы цель создания состоит в обеспечении наиболее полного использования потенциальных возможностей объекта автоматизации для решения, поставленных перед ней задач. Эффективность определяется сопоставлением результатов от ее функционирования и затрат всех видов ресурсов, необходимых для ее создания и развития. Создание, внедрение и сопровождение информационной системы в каждом конкретном случае требует проведения расчетов, позволяющих определить величину эффекта, получаемого в результате автоматизации процесса [12, с.43]. В таблице 2 приведены затраты времени по стадиям внедрения системы защиты информации.

В процессе выполнения работы была разработана политика информационной безопасности организации. На основании анализа основных положений теории защиты информации было установлено, что для создания политики информационной безопасности необходимо разработать целый ряд документов и инструкций, направленных на защиту информации. На основании выполненного анализа наиболее эффективными методами и средствами защиты информации является комплекс мер как инженерно-технических методов и средств, позволяющих обеспечить комплексную защиту данных на предприятии, так и аппаратно-программных, и криптографических. Политика информационной безопасности разработана и её эффективность доказана. Оценка эффективности предложенных мероприятий показала их целесообразность внедрения в организации. Учитывая, что все поставленные задачи полностью решены, можно обоснованно утверждать, что главная цель исследования достигнута. В настоящей работе был выполнен анализ информационной системы, разработаны меры защиты, выбраны подходящие методы и инструменты. Построена и испытана система защиты информации, составлены и утверждены списки правил безопасности, обязательные для исполнения работниками учреждения, поскольку основные угрозы создают именно внутренние нарушители, т. е. персонал. Мы можем сделать вывод, что методы, нивелирующие человеческий фактор - очень положительно влияют на степень защиты информации. В сравнении с уже существующими (стандартными) системами, защита, реализованная в этой работе – содержит ряд улучшений, таких, как: внедрение системы обнаружения вторжений, использование как программных, так и аппаратных возможностей по защите от атак, и др.

1. Горев, А. И., Симаков А. А. Обеспечение Информационной Безопасности [Текст] / А.И. Горев. - Москва: СИНТЕГ, 2019. - 451 c. 2. Жарова, А.К. Правовая классификация угроз и рисков в информационной сфере [Текст] / А.К. Жарова // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. – 2016. – № 7-8 (97-98). – С. 130-138. 3. Железняк, В.К. Защита информации от утечки по техническим каналам: Учебное пособие. - СПб.: ГУАП, 2016. - 188 с. 4. Куприянов, А.И. Основы защиты информации : учеб.пособие [Текст] / А. И. Куприянов, А. В. Сахаров, В. А. Шевцов. - 3-е изд., стер. - М. : Academia, 2018. - 256 с. 5. Литвинская, О. С. Основы теории передачи информации. Учебное пособие [Текст] / О.С. Литвинская, Н.И. Чернышев. - М.: КноРус, 2015. - 168 c. 6. Малюк, А. А. Теория защиты информации [Текст] / А.А. Малюк. - М.: Горячая линия - Телеком, 2016. - 360 c. 7. Марков, Р.А. Подход к выявлению инцидентов информационной безопасности [Текст] / Р.А. Марков, В.В Бухтояров, А.М. Попов; под ред. Р.А. Маркова // Научно-технический вестник Поволжья. – 2016. – № 1. – С. 45-48. 8. Нестеров, С.А. Основы информационной безопасности: учеб. пособие [Текст] / С.А. Нестеров – СПб.: Изд-во Политехн. ун-та, 2014. – 322 с. 9. Расторгуев, С.П. Основы информационной безопасности : учеб.пособие для вузов [Текст] / С. П. Расторгуев. - М. :Academia, 2010. - 186 с. 10. Шаньгин, В. Ф. Информационная безопасность и защита информации [Текст] / В.Ф. Шаньгин. - Москва: СПб. [и др.] : Питер, 2016. - 379 c.