СТАРЫЙ Введение 1. О предприятии 2. Система предотвращения утечек конфиденциальных данных в корпоративной сети, основные понятия. 2.1. Что такое DLP. 2.2. На что делятся и за что отвечают. 2.3. Терминология. 2.4. Актуальность. 3. Внедрение DLP-системы на предприятии. 3.1. Первая ступень. Подготовка. 3.1.1. Обследоание. 3.1.2. Юридическое сопровождение. 3.2. Вторая ступень. Проектирование и установка. 3.2.1. Проектирование. 3.2.2. Установка. 3.3. Настройка. 4. Вывод. 1 НОВЫЙ ВВЕДЕНИЕ ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 1. 1.1. Анализ предметной области В наше время редко можно встретить человека, который не пользуется компьютером, не играл в косынку или в паука. Развитие компьютерной техники не стоит на месте - новинки появляются на прилавках с бешеной скоростью. Постоянно обновляются компьютерные технологии, тем самым облегчая жизнь. Базой практики является ООО «Компьютерный центр «КМ» основанное 01 апреля 2004 года и расположенное по адресу Сочи, г. Сочи, Адлерский район, ул. Кирова, 109 занимающееся как розничной так и оптовой продажей компьютерной и оргтехникой. В ассортименте магазина широко представлены компьютеры и ноутбуки различных конфигураций, цветов и размеров. Также аксессуары к ним, которые благодаря своим эргономическим параметрам позволяют превратить работу за компьютером в сплошное удовольствие. Для офиса и дома в наличии принтеры и сканеры, расходные материалы к ним, большое количество сетевого оборудования. А геймеры могут выбрать игровые аксессуары - специальные клавиатуры, джойстики, рули, игровые мышки. Несмотря на столь короткий срок работы, компания успела зарекомендовать себя с положительной стороны и прочно обосноваться на рынке г. Сочи. Так же компания занимается поставками техники в магазины республики Абхазия. Сотрудники имеют уникальный опыт работы в области информационных технологий, который исчисляется годами, большим количеством довольных клиентов и тысячами мегабайт обработанной информации. ООО «Компьютерный центр «КМ» являются официальным партнером фирмы 1С предназначенной для автоматизации управления и учета на 2 предприятиях различных отраслей, видов деятельности и типов финансирования, и включает в себя решения для комплексной автоматизации производственных, торговых и сервисных предприятий, продукты для управления финансами холдингов и отдельных предприятий, ведения бухгалтерского учета («1С:Бухгалтерия» самая известная учетная программа в ряде стран), расчета зарплаты и управления кадрами, для учета в бюджетных учреждениях, разнообразные отраслевые и специализированные решения, разработанные самой фирмой «1С». Помимо широкого спектра товаров у компании имеется своя собственная компьютерная сеть реализующая функции приема и передачи различного рода информации начиная от торговых баз заканчивая внутренним документооборотом, представленная на рисунке 1. Сеть построена по топологии дерево и звезда. Имеются три центральных сервера реализующие функции как сервера баз данных, файл сервера, бэкап сервера. Так же внутри сети используется корпоративный месенджер CommFort. Рисунок сети 1.2. Организационная структура Организационная структура предприятия (далее ОСП или оргструктура) – это пакет официальных документов, отражающих иерархию и состав организации, а также функции, права и обязанности ее основных элементов. При составлении орг. структуры учитывают цели бизнеса и инструменты, необходимые для их достижения. Поэтому уровни управления и процессы в каждой организации могут быть совершенно разные. Однако все ОСП включают несколько базовых составляющих: 1. документ, регламентирующий состав и ключевые функции структурных единиц; 2. положение о структурных подразделениях, которое более детально описывает протекающие внутри них процессы; 3 инструкции, описывающие функции и обязанности каждой 3. должности; схема, которая графически отражает, как устроена организация. 4. Классическая модель системы управления Макса Вебера выделяет пять принципов, на которых строится организация: Распределение обязанностей в соответствии со специализацией, 1. сутью данного принципа является достижения максимального результата сотрудники должны выполнять задачи, которые соответствуют их квалификации и компетенциям; 2. Четкая иерархичность, сутью данного принципа является порядок возможен тогда, когда каждый менеджер руководит только своим структурным подразделением или штатом сотрудников, а у работников есть четкое представление, каким распоряжениям подчиняться; 3. является Наличие общих стандартов и правил, сутью данного принципа сотрудники, занимающие аналогичные должности, должны соблюдать одинаковые для всех правила и выполнять работу в соответствии с общими стандартами; 4. Обезличенность при выполнении должностных обязанностей, сутью данного принципа является личные качества и симпатии не должны влиять на принятие решений и качество выполнения задач; 5. данного Защита от произвольных увольнений и возможность роста, сутью принципа является сотрудник, соответствующий критериям занимаемой должности, не может быть уволен без веских оснований. Повышение происходит в соответствии с уровнем квалификации, то есть шансы на карьерный рост выше у наиболее отличившегося сотрудника. В мировой и российской практиках существует всего шесть типов ОСП: линейная функциональная (или (или пирамидальная), функциональная, линейно-штабная), дивизионная, комбинированная. 4 линейноматричная, Линейная - одна из наиболее простых структур. В ней используются принципы централизма и единоначалия. Во главе каждого коллектива стоит руководитель, который Функциональная - этой подотчетен структуре вышестоящему специалисты руководителю. одного профиля объединяются в специализированные структурные подразделения. Например, специалисты по планированию работают в плановом отделе, специалисты по финансам - в финансовом отделе, специалисты по маркетингу - в отделе маркетинга. Управление, начиная со среднего звена, строится по функциональному признаку. Линейно-функциональная - особенностью данной структуры является то, что управление осуществляется линейными и функциональными руководителями. У линейного руководителя появляется особый штат (штаб), состоящий из управленческих подразделений, которые специализируются на выполнении какой-то одной функции управления. При этом линейный руководитель имеет полноту власти по всем объектам и функциям управления. Дивизионная - сюда относят виды организационных структур, которые группируют сотрудников по различным подразделениям (дивизионам). Например, подразделения могут быть по типу продукции (продуктовая структура) или региону (региональная структура). Матричная это комбинация функциональной и дивизионной структуры. Сотрудники находятся в двойном подчинении (горизонтальном и вертикальном) — по функции и по проекту. Матричная организационная структура доказала эффективность при реализации новых проектов, она позволяет гибко распределять человеческие ресурсы. За каждым проектом следит отдельный менеджер, но его права сильно ограничены — в основном занимается распределением ресурсов. Основная ответственность за проект — на руководителе подразделения. Комбинированная – как не удивительно эта структура совмещает с в себе самые разные принцепы и способы построения структуры предприятия. 5 1.3. Анализ защиты конфиденциальных данных в корпоративной сети ООО Компьютерный центр «КМ» Описать существующие методы защиты конфиденциальных данных на предприятии Проведя ознакомительную предприятием, автор зафиксировал что вся защита конфиденциальных данных построена на подписании договора при поступлении на работу. Если говорить на чистоту, то защиты никакой нет, как минимум если учитывать только именно сеть ПК на предприятии. 2. АНАЛИЗ ТЕОРЕТИЧЕСКИХ АСПЕКТОВ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ 2.1. Понятие угроз и уязвимости информационной безопасности и их классификация Несмотря функционирование на предпринимаемые компьютерных дорогостоящие информационных систем методы, выявило наличие слабых мест в защите информации. Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации. Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что такое угроза безопасности информации, выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным. Подчеркнем, что само понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать - вся информация считается общедоступной (СМИ); однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым). Итак, реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. 6 Злоумышленник может ознакомиться с конфиденциальной информацией, модифицировать ее, или даже уничтожить, а также ограничить или блокировать доступ легального пользователя к информации. При этом злоумышленником постороннее лицо. может Но, быть кроме как сотрудник этого, организации, ценность информации так и может уменьшиться ввиду случайных, неумышленных ошибок персонала, а также сюрпризов, иногда преподносимых самой природой. Информационные угрозы могут быть обусловлены: • естественными факторами (стихийные бедствия — пожар, наводнение, ураган, молния и другие причины); • человеческими факторами. Последние, в свою очередь, подразделяются на: - угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны, для воссоединения с семьей и т.п.) Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные пр01раммы и др.) с ошибками в работе аппаратуры изза некачественного ее изготовления; с ошибками процесса подготовки иобработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации); — угрозы, обусловленные умышленными, преднамеренными действиями людей. Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений секретов производства, новых технологий но корыстным и другим антиобщественным мотивам 7 (документация, чертежи, описания открытий и изобретений и другие материалы); подслушиванием и передачей служебных и других научно технических и коммерческих разговоров; с целенаправленной «утечкой умов», знаний информации (например, в связи с получением другого гражданства по корыстным несанкционированным мотивам). доступом к Это угрозы, ресурсам связанные с автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение носителей информации: дискет, описаний, распечаток и др.). Умышленные угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.Пассивные несанкционированное угрозы, как использование правило, направлены информационных ресурсов, на не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания. Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение сведений в базах данных либо в системной информации и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п. Умышленные угрозы подразделяются на внутренние, возникающие внутри управляемой организации, и внешние. Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом. Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими 8 условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж - это наносящие ущерб владельцу коммерческой тайны, незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем. К основным угрозам безопасности относят: • раскрытие конфиденциальной информации; • компрометация информации; • несанкционированное использование информационных ресурсов; • ошибочное использование ресурсов; несанкционированный обмен информацией; • отказ от информации; • отказ от обслуживания. Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц), что приводит к уменьшению и даже потере ценности информации. Реализация угроз является следствием одного из следующих действий и событий: разглашения конфиденциальной конфиденциальной информации и информации, несанкционированный утечки доступ к защищаемой информации (106). При разглашении или утечке происходит нарушение конфиденциальности информации с ограниченным доступом (рис. 6). Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием: • разглашения конфиденциальной информации; 9 • ухода информации по различным, главным образом техническим, каналам; • несанкционированного доступа к конфиденциальной информации различными способами. Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям. Возможна бесконтрольная утечка конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам. По физической природе возможны следующие средства переноса информации: • Световые лучи. • Звуковые волны. • Электромагнитные волны. • Материалы и вещества. Под каналом утечки информации будем понимать физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное получение охраняемых сведений. Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника. Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы: • визуально-оптические; • акустические (включая и акустико-преобразовательные); • электромагнитные (включая магнитные и электрические); 10 • материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида - твердые, жидкие, газообразные).К факторам утечки могут, например, относиться: • недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения; • использование не аттестованных технических средств обработки конфиденциальной информации; • слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами. Несанкционированный доступ (НСД) Это наиболее распространенный вид информационных угроз заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно самая главная проблема определить, кто и к каким наборам данных должен иметь доступ, а кто нет. Другими словами, необходимо определить термин «несанкционированный». По характеру, воздействия НСД является активным воздействием, использующим ошибки системы. НСД обращается обычно непосредственно к требуемому набору данных, либо воздействует на информацию о санкционированном доступе с целью легализации НСД. НСД может быть подвержен любой объект системы. НСД может быть осуществлен как стандартными, так и специально разработанными программными средствами к объектам.Есть и достаточно примитивные пути несанкционированного доступа: • хищение носителей информации и документальных отходов; • инициативное сотрудничество; • склонение к сотрудничеству со стороны взломщика; • выпытывание; • подслушивание; 11 • наблюдение и другие пути Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей. Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческий секретов, могут относиться: • недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения; • использование не аттестованных технических средств обработки конфиденциальной информации; • слабый контроль за соблюдением правил защиты информации правовыми организационными и инженерно- техническими мерами др. Разглашение и утечка приводит к неправомерному ознакомлению с конфиденциальной информацией при минимальных затратах усилий со стороны злоумышленника. Этому способствуют некоторые не лучшие личностно-профессиональные характеристики и действия сотрудников фирмы, представленные на рис.7. 2.2. Системы и методы защиты корпоративной информации от внутренних и внешних угроз 2.3 Разработка технического задания по внедрению системы предотвращения утечки конфиденциальных данных По гост (сноска на гост) 12 3. РЕАЛИЗАЦИЯ КОМПЛЕКСА МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ В ЛОКАЛЬНОЙ СЕТИ. 3.1. Выбор и описание аппаратно-программных средств защиты данных Описать при помощи какой программы и аппаратуры производится защита на предприятии. 3.2. Общие требования к организации и оборудованию Какими требованиями должна обладать система 3.3. Реализация комплексной системы защиты конфиденциальных данных Описать весь процесс внедрения системы защиты ЗАКЛЮЧЕНИЕ СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ Приложение Диплом: Защита конфиденциальной информации на предприятии (dodiplom.ru) Системы предотвращения утечек информации (DLP) - Информационные технологии, Дипломная работа (prepod24.ru) Защита локальной сети | Дипломная работа - бесплатно (rosdiplom.ru) 13