Uploaded by Владислав Шелопутов

Diplomnaya rabota Gerasimenko 1

advertisement
МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ
Государственное бюджетное профессиональное образовательное учреждение
Московской области
«Дмитровский техникум»
«Допустить к защите»
Зам.директора по УР
__________/Н.Е. Горюшкина
«_____»_______________2023 г.
Выпускная квалификационная работа
на тему
Анализ угроз информационной безопасности в исследуемой системе
организаций (на примере ООО «Компания Соне»)
Код специальности (профессии) 10.02.01
Специальность (профессия) Организация и технология защиты информации
Выполнил: студент:
Герасименко Александр Михайлович
(ФИО)
(Подпись)
Группа 42ОТЗИ
Руководитель выпускной
квалификационной работы
Ростовцев Валерий Алексеевич
(степень, ученое звание при наличии)
___________________________
Оценка_______________
Дата «______»_______________2023 г.
Председатель ГЭК ________________ /_________________/
Дмитров, 2023 г.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ .........................................................................................................................................3
ГЛАВА 1. АНАЛИЗ ТЕОРЕТИЧЕСКИХ АСПЕКТОВ ИССЛЕДУЕМОЙ ТЕМАТИКИ ...........5
1.1 Анализ теоретической базы и литературных источников по исследуемой тематике ...........5
1.2 Нормативное регулирование обеспечение информационной безопасности современных
автоматизированных систем .............................................................................................................7
1.3 Исследование угроз и нарушителей информационной безопасности ....................................8
ГЛАВА 2. ОБЩАЯ ХАРАКТЕРИСТИКА КОМПАНИИ ООО «КОМПАНИЯ СОНЕ» И
ОСОБЕННОСТЕЙ ПРОГРАММНО-АППАРАТНОЙ СТРУКТУРЫ.........................................12
2.1 Исследование характеристики компании ООО «Компания Соне» .......................................12
2.2 Исследование программно-аппаратной структуры и анализ актуальных угроз
информационной безопасности ООО «Компания Соне» .............................................................14
ГЛАВА 3. ИССЛЕДОВАНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОРГАНИЗАЦИЙ ООО «КОМПАНИЯ СОНЕ» И СРЕДСТВА БОРЬБЫ С НИМИ..................19
3.1 Актуальные угрозы информационной безопасности в организаций ООО «Компания
Соне»..................................................................................................................................................19
3.2 Разработка мер организации информационной безопасности в ООО «Компания Соне» ..21
ЗАКЛЮЧЕНИЕ.................................................................................................................................34
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ ............................................................................36
2
ВВЕДЕНИЕ
На текущий момент информационный ресурс является одним из самых ценных как для
бизнес-структур, так и для государства в целом.
В современном мире все чаще происходят факты несанкционированного доступа к
конфиденциальным ресурсам, постороннего вмешательства в информационное пространство,
как частных лиц, так и крупных предприятий.
Задача обеспечения надежной защиты информационных ресурсов вообще и
экономической информации, в частности, – базовая задача в сфере обеспечения защиты
информации для любой организации. С развитием предприятий, переходом к распределенной
структуре организаций, они начинают выходить за пределы отдельных зданий.
Тема
настоящей
выпускной
квалификационной
работы
–
«Анализ
угроз
информационной безопасности в исследуемой системе организаций ООО «Компания Соне»».
Актуальность темы выпускной квалификационной работы определяется увеличением
информационных
и
экономических
рисков
из-за
появления
современных
угроз
информационным системам, современными темпами и уровнем развития методов
обеспечения защиты информации, которые в значительной степени отстают от уровня
развития современных информационных технологий, наличием свободного доступа к
информационным ресурсам через разнообразные мобильные средства связи.
В современном мире имеют место самые разнообразные способы хищения
информации: радиотехнические, акустические, программные и т.д.
Для полноценной информационной безопасности защиту информации необходимо
обеспечивать на всех этапах ее обработки.
Средства защиты информации определяются степенью подготовленности нарушителя.
Кроме этого различают виды нарушений с позиции нарушителя: умышленное и
неумышленное нарушение.
Организация защиты информационных ресурсов требует использования различных
методов, среди которых: законодательный, технический, организационный, программный,
математический.
Так же популярны и эффективны различные программные методы, которые
значительно расширяют возможности систем безопасности информационных ресурсов.
Исследуемая тематика является актуальной, так как на данный момент наблюдается
рост различных информационных рисков, связанный с появлением различных технических
3
средств,
увеличением компьютерной грамотности населения, ростом числа ЭВМ,
распространению доступа к информационным ресурсам разнообразного характера и так далее.
Цель выпускной квалификационной работы – исследование угроз информационной
безопасности в системе организаций ООО «Компания Соне» и разработка обоснованных
практических рекомендаций по организации системы информационной безопасности.
Для достижения цели работы необходимо разрешить следующие задачи:
– произвести анализ теоретической базы и литературных источников по исследуемой
тематике;
– произвести исследование общей характеристики предприятия ООО «Компания
Соне»;
– произвести исследование программно-аппаратной структуры и анализ актуальных
угроз информационной безопасности предприятии ООО «Компания Соне»;
– произвести анализ применяемых мер защиты;
– произвести разработку организационных и правовых мер защиты информации;
– произвести разработку программно-технических мер организации информационной
безопасности;
– разработать рекомендации по внедрению и организации работы средств
информационной безопасности;
– произвести расчет сметной стоимости разработки;
– произвести экономическое обоснование разработки.
Объект исследования настоящей выпускной квалификационной работы – предприятие
ООО «Компания Соне».
Предмет исследования – подходы в области разработки мероприятий, направленных на
обеспечение информационной безопасности предприятия ООО «Компания Соне».
Методы исследования: анализ рассматриваемого предприятия «как есть», анализ
теоретических основы обеспечения информационной безопасности, анализ возможных угроз
информационной безопасности предприятия, исследование имеющихся средств защиты
информации, оценка результатов внедрения.
Практическая
значимость
работы
–
результаты
работы
позволят
повысить
эффективность системы информационной безопасности объекта.
В ходе работы предполагается получить значительный объем теоретических и
практических навыков, которые будут необходимы в процессе дальнейшей трудовой
деятельности по специальности
4
ГЛАВА 1. АНАЛИЗ ТЕОРЕТИЧЕСКИХ АСПЕКТОВ
ИССЛЕДУЕМОЙ ТЕМАТИКИ
1.1 Анализ теоретической базы и литературных источников по
исследуемой тематике
Процесс информатизации, охвативший современное общество, резко увеличил
количество информационных ресурсов и их роль в современной жизни людей, организаций и
общества в целом. Увеличилось количество собственников информационных ресурсов, и для
них безопасность этих ресурсов жизненно необходима. С увеличением количества
информационных ресурсов, преобразованных в электронный вид, резко увеличились риски,
связанные с потерей целостности, доступности, конфиденциальности, по сравнению с их
бумажными аналогами. Поскольку информация в электронном виде так же наравне с
бумажной имеет высокую ценность, а иногда за счет ее компактности она выше, необходимо
оценивать возможность ее потери или кражи [1, 4].
Рассмотрим работы, которые освещают вопросы защиты информации и персональных
данных. Эти работы широко использовались при написании курсовой работы.
В работе автора Торокина А. А. «Инженерно-техническая защита информации»
изложены вопросы инженерно-технической защиты как одного из основных направлений
информационной безопасности. С системных позиций рассмотрены концепция, теория,
технические системы и средства, организация и методология инженерно-технической защиты
информации и информационных средств.
Автор Илюшенко В. Н. в своем труде «Информационная безопасность и методология
защиты информации» с позиций процессов управления рассмотрены мировоззренческие
основы информационной безопасности государства, общества и личности, методология,
принципы, направления и средства защиты информации.
Работа «Теория и практика обеспечения информационной безопасности» автора П.
Зегжа раскрывает проблемы безопасности компьютерных систем в соответствии с их
современным состоянием. В работе приведены классификация и примеры нарушения
безопасности КС, на их основе намечены новые подходы к созданию защищенных систем.
Работа содержит уникальный справочный материал по анализу безопасности зарубежных КС.
Особо хотелось бы выделить разделы, посвященные гарантированно защищенным
распределенным системам, доказательному подходу к построению систем защиты и
определению политики безопасности.
В работе В. Мельникова «Защита информации в компьютерных системах» предложен
новый подход, концепция, принципы построения защиты и оценки уровня безопасности
5
информации в вычислительных системах, сетях и АСУ. С этих позиций рассматриваются
информация и условия ее обработки в автоматизированных системах: потенциальные угрозы,
возможные каналы несанкционированного доступа, методы, средства и системы ее защиты.
Цель данной работы - показать возможность создания системы безопасности информации с
гарантированными характеристиками, качеством и оптимальными затратами.
Работа «Основные задачи и способы обеспечения безопасности автоматизированных
систем обработки информации» автора Р. Магауенова носит характер вводного учебнометодического пособия, в котором изложены основные задачи, методы, способы и
особенности обеспечения безопасности автоматизированных систем обработки информации.
Концептуально (с определенным приближением) изложенные подходы, методы и способы
могут быть применены в организациях, имеющих объективную потребность защиты
информации.
Среди зарубежных авторов можно отметить Л.Дж. Хоффмана, в работе которого
«Современные методы защиты информации» подробно изложены современные методы и
технические средства для защиты информации в вычислительных системах, сетях ЭВМ и на
отдельных терминалах. Приведены стандартные методы с учетом архитектуры ЭВМ и ее
влияния на секретность информации, рассмотрены теоретические модели систем защиты
данных и новые методы шифрования данных в файлах с произвольным доступом.
Ю.А. Стpельченко в работе «Обеспечение информационной безопасности банков» на
основе единого подхода рассматривает все стороны информационной безопасности банков.
Изложены принципы постpоения и функциониpования систем, ее обеспечивающих: системы
сбоpа инфоpмации, системы защиты инфоpмации и системы выдачи инфоpмации. Особое
внимание уделено новой технологии смаpт-каpт. Описаны pеально действующие системы,
использующие эту технологию для защиты компьютерных систем банка, удаленных платежей
и ведения безналичных расчетов на основе платежных карточек.
В.С. Баpсуков, В.В. Маpущенко, В.А. Шигин в своей работе «Интегральная
безопасность» рассматривают актуальные вопpосы обеспечения интегpальной безопасности
объектов и инфоpмации. С единых позиций пpоанализиpовано большое количество
pазpозненных заpубежных и отечественных публикаций, матеpиалов конфеpенций, семинаров
и выставок последних лет, посвященных пpоблемам обеспечения интегpальной безопасности,
в том числе, физической безопасности, безопасности технических сpедств и безопасности
связи.
С. Расторгуев в работе «Программные методы защиты информации в компьютерных
сетях» рассматривает вопросы организации компьютерной безопасности исключительно
программными методами. Представлены математические модели, на базе которых можно
6
осуществлять расчеты надежности защитных механизмов. Предложен новый, перспективный
подход к защите данных на базе экспертных и самообучающихся систем, намечена тенденция
развития программно-аппаратных средств защиты от несанкционированного доступа. В
работе приведены описания новых алгоритмов, которые могут быть использованы читателями
в своих собственных разработках.
1.2 Нормативное регулирование обеспечение информационной
безопасности современных автоматизированных систем
В нашей стране действует ряд законов в области обеспечения информационной
безопасности вообще и защиты персональных данных граждан в частности. Рассмотрим
наиболее важные законодательные акты.
Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных
технологиях и о защите информации», который заменил собой ФЗ от 20 февраля 1995 г. № 24ФЗ «Об информации, информатизации и защите информации», регулирует отношения,
возникающие при:
1)
осуществлении
права
на
поиск,
получение,
передачу,
производство
и
распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
Указанный
закон
не
затрагивает
отношений,
которые
регулируются
законодательством, касающимся интеллектуальной собственности.
Данный закон регламентирует отношения в сфере информации, устанавливая права и
обязанности субъектов информации, определяя ответственность при правонарушениях в
области информации.
Указом Президента Российской Федерации от 5 декабря 2016 г. N 646 была утверждена
Доктрина информационной безопасности Российской Федерации. Указанная Доктрина
является совокупностью официальных взглядов на цели, принципы, основные направления и
задачи в сфере обеспечения информационной безопасности РФ.
Большую значимость имеют следующие положения указанной Доктрины.
Информационная безопасность РФ определяется в Доктрине, как состояние
защищенности интересов РФ в сфере информации и информационных технологий, которые
определяются совокупностью сбалансированных интересов личности, а так же общества и
государства в целом.
7
Доктрина определяет в числе угроз информационной безопасности РФ угрозы
конституционным правам человека и гражданина в сфере духовной и личной жизни, а так же
информационной деятельности.
Значимое место в Доктрине имеют особенности обеспечения информационной
безопасности в области экономики, которая играет огромную роль в формировании
национальной безопасности РФ.
Уголовный кодекс РФ устанавливает наказания за нарушение неприкосновенности
частной жизни - незаконное собирание или распространение сведений о частной жизни лица,
составляющих его личную или семейную тайну, без его согласия либо распространение этих
сведений в публичном выступлении, публично демонстрирующемся произведении или
средствах массовой информации.
27 июля 2006 г. был принят Федеральный закон № 152-ФЗ
«О персональных
данных».
Цель закона
– защита прав и свобод человека и гражданина при обработке его
персональных данных, в том числе защита прав на неприкосновенность частной жизни,
личную и семейную тайну.
Таким образом, в данный момент законодательная база, регулирующая вопросы
обеспечения защиты информации в РФ находится в состоянии формирования. Однако процесс
ее создания и совершенствования происходит значительными темпами.
Разработка и внедрение средств защиты требует капитальных вложений. Чем ценнее
информационный актив организации, тем больше затрат на его защиту. Ценные
информационные
ресурсы
организации
обычно
подвергаются
большим
угрозам,
соответственно тем ценнее актив, тем больше затрат на обеспечение его защиты. Обеспечение
информационной безопасности не может достигаться бесплатно. Даже в случае использования
не затратных с точки зрения стоимости средств защиты, всегда требуются ресурсы на их
внедрение, оценку угроз и поиска уязвимостей. Но при этом затраты на защиту
информационных ресурсов окупаются с точки зрения отсутствия потерь при возникновении
угроз или недопущения их возникновения.
1.3 Исследование угроз и нарушителей информационной
безопасности
Угрозы информационной безопасности АС возникают на различных этапах их
функционирования. Под данными этапами понимается использование информационных
ресурсов, хранение, обработка информации в АС и так далее.
8
Объекты атак на данных этапах – это совокупность технических, программных и
информационных средств АС.
Цели данных атак:
 получение сведений об информационных средствах;
 внесение различных уязвимостей в средства информационной системы АС;
 внесение несанкционированных изменений в электронную документацию;
 хищение информации;
 нарушение конфигурации средств информационной системы АС.
Потенциальных
нарушителей,
которые
могут
нанести
вышеуказанный
вред
информационным ресурсам АС, классифицируют на нарушителей:
 внешних, которые не имеют санкционированных возможностей для объекта доступа
в контролируемую зону АС;
 внутренних, которые имеют постоянный или разовый доступ в контролируемую зону.
Нарушители – это отдельные лица, которые ведут злоумышленную деятельность
относительно информационных ресурсов защищаемых объектов.
Нарушители включают [15]:
 посетителей;
 некоторые категории обсуживающего персонала и представители ремонтных
организаций объектов защиты, которые не имеют доступ к компонентам АС.
- представителей эксплуатационных и обслуживающих служб, которые находятся в
пределах контролируемой зоны на постоянной основе или периодически. Нарушители
данного типа не обладают техническими средствами и доступом к программному
обеспечению АС.
- сотрудников объекта защиты, которые не являются операторами АС.
- сотрудников, которые являются операторами рабочих мест информационной системы
и имеют непосредственный доступ к информационным ресурсам АС.
- сотрудников, которые осуществляют обслуживание узлов АС постоянно.
Основные атаки на информационные ресурсы АС осуществляются с помощью:
 внешних каналов связи, не защищенных от НСД к информационным ресурсам
организационными и техническими мерами;
 штатных средств;
 каналами непосредственного доступа к объектам атак;
 машинных носителей информации;
 носителей информации, выведенных из употребления.
9
Произведем исследование наиболее вероятных угроз безопасности АС.
При обработке информации локальных ИТ-системах, имеющих подключения к сетям
связи общего пользования, возможна реализация следующих угроз безопасности АС:
- угрозы утечки информации по техническим каналам;
- угрозы НСД к конфиденциальной информации.
Угрозы утечки информации по техническим каналам включают в себя:
- угрозы утечки акустической (речевой) информации;
- угрозы утечки видовой информации;
- угрозы утечки информации по каналу ПЭМИН.
Возникновение угроз утечки акустической (речевой) информации, содержащейся
непосредственно в произносимой речи пользователя ИС, возможно при наличии функций
голосового ввода в АС или функций воспроизведения информации акустическими
средствами.
Реализация угрозы утечки видовой информации возможна за счет просмотра
информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и
других
средств
отображения
средств
вычислительной
техники,
информационно-
вычислительных комплексов, технических средства обработки графической, видео- и
буквенно-цифровой информации, входящих в состав АС.
Угрозы
утечки
информации
по
каналу ПЭМИН
возможны
из-за
наличия
электромагнитных излучений, в основном, монитора и системного блока компьютера.
Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений
монитора.
Угрозы НСД в локальных АС связаны с действиями нарушителей, имеющих доступ к
АС, включая пользователей АС, реализующих угрозы непосредственно в АС.
Угрозы НСД в АС, связанные с действиями нарушителей, имеющих доступ к АС,
аналогичны тем, которые имеют место для отдельного АРМ, не подключенного к сетям связи
общего пользования. Кроме этого, источниками угроз НСД к информации в АРМ могут быть
аппаратные закладки и отчуждаемые носители вредоносных программ.
В ИС на базе распределенных АРМ возможны:
- угрозы, реализуемые в ходе загрузки операционной системы и направленные на
перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS),
перехват управления загрузкой;
- угрозы, реализуемые после загрузки операционной системы и направленные на
выполнение
несанкционированного
доступа
с
применением
стандартных
функций
(уничтожение, копирование, перемещение, форматирование носителей информации и т.п.)
10
операционной системы или какой-либо прикладной программы (например, системы
управления базами данных), с применением специально созданных для выполнения НСД
программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и
т.п.);
- угрозы внедрения вредоносных программ.
Кроме того, в такой ИС могут иметь место:
- угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации;
- угрозы выявления паролей;
- угрозы удаленного запуска приложений;
- угрозы внедрения по сети вредоносных программ.
11
ГЛАВА 2. ОБЩАЯ ХАРАКТЕРИСТИКА КОМПАНИИ
ООО «КОМПАНИЯ СОНЕ» И ОСОБЕННОСТЕЙ
ПРОГРАММНО-АППАРАТНОЙ СТРУКТУРЫ
2.1 Исследование характеристики компании ООО «Компания Соне»
Компания ООО «Компания Соне» – сервисная организация со специализацией в
области менеджмента проектов в сфере информационных технологий и создания
комплексных ИТ-решений, сопровождения IT инфраструктуры.
Сферы деятельности:
1. Сервисное сопровождение IT инфраструктуры организаций.
Эффективность работы современной компании или государственной организации
сейчас во многих аспектах зависит от надежной и продуктивной работы IT инфраструктуры:
парка компьютерной техники, ЛВС, программного обеспечения. Большая часть работников в
организациях, в своей работе, активно используют различные информационные технологии,
и даже незначительный сбой в работе информационных сервисов влечет за собой весьма
реальные убытки для организации. Наша компания предлагает комплекс услуг по поддержке
пользователей и обслуживанию пользовательских ИТ-сервисов.
2. Консультирование в области создания ИТ-инфраструктуры, системная интеграция.
Современный IT рынок предлагает большое разнообразие решений и технологий и для
любой организации важным становится выбор правильной стратегии и целевых решений,
которые однозначно предоставят необходимый уровень и поддержку бизнес процессам
организации и при этом не будут являться «троянским конем» в бюджете.
3. Разработка программного обеспечения на заказ.
Компания имеет богатый опыт разработки программного обеспечения разного уровня
сложности в области создания корпоративных систем управления, систем поддержки
принятия решений (СППР), порталов и сайтов.
Общее количество сотрудников ООО «Компания Соне» – 42 человека.
В ООО «Компания Соне» имеется отдел системного администрирования, который
обеспечивает информационную безопасность компании.
Организационная структура ОСА предприятия приведена на рисунке 1.
12
Рисунок 1 – Организационная структура ИТ-подразделения предприятия
Отдел системного администрирования (ОСА) включает в своем составе три сектора:
– сектор сопровождения;
– сектор разработки;
– сектор мониторинга.
Подразделение выполняет следящие функции в исследуемой компании:
 обслуживание компьютеров и ноутбуков на аппаратном и программном уровне;
 чистку ПК и ноутбуков;
 ремонт компьютеров, ноутбуков и планшетов;
 настройку доступа к сети интернет, подключение и настройку Wi-Fi;
 обеспечение защиты от вирусов, спама и другого вредоносного ПО.
Количество сотрудников ОСА– 15 человек:
13
– начальник отдела;
– начальники секторов – 3 человека;
– ведущие программисты – 2 человека;
– программисты – 4 человека;
– системные администраторы – 4 человек;
– системные аналитики – 2 человека.
В своей работе руководителю подразделения необходимо многократно измерять
скорость ключевых процессов, например, начиная от времени подготовки договоров
юристами и заканчивая средним временем сложной продажи продавцами. Без этого измерения
нет базы для улучшения рабочих процессов.
2.2 Исследование программно-аппаратной структуры и анализ
актуальных угроз информационной безопасности ООО «Компания Соне»
На предприятии организована локальная компьютерная сеть. Пользователям сети
организован доступ к базе данных предприятия. Моменты выходов в сеть фиксируются
системными администраторами. Тоже самое имеет место применительно к сети Интернет. Вся
сеть располагается в пределах одного административного здания.
Схема компьютерной сети компании приведена на рисунке 2.
Apache
Apache 2.4
2.4
FTP
FTP server
server
Почтовый
Почтовый сервер
сервер
Сервер
Сервер печати
печати
Backup
Backup Server
Server
Демилитаризированная
Демилитаризированная зона
зона сети
сети
Видео
Видео безопасности
безопасности
MSSQL
MSSQL Server
Server
Корпоративный
Корпоративный Firewall
Firewall
ISA
ISA Proxy
Proxy
Internet
Internet
Directum
Directum
1С:
1С: Битрикс
Битрикс 1C:
1C: Предприятие
Предприятие 8.3
8.3
Локальная
Локальная сеть
сеть офиса
офиса
Удаленные
Удаленные пользователи
пользователи
1C:
MSSQL Server
Server DNS
1C: Предприятие
Предприятие 8.3
8.3 MSSQL
DNS Server
Server
Рабочие
Рабочие станции
станции
Рисунок 2 – Схема компьютерной сети ООО «Компания Соне»
Пользователи ОС Windows имеют полные административные права. Таким образом их
компьютеры подвержены, как частым системным сбоям, так и вирусным атакам, даже при
14
использовании бесплатного антивируса «Kaspersky Free». Работа этих ПК никак не
разграничивается и не ограничивается в пользовательских правах. Данный аспект является
большим недостатком используемой сети.
Соединения в ЛВС осуществляется кабелем UTP Cat 5e (4-пары) в большей степени с
открытой прокладкой. В качестве коммутации используются 5 и 8-ми портовые
концентраторы фирм «TP - Link» и «D- Link», расположенные в коридорах, кабинетах
сотрудников. Также некоторые рабочие станции (ПК, ТК) подключены к сети через порты
телефонных аппаратов (ТА) Yealink SIP-T19 E, то есть ТА выполняет роль моста с одним
портом для подключения одного устройства.
Доступ в сеть интернет осуществляется средствами оптоволоконной линии. Скорость
100 и 10 Мбит/сек. Электронная почта организована с помощью использования домена
MAIL.RU. Для каждого отдела используются свои имена почтовых ящиков. Данный аспект
так же относится к недостаткам организованной сети.
Техническая архитектура офиса компании приведена в приложении 1. Программное
обеспечение приведено в таблице 1.
Таким образом, информационная инфраструктура компании построена в достаточной
степени рационально под функционал и задачи бизнеса, выполнения функциональных
обязанностей персонала, обеспечено ее стабильное и эффективное функционирование.
Характеристики и типы используемого оборудования приведены в таблице 1.
Поз.
Обозначение
Наименование
и
техническая Кол.
характеристика
1
Нотубук
агенты,
(Торговые Asus X553MA-BING-SX377B
специалисты Intel® Pentium® N3540
технической поддержки)
2
24 шт
Рабочие
2048 МБ
станции Intel, Core i5-4460, 3.2 ГГц, 3.4 ГГц, ОП 12 шт.
(менеджеры)
память: 8 Гб, HDD+SSD, 1 Тб, nVidia,
GeForce GTX 970 Intel HD 4600, 4096 Мб,
3
Рабочие
(бухгалтеры,
4
станции Intel, Core i5-4460S, 2.9 ГГц, 3.4 ГГц, 3 шт.
системный Оперативная память: 4 Гб, HDD, 1 Тб,
аналитик)
AMD, Radeon R7 240, 2000 Мб,
Сервер
VIA C7 Esther 1,5GHz, cache 64kB, MMX, 3 шт.
SSE, SSE2, SSE3
2x Apacer DDR2-667 1GB
5
Маршрутизатор
ASUS RT-AC87U
15
3 шт.
Поз.
Обозначение
Наименование
и
техническая Кол.
характеристика
Межсетевой экран
6
Гигабитный межсетевой экран NetDefend с 2 шт.
6
настраиваемыми
портами,
сертифицировано ФСТЭК
Таблица 1 – Техническое обеспечение ООО «Компания Соне»
Программное обеспечение компании приведено в таблице 2
Поз.
Обозначение
Тип лицензии
Кол.
1
Windows 7
Коробочная версия
32 шт.
2
Windows Server 2008
Пользовательское
соглашение 3 шт
Microsoft
2
MS Office Pro 2010
Коробочная версия
32 шт.
3
MSSQL Server 2008
Лицензия на сервер и 20 CAL 20 шт.
клиентских лицензий
4
IIS 6.0
Microsoft EULA
10 экз.
5
ASP.Net
MIT License
10 экз.
6
1С Бухгалтерия на базе
Лицензия на сервер и 20 рабочих мест 10 шт.
1С Предприятие 8.3
1С-Битрикс:
7.
Лицензия на сервер и 10 рабочих мест 10 шт.
Управление сайтом
Таблица 2 – Программное обеспечение ООО «Компания Соне»
Сотрудники технической поддержки программного обеспечения, при необходимости,
могут удаленно работать с программным обеспечением клиента проекта.
Угрозы информационной безопасности исследуемого объекта возникают на различных
этапах его функционирования.
Под данными этапами понимается использование информационных ресурсов ЛВС
объекта, хранение, обработка информации, обработка данных сотрудников и клиентов центра,
обработка финансовой информации.
Объекты атак на данных этапах – это совокупность технических, программных и
информационных средств ЛВС центра, которые учувствуют в обработке персональных
данных.
Цели данных атак:
 получение финансовых средств компании;
16
 получение сведений об информационных средствах компании;
 внесение различных уязвимостей в средства информационной системы;
 внесение несанкционированных изменений в электронную документацию ИС
компании;
 нарушение конфигурации средств информационной системы.
В ООО «Компания Соне» реализованы как организационные, так и физические и
программные средства защиты. Достижение основных целей в обеспечении информационной
безопасности документооборота достигается за счет выполнения задач:
­ выполнение мероприятий организационного характера в виде создания регламентов,
положений с целью отнесения информации обрабатываемой в организации к различным
категориям ограниченного доступа (коммерческой тайне, служебной тайне, персональным
данным);
­ проведение мероприятий по контролю за выполнением правил работы с
документами в бумажной и электронной форме;
­ доведение до сведения всех заинтересованных лиц и ознакомление под роспись об
ответственности за неправомочное использование данных, их неправильное или халатное
использование;
­ использование в работе средств обработки информации и хранения и передачи
данных программное обеспечение, которое позволяет выстроить разграничение прав доступа
к данным;
­ проведение мероприятий по прогнозированию и своевременному выявлению угроз
информационной безопасности для используемых активов в организации, определение
причин и условий, которые позволяют нанести финансовый, материальный или моральный
ущерб информации и способствуют появлению факторов, которые отрицательно влияют на
деятельность организации;
­ создание условий функционирования организации, которые способствуют к
сведению к минимуму возможности возникновения угроз, а также позволяют устранить или
минимизировать причиняемый ущерб [15].
Разграничение локального и сетевого трафика осуществляется через:
– Alpha Internel – локальный трафик;
– Sigma External – сетевой трафик.
Для защиты от вирусных атак используется антивирус «Kaspersky», который
представляет собой эффективный инструмент для постоянного мониторинга состояния
компьютера. Он надежно блокирует попытки вирусов, троянских программ, почтовых червей,
17
шпионских программ и других вредоносных объектов проникнуть в систему из внешних
источников. антивирус «Kaspersky» удобен в использовании и нетребователен к системным
ресурсам - может быть установлен на любой ПК, на котором установлена ОС Windows.
Отличительные особенности «Kaspersky» для Windows:
- возможность работы на уже инфицированном компьютере и исключительная
вирусоустойчивость выделяют «Kaspersky» среди всех других аналогичных программ;
- может быть установлен на уже инфицированный компьютер и способен вылечить его;
- сканер «Kaspersky» можно запустить с внешнего носителя без установки в системе;
- большинство атаковавших систему вирусов могут быть устранены уже во время
установки антивируса «Kaspersky» при сканировании памяти и файлов автозагрузки.
- непосредственно перед сканированием (в процессе установки) предусмотрена
возможность обновления антивирусных баз.
Для защиты информации от несанкционированного доступа на персональных
компьютерах используется ПАК «Соболь 3.0».
Основные нарушения при обработке информации в ИС:
 как правило, публичный доступ к конфиденциальной информации предприятия;
 отсутствует криптографическая защита мест конфиденциальной информации
предприятия.
18
ГЛАВА 3. ИССЛЕДОВАНИЕ УГРОЗ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИЙ
ООО «КОМПАНИЯ СОНЕ» И СРЕДСТВА БОРЬБЫ С НИМИ
3.1 Актуальные угрозы информационной безопасности в организаций
ООО «Компания Соне»
Потенциальных
нарушителей,
которые
могут
нанести
вышеуказанный
вред,
классифицируют на нарушителей:
 внешних, которые не имеют санкционированных возможностей для организации
доступа в контролируемую зону компании;
 внутренних, которые имеют постоянный или разовый доступ в контролируемую
зону.
Классификация
типов
нарушителей
относительно
возможностей
доступа
к
компонентам узлов ЛВС приведены в таблице 3.
Нарушители первого типа – это отдельные лица, которые ведут злоумышленную
деятельность, направленную на проведение каких либо мошеннических действий.
Характеристика нарушителя
Тип
Внешний нарушитель
Тип 1
Посетитель
Тип 2
Обслуживающий персонал
Тип 3
Сотрудник, не являющийся пользователем
Тип 4
Оператор
Тип 5
Администратор
Тип 6
Сотрудник организации, обслуживающей ТС и ПО
Тип 7
Таблица 3 – Типы нарушителей информационной безопасности
Нарушители второго типа включают [18]:
 посетителей;
 некоторые категории обсуживающего персонала и представители ремонтных
организаций, которые не имеют доступ к компонентам ЛВС.
Нарушители
третьего
типа
включают
представителей
эксплуатационных
и
обслуживающих служб, которые находятся в пределах контролируемой зоны на постоянной
основе или периодически. Нарушители данного типа не обладают техническими средствами
19
и доступом к программному обеспечению информационной системы и базе данных
организации.
Нарушители четвертого типа включают сотрудников компании, которые не являются
операторами рассматриваемой ЛВС.
Нарушители пятого типа включают сотрудников, которые являются операторами
рабочих мест информационной системы и имеют непосредственный доступ к программноаппаратным средствам компании [19].
Нарушители шестого типа не рассматриваются в настоящей модели. Предполагается,
что администраторы - это доверенные лица и они не являются нарушителями. Доверенность
администраторов обеспечивает комплекс мер по выбору персонала и закреплению
ответственности.
Нарушители седьмого типа относятся сотрудники организаций, которые осуществляют
обслуживание узлов постоянно в соответствии с заключенными договорами. Данный тип
нарушителей так же не рассматривается в данной модели. Защита от этого типа нарушителей
обеспечивает комплекс организационных мер и правила обращения с информационными
ресурсами базы данных, которые стали доступными вследствие проведенных мероприятий
[13].
Существующая в компании система набора кадров, а так же организационнотехнические мероприятия сводят вероятность возможности сговора между нарушителями
любых типов на ноль.
Основные атаки на информационные ресурсы ЛВС компании осуществляются с
помощью:
 внешних каналов связи, не защищенных от НСД к информационным ресурсам
организационными и техническими мерами;
 штатных средств;
 каналами непосредственного доступа к объектам атак;
 машинных носителей информации.
Доступы к информационным и управляющим ресурсам СВТ ограничен из-за вводимых
предположений по возможностям нарушителя.
В рассматриваемой информационной системе информация передаётся по средствам
неконтролируемых каналов связи, поэтому требуется использование криптографической
защиты данных.
20
Модель нарушителя приведена в таблице 4.
Возможность использования средства
Средства атак
атак
Аппаратные компоненты криптографической
защиты
Отсутствует
Технические средства, а так же программное Возможно применение данных средств
обеспечение
(включая компьютерные вирусы)
Целенаправленно разработанные технические
средства, а так же программное обеспечение
Штатные
Штатные средства
размещаются
в
Возможность использования средства
атак
Распределенные ресурсы различных сетей
перехвата,
средства
пределах контролируемой зоны
Средства атак
Средства
Отсутствует
а
так
же
Возможна организация атак
обработки
информационных ресурсов в кабельном или Возможно применение
коммуникационном оборудовании
Таблица 4 – Модель нарушителя
3.2 Разработка мер организации информационной безопасности в
ООО «Компания Соне»
Решить проблему выбора наиболее эффективного программно-технического средства
защиты информации позволяет метод анализа иерархии (метод Саати).
Метод Анализа Иерархий (МАИ) – математический инструмент системного подхода к
сложным проблемам принятия решений. МАИ не предписывает лицу, принимающему
решение, какого-либо «правильного» решения, а позволяет ему в интерактивном режиме
найти такой вариант (альтернативу), который наилучшим образом согласуется с его
пониманием сути проблемы и требованиями к ее решению. Этот метод разработан Р.
Беллманом, Б.Н. Бруком и В.Н. Бурковым, но получил широкую известность по работам Т.
Саати, который и назвал процедуру методом анализа иерархий.
Программно-аппаратную защиту информации в исследуемом центре предлагается
выстроить на базе нескольких подсистем.
1. Предлагается использовать подсистему криптографической защиты информации.
21
С этими целями произведён анализ наиболее популярного программного обеспечения
криптографических средств защиты:
- Континент (производство ООО «Информзащита»);
- Check Point VPN-1 (производство «Check Point»);
- VipNet (производство «Infotecs»);
- StoneGate VPN (производство «StoneSoft»).
Используем метод Саати для анализа.
Закодируем исследуемые средства защиты:
– N1 – Check Point VPN-1;
– N2 – VipNet;
– N3 – Континент;
– N4 – StoneGate VPN.
На основе анализа зададим критерии оценки и систему кодирования (код критерия,
оценка критерия):
А1 – стоимость программно-технического средства;
А2 – расширенные возможности применения крипто алгоритмов (да/нет – 0/1);
А3 – наличие программных компонентов шифрования (да/нет – 0/1);
А4 – наличие широкого спектра дополнительных услуг (да/нет – 0/1).
Оценим важность критериев по шкале, предложенной Т. Саати. Если у элементов
равная важность, то ставим 1; если один из элементов важнее другого – ставим 3; если же один
из элементов существенно превосходит другой – 5; один намного важнее второго – 7; если
один по своей значительности сильно превосходит другой – 9. Но если сравнивать элемент с
самим собой, то нужно ставить 1.
Приведем подсчитанные параметры в таблице 5.
А1
А2
А3
А4
сумма
А1 А2 А3
1 1/3 1/9
3
1 1/9
9
7
9
5
1
3
А4
1/7
1/5
произведения
0,005291005
0,066666667
корень
0,26970224
0,50813275
w
0,043094247
0,081191755
1/3
1
27,00
105
2,27950706
3,20108587
6,25842792
0,364229977
0,511484021
Таблица 5 – Относительные веса критериев
Произведение А1 = 1*1/3*1/9*1/7=0,005291005.
Произведение для А1 рассчитывается следующим образом:
Вес (w) для А1 рассчитывается следующим образом:
w для А1 = (0,005291005^(1/4))/ 6,25842792.
22
N1
N2
N3
N4
умма
Отобразим параметры выбираемых программно-технических средств защиты (таблица
6).
Параметры
А1
системы
N1
750 000
N2
1 500 000
N3
600 000
N4
0
Оценка разницы параметров
Разницапараметр
0–1
600 000 – 3
750 000 – 5
900 000 – 7
1 500 000 – 9
Таблица 6 – Параметры
А2
А3
А4
1
0
1
1
0
1
1
1
0
1
1
1
Разницапараметр
0–1
1–3
Разницапараметр
0–1
1–3
Разницапараметр
0–1
1–3
выбираемых программно-технических средств защиты и
оценка разницы для сравнения
Сравнительные оценки по критерию А1 представлены ниже (таблица 7).
корень
К1
1,189207115 0,186518343
4,212865931 0,660756873
0,680374933 0,106711778
0,293370579 0,046013006
6,375818558
Таблица 7 – Сравнительные оценки программно-технических средств защиты по
N1
1
5
1/2
1/5
N2
1/5
1
1/7
1/9
N3
2
7
1
1/3
N4
5
9
3
1
произведения
2
315
0,2142857
0,0074074
критерию А1
Сравнительные оценки по каждому критерию рассчитываются аналогичным образом.
Сводные оценки по критериям продемонстрированы в таблице 8.
К1
К2 К3 К4
0,186518 0,3 0,1 0,1
0,660757 0,1 0,3 0,3
0,106712 0,3 0,3 0,3
0,046013 0,3 0,3 0,3
Таблица 8 – Сводные оценки по критериям
Для получения результатов необходимо для каждого из программно-технических
средств защиты просуммировать нормализованные критерии, умноженные при этом на свои
веса (таблица 9).
23
результат
0,12
0,30
0,29
0,29
Таблица 9 – Результаты расчета
В итоге получаем, что необходимо выбрать программно-техническое средство защиты
информации N2 – VipNet от фирмы Infotecs.
Произведен так же факторный анализ указанных средств криптографической защиты
информации, который представлен в приложении 1.
Результат сравнения средств криптографической защиты представлен на рисунке 3.
Рисунок 3 - Сравнение средств криптографической защиты
Так же необходимо произвести анализ стоимости исследуемых средств защиты. Он
приведен в таблице 10.
Наименование СЗИ
Континент Check Point VPN-1
VipNet
StoneGate VPN
Стоимость СЗИ
160 000
190 000
164 000
180 000
Таблица 10 – Анализ стоимости средств криптографической защиты информации
В результате данного анализа определено оптимальное с точки зрения качества
средство криптографической защиты информации - криптографическая система - VipNet от
фирмы Infotecs. Данный программный продукт не является самым дешевым относительно
сравниваемых, но его функциональные возможности наиболее полные. Данное СЗИ является
оптимальным с точки зрения отношения цена/качество.
Данное средство представляет собой комплексное криптографическое решение для
предприятий с разветвленной филиальной сетью, сложной организационной структурой, что
соответствует компании, рассматриваемой в дипломном проекте.
Решения VipNet включают в себя компоненты:
24
- защиты от сетевых атак;
- фильтрации IP-трафика;
- настройку доступа к Интернет-ресурсам;
- создание виртуальной сети;
- функции автоматического шифрования трафика между узлами;
- криптографические функции с возможностями автоматического обновления
ключевой информации.
Принцип размещения компонентов криптографической защиты приведен на рисунке 4.
ViPNet – многофункциональное средство защиты сети, устанавливается на узлах КСПД
и предназначено для обеспечения, в зависимости от настроек, следующих основных функций:
 сервера IP–адресов (регистрация и оповещение объектов сети о способах доступа к
ним);
 Прокси–сервера,
осуществляющего
преобразование
адресов
(NAT),
для
защищенных соединений;
 сервера–туннеля (шифрование межсетевого трафика);
 межсетевого экрана 3 класса и защиты от несанкционированного доступа из
внешней сети;
 сервера почтовых и управляющих сообщений.
АРМ удаленного
пользователя
АРМ
пользователя ИС
АРМ
пользователя ИС
Криптошлюз «VipNet»
Криптошлюз «VipNet»
Серверы ИС
Каналы передачи данных
Контролируемые каналы передачи
данных
Неконтролируемые каналы передачи данных,
защищенные с использованием VipNet
(аутентификация сервера и шифрование трафика
по ГОСТ)
Рисунок 4 - Принцип размещения компонентов криптографической защиты
ViPNet [Клиент] (абонентский пункт) – многофункциональное средство защиты,
реализующее на каждом компьютере (рабочей станции, сервере) следующие функции:
 персонального сетевого экрана и защиты от несанкционированного доступа из
внешней и локальной сети;
25
 автоматическое
установление
виртуальных
криптографически
защищенных
соединений (туннелей) для трафика любых приложений при их взаимодействии с другими
объектами виртуальной защищенной сети;
 гарантированную доставку подписанных документов (файлов) по назначению
(автопроцессинг, Деловая почта) с возможностью автоматического подтверждения доставки
и прочтения документов юридически значимыми извещениями;
 работу защищенных служб Деловой почты и оперативного обмена сообщениями;
 предоставление программного интерфейса для встраивания функций ЭЦП и
шифрования в любые приложения.
На рисунках 5 – 8 приведены основные рабочие программного продукта VipNet.
Рисунок 5 - Окно параметров Vip Net CrytoService
Рисунок 6 - Настройка транспорта Vip Net CrytoService
26
Рисунок 7 - Настройка параметров безопасности Vip Net CrytoService
Рисунок 8 - Окно ПО Vip NetClient
2. Выбор средств мониторинга по выявлению инцидентов информационной
безопасности ЛВС.
На данный момент в ЛВС компании функционирует система мониторинга событий ИБ
ArcSight ESM.
Архитектура
ArcSight
ESM
реализуется
на
основе
трехуровневой
модели,
включающую в себя сервер базы данных, сервер обработки сообщений и консоль управления
системой (рисунок 9).
Однако, стоит отметить, что данная система не в полной мере обеспечивает
качественный мониторинг съемных устройств. Как указывалось выше, угроза утечки по
27
каналам съемных устройств для исследуемой ЛВС компании является наиболее актуальной,
поэтому для реализации механизма мониторинга угроз утечки по каналам съемных устройств
решено использовать отдельную систему.
Средства управления съемными устройствами позволяют контролировать и управлять
процессом использования съемных носителей и внешних устройств любых типов на рабочих
станциях пользователей и серверах корпоративной сети. Возможна установка самых
различных политик безопасности. В качестве самого простого примера таких политик можно
привести разрешение на подключение к компьютеру корпоративных flash-карт (подлежащих
строгому учету и хранению в сейфе), и полный запрет на подключение и использование любых
других носителей.
Рисунок 9 - Архитектура ArcSight ESM
Использование данных систем позволяет существенно упорядочить работу с
разнообразными современными носителями информации и внешними устройствами, и тем
самым минимизировать риски утечки и несанкционированной передачи конфиденциальной
информации.
Основные функции систем управления съемными носителями:
- контроль доступа к носителям информации, устройствам и интерфейсам;
- контроль движения информации по типу контента и типам файлов;
- политики безопасности, основанные на типе и серийных номерах устройств, черных
и белых списках и ряде других критериев.
Обобщенная схема функционирования средств управления съемными носителями
приведена на рисунке 10.
28
Рисунок 10 - Обобщенная схема функционирования средств управления съемными
носителями
Рассмотрим несколько вариантов программных средств управления съемными
носителями.
1. ПО Lumension Device Control – программа обеспечивает контроль доступа ко всем
съёмным устройствам и портам.
Lumension Device Control – это компонент, обеспечивающий создание и контроль
политик использования съемных устройств в организации. Используя принцип белого списка,
Lumension Device Control разрешает по умолчанию подключение и использование только
авторизованных администратором устройств на компьютерах корпоративной сети.
Если устройство известно, драйвер Device Control проверяет права пользователя в
списке контроля доступа. Если у пользователя есть права доступа к устройству, он получит
доступ на чтение и запись либо только на чтение. Если у пользователя нет прав пользования
данным устройством, ему будет отказано в доступе с оповещением в виде настраиваемого
сообщения.
Lumension Device Control предоставляет необходимый контроль для управления
потоком данных, входящем и исходящем из конечных точек сети, и проводит аудит
использования устройств для проверки выполнения внутренней политики или требований
законодательства.
Lumension Device Control позволяет администратору быстро идентифицировать
устройства и задать разрешения для пользователей и групп на всех или определенных
компьютерах, базируясь либо на классе устройства, либо его уникальном идентификаторе,
либо на информации, хранящейся на носителе. Администрирование прав доступа к
устройствам производится централизованно с помощью древовидного интерфейса. Политики
для устройств привязаны к пользовательской и групповой информации, хранящейся в Active
29
Directory или eDirector, что значительно упрощает управление правами доступа к устройствам
в сети.
2. Программное обеспечение SPECTOR 360.
Программное обеспечение SPECTOR 360 централизованно управляет, захватывает и
анализирует всю активность пользователей и пользовательских групп: отправленную и
принятую почту, общение в чатах, посещаемые сайты, запускаемые приложения, запросы в
поисковиках, передачу файлов, а также данные, распечатанные на принтере или
скопированные на съемные носители.
В дополнении к перехвату и записи событий SPECTOR 360 позволяет создавать
скриншоты экрана рабочих столов, с частотой, достаточной для их просмотра в режиме видео
в специальном проигрывателе. Это дает администраторам возможность контролировать все
действия пользователей в течение определенного периода времени.
Основные преимущества использования SPECTOR 360:
- проверка исполнения политик безопасности;
- защита ценных конфиденциальных данных;
- сбор информации для служебных расследований;
- выявление инсайдеров или нелояльных сотрудников;
- определение уязвимостей безопасности и информационных рисков;
- соответствие требованиям регламентов и стандартов;
- оценка эффективности работы пользователей;
- контроль использования съемных носителей;
- определение причин неработоспособности приложений;
- восстановления потерянных коммуникаций в почте и чатах.
3. Программа FileControl.
Данная программа позволяет осуществлять контроль USB и внешних устройств.
С программой FileControl удобно контролировать подключение всех USB и других
внешних устройств. Системный администратор видит полный список устройств и принимает
решение о блокировке или подключении, в зависимости от ситуации. Например, можно
заблокировать подключение фотоаппаратов, смартфонов, но разрешить USB диски.
Чтобы предотвратить утечку информации можно запретить все устройства и разрешить
одну конкретную флешку, на которую можно будет произвести копирование. Тогда вы
сможете прицельно отследить какую информацию на нее скопировали и вынесли за пределы
офиса.
4. Программное обеспечение DeviceLock 8.1.
30
В ходе выполнения дипломной работы произведен факторный анализ вышеуказанных
средств управления съемными носителями (СУСН), который приведен в приложении 2.
Результаты факторного анализа представлены на рисунке 11.
Рисунок 11 - Результаты факторного анализа СУСН
Произведем анализ стоимости исследуемых СУСН. Он приведен в таблице 11.
Lumensione Device Device
FileControl
Control
Lock
Стоимость СЗИ
45480
74000
80 000
71100
Таблица 11 – Анализ стоимости средств управления съемными носителями
Наименование СЗИ
Spector 360
Наиболее полным функционалом обладает СУСН Device Lock, однако, данное средство
является самым дорогим из рассматриваемых. Оптимаольное средство, с точки зрения цены,
– Spector 360, однако его функционал является не полным.
Для организации системы управления съемными носителями решено применять СЗИ
Device Lock, так как стоимость данного программного продукта не значительно превышает
аналоги, а функционал – наиболее полный.
В качестве аппаратных средств защиты информации в офисе решено применить
систему комбинированной защиты объектов "Соната-РК1".
Устройство комбинированной защиты "Соната-РК1" реализует функции защиты
информации, обрабатываемой техническими системами и средствами до 1-й категории.
Применяемое устройство "Соната-РК1" соответствует необходимым требованиям
«Норм эффективности защиты АСУ и ЭВМ» и техническим условиям ЮДИН.665820.002 ТУ
и ЮДИН.665820.006 ТУ. Данное соответствие подтверждает сертификат ФСТЭК России №
954.
31
Особенности конструкции применяемого устройства дает возможность получить не
только качественное, но и недорогое решение проблемы комплексной защиты акустической
информации объекта.
Внешний вид устройства представлен на рисунке 12.
Рисунок 12 – Устройство "Соната-РК1"
Устройство "Соната-РК1" представляет собой комбинацию фильтра поглощающего
типа, генератора шумового тока с корректировкой спектра и регулировкой интегрального
уровня, а так же элементов антенной системы.
Функциональная схема устройства представлена на рисунке 13.
Рисунок 13 – Функциональная схема устройства "Соната-РК1"
При этом:
1) передаточные характеристики фильтров и частотные спектры мощности
маскирующей помехи дополняют друг друга;
32
2) имеется возможность избирательной корректировки плотности шума в 3-полосах для
минимизации ухудшения электромагнитной обстановки на территории объекта исследования;
3)
производится
"накачка"
электромагнитной
энергией
шума
компонентов
переговорной комнаты для создания помехи в параметрических каналах "утечки"
информации.
Для максимально полного использования возможностей пименяемого устройства
защищаемое ОТС будет подключено по схеме, указанной на рисунке 14.
Рисунок 14 – Подключение устройства
Кроме того, внедряемое устройство может использоваться, как объектовый генератор
шумового ЭМИ.
Так же в качестве аппаратных средств защиты будут применяться заглушки
компьютерного интерфейса USB.
33
ЗАКЛЮЧЕНИЕ
На сегодняшний день информационные ресурсы стали одними из самых значимых
рычагов экономического влияния. Информация нужного качества в необходимое время, в
необходимом месте - это залог достижения целей в абсолютно любом виде деятельности.
Монопольные права на обладание информационными ресурсами оказываются, как правило,
определяющими преимуществами в борьбе за рынок [5].
Сегодня невозможно представить организацию, пусть даже и самую мелкую, которая
бы не имела в своем распоряжении современные средств обработки данных.
Формирование защищенной системы работы с персональными данными, дает
предпосылки для значительного роста эффективности труда, порождает при этом ряд сложных
и масштабных проблем. Одна из таких проблем - надежное обеспечение сохранности
персональных данных и установленного статуса её использования.
Информационная безопасность сегодня развивается очень быстрыми темпами.
Данному факту способствуют стремительное развитие информационных технологий, а также
противоборство «нападающих» и «защищающихся».
К великому сожалению, указанная динамичность затрудняет обеспечение надежной
защищенности информационных ресурсов. На это существуют конкретные причины:
 рост быстродействия микросхем, модернизация существующих и создание новых
архитектур с высокой степенью параллелизма дает возможность с помощью «грубой силы»
(перебором вариантов) более эффективно преодолевать криптографические барьеры, которые
ранее были неприступными;
 модернизация сетей, рост числа связей в информационных системах, увеличение
пропускной способности каналов связи – все это увеличивает число злоумышленников,
имеющих технические возможность осуществлять нападение;
 рост конкуренции среди производителей ПО вынуждает компании уменьшать сроки
разработки программных систем, а это ведет к уменьшению уровня качества и выпуску
продуктов с дефектами в системах защиты.
По завершению выполнения дипломной работы получены следующие результаты:
– произведен анализ теоретической базы и литературных источников по исследуемой
тематике;
– произведено исследование общей характеристики компании ООО «Компания Соне»;
– произведено исследование программно-аппаратной структуры и анализ актуальных
угроз информационной безопасности компании ООО «Компания Соне»;
34
– произведен анализ применяемых мер защиты;
– произведена разработка организационных и правовых мер защиты информации;
– произведена разработка программно-технических мер организации информационной
безопасности.
По завершению работы можно достоверно отметить, что все поставленные задачи были
выполнены, а цель работы полностью достигнута.
35
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (ред. от
21.12.2013).
2. Федеральный закон Российской Федерации от 26 июля 2006 г. N 149-ФЗ «Об
информации, информационных технологиях и о защите информации» (ред. от 28.12.2013).
3. Постановление Правительства РФ "Об утверждении требований к защите
персональных данных при их обработке в информационных системах персональных данных"
от 01.11.2012г. №1119.
4. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические
правила управления информационной безопасностью [Электронный ресурс]. – Введ. 2007–01–
01. // СПС Консультант Плюс.
5. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы,
воздействующие на информацию. Общие положения [Электронный ресурс]. – Введ. 2006–12–
27. // СПС Консультант Плюс.
6. Алферов, А. П. Основы теории баз данных : учебное пособие / А. П. Алферов, А. Ю.
Зубов, А. С. Кузьмин [и др.]. – 2-е изд., испр. и доп. – М.: Гелиос-АРВ, 2017. – 480 с.
7. Бабенко, Л.К. Современные алгоритмы хеширования и методы их анализа: учебное
пособие для студентов вузов, обучающихся по группе специальностей в обл. информ.
безопасности / Л.К. Бабенко, Е.А. Ищукова. – М.: Гелиос АРВ, 2018. – 376 с.
8. Белов Е.Б. Основы информационной безопасности. Е.Б. Белов, В.П. Лось, Р.В.
Мещеряков, А.А. Шелупанов. -М.: Горячая линия - Телеком, 2019. - 544с.
9. Бен-Ган Ицик. Microsoft SQL Server 2012 Основы T-SQL - М.: Эксмо, 2019. — 401 с.
10. Брассар, Ж. Современная криптология : [пер. с англ.] / Ж. Брассар. – М.: Полимед,
2019. – 176 с.
11. Вернер, М. Основы защиты информации : учебник для вузов : [пер. с нем.] / М.
Вернер – М. : Техносфера, 2019. – 288 с.
12. Гвоздева,
Т.В.
Проектирование
информационных
систем:
технология
автоматизированного проектирования. Учебно-справочное пособие / Т.В. Гвоздева, Б.А.
Баллод. - СПб.: Лань, 2018. - 156 c.
13. Гудков, П.А. Защита от угроз информационной безопасности: учебное пособие /
П.А. Гудков ; под ред. А.М. Бершадского. – Пенза : Изд-во Пенз. гос. ун-та, 2017. – 251 с.
14. Дэвид М. Ахмад, Идо Дубравский. Защита от хакеров корпоративных сетей. 2017.
15. Емельянова, Н.З. Проектирование информационных систем: Учебное пособие /
Н.З. Емельянова, Т.Л. Партыка, И.И. Попов. - М.: Форум, 2018. - 432 c.
36
16. Коваленко, В.В. Проектирование информационных систем: Учебное пособие / В.В.
Коваленко. - М.: Форум, 2018. - 976 c.
17. Кузнецов С.Д., Основы баз данных / С.Д. Кузнецов. – М.: Бином. Лаборатория
знаний, Интернет-университет информационных технологий, 2018. – 488 с.
18. Олифер, В. Компьютерные сети. Принципы, технологии, протоколы: Учебник для
вузов/В. Олифер, Н. Олифер. – М.: СПб Питер, 2016. – 672.
19. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка,
И.И. Попов. - М.: Форум, 2018. - 88 c.
20. Проектирование информационных систем: учебник и практикум для СПО / под
ред. Д. В. Чистова. — М.: Издательство Юрайт, 2019. — 258 с.
21. Романец
Ю.В., Тимофеев П.А., Шаньгин
В.Ф. Защита информации в
компьютерных системах и сетях. – М.: Радио и связь, 2018.
22. Симонов С.В. Методология анализа рисков в информационных системах // Защита
информации. Конфидент. 2018. №1. C. 72–76.
23. Стиллмен Эндрю, Грин Дженнифер. Изучаем C# - СПб.: Питер, 2018. — 816 c.
24. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка,
И.И. Попов. - М.: Форум, 2018. - 88 c.
25. Перлова, О.Н. Проектирование и разработка информационных систем: Учебник /
О.Н. Перлова, О.П. Ляпина, А.В. Гусева. - М.: Academia, 2018. - 416 c.
26. Петренко, С. Д. Основы защиты баз данных в Delphi : учебное пособие / С. Д.
Петренко, А. В. Романец, И. С. Лужков [и др.]. – 3-е изд., испр. и доп. – М.: Техносфера, 2017.
– 305 с.
27. Пирогов В.Ю., Информационные системы и базы данных, Организация и
проектирование / В.Ю. Пирогов. – М.: БХВ-Петербург, 2019 – 528 с.
28. Ростовцев, А. Г. Теоретическая криптография / А. Г. Ростовцев, Е. Б. Маховенко. –
СПб.: Профессионал, 2019. – 479 с.
29. Симионов Ю.Ф., Боромотов В.В., Информационный менеджмент / Ю.Ф.
Симионов, В.В. Боромотов. – М.: Феникс, 2018. – 250 с.
30. Скотт Бэрмэн. Разработка правил информационной безопасности. 2019.
31. Староверов Д. Конфликты в сфере безопасности. Социально-психологические
аспекты защиты // Системы безопасности связи и телекоммуникаций. – №6. – 2019.
32. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей:
Учебное пособие / В.Ф. Шаньгин. - М.: Форум, 2018. - 256 c.
33. Шпак В.Ф. Методологические основы обеспечения информационной безопасности
объекта // Конфидент. Защита информации. – №1. – 2018. – С. 75–86.
37
34. Шумский А.А., Системный анализ в защите информации / А.А. Шумский, А.А.
Шелупанов. – М.: Гелиос АРВ, 2019. – 224 с.
38
Download