Исследование утечек информации и конфиденциальных данных из компаний в Ι полугодии 2013 года Анализ информационной безопасности предприятия ООО «Вист и Ко»

Download 329,1 Kb.

Sana	13.06.2022
Hajmi	329,1 Kb.
	#662380
Turi	Закон

Размещено на http://www.allbest.ru/

Оглавление

Введение
1. Основы информационной безопасности
1.1 Понятие информационной безопасности
1.2 Особенности защиты информации в компьютерных сетях
1.3 Классификация методов и средств обеспечения безопасности
1.4 Основы законодательства РФ в области информационной безопасности и защиты информации
1.5 Исследование утечек информации и конфиденциальных данных из компаний в Ι полугодии 2013 года
2. Анализ информационной безопасности предприятия ООО «Вист и Ко»
2.1 Краткая характеристика предприятия
2.1.1 Техническое оснащение предприятия
2.1.2 Kaspersky Small Office Security
2.2 Анализ информационной безопасности предприятия с помощью программы КОНДОР
3. Совершенствование информационной безопасности предприятия ООО «Вист и Ко»
3.1 Рекомендации, полученные с помощью программы КОНДОР
3.2 Мероприятия по совершенствованию системы защиты информации на законодательном, административном, процедурном и программно-аппаратном уровнях
3.3 Создание службы безопасности предприятия
3.4 Оценка рисков после совершенствования системы информационной безопасности
Выводы и рекомендации
Библиографический список
Введение

Обеспечение собственной информационной безопасности на предприятиях, как правило, является неотъемлемой частью общей системы управления, необходимой для достижения уставных целей и задач. Значимость систематической целенаправленной деятельности по обеспечению информационной безопасности становится тем более высокой, чем выше степень автоматизации бизнес-процессов предприятия и чем больше "интеллектуальная составляющая" в его конечном продукте. Обеспечение информационной безопасности имеет большое значение не только для стратегического развития предприятия и создания основного продукта, но и для отдельных (иногда вспомогательных) направлений деятельности и бизнес-процессов, таких как коммерческие переговоры и условия контрактов, ценовая политика и т.п.

Актуальность проблемы защиты информации сегодня не вызывает сомнений. Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, и от степени обеспечения информационной безопасности.
Цель работы - анализ системы информационной безопасности на предприятии ООО «Вист и Ко».
В соответствии с целью были разработаны следующие задачи:
Провести анализ информационной безопасности предприятия ООО «Вист и Ко»; Выявить риски информационных угроз по обеспечению безопасности; Предложить мероприятия по совершенствованию информационной безопасности.
1. Основы информационной безопасности

1.1 Понятие информационной безопасности

компьютерный безопасность защита законодательство
Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы деятельности, начиная с экономической безопасности и заканчивая вопросами физической защиты персонала и охраны зданий и сооружений. Среди комплекса направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов организации и относимая, в соответствии с устоявшейся практикой, к понятию «информационная безопасность».
Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.
Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям. Общими требованиями к системе защиты информации являются следующие:
Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между ее элементами, иерархичности построения подсистемы управления системой защиты информации.
Система защиты информации должна обеспечивать безопасность информации, средств информации и защиту интересов участников информационных отношений.
Система защиты информации в целом, методы и средства защиты должны быть по возможности «прозрачными» для пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации и в то же время быть непреодолимыми для несанкционированного доступа злоумышленника к защищаемой информации.
Система защиты информации должна обеспечивать информационные связи внутри системы между ее элементами для согласованного их функционирования и связи с внешней средой, перед которой система проявляет свою целостность и поступает как единое целое.
Таким образом, обеспечение безопасности информации, в том числе в компьютерных системах, требует сохранения следующих ее свойств:
1. Целостность. Целостность информации заключается в ее существовании в неискаженном виде, не измененном по отношению к некоторому ее исходному состоянию.
2. Доступность. Это свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.
3. Конфиденциальность. Это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей.
Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализация той или иной угрозы безопасности может производиться с целью нарушения свойств, обеспечивающих безопасность информации.
1.2 Особенности защиты информации в компьютерных сетях

Многие организации используют средства ЛВС для обеспечения нужд обработки и передачи данных. До использования ЛВС основная часть обработки и обмена данными была централизована; информация и управление ею были сосредоточены в одном месте и централизованы. Сейчас ЛВС логически и физически рассредоточили данные, а также вычислительную мощность и службы обмена сообщениями по всей организации.

Службы безопасности, защищающие данные, а также средства по их обработке и передаче, также должны быть распределены по всей ЛВС. Например, посылка конфиденциального файла, который защищен с помощью сильной системы управления доступом в некоторой ЭВМ через ЛВС в другую ЭВМ без системы управления доступом делает бесполезными усилия первой ЭВМ. Пользователи должны быть уверены в том, что их данные и ЛВС адекватно защищены. Защита ЛВС должна быть интегрирована во всю ЛВС и должна быть важной для всех пользователей.
Электронная почта, важнейшее приложение, обеспечиваемое большинством ЛВС, заменила обычную почту при обмене сообщениями между отделами как одной, так и разных организаций, которая традиционно использовала записи на бумаге, помещенные в конверт. Эти конверты обеспечивают конфиденциальность между отправителем и получателем, и кроме того, в случае целостности бумаги конверта, обеспечивают получателя высокой степенью уверенности в том, что послание не было подменено. Использование электронной почты не обеспечивает этих гарантий. Простая передача по незащищенной ЛВС неадекватно защищает сообщения электронной почты, которые могут быть перехвачены и прочтены или возможно даже подменены. Для многих ЛВС характерно, что отсутствуют гарантии того, что сообщение действительно послано названным отправителем. К счастью, существуют средства, такие, как шифрование, цифровая подпись и коды аутентификации сообщений, которые помогают решить проблемы и обеспечить гарантии.
Не смотря на явные преимущества обработки информации в компьютерных сетях, возникает немало сложностей при организации их защиты:
- расширенная зона контроля - следовательно, администратору отдельной подсети приходится контролировать деятельность пользователей, которые находятся вне пределов его досягаемости;
- неизвестный периметр - сети легко расширяются, и это ведет к тому, что определить четкие границы сети часто бывает сложно, один и тот же узел может быть доступен для пользователей различных сетей;
- использование разнообразных программно-аппаратных средств - соединение нескольких систем в сеть увеличивает уязвимость всей системы в целом, так как каждая система настроена на выполнение своих требований безопасности, которые могут оказаться несовместимы с требованиями на других системах;
- сложность в управлении и контроле доступа к системе - многие атаки на сеть могут осуществляться из удаленных точек без получения физического доступа к определенному узлу. В таких случаях идентификация нарушителя, как правило, бывает очень сложной;
- множество точек атаки - один и тот же набор данных в сетях может передаваться через несколько промежуточных узлов, причем, каждый из этих узлов является возможным источником угрозы. Кроме этого, к большинству сетей можно получить доступ с помощью коммутируемых линий связи и модема, что сильно увеличивает количество возможных точек атаки. Такой способ очень легко осуществить и столь же трудно проконтролировать, поэтому он считается одним из самых опасных. Уязвимыми местами сети также являются линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т. д.
Суть проблемы защиты сетей обусловлена их двойственным характером. С одной стороны, сеть - это единая система с едиными правилами обработки информации, а с другой, - совокупность отдельных систем, каждая из которых имеет свои собственные правила обработки информации.

1.3 Классификация методов и средств обеспечения безопасности

Метод (способ) защиты информации: порядок и правила применения определенных принципов и средств защиты информации.

Для организации защиты информации в компьютерных сетях важным вопросом является классификация методов и средств защиты, которые позволяют воспрепятствовать ее использованию.
Методами обеспечения защиты информации являются следующие: регламентация, препятствие, маскировка информации, противодействие вирусам, управление доступом, принуждение и побуждение.
Препятствие - это метод, при котором пути злоумышленнику к защищаемой информации преграждаются физически, например, к аппаратуре, носителям информации и т.п.
Регламентация заключается в реализации системы организационных мероприятий, которые определяют все стороны процесса обработки информации. Этот метод создает такие условия автоматизированной обработки, передачи и хранения информации, при которых возможность несанкционированного доступа к ней сводится к минимуму.
Управление доступом – этот метод защиты информации регулирует использование всех ресурсов автоматизированной информационной системы организации (технические, программные, временные и др.) и включает следующие функции защиты:
- идентификацию пользователей, персонала и ресурсов информационной системы, то есть присваивает каждому объекту персональный идентификатор;
- аутентификацию, то есть устанавливает подлинность объекта или субъекта по предъявленному им идентификатору;
- регистрацию или, говоря другими словами, протоколирование обращений к защищаемым ресурсам;
- проверку полномочий, таких как проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур в соответствии с установленным регламентом;
- разрешение и создание условий работы в пределах установленного регламента;
- реагирование при попытках несанкционированных действий (сигнализация, отключение, задержка работ, отказ в запросе).
Маскировка информации - метод защиты информации путем ее криптографического закрытия. Механизмы шифрования все шире применяются при обработке и хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности только этот метод является единственно надежным.
Противодействие вирусам (или атакам вредоносных программ) предполагает комплексное использование организационных мер и антивирусных программ. Целью принимаемых мер является уменьшение вероятности инфицирования информационно-вычислительной системы, уменьшение последствий информационных инфекций, локализация или уничтожение вирусов, восстановление информации.
Принуждение - такой метод защиты информации, при котором пользователей и персонал системы вынуждают соблюдать правила обработки, использования и передачи защищаемой информации под угрозой административной, материальной или уголовной ответственности.
Побуждение - такой метод защиты информации, который за счет соблюдения сложившихся моральных и этических норм побуждает пользователей системы не нарушать установленные правила.
Указанные методы обеспечения информационной безопасности реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, организационные, морально-этические и законодательные.
Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и включают в себя разнообразные инженерные устройства и сооружения, которые препятствуют проникновению злоумышленников на объекты защиты. Примером физических средств могут служить замки на дверях, средства электронной охранной сигнализации, решетки на окнах и т.д.
Аппаратные средства защиты – это электронные, электромеханические и другие устройства, непосредственно встроенные в вычислительную технику или самостоятельные устройства, которые сопрягаются с ней по стандартному интерфейсу. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д. Такие средства принадлежат к наиболее защищенной части системы. Если есть выбор, то предпочтение следует отдавать аппаратным средствам защиты, так как они исключают вмешательство в их работу непосредственно из сети. Еще одно преимущество аппаратных средств – это их большая производительность по сравнению с программными средствами защиты, особенно, при использовании их в устройствах криптографической защиты.
Недостатком аппаратных средств является их высокая стоимость.
Программные средства защиты – это специальные программы и программные комплексы, предназначенные для защиты информации. Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Основной их недостаток – это доступность для хакеров, особенно это касается широко распространенных на рынке средств защиты.
Криптографические программы основаны на использовании методов шифрования (кодирования) информации. Такие методы очень надежны и значительно повышают безопасность передачи информации в сетях.
Аппаратно-программные средства защиты – средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы. Они совмещают высокую производительность аппаратно реализованных систем и гибкость настройки программных. В качестве примера такого устройства можно привести маршрутизаторы фирмы Cisco, которые допускают их настройку в качестве пакетных фильтров.
Организационные средства – это действия общего характера, предпринимаемые руководством организации. Они регламентируют процессы функционирования и использование ресурсов системы обработки данных, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности, а в случае их реализации снизить размер потерь.
Организационные меры включают в себя:
- мероприятия, осуществляемые при подборе и подготовке персонала;
- мероприятия, осуществляемые при проектировании, строительстве и оборудовании сетей;
- организацию охраны и надежного пропускного режима; разработку политики безопасности;
- распределение реквизитов разграничения доступа; организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
Организационные меры нужны для того, чтобы обеспечить эффективное применение других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными техническими и физическими средствами.
Законодательные средства - действующие в стране законы, указы и другие нормативно-правовые акты, которые регламентируют правила обращения с информацией, закрепляют права и обязанности участников информационных отношений, а также устанавливают ответственность за нарушение этих правил. Правовые меры защиты носят преимущественно упреждающий, профилактический характер. Основной целью их является предупреждение и сдерживание потенциальных нарушителей.
Морально-этические средства - всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации. Морально-этические нормы могут быть как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и оформленные в некоторый свод правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей.
Законодательные и морально-этические меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение. Они являются универсальными, так как могут применяться для всех каналов проникновения и НСД к информации. В некоторых случаях они могут быть единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.
Все рассмотренные средства защиты разделяются на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность).
Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.
Надежная и безопасная система защиты должна соответствовать следующим требованиям:
- стоимость средств защиты должна быть меньше, чем размеры возможного ущерба;
- каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы;
- защита тем более эффективна, чем проще пользователю с ней работать;
- возможность отключения в экстренных случаях;
- специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать;
- под защитой должна находиться вся система обработки информации;
- разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать;
- система защиты должна предоставлять доказательства корректности своей работы;
- лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность;
- объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других;
- надежная система защиты должна быть полностью протестирована и согласована;
- защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора;
- система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения;
- наиболее важные и критические решения должны приниматься человеком;
- существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.

1.4 Основы законодательства РФ в области информационной безопасности и защиты информации

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.

Для достижения этого осуществляется:
обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, защиты своей чести и своего доброго имени;
развитие современных информационных технологий, отечественной индустрии информации;
повышение безопасности информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
защита информационных ресурсов от несанкционированного доступа.
развитие отечественного производства аппаратных средств защиты информации;
защита сведений, составляющих государственную тайну.
Информационная безопасность Российской Федерации является одной из составляющих безопасности Российской Федерации в сферах жизнедеятельности общества и государства.
Основным направлением международного сотрудничества Российской Федерации в области обеспечения информационной безопасности является предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли, к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, а также торговлей людьми.
В Концепции национальной безопасности особое значение для обеспечения национальной безопасности Российской Федерации придается использованию возможностей разведки и контрразведки в целях своевременного обнаружения угроз и определения их источников.
В целях охраны и защиты прав и свобод в информационной сфере Конституция РФ устанавливает гарантии, обязанности, механизмы защиты и ответственности.
Наряду с нормами Конституции РФ источниками права о доступе к информации являются:
законы (Основы законодательства о культуре, Основы законодательства РФ об Архивном фонде и архивах; федеральные законы «Об информации, информатизации и защите информации», «О порядке опубликования и вступления в силу федеральных конституционных законов, федеральных законов, актов палат Федерального Собрания», «О библиотечном деле», «Об участии в международном информационном обмене» и др.);
подзаконные нормативные акты (указы Президента РФ, постановления Правительства РФ);
международные правовые акты, международные договоры и соглашения;
судебная практика.
Важной сферой безопасности информации является защита прав собственности на нее. Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника.

1.5 Исследование утечек информации и конфиденциальных данных из компаний в Ι полугодии 2013 года

Всестороннее исследование утечек конфиденциальной информации позволяет оценить уровень защищенности информации от утечек в коммерческих компаниях, государственных организациях, образовательных учреждениях.

Аналитический Центр компании InfoWatch представляет отчет об исследовании утечек конфиденциальной информации в I полугодии 2013 года.
Исследование основывается на собственной базе данных, которая пополняется специалистами Центра с 2004 года. В базу InfoWatch включаются утечки, которые произошли в организациях в результате злонамеренных или неосторожных действий сотрудников и были обнародованы в СМИ или других открытых источниках.
За I полугодие 2013 года Аналитическим Центром InfoWatch зарегистрировано 496 (2,7 в день, 82,6 в месяц) случаев утечки конфиденциальной информации. Это на18% больше, чем за аналогичный период 2012 года (419 утечек). Рост количества утечек представлен на рисунке 1.

Рисунок 1 - Количество утечек информации, 2006 - ½ 2013 г.

Рост количества утечек традиционно связывают с повышенным вниманием регуляторов, государства, СМИ и других заинтересованных сторон к проблеме безопасности данных. Данный фактор актуален и для России. По сравнению с аналогичным периодом 2012 года, число «российских» утечек в первом полугодии 2013 выросло на 27%. Зарегистрировано 42 случая утечки информации из российских компаний и госорганов.

Рассмотрим распределение утечек по каналам за ½ 2012 - ½ 2013 гг., рисунок 2.

Рисунок 2 - Распределение утечек по каналам, ½ 2012 - ½ 2013 гг.

По итогам I полугодия 2013 года доля утечек через сеть (использование браузера для передачи информации, компрометация данных вследствие ошибочной публикации в веб), выросла почти вдвое (11,7% против 6,7% в первом полугодии 2012 г.). Утечки через электронную почту составляют 7,7% (что наполовину превышает долю утечек через e-mail за аналогичный период 2012 г.).

Растет доля утечек, связанных с бумажными документами (до 25,4% или на 4,4 п. п.), незначительно колеблется доля утечек через мобильные устройства (потеря и кража смартфонов, планшетов). Такая низкая доля утечек через мобильные устройства объясняется, во-первых, тем, что люди не используют мобильные для хранения информации, продолжая по инерции пользоваться разными другими накопителями информации, включая бумажные. Во-вторых, рискнем предположить, что мобильные устройства довольно плохо контролируются предприятиями, а посему утечки с них остаются нераскрытыми и неизвестными.
Наблюдается снижение доли канала «кража/потеря оборудования» на 5 п. п. при том, что с 2013 года мы относим к утечкам по этому каналу не только случаи компрометации данных при краже или сервисном обслуживании ПК, серверов, другого оборудования (в т. ч. СХД), но и компрометацию информации при потере ноутбуков.
Уровень защищенности информации в мире (в том числе персональных данных) все еще очень низок. Распространение систем мониторинга и предотвращения утечек, противодействия внутренним угрозам позволяет в какой-то мере сгладить ситуацию в отдельных отраслях (банки и финансы, ИТ и телеком). Однако для остальных отраслевых вертикалей положение дел с защитой информации нельзя считать удовлетворительным.
2. Анализ информационной безопасности предприятия ООО «Вист и Ко»

2.1 Краткая характеристика предприятия

Общество с ограниченной ответственностью "Вист и Ко" во главе директора Лантратова О.И действующего на основании Устава зарегистрировано Постановлением Главы Администрации г. Шахты Ростовской обл. №674 от 21.08.1992г.

Адрес: 346500, Ростовская обл., г. Шахты, ул. Горняк,1.
Учредители: Лантратов Олег Игоревич
Лантратова Наталия Петровна
Банк: ООО "Дон-Тексбанк" МКБ г. Шахты, р/с 40702810500000000070
Директор: Лантратов Олег Игоревич
Зам. Директора: Лантратова Наталия Петровна
Гл. бухгалтер: Кистина Елена Александровна
Общество с ограниченной ответственностью "Вист и Ко" имеет следующие структурные подразделения, расположенные по адресу Ростовская обл., г.Шахты, ул. Горняк,1:
отдел розничной торговли;
отдел оптовых продаж;
сервисный центр.
На сегодняшний день ООО "Вист и Ко" ведет активную деятельность по следующим направлениям:
розничная торговля (компьютерная и оргтехника, расходные материалы, комплектующие, аксессуары);
ремонт и техническое обслуживание компьютерной и оргтехники;
набор текстов, распечатки на различных марках принтеров, сканирование, копировально-множительные работы, работа в сети Интернет.
Общество с ограниченной ответственностью "Вист и Ко" имеет широкий круг постоянных клиентов, среди которых наиболее крупными являются ООО «Дон-Тексбанк», ИСОиП (ф) ДГТУ, ЗАО ШЗГШО, ГОУ ЧС, Центр занятости населения. Большой удельный вес в товарообороте компании, который постоянно увеличивается, занимают покупатели, функционирующие на бюджетной основе, различные учебные заведения (средне образовательные, профессиональные лицеи и проч.), а также муниципальные образования.
На рисунке 3 представлена организационная структура управления предприятия ООО «Вист и Ко».

Рисунок 3 – Организационная структура управления

Из данного рисунка выясним, чем занимается каждый участник этой структуры:

Директор занимается управлением, организацией и регулированием работы предприятия. Заместитель директора следит за обслуживанием и за работой торгового отдела. Главный бухгалтер ведет финансовый учет, распределяет доходы внутри предприятия. Администратор торгового отдела следит за продажей и поставкой товара. В обязанности Администратора сервисного центра входит: Прием и выдача оборудования, консультирование клиентов, оповещение клиентов о сроках окончания работ, а так же предварительное согласование стоимости ремонта. Инженер отвечает за безопасность на предприятии. Техник следит за работоспособностью оборудования. Водитель обслуживает покупателей, а так же осуществляет доставку товара от поставщиков. Технический персонал следит за гигиеной помещения.

2.1.1 Техническое оснащение предприятия

В процессе работы на предприятии используются различные технические средства. Все структурные подразделения оснащены компьютерной техникой, которая помогает повысить производительность труда управленческого персонала.
В таблице 1 представлена оснащенность предприятия компьютерной техникой и различными техническими средствами.

Таблица 1 – Оснащенность ООО «Вист и Ко» компьютерной техникой

Наименование технического средства	Количество
Компьютер	8
Принтер	2
Многофункциональное устройство (МФУ)	4
Факс	1
Модем	1

На компьютерах, используемых в процессе деятельности предприятия, установлена операционная система «Windows 7», также все компьютеры имеют возможность выхода в глобальную сеть Internet.

Предприятие использует локальную вычислительную сеть, состоящую на данный момент времени из 4 компьютеров, а так же глобальную сеть – Интернет, доступ к которому имеют все компьютеры сети.
На предприятии была организованна одноранговая локальная вычислительная сеть, которая используется небольшой группой сотрудников, работающих на предприятии, с целью:
сосредоточения хранения информации на одном компьютере;
облегчения поиска информации, ее обработки;
обеспечения пользователям сети потенциальную возможность совместного использования ресурсов всех компьютеров;
использовать специализированные приложения;
работать с общим устройством – принтером.
Одноранговая архитектура в сети означает отсутствие выделенного сервера, каждая рабочая станция может выполнять функции клиента и сервера, предоставляя другим узлам сети право доступа ко всем или некоторым из имеющихся в их распоряжении локальным ресурсам (файлам, принтерам, программам).

2.1.2 Kaspersky Small Office Security

В качестве программного метода защиты информации используется антивирусная система Kaspersky Small Office Security - это решение для небольших организаций, имеющих собственную локальную компьютерную сеть размером не более десяти компьютеров.
Корпоративный антивирус защищает компьютерную сеть от вирусов и прочих угроз. Kaspersky Small Office Security обеспечивает комплексную защиту персонального компьютера. Комплексная защита включает в себя защиту компьютера, защиту данных и защиту пользователей, а также удаленное управление функциями Kaspersky Small Office Security на компьютерах сети. Для решения задач комплексной защиты в составе решения предусмотрены различные функции и компоненты защиты.
Основные функции Kaspersky Small Office Security:
1. Защита компьютера.
Компоненты защиты Kaspersky Small Office Security предназначены для защиты компьютера от известных и новых угроз, сетевых атак, мошенничества, спама и нежелательной информации. Каждый тип угроз обрабатывается отдельным компонентом защиты. Имеется возможность включать и выключать компоненты защиты независимо друг от друга, а также настраивать их работу.
Программы, в безопасности которых специалисты не уверены, можно запускать в специальной безопасной среде.
Некоторые специфические задачи, которые требуется выполнять эпизодически, а не постоянно, реализуются с помощью дополнительных инструментов и мастеров: например, настройка браузера Microsoft Internet Explorer или устранение следов активности пользователя в системе.
Защиту компьютера в реальном времени обеспечивают следующие компоненты защиты:
Файловый Антивирус;
Почтовый Антивирус;
Веб-Антивирус;
IM-Антивирус;
Проактивная защита;
Контроль программ;
Сетевой экран;
Мониторинг сети;
Защита от сетевых атак;
Анти-Спам;
Анти-Фишинг;
Анти-Баннер;
Безопасные платежи.
2. Защита информации.
Для защиты данных от утери, несанкционированного доступа или кражи в Kaspersky Small Office Security предназначены функции: резервное копирование, шифрование данных и менеджер паролей.
3. Веб-политики .
Для защиты сотрудников от угроз, связанных с работой на компьютере и в интернете, в Kaspersky Small Office Security предназначены веб-политики.
Веб-политики позволяют установить гибкие ограничения доступа к интернет-ресурсам и программам для разных пользователей компьютера. Кроме того, эта функция позволяет просматривать статистические отчеты о действиях контролируемых пользователей.
4. Центр управления.
Часто сеть включает в себя несколько компьютеров, что затрудняет управление безопасностью. Уязвимость одного компьютера ставит под угрозу всю сеть.
Центр управления Kaspersky Small Office Security позволяет запускать задачи проверки на вирусы и обновления для всей сети или для выбранных компьютеров, управлять резервным копированием данных, а также настраивать веб-политики для всех компьютеров сети непосредственно со своего рабочего места. Таким образом, обеспечивается удаленное управление безопасностью всех компьютеров, входящих в локальную сеть.

2.2 Анализ информационной безопасности предприятия с помощью программы КОНДОР

"КОНДОР 2005" – мощная система разработки и управления политикой безопасности информационной системы компании на основе стандарта ISO 17799. Это современный и удобный инструмент для разработки всех основных положений информационной безопасности и управления процессом внедрения этих положений на практике.

Система "КОНДОР 2005" состоит практически из всех положений стандарта ISO 17799, сформулированных в виде вопросов, отвечая на которые специалист получает полную картину: какие в системе положения выполняются, а какие нет. У каждого положения стандарта задан по умолчанию вес, который характеризует степень критичности данного положения для поддержания необходимого уровня защищенности.
Веса, заданные в системе по умолчанию, разработаны экспертами Digital Security. Учитывая, что универсальные значения весов не могут учесть все особенности различных компаний, в программе предусмотрена возможность изменения весов при работе с положениями стандарта. Система анализирует риск невыполнения каждого положения политики безопасности и ранжирует их по степени критичности, что дает возможность определить приоритет планируемых действий. Результатом работы системы "КОНДОР 2005" является отчет, содержащий все выполненные и не выполненные в компании положения стандарта ISO 17799, анализ эффективности внедрения невыполненных положений, комментарии экспертов.
Для проведения анализа информационной безопасности предприятия ООО «Вист и Ко» ответим на вопросы касающиеся контроля доступа и организационных мер, представленные ПО «Кондор 2005». В итоге результаты тестирования были представлены в виде графика на рисунке 4.

Рисунок 4 – График невыполненных требований и рисков
Верхний график представляет собой группу организационных мер, а нижний – контроля доступа (приложение А).

Таблица 2 – Сводные данные

В результате оценки риска был выявлен его высокий уровень. Выделим наиболее значимые невыполненные меры защиты информационной безопасности в области организационных мер и контроля доступа.

Организационные меры:
1. В организации должны проводиться регулярные совещания руководителей по вопросам обеспечения информационной безопасности.
2. На совещаниях руководителей основных подразделений организации должен обсуждаться ряд обязательных тем:
выработка специальных методик и политик, связанных с информационной безопасностью: анализ рисков, классификация уровней безопасности;
обеспечение обратной связи (оценка адекватности принимаемых мер безопасности в существующих системах) и координация внедрения средств обеспечения информационной безопасности в новые системы или сервисы.
3. Должны быть четко определены зоны ответственности каждого владельца ресурса, несущего ответственность за обеспечение его безопасности.
4. Должен быть определен процесс внедрения нового оборудования в информационную систему.
5. При необходимости доступа сторонних организаций к ресурсам организации, нужно оценить риски информационной безопасности, чтобы определить требования к мерам защиты и проверкам.
6. При необходимости доступа сторонних организаций к ресурсам организации, нужно оценить риски информационной безопасности, чтобы определить требования к мерам защиты и проверкам.
7. Соглашение с аутсорсинговыми организациями должно включать следующие требования: Принципы обеспечения целостности и конфиденциальности деловой информации организации; Положения, описывающие физические и логические проверки, распределяющие или ограничивающие доступ авторизованных пользователей к важной информации; Принципы поддержания доступности сервисов в случае инцидентов в области информационной безопасности;
Уровень физической безопасности, который должен обеспечиваться для оборудования аутсорсинговых организаций.
Контроль доступа.
1. В определении правил контроля доступа необходимо учитывать положение "Запрещено все, что не разрешено явно".
2. Доступ в многопользовательской информационной системе должен контролироваться формальными процедурами регистрации пользователей, которые включают:
Использование уникального идентификатора пользователя, по которому его можно однозначно идентифицировать (с тем, чтобы привлечь к ответственности за совершенные действия). Применение групповых идентификаторов может быть разрешено только там, где это требуется для выполнения работы;
Проверку того, что пользователь авторизован владельцем системы для использования ее ресурсов. Возможно получение отдельного разрешения для наделения правами пользователя у руководства;
Существование актуального списка всех пользователей, зарегистрированных для работы в системе;
Немедленное исправление прав доступа для тех пользователей, чьи должностные обязанности изменились или которые покинули организацию.
3. Распределение привилегий в многопользовательской системе должно контролироваться при помощи процедуры авторизации.
4. Процедура авторизации при распределении привилегий в многопользовательской системе должна включать следующие положения:
Права доступа к каждому системному компоненту (например, ОС, СУБД или другие приложения) должны быть определены для всех категорий персонала, имеющих к ним доступ;
Привилегии индивидуальных пользователей, выдающиеся по мере необходимости или от случая к случаю должны быть минимальны - только те, которые необходимы;
Должна быть утверждена процедура авторизации, а также определен перечень всех назначенных привилегий. Привилегии не должны предоставляться до окончания процесса авторизации.
5. Необходимы процедуры проверки прав пользователей.
6. Все пользователи должны быть осведомлены о правилах обращения с паролями:
Пароли должны быть качественными;
Запрещается использовать индивидуальный пароль для работы нескольких пользователей;
Пользователям запрещается использовать автоматический вход в систему и применять сохранение пароля под функциональными клавишами.
7. Если пользователям необходим доступ ко многим сервисам и платформам и от них требуется поддержание нескольких паролей, то рекомендуется использовать один единственный надежный пароль для входа во все системы.
8. Все пользователи должны быть осведомлены о правилах защиты оборудования, оставленного без присмотра.
9. Необходимо определить политику использования сетевых служб и сервисов.
10. Политика использования сетевых служб должна содержать следующие положения:
Положение, определяющее сетевые службы, к которым разрешен доступ;
Положение, описывающее процедуры авторизации для определения, каким пользователям разрешен доступ, и к каким сетевым службам;
Положение, определяющее процедуры контроля доступа к сетевым службам.
11. В основе требований к принудительной маршрутизации должна лежать политика управления доступом, принятая в организации.
12. Автоматические подключения к удаленным компьютерным системам должны проходить процедуру аутентификации.
13. Ограничения возможности подключения пользователей к производственным приложениям должны применяться для следующих приложений:
Электронная почта;
Двухсторонняя передача файлов.
14. При использовании организацией различных общедоступных и коммерческих сетевых сервисов, поставщики сетевых услуг должны предоставлять четкое описание атрибутов безопасности всех используемых сервисов.
15. Необходимо проводить тренинги персонала, использующего мобильные компьютеры, для осведомления о повышенном риске при таком способе работы
16. Необходимо наличие процедур и стандартов для управления действиями при удаленной работе
17. При составлении процедур и стандартов для управления действиями при удаленной работе должны быть выполнены следующие правила:
Учет возможной угрозы неавторизованного доступа к информации или ресурсам от иных близких к удаленному пользователю людей, например, семья, друзья.
3. Совершенствование информационной безопасности предприятия ООО «Вист и Ко»

3.1 Рекомендации, полученные с помощью программы КОНДОР

Программа КОНДОР предлагает принять контрмеры для сокращения риска угрозы информационной безопасности. Окно выбора контрмер представлено на рисунке 5.

Рисунок 5 – Окно принятия контрмер

К числу самых важных контрмер относятся:

Регулярные совещания руководителей по вопросам обеспечения информационной безопасности. Проблемы обеспечения информационной безопасности необходимо регулярно рассматривать и обсуждать, поскольку появляются новые уязвимости, развиваются информационные технологии. Ответственность за информационную безопасность предприятия несут его руководители, поэтому так важно регулярно проводить совещания именно руководителей, на которых будут рассматриваться вопросы управления информационной безопасностью, различные административные вопросы, анализироваться происходящие изменения и т.д.
Контроль доступа к многопользовательской информационной системе.
Применение уникальных идентификаторов пользователей достаточно очевидно и не нуждается в комментариях. Применение групповых идентификаторов обычно не рекомендуется и возможно только для работы в системах обработки данных, где не требуется обеспечение особого уровня защиты и подобной меры защиты как групповой идентификатор может быть вполне достаточно.
Назначение одного руководителя, ответственного за все мероприятия, относящиеся к информационной безопасности.
Осведомление пользователей о правилах обращения с паролями.
Определение процесса внедрения нового оборудования в информационную систему.
Ограничение обмена защищаемой информацией с тем, чтобы она не была получена неавторизованными лицами.
Политика безопасности должна учитывать требования, связанные с безопасностью бизнес-приложений.
Процесс управления паролями пользователей должен удовлетворять определенным положениям. Рекомендуется настроить систему таким образом, чтобы при первом входе пользователя с назначенным ему временным паролем система сразу же требовала его сменить. Временные пароли также выдаются в случае, когда пользователи забывают свои пароли. Временные пароли должны выдаваться только после положительной идентификации пользователя
Все пользователи должны быть осведомлены о правилах защиты оборудования, оставленного без присмотра. Данный пункт касается безопасности оборудования (терминалов, рабочих станций и т.д.) пользователей, оставляемого без присмотра (в том случае, если пользователь вынужден покинуть свое рабочее место). Обратим внимание на тот факт, что эти очевидные требования далеко не всегда выполняются на практике и часто сотрудники компании относятся к их выполнению достаточно халатно. Поэтому в автоматизированной системе необходимо учесть автоматическое выполнение данных функций (по тайм-ауту, например), чтобы свести влияние человеческого фактора к минимуму.
Безопасность для мобильных компьютеров и пользователей при удаленной работе. Стандарт безопасности рекомендует обратить самое серьезное внимание на обеспечение безопасности мобильных пользователей, и это не лишено смысла. Примеры кражи или утери ноутбуков с конфиденциальной и даже секретной информацией сотрудниками спецслужб регулярно появляются в прессе. Что же говорить об обычных компаниях, где уровень защиты, как правило, существенно ниже. Поэтому для мобильных пользователей необходима разработка отдельных требований и нормативных документов по физической защите, разграничению доступа, криптографической защите, резервному сохранению, антивирусной защите.

3.2 Мероприятия по совершенствованию системы защиты информации на законодательном, административном, процедурном и программно-аппаратном уровнях

Для устранения выявленных недостатков в системе информационной безопасности ООО «Вист и Ко» необходимо ввести следующие меры:

На законодательном уровне никаких изменений по введению новых мер по обеспечению информационной безопасности не намечено.
Необходимо ввести меры административного уровня в политике безопасности фирмы. На административном уровне предлагается:
Создать ряд инструкций по информационной безопасности внутри фирмы для отдельных категорий работников (изменить и хранить пароли в недоступных местах, запретить посещение сторонних ресурсов и т.д.).
Предусмотреть ряд мотивационных мероприятий для заинтересованности сотрудников в соблюдении политики безопасности, а так же наказания за грубое нарушение политики безопасности фирмы. (премии и штрафы)
Для совершенствования системы безопасности на процедурном уровне предлагается следующий ряд мер:
Ограничить доступ посторонних людей в некоторые отделы фирмы.
Провести ряд консультационных мероприятий с сотрудниками организации по вопросам информационной безопасности и инструкциям по соблюдению политики безопасности.
На программно-аппаратном уровне предлагается ввести следующие меры:
Обязать всех сотрудников использовать пароли для доступа к базе 1С и более тщательно разграничить доступ к определенным данным базы (справочникам, документам и отчетам) всех сотрудников.
Необходимо изменить все стандартные логины и пароли, чтобы все пароли соответствовали уровню сложности. Ввести ограничения на передаваемые через интернет форматы и размеры файлов отдельным сотрудникам, путем создания фильтров в Kaspersky Small Office Security.
Таким образом, мы определились с изменениями в существующей системе информационной безопасности ООО «Вист и Ко». Среди этих изменений ключевым является работа с персоналом, поскольку какие бы совершенные программные средства защиты информации не внедрялись, тем не менее, всю работу с ними осуществляет персонал и основные сбои в системе безопасности организации вызываются, как правило, персоналом. Правильно мотивированный персонал, нацеленный на результат деятельности - это уже половина того, что необходимо для эффективной деятельности любой системы.
3.3 Создание службы безопасности предприятия

Предприятию ООО «Вист и Ко» оказывается экономически выгоднее привлечь для выполнения некоторых функций безопасности специализированную организацию, чем содержать собственную структуру.

Основным содержанием деятельности службы безопасности предприятия являются следующие функциональные направления:
1. Своевременное выявление угроз жизненно важным интересам предприятия (со стороны криминальных элементов, недобросовестных конкурентов и отдельных лиц). При этом основными методами получения информации являются деловая разведка и прогноз-анализ.
2. Предупреждение проникновения (агентурного и технического) к конфиденциальным сведениям (коммерческой тайне) предприятия и обеспечение сохранности информационных ресурсов предприятия. Главными средствами при этом являются: соблюдение охранно-пропускного режима, бдительность сотрудников и технические средства защиты.
3. Обеспечение физической охраны руководства и сотрудников предприятия. При этом основными средствами и методами являются: организация системы упреждающих мер, профессионализм охраняющих и дисциплина охраняемого лица. Метод системного подхода к обеспечению безопасности коммерческого предприятия.
На организационную структуру службы безопасности влияют следующие факторы:
характер и масштабы производственной деятельности предприятия, численность работающих, темпы технического развития;
рыночная позиция предприятия (темпы развития отрасли, к которой относится предприятие, вид кривой жизненного цикла товара, динамика его продаж и доля рынка, наличие стратегических зон хозяйствования, уровень конкурентоспособности товаров и услуг);
достигнутый уровень финансовой состоятельности (общая экономическая рентабельность, платежеспособность, уровнь деловой активности и инвестиционной привлекательности);
наличие субъектов специальной защиты (носителей государственной или коммерческой тайны, экологически опасных производств, взрывопожарных участков, и т. п.);
наличие конкурентной среды (активности конкурентов и криминалитета).
Типовые направления деятельности служб безопасности
Первое направление — юридическая безопасность предпринимательской деятельности, под которой следует понимать юридически корректное оформление прав, порядка и условий осуществления этой деятельности (устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров, соглашений, ведение бухгалтерской документации и др.). Необходимость разрабатывать и реализовывать соответствующий комплекс задач достаточно очевидна в условиях неустоявшейся нормативно-правовой базы предпринимательства и его безопасности.
Второе — физическая безопасность субъектов предпринимательской деятельности. В качестве объектов следует при этом рассматривать как сам вид предпринимательской деятельности, так и ресурсы предпринимателя: финансовые, материальные, информационные. Отдельного рассмотрения требует безопасность трудовых и интеллектуальных ресурсов: персонала, акционеров и работников предприятия.
Третье — информационная (информационно-коммерческая) безопасность, защита информационных ресурсов хозяйствующего субъекта, а также объектов его интеллектуальной собственности. Коммерчески значимая информация может быть связана со всеми теми объектами, которые упоминались при рассмотрении физической безопасности.
Четвертое - вопросы безопасности людей, персонала: охрана труда и техника безопасности, производственная санитария и экология, аспекты психологии деловых отношений, вопросы личной безопасности сотрудников и членов их семей. Для обеспечения полной защиты информации предприятию ООО «Вист и Ко» необходимо привлечь специализированную службу безопасности.

3.4 Оценка рисков после совершенствования системы информационной безопасности

После принятия контрмер и создания отчета были получены следующие результаты рисков и невыполненных требований.

Т аблица 3 - Оценка уровня риска после применения контрмер

Диаграмма невыполненных требований и рисков после принятия контрмер представлена на рисунке 7.

Рисунок 7 – График зависимостей невыполненных требований и рисков после принятия контрмер
Несмотря на то, что приняты серьезные меры по уменьшению риска угрозы информационной безопасности предприятия, тем не менее, сохранились уязвимости в информационной безопасности.
Выводы и рекомендации

В результате выполнения курсовой работы были решены поставленные задачи, а именно: проведен анализ информационной безопасности предприятия ООО «Вист и Ко»; выявлены риски информационных угроз по обеспечению безопасности; в соответствии с выявленными недостатками были предложены меры их устранения, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократит риск потери и искажения информации. Следует обратить внимание на то, что только при совместном взаимодействии персонала, программно-аппаратных средств и средств защиты информации возможна эффективность данных мероприятий.

Выполнение предложенных мер по устранению недостатков позволит предприятию повысить эффективность средств защиты и сократить риск потери информации.
Защита информации на сегодняшний день стала по-настоящему острой и актуальной проблемой, в связи с быстрым и бурным развитием информационных технологий. Главная тенденция, которая характеризует развитие современных информационных технологий - это все больший рост компьютерных преступлений и связанных с ними хищений конфиденциальной информации, а вследствие этого и больших материальных потерь.
Библиографический список

1. Семенов В.В., Береза А.Н. Информационная безопасность и защита информации: Методические указания к выполнению курсового проекта/ В.В.Семенов, А.Н. Береза– Волгодонск: Изд-во ЮРГУЭС, 2007. –20 с.

2. Галатенко В. А. Курс Основы информационной безопасности. М: Интернет университет информационных технологий. [Электронный ресурс] // URL: httр://www.intuit.ru;
3. Аналитический Центр InfoWatch. Глобальное исследование утечек конфиденциальной информации в I полугодии 2013 года [Электронный ресурс] // URL: www.infowatch.ru/analytics
4. Российская Федерация. Законы. Об информации, информационных технологиях и защите информации [Текст] : федер. закон : [принят Гос. Думой 27 июля 2006 г. : одобр. Советом Федерации 14 июля 2006 г.]. – М.
5. Блинов А.М.Информационная безопасность: Учебное пособие. [Текст] Часть 1. – СПб.:Изд-во СПбГУЭФ, 2010. – 96 с.
6. Хорев П.Б. Методы и средства защиты информации в компьютерных системах :учеб.пособие для студ.высш.учеб.заведений/ П.Б.Хорев.-3-е изд., стер.-М.: Издательский центр «Академия», 2007.-256 с.
7. ВикипедиЯ: свободная энциклопедия [Электронный ресурс] // Информационная безопасность. URL:http://ru.wikipedia.org/wiki;
8. Computer Security Software Russia [Электронный ресурс] // Kaspersky Small Office Security. URL: http://www.comss.ru/page.php?id=423
9. Информационная безопасность [Электронный ресурс] // КОНДОР. URL: http://www.etax.ru/informacionnaya-bezopasnost/produkty-i-uslugi?page_id=78
10. Майволд Э. [Текст]: Безопасность сетей / Э.Майволд. – Эком, 2006;

Download 329,1 Kb.

Do'stlaringiz bilan baham: