Назначение и структура системы защиты информации коммерческого предприятия (Аналитическая часть)

Содержание:

ВВЕДЕНИЕ

В современном мире сложно представить организацию работы человека, предприятия без внедрения автоматизированных систем и процессов. При этом каждый разработчик старается сделать свою систему более простой и удобной в использовании, так как конкуренция на этом рынке достаточно велика. С каждым годом сфера информационных технологий развивается все быстрее. Все больше и больше подвергаются автоматизации различные производственные процессы. Так же неуклонно растет и количество пользователей сети Интернет. И, конечно же, в настоящее время редкая система, даже самая простая, функционирует без использования ресурсов сети Интернет.

Помимо внешних воздействий на безопасность (ограбление, взлом) организации существует угроза утечки информации по информационным каналам связи. Становится недостаточным лишь внешнее обеспечение безопасности. Появляется все больше различных фирм, производящих одинаковые услуги, растет и конкуренция. В таких условиях, каждый руководитель заинтересован в обеспечении целостности, доступности и конфиденциальности информации, касающейся деятельности организации.

Для решения таких задач появилось целое направление, связанное с разработкой комплексного подхода к обеспечению безопасности информационных ресурсов на разных уровнях. Комплексное обеспечение защиты информации позволяет предотвратить максимальное количество угроз.

Особое место в списке автоматизированных систем занимают те, которые обрабатывают конфиденциальную информацию. В настоящее время АС разделены на три группы, для каждой из которых соответствуют свои классы защищенности [1].

• • 1. Первая группа включает АС, подразумевающие множество пользователей. В таких АС одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Доступ пользователей к информационным ресурсам ограничен. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б, 1А.
    2. Вторая группа включает автоматизированные системы, в которых

пользователи имеют одни и те же права доступа ко всей информационной базе автоматизированной системы. Информация обрабатывается и/или хранится на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б, 2А.

• • 1. Третья группа включает автоматизированные системы, в которых работает один пользователь. Пользователь имеет доступ ко всей информационной базе системы. Информация размещена на носителях одного уровня конфиденциальности. Группа содержит два класса: 3Б, 3А.

Для качественного и корректного обеспечения безопасности необходим детальный анализ работы АС, включающий в себя разбор всех процессов, уязвимостей, возможных угроз при НСД.

Система защиты информации представляет собой комплекс программных и технических средств, организационных мер и правовых норм, направленных на противодействие различного вида угрозам защищаемой информации, информационным системам и пользователям.

Целью курсовой работы является сведение к минимуму угроз, применяя наиболее эффективные и приемлемые по цене предлагаемые решения по их устранению.

Для достижения цели необходимо решить следующие задачи:

1. Охарактеризовать предметную область исследуемой организации.
2. Проанализировать риски информационной безопасности.
3. Обосновать необходимость совершенствования системы обеспечения информационной безопасности.
4. Провести выбор защитных мер.
5. Разработать комплекс организационных мер обеспечения информационной безопасности и защиты информации исследуемой организации.
6. Спланировать комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации.
7. Провести обоснование экономической эффективности проекта.

Объект исследования – Автономная некоммерческая организация «Культурно- правовой центр «Виват».

Предмет исследования – информационная безопасность и защита информации

исследуемой организации.

Для наиболее полного исследования материала были использованы методы нормативного анализа, сравнения, статистического исследования, графического отображения, измерения показателей безопасности.

АНАЛИТИЧЕСКАЯ ЧАСТЬ

Технико-экономическая характеристика предметной области и предприятия

• • 1. Общая характеристика предметной области

Автономная некоммерческая организация «Культурно-правовой центр «Виват»

• юридическое лицо, которое регистрируется в соответствии с законодательством Российской Федерации, являющееся некоммерческой организацией и оказывающее юридические услуги и услуги вː области культуры, а также сопутствующие услуги.

Автономная некоммерческая организация «Культурно-правовой центрː «Виват» является некоммерческой организацией, занимающейся представлением интересов определенной группы общества. Создана организация учредителями - физическими лицами.

Цель организации - предоставление услуг в области образования, здравоохранения, культуры, права, физической культуры и спорта для некоммерческих молодежных организаций, общественных организаций российских немцев, а также иных физических и юридических лиц поː возрождению, сохранению, развитию языка, культуры, традиций российских немцев, как одного изː равноправных народов Российской Федерации.

Предприятие является юридическим лицом и самостоятельно отвечает всем своим имуществом поː долгам и обязательствам, может быть истцом и ответчиком в суде.

Организация занимается не запрещенной законом предпринимательской деятельностью.

АНО «КПЦ «Виват» не имеет вышестоящей организации.

Высшим органом управления организацией является общее собрание учредителей.

АНО «КПЦ «Виват» расположено в г. Лысьва поː пр. Победы, 21.

Технико-экономические показатели деятельности КПЦ «Виват» за 2018-2019 год приведены в табл. 1.

По данным таблицы основные показатели значительно увеличились за 2019 год. Так выручка от реализации выросла поː сравнению сː прошедшим периодом на 1808 тыс. рублей. Наблюдается снижение затрат на рубль реализованных услуг на 70 руб. Произошлоː это из-за увеличения рыночной стоимости услуг при условии, что материалы оставались относительноː недорогими. Производительность труда увеличилась более чем вдвое, чтоː позволяет сделать вывод об уровне автоматизации труда.

Таблица 1

Технико-экономические показатели АНО «КПЦ «Виват»

Показатели	2018 г.	2019 г.	Изме- нения	Темп роста
1. Среднесписочная численность работников, чел.	31	35	4	12,9
2. Среднегодовая стоимостьː ОПФ тыс.руб.	71	124	53	74,63
3. Среднегодовая стоимостьː остатков оборотных средств тыс. руб..	558	1148	590	105,8
4. Выручка от реализации вː сопоставимых ценах, тыс.руб.	907	2716	1808	199,2
5.Затраты на пр-во реализованной продукции, тыс.руб.	705	1713	1008	143
6.Прибыль от реализации продукции, тыс.руб.	202	1002	799	394,5
7.Затраты на 1 руб. реализованных услуг, руб/руб. (п.5/п.4)	0,7	0,63	-0,07	-10
8.Фондоотдача на 1 руб ОФ, руб/руб (п.4/п.2)	9,92	13,81	3,89	39,21
9.Фондовооруж-ть, руб./чел (п.2/п.1).	2,29	3,54	1,25	54,58
10.Производительностьː труда, руб/рубː (п.4/п.1).	29,3	77,6	48,3	164,84

Таблица 2

Структурный анализ активовː и рациональности их размещения

Показатели	На начало периода		На конец периода		Изменение		Изме- нение поː уд. весу
	сумма	уд. вес	сумма	уд. вес	Абсо- лютное	Относи- тельное

Долгосрочные активы средства в производственном обороте средства внепроизводствен- ногоː оборота нерациональ-ные активы иммобилизо- ванныеː активы	120,7 116 4,7 12 0,4	17,67 96,1 3,9 9,94 0,33	141,7 132,5 9,2 13,65 0,4	7,55 93,51 6,49 9,63 0,28	21 16,5 4,5 1,65 0	117,4 114,22 195,74 113,75 100	-10,12 -2,59 2,59 -0,31 0,05
Текущие активы средства в производстве средства в обращении готовая про- дукция дебиторская задолженность денежныеː средства и кратко- срочные финан- совые вложения Нерациональ- ные активы иммобилизо- ванныеː	562,5 16,4 546,1 84,7 58,4 403 71,6 1,5	82,33 2,92 97,08 15,51 10,69 73,8 12,73 0,27	1735,4 189,4 1546 90,8 1077,9 377,1 1316,46 11,4	92,45 10,91 89,09 5,87 69,72 24,39 75,86 0,66	1172,9 173 999,9 6,1 1019,5 -25,9 1244,86 9,9	308,52 1154,88 283,1 107,2 1845,72 93,57 1838,63 760	10,12 7,99 -7,99 -9,64 59,03 -49,41 63,13 0,39
3. Всего размещен- ного капитала	683,2	100	1877,1	100	1193,9	274,75	0
4. Реальные активы	681,3	99,72	1865,3	99,37	1184	273,79	-0,35
5. Рациональные активы	599,6	87,76	546,99	29,14	-52,61	91,23	-58,62

Показатели, характеризующие состояние, движение и эффективность использования основных средствː предприятия

1. Показатели, характеризующие состояние основных средств Доля активной части основных средствː (ОС)ː в составеː всех ОС: на начало периода = 0 + 12,5/126 х 100% = 9,92%;

на конец периода = 0ː + 0/146,1 х 100% = 0%; Доля пассивных ОСː в составе всех ОС:

на начало периода = 48,3 + 0/126 х 100% = 38,33% на конец периода = 48,3/146,1 х 100%ː = 33,08%;

Непроизводственные основные средства на предприятии отсутствуют.

1. Показатели, характеризующие техническое состояние основных средств Коэффициент износа основных средств:

на началоː периода = 9,9/126 х 100% = 7,86%; на конец периода = 13,7/146,1 х 100% =ː 9,38%;

Коэффициент износа активной части основных средств: на началоː периода =ː 1,9/12,5 х 100%ː =ː 15,2%;

на конец периода = 0/0 х 100% = 0%;

1. Показатели, характеризующие движение фондов Коэффициент ввода ОС =ː Поступило/Остаток на конец года

Кввː = 32,6/146,1 х 100% = 22,31%;

Коэффициент выбытия ОС =ː Выбыло/Остаток на началоː года Квыб = 12,5/126ː х 100% = 9,92%;

22,31%ː > 9,92%, т.е. коэффициент ввода опережает коэффициент выбытия.

1. Показатели, характеризующие эффективность использования фондов Фондорентабельность=прибыль до налогообложения/средняя стоимость ОС

1039,8/124,25 = 8,37;

Коэффициент производственной отдачи = выручка/средняя стоимость ОС

2716/124,25 = 21,86;

Фондорентабельность активной части ОС = прибыльː до налогообложения/средняя стоимость активной части ОС

1039,8/5,3 =ː 196,19;

Коэффициент производственной отдачи активной части ОС = выручка/средняя стоимость активной части ОС

2716/5,3 = 512,45;

Вывод.

Всегоː объем размещенногоː капитала увеличилосьː на 174,75%. В то же время реальные активы поː удельному весу уменьшилисьː на 0,35% и составили 99,37%ː всегоː размещенного капитала, а удельный весː рациональных активовː уменьшился сː 87,76%ː доː 29,14% размещенногоː капитала и составили 546,99 тысː руб.

Что касается структуры размещенного капитала, то долгосрочно используемые активы возросли незначительно на 17,4% и составили 141,7 тыс руб., а по удельному весу сократились 17,67% размещенного капитала до 1,55%. Это приводит с одной стороны к увеличению риска финансовых потерь, а сдругой к увеличению ликвидности.

Из основногоː капитала основную часть составляют средства в производственном обороте. Однако их удельный вес на конец отчетногоː периода уменьшился с 96,1% до 93,51%, а темп роста составил 114,22%.

Коэффициент износа основных средств увеличился незначительноː с 7,86%ː до 9,38%, а периода коэффициент износа активной части основных средствː составил 15,2%.

В составе основного капитала довольно большую частьː составляют нерациональные активы, которые за анализируемый период выросли на 13,75% и составили 13,65% долгосрочно используемых средств. Однакоː их удельный вес в составе основногоː капитала снизился сː 9,94% до 9,63%. Величина иммобилизованных активов не изменилась. В составе иммобилизованных активов отсутствуют основные средства, т.е. иммобилизованные активы включают только долгосрочные финансовые вложения и их размер равен 0,4 тыс руб., а удельный вес на конец периода составил 0,28%.

Наибольший удельный вес вː составе имущества предприятия занимают текущие активы, величина которых за отчетный период возросла на 208,52% и составила 1735,4 тыс руб. или 92,45% всегоː размещенного капитала. Такое увеличение оборотного капитала может свидетельствоватьː о наращивании производственного потенциала предприятия и стремлении путем вложений вː производственные запасы защитить денежные активы от обесценения под воздействием инфляции. Т.к. оборотный капитал увеличился в основном за счет дебиторской задолженности, темп роста которой составил 1845,71%, а удельный весː возрос с 10,38% доː 62,11% всегоː оборотного капитала, то этоː говорит обː отвлечении этой части текущих активов из производственного процесса на кредитованиеː потребителей товаров, работ, услуг прочих дебиторов. Отрицательным фактором

является значительный рост нарациональной дебиторской задолженности, которая на конец периода составила 57,77%ː текущих активов или 1002,52 тыс руб. Безнадежная дебиторская задолженность также возросла с 1,5 тысː руб. до 6,7 тыс руб., т.е. на 346,67%.

Нельзя не отметить значительного роста денежных средств в структуреː оборотного капитала, которые увеличились на 233,8% и составили на конец отчетного периода 309,1 тыс руб. или 17,81% оборотного капитала. В составе денежных средств нерациональные денежные средства возросли сː 70,1 тыс руб. до 237,74 тыс руб., а их удельный весː в оборотном капитале возросː с 12,46% до 13,7%. С одной стороны это говорит о повышении ликвидности оборотного капитала, а с другой, т.к. на конец периода 76,91% денежных средств составляют нерациональные средства, то данное увеличение свидетельствует о неспособности предприятия найти эффективные пути использования имеющихся финансовых ресурсов. Кроме тогоː денежные средства значительно подвержены инфляции.

Финансовые вложения за анализируемый период уменьшились с 310 тыс. руб. доː 68 тыс. руб. Их доходность составила 32,25%, чтоː выше процента поː банковским депозитам, следовательно краткосрочныеː финансовые вложеня являются рациональными.

Что касается средствː в производстве, то они выросли на 73% и составили 189,4ː тыс. руб. По удельному весу средства в производстве также увеличилисьː на 2,92%ː до 10,91%ː всех текущих активов. Скорее всего это связано сː ростом объема реализации.

Таким образом в изменении структуры оборотного капитала можно отметитьː как положительные тенденции повышение его ликвидности и вложений средств вː стадии близкие к окончанию производственно-коммерческогоː цикла. Однако центральным является то, что эти изменения произошли за счет значительного роста нерациональных и иммобилизованных средств вː основном в результатеː раздувания дебиторской задолженности и увеличения денежных средств, которые вː сумме возросли с 151,1 (26,86% оборотного капитала) до 1387,2 (79,94%ː оборотногоː капитала). Необходимо также отметить как положительный фактор высокуюː рентабельность имущества, которая составила 80,94%.

Таблица 3

Структурный анализ пассивов

Показатели	На начало периода		На конец периода		Изменение		Изме- нение по уд. весу
	сумма	уд. вес	сумма	уд. вес	абсо- лютное	относи- тельное
1. Собственный	570,2	83,46	1519,3	80,94	949,1	266,45	-2,52
капитал
1.1.Уставный	-	-	-	-	-	-	-
капитал
1.2.Добавочный	5,2	0,91	72,1	4,75	66,9	1386,54	3,84
капитал
1.3.Реинвести-	565	99,09	1447,2	95,25	882,2	256,14	-3,84
рованный капитал
1.4.Собственныеː	449,5	78,83	1377,6	90,67	928,1	306,47	11,84
оборотные средства
2.Заемный капитал	113,0	16,54	357,8	19,06	244,8	316,64	2,52
- по срочности
2.1.долгосрочные	-	-	-	-	-	-	-
обязательства	-	-	-	-	-	-	-
2.2.краткосрочные
обязательства	113,0	100	357,8	100	244,8	316,64	0
- по платности
2.3.платные	-	-	-	-	-	-	-
2.4.бесплатные	-	-	-	-	-	-	-
2.4.1.текущие	113,0	100	357,8	100	244,8	316,64	0
обязательства	113,0	100	357,8	100	244,8	316,64	0
2.4.2.пассивы, не
носящие характера	-	-	-	-	-	-	-
обязательств
2.4.3.средства,
приравненные к
собственным	1,73	1,53	2,97	0,83	1,4	171,68	-0,7
2.5.неопределенно
привлеченные
заемные источники	-	-	-
3.Всегоː капитала	883,2	100	1877,1	100	2003,9	274,75	0

Собственные оборотные средства = Собственный капитал – Основной капитал + долгосрочные обязательства

на началоː периода 570,2 – 120,7 + 0 = 449,5;

на конец периода 1519,3 –ː 141,7 + 0 =ː 1377,6;

Средства приравненныеː к собственным (СПС) =ː общая задолженность по бюджету (оплате труда, поставщикам)/360 дней х 5 (10, 30) дней

на началоː периода 16,9/360 х 5 = 0,23;

52,3/360ː х 10ː = 1,45;

0,6/360 х 30 = 0,05;

Всего СПС = 0,23 + 1,45 +0,05 =ː 1,73;

на конец периода 42,1/360 х 5 = 0,58;

46,7/360 х 10 =ː 1,3;

13,1/360 х 30 = 1,09;

Всегоː СПС = 0,58 + 1,3 + 1,09 =ː 2,97;

Выводы.

За анализируемый период произошли следующие изменения в структуре пассивов.

Общий объем капитала увеличился на 174,75%. Собственный капитал в структуре всего капитала составляет 83,46% на начало периода, его доля снизилась к концу отчетного периода на 2,52%ː и составила 80,94%. Хотя в абсолютном выражениисобственный капитал вырос на 166,45%. С точки зрения финансовой независимости эта тенденция не является позитивной, т.к. доля заемного капитала выросла с 16,54%ː до 19,06%ː или вː динамике на 216,64%.

В структуре собственного капитала величина добавочного капитала увеличилась на 1286,54%ː вː результатеː переоценки имущества и составила на конец периода 72,1 тыс. руб. Доля добавочного капитала в составе собственного также возросла сː 0,91% до 4,75%.

Реинвестированные капитал вырос на 156,14% и составил на конец года 1447,2 тыс. руб. Однако егоː доля уменьшилась с 99,09%ː собственного капитала доː 95,25%ː На конец отчетного периода исчезла нераспределенная прибыльː прошлых лет, чтоː является положительным, т.к. говорит о способности предприятия найти эффективные пути использования имеющихся финансовых ресурсов.

Собственные средства увеличились с 449,5 тыс. руб. доː 1377,6 тыс. руб., т.е. на 206,47%. Их доля также возросла на 11,84%ː и составила на конец периода 90,67%

собственного капитала. Эта тенденция оценивается как положительная, т.к. свидетельствует об увеличении мобильности средств и улучшении возможности финансового маневра.

Структура заемногоː капитала практически не изменилась. Долгосрочные обязательства отсутствуют как на начало, так и на конец года. Что касается краткосрочных пассивов, то их величина соответствует кредиторской задолженности, т.е. платных источников нет как на начало, так и на конец анализируемого периода. Величина кредиторской задолженности или заемногоː капитала увеличилась соː 113,0ː тыс. руб. доː 357,8 тыс. руб. Удельный весː заемного капитала возрос на 2,52% и составил 19,06% всех пассивов.

В структуре кредиторской задолженности выросла величина средств, приравненных к собственным 1,73 тыс. руб. доː 2,97 тыс. руб. Однако их удельный весː снизился сː 1,53%ː кредиторской задолженности доː 0,83%.

Аналитические характеристики состояния источников средств

1. Коэффициент автономии = Собственный капитал / Всего хозяйственных средств

на началоː периода 570,2/683,2 = 0,83; на конец периода 1519,3/1877,1 = 0,81;

Полученные результаты показывают, что на начало и конец периода в общем объеме источников финансирования основную долю занимают собственные средства: соответственноː 83% и 81%.

1. Коэффициент финансовой независимости =ː Заемный капитал / Собственный капитал

на началоː периода 113/570,2 = 0,2;

на конец периода 357,8/1519,3 = 0,24;

Данный коэффициент характеризует, какой объем заемных средств привлекается предприятием на каждый рубль собственных источников. На данном предприятии на каждый рубль собственного капитала привлекается 20 коп. заемных средств.

1. Коэффициент финансирования =ː (Собственный капитал + Долгосрочные обязательства) / Всего хозяйственных средств

Полученные результаты говорят, что 83% хозяйственных средств на началоː периода и 81% на конец анализируемого периода могут рассматриваться как собственные вː ограниченный промежуток времени.

1. Коэффициент реальной стоимости производственных фондов (Кр.с.) =ː Производственные фонды (ПФ) / Всего хозяйственных средств

Производственные фонды = Основные средства производственного назначения +

Производственные запасы + Незавершенное производство на начало периода ПФ =ː 116,0 + 15,1 +0 = 131,1;

Кр.с. = 131,1/683,2 = 0,19;

На конец периода ПФ = 132,5 + 185,0 + 0 = 317,5;

Кр.с. = 317,5/1877,1 = 0,17;

Данный коэффициент показывает, чтоː на начало периода 19%ː средств, а на конец отчетного периода 17%ː реально обслуживают производственный процесс. Полученные данные говорят о том, что производствоː продукции не является основным видом деятельности.

1. Коэффициент долгосрочно привлеченных средств = Долгосрочные обязательства / (Собственный капитал + Долгосрочные обязательства)

на началоː периода 0/(570,2 + 0)ː = 0; на конец периода 0/(1519,3 + 0)ː =ː 0;

Полученные данные показывают, что в ближайшей перспективе всеː хозяйственные средства формируются за счет собственных источников.

Характеристики качества финансирования

1. Коэффициент мобильности (маневренности) = Собственные оборотные средства / Собственный капитал

на началоː периода 449,5/570,2 = 0,79; на конец периода 1377,6/1519,3 =ː 0,91;

Коэффициент показывает, какая доля собственных источников подвижна и направляется на финансирование текущей деятельности. Полученные данные

свидетельствуют о том, что на предприятии существует реальная возможность изменить деятельность, т.к. значение коэффициента мобильности превышает нормативное значение равное 0,6.

1. Коэффициент покрытия основногоː капитала = Собственный капитал / Основной капитал

на началоː периода 570,2/120,7 = 4,71; на конец периода 1519,3/141,7 = 10,72;

Данный коэффициент характеризует, какая доля объектовː основного капитала профинансирована за счет собственных источников. Полученные результаты говорят о том, что все объекты основного капитала сформированы за счет собственных средств.

1. Коэффициент покрытия оборотного капитала = Собственные оборотные средства / Оборотный капитал

на начало периода 449,5/562,5 = 0,8; на конец периода 1377,6/1735,4 = 0,79;

Полученные результаты говорят оː том, чтоː 80% объектов оборотных активов на началоː отчетного периода и 79% на конец периода профинансированы за счет собственных источников.

1. Коэффициент покрытия текущих материальных активовː (Кпок.тма) =ː Собственные оборотные средства / Текущие материальные активы (ТМА)

ТМА =ː Производственные запасы + Готовая продукция + Незавершенное производство

на начало периода ТМА =ː 15,1 + 84,7 + 0 = 99,8;

Кпок.тма = 449,5/99,8ː =ː 4,5;

На конец перода ТМА = 185,0 + 90,8 + 0 = 275,8;

Кпок.тма =ː 1377,6/275,8 =ː 4,99;

Коэффициент показывает, какая доля материальных активов профинансирована за счет собственных оборотных средств. На данном предприятии все материальные активы сформированы за счет собственных оборотных средств.

Деятельность организации связана сː приемом, обработкой и хранением информации, которую предоставляют представители целевой аудитории, а также информации о проектной деятельности некоммерческой организации. При этом необходимоː обеспечить передачу информации поː защищенным каналам. Также необходимоː обеспечить безопасное хранение информации вː АИС.

Объектами защиты вː соответствии с политикой безопасности АНО «КПЦ

«Виват» являются:

1. Конфиденциальная информация, вː том числе информация, содержащая сведения, составляющиеː охраняемую законом тайну и персональные данные.
2. Состав сведений конфиденциального характера, содержание которых определено в документе «Перечень сведений конфиденциального характера, обрабатываемых в организации», утверждаемым директором АНО «КПЦ «Виват».
3. Информационные ресурсы АС различного уровня доступа, содержащие конфиденциальную информацию.
4. Параметры конфигурации средств защиты информации АС.

Технические меры обеспечения безопасности информации, обрабатываемой сː использованием АС, реализованы в комплексной системе защиты, данной АС и представляют собой применение следующих подсистем безопасности:

1. Защиты от несанкционированного доступа.
2. Защиты сетевого периметра системы (периметр, на котором находится АС).
3. Защиты информации при ее приеме и передаче.
4. Защиты от вредоносных программно-математических воздействий (воздействие на защищаемуюː информацию сː помощью вредоносных программ).
5. Контроля защищенности сетевой структуры системы (телефонные линии, ЛВСː и т.д.).

В подсистемах защиты от НСД, защиты сетевого периметра, приема, передачи и контроля защищенности использованы сертифицированные по требованиям безопасности информации средства защиты информации и средства электронной подписи.

В подсистеме защиты от вредоносных программно-математических воздействий использованы средства антивирусной защиты сː регулярно обновляемыми базами вирусных сигнатур.

Механизм разграничения доступа пользователей к информационным ресурсам системы реализует назначение и предоставления прав доступа в соответствии с документом «Матрица доступа субъектов к ресурсам АИС СОНКО», утвержденным руководителем Организации. Пользователь, пытающийся получить доступ к заданному ресурсу АИС СОНКО, выполняет процедуру идентификации и аутентификации.

Также можно выделить четыре основных критерия, предъявляемых к безопасности автоматизированных систем:

1. D – минимальная защита (Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов).
2. C – дискреционная защита;
   1. C1 – дискреционное обеспечение секретности (разделение пользователей и данных; дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе).
   2. C2 –ː управление доступом (более чёткоː оформленное дискреционное управление доступом; индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации; журнал контроля доступа к системе; изоляция ресурсов).
3. B –ː мандатная защита;
   1. B1 –ː защита сː применением мета-безопасности (мандатное управлениеː доступом к выбранным субъектам и объектам; маркировка данных).
   2. B2 – структурированная защита (чётко определённая и документированная модель правил безопасности; применение расширенного дискреционногоː и мандатногоː управления доступом ко всем объектам и субъектам; скрытые каналы хранения).
   3. B3 –ː домены безопасности (соответствие требованиям монитора обращений; структурирование для исключения кода, не отвечающего требованиям обязательной политики безопасности; поддержка администратора системы безопасности; примером подобной системы является XTS-300, предшественница XTS-400).
4. А – проверенная защита;
   1. А1 –ː проверенный дизайн (по функциям идентично B3; формализованный дизайн и проверенные техники, включающие высокоуровневую спецификацию; формализованные процедуры управления и распространения; примером подобной системы является SCOMP, предшественница XTS-400).

Несмотря на классификацию, широкий спектр СКЗИ и методов реализации, буквально все структурно-функциональные элементы АС являются уязвимыми.

В настоящее время наиболее значимыми нормативными документами, определяющими критерии оценки ИБ и требования к ее реализации, являются

«Общие критерии оценки безопасности информационных технологий» (The Common Criteriа for Informаtion Technology Security Evаluаtion/ISO 15408) «Практические правила управления информационной безопасностью» (Code of prаctice for Informаtion security mаnаgement/ISO 17799).

• • 1. Организационно-функциональная структура предприятия

В состав персонала, эксплуатирующего АИС СОНКО, руководителем Организации назначаются сотрудники, квалификация и степень благонадежности (доверия)ː которых позволяет безопасно эксплуатироватьː автоматизированную систему. Сотрудники, назначаемые в составː персонала АИС СОНКО, выполняют действия поː управлению системой в соответствии с ролевой моделью и эксплуатационной документацией.

Ролевая модель включает необходимость исполнения персоналом АС следующих ролей: «Администратора АИС СОНКО», «Оператора АИС СОНКО»ː и администратора безопасности.

Субъектами доступа к АИС СОНКОː являются:

1. Сотрудники АНО «КПЦ «Виват», имеющие право самостоятельногоː доступа к техническим средствам АИС СОНКО и исполняющие функциональные обязанности в объеме действий, предусмотренных ролями:
   1. «Администраторː АИС СОНКО».
   2. «Оператор АИС СОНКО».
2. Источники и пользователи проектов, формируемые с использованием АИСː СОНКО, предусмотренные ролями «Источник», «Пользователь».

Роль «Администратора АИС СОНКО»ː предполагает выполнение действий поː конфигурированию и настройке средств операционной системы на серверной компоненте и компоненте управления АИС СОНКО, управлению средствами защиты и возлагает на исполнителя роли ответственность за безопасную и бесперебойную работу АИС СОНКО.

Роль «Оператора АИС СОНКО» предполагает выполнение действий поː управлению процедурами получения, хранения и предоставления данных с использованием АИС СОНКО, по взаимодействию источников и пользователей проектов с АИС СОНКО.

Исполнители ролей «Источник» и «Пользователь» являются внешними пользователями по отношению к АИС СОНКО.

Данные, содержащие защищаемую информацию, обрабатываемую АИС СОНКО, размещаются в следующих основных ресурсах АИС СОНКО:

1. Таблицы реляционной базы данных (СУБД PostgreSQLː Server 9.0):
   1. Проектный опыт (project_history).
   2. Черновые проекты (drаft_project_history).
   3. Проектные отчеты (report).
   4. Платежи (pаyment).
   5. Запросы на получение проектного отчета (request).
   6. Черновые запросы на получение проектного отчета (drаft_request).
   7. Пользователи (users).
2. Xml-выгрузки из реляционной базы данных АИС СОНКО для отправки проектов и запросовː грантодателям
3. Реквизиты доступа к ресурсам АИС СОНКО.
4. Ключи электронной подписи, используемы в АИС СОНКО.
5. Данные системных журналов и подсистемы логирования.
6. Резервные копии базы данных.

Перечень защищаемых данных и ресурсов АИС СОНКО, а также соответствующие им права доступа субъектов АИС СОНКО (матрица доступа) представлен ниже в таблице 4.

Таблица 4 Переченьː защищаемых данных и ресурсов АИС СОНКО, права субъектов

доступа к АИС СОНКО

Информационныеː данные	Наименованиеː ресурса	Администратор АИС СОНКО	Оператор АИС СОНКО	Источник	Пользователь
1	2	3	4	5	6
Информация таблиц реляционной базы данных
Таблица project_history	Проектный опыт	Чтение, изменение	Чтение	Создание, чтениеː	Нет доступа
Таблица drаft_project_history	Черновые проекты	Чтение, изменение	Чтение	Создание, чтение, изменение	Нет доступа
Таблицаː report	Проектные отчеты	Создание, чтение, изменение	Создание, чтениеː	Нет доступа	Чтение
Таблица pаyment	Платежи	Чтение, изменение	Чтение	Создание, чтение	Нет доступа
Таблица request	Запросы на получениеː проектного отчета	Чтение, изменение	Чтение	Нет доступа	Создание, чтение

Продолжение таблицы 4

1	2	3	4	5	6
Таблица drаft_request	Черновые запросы на получение проектного отчета	Чтение, изменение	Чтение	Нет доступа	Создание, чтение, изменение
Таблица usersː	Данные пользователей АИС СОНКО	Создание, чтение, изменение	Чтение	Нет доступа	Нет доступа
Прочие защищаемые ресурсы
Реквизиты доступа	Реквизиты доступа к ресурсам АИС СОНКО	Создание, чтение, изменение	Чтение собственных реквизитов	Чтение собственных реквизитов	Чтение собственных реквизитов
Ключи	Ключи	Создание,	Чтениеː	Нет доступа	Нет доступа

электронной подписи	электронной подписи, используемой в АИС СОНКО	чтение, изменение
Данные системных журналов и подсистемы логирования	Данные системных журналов и подсистемы логирования	Чтениеː	Нет доступа	Нет доступа	Нет доступа
xmlвыгрузки	Проекты и запросы грантодателям	Создание, чтение	Чтение	Нет доступа	Нет доступа
Резервныеː копии базы данных	Резервныеː копии на жестком диске сервера АИС СОНКО, оптических носителях информации	Создание, чтение	Чтениеː	Нет доступа	Нет доступа

Таким образом, в АИС СОНКО предусмотреноː разграничение доступа субъектов и объектов доступа к конфиденциальной информации. Этоː позволяет ограничитьː доступ к информационной базе АИС СОНКО и отследить возможные факты НСД.

В состав эксплуатационной документации входят технологические инструкции персоналу, исполняющему указанные роли, техническая документация производителя технических средств, включая средства защиты информации, документы, регламентирующие предоставление услуг потребителям.

В настоящий момент вː организации доступ к АИС СОНКО осуществляется только посредством логина и пароля, чегоː не достаточно. Это может привести к тому, что, используя соответствующиеː программы, можно подобрать логин и пароль. В некоторых случаях, если пароль устанавливается непосредственно сотрудником, пароль можно подобрать исходя из общих знаний оː человеке. Более надежным вариантом аутентификации является электронный замок, который должен быть у каждого сотрудника АНО «КПЦ «Виват». Который имеет доступ к АИС СОНКО.

Также не производится шифрование информации вː базе. Для болееː полной организации защиты необходимоː шифровать данные ключом, известным толькоː определенной категории сотрудников АНО «КПЦ «Виват».

Анализ рисков информационной безопасности

• • 1. Идентификация и оценка информационных активов

Оценка активов организации является важным этапом в общем процессе анализа риска. Ценность, определенная для каждого актива, должна выражаться способом, наилучшим образом соответствующим данному активу и юридическому лицу, ведущему деловую деятельность. Чтобы выполнить оценку активов, организация сначала должна провести инвентаризацию своих активов. Для обеспечения полного учета активовː часто полезноː сгруппировать их по типам, например информационные активы, активы программного обеспечения, физические активы и услуги. Целесообразно также назначить «владельцев» активов, которые будут нести ответственность за определение их ценности.

Следующий этап —ː согласование масштабов оценки, которая должна бытьː произведена, и критериев определения конкретной стоимости активов. Из-за разнообразия активов большинства организаций весьма вероятно, что некоторые активы из тех, что могут быть оценены вː денежных единицах, будут оцениваться вː местной валюте, вː то время как другие активы могут оцениваться по качественной шкале вː диапазоне от «оченьː низкой» до «оченьː высокой»ː цены. Решение использовать количественную или качественную оценку принимает конкретная организация, но при этом выбранный тип оценки должен соответствоватьː подлежащим оценке активам. Для одного и того жеː актива могут быть использованы также оба типа оценки.

Типичными терминами, используемыми для качественной оценки ценности активов, являются: «пренебрежимо малая», «очень малая», «малая», «средняя»,

«высокая», «очень высокая», «имеющая критическое значение». Выбор и диапазон терминов, являющихся подходящими для данной организации, вː значительной

степени зависят от потребностей организации в безопасности, величины этой организации, а также других, специфичных для данной организации факторов.

Критерии, используемые в качестве основы для оценки ценности каждого актива, должны выражаться вː однозначных (недвусмысленных) терминах. Сː этим часто бывают связаны наиболее сложные аспекты оценки активов, поскольку ценность некоторых изː них приходится определять субъективно. Поэтому для определения ценности активовː целесообразно привлекать достаточноː большое числоː разных людей. Возможны следующие критерии определения ценности активов: первоначальная стоимость актива, стоимость егоː обновления или воссоздания. Ценностьː актива может также носить нематериальный характер, например цена доброго имени или репутации компании.

Кроме того, организация может устанавливать собственные пределы ценности активов (например «малая», «средняя» и «высокая»). Эти пределы должны быть оценены по выбранным критериям, например, возможные финансовые потери следует оцениватьː в денежных единицах, тогда как при оценке по критерию угрозы для личной безопасности оценка в денежных единицах окажется непригодной. В конечном счете организация сама должна решить, какой ущерб считать малым, а какой — большим. Ущерб, который может стать бедственным для маленькой организации, для оченьː крупной организации может быть сочтен малым или даже пренебрежимо малым.

В таблице 5 представим наиболее используемые и важные активы.

Таблица 5

Оценка информационных активов предприятия

Вид деятельности	Наимено- вание актива	Форма представления	Владелец актива	Критерии определения стоимости	Качественная размерность оценки
1	2	3	4	5	6
Информационные активы
обработка документов	Документы	Бумажный документ и электронный вид документа.	Отдел сбора и обработки статистической и бухгалтерской отчетности	Первоначальн ая стоимость актива	малая

Продолжение таблицы 5

1	2	3	4	5	6
обработка документов	БД компании	Электронный носительː	Отдел сбора и обработки статистической и бухгалтерской отчетности	Первоначальн ая стоимостьː актива	средняя
доступ к инфор- мационным ресурсам	БД компании	Электронный носитель	Отдел материально- техническогоː обеспечения и технического обслуживания; Сотрудники научно- исследовательских центров.	Первоначальн ая стоимостьː актива	средняя
обмен корреспон- денцией	Файлы электронной почты, стандарты форм, справочники, приказы	Электронный носительː	Все сотрудники	Первоначальн ая стоимость актива	малая
Активы программногоː обеспечения
обработка документов	Офисные программы;	Электронный носительː	Сотрудники	Первоначальн ая стоимость актива	малая
обеспечение непрерывной работы	Системное ПО; Антивирусное ПО	Электронный носитель	Отдел материально- технического обеспечения и техническогоː обслуживания	Первоначальн ая стоимость актива	средняя
защита данных	Страж NT	Электронный носитель	Отдел материально- техническогоː обеспечения и техническогоː обслуживания	Первоначальн ая стоимостьː актива	высокая
управление данными	СУБД MSː SQLː Server	Электронный носительː	Отдел материально- техническогоː обеспечения и техническогоː обслуживания	Первоначальн ая стоимость актива	высокая
обработка документов	ПО «СПД»	Электронный носитель	Отдел сбора и обработки статистической и бухгалтерской отчетности	Первоначальн ая стоимость актива	средняя
Разработка программ- ного обеспечения по конкурсам	Разрабатыва- емое ПО	Электронный носитель	Отдел разработки, внедрения и сопровождения программных средств	Первоначальн ая стоимость актива	высокая
Физические активы
доступ к информацион ным ресурсам	Аппаратные средства (компьютеры, принтеры, факсы)	Материаль-ный объект	Сотрудники	Первона- чальная стоимость актива	очень высокая

хранение данных

Сервера

Материаль-ный объект

Отдел материально- техническогоː обеспечения и технического обслуживания

Первона- чальная стоимость актива

высокая

Таблица 6 Перечень сведений конфиденциального характера АНО «КПЦ «Виват»

№ п/п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1.	Сведения, раскрывающие характеристики средств защиты информации ЛВСː предприятия от несанкционированногоː доступа.	ДСП	Федеральный закон №24-ФЗ1995г.
2.	Требования по обеспечениюː сохранения служебной тайны сотрудниками предприятия.	ДСП	Гражданский кодекс РФ ст.139
3.	Персональные данные сотрудников	Конфиденциально	Федеральный закон 152-Ф3

Таблица 7

Результаты ранжирования активов

Наименование актива	Ценность актива (ранг)
Обработка документов (ПО)	1
Обеспечение непрерывной работы (ПО)	2
Обмен корреспонденцией	2
Защита данных (ПО)	3
Управление данными (ПО)	3
Обработка документовː (ПО)	3
Доступ к информационным ресурсам	3
Пользовательские компьютеры	4
Документы	4
Разработка программного обеспечения по конкурсам	5
Сервера	5
Доступ к информационным ресурсам (БД)	5

Активы, имеющие наибольшуюː ценность:

1. Сервера
2. Доступ к информационным ресурсам (БД)
3. Программное обеспечение
4. Документы
5. Компьютеры

   • 1. ː Оценка уязвимостей активов

Уязвимость – некая слабость, которую можноː использовать для нарушения системы или содержащейся в ней информации (определение сформулировано на сонове документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»). Т.е. уязвимыми являются компоненты системы, наиболее подверженные к угрозам.

Согласно описанным выше функциям рассматриваемой ИС наиболее уязвимыми являются программно-аппаратные средства, осуществляющие сбор, передачу, обработку, хранение и другие операции с информацией, в том числе с конфиденциальными и персональными данными.

Производя атаку, нарушительː использует уязвимости информационной системы. Если нет уязвимости, то невозможна и атака, которая использует ее. Поэтому одним из важнейших механизмов защиты является процесс поиска и устранения уязвимостей информационной системы. Для создания базы данных уязвимостей необходимо рассмотреть различные варианты классификаций уязвимостей.

Классификация уязвимостей поː степени риска:

• • высокий уровень риска — уязвимость позволяет атакующему получить доступ к узлу с правами администратора в обход средств защиты;
  • средний уровень риска —ː уязвимость позволяет атакующему получитьː информацию, которая с высокой степенью вероятности позволит получить доступ к узлу;
  • низкий уровень риска —ː уязвимости, позволяющие злоумышленнику осуществлять сбор критической информации о системе.

Такая классификация используется для оценки степени критичности уязвимостей при определении качества защищенности ИС. Этот вариант классификации достаточно условный и разные источники предлагают свои варианты

такой классификации. Соответственно, это очень субъективный метод классификации уязвимостей. Рассмотрим такую классификацию в таблицеː 8.

Таблица 8

Результаты оценки уязвимости активов

Содержаниеː	Группа уязвимости		уязвимостей	Сервера	БД	ПО	Документы	ПК
1				2	3	4	5	6
1. Среда и инфраструктура
Отсутствиеː физической защиты зданий, дверей и окон				низкая	низкая	низкая	низкая	низкая
Неправильноеː или халатное использованиеː физических средств управления доступом вː здания, помещения				средняя	низкая	низкая	средняя	высокая
Нестабильная работа электросети				средняя	средняя	средняя	средняя	средняя
Размещениеː затопления	в	зонах	возможного	низкая	низкая	низкая	низкая	низкая
2. Аппаратноеː обеспечение
Подверженность колебаниям напряжения				низкая	средняя	средняя	низкая	низкая
Подверженность температурным колебаниям				средняя	низкая	низкая	низкая	низкая
Подверженность воздействию влаги, пыли, загрязнения				средняя	низкая	низкая	низкая	низкая
Чувствительность к воздействию электромагнитного излучения				низкая	средняя	средняя	низкая	низкая
Недостаточноеː обслуживание/неправильная инсталляция запоминающих сред				низкая	средняя	средняя	низкая	низкая
Отсутствиеː контроля за эффективным изменением конфигурации				низкая	низкая	средняя	средняя	средняя
3. Программное обеспечение
Неясные или неполные техническиеː требования к разработке средств программного обеспечения				низкая	низкая	средняя	высокое	низкая
Отсутствие тестирования или недостаточное тестированиеː программногоː обеспечения				низкая	средняя	средняя	средняя	средняя
Сложный пользовательский интерфейс				низкая	низкая	средняя	высокая	низкая
Отсутствиеː механизмов идентификации и аутентификации, например аутентификации пользователей				низкая	средняя	низкая	низкая	низкая
Отсутствие аудиторской проверки				низкая	низкая	низкая	низкая	средняя
Хорошоː известныеː дефекты программногоː обеспечения				низкая	низкая	низкая	низкая	низкая
Незащищенные таблицы паролей				низкая	низкая	низкая	низкая	низкая
Плохое управление паролями				низкая	низкая	низкая	низкая	низкая
Неправильное присвоениеː прав доступа				низкая	низкая	низкая	низкая	низкая
Неконтролируемая загрузка и использование программного обеспечения				низкая	низкая	низкая	средняя	средняя

Отсутствие регистрации конца сеанса при выходе с рабочей станции	низкая	низкая	низкая	низкая	низкая
Отсутствие эффективногоː контроля внесения изменений	низкая	низкая	средняя	средняя	низкая
Отсутствие документации	низкая	средняя	средняя	средняя	низкая
Отсутствиеː резервных копий	низкая	низкая	средняя	средняя	низкая
Списание или повторноеː использованиеː запоминающих сред безː надлежащегоː стирания записей	низкая	низкая	низкая	низкая	низкая
4. Коммуникации
Незащищенные линии связи	низкая	низкая	низкая	средняя	низкая
Неудовлетворительная стыковка кабелей	низкая	низкая	низкая	низкая	низкая

Продолжение таблицы 8

1	2	3	4	5	6
Отсутствие идентификации и аутентификации отправителя и получателя	низкая	низкая	низкая	низкая	низкая
Пересылка паролей открытым текстом	низкая	низкая	низкая	низкая	низкая
Отсутствие подтверждений посылки или получения сообщения	низкая	низкая	низкая	средняя	низкая
Коммутируемые линии	низкая	низкая	низкая	низкая	низкая
Незащищенные потоки конфиденциальной информации	низкая	низкая	низкая	средняя	низкая
Неадекватноеː управление сетью	низкая	средняя	средняя	средняя	низкая
Незащищенные подключения к сетям общего пользования	низкая	низкая	низкая	низкая	низкая
5. Документы (документооборот)
Хранение вː незащищенных местах	низкая	средняя	средняя	низкая	низкая
Недостаточная внимательностьː при уничтожении	низкая	средняя	высокая	средняя	низкая
Бесконтрольноеː копирование	низкая	высокая	высокая	низкая	низкая
6.Персонал
Отсутствиеː персонала	низкая	низкая	низкая	низкая	низкая
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	низкая	низкая	низкая	средняя	средняя
Недостаточная подготовка персонала по вопросам обеспечения безопасности	низкая	низкая	средняя	средняя	низкая
Отсутствие необходимых знаний поː вопросам безопасности	низкая	средняя	средняя	средняя	низкая
Неправильноеː использованиеː программно- аппаратногоː обеспечения	низкая	средняя	средняя	средняя	низкая
Отсутствие механизмов отслеживания	низкая	низкая	низкая	низкая	низкая
Отсутствие политики правильногоː пользования телекоммуникационными системами для обмена сообщениями	низкая	низкая	низкая	низкая	низкая
Несоответствующие процедуры набора кадров	низкая	низкая	низкая	средняя	низкая
7. Общиеː уязвимые места
Отказː системы вследствие отказа одного из элементов	средняя	средняя	средняя	низкая	средняя
Неадекватные результаты проведения технического обслуживания	средняя	низкая	низкая	низкая	средняя

• • 1. Оценка угроз активам

Сегодня уже не толькоː крупные, но и среднего размера предприятия задумываются оː переходе к управлениюː информационной безопасностью (ИБ) на основе анализа информационных рисков. Имея понимание размеров возможного ущерба при нарушениях ИБ, гораздоː проще планироватьː материальные и другие ресурсы для выстраивания системы управления информационными рисками. Однако необходимоː учесть, что выстраивать такую систему следует постепенно, а попытка с первого раза получитьː подробную карту рисков сː монетарной оценкой размера ущерба может потребовать слишком большого объема ресурсов, и проект по оценке рисков в этом случае может просто не завершиться, увязнув в детализации.

Согласно ГОСТ Р 50922-2006 угрозой безопасности информации называется совокупность условий и факторов, создающих потенциальнуюː или реальноː существующую опасность нарушения информационной безопасности (ИБ). Атакой называется воздействие на компоненты ИС, приводящее к утрате, уничтожениюː информационного ресурса или сбою функционирования носителя информации или средства управления программно-аппаратным комплексом системы.

Таким образом, атака –ː это реализация угрозы.В настоящее время существует классификация угроз по различным признакам, таким как: природа возникновения, цель воздействия на АС, степень преднамеренности возникновения, положение источника угрозы, этап доступа пользователей или программ к ресурсам АС и т.д.

Для оценки вероятности реализации угрозы может использоваться трехуровневая качественная шкала:

Н–ː низкая вероятность. Маловероятно, чтоː эта угроза осуществится, не существует инцидентов, статистики, мотивовː и т.п., которые указывали бы на то, чтоː это может произойти. Ожидаемая частота реализации угрозы не превышает 1 раза вː 5–10 лет.

С– средняя вероятность. Возможно, эта угроза осуществится (в прошлом происходили инциденты), или существует статистика или другая информация, указывающая на то, что такие или подобные угрозы иногда осуществлялись прежде, или существуют признаки того, что у атакующегоː могут быть определенные причины

для реализации таких действий. Ожидаемая частота реализации угрозы –ː примерноː

один раз вː год.

В–ː высокая вероятность. Эта угроза, скорееː всего, осуществится. Существуют инциденты, статистика или другая информация, указывающая на то, чтоː угроза, скорее всего, осуществится, или могут существовать серьезные причины или мотивы для атакующего, чтобы осуществитьː такие действия. Ожидаемая частота реализации угрозы – еженедельноː или чаще.

Такой трехуровневой шкалы обычно достаточно для первоначальной высокоуровневой оценки угроз. В дальнейшем ее можно расширить, добавивː еще пару промежуточных уровней.

Угрозы нарушения ИБː после загрузки ОС направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционнуюː среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, БД), так и специально созданными для выполнения несанкционированногоː доступа программами, напримерː программами просмотра и модификации реестра, программами поиска текстов вː текстовых файлах по ключевым словам и копирования, специальными программами просмотра и копирования записей в базах данных, программами быстрого просмотра графических файлов, их редактирования или копирования, программами поддержки возможностей реконфигурации программной среды (настройки ИС вː интересах нарушителя), так и специальноː созданными для выполнения несанкционированного доступа программами, например программами просмотра и модификации реестра, программами поиска текстов вː текстовых файлах поː ключевым словам и копирования, специальными программами просмотра и копирования записей в базах данных, программами быстрого просмотра графических файлов, их редактирования или копирования, программами поддержки возможностей реконфигурации программной среды (настройки ИС в интересах нарушителя).

Угрозы активов указаны в таблице 11 основанной на требованиях стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 (Приложение С). В приложении С указаны

угрозы, обусловленные преднамеренными действиями, обозначены в перечне буквой D, угрозы, обусловленные случайными действиями, —ː A и угрозы, обусловленные естественными причинами, — E. Таким образом, буквой D обозначают все преднамеренные действия, объектами которых являются активы информационных технологий, буквой A — все совершаемые людьми действия, которые могут случайноː нанести вред активам информационных технологий, буквой E —ː инциденты, не основанные на действиях, совершаемых людьми.

Таблица 9

Угрозы

Наименованиеː возможных и вероятных угроз	Классы угроз
Землетрясение	Е
Затопление	D, A, E
Ураган	Е
Попаданиеː молнии	Е
Забастовка	D, A
Пожар	D, A
Намеренное повреждение	D
Неисправности в системе электроснабжения	A
Неисправности вː системе водоснабжения	A
Неисправности в системе кондиционирования воздуха	D, A
Аппаратные отказы	A
Колебания напряжения	A, E
Экстремальные величины температуры и влажности	D, A, E
Воздействие пыли	E
Электромагнитное излучение	D, A, E
Наименованиеː возможных и вероятных угроз	Классы угроз
Статическоеː электричество	E
Кража	D
Несанкционированное использование носителей данных	D
Ухудшение состояния носителей данных	E
Ошибка обслуживающегоː персонала	D, A
Ошибка при обслуживании	D, A
Программные сбои	D, A
Использование программногоː обеспечения несанкционированными пользователями	D, A
Вредоносное программное обеспечение	D, A
Незаконный импорт/экспорт программного обеспечения	D
Ошибка операторов	D, A
Ошибка при обслуживании	D, A
Доступ несанкционированных пользователей к сети	D

Технические неисправности сетевых компонентов	A
Ошибки передачи	A
Повреждение линий	D, A
Несанкционированное проникновение к средствам связи	D
Анализ трафика	D
Направлениеː сообщений по ошибочному адресу	A
Изменение маршрута направления сообщений	D
Изменениеː смысла переданной информации	D
Сбои вː функционировании услуг связи (например, сетевых услуг)	D, A
Недостаточная численность персонала	A
Ошибки пользователей	D, A
Ненадлежащее использование ресурсов предприятия	D, A

Угрозы активов указаны в таблице 10.

Результаты оценки угроз активам

Таблица 10

Группа угроз Содержание угроз	Сервера	БД	ПО	Документы	ПК
1	2	3	4	5	6
1. Угрозы, обусловленныеː преднамеренными действиями
Затопление	низкая	низкая	низкая	низкая	низкая
Забастовка	низкая	низкая	низкая	низкая	низкая
Бомбовая атака	низкая	низкая	низкая	низкая	низкая
Применениеː оружия	низкая	низкая	низкая	низкая	низкая
Пожар	низкая	низкая	низкая	низкая	низкая
Намеренноеː повреждение	низкая	низкая	средняя	средняя	средняя
Неисправности в системе кондиционирования воздуха	низкая	низкая	низкая	низкая	низкая
Экстремальные величины температуры и влажности	низкая	низкая	низкая	низкая	низкая
Электромагнитное излучение	низкая	средняя	средняя	средняя	низкая
Кража	низкая	средняя	низкая	средняя	низкая
Несанкционированноеː использование носителей данных	низкая	средняя	низкая	низкая	низкая
Ошибка обслуживающего персонала	низкая	низкая	средняя	низкая	низкая
Ошибка при обслуживании	низкая	низкая	низкая	низкая	низкая
Программныеː сбои	низкая	средняя	низкая	низкая	низкая
Использование программного обеспечения несанкционированными пользователями	низкая	средняя	низкая	низкая	низкая
Использование программного обеспечения несанкционированным способом	низкая	средняя	низкая	низкая	низкая
Нелегальноеː проникновение злоумышленников под видом санкционированных пользователей	низкая	низкая	низкая	низкая	низкая
Незаконноеː использование программногоː обеспечения	низкая	низкая	низкая	низкая	низкая

Вредоносное программное обеспечение	низкая	низкая	низкая	низкая	низкая
Незаконный импорт/экспорт программногоː обеспечения	низкая	средняя	низкая	низкая	низкая
Ошибка операторов	низкая	низкая	высокая	высокая	низкая
Ошибка при обслуживании	низкая	низкая	низкая	низкая	низкая
Доступ несанкционированных пользователей к сети	низкая	низкая	низкая	средняя	низкая
Использование сетевых средств несанкционированным способом	низкая	низкая	низкая	низкая	низкая
Повреждение линий	средняя	низкая	низкая	средняя	низкая
Перегруженный трафик	средняя	высокая	средняя	высокая	низкая
Перехват информации	низкая	средняя	низкая	средняя	низкая
Несанкционированноеː проникновение к средствам связи	низкая	низкая	низкая	низкая	низкая
Анализː трафика	низкая	низкая	низкая	средний	низкая
Изменение маршрута направления сообщений	низкая	низкая	низкая	низкая	низкая
Изменение смысла переданной информации	низкая	низкая	средняя	средняя	низкая
Сбои вː функционировании услуг связи (например сетевых услуг)	низкая	средняя	средняя	средняя	низкая
Ошибки пользователей	низкая	низкая	высокая	высокая	низкая

Продолжение таблицы 10

1	2	3	4	5	6
Ненадлежащее использование ресурсов	низкая	высокая	высокая	высокая	низкая
2. Угрозы, обусловленные случайными действиями
Затопление	низкая	низкая	низкая	низкая	низкая
Забастовка	низкая	низкая	низкая	низкая	низкая
Бомбовая атака	низкая	низкая	низкая	низкая	низкая
Применение оружия	низкая	низкая	низкая	низкая	низкая
Пожар	низкая	низкая	низкая	низкая	низкая
Неисправности в системе электроснабжения	низкая	низкая	низкая	низкая	низкая
Неисправности в системеː водоснабжения	низкая	низкая	низкая	низкая	низкая
Неисправности в системе кондиционирования воздуха	низкая	низкая	низкая	низкая	низкая
Аппаратные отказы	низкая	низкая	низкая	низкая	низкая
Колебания напряжения	низкая	средняя	средняя	средняя	низкая
Экстремальные величины температуры и влажности	низкая	низкая	низкая	низкая	низкая
Электромагнитноеː излучение	низкая	низкая	низкая	низкая	низкая
Ошибка обслуживающего персонала	низкая	низкая	средняя	низкая	низкая
Ошибка при обслуживании	низкая	низкая	средняя	низкая	низкая
Программныеː сбои	низкая	низкая	низкая	низкая	низкая
Использование программногоː обеспечения несанкционированными пользователями	низкая	низкая	низкая	низкая	низкая
Использование программногоː обеспечения несанкционированным способом	низкая	низкая	низкая	низкая	низкая
Незаконное использованиеː программного обеспечения	низкая	низкая	низкая	низкая	низкая

Вредоносное программное обеспечение	низкая	низкая	низкая	низкая	низкая
Ошибка операторов	низкая	низкая	средняя	средняя	низкая
Ошибка при обслуживании	низкая	низкая	низкая	низкая	низкая
Технические неисправности сетевых компонентов	низкая	низкая	низкая	низкая	средняя
Ошибки передачи	низкая	низкая	низкая	средняя	низкая
Повреждение линий	низкая	низкая	низкая	низкая	низкая
Перегруженный трафик	средняя	средняя	низкая	низкая	низкая
Направление сообщений поː ошибочному адресу	низкая	низкая	низкая	средняя	низкая
Сбои в функционировании услуг связи (напримерː сетевых услуг)	низкая	низкая	низкая	низкая	низкая
Недостаточная численность персонала	низкая	низкая	низкая	низкая	низкая
Ошибки пользователей	низкая	низкая	средняя	средняя	низкая
Ненадлежащее использованиеː ресурсов	низкая	низкая	низкая	низкая	низкая
3. Угрозы, обусловленныеː естественными причинами (природные, техногенныеː факторы)
Землетрясение	низкая	низкая	низкая	низкая	низкая
Затопление	низкая	низкая	низкая	низкая	низкая
Ураган	низкая	низкая	низкая	низкая	низкая
Попадание молнии	низкая	низкая	низкая	низкая	низкая
Колебания напряжения	низкая	низкая	низкая	низкая	низкая
Экстремальные величины температуры и влажности	средняя	низкая	низкая	низкая	средняя
Воздействие пыли	средняя	низкая	низкая	низкая	средняя
Электромагнитное излучение	низкая	низкая	низкая	низкая	низкая
Статическоеː электричество	низкая	низкая	низкая	низкая	низкая
Ухудшениеː состояния носителей данных	средняя	низкая	низкая	низкая	средняя

Одной из главных задач при разработке системы защиты информации является построение модели угроз. Это позволяет в полном объеме оценить слабые места автоматизированной системы. В соответствии с пунктом 2 статьи 19-ФЗ «Оː персональных данных» обеспечение безопасности персональных данных достигается, в частности определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных, т.е. разработкой модели угроз.

Основными группами угроз, на противостояние которым направлены цели и требования безопасности, являются:

1. Угрозы, связанные с осуществлением несанкционированного доступа (ознакомления) с информацией, содержащей сведения о проектах и участниках, при ее обработке и хранении.
2. Угрозы, связанныеː с несанкционированным копированием (хищением)ː информации, содержащей сведения о проектах (в том числе БД проектовː в целом).
3. Угрозы, связанные сː осуществлением доступа к информации, содержащей сведения о проектах и участниках, без разрешения на тоː ее владельца (субъектов проекта).
4. Угрозы, связанные с нарушением доступности информации, содержащей сведения о проектах, передаваемой заинтересованным лицам.
5. Угрозы, связанные сː перехватом информации, содержащей сведения оː проектах, из каналов передачи данных сː использованием специализированных программно-технических средств.
6. Угрозы, связанные с потерей (утратой) информации, содержащей сведения о проектах, вследствие сбоев (отказов) программного и аппаратногоː обеспечения.
7. Угрозы, связанные с нарушением согласованности данных, принимаемых от источников проектов, помещаемых в БД проектов и выдаваемых в Центральный Каталог Проектов, а также помещаемых в дополнительную часть проекта (в случае обновления проекта).
8. Угрозы, связанные с отрицанием фактов отправления запросов на получение проектовː и фактов получения проектов.
9. Угрозы, связанные с внедрением компьютерных вирусов и другого вредоносного программного обеспечения.
10. Угрозы, связанные с осуществление несанкционированных информационных воздействий (направленных на «отказ вː обслуживании» для сервисов, модификацию конфигурационных данных программно-аппаратных средств, подбор аутентификационной информации и т.п.).

Модель угроз является обязательным пунктом вː построении системы защиты информации. Данная мера необходима для выявления слабых мест АИС СОНКО, эффективной постановки задачи.

Из вышеперечисленного списка угрозː можно сделать вывод, что основными направлениями разработки системы защиты информации будут защита от НСД при приеме, передачи и хранении конфиденциальной информации.

В приложениях 1-4 приведен паспорт помещений, схема расположения помещений, изображена компьютерная сеть и угрозы.

• • 1. Оценка существующих и планируемых средств защиты

В организации АНО «КПЦ «Виват» существует 2 сети: открытая и закрытая. В открытой сети находятся компьютеры с интернетом, и компьютеры подразделений, не работающих с конфиденциальными данными. В закрытой сети подключены компьютеры, на которых работают с закрытой информацией.

Закрытая сеть не имеет связи с открытой сетью, что делают компьютеры, находящиеся в данной сети, абсолютно недосягаемыми из интернета, однако это не делает ее абсолютно защищенной.

Рисунок 1. Основная часть технической архитектуры предприятия.

Так же на предприятии расположен собственный Web-Сервер с размещенным на нем сайтом предприятия. Этот сервер помимо сайта осуществляет раздачу интернета по средствам прокси-сервера на некоторые компьютеры в открытой сети, а также обеспечивает работу почтового клиента MS Outlook. Сервер еще осуществляет обновление БД антивируса.

Неполная программная архитектура предприятия представлена на рисунке 2.

Internet

Страж NT

Страж NT

Данные компьютеров: 256-битный ключ доступа, политика безопасности, инициалы пользователей, сетевое расположение, одобренные/ запрещенные приложения.

Разделы открытые в сети

TP

TCP:

Http/

Страж NT

xx3

MS SQL

Server 2005

DBF-

файлы

Рабочие ПК операторов

Windows

ПО «СПД»

Страж NT

TCP:xxx2

Windows Server

TCP:x

Сервер БД

xxx1

Windows Server

Windows Server

Файловый сервер

Сервер аутентификации

Рабочие ПК закрытой сети в научно- исследовательских центрах

Модуль ПО

«СПД» для чтения данных

Windows

Страж NT

Рабочие ПК в бухгалтерии

Windows

MS

Office

Internet Explorer

Https

SM

POP-

Сервер

Прокси- Cервер

IIS

Windows Server

Web-сервер

Рабочие ПК открытой сети в научно-исследовательских центрах

Internet

Explorer MS Outlook

MS Office

Windows

ASP.Net

PHP

FastCGI

MS

Office

MS

Office

1С:

Бухгалтерия

MS Outlook

Рисунок 2. Основная часть программной архитектуры предприятия.

Таблица 11

Анализ выполнения основных задач по обеспечению информационной

безопасности

Основные задачи по обеспечению информационной безопасности	Степень выполнения
обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся конфиденциальной	средняя
организация работы по правовой, организационной и инженерно- технической (физической, аппаратной, программной и математической) защите конфиденциальной информации	высокая
организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся конфиденциальными	высокая
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, являющимися конфиденциальными	средняя
выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной деятельности и в экстремальных (авария, пожар и др.) ситуациях	высокая
обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством, в том числе на национальном и международном уровне	средняя
обеспечение охраны территории, зданий помещений, с защищаемой	средняя

информацией.

Аппаратно-программный комплекс защиты конфиденциальной информации включает в себя следующие средства:

1. Электронный замок «Соболь».

Идентификация и аутентификация; контроль целостности; аппаратный ДСЧ; регистрация попыток доступа; доверенная загрузка.

1. СКЗИ Верба-OW.

Реализована возможность формирования и проверки цифровой подписи (ЦП)ː в соответствии с требованиями ГОСТ Р. 34.10-2001 (алгоритм, основанный на эллиптических кривых); в библиотеке имеется функция генерации ключей (verbа_key_gen); обеспечена возможность проверки ЦП ГОСТ Р 34.10-94ː под сообщением в формате PKCS#7 с использованием сертификата открытого ключа в формате X.509, сформированного СКЗИ «КриптоПроː CSP».

1. СКЗИ Secret Disk Server NG.

Обеспечивает защиту от несанкционированногоː доступа баз данных, корпоративной почты и другой информации на дисках сервера; двухфакторную аутентификацию администраторов с помощью электронных ключей; предоставление доступа к конфиденциальным данным толькоː доверенным сотрудникам; многопользовательскую работу с защищёнными данными; экстренную блокировку доступа к данным; возможность использования сертифицированных криптопровайдеров; надёжную защиту баз данных 1С; поддержку Microsoft Windows Server 2012 R2.

1. Ключевой носитель eToken Pro 32k.

Техническое средство, предназначенное для корректной аутентификации, безопасного хранения конфиденциальных данных, выполнения криптографических вычислений и работы с асимметричными ключами и цифровыми сертификатами.

1. Средство создания модели системы разграничения доступа «Ревизор 1-ХР». Обеспечивает автоматическое сканирование локальных логических дисков, доступных сетевых папок; автоматическое считывание установленных прав доступа

файловой системы NTFS (для АРМ под управлением ОС семейства Windowsː NT); построение по результатам сканирования дерева ресурсов, соответствующегоː структуре ресурсов АРМ и ЛВС; автоматическое получение списка локальных и доменных пользователей (для АРМ под управлением ОС семейства Windows NT); ручную регистрациюː в ПРД пользователей и установка их уровней доступа; установка прав доступа пользователей к объектам доступа, а также грифов секретности объектов доступа; отображение всей информации, содержащейся вː ПРД, в удобной форме; создание отчетов на основе информации о субъектах и объектах доступа.

1. Средство контроля защищенности от НСД «Ревизор 2-ХР».

Обеспечивает отображение всей информации, содержащейся вː ПРД (возможен только просмотр); сравнениеː структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов; создание отчета по результатам сравнения; построение плана тестирования объектов АРМ; проверка реальных прав доступа пользователей к объектам доступа; создание отчета поː результатам тестирования.

1. Сетевой сканер «Ревизор Сети».

Предназначен для обнаружения уязвимостей установленного сетевогоː программногоː и аппаратного обеспечения, использующегоː протоколы стека TCP/IP.

1. Средство фиксации и контроля исходного состояния программного комплекса «ФИКС».

Обеспечивает фиксацию исходного состояния программного комплекса; контроль исходного состояния программного комплекса; фиксацию и контроль каталогов; контроль различий в заданных файлах (каталогах); возможность работы с длинными именами файлов и именами, содержащими символы кириллицы.

1. Программа поиска и гарантированного уничтожения информации на дисках

«TERRIER».

Обеспечивает выбор диска для поиска ключевых слов; просмотрː содержимого текущего диска; просмотр параметров текущегоː диска; сохранение фрагмента текущегоː диска в файл; копирование фрагмента текущегоː диска в буфер обмена; печать фрагмента текущего диска на принтере; сохранение образа текущегоː диска в

файл; подключение образа диска, сохраненногоː в файл; формирование списковː ключевых слов; выборː параметров поиска ключевых слов; поиск ключевых слов на диске; выборочное гарантированное уничтожение найденных ключевых слов; формирование отчета поː результатам поиска; поиск файла, содержащего найденное ключевое слово; просмотрː журнала событий программы; просмотрː параметровː лицензии программы.

1. Антивирус Dr. Webː Security Suite.
2. Криптомаршрутизаторː (VPN-соединение).

Таким образом, часть угроз может быть устранена имеющимися СКЗИ. Но, следует отметить, чтоː остаются слабые места вː системе, которые не защищены никакими средствами. Задача выполнения данной работы состоит в том, чтобы обеспечить надежной защитой все моменты, описанные вː модели угроз. Для этогоː необходимоː расширить круг используемых средств защиты.

• • 1. ː Оценка рисков

Понятие информационной безопасности неразрывноː связано с рисками для информационных ресурсов, под которыми (рисками)ː понимается возможность нанесения ущерба информационным ресурсам, снижения уровня их защищенности. Риски могут иметь различную природу и характеристики; одной изː основных классификаций рисков для информационной безопасности (так же, как и многих других рисков в экономике и управлении) является их разделение:

• на системные риски – неуправляемые риски, связанные с той средой и технической инфраструктурой, в которой функционируют информационные системы;
• операционные риски – как правило, управляемые риски, связанные с особенностями использования определенных информационных систем, их технической реализации, применяемыми алгоритмами, аппаратными средствами и т.п.

Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Управление рисками, равноː как и выработка собственной политики безопасности, актуально толькоː для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в светеː проанализированного нами ранее российского законодательства в области ИБ).

Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принятьː экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Таким образом, сутьː мероприятий по управлению рисками состоит вː том, чтобы оценить их размер, выработать эффективные и экономичныеː меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).

По отношению к выявленным рискам возможны следующие действия: ликвидация риска (например, за счет устранения причины);

уменьшение риска (например, за счет использования дополнительных защитных средств);

принятие риска (и выработка плана действия в соответствующих условиях). Процесс управления рисками можно разделить на следующие этапы:

1. Выбор анализируемых объектов и уровня детализации их рассмотрения.
2. Выбор методологии оценки рисков.
3. Идентификация активов.
4. Анализː угроз и их последствий, выявление уязвимых мест вː защите.
5. Оценка рисков.
6. Выбор защитных мер.
7. Реализация и проверка выбранных мер.
8. Оценка остаточного риска.

Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные - к оценке рисков.

Риски нужноː контролироватьː постоянно, периодически проводя их переоценку. Отметим, чтоː добросовестно выполненная и тщательно документированная первая оценка может существенноː упростить последующуюː деятельность.

Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты - минимальными. Ранее мы определили пять этаповː жизненного цикла. Краткоː опишем, чтоː может датьː управление рисками на каждом из них.

На этапе закупки (разработки) знание рисков поможет выбратьː соответствующие архитектурные решения, которые играют ключевуюː рольː в обеспечении безопасности.

На этапеː установки выявленные риски следует учитыватьː при конфигурировании, тестировании и проверке ранее сформулированных требований, а полный цикл управления рисками должен предшествоватьː внедрению системы в эксплуатацию.

Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. Вː таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, выбираются те из них, риски для которых заведомо велики или неизвестны.

При идентификации активов, тоː есть тех ресурсов и ценностей, которые организация пытается защитить, следует, конечно, учитывать не толькоː компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а

также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. Выражаясь объектно-ориентированным языком, следует в первуюː очередь описать внешний интерфейс организации, рассматриваемой как абстрактный объект.

Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз.

Методика оценки рисков применяется на основании ценовой шкалы оценки, где каждому риску, для каждого актива сопоставляется появление различных угроз.

Для базовой оценки рисковː достаточно трехуровневой шкалы оценки критичности -ː низкий, средний и высокий уровни. В этом случае оценка каждого уровня вː деньгах будет выполняться на основе принципов.

Пример трехуровневой шкалы с оценкой в денежных единицах представлен в таблице 12.

Таблица 12

Оценка в денежных единицах

Название уровня	Оценка уровня, руб.
Низкий	до 100 тыс.
Средний	от 100 тыс. до 3 млн.
Высокий	свышеː 3 млн.

Принципы оценки критичности каждого указанного актива:

1. информационные активы (или виды информации) оцениваются с точки зрения нанесения компании ущерба от их раскрытия, модификации или недоступности в течение определенного времени;
2. программное обеспечение, материальные ресурсы и сервисы оцениваются, как правило, сː точки зрения их доступности или работоспособности. Т.е. требуется определить, какой ущерб понесет компания при нарушении функционирования данных активов. Например, нарушение системы кондиционирования в течение трех

суток приведет к отказу серверовː компании, к ним будет нарушен доступ, и вследствие этого компания понесет убытки;

1. сотрудники компании с точки зрения конфиденциальности и целостности оцениваются, учитывая их доступ к информационным ресурсам с правами на чтение и на модификацию. Доступность сотрудников оценивается сː точки зрения их отсутствия на рабочем месте. Т.е. оценивается, какой ущерб понесет компания при отсутствии сотрудника в течение определенного периода времени. Здесь важно учесть опыт сотрудника, его квалификацию, выполнение им каких-либо специфичных операций;
2. репутация компании оценивается в связи с информационными ресурсами. Т.е. оценивается, какой ущерб репутации компании будет нанесен в случае нарушения безопасности информации компании.

Оценка риска представляет собой оценку соотношения потенциальных негативных воздействий на деловую деятельностьː в случае нежелательных инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности системы и связанной с ней организации. Величина риска зависит от:

• ценности активов;
• угроз и связанной с ними вероятности возникновения опасного для активовː события;
• легкости реализации угроз в уязвимых местах с оказанием нежелательногоː

воздействия;

• существующих или планируемых средств защиты, снижающих степеньː уязвимости, угроз и нежелательных воздействий.

Ценность активов определялась на основе оценок их владельцев, специалиста по ИТ. Угрозы и уязвимые места определялись ИТ-специалистами.

Существует несколько методов для оценки риска. Важно, чтобы организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые результаты.

Оценивание рисков будет производиться экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей, определенных вː предыдущих пунктах. Для оценивания предлагается таблица сː заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 13).

Таблица 13

Уровеньː угроз и уязвимостей

В случае определения уровня уязвимости из результатов аудита или самооценки для различных процессов и при наличии экспертных оценок уровня соответствующих угроз и ценности активов можно получить меру риска ИБ для каждого процесса (таблица 14).

Таблица 14 Результаты оценки рисков информационным активам организации

Риск	Актив	Ранг риска
Кража	Сервера	6
Несанкционированный доступ	БД	6
Отсутствиеː надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	БД	6
Сбои / ошибки	БД	6
Несанкционированный доступ	Сервера	5
Сбои / ошибки	Сервера	5

Риск	Актив	Ранг риска
Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	БД	5
Сбои / ошибки	ПО	5
Отсутствиеː надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	Документы	5
Кража	ПК	5
Несанкционированный доступ	ПК	5
Сбои / ошибки	ПК	5
Несанкционированный доступ	ПО	4
Несанкционированный доступ	Документы	4
Сбои / ошибки	Документы	4

Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

• • 1. Выборː комплекса задач обеспечения информационной безопасности

Система защиты информации –ː комплекс организационных и технических мер, направленных на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемуюː информацию.

Необходимо разработать систему защиты информации для АИС СОНКО, отвечающей классу защищенности 1Г и классу К3 информационной системы для обработки персональных данных.

Система защиты информации должна обеспечиватьː следующие основные возможности АИС СОНКО и решение задач:

1. Идентификация и аутентификация субъектов и объектов доступа.
2. Управление доступом субъектов и объектов доступа.
3. Регистрация событий безопасности.
4. Антивирусная защита.
5. Обнаружение (предотвращение) вторжений.
6. Контроль защищенности информации.
7. Целостность информации.
8. Доступность информации.
9. Защита технических средств.
10. Защита АИС СОНКО, ее средств, систем связи и передачи данных.

    • 1. Определение места проектируемогоː комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

Требования к продукту.

1. Функциональные требования. СЗИ должна обеспечивать:

1. Установление защищенных каналов связи для передачи и приема конфиденциальной информации.
2. Безопасное хранение конфиденциальной информации вː АИС СОНКО.
3. Санкционированный доступ к АИС СОНКО.
4. Мониторинг уровня безопасности АИС СОНКО (периодическое тестирование функций программных средств, их периодическое обновление и контроль работоспособности).
5. Для сервера – резервное копирование конфиденциальной информации; элементы системы должны иметь возможность динамическогоː резервирования событийной информации в случае отказа каналов связи.

2. Технические требования.

Система защиты информации должна беспрепятственноː обеспечиватьː штатнуюː работу АИС СОНКО. Для этого необходимоː соблюдение следующих функций:

1. Бесперебойность питания.
2. Коррекция при падениях напряжения и повышенном напряжении.
3. Фильтрация и защита от скачков напряжения.
4. Обеспечение санкционированного доступа в охраняемоеː помещение.
5. Требования к качеству.

Система КЗИ должна быть построена полностью с помощьюː сертифицированных лицензированных СКЗИ. Должны быть соблюдены основные функциональные требования к системе.

1. Состав и содержание работ по созданию.

Моделирование угроз АИС СОНКО при передаче, приеме и хранении конфиденциальной информации. Тестирование ужеː имеющейся системы защиты информации. Анализ результатов тестирования. Построение модели новой системы защиты информации на основе собранных данных.

Необходимо:

1. Внедрить систему электронногоː документооборота.
2. Цифровуюː подпись для приема, передачи информации.
3. Шифрование конфиденциальной информации в базе АИС СОНКО. Для АРМ:
4. Применить индивидуальный электронный ключ для каждогоː сотрудника АНО «КПЦ «Виват», имеющего доступ к АИСː СОНКО.
5. Внедритьː технические средства защиты информации от утечки поː каналам связи (телефонные сети, ЛВС).
6. Порядок контроля и внедрения системы

При осуществлении работ по внедрению необходимоː согласовать вновьː установленные оборудование и программы с ранее установленными. Работы должны быть выполнены в строгом соответствии с проектом. Материалы и оборудование должны соответствовать указанным в проекте моделям и наименованиям приборов и программ.

1. Требования к документационному обеспечению.

Необходимо представить отчет о выполнении ТЗ в виде дипломной работы.

Выбор защитных мер

• • 1. Выборː организационных мер.

Сотрудники должны соблюдать меры по обеспечению информационной безопасности, а именно:

По возможности не допускать нахождение посторонних лиц вː помещениях, вː которых ведутся работы сː секретной и конфиденциальной информацией. Если же посторонние лица все же были допущены (уборщицы, электрики, и другие

сотрудники, не относящиеся к данному предприятию, а так же сотрудники, не имеющие соответствующего уровня доступа), то следует следитьː за ними, во избежание утечки информации.

Не передавать закрепленные за сотрудниками ключи для авторизации вː закрытой сети, а так же не передавать пароли пользователей открытой сети, другим сотрудникам. В случае сː ключами каждый сотрудник должен брать его сам из специального сейфа находящийся вː 1 отделе, а поː завершению рабочегоː дня должен положить егоː обратно. Сейфː открывается только ответственным за него сотрудником. Сотрудники закрытой сети не могут пользоваться своими электронными носителями. В случае необходимости в передаче информации из открытой сети вː закрытую и наоборот, следует взять специальные электронные носители,

зарегистрированные вː системе «Страж NT» и хранящиеся в 1 отделе, под расписку.

Кодовые пароли, от дверей вː комнаты, должны знать толькоː администраторы и сотрудники данного отдела. Другие сотрудники, что бы войти в данное помещение, должны позвонить в дверной звонок. Двери сː кодовыми замками должны быть всегда закрыты, за исключением случаев, когда вː отделе находятся сотрудники обслуживающего персонала не относящиеся к данному предприятию (уборщицы, электрики, и др.).

Печатные документы сː грифом «Секретно» должны храниться только вː 1

отделе, остальные документы должны храниться в отведенном для этого месте. Секретные документы берутся операторами под роспись, и должны быть возвращены доː конца рабочего дня.

Интернет должен использоваться толькоː для работы.

Изменять параметры системы «Страж NT»ː может толькоː администраторː

безопасности.

Существуют три стратегий обеспечения информационной безопасности: оборонительная, наступательная и упреждающая.

Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом,

использованию технических средств контроля помещений, вː которых расположено терминальное и серверное оборудование.

Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно- аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышениеː доступности системы с использованием горячего и холодного резервирования.

Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мировогоː передового опыта, проведениеː независимого аудита уровня обеспечения безопасности информационных ресурсов организации.

Для устранения угроз была выбрана оборонительная стратегия, из-за того, что наиболее уязвимым является недостаточная защищенностьː помещений от несанкционированного проникновения.

План поː обеспечению информационной безопасности вː помещениях включает в себя:

Размещение камер вː помещениях, в которых хранятся базы данных, документы и другие ценныеː ресурсы предприятия.

Обеспечение безопасности от угроз считывания побочных электромагнитных излучений.

• • 1. Выбор инженерно-технических мер.

Для решения задач описанных в п.п. 1.3.1 необходимо совершить закупку и установку следующих устройств: камеры, видеорегистратор, а также генераторы шума. Рассмотрим рынок данных устройств:

Видеокамеры (таблица 15);

Видеорегистраторы (таблица 16); Генераторы шума (таблица 17).

Таблица 15

Обзор видеокамер

Наименованиеː устройства	Стоимость /Оптом	Разрешение /чувствительность /фокусное расстояние	Прочее
Цветная купольная видеокамера AV Tech MC27	3280/2620 руб.	600ː ТВЛ. /0,05ː Лк. /3.8ː мм.	ИК-подсветка до 10ː м. Матрица: H.R. Color CCD, 1/3ː дюйма. Числоː эффективных пикселей (PAL): 752*582. Функция «день-ночь», AES, AGC, AWB, Видеосигнал: композитный, 1 В, 75 Ом.
Цветная купольная видеокамера AV Techː MC26	2840/2270 руб.	600ː ТВЛ. /0,1 Лк. /3.6ː мм	ИК-подсветка до 15 м. Матрица: H.R. Color CCD, 1/3ː дюйма. Число эффективных пикселей (PAL): 752*582. Функция «день-ночь», AES, AGC, AWB, BLC, Видеосигнал: композитный, 1 В, 75 Ом.
Цветная купольная видеокамера FE DV82A/15M	3230/2950 руб.	470 ТВЛ. /0,02ː Лк. /4ː –ː 9 мм.	ИК-подсветка до 15 м. Матрица: Sony Super HAD II CCD, 1/3 дюйма. Числоː эффективных пикселей (PAL): 500*582. Функция «день-ночь», AES, AGC, AWB, BLC, Видеосигнал: композитный, 1 В, 75ː Ом.
Цветная купольная видеокамера CNB LBM-21VF	5920/5420 руб.	600ː (ч/б:650)ТВЛ. /0,05ː (ч/б:0,01)Лк. /3.8ː – 9.5 мм	Динамическая ИК-подсветка до 15 м. Матрица: High Sensitivity CCD, 1/3 дюйма. Числоː эффективных пикселей (PAL): 752*582. Функция «день-ночь», AES, AGC, AWB, DNR, SBLC, Flickerless, Priva- cy Zone, Motion Detection, Mirror Function, OSD, Видеосигнал: композитный, 1 В, 75ː Ом.

Описание аббревиатурː используемых в поле «прочее» (таблица 15): ч/бː –ː черно-белый (ночной) режим;

Функция «день-ночь» — автоматическое переключение в черно-белый режим при снижении освещенности;

AES (Automatic Electronic Shutter) — автоматический электронный затвор, скорость срабатывания: 1/50 —ː 1/100000 сек;

AGC (Automaticː Gain Control) —ː автоматическая регулировка усиления видеосигнала;

AWB (Autoː Whiteː Balance) —ː автоматический балансː белого цвета; BLC (Back Light Compensation)ː — компенсация встречной засветки; DNR (Digital Noise Reduction) — цифровая система подавления шумов;

SBLC (Super Back Light Compensation) —ː режим компенсации фоновой засветки;

Flickerless —ː режим подавления мерцания изображения;

Privacy Zone —ː маскировка приватной зоны (возможно запрограммировать 4ː

зоны);

Motion Detection — детекторː движения в поле зрения камеры (возможноː

запрограммировать 4ː зоны);

Mirror Function — режим зеркального отображения по горизонтали;

OSD (Onscreen Display) — экранное менюː на английском и китайском языках

Таблица 16

Обзор видеорегистраторов

Цена (руб.)	Входы /выходы	Сетевые протоколы		Скорость записи (запись) /алгоритм сжатия (кодек) /качество записи
1	2	3		4
STR-1688ː Цифровой видеорегистраторː H.264; 16 каналов
45794.18	Выходы мониторов:	TCP/IP;	HTTP;	400ː изобр./с (352x288 пикс.)
	1 BNC, 1 VGA	DHCP		200 изобр./с (720x288 пикс.)
	Spot-вых: 4ː BNC			100ː изобр./с (720x576 пикс.)
	Аудио: 16/1			/ H.264
	Тревожные: 16ː TTLː / 4ː			/ 4 уровня:
	релейны + 12 TTL			Very High/High/Standard/Low
Прочее: Тип/количествоː HDD: 1 встроенный SATA HDD (вː комплекте), установка 2 дополнительных HDD; Форматы отображения: 1, 4, 9, 13, 16 окон; Режимы воспроизведения: Перемотка вперед/назад (x2, x4, x8, x16, x32), покадровый просмотр, пауза, обратное воспроизведение;

Продолжение таблицы 16

1	2	3	4
DVR1604LE-AS 16-ти канальный цифровой видеорегистратор. Пентаплекс.
11400	Выходы мониторов: 1 TV, BNC, 1 VGA; Аудио: 4/1; Тревожные вх.: 16; Релейные вых.: 3 канала, 30VDC, 1A, NO/NC	TCP/IP; DHCP; Email; UDP; DNS; FTP; IP Filter; PPPOE; DDNS; Alarm Server	D1/4CIF(704Ч576/704Ч480)ː 6ː кад/сек (25 кад/сек - первый и девятый канал); 2CIF(704Ч288/704Ч240)ː , CIF(352Ч288/352Ч240)ː , QCIF(176Ч144/176Ч120) 25 кад/сек /H.264 /6ː выбираемых уровня (6 наивысшый)

Прочее: Жесткий диск HDD: 1 x 3.5” SATA (объемом доː 2 ТБ); Форматы отображения: 1, 4, 8, 9, 16 окон; Режимы воспроизведения: одновременно четыре канала, воспроизведение, пауза, стоп, быстрый просмотр, медленный просмотр, следующий файл, предыдущий файл, следующая камера, предыдущая камера, полноэкранный режим, повтор, выборочноеː резервное копирование
Ai-D365 16-канальный регистратор в корпусеː из сплаваː алюминия
14435	Видео: 16 BNC/ 2 BNC, 1 D-Subː VGA Аудио: 2/1;	TCP/IP; HTTP; PPPoE; DHCP; FTP; DDNS; TSM	60 кадр/сек. (720x480), 120 кадр/сек. (720x240), 240ː кадр/сек. (360x240) (NTSС); 50ː кадр/сек. (720x576), 100ː кадр/сек. (720x288), 200 кадр/сек. (360x288)ː (PAL) /H.264
Прочее: Поддержка жёстких дисков: Поддержка одногоː жесткого диска типа 3,5" SATA доː 2 Тб каждый и более; Режим записи: Ручной режим/постоянная/ поː расписанию/ поː тревоге; Режим воспроизведения: По кадрам. Ускоренноеː воспроизведениеː вперед и назад (до 64х); Функции тревоги: Детекция движения (с конфигурируемой областью и чувствительностью) Потеря изображения Вход датчика 8ː контактов на датчики илиː сигнал TTL/CMOS, выбираемая полярность Отправка e-mail сообщения на стационар
DVR3116. 16-ти канальный цифровой видеорегистратор.
8900	Видео: 16 BNC/ 1 TV BNC, 1 VGA Аудио: 4/1	TCP/IP; UDP; DHCP; DNS; IP Fil- ter; PPPoE; DDNS; FTP; Email; Alarm Server	(D1 - 704x576; CIF -352x288) 6ː кад/с (D1) 25 кад/с (CIF) /H.264
Прочее: Жесткий диск: 1 портː SATA, максимальный объем жесткого диска 2TB; Форматы отображения: 1, 4, 8, 9, 16 окон; Режим записи: Вручную, Поː расписаниюː (Постоянная, По детекции (видеоː детекция: определение движения, пустой экран, потеря видеосигнала), Тревога), Стоп; Приоритет записи: Ручная > Тревога >ː Детекция движения > Постоянная; Функции воспроизведения: Воспроизведение, пауза, стоп, быстрый просмотр, медленный просмотр, следующий файл, предыдущий файл, следующая камера, предыдущая камера, полноэкранный режим, повтор, выборочное резервное копирование, изменение масштаба изображения доː любого размера.

Описание некоторых аббревиатур используемых в таблице 16:

H.264 –ː лицензируемый стандарт сжатия видео, предназначенный для достижения высокой степени сжатия видеопотока при сохранении высокого качества. CIF (Common Intermediate Format) – это формат, используемый для стандартизации вертикального и горизонтального разрешения в пикселях в YCbCr- последовательностях в видеосигнале. В основном используется в системах видеоконференцсвязи и в мобильном телевидении (DVB-H), впервые был предложен

как стандарт для H.261.

D1 – 4CIF (формат CIF увеличенный в 4 раза)

Обзор генераторов шума

Таблица 17

Наименование	Цена (руб.)	Диапазон частот	Прочее
"Гром-ЗИ-4Б", система защиты информации	11000	Первый канал: 0,01 –ː 30ː МГц Второй канал: 0,01 –ː 2000 МГц	Система состоит из генератора шумовой помехи «Гром-ЗИ-4Б», дисконусной антенны «SI-5002.1» и трёх рамочных антенн. Система защиты «Гром-ЗИ-4Б» предназначена для маскировки побочных электромагнитных излучений и наводок (ПЭМИН) средств вычислительной техники.
пространственное зашумлениеː НЭТ "Штора-4"	83570	0,1 –ː 2500ː МГц	Конструктивноː генератор выполнен в металлическом корпусе, камуфлированном в сумке для работы в автономных условиях.
пространственноеː зашумление SELː SELː SP-21 "Баррикада"	11185	0,1 -ː 2000 МГц	Областьː использования – помещения, в которых расположены средства вычислительной техники с информацией от конфиденциальной до содержащей сведения, составляющие государственную тайну.

Выводы

В ходе работы был произведен анализ работы АИС СОНКО, модели угроз данной системы, имеющихся средствː защиты информации. ТЗ было составлено на основании сопоставления анализа модели угроз и имеющихся в организации средств защиты. Был сделан вывод, что есть существенные недостатки в системе защиты, которые могут привести к существенным убыткам в случае их обнаружения.

На основании этих данных вː ТЗ в задачи поставлены теː организационные меры, которые необходимо исполнитьː в первую очередьː для безопасногоː функционирования АИС СОНКО.

ПРОЕКТНАЯ ЧАСТЬ

• 1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.

     1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Современные методы обработки, передачи и хранения информации способствуют появлению угроз, связанных с возможностью потери, искажения и раскрытия конфиденциальной информации. Поэтому обеспечение защиты информации компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

Ниже представлены основные определения защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922-2006 «Защита информации. Основные термины и понятия».

Защита информации — организационные меры, направленные на предотвращение утечки конфиденциальной информации и нежелательных воздействий на защищаемую информацию.

Защита информации от утечки — организационные и технические меры, направленные на предотвращение неконтролируемого распространения/копирования конфиденциальной информации в результате ее разглашения и НСД к ней.

Защита информации от разглашения — организационные и технические меры, направленные на предотвращение несанкционированного доступа к конфиденциальной информации и разглашения ее субъектам, не имеющим права доступа к этой информации.

Защита информации от НСД — организационные и технические меры, направленные на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Система защиты информации — совокупность субъектов и объектов конфиденциальной информации, технических и программных средств защиты информации. Такая система создается и функционирует в соответствии с правилами и нормами, которые устанавливаются соответствующими руководящими актами в области защиты информации в РФ.

Современная автоматизированная система обработки конфиденциальной информации представляет собой сложную систему, состоящую из большогоː числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы [2]:

1. Аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.).
2. Программное обеспечение — различные программы, утилиты и т. д.
3. Данные — различная информация, хранящаяся на дисках, дискетах, в журналах и т.д.
4. Персонал —ː пользователи системы и обслуживающие сотрудники.

Для обеспечения безопасности всех компонентов АС необходим комплексный подход к разработке системы защиты конфиденциальной информации. Так же не стоит забывать и об используемых в процессе построения системы средствах защиты. Все СЗКИ должны быть сертифицированы [3].

Средства защиты конфиденциальной информации, которые используются при организации системы защиты информации, обязательно должны быть сертифицированы в соответствии с государственными стандартами.

Сертификация – процесс сопоставления средств защиты с государственными стандартами, и дальнейшая выдача подтверждения при успешном тестировании [4].

Сертификация средств защиты информации по требованиям безопасности и защиты информации — организационные меры по подтверждению свойств

технических и программных средств защиты информации в соответствии с требованиями государственных стандартов. Согласно требованиям действующего законодательства, обязательной сертификации подлежат средства защиты следующей информации [5]:

1. Сведения, составляющие государственную тайну. Государственная тайна – сведения, которые находятся под защитой государства, в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной областях. Распространение таких данных может нанести ущерб безопасности РФ.
2. Государственные информационные ресурсы.

Государственные информационные ресурсы — находящиеся в собственности государства ресурсы.

1. Персональные данные.

Персональные данные — любая информация, прямо или косвенноː относящаяся к субъекту конфиденциальной информации.

Лицензированием в области защиты информации называется деятельность, которая заключается в передаче/получении прав на проведение различных работ в области защиты информации. Государственная политика РФ в области лицензирования определенных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «Оː лицензировании отдельных видов деятельности».

Лицензия – разрешение на право проведения работ в области безопасности и защиты информации. Лицензия выдается на определенные виды деятельности и действительна в течение 3 лет, по истечении которых осуществляется ее проверка в порядке, который установлен для выдачи лицензии.

Лицензия выдается в том случае, когда предприятие/организация/компания, которое подало заявку на получение лицензии, имеет все необходимые условия для проведения лицензирования. В частности, необходимо иметь производственную

и экспериментальную база, нормативную и методическую документацию, располагать научными и инженерно-техническими сотрудниками [6].

Деятельность по лицензированию в области защиты информации выполняют ФСБː и ФСТЭК России.

Виды деятельности, которые требуют наличия лицензии ФСБː России:

1. Разработка и/или производство средств защиты конфиденциальной информации.
2. Разработка, производство, внедрение и приобретение для продажи специализированных программных и технических средств, которые предназначены для конфиденциального использования конфиденциальной информации индивидуальными предпринимателями и юридическими лицами, которые осуществляют предпринимательскую деятельность.
3. Действия, направленные на выявление радиоэлектронных устройств, которые предназначены для негласного получения конфиденциальной информации в помещениях и технических средствах.
4. Деятельность по распространению криптографических средств.
5. Деятельность, заключающаяся вː обслуживании криптографических средств.
6. Предоставление определенных видов услуг в области шифрования конфиденциальной информации.

Виды деятельности, лицензируемые ФСТЭК России:

1. Деятельностьː по технической защите конфиденциальной информации.
2. Разработка и/или производство средств защиты конфиденциальной информации.

Таким образом, для соблюдения всех правовых аспектов необходимо использовать только сертифицированные СКЗИ для организации системы защиты информации. Также необходимо получить лицензию для работы с конфиденциальной информацией.

• • 1. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Можно выделить основные принципы создания СЗИ [7]:

1. Системный подход к построению системы защиты информации, такой подход включает в себя оптимальное сочетание программных, аппаратных, физических и других средств защиты.
2. Принцип постоянного развития системы. Этот принцип является одним из основных в организации системы защиты информации. Способы взлома конфиденциальной информации постоянно развиваются, поэтому обеспечение защищенности информационной системы не может быть статическим. Это динамический процесс, который заключается в анализе и реализации наиболее рациональных методов, способов и путей преобразования системы защиты.
3. Разделение и сведение полномочий по доступу к защищаемой информации к минимуму.
4. Полный контроль и регистрация попыток НСД. Необходимость идентификация и аутентификация каждогоː пользователя и контролирование его действий с последующим отмечанием фактов совершения различных действий в специализированных журналах. Также ограничение по совершению какого-либо действия в информационной системе без его предварительной регистрации.
5. Обеспечение надежности системы защиты, то есть невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей.
6. Контрольː за корректной работой системы.
7. Обеспечение экономического обоснования использования системы. Этоː выражается вː том, чтоː возможный ущерб от несанкционированного доступа к конфиденциальной информации в ходе реализации угроз значительно превышает над стоимостью разработки и эксплуатации СЗИ [8].

Подводя итог, можно сказать, что построение СЗИ достаточно долгий и трудоемкий процесс. Необходимо учитывать множество аспектовː при разработке

и реализации системы. Это и правовые нормы, обусловленные законодательством РФ, и экономические аспекты непосредственно предприятия, для которого разрабатывается система.

Также не стоит забывать и об используемых средствах защиты конфиденциальной информации. Они должны быть обязательноː сертифицированы и разработаны только органами, имеющими лицензию на данный вид деятельности.

Рисунок 3 - Схема организации СЗИ

На рис. 3 представлена схема взаимодействия компонентов СЗИ. Можно сделать вывод, что такая система всегда находится в динамическом состоянии.

Пути несанкционированного доступа, классификация способовː и средств защиты информации.

Архитектура ЛВС и технология ее функционирования позволяет злоумышленнику находить или специально создавать лазейки для скрытого доступа к информации, причем многообразие и разнообразие даже известных фактов

злоумышленных действий дает достаточные основания предполагать, что таких лазеек существует или может быть созданоː много. Пути несанкционированного получения информации приведены на рисунке 3.

Несанкционированный доступ к информации, находящейся вː ЛВС бывает:

• • косвенным -ː без физическогоː доступа к элементам ЛВС;
  • прямым - с физическим доступом к элементам ЛВС.

В настоящее время существуют следующие пути несанкционированногоː

получения информации (каналы утечки информации):

• • применение подслушивающих устройств;
  • дистанционное фотографирование;
  • перехват электромагнитных излучений;
  • хищение носителей информации и производственных отходов;
  • считывание данных в массивах других пользователей;
  • копирование носителей информации;
  • несанкционированное использование терминалов;
  • маскировка под зарегистрированного пользователя сː помощьюː хищения паролей и других реквизитовː разграничения доступа;
  • использование программных ловушек;
  • получение защищаемых данных сː помощьюː серии разрешенных запросов;
  • использование недостатков языков программирования и операционных систем;
  • преднамеренное включение в библиотеки программ специальных блоков типа “троянских коней”;
  • незаконное подключение к аппаратуре или линиям связи вычислительной системы;
  • злоумышленный вывод из строя механизмовː защиты.

Средства защиты информации.

Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты принято считать:

1. Технические средства - реализуются в виде электрических, электромеханических, электронных устройств. Технические средства подразделяются на:

• • аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой ЛВС по стандартному интерфейсу (схемы контроля информации поː четности, схемы защиты полей памяти поː ключу, специальные регистры);
  • физические -ː реализуются в видеː автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

1. Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации.

В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либоː одного из выше указанных способов защиты, не обеспечивает надежного сохранения информации. Необходим комплексный подход к использованиюː и развитию всех средств и способов защиты информации.

Способы защиты информации.

Способы защиты информации представлены на рисунке 4. Способы защиты информации в ЛВСː включают вː себя следующие элементы:

1. Препятствиеː - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и вː помещения с аппаратурой, носителям информации).
2. Управление доступом - способː защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).

Управление доступом включает следующие функции защиты:

• • идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта поː предъявленному им идентификатору;
  • проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;
  • разрешение и создание условий работы в пределах установленного регламента;
  • регистрацию обращений к защищаемым ресурсам;
  • реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

Рисунок 4 - Способы и средства защиты информации в ЛВС

1. Маскировка - способː защиты информации в ЛВС путем ееː криптографического преобразования. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.
2. Регламентация -ː заключается в разработке и реализации в процессе функционирования ЛВС комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в ЛВС защищаемой информации, при которых возможности несанкционированногоː доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение ЛВС (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала, занятого обработкой информации.
3. Принуждение -ː пользователи и персонал ЛВС вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы защиты информации реализуются применением различных средств защиты, причем различают технические, программные, организационные, законодательные и морально-этические средства.

Организационными средствами защиты называются организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ЛВС для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ЛВС на всех этапах: строительствоː помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционноː или складываются по мере распространения вычислительных средств в данной странеː или обществе. Эти нормы большей частьюː не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц.

Рассмотренные выше средства защиты подразделяются на:

1. формальные -ː выполняющие защитныеː функции строгоː по заранее предусмотренной процедуреː и безː непосредственного участия человека.
2. неформальные -ː такие средства, которые либо определяются целенаправленной деятельностьюː людей, либо регламентируют эту деятельность.

Обеспечение надежной защиты информации предполагает:

1. Обеспечение безопасности информации в ЛВС это есть процессː

непрерывный, заключающийся в систематическом контроле защищенности,

выявлении узких и слабых мест в системеː защиты, обосновании и реализации наиболее рациональных путей совершенствования и развития системы защиты.

1. Безопасность информации в ЛВС может бытьː обеспечена лишь при комплексном использовании всегоː арсенала имеющихся средств защиты.
2. Надлежащую подготовку пользователей и соблюдение ими правил защиты.
3. Ни одна система защиты не считается абсолютно надежной. Надо исходить их того, чтоː может найтись такой искусный злоумышленник, который отыщет лазейку для доступа к информации.

Защита информации в ПЭВМ. Каналы утечки информации.

Защита информации вː ПЭВМ - организованная совокупность правовых мероприятий, средств и методовː (организационных, технических, программных), предотвращающих или снижающих возможность образования каналов утечки, искажения обрабатываемой или хранимой информации в ПЭВМ.

Организационные меры защиты -ː меры общего характера, затрудняющие доступ к ценной информации посторонним лицам, вне зависимости от особенностей способа обработки информации и каналов утечки информации.

Организационно-техническиеː меры защиты - меры, связанные со спецификой каналов утечки и метода обработки информации, но не требующие для своей реализации нестандартных приемов и/или оборудования.

Технические меры защиты - меры, жестко связанные с особенностями каналов утечки и требующие для своей реализации специальных приемов, оборудования или программных средств.

Каналы утечки информации.

Канал утечки информации - совокупность источника информации, материального носителя или среды распространения несущего эту информацию сигнала и средства выделения информации изː сигнала или носителя.

Рисунок 5 - Основные каналы утечки информации при ее обработке на ПЭВМ Известны следующие каналы утечки информации (рисунок 5):

1. Электромагнитный канал. Причиной егоː возникновения является электромагнитное поле, связанное с протеканием электрическогоː тока вː технических средствах обработки информации. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки).

Электромагнитный канал вː своюː очередьː делится на:

• 1. Радиоканал (высокочастотные излучения).
  2. Низкочастотный канал.
  3. Сетевой канал (наводки на провода заземления).
  4. Канал заземления (наводки на провода заземления).
  5. Линейный канал (наводки на линии связи между ПЭВМ).

1. Акустический канал. Он связан сː распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройствː отображения информации.
2. Канал несанкционированного копирования.
3. Канал несанкционированного доступа.

Программные “вирусы” - программы, обладающие свойствами самодублирования и могущие скрыватьː признаки своей работы и причинятьː ущерб информации в ПЭВМ.

Вирусы делятся на:

• • файловые -ː присоединяются к выполняемым файлам;
  • загрузочные -ː размещаются вː загрузочных секторах ПЭВМ.

Организационные и организационно-технические меры защиты информации в системах обработки данных

Организационные меры предусматривают:

1. Ограничение доступа в помещения, в которых происходит обработка конфиденциальной информации.
2. Допуск к решению задач на ПЭВМ по обработке секретной, конфиденциальной информации проверенных должностных лиц, определение порядка проведения работ на ПЭВМ.
3. Хранение магнитных носителей в тщательно закрытых прочных шкафах.
4. Назначение одной или нескольких ПЭВМ для обработки ценной информации и дальнейшая работа только на этих ПЭВМ.
5. Установка дисплея, клавиатуры и принтера таким образом, чтобы исключитьː

просмотр посторонними лицами содержания обрабатываемой информации.

1. Постоянное наблюдение за работой принтера и других устройств вывода на материальных носитель ценной информации.
2. Уничтожение красящих лент или иных материалов, содержащих фрагменты ценной информации.
3. Запрещение ведения переговоровː о непосредственном содержании конфиденциальной информации лицам, занятым ее обработкой.

Организационно-технические меры предполагают:

1. Ограничение доступа внутрь корпуса ПЭВМ путем установления механических запорных устройств.
2. Уничтожение всей информации на винчестере ПЭВМ при ее отправкеː в ремонт с использованием средств низкоуровневого форматирования.
3. Организацию питания ПЭВМ от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр).
4. Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.
5. Размещениеː дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других ПЭВМ, не использующихся для обработки конфиденциальной информации.
6. Отключение ПЭВМ от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации поː сети.
7. Установка принтера и клавиатуры на мягкие прокладки с целью снижения утечки информации поː акустическому каналу.
8. Во время обработки ценной информации на ПЭВМ рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), обрабатывать другую информацию на рядом стоящих ПЭВМ.
9. Уничтожение информации непосредственноː после ее использования.

Основные методы защиты ПЭВМ от утечек информации поː электромагнитному каналу

Основным источником высокочастотного электромагнитного излучения является дисплей. Изображение с егоː экрана можно принимать на расстоянии сотен метров. Полностьюː нейтрализовать утечку можно лишьː сː использованием генераторов шума. Другим способː защиты является использование плазменных или жидкокристаллических дисплеев.

Еще одним надежным способом является полное экранирование помещения стальными, алюминиевыми или изː специальной пластмассы листами толщиной не менее 1 мм с надежным заземлением. На окна в этом случае рекомендуется помещать сотовый фильтрː - алюминиевуюː решетку сː квадратными ячейками размером не более 1 см.

Принтер является источником мощногоː низкочастотного электромагнитного излучения, которое быстро затухает с ростом расстояния. Тем не менее, это излучение также опасно. Борьба с ним крайне затруднена, так как оноː имеет сильнуюː магнитную составляющую, которая плохоː зашумляется и экранируется. Поэтому рекомендуется либо зашумление мощным шумовым сигналом, либо использование струйного или лазерного принтеров, или термопечати.

Оченьː опасны специально встроенные в ПЭВМ передатчики или радиомаяки (закладки - программные или технические средства, облегчающие выделение информации из каналов утечки или нарушающие предписанный алгоритм работы ПЭВМ). По этой же причине не рекомендуется обрабатывать ценную информацию на случайных ПЭВМ и подделках под фирму из развивающихся стран. Если компьютер отсылался в ремонт, то необходимо убедиться, чтоː в нем нет закладок.

Электромагнитное излучение от внешних проводников и кабелей ПЭВМ невелика, но необходимоː следить, чтобы они не пересекались с проводами, выходящими за пределы помещения.

Монтаж заземления от периферийного оборудования необходимо вести вː пределах контролируемой зоны. Нельзя допускать, чтобы заземление пересекалось с другими проводниками. Все соединения ПЭВМ с “внешним миром” необходимо проводить через электрическую развязку.

Основными сервисами безопасности являются:

• идентификация и аутентификация,
• управление доступом,
• протоколированиеː и аудит,
• криптография,
• экранирование.

Идентификация и аутентификация

Идентификацию и аутентификацию можно считатьː основой программно- технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - этоː первая линия обороны, "проходная" информационного пространства организации.

Идентификация позволяет субъекту -ː пользователюː или процессу, действующему от имени определенногоː пользователя, назватьː себя, сообщив своеː имя. Посредством аутентификации вторая сторона убеждается, что субъект действительноː тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить своюː подлинность, если предъявит, по крайней мере, одну изː следующих сущностей:

• нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;
• нечто, чем он владеет: личную карточку или иное устройство аналогичногоː

назначения;

• нечто, чтоː является частьюː егоː самого: голос, отпечатки пальцевː и т.п., тоː естьː свои биометрические характеристики.

Надежная идентификация и аутентификация затруднена по ряду принципиальных причин.

Во-первых, компьютерная система основывается на информации в том виде, вː каком она была получена; строго говоря, источник информации остается неизвестным. Например, злоумышленник мог воспроизвести ранее перехваченныеː данные. Следовательно, необходимо принятьː меры для безопасного ввода и передачи идентификационной и аутентификационной информации; в сетевой среде этоː сопряжено сː особыми трудностями.

Во-вторых, почти все аутентификационные сущности можно узнать, украстьː или подделать.

В-третьих, имеется противоречие между надежностью аутентификации сː одной стороны, и удобствами пользователя и системного администратора с другой. Так, изː соображений безопасности необходимо с определенной частотой проситьː

пользователя повторно вводитьː аутентификационную информациюː (ведь на его местоː мог сесть другой человек), а это повышает вероятность подглядывания за вводом.

В-четвертых, чем надежнее средство защиты, тем оно дороже.

Необходимоː искать компромисс между надежностью, доступностьюː поː цене и удобством использования и администрирования средствː идентификации и аутентификации. Обычноː компромисс достигается за счет комбинирования двух первых изː перечисленных базовых механизмов проверки подлинности.

Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; вː случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность и обеспечивающее наибольшую эффективность, -ː секретные криптографические ключи пользователей.

Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иныеː сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнитьː их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом подбора. Если файл паролей зашифрован, но доступен на чтение, егоː можно перекачатьː к себе на компьютер и попытаться подобратьː пароль, запрограммировавː полный перебор.

Пароли уязвимы по отношению к электронному перехвату -ː это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход

• использование криптографии для шифрования паролей перед передачей поː линиям связи или вообще их неː передавать.

Тем не менее следующие меры позволяют значительно повыситьː надежность парольной защиты:

• наложение технических ограничений (парольː должен быть не слишком коротким, он должен содержатьː буквы, цифры, знаки пунктуации и т.п.);
• управление сроком действия паролей, их периодическая смена;
• ограничение доступа к файлу паролей;
• ограничение числа неудачных попыток входа в систему, что затруднит применение метода подбора;
• обучение и воспитание пользователей;
• использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Устройства контроля биометрических характеристик сложны и недешевы, поэтому пока они применяются только в специфических организациях с высокими требованиями к безопасности.

Оченьː важной и трудной задачей является администрирование службы идентификации и аутентификации. Необходимо постоянноː поддерживать конфиденциальность, целостность и доступность соответствующей информации, чтоː особенно непростоː в сетевой разнородной среде. Целесообразно, наряду с автоматизацией, применитьː максимально возможнуюː централизацию информации. Достичь этогоː можно применяя выделенные серверы проверки подлинности или средства централизованного администрирования. Некоторые операционные системы предлагают сетевые сервисы, которые могут служитьː основой централизации административных данных.

Централизация облегчает работу не только системным администраторам, но и пользователям, поскольку позволяет реализовать важнуюː концепцию единого входа. Единожды пройдя проверку подлинности, пользовательː получает доступ ко всем ресурсам сети в пределах своих полномочий.

Управление доступом

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских

систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект - объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка.

Контроль прав доступа производится разными компонентами программной среды -ː ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением и т.д.

При принятии решения оː предоставлении доступа обычно анализируется следующая информация.

• Идентификаторː субъекта (идентификатор пользователя, сетевой адрес компьютера). Подобные идентификаторы являются основой добровольного управления доступом.
• Атрибуты субъекта (метка безопасности, группа пользователя). Метки безопасности - основа принудительного управления доступом.
• Местоː действия (системная консоль, надежный узел сети).
• Время действия (большинствоː действий целесообразноː разрешать толькоː в рабочее время).
• Внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт).

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в числоː видимых ему объектов только те, к которым он имеет доступ.

Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой наборː возможных событий, но в любом случае их можно подразделить

на внешние - вызванные действиями других сервисов, внутренние - вызванные действиями самого сервиса и клиентские - вызванные действиями пользователей и администраторов.

Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Реализация протоколирования и аудита преследует следующие цели:

• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем. Обеспечение подотчетности важно вː первуюː очередь как средствоː

сдерживания. Если пользователи и администраторы знают, чтоː все их действия

фиксируются, они, возможно, воздержатся от незаконных операций. Если естьː основания подозреватьː какого-либоː пользователя в нечестности, можноː регистрироватьː его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаевː нарушения режима безопасности, но и откат некорректных изменений. Тем самым обеспечивается целостность информации.

Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненногоː ущерба и вернуться к нормальной работе.

Выявление и анализ проблем позволяют помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Криптография

Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации является криптография. Во многих отношениях она занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих изː них и, в тоː же время, последним защитным рубежом.

Различают два основных метода шифрования, называемые симметричными и асимметричными. В первом из них один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Существуют весьма эффективные методы симметричного шифрования. Имеется и стандарт на подобные методы - ГОСТ 28147-

89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования".

Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новуюː проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может публиковаться вместе с адресом пользователя, другой - секретный, применяется для расшифровки и известен только получателю. Самым популярным из асимметричных является метод RSA (Райвест, Шамир, Адлеман), основанный на операциях с большими (100-значными)ː простыми числами и их произведениями.

Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись, или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения -ː открытое и дешифрованное его секретным ключом (естественно, дешифровка незашифрованного сообщения на самом деле естьː форма шифрования). Получатель может зашифровать сː помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными, при этом следует учитывать, чтоː асимметричные методы на 3 - 4 порядка медленнее симметричных. Так, для решения задачи рассылки ключей сообщение сначала симметричноː шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

Криптографические методы позволяют надежно контролироватьː целостностьː информации. В отличиеː от традиционных методов контрольногоː суммирования, способных противостоятьː только случайным ошибкам, криптографическая контрольная сумма (имитовставка), вычисленная с применением секретного ключа, практически исключает все возможности незаметногоː изменения данных.

В последнее время получила распространение разновидностьː симметричного шифрования, основанная на использовании составных ключей. Идея состоит вː том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифровку. Если у правоохранительных органов появляются подозрения относительно лица, использующегоː некоторый ключ, они могут получить половинки ключа и дальше действовать обычным для симметричной расшифровки образом.

Экранирование

Экран -ː это средство разграничения доступа клиентов из одногоː множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.

В простейшем случае экран состоит изː двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует. В более общем случае экран или полупроницаемуюː оболочку удобно представлять себе как последовательностьː фильтров. Каждый из них может задержать данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускаются передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю.

Помимоː функций разграничения доступа экраны осуществляют также протоколирование информационных обменов.

Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобнуюː Internet. Другой пример экрана - устройствоː защиты порта, контролирующее доступ к коммуникационному порту компьютера до и после независимоː от всех прочих системных защитных средств. Экранирование дает

возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

В любой организации найдутся документы и сведения, которые не обязательно знать всем пользователям местной сети. Такая информация должна храниться в специальном каталоге, доступ к которому имеют толькоː уполномоченные лица. Чаще любопытство, чем злой умысел сотрудников заставляют их прочитывать чужие файлы. Одна из причин, по которой в сетях устанавливают систему защиты, состоит в том, чтобы уберечь сетевую информацию от необдуманных действий пользователей.

Организационно-административные методы регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся.

Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

• выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;
• выделение специальных ЭВМ для обработки конфиденциальной информации;
• организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;
• использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;
• организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;
• организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;
• установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;
• разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;
• постоянный контроль за соблюдением установленных требований по защите информации.

В процессе создания организационных - административных мероприятий был создан документ «требования и рекомендации по обеспечению информационной безопасности» (Приложение 5).

Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

• • 1. Структура программно-аппаратногоː комплекса информационной безопасности и защиты информации предприятия

В настоящееː время существует два варианта организации ЭДО:

1. Реализация сː помощьюː сторонних компаний.
2. Реализация сː помощью собственной ЭЦП.

Конечно, первый вариант является более удобным и экономичным, так как все главные функции выполняет сторонняя организация. Так, например, компания

«Такском» предлагает услуги по реализации ЭДО, при этом не требуется приобретения специализированных программ, так как продукт данной компании совместим с любыми бухгалтерскими программами. Но, стоит отметить, что данные услуги направлены на реализацию бухгалтерского ЭДО. Для передачи каких-либо других документов таких средств защиты будет недостаточно.

Сейчас на рынке есть и другие организации, которые предоставляют данные услуги. Рассматривать их нет необходимости, потому чтоː суть работы всех одна и та же, иногда различается набор вспомогательных функций и цены на услуги.

Если рассматриватьː ЭДО только в бухгалтерской среде, то такое решениеː было бы логичным: простота использования, универсальная совместимость сː различными бухгалтерскими программами. Но в нашем случае необходимоː рассмотреть вариант отправки различных документов. Таким образом, вариант с привлечением сторонней организации мы рассматривать не можем.

Второй вариант является более трудоемким, так как необходимо самостоятельно приобрести сертифицированное криптографическое средство, сертификат ЦП и интегрироватьː в АС.

Так как необходимо, чтобы подписаниеː документов (в частности КО) происходилоː автоматически, требуется программное обеспечение, которое можноː былоː бы интегрировать вː АС СОНКО (система бюро написана на языке программирования «Jаvа»). Также необходима функция генерации ключей, формирование ЦП и шифрование данных. Такое средство можно будет применить и к шифрованиюː данных вː базе.

Рынок средств для формирования ЦП, имеющих необходимые лицензии и сертификаты, достаточно мал. Рассмотрим некоторые из них (таблица 18).

Таблица 18

Перечень технических средств для ЦП

Организация	Наименование продукта	Тех. описание	Примечания
1	2ː	3	4
МОː ПНИЭИ	СКЗИ «Верба-OW»ː	К основным функциям относятся: зашифрование/расшифрование файлов/блоковː памяти; одновременноеː зашифрование файлов/блоков памяти в адресː множества абонентов; получение имитовставки для файла/блока памяти; формирование случайного числа заданной длины; формированиеː электронной цифровой подписи файла/блока памяти; проверка ЦП файла/блока памяти; удалениеː подписи; формирование доː 255 ЦП для одних исходных данных; выработка значения хэш-функции файла/блока памяти.	Продукт предоставляется в качествеː готового к использованию ПО.

Продолжение таблицы 18

1	2	3	4
КРИПТО-ПРОː	КриптоПроː CSP	авторизация и обеспечениеː юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедурː формирования и проверки электронной подписи (ЭП) вː соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012); обеспечениеː конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89; обеспечение аутентичности, конфиденциальности и имитозащиты соединений поː протоколу TLS; контроль целостности системного и прикладного программногоː обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования; управлениеː ключевыми элементами системы вː соответствии с регламентом средств защиты.	Функция шифрования данных отсутствует
КРИПТО-ПРОː	КриптоПроː JCP	авторизация и обеспечение юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедурː формирования и проверки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандартами ГОСТ Р 34.11-94/ГОСТ Р 34.11- 2012 и ГОСТ Р 34.10- 2001/ГОСТ Р 34.10-2012; обеспечениеː конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89; обеспечение аутентичности, конфиденциальности и имитозащиты соединений TLS; контроль целостности, системного и прикладного программногоː обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования; управление ключевыми элементами	КриптоПро JCP разработан в соответствии с требованиями интерфейса JCА и может создаватьː новые приложения, которые будут надежно защищены, с использованием инструментария Jаvа такого, как Аpаche XML Security для ЭЦП XML- документов стандарта XMLdsig.

системы в соответствии с регламентом средств защиты.

На данный момент «МО ПНИЭИ»ː и «КРИПТО-ПРО» являются основными поставщиками криптографических средств на рынок ИТ. Из таблицы, приведенной выше, можно сделатьː вывод, что наиболее подходящим вариантом является КриптоПро JCP. Данный продукт предоставляется в качестве набора библиотек, которые можно интегрировать вː АСː СОНКО. Также с помощьюː этой программы можноː осуществлятьː шифрованиеː данных в базе системы, что является одним из определяющих критериев выбора продукта.

Стоит отметить, чтоː в сравнении с ВЕРБА-OW (не предусмотрена покупка лицензии на сервер; лицензия на 1 рабочее место –ː 1500 руб.)ː и КриптоПро CSP (лицензия на сервер – 25000 руб.) стоимость лицензии КриптоПро JCP составляет 20000 руб.

В нашем случае ЦП необходима лишь для того, чтобы обеспечить целостность передаваемой информации. Нет необходимости, чтобы ЦП носила юридическую значимость. Таким образом, мы можем воспользоваться неквалифицированной ЦП, что позволит избежать приобретения сертификата в удостоверяющем центре. Также при согласовании формата сотрудничества сː благотворителями будет необходимо уточнения условий сотрудничества вː плане передачи/приема информации, касаемо проектов. Организация будет обязана предоставлятьː ключи для проверки ЦП.

Для обмена бухгалтерскими документами используется личный кабинет организации в системе. Так как для входа в систему используется логин и пароль, тоː никаких дополнительных подписей счета и акты. Пара логин и пароль может выступатьː в качестве ПЭП. Согласно статье 6, п. 2 ФЗ№63 «Обː электронной подписи» [9]:

Информация в электронной форме, которая подписывается с помощью простой электронной подписью или неквалифицированной электронной подписью, является электронным документом. Такой документ является равнозначным документу на бумажном носителе, который подписан собственноручной подписью. Случаи, вː

которых вышесказанноеː является верным, установлены федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашениями между участниками электронного документооборота. Нормативные правовые акты и соглашения между участниками электронного документооборота, которые подтверждают случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам, представленными на бумажных носителях, подписанных собственноручной подписью, должны предусматривать порядок проверки неквалифицированной электронной подписи. Нормативные правовые акты и соглашения между участниками электронногоː документооборота, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 Федерального закона №63 «Об электронной подписи».

Из всегоː вышеперечисленногоː можноː сделатьː вывод, чтоː для подписания бухгалтерских документов достаточноː логина и пароля при входе в систему (ПЭП), для контроля целостности информации по проектам при приеме/передачи достаточно НЭП, для формирования которой в автоматическом режимеː будет использоваться КриптоПро JCP [10].

Также сː помощью КриптоПроː JCP будет организовано шифрование данных в базе системы. В целях соблюдения коммерческой тайны, алгоритм и текст программы с подключением данных библиотек в исходный код не может быть опубликован в данной работе.

• • 1. ː Контрольный пример реализации проекта и его описание.

Электронный ключ – аппаратное средство, которое предназначено для защиты программного обеспечения и конфиденциальной информации от несанкционированного копирования, нелегального использования и несанкционированного распространения.

Использование таких ключей позволяет усовершенствовать процессы идентификации и аутентификации на локальных рабочих компьютерах сотрудников организации и в корпоративной сети компании. Производители предлагают два варианта ключей: смарт-карты и usbключи. Для нашей системы будет удобнее использование именно usbключей, так как планируется использование на компьютерах рабочих.

Для авторизации на сервере уже используется ключевой носитель eToken Pro 32k. Именно поэтому выбор компании производителя для закупки usb-ключей определить не сложно, тем более ценовые категории различных компаний в данной области существенно не различаются: от 1000 руб. до 2000 руб.

Характеристики eToken Pro: двухфакторная аутентификация – усовершенствованный вид защиты, при которой используется пароль, при этом пользователь авторизуется, предоставляя как минимум два средства аутентификации. Одним из этих средств является token, например, USB-ключ или смарт-карта eToken PRO (Jаvа), а второе – персональный PIN-код пользователя.

В качестве второго критерия идентификации пользователя при использовании электронных USB-ключей и смарт-карт eToken PRO (Jаvа) используются:

1. Цифровые сертификаты, использующие государственный стандарт Х.509 (Public Key Infrаstructure – инфраструктура открытых ключей).
2. Пароли пользователей, коды доступа или прочая информация для осуществления аутентификации, которые хранятся в защищенной памяти token.

Работа с электронными ключами не представляет особой сложности у пользователей ПК любого уровня. Принцип работы с ключами заключается в следующем: ключ присоединяется к определённому интерфейсу компьютера. Далее защищённая программа через специальный драйвер отправляет ему информацию, которая обрабатывается в соответствии с алгоритмом, заданным ранее, и возвращается обратно. Если ключ отправляет верный ответ, то программа продолжает свою работу. В противном случае программа может выполнять различные действия, которые заданы разработчиком. Например, переключаться в демонстрационный режим, блокировать доступ к некоторым функциям.

Таким образом, внедрение в работу подобных ключей является необходимой мерой при построении системы защиты информации. Аутентификации посредством только пароля зачастую бывает недостаточно. Даже пароль более 10 символов достаточно просто взломать, имея доступ к рабочему компьютеру. Наличие электронного ключа существенно усложняет задачу взломщиков.

Как правило, во многих организациях каналам утечки информации по каналам связи (телефонные сети и ЛВС) практически не уделяется внимания. Многие руководители не считают нужным затрачивать на это время и деньги. Однако, для опытных взломщиков не составит никакого труда получить все необходимые данные, используя, например, телефонную сеть. Именно поэтому защита каналов связи является одной из приоритетных задач при построении системы защиты информации.

Защита телефонных сетей

Большую опасность для компании представляет НСД злоумышленников к программным портам АТС через внешние каналы связи. Гарантию того, что в коммутационных станциях отсутствуют не декларированные возможности, может дать экспертиза их принципиальных схем и исходных текстов программного обеспечения, которая проводится только при сертификации изделий по требованиям ФСБ РФ. Большинство иностранных производителей отказываются проходить указанную процедуру, мотивируя свое решение "коммерческой тайной". Таким образом, без каких-либо дополнительных мероприятий по организации защиты телефонных сетей риск взлома сильно возрастает.

Основными техническими средствами для обеспечения защиты от взлома в телефонных сетях являются межстанционные экраны. Принцип работы таких устройств: устройство подключается в разрыв цифровых линий, которые соединяют АТС компании и АТС общего пользования, обеспечивает постоянный контроль всех событий, которые происходят в пользовательских и служебных каналах на фазах установления и разрыва соединения, в состоянии разговора.

Также существуют блокираторы телефонов. Основной их функцией является отслеживание и предотвращение попыток прослушивания через параллельную линию.

Анализаторы телефонных линий можно разделить на два вида: индивидуальные и тестовые комплекты. Индивидуальные сигнализаторы следует устанавливать на заранее проверенную линию. Они служат для контроля параметров телефонной пары. Как правило, подобные сигнализаторы называют «телефонными стражами». Такой страж обычно предоставляется в виде розетки с двумя светодиодами: зеленый означает «Линия чиста», красный означает «Тревога! Параметры линии изменились». Несомненным плюсом таких индивидуальных сигнализаторов является простота эксплуатации, минусом – высокая вероятность ложного срабатывания Тестовые комплекты предназначены как раз для проверки линии специалистами. Такой комплект посылает в линию зондирующий сигнал и анализирует ответный сигнал, по которому определяет наличие в линии каких-либо радиоэлементов, присущих цепям съема и передачи информации.

«Лучшая оборона – это нападение» – таким принципом пользуются устройства активной защиты телефонных линий. Обычно их называют телефонными подавителями. Такое устройство осуществляет зашумление верхнего звукового диапазона, тем самым ухудшая соотношение сигнал/шум на входе устройств. На практике получается, что подавитель шума создает очень громкий звук, что говорить практически невозможно.

Преимущества анализаторов, подавителей и блокираторов гармонично сочетают в себе универсальные устройства защиты телефонных линий. Они работают в двух режимах: обнаружение и подавление. При любом контактном подключении к линии прибор подаст вам сигнал тревоги, после этого можно включить режим подавления. Помеха, которая подается в линию, действует на участке от прибора до АТС, тем самым приводя все средства съема в нерабочее состояние. Такой класс устройств защиты информации от утечки по телефонным линиям является наиболее приемлемым для обеспечения защиты переговоров по телефонным сетям. Главный минус таких приборов – неспособность защитить разговор абонента от системы оперативно-розыскных мероприятий, проводимая субъектами ОРД: ФСБ, СВР, МВД.

От системы оперативно-розыскных мероприятий частично может защитить класс таких устройств защиты телефонных переговоров, как скремблеры.

Телефонные скремблеры – это устройства шифрации/дешифрации речевых переговоров. Так как любой код и шифр можно вскрыть, то скремблеры только снижают ценность раскрытого разговора. Например, вы разговаривали по телефону о какой-либо важной встрече, используя скремблирующее устройство. Разговор был перехвачен, но результаты дешифрации были получены только через какое-либо время после встречи. Таким образом, оперативная ценность информации потеряна. Сам скремблер представляет собой черную (серую, белую) коробку, которую размещают рядом с телефонным аппаратом. Такая же коробка должна быть у всех абонентов, с которыми необходимо засекретить переговоры. Порядок действий со скремблером: вы дозваниваетесь до абонента, оба включаете свои скремблеры, ждете пока они настроятся друг на друга, после чего начинаете разговаривать.

Последний класс приборов защиты телефонной линии это выжигатели средств съема. Работает такое средство достаточно просто: на линию подается малый ток высокого напряжения. Таким образом, все прослушивающие устройства сгорают. Приобретение такого устройства, как правило, себя не оправдывает. Это достаточно дорогостоящее мероприятие, которое должны производить квалифицированные специалисты в данной области. Таким образом, из всех средств защиты и контроля телефонных сетей общего пользования наиболее эффективными по критериям защиты и эксплуатации являются универсальные устройства защиты и скремблеры [11].

Далее рассмотрим некоторые примеры подобных устройств.

«ГИ-1500»: ГИ-1500 - выжигатель устройств съема информации в проводных линиях связи и в обесточенной электросети.

Предназначен для защиты от несанкционированного прослушивания переговоров по телефону и в помещении с помощью устройств, которые работают в проводных линиях или в электросети.

Принцип действия прибора основан на электрическом пробое радиоэлементов. В линию подается мощный короткий высоковольтный импульс, с помощью которого возможно полностью разрушить функциональную деятельность средств съема информации.

Техническое средство защиты телефонных сетей «Гранит-8» - это абонентское устройство защиты информации в телефонных сетях, которое предназначено для защиты информации в телефонной линии от утечки вследствие микрофонного эффекта за счет акустоэлектрических преобразований, а также при высокочастотном навязывании. Устройство защиты телефонных линий представляет собой фильтр, который пропускает сигналы речевого диапазона и ослабляет сигналы высокочастотного навязывания.

Особенности данного устройства: возможность установки фильтра «Гранит-8» на двухпроводные линии; обеспечение защиты информации в телефонной линии от утечки вследствие микрофонного эффекта за счет акустоэлектрических преобразований, а также при высокочастотном навязывании; все элементы схемы устройства защиты телефонных линий защищены электростатическим экраном.

Установка: устанавливается прибор на охраняемом объекте в месте, где он защищен от воздействия атмосферных осадков, механических повреждений и доступа посторонних лиц. Произведите монтаж всех линий, соединяющих прибор с ШС, линиями ПЦН, сетью, извещателями, световым и звуковым оповещателями, голосовым оповещателем, управлением вентиляцией, световым табло в соответствии со схемой внешних соединений.

На рассмотрение этих двух приборов можно остановится, на нашем предприятии как правило важная конфиденциальная информация не передается по телефонным линиям. Поэтому будет достаточно использования прибора Гранит-8. В нем хорошо сочетаются тех. характеристики и стоимость.

Защита ЛВС.

При переходе от работы на ПК к работе в общей корпоративной сети существенно усложняет обеспечение защиты информации в таких сетях. Достаточно взломать один компьютер, как ресурсы всей сети будут открыты.

Самым первым, что необходимо делать при организации защиты ЛВС, это разделить доступ разным категориям сотрудников. В таком случае риск проникновения в ЛВС организации будет значительно меньше.

Конечно, одного разграничения доступа не достаточно. Необходимо прибегать к техническим средствам. Самым распространенным средством для обеспечения защиты в ЛВС являются сетевые фильтры.

Фильтр сетевой «ЛФС-40-1Ф»: предназначен для защиты радиоэлектронных устройств и средств вычислительной техники от утечки информации по цепям электропитания с напряжением до 250 В частотой 50 Гц с максимальным рабочим током 40 А, а также от высокочастотных помех в полосе частот 0,1- 1000 МГц.

Фильтр применяется для обеспечения электромагнитной развязки по цепям электропитания радиоэлектронных устройств, средств вычислительной техники и электросетей промышленных и других объектов [12].

Установка: так как ЛФС-40-1Ф представляет собой высокочастотный фильтр, то его необходимо включать в сеть с напряжением 220В с частотой 50Гц без соблюдения полярности. Для уменьшения связи между входом и выходом элементы фильтра размещены в трех экранированных отсеках, которые образованы стенками и шасси изделия. Устройство выполнено в корпусе из оцинкованной стали. Все элементы смонтированы в электростатическом экране. Режим работы изделия автоматический, круглосуточный.

Программные средства уже предусмотрены в организации, приведены в аналитической части данной работы.

Порядок работ по внедрению.

1. Цифровая подпись.

Для интеграции Sun IdM и КриптоПро JCP:

Сначала необходимо установить IdM.

Потом на сервер следует поставить JCP в соответствии с рекомендациями по установке ПО СКЗИ.

Настроить конфигурацию сервера по документации. (Для установки: securi- ty.nonrepudiation.signedApprovals=true).

Далее необходимо открыть отладочную страницу Identity Manager (http://PathToIDM/debug). Загрузится страница с системными настройками.

В пункте «List Objects» необходимо выбрать из выпадающего меню «Configura- tion» и нажать «List Objects», появится страница «List Objects of type: Configuration». В пункте «System Configuration» необходимо выбрать

«Edit», появится файл содержащий системную конфигурацию. Его необходимо отредактировать, установив «signedApprovals=true».

<Attribute name='nonrepudiation'>

<Object>

<Attribute name='signedApprovals'>

<Boolean>true</Boolean>

</Attribute>

</Object>

</Attribute>

Далее необходимо установить сертификаты из интерфейса администратора. Для этого необходимо в пункте «Администратор» выбрать «Конфигурация» и выбрать «Сертификаты».

Затем необходимо добавить алгоритмы JCP в IdM.

В файле samples_src.jar в каталоге SunIdM находятся две модифицированные формы IdM: «Approval Form.xml» и «Work Item Configuration.xml». В них добавлены параметры «supportedKeyStoreTypes» и «keytypeSignatureMapping» для полей типа

«TransactionSigner».

<Property name='keytypeSignatureMapping' value='DSA=SHA1withDSA,RSA=SHA1withRSA,RSA=MD5withRSA,RSA= MD2withRSA,GOST3410=GOST3411withGOST3410EL'/>

<Property name='supportedKeyStoreTypes' value='JKS,PKCS12,HDImageStore'/>

Далее необходимо установить в поле «supportedKeyStoreTypes» типы хранилищ ключей, которые будут использованы на клиентской машине для подписи. Эти формы необходимо по очереди импортировать в конфигурацию через web-интерфейс (Configure -> Import Exchange File).

Затем необходимо перезагрузить IdM.

Далее следует установка JCP на клиенте. Необходимо подготовить хранилища и ключи, которые будут использоваться для подписи. Указания «Obtain a certificate and private key, and then export them to a PKCS#12 keystore.» необходимо игнорировать.

В СКЗИ КриптоПро JCP ключ зашифрования сообщения совпадает с ключом расшифрования (общий закрытый ключ связи). При зашифровании сообщения пользователя A для пользователя Б общий закрытый ключ связи вырабатывается на основе закрытого ключа шифрования пользователя А и открытого ключа шифрования пользователя Б. Соответственно, для расшифрования этого сообщения пользователем Б формируется общий закрытый ключ связи на основе своего собственного закрытого ключа шифрования и открытого ключа шифрования пользователя А.

Таким образом, для обеспечения связи с другими абонентами каждому абоненту необходимо иметь:

1. собственный закрытый ключ шифрования;
2. открытые ключи шифрования (сертификаты открытых ключей) других пользователей.
   1. Установка «eToken PRO (Jаvа)».

Необходимо установить набор драйверов eToken RTE (версии 3.66) или eToken PKI Client (версии 5.1). Подключать eToken до установки драйвера не надо.

Далее необходимо подключить «Считыватель PC/SC»: панель «КриптоПро CSP», раздел «Оборудование», кнопка «Настроить считыватели» -> «Установить с диска» -> «Сервер КриптоПро».

Подключите «eToken»: панель «КриптоПро CSP», раздел

«Оборудование"», кнопка «Настроить носители» -> «Установить с диска» -> «Сервер КриптоПро».

• 1. Установка «Гранит-8».

Подключение изделия к источнику сигнала и нагрузке осуществляется при помощи клемм, расположенных на печатной плате. Крайние клеммы являются сигнальными, центральные — предназначены для подключения заземления и экранирующих проводов.

• 1. Установка «ЛФС-40-1Ф».

Рекомендуется располагать фильтр руководствуясь следующими принципами: фильтр не должен устанавливаться в помещении с слабой циркуляцией воздуха; прибор не должен располагаться вблизи нагревательных и отопительных конструкций.

Установка: фильтр закрепляется в горизонтальном или вертикальном положении при помощи крепежа для стен или пола. Важно, чтобы поверхность, на которую устанавливается фильтр, была прочной и могла выдерживать вес фильтра долгое время.

Подключение фильтров производится в обесточенном состоянии. Подключение к проводам, проводящим ток, должно осуществляться квалифицированным персоналом, имеющим допуск к работе на электроустановках до 1000 В, с помощью кабельных соединителей ШР28, которые входят в состав сетевых фильтров. Необходимо осуществлять подключение экранированным кабелем. Экраны входного и выходного кабелей должны быть соединены с экранирующими муфтами кабельных соединителей ШР28. Необходимо производить распайку, используя только спиртовые флюсы. Вход фильтра необходимо подключать к сети переменного тока с напряжением 220В и частотой 50Гц. Выход фильтра необходимо подключить к нагрузке. Перед тем, как начинать использование фильтра, необходимо произвести заземление прибора. К клемме заземления надо присоединить медный провод, противоположный конец провода подключить к болту для заземления. Болт для заземления необходимо размещать на шине заземления. Надо организовать контактную площадку для соединения с заземляющим проводником вокруг болта. Болт для заземления и контактная площадка должны быть защищены от коррозии или быть изготовлены из антикоррозийного металла, так же не должны иметь поверхностной окраски. Фильтр лучше располагать вблизи или внутри щита. Вход же изделия необходимо присоединять напрямую из щита к сети. С выхода прибора необходимо протянуть кабель с розетками, которые будут последовательно врезаны. Протянуть его необходимо до СВТ или других электронных устройств [13].

Порядок внесения изменений в руководящие документы.

1. Внесение изменений в договорные отношения с субъектами/пользователями кредитных историй, предусматривающие взаимодействие между субъектами/пользователями и бюро посредством электронного документооборота.
2. Внесение изменений в договорные отношения с субъектами/пользователями проектов на предмет использования ЦП (НЭП) для обеспечения электронного документооборота.
3. Внести изменения в руководящие документы организации, обуславливающие действия в области защиты информации АС СОНКО в связи с использованием ЦП и шифрованием баз данных АС СОНКО.
4. Внести изменения в руководящие документы организации, обуславливающие внешние технические средства защиты информации АС СОНКО в связи использованием средств защиты телефонных сетей и ЛВС.
5. Предоставить план установки средств защиты телефонных сетей и ЛВС

[14].

Внедрение выбранного оборудования будет осуществляться во всех

помещениях организации, на которых оно снимает помещения.

Установка видеокамер будут установлены в следующих помещениях: в серверной комнате, в холе, а также в комнате операторов, переговорной.

Видеорегистратор будет располагаться в кабинете №10. Его рабочий интерфейс изображен на рисунке 6, а на рисунке 7 изображен его программный интерфейс.

Рисунок 6. Рабочий интерфейс видеорегистратора.

Рисунок 7. Программный интерфейс видеорегистратора.

ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА

• 1. Выбор и обоснование методики расчёта экономической эффективности

Экономическая эффективность мероприятий по защите информации может быть определена через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.

Для того, чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять), во-первых, ожидаемые потери при нарушении защищенности информации; во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Для определения уровня затрат

Ri обеспечивающих требуемый уровень

защищенности информации, необходимо по крайней мере знать:

• • 1. полный перечень угроз информации;
    2. потенциальную опасность для информации для каждой из угроз;
    3. размеры затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации (1):

R  10Si Vi 4 i

(1)

где

Si – коэффициент, характеризующий возможную частоту возникновения

соответствующей угрозы;

Vi – коэффициент, характеризующий значение возможного ущерба при ее

возникновении. При выполнении дипломного проекта используем следующие

значения коэффициентов Si и Vi , приведенные в таблице (таблица 19).

Таблица 19

Значения коэффициентов Si и Vi

Ожидаемая (возможная) частота появления угрозы	Предполагаемое значение Si
Почти никогда	0
1 раз вː 1 000ː лет	1
1 раз вː 100ː лет	2
1 раз вː 10ː лет	3
1 раз вː год	4
1 раз в месяц (примерно, 10 раз в год)	5
1-2 раза в неделю (примерно 100 раз в год)	6
3 раза в день (1000 разː в год)	7
Значение возможногоː ущерба при проявлении угрозы, руб.	Предполагаемое значение Vi
30	0
300	1
3 000	2
30 000	3
300 000	4
3 000 000	5
30 000ː 000	6
300 000 000	7

Суммарная стоимость потерь определяется формулой (2):

N R   Ri i1

(2)

где N – количествоː угроз информационным активам.

Оценим потери от угроз:

• угрозы, обусловленные преднамеренными действиями;
• угрозы, обусловленные случайными действиями;
• угрозы, обусловленные естественными причинами (природные, техногенныеː факторы).

Определим значения коэффициентов Si и Vi для информационных активов компании (таблица 20).

Таблица 20

Значения коэффициентов Si и Vi

Актив	Угроза	Si	Vi
1	2	3	4
Персональные данные сотрудников	Несанкционированное использование носителей данных	5	3
	Ошибка обслуживающего персонала	5	2
	Нелегальное проникновение злоумышленника под видом санкционированных пользователей	4	4

Продолжение таблицы 20

1	2	3	4
	Доступ несанкционированных пользователей к сети	4	4
	Перехват информации за пределами контролируемой зоны	5	4
	Ненадлежащееː использование ресурсов	4	3
	Утрата ключей и атрибутовː доступа	4	2
	Ухудшение состояния носителей данных	3	2
	ЭМИ	7	2
Финансовая документация	Несанкционированное использование носителей данных	5	3
	Ошибка обслуживающего персонала	5	2
	Нелегальное проникновениеː злоумышленника под видом санкционированных пользователей	4	4
	Доступ несанкционированных пользователей к сети	4	4
	Перехват информации за пределами контролируемой зоны	5	4
	Ненадлежащее использование ресурсов	4	3
	Утрата ключей и атрибутовː доступа	4	2
	Ухудшение состояния носителей данных	3	2
	Электромагнитное излучение	7	2
Сведения, составляющиеː тайну	Несанкционированное использование носителей данных	5	3
	Ошибка обслуживающего персонала	5	2
	Нелегальное проникновение злоумышленника под видом санкционированных пользователей	4	4
	Доступ несанкционированных пользователей к сети	4	4
	Перехват информации за пределами контролируемой зоны	5	4
	Ненадлежащееː использование ресурсов	4	3
	Утрата ключей и атрибутовː доступа	4	2
	Ухудшение состояния носителей данных	3	2
	Электромагнитное излучение	7	2

Оценка потерь от угроз информационным активам представлена в таблице 21.

Таблица 21 Величины потерь (рисков) для критичных информационных ресурсов до

внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)
1	2	3
Сведения, составляющиеː тайну	Несанкционированноеː использование носителей данных	10
	Ошибка обслуживающего персонала	1
	Нелегальное проникновение злоумышленника под видом санкционированных пользователей	10

Продолжение таблицы 21

1	2	3
	Доступ несанкционированных пользователей к сети	10
	Перехват информации за пределами контролируемой зоны	100
	Ненадлежащее использование ресурсов	1
	Утрата ключей и атрибутовː доступа	0,1
	Ухудшение состояния носителей данных	0,01
	Электромагнитное излучение	100
Финансовая документация	Несанкционированноеː использование носителей данных	10
	Ошибка обслуживающего персонала	1
	Нелегальноеː проникновение злоумышленника под видом санкционированных пользователей	10
	Доступ несанкционированных пользователей к сети	10
	Перехват информации за пределами контролируемой зоны	100
	Ненадлежащее использование ресурсов	1
	Утрата ключей и атрибутовː доступа	0,1
	Ухудшение состояния носителей данных	0,01
	Электромагнитное излучение	100
Персональные данные сотрудников	Несанкционированноеː использование носителей данных	10
	Ошибка обслуживающего персонала	1
	Нелегальное проникновение злоумышленника под видом санкционированных пользователей	10
	Доступ несанкционированных пользователей к сети	10
	Перехват информации за пределами контролируемой зоны	100
	Ненадлежащее использование ресурсов	1
	Утрата ключей и атрибутовː доступа	0,1
	Ухудшение состояния носителей данных	0,01
	Электромагнитное излучение	100
Итого		696,330

После внедрения, частоты появления угроз изменятся (таблица 22). При этом ожидаемые потери от угроз останутся на прежнем уровне [15].

Таблица 22 Содержание и объем разового ресурса, выделяемого на защиту информации

Организационныеː мероприятия
№	Выполняемые действия	Средне-	Трудо-	Стоимость,

п/п		часовая зарплата специалиста (руб.)	емкость операции (чел.-час)	всего (тыс. руб.)
1	Обследованиеː объекта и обоснование необходимости создания СЗИ для АИС СОНКО	300	5	1,5

Продолжение таблицы 22

1	2	3		4	5
2	Постановка целей и задач СЗИ для АИСː СОНКО	300		3	0,9
3	Проектирование системы. Общие положения	300		12	3,6
4	Согласование и утверждение проекта	300		0,5	0,15
5	Подбор оборудования, поиск поставщика, запросː коммерческого предложения	300		8	2,4
6	Составление заявки для согласования по стоимости оборудования/работ	300		0,5	0,15
7	Реализация проекта				0
8	Ввод в эксплуатацию/тестирование	300		4	1,2
9	Составление документации/регламента для пользователей системы	300		16	4,8
10	Составление отчета о проделанной работе	300		4	1,2
Стоимость проведения организационных мероприятий, всего					15,9
Мероприятия инженерно-технической защиты
№ː п/п	Номенклатура СЗИ, расходных материалов	Стоимость, единицы (тыс.руб)	Кол-воː (ед. изм.)		Стоимость, всегоː (тыс.руб.)
1	КриптоПро JCP	20	1 шт.		20
2	eToken PRO (Jаvа)	1,5	15 шт.		22,5
3	Гранит-8	2	10ː шт.		20
4	Фильтрː сетевой «ЛФС-40-1Ф»	30	1 шт.		30
5	Монтаж оборудования, настройка СЗИ	300	200 чел.-час.		60
Стоимость проведения мероприятий инженерно-технической защиты					152,5
Объем разовогоː ресурса, выделяемого на защиту информации					168,4

Описание оборудования.

КриптоПро JCP.

Комплектация: генерация ключей, формирование и проверка ЭЦП, хэширование данных, шифрование.

Предоставляется лицензия на право использования СКЗИ «КриптоПро JCP» на одном сервере с одним или двумя ядрами процессора. КриптоПро JCP функционирует в следующем окружении:

1. виртуальная машина, удовлетворяющая спецификации Sun Java 2 ™ Virtual Machine (машина, на которой написана АС СОНКО);
2. требуется Java 2 Runtime Environment версии 1.4.2, 1.5.0 (для версий 1.x) и

1.6 и выше (для версии 2.x).

eToken PRO (Jаvа).

USB-ключ eToken PRO (Java) архитектурно реализован как USB карт-ридер с встроенной в него микросхемой (чипом) смарт-карты. Ключ выполнен в виде брелка и напрямую подключается к порту USB, при этом не требует для своей работы каких- либо дополнительных устройств [16].

Таблица 23 Содержаниеː и объем постоянного ресурса, выделяемого на защиту информации

Организационные мероприятия
№ п/п	Выполняемыеː действия		Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел.-час)	Стоимость, всегоː (руб.)
1	Проверка системы		300	1,5	450
2	Создание резервной копии БД		300	1	300
3	Администрирование пользователей		300	1	300
Стоимость проведения организационных мероприятий, всего					1050
Мероприятия инженерно-технической защиты
№ п/п		Номенклатура СЗИ, расходных материалов	Стоимость, единицы (руб)	Кол-во (ед.изм.)	Стоимость, всегоː (руб.)
1		Смазка для замков	150	4 кор.	600
Стоимость проведения мероприятий инженерно-технической защиты					600
Объем постоянного ресурса, выделяемого на защиту информации					1650

Таблица 24 Величины потерьː (рисков) для критичных информационных ресурсов

после внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерьː (тыс.руб.)
1	2	3

Сведения, составляющие тайну	Несанкционированное использование носителей данных	10
	Ошибка обслуживающего персонала	1
	Нелегальное проникновениеː злоумышленника под видом санкционированных пользователей	0,1
	Доступ несанкционированных пользователей к сети	0,1
	Ненадлежащее использование ресурсов	1
	Утрата ключей и атрибутовː доступа	0,1
	Ухудшение состояния носителей данных	0,01
	Электромагнитное излучение	100
Финансовая документация	Несанкционированноеː использование носителей данных	10
	Ошибка обслуживающего персонала	1
	Нелегальное проникновение злоумышленника под видом санкционированных пользователей	0,1
	Доступ несанкционированных пользователей к сети	0,1

Продолжение таблицы 24

1	2	3
	Ненадлежащее использование ресурсов	1
	Утрата ключей и атрибутовː доступа	0,1
	Ухудшение состояния носителей данных	0,01
	Электромагнитное излучение	100
Персональные данные сотрудников и клиентов	Несанкционированноеː использование носителей данных	10
	Ошибка обслуживающего персонала	1
	Нелегальное проникновение злоумышленника под видом санкционированных пользователей	0,1
	Доступ несанкционированных пользователей к сети	0,1
	Ненадлежащее использование ресурсов	1
	Утрата ключей и атрибутов доступа	0,1
	Ухудшение состояния носителей данных	0,01
	Электромагнитное излучение	100
Итого		336,93

Расчёт показателей экономической эффективности проекта

Оценим динамику величин потерь за период 1 год.

1. Суммарное значение ресурса, выделенного на защиту информации, составило за год 168400 + 12 ∙ 1650 = 188200 рублей;
2. Объем среднегодовых потерь компании (Rср) из-за инцидентов информационной безопасности составлял 696330 рублей;
3. Прогнозируемый ежегодный объем потерь (Rпрогн) составит 336930 рублей. Динамика потерь представлена в таблице 25.

Таблица 25

Оценка динамики величин потерь

	1 кв.	2 кв.	3 кв.	1 год	5 кв.
До внедрения СЗИ	174000	350000	520000	696330	870330
После внедрения СЗИ	84000	167000	252000	336930	421230
Снижение потерь	90000	183000	268000	359400	449100

Таким образом, после принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы:

R TОК     RСР  RПрогн

(1)

По полученным данным:

T  

188200

  0,5 года

ОК 696330  336930

Выводы

Экономическая эффективность мероприятий по защите информации

определяется, исходя из ожидаемых потерь при нарушении защищенности информации и зависимости между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

На основе анализа возможных угроз и размер трат для их нейтрализации было определено, что срок окупаемости проекта составляет около 6 месяцев.

ЗАКЛЮЧЕНИЕ

Данная выпускная квалификационная работа выполнена с целью разработки комплекса мер обеспечения информационной безопасности и защиты информации для АНО «КПЦ «Виват».

При выполнении данной выпускной квалификационной работы был проведен аудит и анализ имеющихся средств защиты информации. На основании выводов данного анализа было разработано техническое задание по организации системы защиты информации. В результате представлена система защиты информации, обладающая следующими свойствами:

1. Шифрование баз данных, для более надежного хранения конфиденциальной информации.
2. Использование цифровой подписи, для обеспечения целостности и неизменности передаваемой / получаемой информации.
3. Использование цифровой подписи для осуществления электронного документооборота, что существенно упрощает взаимодействие с партнерами.
4. Использование индивидуального электронного ключа для каждого сотрудника АНО «КПЦ «Виват» для более надежной процедуры идентификации и аутентификации объектов на рабочих местах.
5. Использование средств, направленных против съема информации по телефонным линиям.
6. Использование средств, направленных против съема информации по ЛВС, также против несанкционированного доступа к корпоративной сети компании.
7. Система защиты соответствует требованиям законодательных актов и руководящих документов, принятым в РФ.

Таким образом, было выполнено подготовленное техническое задание на разработку системы защиты информации на предприятии АНО «КПЦ «Виват». Внесенные изменения существенно влияют на обеспечение безопасности АС СОНКО. Были разработаны инструкции по внедрению ЭДО и ЦП. Также представлен

план размещения технических средств защиты конфиденциальной информации в телефонных сетях и ЛВС.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Майкл Дж. Д. Саттон Корпоративный документооборот. Принципы, технологии, методология внедрения. – Санкт-Петербург: Азбука, 2012. – 446 с.
2. Блинов А.М. Информационная безопасность: Учебное пособие. Часть 1.

• СПб.: Изд-во СПбГУЭФ, 2015. – 96 с.

3. ФСТЭК, приказ № 17 от 11.02.2013.

1. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения».
2. Закон РФ от 21.07.1993 N 5485-1 «О государственной тайне» (ред. от 29.07.2018).

6. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных».

1. Аверченков, В. И. Криптографические методы защиты информации/ В.И. Аверченков, М.Ю. Рытов, С.А. Шпичак, – Брянск: БГТУ, 2015. – 216 с.
2. Аверченков В.И. Организационная защита информации: учеб. Пособие для вузов / В.И. Аверченков, М.Ю. Рытов. – Брянск: БГТУ, 2015. – 184 с.
3. Болдырев, А.И. Методические рекомендации по поиску и нейтрализации средств негласного съема информации: практ. Пособие/ А. И. Болдырев – М.: НЕЛК, 2011. – 137 с.
4. Государственная тайна в Российской Федерации: учеб-методич. пособие/ под ред. М.А.Вуса. – СПб. Изд-во С.-Петерб. ун-та, 2019. – 330 с.
5. Большая энциклопедия промышленного шпионажа / Ю.Ф. Каторин., Е.В.Куренков, А.В. Лысов. - СПб.: Полигон, 2010. – 886 с.
6. Малюк, А.А. Введение в защиту информации в автоматизированных системах/ А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая линия Телеком, 2011. – 178 c.
7. Белкин, П.Ю. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: учеб. пособие для вузов/ П.Ю. Белкин, О.О. Михальский, А.С. Першаков. – М.: Радио связь, 2010.- 215 с.
8. Жеребенкова А.В. Документооборот в компании. – Москва: Вершина, 2015. – 384 с.
9. Галатенко В.А. Стандарты информационной безопасности: курс лекций: учебное пособие/В.А. Глатенко.- ИНТУИТ, 2016. - 264 с.
10. Джонс К.Д., Шема М., Джонсон Б.С., Инструментальные средства обеспечения безопасности/К.Д. Джонс, М. Шема, Б.С. Джонсон.- ИНТУИТ, 2017.

- 1028 с.

Приложения

Паспорт-формуляр

ПРИЛОЖЕНИЕ 1

Экспликация помещений
Номер	Наименование	Площадь	Категория пожаровзрывобезопасности
1	Коридор	160 м2	Нет
2	Кабинет №1	17 м2	Нет
3	Кабинет №2	17 м2	Нет
4	Кабинет №3	34 м2	Нет
5	Кабинет №4	32 м2	Нет
6	Кабинет директора	38 м2	Нет
7	Кабинет секретаря	19 м2	Нет
8	Бухгалтерия	25 м2	Нет
9	Кабинет №5	25 м2	Нет
10	Кабтнет №6	25 м2	Нет
11	Переговорная	51 м2	В4
12	Серверная	14 м2	В4
13	Кабинет №7	29 м2	Нет
14	Кабинет №8	29 м2	Нет
15	Кабинет №9	29 м2	Нет

ПРИЛОЖЕНИЕ 2

ПРИЛОЖЕНИЕ 3

Помещение	Количество компьютеров, шт.
1	0
2	0
3	0
4	2
5	2
6	1
7	1
8	1
9	1
10	1
11	0
12	0
13	2
14	2
15	2

118

Угрозы

ПРИЛОЖЕНИЕ 4

119

Тип угрозы	Приборы
Высокочастотное навязывание	Телефонные аппараты
Паразитная генерация	Компьютеры, принтеры, факсы, сканеры
Акустический	Вентиляция, открытая дверь, окно
Акустоэлектрический	Телефонные аппараты, электропитание, заземление
Канал утечки информации ПЭМИН	Компьютеры
Акустооптический	Закрытое окно
Виброакустический	Ограждающие конструкции, трубопроводы
Другие каналы утечки информации	Мобильные телефоны, диктофоны, спец. технические средства

120

121

Тип угрозы	Приборы
Высокочастотное навязывание	Телефонные аппараты
Паразитная генерация	Компьютеры, принтеры, факсы, сканеры
Акустический	Вентиляция, открытая дверь, окно
Акустоэлектрический	Телефонные аппараты, электропитание, заземление
Канал утечки информации ПЭМИН	Компьютеры
Акустооптический	Закрытое окно
Виброакустический	Ограждающие конструкции, трубопроводы
Другие каналы утечки информации	Мобильные телефоны, диктофоны, спец. технические средства

Тип угрозы	Приборы
Акустический	Вентиляция, открытая дверь
Акустоэлектрический	Электропитание, заземление, освещение

Тип угрозы	Приборы
Паразитная генерация	Компьютеры, принтеры, факсы, сканеры
Акустический	Вентиляция, открытая дверь
Акустоэлектрический	Электропитание, заземление
Канал утечки информации ПЭМИН	Серверы
Виброакустический	Ограждающие конструкции, трубопроводы
Другие каналы утечки информации	Спец. технические средства

ПРИЛОЖЕНИЕ 5

Требования и рекомендации по обеспечению информационной безопасности в помещениях АНО «КПЦ «Виват»

1. Общие положения
   1. Информационная безопасность помещений в АНО «КПЦ «Виват» должна обеспечиваться с использованием комплексных (организационных, административных, технических и программных) мер и средств.
   2. С целью обеспечения безопасности информации:
   • руководством должен быть утвержден список пользователей и администраторов, допускаемых к обслуживанию СЗИ;
   • пользователи должны пройти обучение правилам эксплуатации согласно документации на Систему и быть ознакомлены с настоящими методическими рекомендациями;
   • оборудование должно размещается в помещениях, в которых в которых работают с закрытой информацией;
   • программное обеспечение и носители ключевой информации должны быть защищены от несанкционированного доступа (НСД).
   1. Организационно-административные методы регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся.
   2. Вести постоянный контроль за соблюдением установленных требований по защите информации.
2. Требования по защите от несанкционированного доступа (НCД)
   1. Защита носителей информации от несанкционированного доступа осуществляется с целью исключения возможностей:
   • утечки информации, либо ее перехват злоумышленником;
   • внесения несанкционированных изменений в технические и программные средства системы, а также в их состав;
   • внесения несанкционированных изменений в документы.
   1. В целях защиты от несанкционированного доступа, а так же своевременного обнаружения несанкционированного проникновения посторонних лиц в помещения, в которых храниться носители информации, рекомендуется установить систему видеонаблюдения.
   2. Следует принять меры, препятствующие несанкционированному вскрытию системных блоков персональных компьютеров.
3. Практические рекомендации по защите от несанкционированного доступа
   1. Пользователи, работающие с системой не должны иметь прав администратора, с целью ограничения возможностей установки под этими учетными записями программного обеспечения на компьютере. Доступ к файловым ресурсам компьютера, особенно на запись, должен быть ограничен минимально необходимыми правами. Пользователи должны запускать только те приложения, которые им разрешены.

3.2. Пользователи,	должны	быть в	обязательном порядке
проинструктированы по	вопросам	соблюдения	основных требований
безопасности.

• 1. На компьютере должна быть установлена только одна ОС.
  2. Доступ к изменению настроек BIOS должен быть защищен паролем.
  3. Пользователям операционной системы должны быть назначены пароли. Длина паролей должна составлять не менее шести символов. Срок действия паролей должен быть ограничен.
  4. Рекомендуется опечатать системный блок компьютера для предотвращения его несанкционированного вскрытия.
  5. Рекомендуется периодически наблюдать за действиями сотрудников, входящих в помещения отделов, в которых хранятся носители информации.