Технические системы защиты информации в ООО

1 ОСНОВНЫЕ ПОНЯТИЯ ЗАЩИТЫ ИНФОРМАЦИИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Сертификация средств защиты конфиденциальной информации
Средства защиты конфиденциальной информации, которые используются при организации системы защиты информации, обязательно должны быть сертифицированы в соответствии с государственными стандартами.
Сертификация – процесс сопоставления средств защиты с государственными стандартами, и дальнейшая выдача подтверждения при успешном тестировании [5].
Сертификация средств защиты информации по требованиям безопасности и защиты информации — организационные меры по подтверждению свойств технических и программных средств защиты информации в соответствии с требованиями государственных стандартов. Согласно требованиям действующего законодательства, обязательной сертификации подлежат средства защиты следующей информации [6]:
1. Сведения, составляющие государственную тайну.
Государственная тайна – сведения, которые находятся под защитой государства, в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной областях. Распространение таких данных может нанести ущерб безопасности РФ.
2. Государственные информационные ресурсы.
Государственные информационные ресурсы — находящиеся в собственности государства ресурсы.
3. Персональные данные.
Персональные данные — любая информация, прямо или косвенно относящаяся к субъекту конфиденциальной информации.

1.2. Лицензирование в области защиты информации

Лицензированием в области защиты информации называется деятельность, которая заключается в передаче/получении прав на проведение различных работ в области защиты информации. Государственная политика РФ в области лицензирования определенных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности».
Лицензия – разрешение на право проведения работ в области безопасности и защиты информации. Лицензия выдается на определенные виды деятельности и действительна в течение 3 лет, по истечении которых осуществляется ее проверка в порядке, который установлен для выдачи лицензии.
Лицензия выдается в том случае, когда предприятие/организация/компания, которое подало заявку на получение лицензии, имеет все необходимые условия для проведения лицензирования. В частности, необходимо иметь производственную и экспериментальную база, нормативную и методическую документацию, располагать научными и инженерно-техническими сотрудниками [7].
Деятельность по лицензированию в области защиты информации выполняют ФСБ и ФСТЭК России.
Виды деятельности, которые требуют наличия лицензии ФСБ России:
1. Разработка и/или производство средств защиты конфиденциальной информации.

1.1 Сертификация средств защиты конфиденциальной информации
Средства защиты конфиденциальной информации, которые используются при организации системы защиты информации, обязательно должны быть сертифицированы в соответствии с государственными стандартами.
Сертификация – процесс сопоставления средств защиты с государственными стандартами, и дальнейшая выдача подтверждения при успешном тестировании [5].
Сертификация средств защиты информации по требованиям безопасности и защиты информации — организационные меры по подтверждению свойств технических и программных средств защиты информации в соответствии с требованиями государственных стандартов. Согласно требованиям действующего законодательства, обязательной сертификации подлежат средства защиты следующей информации [6]:
1. Сведения, составляющие государственную тайну.
...

1.2. Лицензирование в области защиты информации

Лицензированием в области защиты информации называется деятельность, которая заключается в передаче/получении прав на проведение различных работ в области защиты информации. Государственная политика РФ в области лицензирования определенных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности».
Лицензия – разрешение на право проведения работ в области безопасности и защиты информации. Лицензия выдается на определенные виды деятельности и действительна в течение 3 лет, по истечении которых осуществляется ее проверка в порядке, который установлен для выдачи лицензии.
Лицензия выдается в том случае, когда предприятие/организация/компания, которое подало заявку на получение лицензии, имеет все необходимые условия для проведения лицензирования.
...

1.3. Методы и средства защиты информации

Можно выделить основные принципы создания СЗИ [8]:
1. Системный подход к построению системы защиты информации, такой подход включает в себя оптимальное сочетание программных, аппаратных, физических и других средств защиты.
2. Принцип постоянного развития системы. Этот принцип является одним из основных в организации системы защиты информации. Способы взлома конфиденциальной информации постоянно развиваются, поэтому

обеспечение защищенности информационной системы не может быть статическим. Это динамический процесс, который заключается в анализе и реализации наиболее рациональных методов, способов и путей преобразования системы защиты.
3. Разделение и сведение полномочий по доступу к защищаемой информации к минимуму.
4. Полный контроль и регистрация попыток НСД.
...

2.1 Организационно-управленческая характеристика предприятия
Предприятие ООО «Портал» занимается производством и реализацией дверей. Организационная структура фирмы OOO «Портал» изображена на рисунке 2.1. Функциональные области и процессы деятельности предприятия представлены в таблице 2.1.

Рисунок 2.1 – Организационная структура предприятия

Таблица 2.
...

2.2 Разработка IDEF диаграммы
Проанализируем документооборот организации, какие документы, из каких подразделений поступают в информационную систему, какие документы и куда должны выдаваться из информационной системы.
Задача решается с помощью моделирования информационных процессов. Для этой цели используется диаграмма потоков данных (ДПД). Эта модель представляет собой несколько иерархически связанных диаграмм потоков данных.
Диаграмма потоков данных считается главным средством моделирования функциональных требований к проектируемой системе. С их помощью эти требования представляются в виде иерархии функциональных компонентов (процессов), связанных потоками данных. Ключевая задача такого представления – показать, как каждый процесс преобразует свои входные данные в выходные, а также выявить отношения между этими процессами.
Диаграммы верхних уровней иерархии определяют основные процессы или подсистемы с внешними входами и выходами.
...

2.2 Структура ЛВС предприятия
Предприятие занимает два этажа в административном корпусе. ЛВС административного корпуса предприятия организована следующим образом (рисунок 2.7):
• Активное сетевое оборудование: В качестве устройства для организации сетевого доступа использовались два коммутатора - 3COM SuperStack II Baseline 10/100 Switch 24 ports, которые обеспечивали скорость передачи данных 100Мбит/сек. Соединение с глобальной сетью Интернет осуществляется посредством ADSL модема на скорости 100 Мбит/с;
• Технология сети: Кабель и коммутационное оборудование соответствовали по техническим параметрам и электрическим характеристикам спецификациям категории 5 стандарта EIA/TIA 568, TSB 40, TSB 36, использовались разъемы и соединительное оборудование стандарта RJ-45;
• Топология сети - "звезда". Центральный узел - коммутатор Периферийные узлы - рабочие станции, сервер, ADSL модем.
...

2.3 Анализ программно-аппаратных средств
В качестве сетевой операционной системы используется Microsoft Windows Server 2003 R2 Standard Edition.
Требования к аппаратному обеспечению для выбранной операционной системы представлены в таблице 2.3.
Таблица 2.
...

2.5 Разработка модели угроз
К защищаемой информации относится коммерческая тайна и персональные данные граждан.
Так как все вопросы по технологии производства дверей и прочая коммерческая информация, касающаяся экономических и производственных вопросов фирмы обсуждается в кабинете директора, сосредоточим внимание на этом помещении.
К конфиденциальной информации, обрабатываемой в данном помещении, относятся такие сведения, как:
1) информация о новых проектах компании;
2) финансовая информация, касающаяся деятельности фирмы;
3) другая конфиденциальная информация.
Основными источниками информации в рассматриваемой комнате руководителя являются:
1) руководитель предприятия;
2) сотрудники компании, находящиеся в кабинете руководителя;
3) АРМ руководителя предприятия.
К анализируемым в данной работе каналам утечки можно отнести:
1. съем информации по системе вентиляции;
2. съем информации за счет наводок и “навязывания”;
3.
...

3.1 Технические средства защиты. Принципы действия
Технические средства реализуются в виде различных устройств, предназначенных для защиты информации. Они подразделяются на физические и аппаратные:
• физическими (инженерно-техническими) называют такие средства, которые создают физические барьеры на пути к защищаемым сведениям, но не входят в состав аппаратуры ИС.
• аппаратными называются различные устройства, непосредственно входящие в состав аппаратуры ИС.
Цель физических средств - создание препятствий для нарушителей на путях к защищаемым данным (на территорию и в помещения с расположенными объектами ИС, техническими средствами, носителями данных). Таким образом, физические средства защиты необходимы для охраны внешней территории объектов, для защиты компонентов ИС. Они представляются автономными устройствами и системами (сигнализация, видеонаблюдение, замки, решетки.).
...

3.2.1 Описание и характеристики технических средств защиты
В настоящее время для обеспечения ЗИ техническими средствами могут применяться следующие классы средств защиты:
• средства аппаратной идентификации;
• средства обнаружения вторжений;
• межсетевые экраны;
• программно-аппаратные СЗИ от НСД;
Чаще всего для АРМ применяются программные или программно-аппаратные СЗИ от НСД. В зависимости от того имеются ли у АРМ в составе АС сетевые подключения принимается решении о применении средств межсетевого экранирования, а также средств обнаружения вторжений.
Ведущую же роль в обеспечении защищенности АС представляет СЗИ от НСД. СЗИ от НСД считаются неотъемлемыми для использования в целом ряде ситуаций.
...

3.3 Рекомендации по использованию средств защиты
Для сетевой защиты необходимо использовать АПКШ «Континент». Данный комплекс предназначен для построения виртуальных частных сетей на основе общих сетей передачи данных. Комплекс реализует следующие основные функции:
• криптографическая защита данных;
• межсетевое экранирование;
• скрытие внутренней структуры локальной сети;
• автоматическая регистрации событий, связанных с НСД;
Для работы АПКШ «Континент» необходимо CЗИ от НСД «Соболь». ПАК «Соболь» используется для защиты рабочих станций от НСД.
...

3.4.1 Внедрение комплекса защиты от утечек Соната 3095
Основанием для разработки системы является необходимость повышения технической защищенности комнаты руководителя предприятия для защиты от возможных утечек конфиденциальной информации по паразитным сетям.
Комната руководителя представляет собой выделенное помещение, в котором руководитель решает различные вопросы в процессе своей работы, проводит совещание с сотрудниками. У руководителя имеется личное автоматизированное рабочее место (АРМ), на котором обрабатывается и хранится разная конфиденциальная информация, подлежащая защите.
Схема комнаты руководителя представлена на рис. 3.1. В комнате присутствуют 2 окна, выходящих на улицу. Комната находится на пятом этаже здания, поэтому решетки на окнах в данном помещении не предусмотрены. Зона рассматриваемого помещения граничит с комнатой секретаря и с другой комнатой, поэтому с этих сторон она является уязвимой в плане утечки информации путем подслушивания.
...

3.4.2 Внедрение ПАК «Соболь» для защиты рабочих станций
Программно-аппаратный комплекс "Соболь" предназначен для предотвращения НСД к ресурсам защищаемого компьютера.
Комплекс "Соболь" реализует следующие основные функции:
• идентификация и аутентификация пользователей компьютера при их входе в систему с помощью электронных идентификаторов:
• iButton: DS1992, DS1993, DS1994, DS1995, DS1996;
• USB-ключи: eToken PRO (Java), eToken PRO, iKey 2032, Rutoken, Ruto-ken RF;
• смарт-карты eToken PRO;
• защита от несанкционированной загрузки операционной системы со съемных носителей — дискет, оптических и магнитооптических дисков, ZIP-устройств, USB-устройств и др.
...

3.4.3 Внедрение АПШК «Континент» для сетевой защиты
Внедрение АПШК «Континент» является трудоемким процессом. Инструкция по установке и настройке данного аппаратно-программного комплекса есть на сайте производителя. Внешний вид устройства представлен на рисунке 3.19.

Рисунок 3.19 – Внешний вид АПКШ «Континент»
В подсистему управления комплексом входят следующие компоненты:
• программа управления ЦУС;
• агент ЦУС и СД;
• программа создания ключевого носителя для агента ЦУС и СД;
• программа управления СД (при наличии в комплекте поставки);
• конфигуратор БД журналов ЦУС и СД;
• программа просмотра журналов ЦУС и СД;
• программа просмотра отчетов ЦУС;
◦ агент обновлений базы решающих правил СОВ;
◦ агент Роскомнадзора;
◦ программа копирования ключей.
Регистрационные журналы комплекса хранятся в базе данных на сервере СУБД.
...

4.1 Обоснование экономической эффективности
Расчет единовременных капитальных затрат
Суммарные затраты на реализацию проекта Среал включают в себя:
(4.1)
Себестоимость проектирования вычисляется по формуле:
(4.2)
где М – материальные затраты (носители), руб.;
ЗП – заработная плата разработчика, руб.;
Осоц – отчисления на социальные нужды, руб.;
Синтернет – затраты, связанные с поиском материалов в Интернете, руб.;
ЗЭВМ – суммарные затраты, связанные с эксплуатацией ЭВМ, руб;
Н – накладные расходы, руб.
Таблица 4.1
Расчет материалов

Зарплата разработчика складывается из основной и дополнительной (премия):
(4.3)
Дополнительная заработная плата составляет 40 % от основной:
(4.4)
Основная заработная плата вычисляется по формуле:
(4.5)
где О – оклад проектировщика, руб. 20 000 руб;
Тпроект – время, затраченное на проектирование, дни;
Этапы проектирования ТСЗ представлены в таблице 4.2.
Таблица 4.
...

Заключение
Целью работы являлось разработка системы защиты информации в ООО «Портал» с помощью технических средств.
В первой главе произведена классификация информации с точки зрения ее защиты. К защищаемой информации относится государственная тайна, конфиденциальная информация и персональные данные граждан. В производственных фирмах к защищаемой информации обычно относят коммерческую тайну и персональные данные граждан.
Кроме того, в первой главе были рассмотрены существующие угрозы информации, к которым можно отнести каналы утечки информации ПЭМИН, НСД и сетевые угрозы при использовании общедоступных сетей передачи информации. Все эти угрозы могут преследовать нарушение целостности, конфиденциальности и доступности информации.
Согласно законодательству РФ коммерческая тайна и ПДн должны защищаться, в том числе и техническими средствами защиты. Законодательные акты в области защиты информации также рассмотрены в первой главе. Таким образом, в первой главе решены 1 и 2 задачи.
...

1. Указ президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера» // Вестник Высшего Арбитражного Суда Российской Федерации, 1997, N 5
2. Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния"//Система ГАРАНТ: http://base.garant.ru/173972/#ixzz4eayt94KO Собрании законодательства Российской Федерации от 24 ноября 1997 г., N 47, ст. 5340
3. Федеральный закон от 20.04.1995 N 45-ФЗ (ред. от 07.02.2017) "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов"// "Российская газета", N 82, 26.04.1995
4. Федеральный закон от 20.08.2004 N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" потерпевших, свидетелей и иных участников уголовного судопроизводства"//"Собрание законодательства РФ", 23.08.2004, N 34, ст. 3534
5. "Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ//"Собрание законодательства РФ", 23.08.2004, N 34, ст. 3534
6. Проект № 124871-4 Федерального закона «О служебной тайне». Электронный ljrevtyn/ режим доступа: http://www.iso27000.ru/zakonodatelstvo/federalnye-zakony-rf/federalnyi-zakon-o-sluzhebnoi-taine-proekt-No-124871-4
7. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне"//"Парламентская газета", N 144, 05.08.2004
8. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ // "Собрание законодательства РФ", 17.06.1996, N 25, ст. 2954
9. Федеральный закон от 02.10.2007 N 229-ФЗ (ред. от 28.12.2016) "Об исполнительном производстве"// "Российская газета", N 223, 06.10.2007
10. Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) "О государственной тайне" "Собрание законодательства РФ", 13.10.1997, N 41, стр. 8220-8235
11. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных// "Российская газета", N 165, 29.07.2006
12. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" // "Российская газета", N 4637, 12.04.2008
13. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"// "Российская газета", N 256, 07.11.2012
14. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
15. "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» утв. Роскомнадзором 13.12.2013;