Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.

В этом разделе следует отметить, какая при существующей технологии решения имеется политика безопасности в компании, а также программные и аппаратные средства ИБ и ЗИ, если эти методы и средства используются, то каким образом. При анализе системы и имеющихся в ней методов и средств ИБ и ЗИ необходимо отразить:

1. данные о подразделении (должностных лицах), на которых возложены задачи по защите информации: организационную структуру подразделения и функционал. Информация должна детализировать данные п.1.1.2. с точки зрения обеспечения информационной безопасности.
2. результаты анализа существующей в компании политики безопасности (нормативно-правовые и организационно-распорядительные документы, регламенты, процедуры, должностные инструкции и т.д.), рекомендуется указать основные положения политики безопасности (регламенты использования сети Internet, электронной почты, доступа к служебной информации, доступа к информации, составляющей коммерческую тайну, установки и использования программного обеспечения);
3. анализ существующих программных и аппаратных средств ИБ и ЗИ, их использование в организации (привести перечень используемых средств, отразив их назначение, параметры и возможности);
4. порядок реализации системы обеспечения ИБ и ЗИ (кто этим занимается, кто отвечает, структура);
5. как обеспечивается ИБ и ЗИ на различных уровнях: программный, аппаратный, организационный (права доступа, права пользователя системы, парольная защита, доступ к базе, программные средства защиты, встроенные средства защиты, ведение логов и так далее);
6. как для Internet систем (web портал, электронный магазин и так далее) используются средства защиты от внешних угроз (взлом сайта, нарушение его работы и так далее);
7. какие используются средства защиты от инсайдерских угроз (хищение и порча данных сотрудниками организации, ошибки при пользовании программным и аппаратным обеспечением и так далее).
8. результаты оценки действующей системы безопасности информации, отражающие, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации. Если некоторые задачи решаются не в полном объеме, следует указать, как предусмотренные мероприятия выполняются в действительности. Результаты обследования внести в Таблицу 11.

Таблица 11

Анализ выполнения основных задач

по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности	Степень выполнения
обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;
организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;
предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;
выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;
обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;
обеспечение охраны территории, зданий помещений, с защищаемой информацией.

1.3.2. Выбор комплекса задач обеспечения информационной безопасности .

Кроме общих угроз информационной безопасности особенности деятельности предприятия накладывают и специфические угрозы. Отсюда, при общем анализе возможных угроз предприятию необходимо провести глубокий анализ специфических рисков (например, в финансово-экономической сфере, в сфере государственной на режимном предприятии и т.д.). Следует выбрать те основные задачи или совокупность задач, для которых будет в дальнейшем разрабатываться дипломный проект и провести обоснование, используя для этого информацию из п.1.3.1.

К таким задачам, например, может относиться:

· актуализация политики безопасности

· модернизация программной архитектуры

· модернизация технической архитектуры

· реализация защищенных протоколов обмена данными

· организация безопасного удаленного доступа сотрудников к корпоративным ресурсам предприятия

· организация безопасной работы облачных сервисов предприятия

· организация безопасного доступа к информационным ресурсам предприятия с помощью мобильных устройств

· развертывание и обеспечение безопасной работы беспроводной локальной сети

· развертывание и обеспечение безопасной работы VPN

· модернизация системы защиты от:

Ø проникновения вредоносного программного кода

Ø хакерских атак

Ø инсайдерских угроз

В ЗАО «Консультант Плюс» функционирует политика безопасности.

В компании действуют следующие нормативно-правовые документы в области защиты информации и информационной безопасности (ИБ):

• - Положение о конфиденциальной информации
• - Положение об использовании программного обеспечения
• - Положение об использовании электронной почты
• - Положение об использовании сети Интернет
• - Положение об использовании мобильных устройств и носителей информации
• - Правила внутреннего трудового распорядка
• - Приказ о введении политики информационной безопасности
• - Приказ о введении Правил внутреннего трудового распорядка
• - Приказ о введении внутриобъектового пропускного режима

За исполнение этих нормативно-правовых документов отвечают начальник службы безопасности и начальник отдела системного администрирования.

В трудовых договорах сотрудников предприятия есть пункт, посвященный неразглашению конфиденциальной информации в течение срока действия договора, а также трех лет после его прекращения. Сотрудники обязаны выполнять все относящиеся к ним требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны и иной конфиденциальной информации Работодателя, соблюдению внутриобъектового и пропускного режимов.

При использовании сотрудниками электронной почты запрещено:

• 1) Использовать электронную почту в личных целях.
• 2) Передавать электронные сообщения, содержащие:

a. конфиденциальную информацию,

b. информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя.

d. Информацию, файлы или ПО, способные нарушить или ограничить функциональность программных и аппаратных средств корпоративной сети.

• 3) Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
• 4) По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
• 5) Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).
• 6) Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
• 7) Шифровать электронные сообщения без предварительного согласования с администраторами ИС.

При использовании сети Интернет запрещено:

• 1) Использовать предоставленный Организацией доступ в сеть Интернет в личных целях.
• 2) Использовать специализированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет.
• 3) Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Организации.
• 4) Публиковать, загружать и распространять материалы содержащие:

a) Конфиденциальную информацию,

b) Информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности.

• 5) Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
• 6) Вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности аппаратных и программных средств, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию.
• 7) Фальсифицировать свой IP-адрес, а также прочую служебную информацию.

В ЗАО «Консультант Плюс» разрешено применение ограниченного перечня коммерческого ПО (согласно Реестру разрешенного к использованию программного обеспечения) и бесплатного ПО (необходимого для выполнения производственных задач). Пользователям запрещается устанавливать на свои ПК прочее программное обеспечение.

В ИС ЗАО «Консультант Плюс» допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО.

На программном уровне предпринимается управление доступом на основе ролей в службе каталогов Microsoft Active Directory, а также при доступе к СУБД. Эта же служба осуществляет управление паролями пользователей: у каждого пароля есть срок действия, по истечении которого пользователь вынужден задать другой пароль; система не позволяет ввести слишком короткий или слишком простой пароль. Таким образом достигается защита от несанкционированного доступа к системе.

Для защиты ЛВС и компьютеров от внешних угроз используется пакет Kaspersky Enterprise Space Security, который выполняет следующие функции:

• 1) Защита от хакерских атак. Современные хакеры используют для атак кейлоггеры (клавиатурные шпионы) и руткиты - программы, которые позволяют получить несанкционированный доступ к данным и при этом избежать обнаружения. Антивирусное ядро эффективно нейтрализует эти угрозы, предотвращая несанкционированный доступ к компьютерам корпоративной сети.
• 2) Защита от фишинга. База URL-адресов фишинговых сайтов постоянно пополняется; с ее помощью распознаются и блокируются подозрительные ссылки, а также фильтруются фишинговые электронные сообщения, повышая уровень защиты ЛВС.

дипломная работа

1.2.4 Анализ системы обеспечения информационной безопасности и защиты информации

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.

Увеличение объемов хранимой и передаваемой информации приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере "ГУП ОЦ "Московский Дом Книги" и воздействию на процессы ее функционирования.

Усложнение применяемых технологий и процессов функционирования "ГУП ОЦ "Московский Дом Книги" приводит к тому, что аппаратно-программные средства, используемые в "ГУП ОЦ "Московский Дом Книги", объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.

Отсутствие в "ГУП ОЦ "Московский Дом Книги" необходимых средств защиты в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной безопасности "ГУП ОЦ "Московский Дом Книги" можно представить в виде, совокупности следующих уровней:

Уровень 1 - Руководство организации;

Уровень 2 - Подразделение ОИБ;

Уровень 3 - Администраторы штатных и дополнительных средств защиты;

Уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);

Уровень 5 - Конечные пользователи и обслуживающий персонал.

При разработке программного обеспечения в "ГУП ОЦ "Московский Дом Книги" следуют основным стандартам, регламентирующим:

Показатели качества программных средств;

Жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;

Тестирование программных средств для обнаружения и устранения дефектов программ и данных;

Испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.

Таблица 1.3. Международные стандарты, направленные на обеспечение технологической безопасности

ISO 09126:1991. ИТ.	Оценка программного продукта. Характеристики качества и руководство по их применению.
ISO 09000-3:1991.	Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения.
	Процессы жизненного цикла программных средств.
ANSI/IEEE 829 - 1983.	Документация при тестировании программ.
ANSI/IEEE 1008 - 1986.	Тестирование программных модулей и компонент ПС.
ANSI/IEEE 1012 - 1986.	Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.

Для защиты информации от внешних угроз в "ГУП ОЦ "Московский Дом Книги" используется межсетевой экран - программный или аппаратный маршрутизатор, совмещённый с firewall. Эта система позволяет осуществлять фильтрацию пакетов данных.

В компании также имеются нормативно-правовые и организационно-распорядительные документы такие как:

1. Регламент информационной безопасности:

· доступ сотрудников к служебной информации, составляющей коммерческую тайну;

· доступ к использованию программного обеспечения, сконфигурированного персонального под "ГУП ОЦ "Московский Дом Книги".

2. Регламенты использования сети Internet, электронной почты "ГУП ОЦ "Московский Дом Книги".

Автоматизация работы старшего администратора пансионата ФГУП "ОК "Рублево-Успенский" УДП РФ

Система информационной безопасности предприятия охватывает все составные части информационной инфраструктуры, описанные в настоящем проекте, и обеспечивает целостность, конфиденциальность и доступность информации...

Анализ информационных системы предприятия ОАО "Уралтранснефтепродукт"

В связи с участившимися случаями терактов, кражи нефти, данная тема получила свое широкое распространение, так как помимо этих видов угроз существует конкуренция на рынке услуг, связанных с нефтью...

Выбор и обоснование приобретения информационной системы для автоматизации на примере ООО "1С Бит"

Для обеспечения безопасности и защиты информации руководством компании принято решение прибегнуть к помощи компании "Лаборатория Касперского"...

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

По способам осуществления все меры защиты информации...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

Информационная безопасность в ГУП ОЦ "Московский дом книги"

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: 1...

Информационная безопасность в ГУП ОЦ "Московский дом книги"

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом...

Проектирование и разработка информационной системы для учета ремонтных работ и обслуживания оргтехники фирмы ООО "Компьютерный мир" г. Самара

Создание систем информационной безопасности в ИС основывается на следующих принципах: системный подход, принцип непрерывного развития системы, разделение и минимизация полномочий, полнота контроля и регистрация попыток...

Разработка модуля бизнес-процесса отдела по работе с клиентами и склада на основе конфигурации базовой модели "1С"

Разработка модуля по автоматизации бизнес-процессов отдела работы с клиентами и склада ООО "ЖилРемСтрой" на основе конфигурации базовой модели 1С

В обществе имеются нормативно-правовые и организационно распорядительные документы: 1.Регламент информационной безопасности: · доступ сотрудников к служебной информации...

Разработка модуля экспорта отчетной документации

Для защиты от внешних угроз операционная система (Windows XP SP3), которая установлена на всех персональных компьютерах сотрудников фирмы ТД «Нимфа», защищена лицензионным программным продуктом Kaspersky Antivirus 6.0 и Kaspersky Internet Security 6.0...

Совершенствование системы защиты персональных данных ОАО "Альфа Банк"

Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

На предприятии, как мы может увидеть в таблице 9, большинство уязвимостей связаны с недостаточным надзором за помещениями. Так как предприятие ОАО "Расчет" снимает помещение у другого предприятия, которое обеспечивает проходную систему...

Одной из основополагающих составных частей успешной деятельности современного предприятия является развитие системы обеспечения информационной безопасности и защиты информации. Необходимость проведения мероприятий в этой области объясняется хранением в информационной системе личных данных об учащихся, что является конфиденциальной информацией. Недобросовестные конкуренты готовы пойти на противоправные действия для того, чтобы завладеть чужой информацией, а завладев ею, использовать ее во вред конкурентам. Другой важной стороной обеспечения информационной безопасности является защита от намеренного или случайного уничтожения данных, что приведет к потере информации важной как для оперативной работы учреждения, так и для аналитической отчетности.

При ведении бумажного учета в ДЮСШ №5 ситуация с обеспечением информационной безопасности и защиты информации обстоит весьма посредственно. Данные о учащихся и их здоровье, преподавателях, и оплате за обучение хранятся в виде бумажных документов в шкафах сотрудников, а отработанные документы – в архиве. При этом ничто не мешает посторонним сотрудникам ознакомиться с этими документами или скопировать их, а злоумышленнику выкрасть их. Должностные инструкции о необходимости соблюдения порядка хранения документов вряд ли остановят злоумышленника, поставившего перед собой цель завладеть ими. При бумажном варианте ведения дел также велика вероятность потери документов, а также намеренного или случайного уничтожения документов.

При использовании компьютеризированного варианта работы уровень информационной безопасности повышается на порядок. Сама система автоматизированного документооборота заставляет пользователя быть более ответственным в этом вопросе.

Технически информационная безопасность и защита информации осуществляется при помощи системы паролей для доступа к ресурсам информационной системы разного уровня. Прежде всего, это пароль входа пользователя в операционную систему его рабочего места. Ввод этого пароля открывает пользователю доступ к ресурсам данного компьютера и к документам, хранящимся на нем. При этом политика безопасности должна быть настроена таким образом, чтобы пользователь не был полным «хозяином» на своем рабочем месте и не мог, например, установить вредоносное программное обеспечение или программы по копированию информации. Ограничение прав несколько осложняет работу пользователей, но при этом дает гарантию защищенности данных. Необходимо всегда находить баланс между удобством и комфортом работы пользователя и безопасностью хранения корпоративной информации или информации о клиентах.

Когда пользователь вводит свой пароль входа в операционную систему, он получает доступ не только к ресурсам данного компьютера, но и к ресурсам компьютерной сети предприятия. Это возможно в том случае, если пользователь входит на компьютер как доменный или сетевой пользователь. В этом случае отнестись к разграничению прав пользователей в сети нужно еще более внимательно. Настроить права сетевого пользователя нужно таким образом, чтобы дать ему возможность беспрепятственно работать со своими документами, но при этом ограничить доступ к документам, прав на работу с которыми у него нет, либо это только права на просмотр. В этом случае решается одновременно задача защиты данных от несанкционированного доступа и от случайной их порчи.

Прерогативой распределения прав пользователей обладает на предприятии системный администратор. Именно он должен разграничить права пользователей по доступу к документам и приложениям как в сети так и на локальных компьютерах.

Вторым уровнем защиты информации является парольная защита доступа непосредственно в автоматизированную систему работы ДЮСШ №5, реализованную в системе 1С:Предприятие 8.1. Система 1С:Предприятие имеет в своем составе механизм ведения списка пользователей и разграничения их прав доступа к данным. В результате можно гибко настроить доступ пользователей только к нужным данным в информационной системе, скрыв от несанкционированного доступа и от возможности случайной порчи данные, доступа к которым у данного пользователя нет.

Третьим уровнем парольной защиты информации является пароль доступа к безе данных SQL Server при построении клиент-серверного варианта архитектуры работы системы 1С:Предприятие 8.1. В данном варианте работы данные, хранящиеся в базе данных защищены не только системой разграничения прав доступа пользователей системы 1С:Предприятие но и системой SQL Server, что на порядок повышает уровень безопасности работы.

Обязанность распределения прав доступа пользователей к данным, хранящимся в информационной системе 1С:Предприятие 8.1 лежит на администраторе системы. Он должен настроить права каждого пользователя таким образом, чтобы не создавая ему трудностей в работе, ограничить ему доступ к данным, доступа к которым у него нет. Совместно с системным администратором они настраивают и доступ к базе данных SQL Server.

Неоспоримым фактором, повышающим уровень информационной безопасности и защиты информации при внедрении электронной системы учета продаж является возможность при необходимости «спасти» всю базу данных документов на каком-либо электронном носителе при возникновении, например, стихийных бедствий. В дальнейшем эта копия базы данных может быть развернута на новом месте и работа с документами продолжена с того места, на котором она прервалась.

Кроме организации парольной защиты информации не стоит пренебрегать и физической защитой информации. Целесообразно разместить сервера компьютерной сети, системы 1С:Предприятие и сервера баз данных SQL Server (при клиент-серверном варианте работы) в отдельной комнате (серверной) в которой кроме специальных условий, необходимых для работы серверов (кондиционирование, вентилирование,…) создать и специальные условия, исключающие проникновение посторонних лиц. Это может быть система управления доступом, либо другие организационные меры.

Не смотря на планируемое внедрение в ДЮСШ №5 автоматизированной системы, работа с бумажными документами все равно будет иметь место. Так, например, договора, заключенные с клиентами, имеют юридическую силу лишь на бумажных носителях. Организация хранения таких документов, исключающая возможность доступа к ним посторонних лиц, или сотрудников, не имеющих к ним доступа является немаловажным пунктом в обеспечении общей системы информационной безопасности. Целесообразно организовать архив, в котором хранились бы такие документы и регламентировать доступ в него сотрудников. Возможность проникновения посторонних лиц исключить физическими методами (железная дверь, решетки на окнах).

Анализ обеспечения информационной безопасности деятельности ООО «Астра-ком»

Проанализируем информационное и правовое обеспечение информационной безопасности ООО «Астра-ком».

Работа с данными на предприятии осуществляется следующим образом. Форму запроса в службу технической поддержки Официального сайта компании можно получить на Официальном сайте в подразделе «Техническая поддержка» раздела «Вопросы для заказчиков и поставщиков», первая ссылка сверху.

Основное ПО, используемое оператором ООО «Астра-ком»: «КриптоПро CSP», Internet Explorer, средства ЭЦП.

КриптоПро - линейка криптографических утилит (вспомогательных программ) - так называемых криптопровайдеров. Они используются во многих программах российских разработчиков для генерации ЭЦП, работы с сертификатами, организации структуры PKI и т.д.

В частности, КриптоПро CSP используются в программах для налоговой отчетности, а также в различных клиент-банках (например, в клиент-банках Сбербанка

КриптоПро CSP прошел сертификацию ФАПСИ.

Средство криптографической защиты КриптоПро CSP разработано по согласованному с ФАПСИ техническому заданию в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP). КриптоПро CSP имеет сертификаты соответствия ФАПСИ и может использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.

Защита от несанкционированного доступа с использованием КриптоПро CSP, криптоПро TLS, криптоПро Winlogon, криптоПро EAP-TLS, криптоПро IPSec, secure Pack Rus.

Так же по их информации данный модуль - не критичное дополнение и по умолчанию не устанавливается. Его можно установить отдельно по желанию пользователей.

Если у пользователя стоит КриптоПро другой версии Пользователю необходимо направить заполненную форму запроса в службу технической поддержки.

Также в ООО «Астра-ком» применяются следующие методы защиты:

Простейшим примером рассматриваемых алгоритмов шифровки служит алгоритм RSA. Все другие алгоритмы этого класса отличаются от него непринципиально. Можно сказать, что, по большому счету, RSA является единственным алгоритмом с открытым ключом.

Алгоритм RSA

RSA (назван по имени авторов - Rivest, Shamir и Alderman) - это алгоритм с открытым ключом (public key), предназначенный как для шифрования, так и для аутентификации (цифровой подписи). Разработан в 1977 году. Он основан на трудности разложения очень больших целых чисел на простые сомножители (факторизации).

RSA - очень медленный алгоритм. Для сравнения, на программном уровне DES по меньше мере в 100 раз быстрее RSA; на аппаратном - в 1 000-10 000 раз, в зависимости от выполнения.

Алгоритм RSA запатентован в США. Его использование другими лицами не разрешено (при длине ключа свыше 56 бит). Справедливость такого установления можно поставить под вопрос: как можно патентовать обычное возведение в степень? Но, тем не менее, RSA защищен законами об авторских правах.

Алгоритм DES

DES (Data Encryption Standart) - это алгоритм с симметричными ключами. Разработан фирмой IBM и утвержден правительством США в 1977 как официальный стандарт для защиты информации, не составляющей государственную тайну.

DES имеет блоки по 64 бит, основан на 16-кратной перестановке данных, для шифрования использует ключ длиной 56 бит. Существует несколько режимов DES, например Electronic Code Book (ECB) и Cipher Block Chaining (CBC).

56 бит - это 8 семибитовых ASCII-символов, т.е. пароль не может быть больше чем 8 букв. Если использовать только буквы и цифры, то количество возможных вариантов будет существенно меньше максимально возможных 256. В России есть аналог алгоритма DES, работающий по тому же принципу секретного ключа. ГОСТ 28147 разработан на 12 лет позже DES и имеет более высокую степень защиты.

PGP - Pretty Good Privacy- это семейство программных продуктов, которые используют самые стойкие из существующих криптографических алгоритмов. В основу их положен алгоритм RSA. PGP реализует технологию, известную как «криптография с открытыми ключами». Она позволяет как обмениваться зашифрованными сообщениями и файлами по каналам открытой связи без наличия защищенного канала для обмена ключами, так и накладывать на сообщения и файлы цифровую подпись.

PGP была разработана американским программистом и гражданским активистом Филиппом Циммерманном, обеспокоенным эрозией личных прав и свобод в информационную эпоху. В 1991 г. в США существовала реальная угроза принятия закона, запрещающего использование стойких криптографических средств, не содержащих «черного хода», используя который, спецслужбы могли бы беспрепятственно читать зашифрованные сообщения. Тогда Циммерманн бесплатно распространил PGP в Интернет. В результате, PGP стал самым популярным криптографическим пакетом в мире (свыше 2 млн. используемых копий), а Циммерманн подвергся трехлетнему преследованию властей по подозрению в «незаконном экспорте вооружений».

Непрофессиональное ПО для защиты информации

К таким программным средствам относится ПО, доступное (бесплатно или за небольшую цену) всем пользователям, не требующее специальной лицензии на использование и не имеющее авторитетных подтверждений своей стойкости (сертификаций). К ним относятся: PGP freeware; файловые системы с разграничением доступа: WinNT, Unix, NetWare; архивация с паролем; парольная защита в MS Office.

Шифровка в Word и Excel

Фирма Майкрософт включила в свои продукты некоторое подобие криптозащиты. При этом, алгоритм шифровки не описан, что является показателем ненадежности. Кроме того, имеются данные, что Майкрософт оставляет в используемых криптоалгоритмах «черный ход». Если необходимо расшифровать файл, пароль к которому утрачен можно обратиться в фирму. По официальному запросу, при достаточных основаниях буден проведена расшифровка файлов Word и Excel.

Шифрованные диски (каталоги)

Шифровка - достаточно надежный метод защиты информации на жестком диске. Однако если количество закрываемой информации более двух-трех файлов, будет несколько сложно с ней работать: каждый раз нужно будет файлы расшифровывать, а после редактирования - зашифровывать. При этом на диске могут остаться страховочные копии файлов, которые создают многие редакторы.

Поэтому созданы специальные программы (драйверы), которые автоматически зашифровывают и расшифровывают всю информацию при записи ее на диск и чтении с диска.

Шифрованные архивы

Программы-архиваторы, как правило, имеют опцию шифровки. Ею можно пользоваться для не слишком важной информации. Во-первых, используемые там методы шифровки не слишком надежны (подчиняются официальным экспортным ограничениям), во-вторых, детально не описаны. Все это не позволяет всерьез рассчитывать на такую защиту.

Электромагнитная защита

Любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен дистанционный съем информации с компьютеров и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обертка из фольги могут стать защитой от электромагнитных волн. Подведем итоги. Существует три вида защиты электронного документа: программный, аппаратный и смешанный. Программные средства ЗИ - это формы представления совокупности данных и команд, предназначенных для функционирования компьютерных устройств. Аппаратные средства - это технические средства, используемые для обработки данных. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Что касается отношения пользователей компьютерных систем компании к состоянию информационной защиты организации - вопрос «Как Вы оцениваете уровень компьютерной безопасности в Вашей организации» отражает субъективную оценку респондентов системы защиты своей организации. Результаты: а) достаточен, но существует риск утечки информации - 29%; слишком высок (нет необходимости столь строгих ограничений) - 8 %; в) недостаточен - 27 %; г) какая бы ни была защита - кто захочет, тот найдет способ ее нарушить - 36 %. Как видим, большинство респондентов справедливо полагают, что защиту можно нарушить.

В 8 случаях из 10 дыры в системе безопасности обусловлены тем, что пользователи пренебрегают базовыми принципами защиты информации, то есть метауровнем контроля над системой. Пренебрегают, потому что считают принципы банальными, очевидными и поэтому не заслуживающими внимания. Рядовой пользователь ошибочно полагает: «если просто, значит, неэффективно». Это стандартное умозаключение, свойственное новичкам в любой области знаний и умений. Они просто не принимают в расчет тот факт, что в основе работы любой системы лежат именно «банальные» принципы. Также оценивалось доверие респондентов к сотрудникам своих организаций. Вероятность атак со стороны работников, по мнению респондентов, составила 49 %, вероятность внешних атак - 51 %. Опрос показал, что ненамного, но все же, больше сотрудники опасаются внешних атак.

Рисунок 1 - Какова наибольшая опасность атак - внешних или внутренних

Согласно результатам исследования спама опасаются 4 % респондентов, утечки данных - 14 %, искажения данных - 14 %, кражи оборудования - 10 %, саботажа - 1 %, сбоев информационных систем - 15 %, заражения вредоносным ПО (вирусы, черви) - 14 % опрошенных, за опасность hack-атак было отдано 10 % голосов. Отдельно была отмечена опасность атак на сервер и взлом ISQ, опасность низкоуровневых DDOS-атак, т.е. атак нарушающих работу системы.

Рисунок 2 - Наиболее опасные угрозы внутренней информационной безопасности

Спам (англ. - Spam) - рассылка по электронной почте сообщений какого-либо характера без согласия на это получателя. Периодически повторяющийся спамминг может нарушить работу пользователей из-за перегрузки сервера электронной почты, вызвать переполнение почтовых ящиков, что приведет к невозможности получения и отправки обычных сообщений, увеличит время нахождения получателя «на линии», а это дополнительные расходы времени и трафика.

Hack - класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Ports scan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером для осуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки.

Следует помнить, что антивирусные программы, как и любое другое программное обеспечение, не застраховано от ошибок, троянских программ и др. Также не следует преувеличивать надежность защиты с помощью антивирусных программ.

Как и в большинстве других случаев организации защиты, оптимальной стратегией защиты от компьютерных вирусов является многоуровневая. Такую защиту обеспечивают современные профессиональные пакеты антивирусного программного обеспечения. Такие пакеты содержат резидентную программу-страж, выполняющую роль ревизора системы и главную программу-антибиотик для тотальной очистки от вирусов. Характерной чертой этих пакетов является наличие программы оперативного обновления антивирусных баз с использованием локальной или глобальной компьютерной сети. Такой антивирусный пакет должен быть установлен на каждый компьютер локальной сети. Компьютер-сервер же снабжается специализированным антивирусным пакетом для серверов. Такой пакет программ дополнен программным межсетевым экраном, что обеспечивает улучшенную комплексную защиту.

Самой же надежной защитой от известных вирусов для изолированного от сети компьютера следует считать терапию - тотальную проверку на вирусы всех файлов, в том числе архивов, системных и текстовых файлов, на данном компьютере. Программы-антибиотики производят проверку, лечение, а при невозможности лечения - удаление зараженных всеми известными вирусами файлов. коммерческий тайна шпионаж безопасность

Выполнять тотальную проверку и лечение необходимо часто и систематически, а также перед каждым резервированием и архивированием.

На мнение респондентов о наиболее подверженной утечке информации в организации, несомненно, оказала влияние специфика организации. Например, для издательств и научных организаций, несомненно, больше ценится интеллектуальная собственность. А для сферы, где уровень конкуренции достаточно высок - детали конкретных сделок. Финансовые отчеты, согласно ФЗ «О коммерческой тайне», таковой не являются ФЗ от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.07.2007).. Здесь респонденты дополнительно выделили информацию о клиентах и поставщиках: а) персональные данные - 29 %; б) финансовые отчеты - 16 %; в) детали конкретных сделок - 26 %; г) интеллектуальная собственность - 16 %; д) бизнес-планы - 10 %.

Рисунок 3 - Наиболее подверженная утечке информация

Как показывает исследование, в качестве наиболее действенных средств защиты информации респонденты отдельно отметили регулярное резервное копирование (бэкап) и организационные средства защиты. За антивирус отдали голоса 22,9% респондентов.

Респондентами отдельно была отмечена опасность низкоуровневых DDOS-атак.

Согласно исследованию, планы организаций компании по наращиванию систем информационной безопасности в ближайшие три года выглядит следующим образом. Часть респондентов заявила, что у них нет никаких планов, часть, что секретная информация не предвидится и «к тому, что есть, не требуется особых дополнений»: а) система защиты от утечек - 11 %; б) шифрование данных при хранении - 14 %; в) системы контроля идентификации и доступа - 19 %; г) ИТ-системы физической безопасности - 9 %; д) защита от внешних вторжений (IDS/IPS) - 19 %; е) система резервного копирования - 19 %. Интересным показалось предложение поменять бухгалтера.

Рисунок 4 - Планы организаций по наращиванию систем информационной безопасности

Российские и международные ГОСТы, предъявляющие требования к управлению документами и построению систем защиты информации, позволяют классифицировать риски электронных систем следующим образом: защита от несанкционированного доступа утечки информации, защита от физической порчи, утраты, защита от изменений, защита от не правильного использования, защита от невозможности использования. Каждый из этих рисков имеет цену. В сумме они могут составить цифру, способную разорить любую организацию ГОСТ Р ИСО 15489-1-2007 Управление документами. Общие требования; ИСО/МЭК 27001 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования; Скиба О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. - № 12. - С. 24..

Возможность пользоваться с работы электронной почтой относится к организационным мерам информационной защиты: а) только корпоративной почтой (внутри организации) - 19 %; б) только корпоративной почтой (в том числе переписываться с внешними абонентами) - 31 %; в) почтовыми ящиками любых сайтов - 44 %; г) внутрикорпоративный ящик и внешняя почта разделены, доступ к внешней почте с отдельного рабочего места - 6 %.

Перлюстрация - тайное вскрытие и просмотр пересылаемой по почте корреспонденции. Фактически - предупреждение различных преступных деяний. В исследуемых организациях перлюстрация - это: а) нормальная практика - 19%; б) нарушение прав человека - 60 %; в) бесполезное занятие - 21 %.

При изучении принципов защиты информации также исследовались права пользователей. Так, доступ в Интернет в организации: а) свободный для всех без ограничений по ресурсам - 29 %; б) свободный за исключением некоторых сайтов - 29 %; в) разрешен только руководителям и некоторым специалистам - 42 %. Дело в том, что путешествие по сети Интернет может привести к заражению компьютера вредоносным ПО. Ограничение прав пользователей способно ограничить риск заражения.

Рисунок 5 - Права сотрудников организации на доступ в Интернет

Телефонные разговоры по личным вопросам на работе. Их ограничение сокращает утечку коммерческой информации. Итог: телефонные разговоры а) запрещены и контролируются - 8 %; б) запрещены и не контролируются - 58 %; в) не ограничены - 34 %.

Брать работу на дом (практически означает выносить защищаемую информацию за пределы организации, что, конечно, не способствует повышению уровня безопасности: а) невозможно - 29 %; б) обычная практика - 47 %; в) запрещено формально - 34 %.

Личное отношение к ограничениям, связанным с обеспечением информационной безопасности - опять же, субъективная оценка, показывающая отношение к защите информации - принятие-непринятие установленных мер, привычка. Личное отношение к ограничениям: а) несущественны - 36 %; б) неприятно, но терпимо - 20 %; в) причиняют значительные неудобства, и при этом часто бессмысленны - 0 %; г) причиняют значительные неудобства, но без этого не обойтись - 18 %; д) у меня нет никаких ограничений - 26 %.

Рисунок 6 - Личное отношение к ограничениям, связанным с обеспечением информационной безопасности

При формировании системы информационной защиты необходимо учитывать специфику каждой отдельной организации. Для каждого случая надо формировать свой комплекс мер по защите от подделки. Стоимость производства документа должна оправдывать экономический эффект от мероприятия. Также как доход от производства подделки должен превышать затраты на его изготовление. Следует ограничивать документы по периодам обращения: новый дизайн бланков, новые логотипы и прочие ротационные изменения могут предупредить часть подделок. В зависимости от применяемых технологий защиты следует определиться, целесообразно ли применения программно-аппаратного комплекса защиты, обеспечивающего диагностику подлинности экземпляра выбранного документа. Новые алгоритмы сравнения изображений в дополнение к комбинации компонентов программного продукта способны определить подлинность документа.

Прежде всего, необходимо разработать и утвердить организационные документы, закрепляющие порядок работы сотрудников с документами, подлежащими защите. Например, политику безопасности. Для этого необходимо составить перечень документов, подлежащих защите, идентифицировать угроз безопасности, оценить риски, т.е. провести аудит информационной безопасности.

На основе собранной в процессе аудита безопасности информации разрабатывается проект политики безопасности. Для этого может быть использован типовой проект политики, с адаптацией его к специфическим особенностям организации.

После утверждения документа необходимо внедрить его в организации, а это обычно встречает сопротивление со стороны сотрудников организации, поскольку налагает на них дополнительные обязанности, усложняет работу. Поэтому система безопасности документов должна быть тщательно продумана и целесообразна, не должна создавать значительные трудности в работе.

По итогам проведенного исследования можно сделать следующие выводы:

Наиболее опасные угрозы информационной безопасности: сбой информационной системы, утечка информации, искажение данных.

Документы, представляющие наибольший интерес для злоумышленников - договоры, документы, содержащие персональные данные.

Наиболее действенными средствами защиты электронных документов является резервное копирование и организационные меры защиты.

ООО «Астра-ком» характеризуется высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения принимаемых мер недостаточно.

Итак, очевидно, что в ООО «Астра-ком» учтены принципы защиты информации на компьютере.

Для обеспечения защиты коммерческой информации на ООО «Астра-ком» введен определенный порядок работы с информацией и доступа к ней, включающий в себя комплекс административных, правовых, организационных, инженерно-технических, финансовых, социально-психологических и иных мер, основывающихся на правовых нормах республики или на организационно-распорядительных положениях руководителя предприятия (фирмы). Эффективная защита коммерческой тайны возможна при обязательном выполнении ряда условий:

единство в решении производственных, коммерческих, финансовых и режимных вопросов;

координация мер безопасности между всеми заинтересованными подразделениями предприятия;

научная оценка информации и объектов, подлежащих классификации (защите). Разработка режимных мер до начала проведения режимных работ;

персональная ответственность (в том числе и материальная) руководителей всех уровней, исполнителей, участвующих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охраны проводимых работ.

Включение основных обязанностей рабочих, специалистов и администрации по соблюдению конкретных требований режима в коллективный договор, контракт, трудовое соглашение, правила трудового распорядка.

На анализируемом предприятии ООО «Астра-ком» организована служба безопасности. В службу предприятия входят: подразделение защиты информации, подразделение технических средств связи и противодействия техническим средствам разведки, подразделение охраны.

Службе безопасности ООО «Астра-ком» при организации защиты коммерческой тайны необходимо учитывать следующие возможные методы и способы сбора информации: опрос сотрудников изучаемой фирмы при личной встрече; навязывание дискуссий по интересующим проблемам; рассылка в адреса предприятий и отдельных сотрудников вопросников и анкет; ведение частной переписки научных центров и ученых со специалистами.

Для сбора сведений в ряде случае представители конкурентов могут использовать переговоры по определению перспектив сотрудничества, созданию совместных предприятий.

Наличие такой формы сотрудничества, как выполнение совместных программ, предусматривающих непосредственное участие представителей других организаций в работе с документами, посещение рабочих мест, расширяет возможности для снятия копий с документов, сбора различных образцов материалов, проб и т.д. При этом с учетом практики развитых стран экономические соперники могут прибегнуть в том числе и к противоправным действиям, промышленному шпионажу.

Наиболее вероятно использование следующих способов добывания информации: визуальное наблюдение; подслушивание; техническое наблюдение; прямой опрос, выведывание; ознакомление с материалами, документами, изделиями и т.д.; сбор открытых документов и других источников информации; хищение документов и других источников информации; изучение множества источников информации, содержащих по частям необходимые сведения.

Аналитические исследования, моделирование вероятных угроз позволяют наметить при необходимости дополнительные меры защиты. При этом следует оценить вероятность их выполнения, наличие методического материала, материального обеспечения, готовность СБ и персонала их выполнить. При планировании учитываются имевшие место на предприятии недостатки в обеспечении сохранности КТ.

Планируемые мероприятия должны: способствовать достижению определенных задач, соответствовать общему замыслу; являться оптимальными.

В практике работы с персоналом работникам службы безопасности ООО «Астра-ком» можно порекомендовать проверять не только хранение сотрудниками коммерческой тайны, но и отношение их своим служебным обязанностям, аккуратность в обращении с документами, излишний “интерес” к другим подразделениям. Кроме того, для выявлении конкретных работников, осуществляющих разглашение конфиденциальной информации, занимающихся хищением денег, либо совершающих другие неправомерные действия, угрожающие экономическому положению фирмы необходимо обратить внимание на следующее: внезапный активный интерес к конфиденциальной информации, деятельности других подразделений; изменение поведения работника в общении с коллегами, в разговорах, появление неуверенности, страха; резкое увеличение расходов работника, приобретение дорогостоящих товаров, недвижимости.

Для поддержания высокого уровня защищенности экономических интересов фирмы службе безопасности целесообразно проводить проверки лиц, которые могут, пользуясь своим служебным положением, представлять угрозы безопасности.

Кроме того, директору ООО «Астра-ком» необходимо проводить такую внутреннюю политику, чтобы минимизировать количество недовольных работников (служебным положением, оплатой труда и пр) и особенно стараться сохранять хорошие отношения с увольняющимися работниками. В этом случае вероятность утечки информации будет снижена.

Обязательным условием эффективной системы экономической безопасности является формирование собственной картотеки клиентов с разбивкой по степени их надежности, а также участие в формировании межсубъектных региональных и общероссийских банков данных, использование их информации о контрагентах.

Организация системы защиты вписывается в обстановку на фирме. В связи с этим крайне важен учет принципиальных проходящих в ней и предполагаемых изменений.

Таким образом, система организации защиты коммерческой тайны ООО «Астра-ком»включает в себя комплекс заранее разработанных на определенный срок мер, охватывающих совокупность всех видов деятельности, направленных на совершенствование обеспечения сохранности информации с учетом изменений внешних и внутренних условий и предписывающих конкретным лицам или подразделений определенный порядок действий.