Но одним внедрением в программу защитного кода ее не защитить, так как этот код может быть изучен злоумышленником и нейтрализован (модифицирован). Для действенной защиты программы необходимо включить в исполняемый код специальные механизмы для защиты от отладчиков и дизассемблеров, а также усложнить анализ исполняемого кода, внести в него неопределенность.
Следует помнить, что полностью защитить программу или базу данных от несанкционированного копирования невозможно. Система защиты способна лишь затруднить и отсрочить взлом программы. Существуют, тем не менее, защиты, время преодоления которых по затратам труда и машинного времени сравнимы с разработкой аналогичной системы. Зачастую, при невысокой цене одной копии, конечному пользователю бывает выгоднее купить необходимое число инсталляций, чем оплачивать квалифицированный.
Безопасность информации в корпоративной сети
На ПК пользователей для защиты используются встроенные средства защиты информации операционных систем Windows XP Professional. Важная информация защищается от порчи и НСД с помощью возможностей файловой системы NTFS.
В любом подразделении остается открытой проблема считывания важной информации с дисплея и получения пароля путем слежения за пальцами легального пользователя, его угадывание или bruteforce (метод грубой силы).
Испорчена информация любой степени важности может быть из-за деструктивного программного кода (в том числе вирусы). Подобный код может попасть в филиал через дискеты и СD, принесенные извне. Для минимизации этой угрозы на ПК установлены антивирусные программы фирм «Semantic» и «Лаборатория Касперского», неоднократно признанные победителями всемирно известных конкурсов антивирусного ПО.
НСД к закрытой информации может быть осуществлен с помощью спецоборудования, основанного на анализе электромагнитного излучения объектов ИС. В данный момент помимо экранированной «витой пары» не применяются средства защиты от этой угрозы безопасности данных.
В связи с тем, что на ПК и серверах определенных подразделений хранится закрытая информация, а также информация, которая не является необходимой для сотрудников других подразделений, доступ из сети одного отдела к сети в другую ограничен с помощью брандмауэров с фильтрацией пакетов.
Сметы двух вариантов оснащения предприятия представлены в таблице 3.
Таблица 3 — Итоговые сметы
| Параметр | Вариант 1 | Вариант 2 |
| Стоимость* | ||
| Система контроля и управления доступом | 31215 | 694 800 |
| Система охранного телевидения объекта | 1033088 | 986483 |
| Система охранного телевидения офиса | 416110 | 460849 |
| Охранно-пожарная система | 28950 | 10188 |
| Система противодействия экономическому шпионажу | 17845 | 37265 |
| Сумма | 1527208 | 2189585 |
| Общий уровень риска нарушения ИБ, расчитанный с помощью программ Гриф и Кондор | 10.52 % | 6.38% |
*Стоимость указана в российских рублях
Библиографический список
1. Соломенко А.В. Монтаж объектовых комплексов технических средств охраны, пожарной и охранно-пожарной сигнализации. Воронеж: Воронежская высшая школа МВД РФ, 1997.
2. Халяпин Д.Б. Технические средства охраны объектов. М., 1998 (библиотека ФЗИ).
3. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки. М.: Российск. гос. гуманит. ун-т, 2002, - 399с.
4. ООО «Пожпроект».(http://pozhproekt.ru/category/articles/cenoobrazovanie-i-smety)
5. ООО «Проектирование систем безопасности».(http://www.vt-center.ru/engineering)
6. Каталог системы безопасности. Межотраслевой тематический каталог. – 2004. – № 1(11). – 368 с.; – 2005. – № 1(12). – 344 с.; – 2006. – № 1(13). – 384 с.; – 2007. – № 1(14). – 344 с. 2008. – № 1(15). – 344 с.
7. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. – М.: Изд-во стандартов, 1995.
8. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. – М.: Изд-во стандартов, 1999.
9. РД ГТК. РФ. Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов. Показатели защищенности от вирусов. - М.: 1997.
10. РД ГТК РФ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М.: 1997.
11. РД ГТК РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. М.: 1992.
12. РД ГТК РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. - М.: 1992.
13. РД ГТК РФ. Концепция защиты СВТ и АС от НСД к информации. – М.: 1992.
14. РД ГТК РФ. Защита от несанкционированного доступа к информации. Термины и определения. – М.: 1992.
Приложение
(обязательное)
Отчет 1
Условные обозначения
Р - риск;НТ - невыполненные требования.
Период: 26.11.2010
1. Сводные данные
Сводные данные по системе
| Показатель | Значение |
| Всего требований | 686 |
| Выполнено | 616 |
| Не выполнено | 70 |
| Уровень риска, % | 10,52% |
| Затраты на контрмеры, у.е. | 0.00 |
1.2 Сводные данные по разделам
| № | Раздел | Всего требований | Выполнено | Не выполнено | Уровень риска, % | Затраты на контрмеры, у.е. |
| 1 | Политика безопасности | 19 | 15 | 4 | 19,51 | 0.00 |
| 2 | Организационные меры | 41 | 14 | 27 | 58,46 | 0.00 |
| 3 | Управление ресурсами | 22 | 22 | 0 | 0 | 0.00 |
| 4 | Безопасность персонала | 33 | 21 | 12 | 35,18 | 0.00 |
| 5 | Физическая безопасность | 77 | 70 | 7 | 4,81 | 0.00 |
| 6 | Управление коммуникациями и процессами | 148 | 145 | 3 | 2,00 | 0.00 |
| 7 | Контроль доступа | 165 | 155 | 10 | 6,30 | 0.00 |
| 8 | Разработка и сопровождение систем | 103 | 98 | 5 | 5,15 | 0.00 |
| 9 | Непрерывность ведения бизнеса | 28 | 28 | 0 | 0 | 0.00 |
| 10 | Соответствие системы требованиям | 50 | 48 | 2 | 3,89 | 0.00 |
2. Политика безопасности
2.1 Сводные данные по разделу
| Показатель | Значение |
| Всего требований | 19 |
| Выполнено | 15 |
| Не выполнено | 4 |
| Уровень риска, % | 19,51 |
| Затраты на контрмеры, у.е. | 0.00 |
2.2 Выполненные требования
1. (3.1) В информационной системе должна существовать политика безопасности
2. (3.1.1) Политика безопасности должна утверждаться руководством организации
3. (3.1.1) Политика безопасности должна доноситься до всех сотрудников в простой и понятной форме
4. (3.1.1) Политика безопасности должна включать в себя
· Определение информационной безопасности, ее основные цели и область ее применения, а также ее значение как механизма, позволяющего коллективно использовать информацию
· Позицию руководства по вопросам реализации целей и принципов информационной безопасности
· Определение общих и конкретных обязанностей по обеспечению режима информационной безопасности
· Ссылки на документы, сопутствующие политике безопасности, например детализированные принципы безопасности и процедуры для специфичных информационных систем или правила для пользователей
5. (3.1.1) Политика безопасности должна удовлетворять определенным требованиям
· Соответствовать государственному и международному законодательству
· Содержать положения по обучению персонала вопросам безопасности
· Включать инструкции предупреждения и обнаружения вредоносного программного обеспечения
· Должны быть определены последствия нарушений положений политики безопасности
· Учитывать требования непрерывности ведения бизнеса
6. (3.1.1) Должен быть определен сотрудник, ответственный за процедуры пересмотра и обновления положений политики безопасности
7. (3.1.2) Пересмотр положений политики безопасности обязательно должен проводиться в результате следующих случаев
Изменений в организационной или технической инфраструктуре организации
8. (3.1.2) Регулярному анализу подлежат следующие характеристики политики безопасности
Стоимость и степень влияния контрмер на эффективность деятельности организации
3. Организационные меры
Сводные данные по разделу
| Показатель | Значение |
| Всего требований | 41 |
| Выполнено | 14 |
| Не выполнено | 27 |
| Уровень риска, % | 58,46 |
| Затраты на контрмеры, у.е. | 0.00 |
4. Управление ресурсами
Сводные данные по разделу
| Показатель | Значение |
| Всего требований | 22 |
| Выполнено | 22 |
| Не выполнено | 0 |
| Уровень риска, % | 0,00 |
| Затраты на контрмеры, у.е. | 0.00 |
5. Безопасность персонала
5.1 Сводные данные по разделу
| Показатель | Значение |
| Всего требований | 33 |
| Выполнено | 21 |
| Не выполнено | 12 |
| Уровень риска, % | 35,18 |
| Затраты на контрмеры, у.е. | 0.00 |
6. Физическая безопасность