Обособленное подразделение ЗАО «ПФ «СКБ Контур» в г. Уфе450078, г.Уфа, ул. Айская, 46, 2 этаж Телефон: (347) 252-40-55, 252-07-58, 248-15-75Электронная почта: kontur@ufanet.ru |
Ханты-Мансийск
Обособленное подразделение ЗАО «ПФ «СКБ Контур» в г. Ханты-Мансийске628012, г. Ханты-Мансийск, Комсомольская ул.,18Телефон: (3467) 34-90-30, 30-03-73Электронная почта: hmao@skbkontur.ru |
Челябинск
Челябинский филиал ЗАО "ПФ "СКБ Контур"454080, г.Челябинск, ул.Энтузиастов, 16 Телефон: (351) 729-86-86, 211-32-40Электронная почта: 74@skbkontur.ru |
ООО «СКБ Контур» представляет собой вертикально-дифференцированную организацию, общие принципы работы которой распределены в пространстве между подразделениями, рабочими группами различных проектов в интересах максимальной прибыли и дальнейшего развития.
У центрального органа управления в подчинении находятся периферийные органы управления, распределенные в пространстве:
-C1 – ООО «СКБ Контур» Северо - Запад;
-C2 – ООО «СКБ Контур» Приволжье ;
-С3 – ООО «СКБ Контур» Дальний Восток;
-C4 – ООО «СКБ Контур» Сибирь;
По проведённым ранее исследованиям был рассчитан примерный объём обмениваемых данных за сутки составил в общем 49 Гб/сутки.
В среднем обмен между органами управления осуществляется со следующей скоростью:
1) С0– С1 : 14 Гб/час;
2) С0– С2 : 11 Гб/час;
3) С0– С3 : 9 Гб/час;
4) С0– С4 : 8Гб/час;
5) С0– С5 : 7 Гб/час.
По характеру использования принимаемая информация в организации подразделяется на следующие категории:
• Оперативная (технические задания и т.п.);
• Письменная/печатная аналитическая (обзоры, статьи, рассылки);
• Рабочие видео/фотоматериалы;
• Служебная финансовая (налоговая информация);
• Административная.
Передаваемую информацию также можно разделить на категории:
• Производственная (проектная документация, чертежи, сметы и т.п.);
• Служебная финансовая;
• Административная.
Прием и передача информации производится по следующим каналам:
Интранет
Внутренний обмен цифровой информацией (переписка, обмен файлами).
Интернет (открытый)
Получение оперативной информации, служебная переписка, обмен файлами с партнерами, контрагентами и др.
Интернет (виртуальные частные сети, VPN)
Обмен финансовой и другой конфиденциальной информацией.
Телефонная связь/факс
Обмен служебной и административной информацией как внутри организации, так и с партнерами.
Курьерская служба
Обмен неэлектронной и строго конфиденциальной информацией с партнерами ( документы, лицензионные ПО, др.)
Схема головного офиса и подразделений представлена в Приложении 1.
Оpганизационная структура центрального органа управления «СКБ Контур» в Приложении 2.
Структурная схема ЛВС организации представлена в Приложении 3.
Настоящий реферат ставит целью разработать эффективную стратегию информационной безопасности организации, позволяющую исключить или минимизировать ущерб, вызванный той или иной угрозой. Т.е. определение и внедрение средств и мер, позволяющих:
1. Исключить возможность непосредственного проникновения злоумышленника из внешней среды (интернета) через уязвимости программного и аппаратного обеспечения;
2. .Минимизировать возможность поражения отдельных компьютеров или всей сети "Троянскими" программами и вирусами, внедрить средства мониторинга "подозрительной" активности в ЛВС и на компьютерах, а также средства сканирования на известные виды вирусов;
3. Внедрить практику защиты (шифрования) данных, передаваемых по открытым каналам связи;
4. .Разработать систему разграничения прав пользователей, а также систему мониторинга доступа к данным, позволяющую выявлять факты недобросовестного доступа;
5. Наладить процесс периодического архивирования данных, в результате чего минимизируется ущерб при их случайной потере.
Таблица 1. Основные угрозы безопасности
Наименование угрозы | Идентификатор | Источник |
Прямой удаленный доступ к ресурсам ЛВС | УДС | Интернет, VPN |
"Троянские" программы | ТРП | Вебсайты, рассылки |
Вирусы | ВИР | Вебсайты, рассылки |
Перехват данных | ПД | Эл. почта |
Кража информации | КР | Недобросовестные сотрудники |
Случайная потеря данных | ПТД | Ошибки персонала, сбои оборудования и ПО |
В таблице перечислены основные угрозы информационной безопасности организации. Ниже приводятся характеристики каждой из угроз:
Таблица 2. Характеристика угроз безопасности
Угроза | Частота появления | Результат воздействия | Степень опасности | Оценка вреда (% дохода) | Время восстановления | Средства борьбы |
УДС | 2-3 раза в год | Утечка информации | С | 2%-20% | 1-3 нед. | Файервол |
ТРП | 5-10 раз в год | Утечка информации, нарушение работоспособности ЛВС | С | 3%-20% | 1 нед. — 1 мес. | Антивирусная программа |
ВИР | 1 раз в месяц | Нарушение работоспособности ЛВС | H | 2%-5% | 1 нед. — 1 мес. | Антивирусная программа |
ПД | 1 раз в год | Утечка конфиденциальной информации | В | 5%-30% | — | Шифрование |
КР | менее 1 раза в год | Утечка конфиденциальной информации | С | 10%-30% | — | Адм. меры |
ПТД | менее 1 раза в год | Потеря информации | С | 10%-70% | 1-6 мес. | Архивация данных |
Для каждого типа угрозы необходимо выбрать соответствующее средство защиты. Ниже приведены наиболее подходящие средства защиты для данной организации.
Межсетевые экраны (файерволы) — применяются с целью защиты ЛВС или ее части от прямого несанкционированного доступа извне. Подразделяются на программные и аппаратные решения. Наиболее популярные на сегодняшний день:
• Kaspersky Internet Security (программный);
• Microsoft ISA Server (программный);
• ZyWALL 1050 (аппаратный).
Для борьбы с вирусами и "троянскими" программами применяются Антивирусы, которые могут быть использованы как в качестве коллективного средства защиты, так и индивидуального. Список распространенных антивирусных программ:
• Kaspersky Anti-Virus
• Norton Antivirus
Предотвращение перехвата и подделки данных, передаваемых через открытые каналы связи, осуществляется средствами Криптографической защиты — шифрованием и электронной цифровой подписью (ЭЦП). Шифрование применяется для сокрытия содержимого передаваемой информации, ЭЦП — для предотвращения подделки передаваемых данных с целью доставки вредоносных программ в сеть организации с последующими попытками ее взлома.
• Цифровой конверт "Веста";
• AladdinSecretDisk — система защиты конфиденциальной информации;
Для обеспечения сохранности данных организации и минимизации возможности случайных потерь по тем или иным причинам используются Системы архивирования данных:
• Система архивирования данных АНТРЕЛ;
• IBM Tivoli Storage Manager;
• SunSAM — система управления архивами.
Как правило, средства разграничения доступа представлены в виде Службы каталогов.
Служба каталогов — программный комплекс, позволяющий администратору владеть упорядоченным по ряду признаков массивом информации о сетевых ресурсах (общие папки, сервера печати, принтеры, пользователи и т.д.), хранящийся в едином месте, что обеспечивает централизованное управление, как самими ресурсами, так и информацией о них, а также позволяющий контролировать использование их третьими лицами.
На сегодняшний день наибольшее распространение получил сетевой протокол LDAP (LightweightDirectoryAccessProtocol) как средство реализации и доступа к службе каталогов. LDAP — это стандарт, разработанный и поддерживаемый комитетом IETF. Протокол включает в себя представление всех ресурсов в виде иерархической (древовидной) структуры, представление отдельного ресурса — в виде именованной записи с атрибутами.
Существует множество реализаций данного стандарта, как открытых, так и проприетарных. Вот список наиболее распространенных из них:
• Apache Directory Server
• Apple Open Directory
• CA Directory (http://ca.com/us/products/product.aspx?id= 160)
• Fedora Directory Server
• IBM Tivoli Directory Server
• Mandriva Directory Server http://mds.mandriva.org/
• Microsoft Active Directory
• Novell eDirectory
• OpenLDAP
• Oracle Internet Directory
• Penrose — виртуальный сервер директорий, основанный на Java (http: //penrose. safehaus. org)
• Siemens DirX
• Sun Java System Directory Server Tinyldap (http://vvww.fefe.de/tinyldap/)
• Openwave LDAP Directory Server (http://www.openwavexom/us/products/messagingj>roducts/directory/)
Первый шаг к обеспечению безопасности ресурсов ЛВС - способность проверить личности пользователей. Процесс подтверждения (проверки) личности пользователя назван установлением подлинности (аутентификацией). Аутентификация обеспечивает основу для эффективного функционирования других мер и средств защиты, используемых в ЛВС. Например, механизм регистрации позволяет получить информацию об использовании пользователями ресурсов ЛВС, основанную на идентификаторе пользователя. Механизм управления доступом разрешает доступ к ресурсам ЛВС, основываясь на идентификаторе пользователя. Оба этих средства защиты эффективны только при условии, что пользователь, использующий службу ЛВС - действительный пользователь, которому назначен данный идентификатор пользователя