Разработка комплекса мероприятий по модернизации существующей системы информационной безопасности

В результате анализа системы информационной безопасности ОАО «Газпром» были выявлены существенные уязвимости системы. Для разработки мероприятий с целью устранения выявленных недочетов системы безопасности выделим следующие группы сведений, которые подлежат защите:

- сведения о частной жизни сотрудников, позволяющие идентифицировать их личность (персональные данные);

- сведения, связанные с профессиональной деятельностью и составляющие банковскую, аудиторскую и тайну связи;

- сведения, связанные с профессиональной деятельностью и отмеченные как сведения «для служебного пользования»;

- информация, уничтожение или изменение которой отрицательно скажутся на эффективности работы, а восстановление потребует дополнительных затрат.

С точки зрения административных мер были разработы следующие рекомендации:

- система защиты информации должна соответствовать законодательству Российской Федерации и государственным стандартам;

- классификация и категорирование защищаемых информационных ресурсов и установление порядка доступа к ним должны быть закреплены в документах предприятия;

- здания и помещения, где установлены или хранятся средства обработки информации, производятся работы с защищаемой информацией, должны охраняться и быть защищены средствами сигнализации и пропускного контроля;

- проведение обучения персонала по вопросам информационной безопасности (объяснять важность парольной защиты и предъявляемых к паролю требований, проводить инструктаж по антивирусному ПО и т.п.) следует организовывать при приеме сотрудника на работу;

- каждые 6-12 месяцев проводить тренинги, направленные на повышение грамотности сотрудников в сфере информационной безопасности;

- аудит системы и корректировка разработанных регламентов должна проводиться ежегодно, 1 октября, или незамедлительно после внедрения серьезных изменений в структуру предприятия;

- права доступа каждого пользователя к информационным ресурсам должны оформляться документально (при необходимости доступ запрашивается у руководителя письменным заявлением);

-обеспечение политики информационной безопасности должны обеспечивать администратор по программному обеспечению и администратор по аппаратному обеспечению, их действия координируются начальником группы.

Сформулируем политику в отношении паролей:

- не хранить их в незашифрованном виде (не записывать их на бумагу, в обычный текстовый файл и т.п.);

- менять пароль в случае его разглашения или подозрения на разглашение;

- длина должна быть не менее 8 символов;

- в числе символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы, пароль не должен включать в себя легко вычисляемые последовательности символов (имена, клички животных, даты);

- менять один раз в 6 месяцев (внеплановая замена пароля должна производиться немедленно после получения уведомления о происшествии, инициировавшем замену);

- при смене пароля нельзя выбирать те, которые использовались ранее (пароли должны отличаться, по меньшей мере, на 6 позиций).

Сформулируем политику в отношении антивирусных программ и обнаружения вирусов:

- на каждой рабочей станции должно быть установлено лицензионное антивирусное ПО;

- обновление антивирусных баз на рабочих станциях с выходом в Интернет – 1 раз в сутки, без выхода в Интернет – не реже 1 раза в неделю;

- установить автоматическую проверку рабочих станций на обнаружение вирусов (частота проверок – 1 раз в неделю: пятница, 12:00);

- прервать обновление антивирусных баз или проверку на вирусы может только администратор (следует установить на указанное действие пользователя парольную защиту).

Сформулируем политику в отношении физической защиты:

- техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям, проводить каждые 1-2 месяца;

- сетевые кабели должны быть защищены от несанкционированного перехвата данных;

- записи обо всех предполагаемых и действительных сбоях, произошедших с оборудованием должны сохраняться в журнале

- каждая рабочая станция должна быть снабжена источником бесперебойного питания.

Определим политику в отношении резервирования информации:

- для резервных копий следует отвести отдельное помещение, находящееся за пределами административного здания (помещение должно быть оборудовано электронным замком и сигнализацией);

- резервирование информации следует проводить каждую пятницу, в 16:00.

Политика в отношении приема/увольнения сотрудников должна иметь следующий вид:

- о любых кадровых изменениях (прием, повышение, увольнение сотрудника и т.п.) должно в течение 24 часов сообщаться администратору, который, в свою очередь, в срок, равный половине рабочего дня должен внести соответствующие изменения в систему разграничения прав доступа к ресурсам предприятия;

- новый сотрудник должен проходить инструктаж у администратора, включающий ознакомление с политикой безопасности и всеми необходимыми инструкциями, уровень доступа к информации новому сотруднику назначается руководителем;

- при увольнении сотрудника из системы удаляются его идентификатор и пароль, проводится проверка рабочей станции на наличие вирусов, анализ целостности данных, к которым у сотрудника имелся доступ.

Политика в отношении работы с локальной внутренней сетью (ЛВС) и базами данных (БД):

- при работе на своей рабочей станции и в ЛВС сотрудник должен выполнять только задания, непосредственно касающиеся его служебной деятельности;

- о сообщениях антивирусных программ о появлении вирусов сотрудник должен ставить в известность администратора;

- никому, кроме администраторов, не разрешается вносить изменения в конструкцию или конфигурацию рабочих станций и другие узлы ЛВС, производить установку любого программного обеспечения, оставлять без контроля рабочую станцию или допускать к ней посторонних лиц;

- администраторам рекомендуется постоянно держать запущенными две программы: утилиту обнаружения атаки ARP-spoofing и сниффер, использование которого позволит увидеть сеть глазами потенциального нарушителя, выявить нарушителей политики безопасности;

- следует установить ПО, препятствующее запуску других программ, кроме назначенных администратором, исходя из принципа: «Любому лицу предоставляются привилегии, необходимые для выполнения конкретных задач». Все неиспользуемые порты компьютера должны быть аппаратно или программно дезактивированы;

- ПО следует регулярно обновлять.

Политика в отношении работы с Интернет:

- за администраторами закрепляется право ограничивать доступ к ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а так же к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством;

- сотруднику запрещается загружать и открывать файлы без предварительной проверки на наличие вирусов;

- вся информация о ресурсах, посещаемых сотрудниками компании, должна сохраняться в журнале и, при необходимости, может быть предоставлена руководителям отделов, а также руководству

- конфиденциальность и целостность электронной корреспонденции и офисных документов обеспечивается за счёт использования ЭЦП.

Помимо этого, сформулируем основные требования к составлению паролей для сотрудников компании ОАО «Газпром».

Пароль – все равно что ключи от дома, только является ключом к информации. Для обычных ключей крайне нежелательно быть потерянными, украденными, переданными в руки незнакомого человека. То же самое и с паролем. Конечно, сохранность информации зависит не только от пароля, для ее обеспечения требуется установить целый ряд специальных настроек и, быть может, даже написать программу, защищающую от взлома. Но выбор пароля – это именно то действие, где только от пользователя зависит, насколько сильным будет это звено в цепи мер, направленных на защиту информации.

При выборе пароля следует руководствоваться следующими правилами:

1) пароль должен быть длинный (8-12-15 символов);

2) содержать как ЗАГЛАВНЫЕ, так и прописные латинские буквы;

3) содержать цифры;

4) не должен являться словом из словаря (любого, даже словаря специальных терминов и сленга), именем собственным или словом кириллицей, набранным в латинской раскладке (латынь - kfnsym);

5) его нельзя связать с владельцем;

6) он меняется периодически или по мере надобности;

7) не используется в этом качестве на различных ресурсах (т.е. для каждого ресурса – для входа в почтовый ящик, операционную систему или базу данных – должен использоваться свой, отличающийся от других, пароль);

8) его возможно запомнить.

Выбирать слова из словаря нежелательно, поскольку злоумышленник, проводя атаку «по словарю», будет пользоваться программами, способными перебирать до сотен тысяч слов в секунду.

Любая информация, связанная с владельцем (будь то дата рождения, кличка собаки, девичья фамилия матери и тому подобные «пароли»), может быть легко узнана и угадана.

Использование заглавных и прописных букв, а также цифр значительно усложняет задачу злоумышленника по подбору пароля.

Пароль следует хранить в секрете, а если вы заподозрите, что пароль стал кому-то известен, смените его. Также очень полезно менять их время от времени.

 

ЗАКЛЮЧЕНИЕ

Проведенное исследование позволило сделать следующие выводы и сформулировать рекомендации.

Установлено, что основной причиной проблем предприятия в области защиты информации является отсутствие политики обеспечения информационной безопасности, которая включала бы организационные, технические, финансовые решения с последующим контролем их реализации и оценкой эффективности.

Сформулировано определение политики информационной безопасности как совокупности закрепленных документально решений, целью которых является обеспечение защиты информации и связанных с ней информационных рисков.

Проведенный анализ системы информационной безопасности выявил существенные недостатки, в числе которых:

- хранение резервных копий в серверной, резервный сервер находится в одном помещении с основными серверами;

- отсутствие надлежащих правил в отношении парольной защиты (длина пароля, правила его выбора и хранения);

- администрированием сети занимается один человек.

Обобщение международной и российской практики в области управления информационной безопасностью предприятий позволило заключить, что для ее обеспечения необходимы:

- категорирование информации (на служебную или коммерческую тайну);

- прогнозирование и своевременное выявление угроз безопасности, причин и условий, способствующих нанесению финансового, материального и морального ущерба;

- создание условий деятельности с наименьшим риском реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий для эффективного реагирования на угрозы информационной безопасности на основе правовых, организационных и технических средств.

В первой главе работы рассмотрены основные теоретические аспекты. Дан обзор нескольких стандартов в области информационной безопасности. Сделаны выводы по каждому и в целом, и выбран наиболее подходящий стандарт для формирования политики ИБ.

Во второй главе рассмотрена структура организации, проанализированы основные проблемы связанные с информационной безопасностью. Как результат сформированы рекомендации по обеспечению должного уровня информационной безопасности. Так же рассмотрены меры для предотвращения дальнейших инцидентов, связанных с нарушением информационной безопасности.

Конечно, обеспечение информационной безопасности организации – это непрерывный процесс, требующий постоянного контроля. И естественно сформированная политика не является железным гарантом защиты. Помимо внедрения политики нужен постоянный контроль за ее качественным исполнением, а так же совершенствованием в случае каких-либо изменений в компании или прецедентов. Для организации рекомендовано было взять в штат так же сотрудника, деятельность которого будет напрямую связана с этими функциями (администратор защиты).

 

 

СПИСОК ЛИТЕРАТУРЫ

1. Белов Е.Б. Основы информационной безопасности. Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов. -М.: Горячая линия - Телеком, 2006. – 544с

2. Галатенко В.А. Стандарты информационной безопасности: курс лекций. Учебное

пособие. - 2-ое издание. М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2009. - 264 с.

3. Глатенко В.А. Стандарты информационной безопасности / Открытые системы 2006.- 264с

4. Долженко А.И. Управление информационными системами: Учебный курс. - Ростов-на-Дону: РГЭУ, 2008.-125 с

5. Калашников А. Формирование корпоративной политики внутренней информационной безопасности http://www.bytemag.ru/?ID=612637

6. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации/ М.2009- 280с

7. Мэйволд Э., Безопасность сетей. Самоучитель // Эком, 2009.-528 с

8. Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И., Основы организационного обеспечения информационной безопасности объектов информатизации // Гелиос АРВ, 2008 г., 192 с

9. Тихонов В.А., Райх В.В., Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты // Гелиос АРВ, 2009г., 528 с

10. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства.:М - ДМК Пресс, 2008. - 544 с

11. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с

12. Ярочкин В.И., Информационная безопасность: учебник для студентов вузов// -М.: Академический проект; Гаудеамус, 2-е изд., 2009 г., 544 с

ПРИЛОЖЕНИЕ

Приложение 1. Бухгалтерский баланс за 2010г.

Приложение 2. Бухгалтерский баланс за 2011г.