Структура системы информационной безопасности

 

Информационная безопасность обеспечивается ком­плексом технологических и административных мер, применяемых в отношении аппаратных средств, программ, данных и служб с целью обес­печения доступности, целостности и конфиденциальности, связанных с компьютерами ресурсов; сюда же относятся и процедуры проверки выпол­нения системой определенных функций в стро­гом соответствии с их запланированным поряд­ком работы.

Структуру системы обеспечения информационной безопасности ОАО «Н-ский аэропорт» составляют следующие подсистемы:

1. Подсистема антивирусной защиты:

· организован мониторинг антивирусной активности;

· организована двухуровневая антивирусная защита с применением антивирусного ПО различных производителей;

· обеспечена антивирусная защита серверного оборудования.

2. Подсистема резервного копирования и архивирования.

· созданы соответствующие документы и инструкции, регламентирующие процесс резервного копирования и архивирования и связанные с производственной необходимостью;

· организовано резервное копирование для всех серверов, указанных в регламентах резервного копирования;

· разработаны процедуры и регулярно проводится тестирование резервных копий.

3. Подсистема защиты электронной почты.

· задействованы механизмы защищенного почтового обмена внутри ЛВС, обеспечена аутентификация пользователей при отправке почты;

· почтовый сервер для приема внешней электронной почты выделен в демилитаризованную зону.

4. Подсистема обнаружения атак

В целях контроля и оперативного реагирования на выполнение несанкционированных операций в сегменте сопряжения и серверных сегментах ЛВС внедрена система IDS\IPS. Подсистема обнаружения атак (ПОА) предназначена для своевременного обнаружения атак на узлы сети.

В состав подсистемы входят:

· сервер управления подсистемой;

· сетевой и серверные сенсоры обнаружения атак;

· телекоммуникационное оборудование.

Сервер управления подсистемой выполняет следующие функции:

· централизованное управление сенсорами обнаружения атак;

· централизованное обновление баз данных сигнатур;

· централизованное получение данных с сенсоров обнаружения атак;

· хранение зафиксированных событий за определенный промежуток времени.

Сенсоры обнаружения атак выполняют следующие функции:

· обнаружение враждебной деятельности и распознавание атак на узлы сети;

· обработка сетевого трафика на основе заданной политики и имеющейся базы данных сигнатур атак;

· захват сетевого трафика.

Телекоммуникационное оборудование выполняет роль «агента», который передает необходимый сетевой трафик на сенсор. При этом используется технология SPAN (Switch Port Analyzer), которая позволяет передать на сенсор копию сетевого трафика необходимого сегмента сети.

5. Подсистема управления информационной безопасностью, централизованного мониторинга и аудита событий

Для организации мониторинга, определения и своевременного реагирования на угрозы ИБ внедрена подсистемы управления ИБ, централизованного мониторинга и аудита событий ИБ.

В состав подсистемы входят:

· ПАК мониторинга и аудита;

· ПАК управления подсистемой мониторинга и аудита.

ПАК мониторинга и аудита выполняет следующую функцию:

· сбор событий безопасности с сетевых устройств и агентов (с помощью технологии NetFlow).

ПАК управления подсистемой мониторинга и аудита выполняет следующие основные функции:

· управление ПАК мониторинга и аудита;

· интеграцию собранных с ПАК мониторинга и аудита данных о событиях безопасности;

· оперативное оповещение об инцидентах безопасности;

· генерацию сводных отчётов с рекомендациями по управлению ИБ.

6. Подсистема защиты каналов передачи данных

В целях обеспечения защиты передаваемых данных организованы соединения VPN, что значительно увеличивает безопасность существующих внешних информационных потоков для внешних организаций.

В состав подсистемы входят:

· маршрутизатор с функциями шлюза VPN;

· программные агенты VPN, установленные на АРМ удалённых пользователей.

Маршрутизатор с функциями шлюза VPN выполняет следующие основные функции:

· поддержку межсетевого взаимодействия с удалёнными подразделениями;

· защиту транзитного трафика между удалёнными пользователями и узлами сети;

· защиту трафика самого маршрутизатора;

· пакетную фильтрацию трафика.

Программные агенты VPN выполняют следующие функции:

· защиту транзитного трафика между удалёнными пользователями и узлами сети;

· пакетную фильтрацию трафика.

7. Подсистема идентификации и аутентификации пользователей

Для централизации управления аутентификационной информацией, а также для обеспечения соответствия АС требованиям нормативных документов РФ внедрена подсистема идентификации и аутентификации пользователей.

Подсистема обеспечивает:

· индивидуальную идентификацию и аутентификацию пользователей при доступе к информационным ресурсам;

· поддержку различных методов аутентификации, в т.ч. предлагаемый метод с использованием сертификатов открытых ключей;

· возможность использования различных электронных ключевых носителей (eToken), в т.ч. предлагаемых на пластиковых смарт-картах;

· использование компонент подсистемы для организации подсистемы защищённой электронной почты;

· возможность оперативного контроля за процессом предоставления доступа ко всем важным приложениям и ресурсам организации

· эффективное управление правами доступа и идентификацией пользователей информационных систем;

· применение пользователями одного пароля для идентификации для многих приложений и ресурсов;

· ведение статистики использования информационных ресурсов, подготовка отчетов, проведение аудитов.

В состав подсистемы входит:

· Сервер Удостоверяющего Центра;

· Сервер публичного каталога LDAP;

· Сервер управления средствами идентификации;

· Сервер хранилища информации о пользователях;

· ПО защищённого доступа;

· Смарт-карты и считыватели на АРМ пользователей.

Сервер Удостоверяющего Центра (УЦ) обеспечивает:

· единую систему управления ключевой информацией и соответствующими цифровыми сертификатами;

· использование функций шифрования и ЭЦП, на основе цифровых сертификатов X.509;

· проверку подлинности и актуальности сертификата со стороны клиента. Цифровые сертификаты, выпускаемые УЦ, могут быть использованы для:

· реализации функций шифрования, ЭЦП в подсистеме защищённой электронной почты;

· обеспечения однократной аутентификации при доступе к домену Windows;

· аутентификации компонент VPN-инфраструктуры.

Сервер публичного каталога LDAP должен обеспечивает хранение открытых ключей сертификатов и списков отозванных сертификатов и поддерживает публичный доступ к ним.

Сервер управления средствами идентификации позволяет с минимальными затратами времени и средств выполнять основные задания по комплексному управлению USB-ключами и смарт-картами, в том числе:

· создавать, импортировать, экспортировать, редактировать учётные записи пользователей;

· назначать пользователям смарт-карты и USB-ключи;

· записывать в памяти этих устройств сертификаты открытого ключа и закрытые ключи;

· печатать фотографию, имя пользователя, штрих-код и другую информацию на комбинированных картах;

· регистрировать имплантированные в карты радио-метки (RFID);

· обновлять, отзывать сертификаты;

· разблокировать устройства;

· управлять полномочиями пользователей.

Сервер хранилища информации о пользователях обеспечивает:

· масштабируемое и высокодоступное за счет репликации хранилище информации о пользователях, основанное на стандартах LDAP;

· единую точку проверки прав доступа для всех сетевых приложений заказчика;

· управление всем жизненным циклом информации о пользователях (заведение, изменение и удаление) из единой точки, доступной уполномоченным администраторам через браузер;

· средства автоматической синхронизации информации о пользователях между реестрами различных приложений и операционных систем;

· средства делегирования полномочий по администрированию пользователей на уровень департамента, отдела и т.д.;

· средства синхронизации паролей между различными приложениями и автоматического восстановления пароля в случае его утери пользователем;

· средства создания отчетов и аудита политики безопасности в реальном масштабе времени;

· средства интеграции с другими системами безопасности, например, с системами контроля за доступом в здание.

Для реализации защищённого входа в сеть применяется ПО защищённого доступа, обеспечивающее:

· аутентификацию пользователей на компьютере и в сети Windows с помощью USB-ключей или смарт-карт;

· использование регистрационных имён и паролей для локального входа в систему или для входа в домен;

· использование цифровых сертификатов Х.509, сертификатов пользователя со смарт-картой и закрытых ключей для входа в домен;

· генерирование и последующее применение случайных паролей, неизвестных пользователю;

· возможности однофакторной и двухфакторной аутентификации.
Смарт-карты обеспечивают единое хранилище сертификатов сотрудников для доступа к АРМ и ресурсам ЛВС, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL). Смарт-карты могут также служить для визуальной идентификации сотрудника и для обеспечения доступа сотрудника в помещения.

8. Подсистема регистрации и учета.

Осуществляется регистрация входа (выхода) субъектов доступа в систему (из системы), регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

Осуществляется регистрация выдачи печатных (графических) документов на "твердую" копию.

Осуществляется регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.

Осуществляется регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.

Осуществляется регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.

Проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

Учет защищаемых носителей проводиться в журнале (картотеке) с регистрацией их выдачи (приема).

Осуществляется очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

9. Подсистема обеспечения целостности.

Обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды.

Осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время.

Проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД.

 

Заключение

 

Повсеместное распространение персональных компьютеров, объединенных в вычислительные сети, позволяет оперативно собирать, передавать/принимать, обрабатывать в интересах пользователей большие объемы информации с высокой скоростью, причем как внутри отдельной организации, так в пределах страны и за ее рубеж. Такое положение дел создает благодатную почву для злоумышленника по организации несанкционированного доступа (НСД) к закрытой (секретной, конфиденциальной - защищаемой) информации собственника.
В России законодательно закреплено право владельца (собственника) информации на ее защиту (запрещаемая к закрытию информация оговаривается законом). При этом законодательно к защищаемой информации относят: информацию, содержащую сведения, отнесенные к государственной тайне; конфиденциальные сведения (с позиции государственных учреждений, предприятий - это информация, содержащая сведения, отнесенные к служебной тайне; с позиции коммерческой организации - это информация, содержащая сведения, отнесенные к коммерческой тайне). В первом случае процесс защиты информации и объектов информатизации регламентирован и нормативно определен руководящими и методическими документами государственных учреждений, надзирающими за ним. Во втором случае процесс защиты конфиденциальной информации, главным образом, отнесенной к коммерческой тайне, только начинает подкрепляться законодательными актами и нормативно-методическими документами (перечень). Однако здесь необходимо отметить, что предприниматель, как правило, желает защитить свои закрытые коммерческие сведения по требованиям не ниже чем, предъявляемым к защите секретной информации. Отсюда организация безопасного режима защищаемой информации не зависит от ее вида, за исключением некоторых специфичных особенностей. В любом случае процесс защиты информационных ресурсов владельца начинается с разработки Концепции информационной безопасности предприятия.

Цель курсовой работы, а именно разработка концепции обеспечения информационной безопасности ОАО «Н-ский аэропорт», была достигнута. В ходе работы были решены следующие задачи:

· выявлен перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба ОАО «Н-ский аэропорт»; идентифицированы наиболее значимые модели нарушителей и угроз информационным ресурсам предприятия;

· предложена концепция информационной безопасности предприятия, состоящая из следующих элементов: объекты, цели и задачи защиты информации; источники угроз; принципы построения системы информационной безопасности; мероприятия по обеспечению информационной безопасности; политика информационной безопасности;

Информация становится уникальным и вечным ресурсом для человека. Ее уникальность только усиливается в современных условиях. На мой взгляд, основное назначение и важность информации для человека, общества, экономики состоит в ее использовании, обращении. При этом информация может выступать как: источник получения знаний и навыков; источник информирования о событиях и явлениях; средство формирования систем; ресурс при принятии решений; источник негативного влияния на общество и человека; объект интеллектуальной собственности; товар. Именно обращаясь, т.е. переходя от одного субъекта к другому в различных формах, информация приобретает ценность. Именно поэтому актуальность рассмотренной в курсовой работе проблемы ИБ не вызывает сомнений.

 

формирования бюджета расходов на информации

 

 

Список литературы

 

1. Л. Дж. Хоффман – Современные методы защиты информации – М.: Сов. радио, 1980

2. В. А. Герасименко – Защита информации в автоматизированных системах обработки данных. Книги 1 и 2 – М.: Энергоатомиздат, 1994

3. Республиканский н.-т. совет по направлению Информатизация России, НИИ Квант – Концепция развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России – М., 1992

4. Р. М. Юсупов, Б. П. Пальчун – Безопасность компьютерной инфосферы систем критических приложений. – Вооружение. Политика. Конверсия – М., 1993, # 2, с.52-56, # 3, с. 23-31.

5. Parnas – Software aspects of strategic defense systems – Communications of the ACM, 1985, v. 28, n 12. p. 1326-1335

6. Информатика и вычислительная техника. Научно-технический сборник – М.: ВИМИ, 1994 # 2-3

7. Владимир Галатенко – Информационная безопасность – обзор основных положений – JetInfo, 1-3, 1996

8. Б. Боэм, Х. Каспар. Пер. с англ. Е. К. Масловского (ред.) – Характеристики качества программного обеспечения – М.: Мир, 1981

9. В. В. Липаев – Отладка сложных программ – М.: Энергоатомиздат, 1993

10. Г. Майерс – Искусство тестирования программ: Пер. с англ – М.: Финансы и статистика, 1982

11. Б. У. Боэм – Инженерное проектирование программного обеспечения: Пер. с англ. под ред. А. А. Красилова – М.: Радио и связь, 1985

12. В.В. Липаев – Управление разработкой программных средств. Методы, стандарты, технология – М.: Финансы и статистика, 1993

13. В. В. Липаев, А. А. Штрик – Технология сборочного программирования – М.: Радио и связь, 1992

14. Сертификация продукции. Международные стандарты и руководства ИСО/МЭК в области сертификации и управления качеством – М.: Изд-во стандартов, 1990

15. В. В. Липаев – Методические основы сертификации информационных технологий – ВНИИ ПВТИ, 1995

16. В. К. Щербо – Международная стандартизация в области информационной технологии – Проблемы информатизации, 1992, # 4, с. 47-51

17. Ю. М. Батурин – Компьютерная преступность и компьютерная безопасность – М.: Юридическая литература, 1991

18. А. В. Спесивцев, В. А. Вегнер, А. Ю. Крутяков, В. А. Сидоров – Защита информации в персональных ЭВМ – М.: Радио и связь, 1992

19. В. И. Савицкий – Автоматизированные системы управления воздушным движением. Справочник – М.: Транспорт, 1986

20. J. K. Buckle – Software configuration management – London: Macmillan Press, 1982

21. А. И. Костогрызов, В. В. Липаев – Сертификация качества функционирования автоматизированных информационных систем – Вооружение. Политика. Конверсия, 1996

 

 

 

Основная литература

1. Доктрина информационной безопасности РФ. Утверждена Указом Президента Российской Федерации от 9 сентября 2000 г. Пр-1387. В Сборнике материалов по курсу «Проблемы национальной и международной безопасности», Часть 1 «Национальная безопасность». Факультет Мировой политики при Институте США и Канады РАН. Москва. 2002.

2. Информационные вызовы национальной и международной безопасности. Под общей ред. А.В. Федорова и В.Н. Цыгичко. Москва. ПИР-Центр. 2001.

3. В.Н. Лопатин Информационная безопасность России: Человек. Общество. Государство Санкт-Петербург. Изд. МВД России и Санкт-Петербургского университета (Фонд «Университет»). 2000.

4. Информационная безопасность России. Ю.С. Уфимцев, Е.А. Ерофеев и др. - Московская Академия экономики и права. Изд-во «Экзамен». Москва. 2003

5. В.И.Ярочкин. Информационная безопасность (Учебник для вузов). М. Фонд «Мир» и Изд-во «Академический проспект». 2006.

6. Ю.И. Коваленко. Информационная безопасность Термины и определения. Журнал «Век Качества» № 5,6 - 2001.

7. «Basic Principles For Building An Information Society» by Al Gore Vice President of the United States. Electronic Journals of the U.S. Information Agency Volume 1, Number 12 September 1996 (http://www.usia.gov/journals/)

8. The National Academy of Sciences. Technology for the United States Navy and Marine Corps, 2000-2035. Becoming a 21st-century Force: Volume 3: Information in Warfare (1997) http://www.nap.edu/openbook./0309058988/html/1.html.

9. National Cyber Security Leadership Act of 2003.

10.Richard Clarke (Special Advisor to the President for Cyberspace Security). Report on The Global Tech Summit, December 4, 2001, Washington, DC

11. Martin Kenney. The Growth and Development of the Internet in the United States. Berkeley Roundtable on the International Economy (BRIE), Department of Human and Community Development, University of California, Berkeley. BRIE Working Paper 145, June 2001.

12. John Zysman and Steven Weber. Governance and Politics of the Internet Economy: Historical Transformation or Ordinary Politics With A New Vocabulary? Berkeley Roundtable on the International Economy (BRIE), University of California, Berkeley, BRIE Working Paper 141, August, 2001

 

Рекомендуемая литература

1. В.И. Хозиков. Информационное оружие. Санкт-Петербург Издательский Дом «Нева», Москва Издательство «ОЛМА-ПРЕСС Образование», 2003

2. Стэнг Д., Мун С. Секреты безопасности сетей. - К.: Диалектика, 1995. - 544с.

3. Национальная безопасность: информационная составляющая / В.В. Еременко, Ю.И. Коваленко и др.; под ред. В.В. Еременко. - М.: МОСУ, 2000. - 31 1 с.

4. Рейман Л.Д. Рынок телекоммуникационных услуг: регулирование идет на смену либерализации // Век каче­ства. - 2001. - № 1. С. 7-9.

5. Шульцева В.К. Передел телеком­муникационного мира // Информ-курьерсвязь. - 2000. - № 4. С. 46-50.

6. Тибоди П. Что вашим сотрудни­кам известно о безопасности? // Computerworld. - 2000. - № 45 (254). -С. 22.

7. Малюк А.А. Проблемы кадрово­го обеспечения информационной безопасности // Безопасность ин­формационных технологий. - 1998. № 2. С.5-8.

8. Теория и практика обеспечения информационной безопасности, под редакцией Зегжды П. Д., Изд. «Яхтсмен», 1996.

9. Гайкович В., Першин А.. Безопасность электронных банковских систем., Изд «Единая Европа», 1994.

10. Ростовцев А. Г. Элементы Криптологии, Изд. СПбГТУ

11. Клименко С., Уразметов В., Internet. Среда обитания информационного общества Российский Центр Физико-Технической Информатики, 1995.

12. Материалы по информационной экономике на сайтах Университета Беркли (http://www. sims.berkeley.edu), а также на специализированном сайте Школы информатики Мичиганского университета (http://www.si.umich.edu).

13.The national strategy to secure cyberspace. February 2003 (http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf).