"Амулет" -  служба безопасности, охрана, юридические услуги, системы безопасности

"Амулет" - безопасность бизнеса, охрана, юридическая поддержка
Власенко Практические аспекты

М. Власенко

 

Практические аспекты обеспечения информационной безопасности хозяйствующего субъекта.

 

            Безопасность функционирования хозяйствующего субъекта, его экономическая стабильность неразрывно связанные с вопросами разработки и реализации комплекса организационно- технических мер, направленных на снижение уровня угроз информационной безопасности предприятия, вне зависимости от природы их происхождения.

            Достижение уровня безопасного функционирования информационно- коммуникационной среды достигается различными методами. Перечислим некоторые из них:

  • Разработка, введение в действие и неукоснительное выполнение требований информационной политики предприятия.
  • Разработка корректного перечня сведений, составляющих коммерческую тайну.
  • Определение и регламентация информационных потоков внутри предприятия.
  • Регламентация доступа исполнителей к информационным ресурсам компании. Ранжирование полномочий, реализация контрольных мер.
  • Обучение сотрудников правилам пользования информационными ресурсами и порядку действия в условиях форс - мажора.
  • Разработка и реализация принципов безопасного делопроизводства (обычного и конфиденциального).
  • Выявление каналов утечки информации, разработка и реализация комплекса мер противодействия.
  • Разработка и неукоснительное выполнение контрольных мер.
  • Использование сертифицированного оборудования и специального программного обеспечения.
  • Использование backup-клиентов в целях долговременного хранения и оперативного восстановления данных.

 

Эффективность защитных мер и безопасность информационной среды зависят от системности применения форм и методов защиты, перечнем реализуемых задач и, что самое главное- выделенного на это части бюджета предприятия.

 

Часто, последнее и является основной причиной отказа руководителей от реализации комплекса (или его части) мер информационной защиты. В конечном итоге, срабатывает принцип «Неуловимого Джо» (Джо неуловим пока никому не нужен) и конкуренты, например, без особых усилий получают доступ к информации о деятельности хозяйствующего субъекта, его ноу-хау, данным персонального характера на сотрудников, принимающих решения. В конечном итоге, умело воздействуя на бизнес- процессы и персонал,  конкурирующая организация ставиться в зависимое положение, или полностью прекращает свое существование.

 

В целях недопущения подобного сценария с печальным исходом руководители хозяйствующих субъектов вынуждены предпринимать ряд шагов по внедрению системы информационной безопасности своего предприятия.

 

Рассмотрим алгоритм построения такой системы на примере управляющей компании (УК) группы промышленных предприятий (ГПП).

 

 

1.   ШАГ: Диагностика состояния и деление информационных массивов УК по степени конфиденциальности.

 

Справочная информация и базы данных, расположены на внешних Интернет- серверах, находящиеся в свободном доступе, используемые в режиме On-line.

 

Новостная информация, размещаемая на внутрикорпоративном сайте УК.

 

Справочная информация и базы данных, расположены на сервере УК

(Гарант, Консультант, БД предприятий и организаций клиентов, партнеров)

 

Бухгалтерская информация

Общего характера

(Балансы, банковские реквизиты, другие подлежащие свободному распространению)

 

Документы общего характера ( по общеизвестным вопросам) разработаны пользователями локальной сети УК

 

 

Сообщения электронной почты, полученные от адресатов, не являющихся пользователями локальной сети

 

 

Информация о безналичных платежах

Информация о схемах сделок

 

Информация о финансовых отношениях с контрагентами, клиентами

 

Персональные данные сотрудников УК.

Документы специального характера, (по конкретным вопросам, затрагивающих специфику, конкурентные преимущества) ведения бизнеса, разработанные пользователями локальной сети УК.

 

Информация, полученная пользователями локальной сети из открытых

Интернет – источников

 

(Скачанная из Интернет)

 

 

Бюджеты подразделений УК

Замечание*

 

Информация о кассовых платежах

 

Информация из системы электронных платежей клиент-банк.

Справочная информация и специальные базы данных (Cronos, Cros, другие) расположенные на локальных машинах ответственных исполнителей.

Строго

конфиденциальные информация и документы, разработанные пользователями локальной сети УК:

-маркетинговые планы;

-стратегия развития, продвижения;

- клиентские базы;

-условия контрактов, другие.

Рекламная информация

о деятельности УК размещенная на сайте УК свободно передаваемая ее сотрудниками заинтересованным получателям.

 

Стратегическая и маркетинговая информация

УК

 

Финансовые схемы, коммерческие схемы

 

Внутренняя переписка пользователей, хранящиеся в Outlook

данные и документы.

 

Строго

конфиденциальные документы и информация, полученные из внешних источников.

 

 

 

 

Открытая общедоступная информация

 

Информация для служебного пользования

 

Конфиденциальная информация

(Коммерческая тайна)

 

С учетом предложенного варианта классификации данных по степени конфиденциальности составляется перечень сведений, составляющих коммерческую тайну предприятия.

При построении системы защиты данных учитываются такие важные факторы как место расположения данных, угрозы, формат данных и ряд других. С учетом вышеперечисленных факторов пользователи ранжируются по уровням доступа и полномочиям.

 

2.   ШАГ: Деление информационных массивов УК по месту расположения данных.

 

 

Внешнесетевые данные

 

Данные находящиеся вне локальной сети УК (Интернет, другие локальные сети, отдельные ПК),

НЕ администрируемые IT- специалистами УК

 

Внутрисетевые данные

 

Данные находящиеся внутри локальной сети УК, администрируемые IT- специалистами УК

 

3.   ШАГ: Деление пользователей информационных массивов УК по уровням доступа к данным (пользовательским .полномочиям).

 

1

Доступ закрыт

2

Чтение данных

3

Считывание (копирование данных на внешние носители).

4

Модификация данных

(частичная или полная)

5

Уничтожение данных

 

4. ШАГ: Классификация УГРОЗ информационной безопасности хозяйствующего субъекта

Непреднамеренные

Умышленные действия персонала

Потеря данных за счет технического сбоя

Ошибки пользователей

Хищение данных

Несанкционир. копирование

и хранение

Модификация

Частичная

 

Полная замена.

 

Уничтожение

Несанкционированная

Передача прав доступа.

Передача свед. неполномочным пользователям.

Передача по незащищенным каналам связи конфиденциальных данных.

Хранение в не разреш.

местах и носителях.

 

 

 

 

 

5. ШАГ: Разработка и реализации политики информационной безопасности УК по защите ее информационной среды от воздействия умышленных и непреднамеренных угроз персонала, а также технических сбоев.

 

            В конкретном случае предполагается, что проведенная диагностика действующей системы информационной безопасности УК позволила успешно реализовать шаги 1-4, в результате чего появилось четкое понимание целей, задач, объектов защиты.

            Остался нерешенным вопрос эффективности реализуемых мер противодействия, а также стоимость реализации как отдельных мероприятий, так и проекта в целом.

 

5.1. Рассмотрим текущее состояние и содержание мер защиты информационной среды, а так же возможные перспективные методы повышения информационной безопасности:

 

 

Тип данных

Технология защиты.

Организационные меры

защиты

Технические меры защиты

Меры защиты на перспективу.

Внешнесетевые

Справочная информация и базы данных, расположены на внешних Интернет - серверах, находящиеся в свободном доступе, используемые в режиме On-line.

1. Составлен перечень запрещенных к доступу сайтов и активирован журнал контроля загрузки страниц.

2 Факты активного посещения сайтов не имеющие отношения к работе, фиксируются и являются основой для разбирательства.

1.Запрещен доступ на непрофильные ресурсы.

Используется:

-Антихакерская система FireWall – закрывает Интернет канал от взлома.

-Запущен анализатор трафика, позволяющий автоматически отслеживать и блокировать непрофильную принимаемую информацию.

1. Запуск новой антивирусной системы, анализирующей Интернет трафик в текущем режиме времени.

Информация, полученная из открытых Интернет – источников

(Скачанная из Интернет)

Информация, полученная пользователями локальной сети из открытых

Интернет – источников

 

(Скачанная из Интернет

1.Созданы индивидуальные почтовые ящики для пользователей в зонах серверов УК.

2. Создан журнал контроля принятой и отправленной корреспонденции.

1.Электронная почта, приходящая на адреса УК проверяется системой блокирования вирусов «на лету».

( за исключением типа «черви» и «трояны»).

1. Создание собственной системы внешней почты, что позволит:

- улучшить систему контроля исходящей и входящей корреспонденции.

- принимаемую и отправляемую корреспонденцию, защитить сеть от вирусов типа «черви» и «трояны»

Рекламная информация

О деятельности УК, размещенная на сайте УК, свободно передаваемая сотрудниками УК заинтересованным получателям.

1. Консолидировано управление рекламной информацией холдинга в отделе рекламы УК.

2. Определены пользователи и установлены их полномочия по модификации рекламных материалов.

 

1. Реализован административный интерфейс внешнего сайта, что позволяет отделу рекламы (полномочным пользователям) УК оперативно корректировать информацию размещенную на сайтах предприятий холдинга.

 

Дальнейшее развитие внешнего сайта:

1. Подключение информационных

разделов предприятий- членов холдинга.

2. Оптимизация формата данных, размещенных на сайте.

Внутрисетевые

 

Новостная информация, размещаемая на внутрикорпоративном сайте УК.

1. Данные разбиты по группам с учетом форматов, свойств, назначения.

 

2. Определены пользователи и установлены их полномочия по работе с блоками данных.

 

3. Проводится обучение и инструктаж сотрудников, отвечающих за размещение информации.

 

4. Контролируется доступ пользователей к внутренним ресурсам сети. Ведется журнал.

 

5. Организован контроль попыток несанкционированного доступа.

 

6. Активирована система контроля попыток внутреннего взлома системы защиты доступа.

1.Установлен отдельный жесткий диск на корпоративном сервере.

2. Размещение новостной информации в базах данных корпоративной сети осуществляется только на этом диске.

 

Создание технической возможности по редактированию информации ответственными лицами всех основных подразделений и предприятий холдинга.

Справочная информация и базы данных, расположены на сервере УК

(Гарант, Косультант, БД предприятий)

1. Активированы программы сетевого администрирования, позволяющие полномочно ранжировать доступ к информационным ресурсам.

 

2. Информационные базы установлены на специальные выделенные сервера.

Создание терминальной системы, для организации полномочного удаленного доступа к данным со стороны ГПП.

Бухгалтерская информация

Общего характера

(Балансы, банковские реквизиты, другое)

 

Ввод в действие средств сетевого администрирования для организации запрета размещения информации на локальных машинах.

Документы общего характера разработаны пользователями локальной сети УК.

 

Информация о безналичных платежах

1. Данные разбиты по группам с учетом:

-         конфиденциальности,

-         форматов,

-         свойств,

-         назначения,

-         количества пользователей

 

2. Определены пользователи и установлены их полномочия по работе с блоками данных:

-         доступ закрыт,

-         только чтение,

-         чтение и выборочная модификация,

-         полная модификация.

 

3. Проводится инструктаж сотрудников, отвечающих за размещение информации.

 

4. Контролируется доступ пользователей к ресурсам сети.

 

5. Ведется журнал доступа и изменений.

 

6. Разработан алгоритм текущего хранения и уничтожения данных в случаях форс-мажора.

 

7. Разработан алгоритм эвакуации архивных HDD в случаях форс-мажора.

 

8. Разработан алгоритм восстановления данных после их уничтожения в случаях форс-мажора.

1. Размещение информации на закрытом финансовом сервере в зашифрованном виде.

 

2. Ограничение доступа к фин. серверу специальным режимом безопасности.

 

3. Ограничение доступа к базам данных только полномочным сотрудникам

 

4. Создана защищенная интранет-система, для полномочной работы с информацией.

 

5. Введена в действие система электронной идентификации пользователей по электронным ключам.

 

6. Своевременная генерация, обновление ключей шифрования, использование корпоративной системы ключей.

 

7. Реализован аппаратно- программный комплекс автоматической архивации данных для их восстановления в случае порчи или уничтожения.

 

8. Реализован аппаратно- программный комплекс дистанционного уничтожения данных в случае форс-мажора.

 

1. Создание интранет- системы для всех предприятий холдинга.

 

2. Ввод в действие средств сетевого администрирования для организации запрета размещения информации на локальных машинах.

 

3. Создание единой маркетинговой базы по предприятиям, с интранет доступом к информации.

 

4. Совершенствование системы шифрования и смены ключей.

 

5. Распространение почтовой системы на все предприятия холдинга.

 

6. Подготовка документа, реализующего требования корпоративного подхода к системе информационной безопасности, регламентирующего правила пользования почтой, информационными ресурсами локальной сети, и INTERNET/

Информация о схемах сделок

Бюджеты подразделений

Информация о балансах с контрагентами

Персональные данные сотрудников.

Документы специального характера, (по конкретным вопросам, затрагивающих специфику, конкурентные преимущества) ведения бизнеса, разработанные пользователями локальной сети УК.

Стратегическая и маркетинговая информация

 

Информация о кассовых платежах

 

Информация из системы электронных платежей клиент-банк.

П.1-8+ Дополнительно:

Обучение, инструктаж сотрудников, отвечающих за работу в системе клиент-банк осуществляется отделом IT УК.

 

Дополнительно:

Установленные не соединенные с локальной сетью УК компьютеры,  специально для работы в системе электронных платежей клиент-банк.

 

Финансовые схемы, коммерческие схемы, ВТК

П.1-8

П.1-8

 

Справочная информация, маркетинговые и специальные базы данных (Cronos, Cross, другие) расположенные на локальных машинах полномочных пользователей.

П.1-8+ Дополнительно:

1.Ограничение количества пользователей.

2. Дистрибутивы баз данных хранятся отдельно от машин.

3. Доступ к каждой базе ограничен отдельным кодом.

4. Обновление данных производится при отключенной локальной сети.

5. Запрещена архивация данных на серверах УК.

 

Дополнительно:

1. Базы размещены только на локальных машинах.

 

2. Установлен локальный принтер для вывода конфиденциальной информации.

3. Установлена система быстрого съема жестких дисков для эвакуации в случае форс-мажора.

 

Внутренняя переписка.

Хранящиеся в Outlook

данные и документы.

П.1-8

Дополнительно:

Вся информация хранятся на почтовых серверах только в зашифрованном виде, копии сообщений только у мобильных пользователей.

Строго

Конфиденциальные информация и документы, разработанные пользователями локальной сети УК

П.1-8+ Дополнительно:

1.Ограничение количества пользователей до 1.

 

2. Строгая регламентация размножения и движения документов.

 

3. Особый режим хранения, уничтожения данных.

 

4. Особый режим регламентации доступа.

Дополнительно:

1. Данные размещены на локальных машинах или на сервере в зашифрованном виде.

 

 

Строго

конфиденциальные информация и документы, полученные из вне.

 

 


 

5.2. Распределение зон ответственности ITспециалистов управляющей компании и предприятий, входящих в ее состав. Сертификация.

 

 

Сеть

Технология защиты.

Ответственность

Технические мероприятия защиты

 

 

Локальная сеть центрального офиса УК

VPN сервер

VPN маршрутизатор

 

 

 

 

Все мероприятия проводятся IT УК

 

 

 

1. Основано на сертификатах выдаваемых центром сертификации УК.

2. Ключи доступа обязательны для внешнего подключения.

Локальная сеть удаленных офисов, подключенных по коммутируемой линии.

Подключение мобильных пользователей, использующих для подключения сотовую телефонию.

Подключение локальных сетей предприятий- членов холдинга, расположенных в других городах. (Интернет)

1.Обслуживание серверов и мероприятия по защите информации – IT УК.

 

2. Локальная сеть и компьютеры (техподдержка)-  ITспециалисты удаленных предприятий, сторонние IT- организации выполняют работы на условиях подряда.

 

1. Система связи на сертификатах.

2. Закрытая терминальная серверная система.

 

6. ШАГ: Подготовка выводов и предложений по дальнейшему совершенствованию и защите информационной системы УК.

 

6.1. Выводы:

 

1.                                      Существующая система защиты информации соответствует действующей на сегодняшний день классификации данных по степени их конфиденциальности и обеспечивает надежную защиту.

2.                                      Имеются все возможности для адаптации информационной среды под вновь возникающие задачи в связи с трансформацией организационной структуры УК.

3.                                      Сеть имеет ресурсную загрузку по трафику менее 73,4 % от предельно допустимых норм. (Проводится оценка загрузки с использованием специальных методов).

4.                                      Технические возможности и пропускная способность вычислительной сети УК позволят работать без существенных наращиваний ресурсов не менее 2х лет при имеющейся динамике роста объемов данных.

5.                                      Установленное на сегодняшний день программное обеспечение решает основные задачи в рамках бизнес- процессов УК.

6.                                      Слабым местом существующей информационной системы является ненадежность систем связи и сложность привязки некоторых из удаленных подразделений. Данное обстоятельство является причиной частых сбоев в работе и разрывов связи.

 

6.2.Предложения по перспективам развития системы IT УК:

 

№ пп

Мероприятия.

Срок реализ.

Предполагаемый результат.

  1.  

Жесткая регламентация системы отношений между IT УК и аналогичными структурами подчиненных предприятий. Введение в действие в рамках УК локальных нормативных актов по линии IT, регламентирующих:

1.      Систему подчиненности,

2.      Полномочия.

3.      Зоны ответственности

4.      Взаимодействие.

5.      Отчетность

6.      Систему контроля.

1-12-2007

1. Укрепление вертикали IT УК – IT Предприятий – Сторонние фирмы (аутсортинг).

2. Стандартизация процедур, документов.

3. Реализация единой информационной политики и концепции информационной безопасности в рамках УК.

4. Сокращение расходов за счет организационной поддержки IT УК, привлечения имеющихся консультационных, технических и интеллектуальных ресурсов.

  1.  

Совершенствование системы архивации, удаленного хранения и оперативного уничтожения информации.

1-07-2007

1. Позволит защитить информацию УК от выемки.

2. Позволит предотвратить потери данных в случае сбоев системы или действий злоумышленников.

  1.  

Продолжение работ по внедрению ключей-чипов доступа к локальным машинам на предприятиях и в УК

 

Все время.

Контролируется доступ пользователей к ресурсам сети.

  1.  

Разработка программ Интранет для предприятий с использованием (в качестве примера -технологии ASP-net (Приложение 1)

Основанная на принципах Интранет система позволит создать единую систему бюджетирования и маркетинговую базу предприятий.

1-1-2006

1. Консолидация ресурсов.

2. Исключение дублирования данных.

3. Повышение оперативности работы.

4. Повышения уровня безопасности.

5. Реализация системы текущего контроля.

6. Сокращение затрат на IT.

  1.  

Внедрение системы IP телефонии в предприятиях холдинга.

1-1-2007

1. Создаст безопасные каналы связи.

2. Повысит оперативность связи.

3. Уменьшит расходы на междугородную связь.

4. Позволит циркулярно передавать информацию, проводить селекторные совещания.

  1.  

Оборудование единого серверного узла предприятий холдинга

1-10-2007

1. Повышение физической защищенности серверного узла.

2. Повышение контроля доступа к серверному узлу.

3. Облегчение технического обслуживания.

4. Реализация системы дублирования ресурсов и данных.

  1.  

Совершенствование системы связи и телекоммуникаций между головным офисом УК и предприятиями холдинга.

 

 

 

 

1-05-2006

1. Повышение надежности доступа к INTERNET.

2. Повышения устойчивости связи.

3. Подготовка регламентирующих документов.

 

 

Замечание*: При построении системы информационной безопасности холдинга информация, относящаяся к особо охраняемой (синий квадрат, подвергается еще более подробной детализации с четким определением алгоритмов защиты и распределением обязанности и ответственности должностных лиц. Систематизация данных производится с учетом используемых методов защиты и должна строится с учетом минимизации количества задействованных методов, максимально эффективно работающих с требуемыми форматами данных.

 

 

 

Приложение 1

Вариант использования технологии  ASP.Net  в рассмотренной УК и предприятиях промышленного холдинга.

 

1. Краткая справка по системе:

Технология появилась совсем недавно и является ответом Microsoft на обвинения в отсутствии безопасных технологий в системе Windows. Стоимость применения аналогичных технологий на базе Unix, обеспечивающих равнозначный уровень безопасности, стоит дороже в 40 раз (по сравнительным оценкам).

Конференция с презентацией новой технологии состоялась прошлым летом, куда были приглашены компанией Microsoft руководители департаментов московских предприятий, отвечающих за разработку информационных технологий.

***

Технология предусматривает разделение программы на две части: Пользовательская и Серверная.

Обе части являются независимыми и связываются между собой с помощью системы запросов:

1. Пользователь может запросить с сервера информацию:

·        сервер проверяет полномочия пользователя

·         опровергает или подтверждает полномочия.

В случае подтверждения полномочий, сервер обрабатывает исходные данные и отправляет ответ клиенту.

 

2. Клиент может только отображать информацию, полученную с сервера, но не имеет доступа к исходным данным. Таким образом, все алгоритмы, архитектура данных и бизнес-логика скрыта от клиента, что резко повышает защищенность системы в целом.

 

1.    Работая в таком режиме, сервер не загружен подготовкой визуального отображения информации, не реагирует на непосредственные действия пользователей, что позволяет одновременно обслуживать большое число клиентов с высокой производительностью на машинах с низким техническим ресурсом.

 

2.    В этом режиме пользователи занимаются примитивной обработкой информации: вводом запроса и отображением получаемых данных, что позволяет использовать устаревшие компьютеры на рабочих местах и не проводить массовую модернизацию компьютеров на предприятиях. Кроме того, эффективно работают медленные каналы связи между удаленными клиентами и сервером.

 

2. Сравнительная оценка стоимости внедрения программ на платформе ASP.Net с другими системами.

 

 

 

Платформа

 

Колич. раб. мест

Суммарная стоимость рабочих мест $

Количество серверов

$

Суммарная стоимость серверов

$

Стоимость модернизации и обслуживания

$

Стоимость ПО

$

Стоимость обучения персонала IT +польз

$

Расходы на безопасность

$

 

ИТОГО:

$

Офисные пакеты

5

4 000

0

0

1 400

0

0

0

5 400

Офисные пакеты

10

8 000

1

4 500

4 200

0

0

0

16 700

1С для бухгалтерии

20

16 000

2

9 000

8 500

3 000

2 000

0

38 500

1С для коммерческого и финучета 1

50

40 000

5

22 500

21 000

3 000

5 000

0

91 500

1С для коммерческого и финучета 6

300

240 000

30

135 000

125 000

18 000

30 000

0

548 000

Система CRM

Готовые прогр.решения.

300

240 000

30

1 500 000

580 000

1 950 000

150 000

330 000

4 750 000

ASP.Net

 

300

24 000

30

135 000

53 000

36 000

0

19.500

267500

 

 

ВЛАСЕНКО Михаил Николаевич
Помощник директора Института Безопасности Бизнеса ИББ МЭИ

www.ibbusiness.ru

E-mail: VlasenkoMN@ibbusiness.ru

 

Тел:  (095)362-7255
Факс:(095)362-7255

 

 

вернуться назад

© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60, Е-mail:sb@amulet-group.ru