|
Справочная информация и базы данных, расположены на внешних Интернет- серверах, находящиеся в свободном доступе, используемые в режиме On-line. |
Новостная информация, размещаемая на внутрикорпоративном сайте УК. |
Справочная информация и базы данных, расположены на сервере УК (Гарант, Консультант, БД предприятий и организаций клиентов, партнеров) |
Бухгалтерская информация Общего характера (Балансы, банковские реквизиты, другие подлежащие свободному распространению) |
Документы общего характера ( по общеизвестным вопросам) разработаны пользователями локальной сети УК
|
Сообщения электронной почты, полученные от адресатов, не являющихся пользователями локальной сети
|
Информация о безналичных платежах Информация о схемах сделок |
Информация о финансовых отношениях с контрагентами, клиентами |
Персональные данные сотрудников УК. |
Документы специального характера, (по конкретным вопросам, затрагивающих специфику, конкурентные преимущества) ведения бизнеса, разработанные пользователями локальной сети УК. |
Информация, полученная пользователями локальной сети из открытых Интернет – источников
(Скачанная из Интернет) |
Бюджеты подразделений УК |
Замечание*
Информация о кассовых платежах
Информация из системы электронных платежей клиент-банк. |
Справочная информация и специальные базы данных (Cronos, Cros, другие) расположенные на локальных машинах ответственных исполнителей. |
Строго конфиденциальные информация и документы, разработанные пользователями локальной сети УК: -маркетинговые планы; -стратегия развития, продвижения; - клиентские базы; -условия контрактов, другие. |
Рекламная информация о деятельности УК размещенная на сайте УК свободно передаваемая ее сотрудниками заинтересованным получателям. |
Стратегическая и маркетинговая информация УК |
Финансовые схемы, коммерческие схемы
|
Внутренняя переписка пользователей, хранящиеся в Outlook данные и документы.
|
Строго конфиденциальные документы и информация, полученные из внешних источников.
|
|
Открытая общедоступная информация |
|
Информация для служебного пользования |
|
Конфиденциальная информация (Коммерческая тайна) |
С учетом предложенного варианта классификации данных по степени конфиденциальности составляется перечень сведений, составляющих коммерческую тайну предприятия.
При построении системы защиты данных учитываются такие важные факторы как место расположения данных, угрозы, формат данных и ряд других. С учетом вышеперечисленных факторов пользователи ранжируются по уровням доступа и полномочиям.
2. ШАГ: Деление информационных массивов УК по месту расположения данных.
Внешнесетевые данные
Данные находящиеся вне локальной сети УК (Интернет, другие локальные сети, отдельные ПК), НЕ администрируемые IT- специалистами УК |
Внутрисетевые данные
Данные находящиеся внутри локальной сети УК, администрируемые IT- специалистами УК |
3. ШАГ: Деление пользователей информационных массивов УК по уровням доступа к данным (пользовательским .полномочиям).
1 Доступ закрыт |
2 Чтение данных |
3 Считывание (копирование данных на внешние носители). |
4 Модификация данных (частичная или полная) |
5 Уничтожение данных |
4. ШАГ: Классификация УГРОЗ информационной безопасности хозяйствующего субъекта
Непреднамеренные |
Умышленные действия персонала | ||||||
Потеря данных за счет технического сбоя |
Ошибки пользователей |
Хищение данных |
Несанкционир. копирование и хранение |
Модификация Частичная
Полная замена.
Уничтожение |
Несанкционированная Передача прав доступа. Передача свед. неполномочным пользователям. |
Передача по незащищенным каналам связи конфиденциальных данных. |
Хранение в не разреш. местах и носителях. |
5. ШАГ: Разработка и реализации политики информационной безопасности УК по защите ее информационной среды от воздействия умышленных и непреднамеренных угроз персонала, а также технических сбоев.
В конкретном случае предполагается, что проведенная диагностика действующей системы информационной безопасности УК позволила успешно реализовать шаги 1-4, в результате чего появилось четкое понимание целей, задач, объектов защиты.
Остался нерешенным вопрос эффективности реализуемых мер противодействия, а также стоимость реализации как отдельных мероприятий, так и проекта в целом.
5.1. Рассмотрим текущее состояние и содержание мер защиты информационной среды, а так же возможные перспективные методы повышения информационной безопасности:
Тип данных |
Технология защиты. | |||
Организационные меры защиты |
Технические меры защиты |
Меры защиты на перспективу. | ||
Внешнесетевые |
Справочная информация и базы данных, расположены на внешних Интернет - серверах, находящиеся в свободном доступе, используемые в режиме On-line. |
1. Составлен перечень запрещенных к доступу сайтов и активирован журнал контроля загрузки страниц. 2 Факты активного посещения сайтов не имеющие отношения к работе, фиксируются и являются основой для разбирательства. |
1.Запрещен доступ на непрофильные ресурсы. Используется: -Антихакерская система FireWall – закрывает Интернет канал от взлома. -Запущен анализатор трафика, позволяющий автоматически отслеживать и блокировать непрофильную принимаемую информацию. |
1. Запуск новой антивирусной системы, анализирующей Интернет трафик в текущем режиме времени. |
Информация, полученная из открытых Интернет – источников (Скачанная из Интернет) | ||||
Информация, полученная пользователями локальной сети из открытых Интернет – источников
(Скачанная из Интернет |
1.Созданы индивидуальные почтовые ящики для пользователей в зонах серверов УК. 2. Создан журнал контроля принятой и отправленной корреспонденции. |
1.Электронная почта, приходящая на адреса УК проверяется системой блокирования вирусов «на лету». ( за исключением типа «черви» и «трояны»). |
1. Создание собственной системы внешней почты, что позволит: - улучшить систему контроля исходящей и входящей корреспонденции. - принимаемую и отправляемую корреспонденцию, защитить сеть от вирусов типа «черви» и «трояны» | |
Рекламная информация О деятельности УК, размещенная на сайте УК, свободно передаваемая сотрудниками УК заинтересованным получателям. |
1. Консолидировано управление рекламной информацией холдинга в отделе рекламы УК. 2. Определены пользователи и установлены их полномочия по модификации рекламных материалов.
|
1. Реализован административный интерфейс внешнего сайта, что позволяет отделу рекламы (полномочным пользователям) УК оперативно корректировать информацию размещенную на сайтах предприятий холдинга.
|
Дальнейшее развитие внешнего сайта: 1. Подключение информационных разделов предприятий- членов холдинга. 2. Оптимизация формата данных, размещенных на сайте. | |
Внутрисетевые |
Новостная информация, размещаемая на внутрикорпоративном сайте УК. |
1. Данные разбиты по группам с учетом форматов, свойств, назначения.
2. Определены пользователи и установлены их полномочия по работе с блоками данных.
3. Проводится обучение и инструктаж сотрудников, отвечающих за размещение информации.
4. Контролируется доступ пользователей к внутренним ресурсам сети. Ведется журнал.
5. Организован контроль попыток несанкционированного доступа.
6. Активирована система контроля попыток внутреннего взлома системы защиты доступа. |
1.Установлен отдельный жесткий диск на корпоративном сервере. 2. Размещение новостной информации в базах данных корпоративной сети осуществляется только на этом диске.
|
Создание технической возможности по редактированию информации ответственными лицами всех основных подразделений и предприятий холдинга. |
Справочная информация и базы данных, расположены на сервере УК (Гарант, Косультант, БД предприятий) |
1. Активированы программы сетевого администрирования, позволяющие полномочно ранжировать доступ к информационным ресурсам.
2. Информационные базы установлены на специальные выделенные сервера. |
Создание терминальной системы, для организации полномочного удаленного доступа к данным со стороны ГПП. | ||
Бухгалтерская информация Общего характера (Балансы, банковские реквизиты, другое)
|
Ввод в действие средств сетевого администрирования для организации запрета размещения информации на локальных машинах. | |||
Документы общего характера разработаны пользователями локальной сети УК.
| ||||
Информация о безналичных платежах |
1. Данные разбиты по группам с учетом: - конфиденциальности, - форматов, - свойств, - назначения, - количества пользователей
2. Определены пользователи и установлены их полномочия по работе с блоками данных: - доступ закрыт, - только чтение, - чтение и выборочная модификация, - полная модификация.
3. Проводится инструктаж сотрудников, отвечающих за размещение информации.
4. Контролируется доступ пользователей к ресурсам сети.
5. Ведется журнал доступа и изменений.
6. Разработан алгоритм текущего хранения и уничтожения данных в случаях форс-мажора.
7. Разработан алгоритм эвакуации архивных HDD в случаях форс-мажора.
8. Разработан алгоритм восстановления данных после их уничтожения в случаях форс-мажора. |
1. Размещение информации на закрытом финансовом сервере в зашифрованном виде.
2. Ограничение доступа к фин. серверу специальным режимом безопасности.
3. Ограничение доступа к базам данных только полномочным сотрудникам
4. Создана защищенная интранет-система, для полномочной работы с информацией.
5. Введена в действие система электронной идентификации пользователей по электронным ключам.
6. Своевременная генерация, обновление ключей шифрования, использование корпоративной системы ключей.
7. Реализован аппаратно- программный комплекс автоматической архивации данных для их восстановления в случае порчи или уничтожения.
8. Реализован аппаратно- программный комплекс дистанционного уничтожения данных в случае форс-мажора.
|
1. Создание интранет- системы для всех предприятий холдинга.
2. Ввод в действие средств сетевого администрирования для организации запрета размещения информации на локальных машинах.
3. Создание единой маркетинговой базы по предприятиям, с интранет доступом к информации.
4. Совершенствование системы шифрования и смены ключей.
5. Распространение почтовой системы на все предприятия холдинга.
6. Подготовка документа, реализующего требования корпоративного подхода к системе информационной безопасности, регламентирующего правила пользования почтой, информационными ресурсами локальной сети, и INTERNET/ | |
Информация о схемах сделок | ||||
Бюджеты подразделений | ||||
Информация о балансах с контрагентами | ||||
Персональные данные сотрудников. | ||||
Документы специального характера, (по конкретным вопросам, затрагивающих специфику, конкурентные преимущества) ведения бизнеса, разработанные пользователями локальной сети УК. | ||||
Стратегическая и маркетинговая информация | ||||
Информация о кассовых платежах | ||||
Информация из системы электронных платежей клиент-банк. |
П.1-8+ Дополнительно: Обучение, инструктаж сотрудников, отвечающих за работу в системе клиент-банк осуществляется отделом IT УК.
|
Дополнительно: Установленные не соединенные с локальной сетью УК компьютеры, специально для работы в системе электронных платежей клиент-банк. | ||
Финансовые схемы, коммерческие схемы, ВТК |
П.1-8 |
П.1-8 | ||
Справочная информация, маркетинговые и специальные базы данных (Cronos, Cross, другие) расположенные на локальных машинах полномочных пользователей. |
П.1-8+ Дополнительно: 1.Ограничение количества пользователей. 2. Дистрибутивы баз данных хранятся отдельно от машин. 3. Доступ к каждой базе ограничен отдельным кодом. 4. Обновление данных производится при отключенной локальной сети. 5. Запрещена архивация данных на серверах УК.
|
Дополнительно: 1. Базы размещены только на локальных машинах.
2. Установлен локальный принтер для вывода конфиденциальной информации. 3. Установлена система быстрого съема жестких дисков для эвакуации в случае форс-мажора. | ||
Внутренняя переписка. Хранящиеся в Outlook данные и документы. |
П.1-8 |
Дополнительно: Вся информация хранятся на почтовых серверах только в зашифрованном виде, копии сообщений только у мобильных пользователей. | ||
Строго Конфиденциальные информация и документы, разработанные пользователями локальной сети УК |
П.1-8+ Дополнительно: 1.Ограничение количества пользователей до 1.
2. Строгая регламентация размножения и движения документов.
3. Особый режим хранения, уничтожения данных.
4. Особый режим регламентации доступа. |
Дополнительно: 1. Данные размещены на локальных машинах или на сервере в зашифрованном виде.
| ||
Строго конфиденциальные информация и документы, полученные из вне.
|
5.2. Распределение зон ответственности ITспециалистов управляющей компании и предприятий, входящих в ее состав. Сертификация.
Сеть |
Технология защиты. | |
Ответственность |
Технические мероприятия защиты
| |
Локальная сеть центрального офиса УК VPN сервер VPN маршрутизатор |
Все мероприятия проводятся IT УК
|
1. Основано на сертификатах выдаваемых центром сертификации УК. 2. Ключи доступа обязательны для внешнего подключения. |
Локальная сеть удаленных офисов, подключенных по коммутируемой линии. | ||
Подключение мобильных пользователей, использующих для подключения сотовую телефонию. | ||
Подключение локальных сетей предприятий- членов холдинга, расположенных в других городах. (Интернет) |
1.Обслуживание серверов и мероприятия по защите информации – IT УК.
2. Локальная сеть и компьютеры (техподдержка)- ITспециалисты удаленных предприятий, сторонние IT- организации выполняют работы на условиях подряда. |
1. Система связи на сертификатах. 2. Закрытая терминальная серверная система. |
6. ШАГ: Подготовка выводов и предложений по дальнейшему совершенствованию и защите информационной системы УК.
6.1. Выводы:
1. Существующая система защиты информации соответствует действующей на сегодняшний день классификации данных по степени их конфиденциальности и обеспечивает надежную защиту.
2. Имеются все возможности для адаптации информационной среды под вновь возникающие задачи в связи с трансформацией организационной структуры УК.
3. Сеть имеет ресурсную загрузку по трафику менее 73,4 % от предельно допустимых норм. (Проводится оценка загрузки с использованием специальных методов).
4. Технические возможности и пропускная способность вычислительной сети УК позволят работать без существенных наращиваний ресурсов не менее 2х лет при имеющейся динамике роста объемов данных.
5. Установленное на сегодняшний день программное обеспечение решает основные задачи в рамках бизнес- процессов УК.
6. Слабым местом существующей информационной системы является ненадежность систем связи и сложность привязки некоторых из удаленных подразделений. Данное обстоятельство является причиной частых сбоев в работе и разрывов связи.
6.2.Предложения по перспективам развития системы IT УК:
№ пп |
Мероприятия. |
Срок реализ. |
Предполагаемый результат. |
|
Жесткая регламентация системы отношений между IT УК и аналогичными структурами подчиненных предприятий. Введение в действие в рамках УК локальных нормативных актов по линии IT, регламентирующих: 1. Систему подчиненности, 2. Полномочия. 3. Зоны ответственности 4. Взаимодействие. 5. Отчетность 6. Систему контроля. |
1-12-2007 |
1. Укрепление вертикали IT УК – IT Предприятий – Сторонние фирмы (аутсортинг). 2. Стандартизация процедур, документов. 3. Реализация единой информационной политики и концепции информационной безопасности в рамках УК. 4. Сокращение расходов за счет организационной поддержки IT УК, привлечения имеющихся консультационных, технических и интеллектуальных ресурсов. |
|
Совершенствование системы архивации, удаленного хранения и оперативного уничтожения информации. |
1-07-2007 |
1. Позволит защитить информацию УК от выемки. 2. Позволит предотвратить потери данных в случае сбоев системы или действий злоумышленников. |
|
Продолжение работ по внедрению ключей-чипов доступа к локальным машинам на предприятиях и в УК |
Все время. |
Контролируется доступ пользователей к ресурсам сети. |
|
Разработка программ Интранет для предприятий с использованием (в качестве примера -технологии ASP-net (Приложение 1) Основанная на принципах Интранет система позволит создать единую систему бюджетирования и маркетинговую базу предприятий. |
1-1-2006 |
1. Консолидация ресурсов. 2. Исключение дублирования данных. 3. Повышение оперативности работы. 4. Повышения уровня безопасности. 5. Реализация системы текущего контроля. 6. Сокращение затрат на IT. |
|
Внедрение системы IP телефонии в предприятиях холдинга. |
1-1-2007 |
1. Создаст безопасные каналы связи. 2. Повысит оперативность связи. 3. Уменьшит расходы на междугородную связь. 4. Позволит циркулярно передавать информацию, проводить селекторные совещания. |
|
Оборудование единого серверного узла предприятий холдинга |
1-10-2007 |
1. Повышение физической защищенности серверного узла. 2. Повышение контроля доступа к серверному узлу. 3. Облегчение технического обслуживания. 4. Реализация системы дублирования ресурсов и данных. |
|
Совершенствование системы связи и телекоммуникаций между головным офисом УК и предприятиями холдинга.
|
1-05-2006 |
1. Повышение надежности доступа к INTERNET. 2. Повышения устойчивости связи. 3. Подготовка регламентирующих документов.
|
Замечание*: При построении системы информационной безопасности холдинга информация, относящаяся к особо охраняемой (синий квадрат, подвергается еще более подробной детализации с четким определением алгоритмов защиты и распределением обязанности и ответственности должностных лиц. Систематизация данных производится с учетом используемых методов защиты и должна строится с учетом минимизации количества задействованных методов, максимально эффективно работающих с требуемыми форматами данных.
Приложение 1
Вариант использования технологии ASP.Net в рассмотренной УК и предприятиях промышленного холдинга.
1. Краткая справка по системе:
Технология появилась совсем недавно и является ответом Microsoft на обвинения в отсутствии безопасных технологий в системе Windows. Стоимость применения аналогичных технологий на базе Unix, обеспечивающих равнозначный уровень безопасности, стоит дороже в 40 раз (по сравнительным оценкам).
Конференция с презентацией новой технологии состоялась прошлым летом, куда были приглашены компанией Microsoft руководители департаментов московских предприятий, отвечающих за разработку информационных технологий.
***
Технология предусматривает разделение программы на две части: Пользовательская и Серверная.
Обе части являются независимыми и связываются между собой с помощью системы запросов:
1. Пользователь может запросить с сервера информацию:
· сервер проверяет полномочия пользователя
· опровергает или подтверждает полномочия.
В случае подтверждения полномочий, сервер обрабатывает исходные данные и отправляет ответ клиенту.
2. Клиент может только отображать информацию, полученную с сервера, но не имеет доступа к исходным данным. Таким образом, все алгоритмы, архитектура данных и бизнес-логика скрыта от клиента, что резко повышает защищенность системы в целом.
1. Работая в таком режиме, сервер не загружен подготовкой визуального отображения информации, не реагирует на непосредственные действия пользователей, что позволяет одновременно обслуживать большое число клиентов с высокой производительностью на машинах с низким техническим ресурсом.
2. В этом режиме пользователи занимаются примитивной обработкой информации: вводом запроса и отображением получаемых данных, что позволяет использовать устаревшие компьютеры на рабочих местах и не проводить массовую модернизацию компьютеров на предприятиях. Кроме того, эффективно работают медленные каналы связи между удаленными клиентами и сервером.
2. Сравнительная оценка стоимости внедрения программ на платформе ASP.Net с другими системами.
Платформа |
Колич. раб. мест |
Суммарная стоимость рабочих мест $ |
Количество серверов $ |
Суммарная стоимость серверов $ |
Стоимость модернизации и обслуживания $ |
Стоимость ПО $ |
Стоимость обучения персонала IT +польз $ |
Расходы на безопасность $ |
ИТОГО: $ |
Офисные пакеты |
5 |
4 000 |
0 |
0 |
1 400 |
0 |
0 |
0 |
5 400 |
Офисные пакеты |
10 |
8 000 |
1 |
4 500 |
4 200 |
0 |
0 |
0 |
16 700 |
1С для бухгалтерии |
20 |
16 000 |
2 |
9 000 |
8 500 |
3 000 |
2 000 |
0 |
38 500 |
1С для коммерческого и финучета 1 |
50 |
40 000 |
5 |
22 500 |
21 000 |
3 000 |
5 000 |
0 |
91 500 |
1С для коммерческого и финучета 6 |
300 |
240 000 |
30 |
135 000 |
125 000 |
18 000 |
30 000 |
0 |
548 000 |
Система CRM Готовые прогр.решения. |
300 |
240 000 |
30 |
1 500 000 |
580 000 |
1 950 000 |
150 000 |
330 000 |
4 750 000 |
ASP.Net
|
300 |
24 000 |
30 |
135 000 |
53 000 |
36 000 |
0 |
19.500 |
267500 |
ВЛАСЕНКО Михаил
Николаевич
Помощник
директора Института Безопасности Бизнеса ИББ МЭИ
E-mail: VlasenkoMN@ibbusiness.ru
Тел:
(095)362-7255
Факс:(095)362-7255