Protecția informațiilor în rețelele corporative de sisteme informaționale economice. Software care implementează operarea prin e-mail. Un sistem de securitate a informațiilor, ca orice sistem, trebuie să aibă anumite tipuri de suport propriu, pe baza căruia va fi susținut.

Definiții Securitatea informațională a unei organizații este starea de securitate a mediului informațional al organizației, asigurând formarea, utilizarea și dezvoltarea acestuia. Protecția informațiilor este o activitate de prevenire a scurgerii de informații protejate, a impacturilor neautorizate și neintenționate asupra informațiilor protejate, adică un proces care vizează atingerea acestei stări. 2

Componente de securitate a informațiilor. confidențialitate - disponibilitatea informațiilor doar unui anumit cerc de persoane; integritate (integritate) - garantarea existenței informațiilor în forma sa originală; Disponibilitate - capacitatea unui utilizator autorizat de a primi informații la momentul potrivit. autenticitate - capacitatea de a identifica autorul informațiilor; recurs - capacitatea de a dovedi că autorul este persoana declarată și nimeni altcineva. 3

Modele de control al accesului pentru a asigura confidențialitatea, integritatea și disponibilitatea se utilizează: Controlul accesului obligatoriu Controlul accesului selectiv Controlul accesului bazat pe rol 4

Controlul accesului obligatoriu. Controlul accesului obligatoriu, MAC - delimitarea accesului subiecților la obiecte, bazată pe atribuirea unei etichete de confidențialitate informațiilor conținute în obiecte, și eliberarea de permisiuni oficiale (admiterea) subiecților pentru a accesa informații de acest nivel de confidențialitate. De asemenea, uneori tradus ca control al accesului forțat. Aceasta este o metodă care combină protecția și restricționarea drepturilor aplicate proceselor computerizate, datelor și dispozitivelor de sistem și este concepută pentru a preveni utilizarea nedorită a acestora 5

Controlul accesului discreționar (DAC) - Controlul accesului subiectului la obiecte pe baza listelor de control al accesului sau a unei matrice de acces. Pentru fiecare pereche (subiect - obiect), trebuie specificată o listă explicită și neechivocă a tipurilor de acces acceptabile (citire, scriere etc.), adică acele tipuri de acces care sunt autorizate pentru un anumit subiect (individ sau grup de persoane). indivizi) la o anumită resursă (obiect) 7

8

Role Based Access Control (RBAC) - dezvoltarea unei politici de control selectiv al accesului, în care drepturile de acces ale subiecților sistemului la obiecte sunt grupate ținând cont de specificul aplicației acestora, formând roluri, de exemplu Administrator, 1 utilizator etc. of roles este conceput pentru a defini reguli clare și ușor de înțeles de control al accesului pentru utilizatori. 9

Asigurarea securității în timpul transmisiei Implementare – Criptarea este o metodă de transformare a informațiilor utilizată pentru a stoca informații importante în surse nesigure sau pentru a le transmite prin canale de comunicație nesecurizate. Include 2 procese - procesul de criptare si decriptare.Baza metodologica este criptografia. 10

Definiția unei chei Cheia este informații secrete utilizate de un algoritm criptografic la criptarea/decriptarea mesajelor, stabilirea și verificarea unei semnături digitale și calcularea codurilor de autenticitate (MAC). Când utilizați același algoritm, rezultatul criptării depinde de cheie. Pentru algoritmii moderni de criptare puternici, pierderea unei chei face practic imposibilă decriptarea informațiilor. Cantitatea de informații dintr-o cheie este de obicei măsurată în biți. Pentru algoritmii moderni de criptare, principala caracteristică a puterii criptografice este lungimea cheii. Criptarea cu chei de 128 de biți și mai mult este considerată puternică, deoarece este nevoie de ani de supercomputere puternice pentru a decripta informațiile fără o cheie 11

Metode de criptare: criptare simetrică: străinii pot cunoaște algoritmul de criptare, dar o mică parte a informațiilor secrete este necunoscută - cheia, care este aceeași pentru expeditorul și destinatarul mesajului; criptare asimetrică: străinii pot cunoaște algoritmul de criptare și, eventual, cheia publică, dar nu și cheia privată, cunoscută doar de destinatar. 12

Mijloace de asigurare a autenticității: Semnătura Semnătura digitală Semnătura este un set unic de simboluri, scrise manual, folosind anumite tehnici de design, care servește la identificarea unei persoane. Proprietățile unei semnături bune Rezistență la contrafacere. Repetabilitate. Identificabilitate (semnătura seamănă de obicei cu un prenume sau de familie). Viteza de scriere 13

Semnătura digitală electronică (EDS) este o cerință a unui document electronic destinat să protejeze acest document electronic de fals, obținut ca urmare a transformării criptografice a informațiilor folosind cheia privată a unei semnături digitale electronice și care permite identificarea proprietarului cheii de semnătură. certificat, precum și să stabilească absența denaturării informațiilor dintr-un document electronic și, de asemenea, asigură nerepudierea semnatarului. Deoarece documentele semnate sunt de lungime variabilă (și destul de mare), în schemele de semnătură digitală semnătura este adesea plasată nu pe documentul în sine, ci pe hash-ul acestuia. Funcțiile hash criptografice sunt utilizate pentru a calcula hash-ul.Hash-ul este transformarea unei matrice de date de intrare de lungime arbitrară într-un șir de biți de ieșire de lungime fixă. Astfel de transformări sunt numite și funcții hash. Orice modificare a documentului are ca rezultat modificări ale hash-ului 14

Schema de semnătură electronică include: un algoritm de generare a cheilor; funcția de calcul al semnăturii; funcția de verificare a semnăturii. Funcțiile de calcul bazate pe document și cheia secretă a utilizatorului calculează semnătura în sine. Funcția de verificare a semnăturii verifică dacă o anumită semnătură se potrivește cu documentul dat și cu cheia publică a utilizatorului. Cheia publică a utilizatorului este disponibilă public, astfel încât oricine poate verifica semnătura pe un anumit document 15

O semnătură digitală oferă autentificarea sursei unui document. În funcție de detaliile definiției documentului, pot fi semnate câmpuri precum „autor”, „modificări efectuate”, „ștampilă de timp”, etc.. Protecție împotriva modificărilor documentului. Orice modificare accidentală sau intenționată a documentului (sau semnăturii) va schimba hash-ul și, prin urmare, va invalida semnătura. Imposibilitatea renunțării la calitatea de autor. Deoarece puteți crea o semnătură corectă numai cunoscând cheia privată și este cunoscută doar de proprietar, proprietarul nu poate refuza semnătura acestuia pe document. 16

Mijloace de autorizare și autentificare: o parolă este un cuvânt secret sau un set de caractere conceput pentru a confirma identitatea sau autoritatea. Scăparea parolelor este o sarcină care necesită mult resurse, rezolvată de obicei prin așa-numita metodă de forță brută – adică căutare simplă.Cheie – informații secrete cunoscute unui cerc restrâns de oameni, utilizate de obicei sub formă criptată. Biometria este o tehnologie de identificare personală care utilizează parametrii fiziologici ai subiectului (amprentele digitale, irisul etc.). 17

Protecția datelor în rețelele de calculatoare devine una dintre cele mai deschise probleme în sistemele informatice și de calcul moderne. Până în prezent, au fost formulate trei principii de bază ale securității informației, a căror sarcină este de a asigura: - integritatea datelor - protecția împotriva defecțiunilor care conduc la pierderea informațiilor sau distrugerea acesteia; - confidentialitatea informatiilor; - disponibilitatea informatiilor pentru utilizatorii autorizati.

Mijloace de protecție - mijloace de protecție fizică; - software (programe antivirus, sisteme de distribuție a energiei, software de control acces); - masuri administrative de protectie (accesul la sedii, elaborarea strategiilor de securitate ale companiei etc.).

mijloacele de protecţie fizică sunt sisteme de arhivare şi duplicare a informaţiilor. În rețelele locale în care sunt instalate unul sau două servere, cel mai adesea sistemul este instalat direct în sloturile libere ale serverelor. În rețelele corporative mari, se preferă un server specializat de arhivare dedicat, care arhivează automat informațiile de pe hard disk-urile serverelor și stațiilor de lucru la o anumită oră stabilită de administratorul de rețea, emitând un raport privind backup-ul efectuat. Cele mai comune modele de server de arhivă sunt Storage Express System ARCserve pentru Windows de la Intel.

Pentru a combate virușii informatici, cel mai des sunt folosite programe antivirus, iar protecția hardware este mai puțin obișnuită. Cu toate acestea, recent a existat o tendință către o combinație de metode de protecție software și hardware. Printre dispozitivele hardware, se folosesc carduri speciale antivirus, introduse în sloturile de expansiune standard ale computerului. Intel Corporation a propus o tehnologie promițătoare pentru protejarea împotriva virușilor în rețele, a cărei esență este scanarea sistemelor de computer înainte de a porni. Pe lângă programele antivirus, problema protecției informațiilor din rețelele de calculatoare este rezolvată prin introducerea controlului accesului și delimitarea puterilor utilizatorului. În acest scop, sunt utilizate instrumente încorporate ale sistemelor de operare în rețea, cel mai mare producător al cărora este Novell Corporation.

Pentru a preveni intrarea neautorizată într-o rețea de calculatoare, se utilizează o abordare combinată - parolă + identificarea utilizatorului folosind o „cheie” personală. „Cheia” este o cartelă de plastic (magnetică sau cu microcircuit încorporat - un smart card) sau diverse dispozitive pentru identificarea unui individ folosind informații biometrice - iris, amprente, dimensiunea mâinii etc. Servere și stații de lucru în rețea, dotate cu smart cititoarele de carduri și software-ul special, cresc semnificativ gradul de protecție împotriva accesului neautorizat. Cardurile inteligente de control acces vă permit să implementați funcții precum controlul intrării, accesul la dispozitive PC, programe, fișiere și comenzi.

Sistem Kerberos - o bază de date care conține informații despre toate resursele rețelei, utilizatori, parole, chei de informații etc.; - un server de autorizare, a cărui sarcină este să proceseze cererile utilizatorilor pentru furnizarea unuia sau altui tip de serviciu de rețea. La primirea unei cereri, acesta accesează baza de date și determină autoritatea utilizatorului de a efectua o anumită operațiune. Parolele utilizatorului nu sunt transmise prin rețea, crescând astfel nivelul de securitate a informațiilor; - Serverul de acordare a biletelor (server de eliberare a permisiunii) primește de la serverul de autorizare un „pass” cu numele utilizatorului și adresa de rețea, ora solicitării, precum și o „cheie” unică. Pachetul care conține „trecerea” este transmis și în formă criptată. Serverul de permisiuni, după ce a primit și decriptat „permisul”, verifică cererea, compară „cheile” și, dacă sunt identice, dă voie pentru a utiliza echipamentele sau programele de rețea.

Pe măsură ce întreprinderile își extind activitățile, numărul de abonați crește și apar noi filiale, apare nevoia de a organiza accesul utilizatorilor la distanță (grupuri de utilizatori) la resursele de calcul sau informaționale din centrele companiei. Pentru a organiza accesul de la distanță, liniile de cablu și canalele radio sunt cel mai des folosite. În acest sens, protejarea informațiilor transmise prin canalele de acces la distanță necesită o abordare specială. Podurile și routerele de acces la distanță folosesc segmentarea pachetelor - împărțindu-le și transmitendu-le în paralel pe două linii - ceea ce face imposibilă „interceptarea” datelor atunci când un „hacker” se conectează ilegal la una dintre linii. Procedura de compresie a pachetelor transmise utilizată la transmiterea datelor asigură că datele „interceptate” nu pot fi decriptate. Podurile și routerele de acces la distanță pot fi programate astfel încât nu toate resursele centrului companiei să fie disponibile utilizatorilor de la distanță

În prezent, au fost dezvoltate dispozitive speciale pentru a controla accesul la rețelele de calculatoare prin linii dial-up. Un exemplu este modulul Remote Port Security Device (PRSD) dezvoltat de AT&T, care constă din două blocuri de dimensiunea unui modem obișnuit: RPSD Lock (blocare), instalat în biroul central și RPSD Key (cheie), conectat la modemul utilizatorului de la distanță. RPSD Key and Lock vă permit să setați mai multe niveluri de protecție și control al accesului: - criptarea datelor transmise pe linie folosind chei digitale generate; - controlul accesului în funcție de ziua săptămânii sau de ora din zi

Strategia pentru crearea copiilor de rezervă și restaurarea bazelor de date este direct legată de subiectul securității. De obicei, aceste operațiuni sunt efectuate în afara orelor de lucru în modul lot. În majoritatea DBMS-urilor, backup-ul și recuperarea datelor sunt permise numai utilizatorilor cu permisiuni largi (drepturi de acces la nivelul administratorului de sistem sau al proprietarului bazei de date); specificarea unor astfel de parole sensibile direct în fișierele de procesare în lot este nedorită. Pentru a nu stoca parola în mod explicit, este recomandat să scrieți un program de aplicație simplu care să numească în sine utilitarele de copiere/recuperare. În acest caz, parola sistemului trebuie să fie „conectată” în codul aplicației specificate. Dezavantajul acestei metode este că de fiecare dată când parola este schimbată, acest program trebuie recompilat

La fiecare întreprindere, indiferent de mărimea, tipul de proprietate și linia de activitate, se utilizează același tip de metode și metode de protecție, implementând modelul sistemului de protecție. Blocul metodelor de protecție include obstacole, reglementare, control acces, mascare, stimulare și constrângere.

Obstacole (metoda fizică), de exemplu, instalarea de garduri în jurul întreprinderilor, restricții privind accesul la clădiri și spații, instalarea de alarme, securitate.Controlul accesului se realizează fizic și prin software și hardware. Mascarea implică utilizarea unui software criptografic. Stimulent - respectarea de către utilizatori a standardelor etice la prelucrarea și utilizarea informațiilor. Reglementarea presupune prezența instrucțiunilor și reglementărilor de prelucrare a informațiilor, iar interzicerea presupune prezența normelor legale consacrate în documentele de reglementare și care definesc răspunderea juridică în cazul încălcării acestora.

Metodele și metodele de protecție enumerate mai sus sunt combinate în patru subsisteme care sunt instalate în sistemele informaționale: Subsistem control acces Subsistem înregistrare și contabilitate Subsistem criptografic Subsistem integritate

Subsistemul de control al accesului protejează accesul la sistemul informațional folosind software (parole) și software și hardware (chei electronice, dischete cu chei, dispozitive de recunoaștere a utilizatorilor pe baza caracteristicilor biometrice etc.).

Subsistemul de înregistrare și contabilitate înregistrează într-un jurnal electronic special utilizatorii și programele care au acces la sistem, fișiere, programe sau baze de date, timpul de intrare și ieșire din sistem și alte operațiuni efectuate de utilizatori.

Subsistemul criptografic este un set de programe speciale care criptează și decriptează informațiile. Prezența unui subsistem criptografic este necesară în special în sistemele informatice utilizate pentru afaceri electronice.

Subsistemul pentru asigurarea integrității informațiilor include prezența securității fizice a echipamentelor și mediilor informatice, disponibilitatea instrumentelor de testare pentru programe și date și utilizarea mijloacelor de securitate certificate.

Eterogenitatea sferei de activitate a diferitelor organizații, firme, bănci face ca obiectivul să fie necesar să se precizeze strategii de protejare a informațiilor și de gestionare a acestora în cazul unei încălcări grave sau crize. Această abordare încurajează dezvoltarea diferitelor concepte de securitate a informațiilor în funcție de dimensiunea organizației (mică, medie, mare), domeniile de activitate (financiare, bancare, producție, comerț) și caracteristicile naționale și regionale. Analiza riscurilor informaționale implică determinarea a ceea ce trebuie protejat, de cine și cum să îl protejăm. Un nivel rațional de securitate a informațiilor este ales în primul rând din motive de fezabilitate economică.

O corporație este o asociație de organizații și persoane fizice bazată pe interese profesionale comune, una dintre formele unei societăți pe acțiuni pentru afaceri mari, inclusiv bancare.

Corporațiile mari se caracterizează printr-o structură complexă, distribuită geografic, cu o structură pe mai multe niveluri și cu mai multe legături. Amploarea activității și volumele de produse și servicii pot fi regionale sau globale.

O trăsătură caracteristică și distinctivă a rețelelor de computere corporative este că construcția lor are loc de obicei pe parcursul mai multor ani. În astfel de rețele funcționează echipamente de la diferiți producători și generații diferite, de exemplu. echipamente, atât cele mai moderne cât și învechite, nu întotdeauna axate inițial pe colaborare, transfer și prelucrare a datelor. Pe măsură ce rețelele corporative se dezvoltă cantitativ și calitativ, sarcina de a le gestiona devine din ce în ce mai complexă și necesită noi mijloace de gestionare a rețelelor în întreaga întreprindere. Astfel de instrumente trebuie să fie independente de protocol, scalabile și să ofere un management centralizat al rețelei.

În prezent, consumatorii caută soluții pentru a uni sucursale disparate nu numai în cadrul unei singure corporații, ci și regiuni din întreaga țară. Scopul principal al comasării filialelor este de a crea un singur spațiu informațional și funcții comune de servicii. Soluțiile moderne fac posibilă furnizarea consumatorilor cu un sistem unificat pentru gestionarea și monitorizarea (monitorizarea) resurselor rețelei corporative, reducând costurile, combinând rețelele de date și de telefonie și protejând împotriva accesului neautorizat.

O resursă de informații la nivel corporativ este deosebit de vulnerabilă și necesită protecție de înaltă calitate și fiabilă, deoarece structura informațională a organizațiilor de tip corporativ este eterogenă și constă dintr-un set de sisteme distribuite, tehnologii, baze de date și bănci de date și sarcini locale.

În organizațiile mari, diferite tipuri de activități au suport informațional diferit. Datele din diferite departamente (în absența integrării lor) pot fi duplicate, stocate în formate diferite, se pot completa într-o anumită zonă și, în același timp, pot fi inaccesibile specialiștilor etc. Corporația nu are adesea posibilitatea de a folosi întreaga varietate de resurse de informații la maximum. Această situație face dificilă, complicată și costisitoare crearea și exploatarea fiabilă a sistemelor de protecție.

Întrucât pe vremuri problemele securității tehnologiei informației erau rezolvate în țara noastră în principal pentru a proteja secretele de stat, acum problemele specifice de protejare a băncilor sau a altor afaceri necesită soluții urgent, iar abia acum sunt integrate cu sistemul mondial. Protecția informațiilor într-un anumit domeniu de activitate comercială are o serie de caracteristici semnificative legate de impactul securității informațiilor asupra organizației. Cele mai importante dintre ele:

Prioritatea factorilor economici, de piață și a relațiilor de proprietate;

Utilizarea sistemelor deschise, crearea unui subsistem de securitate a informațiilor folosind instrumente disponibile pe scară largă pe piață;

Semnificația juridică a informațiilor care oferă protecție juridică a documentelor, resurselor de informații, proceselor de informații în conformitate cu legislația stabilită a Federației Ruse.

Necesitatea schimbului de informații nu numai între utilizatorii corporației dispersați geografic, ci și cu lumea exterioară, necesită utilizarea rețelelor mondiale globale. Atunci când este conectat la Internet, lucrul cu serviciile sale crește semnificativ domeniul de amenințări la adresa informațiilor procesate în corporație.

Serviciile de internet sunt împărțite în deschise și închise. Un serviciu deschis implică interacțiunea utilizatorilor corporației cu structuri externe. Serviciul închis se aplică utilizatorilor rețelei corporației, inclusiv celor de la distanță. Un serviciu de internet integrat oferă atât servicii de tip închis, cât și servicii de tip deschis.

În scopul securității informațiilor corporației, se creează infrastructura necesară, se utilizează programe fiabile pentru interacțiunea cu Internetul, care necesită respectarea următoarelor reguli atunci când corporația lucrează cu Internet:

Salvați-vă cu atenție parola și schimbați-o dacă bănuiți;

Nu lăsați computerul nesupravegheat în timpul unei sesiuni de comunicare;

După ce ați primit informațiile necesare, încheiați complet sesiunea de comunicare înainte de a vizita alte site-uri;

Utilizați criptarea mesajelor care apar prin rețea și multe altele.

La crearea rețelelor corporative se ia în considerare legislația privind protecția informațiilor și se elaborează standarde de răspundere pentru încălcările securității informațiilor. Globalizarea computerelor moderne a rețelelor este un spațiu practic necontrolat de oricine, care este în mod constant completat cu megaocteți de informații diverse. Sub masca unor informații utile, computerele sunt infectate cu diverși viruși (malware). Prin internet, oamenii pot fi atacați, datele confidențiale furate, bazele de date distruse etc.

Putem formula următoarele cerințe de bază pentru protejarea rețelelor corporative și a obiectelor informaționale de malware.

Utilizarea de software, hardware și instrumente de securitate licențiate.

Efectuarea certificării obiectelor informaționale pentru conformitatea cu cerințele documentelor de reglementare privind protecția, inclusiv testarea prezenței capacităților nedeclarate.

Determinarea și fixarea listei de instrumente software acceptabile pentru utilizare, o interdicție categorică a utilizării software-ului neinclus în pachet.

Folosind instrumente moderne antivirus anti-malware pentru protecție și asigurarea actualizărilor în timp util.

Elaborarea documentelor organizatorice și administrative necesare pentru a proteja obiectele de malware și specificarea metodelor de prevenire pentru a le împiedica să intre în rețea, asigurându-se că utilizatorii sunt conștienți de semnele generale ale apariției malware-ului.

Dezvoltarea de metode de copiere de rezervă, salvare și restaurare a software-ului și a resurselor de informații atunci când acestea sunt infectate sau deteriorate de viruși, asigurând în același timp stocarea fiabilă a mostrelor originale de software și a resurselor de informații într-un loc sigur.

Asigurarea verificărilor regulate ale instalațiilor computerelor pentru infecția cu malware.

Pe lângă nivelul legislativ, nu mai puțin important este și nivelul managerial. Conducerea fiecărei corporații trebuie să fie conștientă de necesitatea menținerii unui regim de securitate și să aloce resurse adecvate în acest scop. Principalul lucru pe care trebuie să-l implementeze nivelul de management este dezvoltarea unei politici de securitate a informațiilor care să corespundă direcției generale a întreprinderii.

Scopul principal al măsurilor luate la nivel de management este formularea unui program de lucru în domeniul securității informațiilor și asigurarea implementării acestuia. Sarcina conducerii este de a aloca resursele necesare și de a monitoriza starea de fapt. Baza programului este o politică de securitate pe mai multe niveluri care reflectă abordarea organizației de a-și proteja activele și interesele informaționale. Utilizarea sistemelor informatice este asociată cu un anumit set de riscuri. Când riscul este inacceptabil de mare, trebuie luate măsuri de protecție. Reevaluarea periodică a riscurilor este necesară pentru a monitoriza eficacitatea activităților de securitate și pentru a ține seama de schimbarea condițiilor.

Pentru a menține un regim de securitate a informațiilor, măsurile și instrumentele software și hardware sunt deosebit de importante, întrucât principala amenințare la adresa sistemelor informatice constă în acestea: defecțiuni hardware, erori software, greșeli ale utilizatorilor și administratorilor etc.

Mecanismele cheie pentru asigurarea securității informațiilor rețelelor corporative sunt:

Identificare și autentificare;

Controlul accesului;

Înregistrare și înregistrare;

Criptografia și securitatea rețelei;

Ecranarea.

Ecranarea în rețelele corporative se realizează folosind firewall-uri. Firewall-ul împiedică utilizatorii să încalce regulile de securitate a informațiilor stabilite de administratori. Ecranul nu permite accesul la servere care nu sunt necesare pentru îndeplinirea sarcinilor utilizatorului.

Firewall-urile pot fi implementate în software și hardware. Implementările software sunt mai ieftine, dar mai puțin productive și necesită resurse semnificative ale sistemului informatic. Firewall-urile hardware sunt produse ca complexe tehnice speciale hardware și software care funcționează sub controlul unor sisteme de operare specializate sau convenționale modificate pentru a îndeplini funcții de protecție.

1. Trebuie să te concentrezi doar pe produse certificate.

2. Ar trebui să alegeți un furnizor de sisteme de securitate care va oferi o gamă completă de servicii, de ex. nu doar vânzări și garanții oferite de toată lumea, ci și servicii de instalare și configurare (dacă este necesar), instruirea angajaților pentru a lucra cu echipamente de protecție și suport pentru sistemele achiziționate.

3. Alegeți un sistem de securitate care asigură controlul accesului în diverse sisteme de operare.

4. Ar trebui să vă concentrați asupra sistemelor cu cele mai bune caracteristici operaționale, precum: fiabilitate ridicată, compatibilitate cu diverse programe software, reducere minimă a performanței stației de lucru, disponibilitate obligatorie a mijloacelor pentru controlul centralizat al mecanismelor de protecție de la locul de muncă al administratorului de securitate, notificarea promptă a administrator despre toate evenimentele NSD de la stațiile de lucru.

5. Atunci când alegeți, acordați atenție nu numai costului acestor fonduri, ci și nivelului cheltuielilor așteptate pentru funcționarea și întreținerea acestora.

Prelucrarea informațiilor care constituie un secret comercial necesită asigurarea securității și o muncă atentă de proiectare în etapa creării IP. Proiectarea include: inspectarea sistemului automatizat și elaborarea documentelor organizatorice și administrative; selectarea, achiziționarea, instalarea, configurarea și funcționarea echipamentelor de protecție; instruirea personalului pentru a lucra cu echipamentul de protecție disponibil; serviciu de informatii de securitate; audit periodic al sistemului de securitate informatică.

Este recomandabil ca astfel de lucrări să fie efectuate de profesioniști, deoarece calculele greșite în etapa de topografie și proiectare a unui sistem de securitate a informațiilor pot duce la probleme grave și pierderi în timpul construcției și exploatării acestuia.

Ținând cont de particularitățile rețelei corporative, documentele elaborate ar trebui să prevadă soluționarea următoarelor sarcini:

Protecție împotriva pătrunderii în rețeaua corporativă și împotriva scurgerii de informații din rețea prin canale de comunicație;

Delimitarea fluxurilor de informații între segmentele de rețea;

Protecția celor mai critice resurse ale rețelei de interferențe în procesul normal de funcționare;

Protecția locurilor de muncă și resurselor importante împotriva accesului neautorizat (NSD);

Protecția criptografică a celor mai importante resurse de informații.

În prezent, nu există o singură soluție gata făcută (hardware, software sau altele) care să ofere implementarea simultană a funcțiilor tuturor sarcinilor enumerate.

Acest lucru se explică prin faptul că, pe de o parte, cerințele fiecărui utilizator specific pentru implementarea anumitor măsuri de protecție diferă semnificativ și, pe de altă parte, fiecare dintre sarcini este rezolvată folosind mijloace specifice. Să ne uităm la câteva instrumente care implementează aceste funcții.

Protecție împotriva pătrunderii în rețea și a scurgerilor de informații din rețea. Principalul mijloc de implementare a unei astfel de amenințări este canalul care conectează rețeaua corporativă la internetul global.

Utilizarea firewall-urilor este cea mai comună soluție. Acestea vă permit să definiți și să implementați reguli de control al accesului atât pentru utilizatorii externi, cât și pentru cei interni ai unei rețele corporative, să ascundeți structura rețelei de un utilizator extern dacă este necesar, să blocați trimiterea de informații către adrese „interzise” și, în final, să controlați pur și simplu utilizarea a Internetului.

Delimitarea fluxurilor de informații între segmentele de rețea. În funcție de natura informațiilor procesate într-un anumit segment de rețea și de metoda de interacțiune între segmente, sunt implementate diferite opțiuni. Cea mai comună este utilizarea firewall-urilor, care este recomandată atunci când se organizează interacțiunea între segmente prin intermediul internetului. De regulă, această metodă este utilizată atunci când rețeaua are deja firewall-uri concepute pentru a controla fluxurile de informații între rețeaua internă și Internet, ceea ce ajută la prevenirea costurilor inutile - capabilitățile instrumentelor disponibile sunt mai mult utilizate.

Protejarea celor mai critice resurse ale rețelei de interferența cu operațiunile normale este o prioritate de top. Cele mai critice resurse dintr-o rețea corporativă sunt serverele. Principala modalitate de a interfera cu funcționarea lor normală este de a efectua atacuri folosind vulnerabilități în hardware-ul și software-ul rețelei. În acest caz, atacul poate fi efectuat atât dintr-o rețea externă (Internet), cât și dintr-o rețea internă, de exemplu, de către unul dintre membrii personalului. Problema principală constă nu numai în detectarea și înregistrarea în timp util a unui atac, pe care multe instrumente îl pot face, ci și în contracararea acestuia, deoarece chiar și capturarea unui atacator (pe baza rezultatelor înregistrării) va servi ca o mică consolare dacă corporația rețeaua este paralizată de ceva timp din cauza unui atac reușit.

Protejarea locurilor de muncă și resurselor importante împotriva accesului neautorizat are următoarele caracteristici. Până în prezent, multe sisteme automatizate au funcționat și continuă să funcționeze, concentrându-se doar pe mecanismele de protecție încorporate ale diferitelor sisteme de operare (de obicei cele de rețea), care asigură o protecție suficientă (cu o administrare corespunzătoare) a informațiilor de pe servere. Dar numărul de servere din rețeaua corporativă este de 1-3% din numărul total de stații de lucru pe care sunt procesate informații protejate. În același timp, marea majoritate a stațiilor de lucru (aproximativ 90%) rulează MS DOS sau Windows și nu au măsuri de securitate, deoarece aceste sisteme de operare nu conțin mecanisme de securitate încorporate.

Apare o situație - informații importante, la care accesul nu este limitat în niciun fel, pot fi prelucrate într-un loc de muncă neprotejat. În aceste cazuri se recomandă utilizarea unor mijloace suplimentare de protecție, în special mijloace de protecție criptografică (pentru a proteja cheile criptografice); reglementarea și înregistrarea acțiunilor utilizatorului; diferențierea drepturilor utilizatorilor pentru accesul la resursele locale.

Cele mai importante resurse de informații sunt supuse protecției criptografice. Criptarea este o modalitate fiabilă de a proteja datele de a fi accesate și utilizate de alte persoane în propriile lor scopuri. Particularitatea unor astfel de fonduri în Rusia este că utilizarea lor este strict reglementată de lege. În prezent, produsele de informare concepute pentru criptare în rețelele corporative sunt instalate doar la acele stații de lucru unde sunt stocate informații de foarte mare importanță sau sunt procesate plăți electronice în numerar (de exemplu, în sistemele Bancă-Client).

Pentru protecția completă a sistemelor și tehnologiilor informaționale corporative, se recomandă utilizarea instrumentelor software și hardware de la companii mari. Aceștia sunt capabili să ofere o gamă mai completă de servicii și facilități și într-o manieră mai avansată din punct de vedere tehnologic.

Deoarece protecția informațiilor în corporații este o problemă complexă, niciun mijloc de semnătură digitală și criptare nu va ajuta dacă celelalte componente ale protecției nu sunt luate în considerare. Majoritatea structurilor corporative nu consideră practic amenințarea scurgerii de informații prin canale tehnice (prin sisteme de alimentare cu energie electrică, linii telefonice, structuri de inginerie, dispozitive de înregistrare secretă a informațiilor etc.) ca fiind reală, deși, potrivit unui număr de organizații implicate în probleme de securitate a informațiilor, acesta este unul dintre cele mai comune canale de furt de informații în prezent.

Controlul calității securității informațiilor la locații este responsabilitatea organizațiilor care au promovat un examen special și sunt acreditate în sistemul general de certificare. Aceștia poartă întreaga responsabilitate juridică și financiară pentru acțiunile lor. În prezent, există două categorii de organizații pe piața serviciilor în acest domeniu: cele care au licență, dar nu sunt acreditate de către Comisia Tehnică de Stat (în prezent Serviciul Federal de Control Tehnic și Export) ca organism de certificare și cele care au atât licență, cât și acreditare. Diferența dintre ele este că, deși ambii pot efectua inspecții ale organizațiilor aparținând primei categorii (cel mai adesea acestea sunt organizații subcontractante), ei nu au dreptul să aprobe un certificat de conformitate și trebuie să solicite acest lucru la una dintre ele. organismelor de certificare sau direct Comisiei Tehnice de Stat.

Fiecare întreprindere corporativă și bancă, în funcție de condițiile specifice de funcționare a acesteia, necesită un sistem personalizat de securitate a informațiilor. Construirea unui astfel de sistem este posibilă numai de firmele care au licență pentru tipul specificat de activitate.

Folosind exemplul unei bănci, un sistem personalizat de securitate a informațiilor trebuie să fie adecvat nivelului de importanță și secret al informațiilor. Costul acestuia nu trebuie să depășească posibilele daune din cauza unei încălcări a securității informațiilor protejate. Dar, în același timp, depășirea sistemului de securitate ar trebui să fie inoportună din punct de vedere economic în comparație cu posibilele beneficii din obținerea accesului, distrugerii, modificării sau blocării informațiilor protejate. Pentru a determina caracterul adecvat al costului sistemului de protecție, amploarea daunelor și probabilitatea apariției acesteia trebuie comparate cu costul asigurării protecției. Deoarece costul real al informației este destul de dificil de estimat, sunt adesea folosite evaluări calitative ale experților. Resursele informaționale sunt clasificate drept critice atunci când faceți afaceri, dacă sunt de o importanță deosebită în orice problemă etc.

Nivelul de securitate a informațiilor ar trebui determinat în mod oficial pe baza nivelului de confidențialitate al informațiilor care sunt procesate și a nivelului de daune cauzate de o încălcare a securității. Determinarea nivelului necesar de confidențialitate este apanajul conducerii băncii. Poate varia mult în funcție de obiectivele strategice și tactice ale băncii, de tehnologia de procesare a informațiilor utilizată, de opinia privată a conducerii, de componența personalului de serviciu, de compoziția instrumentelor automate și de multe alte motive. Importante atunci când se determină nivelul de confidențialitate al informațiilor sunt cerințele cadrului legislativ și ale agențiilor guvernamentale.

Gradul de securitate a informațiilor în sistemele bancare automatizate este determinat și de domeniul specific al amenințărilor la adresa încălcărilor confidențialității. Lista completă a amenințărilor din lumea computerizată modernă are mai mult de o pagină. O evaluare specifică a probabilității de apariție a fiecărei amenințări ar trebui determinată pe un anumit sistem bancar.

Produsele software disponibile astăzi pe piață în legătură cu metodele de securitate a informațiilor conțin un sistem de control al accesului. Din punct de vedere organizatoric, măsurile de introducere a unui nou utilizator în sistem rămân la latitudinea serviciilor de securitate. Un exemplu ar fi completarea unui formular pentru dreptul de acces la sistem, care conține o listă de sarcini funcționale, o listă de operațiuni într-o anumită sarcină funcțională și o listă de acțiuni pe care operatorul are voie să le efectueze. Chestionarul este aprobat de conducerea băncii, serviciul de securitate și serviciul de asistență. După acești pași, operatorul trebuie să cunoască două parole pentru a se conecta în sistem: parola supervizorului pentru a se conecta fizic la computer și o parolă personală pentru a se conecta în sistem.

În cele mai multe cazuri, infracțiunile informatice sunt comise de angajații băncii. Unele bănci preferă să angajeze un personal de dezvoltatori de software. Dezvoltatorul de sistem știe totul despre sistem, toate punctele sale slabe, știe să modifice informațiile pentru ca nimeni să nu afle despre el. Nimeni în afară de el nu poate menține mai bine sistemul. După cum arată practica, implementarea infracțiunilor informatice este facilitată de încălcarea reglementărilor și regulilor de arhivare a informațiilor.

În prezent, societatea în ansamblu depinde de calculatoare, așa că astăzi problema securității informațiilor este o problemă pentru întreaga societate.

Protecția informațiilor a devenit o ramură independentă, în dezvoltare dinamică, a științei, ingineriei și tehnologiei. Tendințele moderne în protecția informațiilor urmează tendințele generale în dezvoltarea sistemelor și tehnologiilor informatice: integrare, standardizare, portabilitate, transparență.

Evoluțiile în domeniul securității informațiilor continuă să evolueze rapid. Cererea de produse software cu garanție de securitate a informațiilor este în creștere. Problemele de rețea rămân cele mai presante.

UNIVERSITATEA DE STAT BELARUSIANĂ

Lucrare finală pe
„Bazele tehnologiei informației”

Student la masterat

Departamentul de Cibernetică

Kozlovski Evgheni

Lideri:

profesor asociat Anishchenko Vladimir Viktorovich,

Artă. profesorul Kozhich Pavel Pavlovich

Minsk - 2008

ERP – Sistem de planificare a resurselor întreprinderii

MRP II- Planificare necesar de materiale

MRP II- Planificarea resurselor de manufactură

Software – software

CIS– sisteme informatice corporative

SVT – facilitati informatice

NSD - acces neautorizat

Sistemele de informații corporative au devenit o parte din viața noastră. În lumea modernă, este destul de dificil să ne imaginăm o întreprindere în curs de dezvoltare cu succes, gestionată fără participarea unui astfel de sistem.

Datorită faptului că sistemele de informații corporative stochează informații, încălcarea integrității sau confidențialității cărora poate duce la prăbușirea unei întregi întreprinderi, problema protecției informațiilor în sistemele de informații corporative este acută.

Această lucrare are mai multe scopuri. Una dintre ele este analiza structurii sistemelor informaționale corporative. Pe baza acestei analize se va realiza clasificarea acestora. De asemenea, unul dintre scopurile acestei lucrări este de a studia mecanismele de protecție a datelor în diferite clase de sisteme informaționale corporative. În plus, scopul este de a investiga amenințările existente la adresa sistemelor de informații corporative și de a analiza metodele de minimizare sau eliminare completă a acestora. În acest sens, va fi realizat un studiu al metodelor existente de control al accesului și o analiză a aplicabilității acestora în anumite condiții.

Termenul de corporație provine din cuvântul latin corporație- Unirea. O corporație înseamnă o asociație de întreprinderi care funcționează sub control centralizat și rezolvă probleme comune. De regulă, corporațiile includ întreprinderi situate în diferite regiuni și chiar în diferite state (corporații transnaționale).

Sistemele informaționale corporative (CIS) sunt sisteme de management integrate pentru o corporație distribuită geografic, bazate pe analiza aprofundată a datelor, utilizarea pe scară largă a sistemelor de suport informațional pentru luarea deciziilor, managementul documentelor electronice și munca de birou.

Motive pentru implementarea sistemelor informatice corporative:

· acces prompt la informații fiabile și prezentate convenabil;

· crearea unui spațiu informațional unificat;

· simplificarea înregistrării și prelucrării datelor;

· eliminarea dublei înregistrări a acelorași date;

· înregistrarea informațiilor în timp real;

· reducerea costurilor cu forța de muncă, repartizarea lor egală între toți participanții la sistemul de contabilitate, planificare și management;

· automatizarea consolidării datelor pentru o structură organizatorică distribuită.

Toate sistemele de informații corporative pot fi împărțite în două subgrupe mari. Unul dintre ele include un singur sistem asamblat pe o bază modulară și având un nivel ridicat de integrare. Celălalt este un set de, deși integrate între ele, folosind servicii și interfețe, dar încă aplicații eterogene.

Prima clasă include în principal sisteme ERP moderne.

Sistemul ERP (Enterprise Resource Planning System) este un sistem informatic corporativ conceput pentru automatizarea contabilității și managementului. De regulă, sistemele ERP sunt construite pe o bază modulară și, într-o măsură sau alta, acoperă toate procesele cheie ale companiei.

Din punct de vedere istoric, conceptul ERP a devenit o dezvoltare a conceptelor mai simple de MRP (Material Requirement Planning) și MRP II (Manufacturing Resource Planning). Instrumentele software utilizate în sistemele ERP permit planificarea producției, modelarea fluxului de comenzi și evaluarea posibilității implementării acestora în serviciile și departamentele întreprinderii, legându-l cu vânzările.

Sistemele ERP se bazează pe principiul creării unui singur depozit de date care să conțină toate informațiile de afaceri corporative și să ofere acces simultan la acesta de către orice număr necesar de angajați ai întreprinderii învestiți cu autoritatea corespunzătoare. Modificările datelor se fac prin funcțiile (funcționalitatea) sistemului. Principalele funcții ale sistemelor ERP: menținerea specificațiilor de proiectare și tehnologice care determină compoziția produselor fabricate, precum și resursele materiale și operațiunile necesare pentru fabricarea acestora; formarea planurilor de vanzari si productie; planificarea cerințelor pentru materiale și componente, calendarul și volumele de aprovizionare pentru îndeplinirea planului de producție; managementul stocurilor si achizitiilor: mentinerea contractelor, implementarea achizitiilor centralizate, asigurarea contabilitatii si optimizarea stocurilor depozitelor si atelierelor; planificarea capacității de producție de la planificarea pe scară largă până la utilizarea mașinilor și echipamentelor individuale; managementul financiar operațional, inclusiv întocmirea unui plan financiar și monitorizarea implementării acestuia, contabilitatea financiară și de gestiune; managementul proiectelor, inclusiv etapele de planificare și resurse.

De obicei, au un nucleu format din mai multe module cheie, fără de care sistemul nu poate funcționa. Printre altele, acest set include și un sistem de securitate, care preia majoritatea funcțiilor legate de protejarea informațiilor în întregul sistem în ansamblu și în fiecare dintre modulele încorporate în special. Această abordare este foarte convenabilă din mai multe motive:

Mecanismele de asigurare a confidențialității, integrității și disponibilității datelor într-un astfel de sistem sunt maxim unificate. Acest lucru permite administratorilor să evite greșelile atunci când configurează diverse module de sistem, ceea ce ar putea duce la găuri de securitate.

Sistemul are un nivel ridicat de centralizare și vă permite să gestionați ușor și fiabil protecția sistemului dumneavoastră de informații corporative.

Avantajele unor astfel de sisteme includ:

Utilizarea unui sistem ERP vă permite să utilizați un singur program integrat în loc de mai multe programe separate.

Sistemul de control al accesului la informații implementat în sistemele ERP este conceput (în combinație cu alte măsuri de securitate a informațiilor întreprinderii) pentru a contracara atât amenințările externe (de exemplu, spionajul industrial), cât și pe cele interne (de exemplu, furtul).

Un studiu al universităților din statul unional, majoritar de stat, a arătat că în cel mai automatizat domeniu, cel al finanțelor, 42% dintre acestea fie folosesc doar aplicații de birou, fie folosesc hârtia la modă veche. Dar chiar și acolo unde nivelul de automatizare este relativ ridicat, modulele, de regulă, nu sunt interconectate în niciun fel. Și ar trebui să existe vreo zece astfel de subsisteme: planificare financiară, management imobiliar, management de proiect, management al calității, raportare, mediu instrumental etc. La dezvoltarea fiecăruia dintre ele, numai costurile cu forța de muncă vor costa, conform estimărilor cele mai conservatoare, aproximativ 25 de mii de dolari Ținând cont că 25-40% din toate costurile de creare a unui produs software sunt cheltuite pentru dezvoltare, estimarea rezultată trebuie să fie crescut de cel puțin 2,5-4 ori. Sprijinul pentru sistemul implementat va costa încă 140-240 de mii de dolari anual. Deci ideea că dezvoltarea internă este ieftină este o iluzie care apare în absența unor controale eficiente ale costurilor.

Sistemele ERP moderne pot fi adaptate cu succes la activitatea instituțiilor de învățământ. Cu toate acestea, este de remarcat faptul că la implementarea unor astfel de sisteme, este necesar să se țină cont de unele caracteristici inerente sistemelor informaționale ale unor astfel de instituții.

Prezența mai multor subsisteme specializate care rezolvă probleme destul de independente. Datele utilizate de fiecare dintre subsisteme sunt foarte specializate, adică. independent de alte aplicații ale sistemului informațional. De exemplu, în cadrul unei universități se pot distinge subsistemele de contabilitate, bibliotecă, departament editorial și de editare, aplicații de procesare a procesului de învățământ etc. Pe de altă parte, toate subsistemele sunt situate în același spațiu informațional și sunt interconectate (un singur sistem de date de referință, rezultatul muncii unei aplicații servește ca bază pentru funcționarea alteia etc.).

Cerința de a publica o parte semnificativă a informațiilor IP, cu furnizarea de interfețe de acces la datele sistemului de informații corporative pentru utilizatori terți.

A doua clasă de sisteme, în opinia mea, sunt mult mai susceptibile la lacune de securitate cauzate de erori în configurația de securitate a aplicației. După cum sa menționat deja, în ciuda integrării lor certe, astfel de sisteme sunt, de fapt, un set de produse independente separate. În consecință, fiecare dintre ele folosește propriile abordări pentru a asigura integritatea datelor, confidențialitatea și disponibilitatea și necesită o configurare separată. Dacă luăm în considerare și faptul că părțile unui astfel de sistem nu sunt întotdeauna compatibile între ele, devine evident că pentru ca aplicațiile să funcționeze împreună, uneori este necesar să se sacrifice securitatea. Descentralizarea unor astfel de sisteme de multe ori nu permite administratorilor să monitorizeze delimitarea drepturilor de acces în sistem.

Înainte de a lua în considerare vulnerabilitățile unui sistem informațional corporativ, vom introduce mai multe definiții.

Sub acces la informatiiînseamnă familiarizarea cu informațiile, prelucrarea acesteia, în special copierea, modificarea sau distrugerea informațiilor.

Se face o distincție între accesul autorizat și neautorizat la informații.

- Acesta este accesul la informații care nu încalcă regulile stabilite de control al accesului.

servesc la reglementarea drepturilor de acces ale subiecților de acces la obiectele de acces.

caracterizată printr-o încălcare a regulilor de control al accesului stabilite. O persoană sau un proces care are acces neautorizat la informații încalcă regulile de control al accesului. Accesul neautorizat este cel mai frecvent tip de încălcare a computerului.

Confidențialitatea datelor este statutul dat datelor și determină gradul de protecție necesar. În esență, confidențialitatea informațiilor este proprietatea informațiilor de a fi cunoscute doar de subiecții admiși și verificați (autorizați) ai sistemului (utilizatori, procese, programe). Pentru alte subiecte ale sistemului, aceste informații ar trebui să fie necunoscute.

Subiect- aceasta este o componentă activă a sistemului care poate provoca un flux de informații de la un obiect la un subiect sau o schimbare a stării sistemului.

Un obiect- o componentă pasivă a sistemului care stochează, primește sau transmite informații. Accesarea unui obiect înseamnă accesarea informațiilor pe care le conține.

Integritate informație este asigurată dacă datele din sistem nu diferă semantic de cele date în documentele sursă, i.e. cu excepția cazului în care a existat o denaturare sau distrugere accidentală sau intenționată.

Integritate componentă sau resursă sistemele sunt proprietatea unei componente sau resurse de a fi neschimbate în sens semantic atunci când sistemul operează în condiții de distorsiuni aleatorii sau intenționate sau influențe distructive.

Disponibilitate componentă sau resursă a unui sistem este proprietatea unei componente sau a unei resurse de a fi accesibilă” subiecților legitimi autorizați ai sistemului.

Sub amenințare la securitate sistemul informațional corporativ înțelege posibilele impacturi asupra acestuia, care direct sau indirect pot deteriora securitatea unui astfel de sistem.

Daune de securitate implică o încălcare a securității informațiilor conținute și prelucrate în sistemele informaționale corporative. Conceptul de vulnerabilitate a sistemelor informaționale corporative este strâns legat de conceptul de amenințare la securitate.

Vulnerabilitate un sistem informațional corporativ este o anumită proprietate a sistemului care face posibilă apariția și implementarea unei amenințări.

Atac pe un sistem informatic este o acțiune întreprinsă de un atacator, care constă în căutarea și exploatarea unei anumite vulnerabilități a sistemului. Astfel, un atac este implementarea unei amenințări de securitate.

Combaterea amenințărilor de securitate este scopul protejării sistemelor de procesare a informațiilor.

Sigur sau sistem securizat este un sistem cu măsuri de securitate care contracarează cu succes și eficient amenințările de securitate.

Set echipament de protectie este un set de software și hardware creat și susținut pentru a asigura securitatea informațiilor unui sistem informațional corporativ. Complexul este creat și întreținut în conformitate cu politica de securitate adoptată de organizație.

Politică de securitate este un set de norme, reguli și recomandări practice care reglementează funcționarea mijloacelor de protecție a unui sistem informațional corporativ de un anumit set de amenințări de securitate.

Un sistem de informații corporative, ca orice sistem de informații, este supus amenințărilor de securitate. Să clasificăm aceste amenințări.

1. încălcarea confidențialității informațiilor din sistemele informaționale corporative

2. încălcarea integrității informațiilor din sistemele informaționale corporative.

3. refuzul serviciului pentru sistemele informaționale corporative

Să aruncăm o privire mai atentă asupra acestor amenințări.

Amenințările la confidențialitate au ca scop dezvăluirea informațiilor confidențiale sau clasificate. Când aceste amenințări sunt implementate, informațiile devin cunoscute persoanelor care nu ar trebui să aibă acces la ele. În termeni de securitate informatică, o amenințare a confidențialității apare ori de câte ori se obține acces neautorizat la unele informații proprietare stocate pe un sistem informatic sau transmise de la un sistem la altul.

Amenințările cu încălcarea integrității informațiilor stocate într-un sistem informatic sau transmise printr-un canal de comunicare au ca scop modificarea sau denaturarea acesteia, ducând la încălcarea calității sau la distrugerea completă a acesteia. Integritatea informațiilor poate fi încălcată în mod intenționat de către un atacator, precum și ca urmare a influențelor obiective din mediul care înconjoară sistemul. Această amenințare este relevantă în special pentru sistemele de transmisie a informațiilor, rețelele de calculatoare și sistemele de telecomunicații. Încălcările deliberate ale integrității informațiilor nu trebuie confundate cu modificarea lor autorizată, care este efectuată de persoane autorizate într-un scop justificat (de exemplu, o astfel de modificare este corecția periodică a unei anumite baze de date).

Amenințările de întrerupere (denial of service) vizează crearea de situații în care anumite acțiuni intenționate fie reduc performanța SIC, fie blochează accesul la unele dintre resursele acestuia. De exemplu, dacă un utilizator al sistemului solicită acces la un serviciu, iar altul ia măsuri pentru a bloca acel acces, atunci primului utilizator i se refuză serviciul. Blocarea accesului la o resursă poate fi permanentă sau temporară.

Amenințările pot fi clasificate în funcție de mai mulți parametri

· în funcție de valoarea prejudiciului cauzat:

o limita după care societatea poate intra în faliment;

o semnificativă, dar care nu duce la faliment;

o nesemnificativ, pe care compania îl poate compensa în timp.

în funcție de probabilitatea de apariție:

o amenințare foarte probabilă;

o amenințare probabilă;

o amenințare improbabilă.

· din motive de aspect:

o dezastre naturale;

o acțiuni intenționate.

· după natura prejudiciului cauzat:

o material;

o morală;

· după natura impactului:

o activ;

o pasiv.

· în raport cu obiectul:

o intern;

o externă.

· Sursele amenințărilor externe sunt:

o concurenți neloiali;

o grupuri și formațiuni criminale;

o persoane şi organizaţii ale aparatului administrativ şi managerial.

Sursele amenințărilor interne pot fi:

o administrarea întreprinderii;

o personalul;

o mijloace tehnice de susținere a activităților de producție și de muncă.

Raportul dintre amenințările externe și interne la un nivel mediu poate fi caracterizat după cum urmează:

82% dintre amenințări sunt comise de proprii angajați ai companiei cu participarea lor directă sau indirectă;

17% dintre amenințări sunt făcute din exterior - amenințări externe;

1% dintre amenințări sunt comise de persoane aleatorii.

În cele mai multe cazuri, cel mai periculos lucru în ceea ce privește valoarea pagubelor cauzate este încălcarea confidențialității informațiilor. Să luăm în considerare posibilele modalități de astfel de încălcări.

Dezvăluirea reprezintă acțiuni intenționate sau neglijente cu informații confidențiale care au condus la familiarizarea cu acestea de către persoane cărora nu li s-a permis să le cunoască. Dezvăluirea este exprimată în comunicare, transmitere, furnizare, transmitere, publicare, pierdere și alte forme de schimb și acțiune cu informații comerciale și științifice. Dezvăluirea se realizează prin canale formale și informale de diseminare a informațiilor. Comunicările formale includ întâlniri de afaceri, întâlniri, negocieri și forme similare de comunicare: schimb de documente oficiale de afaceri și științifice prin transmiterea de informații oficiale (poștă, telefon, telegraf etc.). Comunicările informale includ comunicarea personală (întâlniri, corespondență), expoziții, seminarii, conferințe și alte evenimente publice, precum și mass-media (print, ziare, interviuri, radio, televiziune). De regulă, motivul dezvăluirii informațiilor confidențiale este acela că angajații nu știu suficient despre regulile de protecție a secretelor comerciale și nu înțeleg (sau înțeleg greșit) necesitatea respectării cu atenție a acestora. Este important de remarcat aici că subiectul din acest proces este sursa (proprietarul) secretelor protejate. Este demn de remarcat caracteristicile informaționale ale acestei acțiuni. Informațiile sunt semnificative, semnificative, ordonate, argumentate, voluminoase și sunt adesea livrate în timp real. Există adesea o oportunitate de dialog. Informațiile sunt concentrate pe o anumită zonă tematică și sunt documentate. Pentru a obține informații de interes pentru atacator, acesta din urmă depune un efort aproape minim și folosește mijloace tehnice legale simple (dictafoane, monitorizare video).

Scurgerea este eliberarea necontrolată de informații confidențiale în afara organizației sau cercului de persoane cărora le-au fost încredințate.

Informațiile sunt scurse prin diverse canale tehnice. Se știe că informația este în general transportată sau transmisă fie prin energie, fie prin materie. Aceasta este fie o undă acustică (sunet), fie o radiație electromagnetică, fie o coală de hârtie (text scris), etc. Ținând cont de acest lucru, se poate argumenta că, prin natura fizică, sunt posibile următoarele modalități de transfer de informații: raze de lumină, unde sonore, unde electromagnetice, materiale și substanțe. În consecință, canalele de scurgere de informații sunt clasificate în vizual-optice, acustice, electromagnetice și materiale. Un canal de scurgere de informații este de obicei înțeles ca o cale fizică de la o sursă de informații confidențiale la un atacator, prin care acesta din urmă poate obține acces la informații protejate. Pentru formarea unui canal de scurgere de informații sunt necesare anumite condiții spațiale, energetice și temporale, precum și prezența pe partea atacatorului a echipamentului adecvat pentru primirea, procesarea și înregistrarea informațiilor.

Accesul neautorizat este achiziționarea ilegală deliberată de informații confidențiale de către o persoană care nu are dreptul de a accesa secrete protejate. Accesul neautorizat la sursele de informații confidențiale se realizează în diverse moduri: de la cooperare proactivă, exprimată într-o dorință activă de „vânzare” secrete, până la utilizarea diferitelor mijloace de pătrundere în secretele comerciale. Pentru a efectua aceste acțiuni, atacatorul trebuie adesea să pătrundă în instalație sau să creeze în apropierea acesteia posturi speciale de control și observare - staționare sau mobile, dotate cu cele mai moderne mijloace tehnice. Dacă pornim de la o abordare integrată a asigurării securității informațiilor, atunci această divizie se concentrează pe protecția informațiilor, atât împotriva dezvăluirii, cât și împotriva scurgerii prin canale tehnice și de accesul neautorizat la acestea de către concurenți și atacatori. Această abordare a clasificării acțiunilor care contribuie la achiziționarea ilegală de informații confidențiale arată versatilitatea amenințărilor și natura multifațetă a măsurilor de protecție necesare pentru a asigura securitatea completă a informațiilor.

Ținând cont de cele de mai sus, rămâne de luat în considerare problema ce condiții contribuie la obținerea ilegală de informații confidențiale.

Statistic, acesta este:

Dezvăluirea (vorbăreață excesivă a angajaților) - 32%;

Acces neautorizat prin mită și incitare la cooperare din partea concurenților și a grupurilor criminale - 24%;

Lipsa unui control adecvat și condiții stricte pentru asigurarea securității informațiilor în cadrul companiei - 14%;

Schimb tradițional de experiență în producție - 12%;

Utilizarea necontrolată a sistemelor informatice - 10%;

Prezența premiselor pentru apariția unor situații conflictuale în rândul angajaților - 8%;

Statisticile de mai sus indică faptul că cel mai vulnerabil punct al sistemului de securitate al unui sistem de informații corporative sunt angajații înșiși, care comit voluntar sau fără să vrea încălcări de securitate ale sistemului informațional.

Pe baza metodelor de impact, toate măsurile de minimizare a amenințărilor sunt împărțite în:

Legal (legislativ);

Morala și etică;

Administrativ;

Fizic;

Hardware și software.

Măsurile de securitate CSI enumerate pot fi considerate ca o succesiune de bariere sau limite pentru protecția informațiilor. Pentru a ajunge la informațiile protejate, trebuie să depășiți succesiv mai multe linii de protecție. Să le aruncăm o privire mai atentă.

Prima linie de apărare care stă în calea unei persoane care încearcă să efectueze acces neautorizat la informații este pur legală. Acest aspect al protecției informațiilor este asociat cu necesitatea respectării standardelor legale la transmiterea și prelucrarea informațiilor. Măsurile legale de protecție a informațiilor includ legile, decretele și alte reglementări în vigoare în țară care reglementează regulile de manipulare a informațiilor de utilizare limitată și răspunderea pentru încălcarea acestora. Făcând acest lucru, ei împiedică utilizarea neautorizată a informațiilor și acționează ca un factor de descurajare pentru potențialii contravenienți.

A doua linie de apărare este formată din măsuri morale și etice . Aspectul etic al respectării cerințelor de protecție este de mare importanță. Este foarte important ca oamenii care au acces la computere să lucreze într-un climat moral și etic sănătos.

Contramăsurile morale și etice includ tot felul de norme de comportament care s-au dezvoltat în mod tradițional sau se dezvoltă în societate pe măsură ce computerele se răspândesc în țară. Aceste norme nu sunt în cea mai mare parte obligatorii, precum cele stabilite prin lege, dar nerespectarea lor duce de obicei la o scădere a prestigiului unei persoane, al unui grup de indivizi sau al organizației. Standardele morale și etice pot fi atât nescrise (de exemplu, standarde general acceptate de onestitate, patriotism etc.), cât și formalizate într-un anumit set de reguli sau reglementări. De exemplu, Codul de conduită profesională al Asociației utilizatorilor de computere din SUA consideră acțiuni neetice care, intenționat sau neintenționat:

Perturbați funcționarea normală a sistemelor informatice;

Cauza costuri nejustificate ale resurselor (timpul calculatorului, memorie, canale de comunicare etc.);

Încălcarea integrității informațiilor (stocate și procesate);

Încălcarea intereselor altor utilizatori legitimi etc.

A treia barieră care împiedică utilizarea neautorizată a informațiilor sunt măsurile administrative. Administratorii de toate gradele, ținând cont de normele legale și de aspectele sociale, stabilesc măsuri administrative pentru protejarea informațiilor.

Măsurile administrative de protecție se referă la măsuri de natură organizatorică. Acestea reglementează:

procesele de funcționare ale CSI;

Utilizarea resurselor CSI;

Activitățile personalului său;

Ordinea în care utilizatorii interacționează cu sistemul pentru a face mai dificilă sau imposibilă apariția amenințărilor de securitate.

Măsurile administrative includ:

Elaborarea regulilor de prelucrare a informațiilor în CSI;

Un set de acțiuni la proiectarea și echiparea centrelor de calcul și a altor facilități CSI (ținând cont de influența dezastrelor naturale, a incendiilor, a securității spațiilor etc.);

Un set de acțiuni în timpul selecției și instruirii personalului (verificarea noilor angajați, familiarizarea acestora cu procedura de lucru cu informații confidențiale, cu sancțiuni pentru încălcarea regulilor de prelucrare a acestora; crearea condițiilor în care ar fi neprofitabil ca personalul să comită abuzuri , etc.);

Organizarea unui control fiabil al accesului;

Organizarea înregistrării, stocării, utilizării și distrugerii documentelor și suporturilor cu informații confidențiale;

Distribuirea detaliilor de control acces (parole, puteri etc.);

Organizarea controlului ascuns asupra activității utilizatorilor și personalului CSI;

Un set de acțiuni în timpul proiectării, dezvoltării, reparației și modificării echipamentelor și software-ului (certificarea hardware-ului și software-ului utilizat, autorizarea strictă, revizuirea și aprobarea tuturor modificărilor, verificarea conformității cu cerințele de securitate, documentarea modificărilor etc.).

Este important de reținut că până la implementarea măsurilor eficiente de protecție administrativă a computerelor, alte măsuri vor fi fără îndoială ineficiente. Măsurile de protecție administrativă și organizatorică pot părea plictisitoare și de rutină în comparație cu măsurile morale și etice și lipsite de specificitate în comparație cu hardware și software. Cu toate acestea, ele reprezintă o barieră puternică în calea utilizării ilegale a informațiilor și o bază de încredere pentru alte niveluri de protecție.

A patra frontieră este măsurile de protecție fizică . Măsurile de protecție fizică includ diferite tipuri de dispozitive sau structuri mecanice, electro- și electronic-mecanice special concepute pentru a crea obstacole fizice pe posibilele rute de penetrare și acces ale potențialilor infractori la componentele sistemului și la informațiile protejate.

A cincea frontieră este protecția hardware și software . Acestea includ diverse dispozitive electronice și programe speciale care implementează următoarele metode de protecție independent sau în combinație cu alte mijloace:

Identificarea (recunoașterea) și autentificarea (autentificarea) subiecților (utilizatori, procese) ai SIC;

Restricționarea accesului la resursele CSI;

Controlul integrității datelor;

Asigurarea confidentialitatii datelor;

Înregistrarea și analiza evenimentelor care au loc în CSI;

Rezervarea resurselor și componentelor CSI.

Pe baza metodei de implementare, toate măsurile de prevenire a amenințărilor la adresa unui sistem de informații corporative pot fi împărțite după cum urmează.

Masa 1. Avantajele și dezavantajele diferitelor măsuri de combatere a amenințărilor CSI

Controlul în forma sa pură, din păcate, este mai puțin aplicabil cu cât sistemul informațional este mai mare. În plus, imediat apare întrebarea despre oportunitatea culegerii acestor date, deoarece este aproape imposibil să le procesăm în timp util, sau acest lucru necesită crearea unui departament separat dedicat acestei lucrări. Nu trebuie să uităm că majoritatea datelor sunt relevante pentru o perioadă foarte scurtă de timp.

O interdicție este un instrument foarte inflexibil. O interdicție a utilizării mediilor de stocare înstrăinate poate da naștere la noi probleme legate de faptul că jumătate dintre departamente le-au folosit pentru a comunica cu lumea exterioară: e-mailul impune restricții cu privire la dimensiunea fișierelor transferate, autoritățile fiscale acceptă rapoarte contabile numai pe dischete etc. În plus, nu trebuie să uităm de o astfel de problemă precum confortul de bază al muncii. Angajații care se simt sub control constant, care se confruntă cu restricții severe atunci când lucrează cu un computer, internet, poștă sau, de exemplu, conversații telefonice, devin nervoși, iritabili și acumulează nemulțumiri în ei înșiși. Desigur, mai devreme sau mai târziu, acest lucru va duce la pierderea unui angajat valoros sau la dorința angajatului de a încerca să ocolească aceste restricții și interdicții.

Din toate cele de mai sus, putem concluziona că nu are sens să controlăm și să limităm, stabilind toate interdicțiile imaginabile și de neconceput. Este mai bine să determinați cercul de oameni care, datorită naturii muncii lor, au acces la informații confidențiale și apoi să înființați în mod competent un sistem de delimitare a drepturilor de acces, în ciuda faptului că menținerea unui astfel de sistem va necesita o configurare minuțioasă și întreținere atentă.

Astfel, devine clar că unul dintre pașii principali în direcția asigurării confidențialității informațiilor este delimitarea accesului angajaților la resursele sistemului informațional corporativ pentru a limita gama de informații disponibile unui anumit angajat la limitele necesare pentru îndeplinirea atribuțiilor sale oficiale.

Să luăm în considerare cele mai relevante mecanisme de control al accesului.

Modelul de control al accesului discreționar este determinat de două proprietăți:

Toate subiectele și obiectele au fost identificate;

Drepturile de acces ale subiecților la obiectele de sistem sunt determinate pe baza unei reguli externe sistemului.

Elementul principal al sistemelor discreționare de control al accesului este matricea de acces. Matricea de acces - dimensiunea matricei \S\ X \0\, ale căror rânduri corespund subiectelor și coloanelor corespund obiectelor. Mai mult, fiecare element al matricei de acces M Cu R definește drepturile de acces ale subiectului s la obiect O, Unde R- multe drepturi de acces.

Când se utilizează un mecanism de control al accesului discreționar, i se aplică următoarele cerințe:

Sistemul de securitate trebuie să controleze accesul subiecților (utilizatori) numiți la obiectele numite (fișiere, programe, volume etc.).

Pentru fiecare pereche (subiect - obiect) dintr-o facilitate informatică (CT), trebuie specificată o listă explicită și neechivocă a tipurilor de acces acceptabile (citire, scriere etc.), adică acele tipuri de acces care sunt autorizate pentru un anumit subiect (individ sau grup de indivizi) la o anumită resursă SVT (obiect).

Sistemul de securitate trebuie să conțină un mecanism care implementează reguli discreționare de control al accesului.

Controlul accesului trebuie aplicat fiecărui obiect și fiecărui subiect (individ sau grup de indivizi egali).

Un mecanism care implementează principiul discreționar al controlului accesului trebuie să prevadă posibilitatea unei modificări autorizate a regulilor sau a drepturilor de control al accesului (APR), inclusiv posibilitatea unei modificări autorizate a listei de utilizatori SVT și a listei de obiecte protejate.

Dreptul de a modifica regulile generale trebuie acordat entităților desemnate (administrație, serviciu de securitate etc.).

Trebuie să existe controale pentru a limita răspândirea drepturilor de acces.

Avantajele unei politici de securitate discreționare includ implementarea relativ simplă a unui sistem de control al accesului. Acest lucru se datorează faptului că majoritatea sistemelor informatice răspândite în prezent asigură conformitatea cu cerințele acestei politici de securitate specifice.

Dezavantajele unei politici de securitate discreționare includ natura statică a regulilor de control al accesului definite în aceasta. Această politică de securitate nu ține cont de dinamica schimbărilor în stările sistemului informatic. În plus, atunci când se utilizează o politică de securitate discreționară, se pune problema stabilirii regulilor de distribuire a drepturilor de acces și analiza impactului acestora asupra securității sistemului informatic. În cazul general, atunci când se utilizează această politică de securitate, sistemul de securitate, care, atunci când autorizează accesul unui subiect la un obiect, este ghidat de un anumit set de reguli, se confruntă cu o sarcină insolubilă din punct de vedere algoritmic - să verifice dacă acțiunile sale vor duce la o încălcarea securității sau nu.

În același timp, există modele de sisteme informatice care implementează politici discreționale de securitate și oferă algoritmi de verificare a securității.

Totuși, în general, o politică discreționară de control al accesului nu permite implementarea unui sistem clar și precis de protecție a informațiilor într-un sistem informatic. Acest lucru motivează căutarea altor politici de securitate mai avansate.

Modelul de control al accesului obligatoriu (autoritar) se bazează pe controlul accesului obligatoriu (Control de acces obligatoriu), care este determinat de patru condiții:

Toate subiectele și obiectele sistemului sunt identificate în mod unic;

A fost specificată o grilă de niveluri de confidențialitate a informațiilor;

Fiecărui obiect de sistem i se atribuie un nivel de confidențialitate care determină valoarea informațiilor pe care le conține;

Fiecărui subiect al sistemului i se atribuie un nivel de acces care determină nivelul de încredere în el în sistemul informatic.

Scopul principal al unei politici de securitate obligatorii este acela de a preveni scurgerea de informații de la obiectele cu un nivel ridicat de acces la obiecte cu un nivel scăzut de acces, de exemplu. contracararea apariţiei fluxurilor de informaţii nefavorabile într-un sistem informatic de sus în jos.

În multe privințe, scopul dezvoltării sale a fost acela de a elimina deficiențele modelelor matriceale. Au fost dezvoltate așa-numitele modele de protecție pe mai multe niveluri. Ele presupun formalizarea procedurii de atribuire a drepturilor de acces prin utilizarea așa-numitelor etichete de sensibilitate sau acreditărilor atribuite subiecților și obiectelor de acces. Astfel, pentru subiectul de acces, etichetele, de exemplu, pot fi determinate în funcție de nivelul de acces al persoanei la informații, iar pentru obiectul de acces (datele în sine) - prin semne de confidențialitate a informațiilor. Atributele de sensibilitate sunt capturate în eticheta obiectului. Drepturile de acces ale fiecărui subiect și caracteristicile de confidențialitate ale fiecărui obiect sunt afișate ca un set de nivel de confidențialitate și un set de categorii de confidențialitate. Nivelul de confidențialitate poate lua unul dintr-o serie strict ordonată de valori fixe, de exemplu: confidențial, secret, pentru uz oficial, neclasificat etc.

Baza implementării controlului accesului este:

O comparație formală a etichetei subiectului care a solicitat acces și a etichetei obiectului la care a fost solicitat accesul.

Luarea deciziilor privind acordarea accesului pe baza unor reguli, a căror bază este contracararea reducerii nivelului de confidențialitate a informațiilor protejate.

Astfel, modelul cu mai multe niveluri previne posibilitatea reducerii intenționate sau accidentale a nivelului de confidențialitate a informațiilor protejate. Adică, acest model împiedică trecerea informațiilor de la obiecte cu un nivel ridicat de confidențialitate și un set restrâns de categorii de acces la obiecte cu un nivel mai scăzut de confidențialitate și un set mai larg de categorii de acces.

Cerințele pentru mecanismul de mandat sunt următoarele:

Fiecare subiect și obiect de acces trebuie să fie asociate cu etichete de clasificare care reflectă locul lor în ierarhia corespunzătoare (etichete de confidențialitate). Prin aceste etichete, subiecții trebuie să atribuie niveluri de clasificare obiectelor (niveluri de vulnerabilitate, categorii de confidențialitate etc.), care sunt combinații de categorii ierarhice și neierarhice. Aceste etichete ar trebui să servească drept bază pentru principiul obligatoriu al controlului accesului.

Când sunt introduse date noi în sistem, sistemul de securitate trebuie să solicite și să primească etichete de clasificare pentru aceste date de la utilizatorul autorizat. Atunci când un subiect nou este autorizat să fie adăugat la lista de utilizatori, etichetele de clasificare trebuie să i se atribuie. Etichetele de clasificare externe (de subiecte, obiecte) trebuie să corespundă exact etichetelor interne (în cadrul sistemului de securitate).

Sistemul de securitate trebuie să implementeze principiul obligatoriu al controlului accesului în legătură cu toate obiectele cu acces explicit și ascuns de la oricare dintre subiecți:

Un subiect poate citi un obiect numai dacă clasificarea ierarhică la nivelul de clasificare al subiectului nu este mai mică decât clasificarea ierarhică la nivelul de clasificare al obiectului. În acest caz, categoriile ierarhice la nivelul de clasificare al subiectului trebuie să cuprindă toate categoriile ierarhice la nivelul de clasificare al obiectului;

Un subiect scrie unui obiect numai dacă nivelul de clasificare al subiectului în clasificarea ierarhică nu este mai mare decât nivelul de clasificare al obiectului în clasificarea ierarhică. În acest caz, toate categoriile ierarhice de la nivelul de clasificare al subiectului trebuie incluse în categoriile ierarhice de la nivelul de clasificare al obiectului.

Implementarea regulilor rutiere obligatorii ar trebui să prevadă posibilitatea de sprijin și modificări ale nivelurilor de clasificare a subiecților și obiectelor de către subiecții special desemnați.

SVT trebuie să implementeze un manager de acces, de ex. un instrument care, în primul rând, interceptează toate solicitările de la subiecți la obiecte și, în al doilea rând, restricționează accesul în conformitate cu principiul specificat de control al accesului. În același timp, o decizie cu privire la autorizarea unei cereri de acces ar trebui luată numai dacă aceasta este autorizată simultan atât de către DRP discreționari, cât și de către DRP-uri obligatorii. Astfel, nu doar un singur act de acces, ci și fluxurile de informații trebuie controlate.

Practica arată că modelele de protecție pe mai multe niveluri sunt mult mai apropiate de nevoile vieții reale decât modelele matrice și reprezintă o bază bună pentru construirea sistemelor automate de control al accesului. Mai mult, deoarece categoriile individuale de același nivel sunt echivalente, pentru a le diferenția împreună cu un model pe mai multe niveluri (obligatoriu), este necesară utilizarea unui model matriceal. Cu ajutorul modelelor pe mai multe niveluri, este posibilă simplificarea semnificativă a sarcinii de administrare. Mai mult, acest lucru se aplică atât pentru setarea inițială a unei politici de acces restrictive (nu este necesar un astfel de nivel ridicat de detaliu în stabilirea relației subiect-obiect), cât și pentru includerea ulterioară a unor noi obiecte și subiecte de acces în schema de administrare.

Modelul de delimitare a fluxului de informații se bazează pe împărțirea tuturor fluxurilor de informații posibile între obiectele sistemului în două seturi disjunse: un set de fluxuri de informații favorabile și un set de fluxuri de informații nefavorabile. Scopul implementării modelului de delimitare a fluxului de informații este de a se asigura că în sistemul informatic nu pot apărea fluxuri de informații nefavorabile.

Modelul de delimitare a fluxului de informații în majoritatea cazurilor este utilizat în combinație cu alte tipuri de mecanisme, de exemplu, cu modele de delimitare a accesului discreționar sau obligatoriu. Implementarea unui model de delimitare a fluxurilor de informații, de regulă, este, în practică, o sarcină dificil de rezolvat, mai ales dacă este necesară protejarea sistemului informatic de apariția în timp a fluxurilor de informații nefavorabile.

Controlul accesului bazat pe roluri este o dezvoltare a politicii discreționare de control al accesului; în acest caz, drepturile de acces ale subiecților sistemului la obiecte sunt grupate ținând cont de specificul aplicării acestora, formând roluri.

Setarea rolurilor vă permite să definiți reguli de control al accesului care sunt mai clare și mai ușor de înțeles pentru utilizatorii sistemelor informatice. Controlul accesului bazat pe roluri vă permite să implementați reguli flexibile de control al accesului care se modifică dinamic în timpul funcționării unui sistem informatic. Pe baza controlului accesului bazat pe roluri, controlul accesului obligatoriu poate fi implementat, printre altele.

Scopul implementării modelului de mediu software izolat este de a determina ordinea interacțiunii securizate între subiecții sistemului, asigurând imposibilitatea de a influența sistemul de securitate și de a modifica parametrii sau configurația acestuia, ceea ce ar putea avea ca rezultat modificarea politicii de control acces implementată de către sistem de securitate.

Modelul sandbox este implementat prin izolarea subiecților sistemului unul de celălalt și prin controlul creării de noi subiecți, astfel încât doar subiecții dintr-o listă predefinită să poată deveni activi în sistem. În același timp, trebuie monitorizată integritatea obiectelor de sistem care afectează funcționalitatea subiecților activați.

Mediul de informații corporative al Universității de Stat din Belarus constă din câteva zeci de aplicații și servicii scrise în momente diferite. Majoritatea sunt obiecte ActiveX, restul sunt aplicații web. În cele mai multe cazuri, toate sunt independente și nu au instrumente încorporate pentru organizarea interacțiunii. În acest caz, alegerea evidentă este modelul de acces bazat pe roluri, care este o dezvoltare a modelului de control al accesului discreționar. Implementarea oricărui alt model în condițiile sistemului de informații corporative al Universității de Stat din Belarus este aproape imposibilă.

Diferențierea accesului la astfel de sisteme eterogene și slab integrate poate fi construită prin alocarea de drepturi de utilizator pentru a accesa anumite aplicații pe baza apartenenței acestora la grupurile corespunzătoare de pe controlerul de domeniu, precum și a drepturilor de a executa proceduri stocate pe serverele de baze de date pe care toată lumea lucrează componente ale sistemului informațional.

Comparând sistemele prezentate, putem spune că în ERP sistemul își asumă întreaga responsabilitate pentru autentificarea și autorizarea utilizatorilor. În plus față de autentificarea tradițională prin parolă, oferă o gamă largă de alte mecanisme oferite de diverse modele de sisteme informatice ale întreprinderii.

Sistemul de securitate al unui sistem informatic slab integrat atribuie proceduri de autentificare și autorizare instrumentelor încorporate ale controlerului de domeniu Microsoft Windows, ceea ce reduce semnificativ costul funcționării acestuia și asigură o funcționare destul de fiabilă. Cu toate acestea, instrumentele de gestionare a utilizatorilor Microsoft Windows nu sunt orientate către o astfel de utilizare și, prin urmare, nu sunt în întregime convenabile pentru controlul distribuirii accesului, ceea ce afectează negativ securitatea sistemului informațional corporativ.

Din cele de mai sus rezultă că o aplicație care poate gestiona centralizat drepturile utilizatorilor pentru a accesa anumite aplicații va simplifica semnificativ munca administratorilor sistemului de informații corporative BSU și, de asemenea, va permite o monitorizare mai atentă a drepturilor utilizatorilor de a accesa datele din diverse aplicații. Ceea ce la rândul său va duce evident la o îmbunătățire semnificativă a performanței sistemului de securitate.

Astfel, m-am confruntat cu sarcina de a crea un astfel de sistem. Să luăm în considerare mai detaliat caracteristicile rezolvării unei astfel de probleme.

La proiectarea unui astfel de sistem, este necesar să se țină cont de unele caracteristici necesare pentru funcționarea normală atât a aplicației în sine, în special, cât și a întregului sistem informațional corporativ în ansamblu.

Deoarece sistemul de gestionare a utilizatorilor din Windows Active Directory poate fi folosit nu numai pentru a oferi acces la resursele sistemului de informații corporative BSU, prin urmare, merită să țineți cont de acest lucru atunci când operați aplicația, astfel încât utilizatorii să nu piardă drepturile pe care le au. chiar nevoie și nu primesc drepturi inutile. În acest scop, sistemul organizează un mecanism de stocare a priori a drepturilor de utilizator care i-au fost atribuite nu de acest sistem de control al accesului, ci prin utilizarea instrumentelor Windows Active Directory.

O situație similară apare în secțiunea de gestionare a utilizatorilor pe serverele SQL. Cu toate acestea, așa cum sa menționat mai sus, mecanismul de delimitare a drepturilor de acces ale BGU atunci când accesați resursele serverului SQL este construit pe o bază de rol, ceea ce înseamnă că nu este nevoie să stocați date despre drepturile de acces ale utilizatorului la fiecare dintre obiectele unui anumit SQL. Server. Toate aceste date sunt stocate în drepturi de grup pe server. Astfel, sistemul de control al accesului trebuie doar să stocheze câmpuri precum numele serverului, numele bazei de date în sine și numele rolului de utilizator.

Să aruncăm o privire mai atentă asupra sistemului de distribuție a accesului.

Acest sistem este o aplicație web implementată folosind ASP.NET 1.1 și folosind un server de baze de date Microsoft SQL Server 2000 SP3.

Baza de date este formată din următoarele tabele:

· Tabele de bază

o Utilizatori – stochează identificatorul obiectului utilizator, numele utilizatorului, numele utilizatorului și, dacă este necesar, informații text suplimentare.

o Aplicații – stochează identificatorul aplicației, numele acesteia și, dacă este necesar, informații text suplimentare.

o WinADGroups – stochează identificatorul obiectului grupului, numele acestuia și, dacă este necesar, informații suplimentare text.

o SQLGroups - stochează identificatorul grupului, numele acestuia, numele serverului, baza de date și rolul care sunt asociate cu acest grup și, dacă este necesar, informații text suplimentare.

· Mese auxiliare

o SQLGroups2Apps

o WinGroups2Apps

o UsersPriorSQLGroups

o UsersPriorWinGroups

Tabelele principale stochează date despre utilizatori, aplicații și grupuri pe controlerul de domeniu, precum și roluri pe diferite servere SQL. Tabelele auxiliare oferă relații multi-la-multe care există în sistem.

Tabelele sunt accesate folosind câteva zeci de proceduri stocate. Utilizarea procedurilor stocate, precum și a parametrilor SQL, vă permite să protejați eficient aplicația de injecțiile SQL, care sunt una dintre principalele modalități de hacking aplicațiilor web care folosesc baze de date în ultimii ani. Diagrama de date bakhza este prezentată în figură.

Aplicația constă din 8 pagini .aspx concepute pentru a controla accesul. Să aruncăm o privire mai atentă asupra modului în care funcționează aplicația.

Utilizați pagina WinGroupsAdd.aspx pentru a adăuga ID-uri de grup în sistem pe un controler de domeniu. Utilizatorul introduce un nume de grup. Sistemul caută grupuri pe controlerul de domeniu și oferă o listă de grupuri cu nume similare. Utilizatorul selectează grupul dorit, dacă este necesar, introduce o descriere text a acestui grup și apasă butonul de salvare. Datele grupului sunt stocate în baza de date a aplicației.

Folosind pagina WinGroupsEdit.aspx, utilizatorul poate edita informațiile introduse anterior despre grup, și anume descrierea textului acestuia. Butonul de ștergere șterge toate informațiile despre un grup din sistem și oferă, de asemenea, un mecanism de eliminare a utilizatorilor din acesta, cu condiția ca aceștia să fi fost adăugați acolo de către acest sistem. Tabelul UserPriorWinGroups este folosit pentru verificare.

Pagina SQLGroupsAdd.aspx este folosită pentru a adăuga date în sistem pentru utilizarea grupurilor pe serverul SQL. Utilizatorul introduce numele serverului, numele bazei de date și rolurile în baza de date corespunzătoare. Dacă este necesar, utilizatorul introduce o descriere text a acestui grup și apasă butonul Salvare. Datele grupului sunt stocate în baza de date a aplicației.

Folosind pagina SQLGroupsEdit.aspx, utilizatorul poate edita informațiile introduse anterior despre grup, și anume descrierea textului acestuia. Câmpurile rămase nu sunt editabile, deoarece efectuarea unor astfel de modificări necesită crearea unui nou grup de utilizatori. Butonul de ștergere șterge toate informațiile despre un grup din sistem și oferă, de asemenea, un mecanism de eliminare a utilizatorilor din acesta, cu condiția ca aceștia să fi fost adăugați acolo de către acest sistem. Tabelul UserPriorSQLGroups este folosit pentru verificare.

Pagina ApplicationAdd.aspx este utilizată pentru a adăuga aplicații în sistem. În această pagină, utilizatorul poate introduce numele aplicației, descrierea textului acesteia și, de asemenea, poate selecta grupurile necesare pentru a lucra cu această aplicație atât pe serverele SQL, cât și pe controlerul de domeniu. Selecția se face din listele corespunzătoare de grupuri disponibile în baza de date a sistemului. Butonul de salvare va reține datele corespunzătoare din sistem, iar butonul de anulare vă va întoarce la aceeași pagină fără a efectua nicio acțiune. Va șterge doar toate datele introduse.

Folosind ApplicationEdit.aspx, puteți modifica descrierea aplicației, precum și setul de grupuri necesare pentru ao utiliza. Când faceți clic pe butonul de salvare. Sistemul va actualiza datele din baza sa de date și, de asemenea, va modifica drepturile utilizatorilor care au acces la această aplicație în consecință.

Pagina UserAdd.aspx este concepută pentru a adăuga utilizatori în sistem. Acest proces funcționează după cum urmează. Utilizatorul introduce tot sau o parte din numele de utilizator pentru a fi adăugat în sistem. Se efectuează o căutare pe controlerul de domeniu. După care utilizatorului i se oferă o listă de opțiuni de nume de utilizator adecvate. Este selectat utilizatorul de domeniu necesar și aplicațiile necesare sunt selectate pentru acesta. Butonul de salvare va reține datele corespunzătoare din sistem, iar butonul de anulare vă va întoarce la aceeași pagină fără a efectua nicio acțiune. Va șterge doar toate datele introduse.

Folosind UserEdit.aspx, utilizatorul poate adăuga sau elimina drepturi de acces la o anumită aplicație, precum și poate elimina un utilizator din baza de date a aplicației.

Această lucrare analizează sistemele informaționale corporative: structura acestora și mecanismele de securitate. Toate sistemele de informații corporative au fost împărțite în 2 clase: sisteme foarte integrate, ai căror reprezentanți proeminenți sunt sistemele ERP și sisteme slab integrate construite din câteva zeci de aplicații separate, uneori complet fără legătură. Controlul accesului în marea majoritate a acestora este construit pe baza unui model discreționar bazat pe roluri de delimitare a drepturilor utilizatorilor cu controlul accesului centralizat.

A fost efectuată o analiză a amenințărilor existente la adresa sistemelor informaționale corporative, precum și a modalităților de prevenire a acestora. Statisticile arată că principala noastră problemă astăzi este problema protecției împotriva acțiunilor neglijente sau criminale ale angajaților corporativi. Sunt analizate metode de protecție împotriva unor astfel de acțiuni, dintre care principala este metoda de limitare a accesului utilizatorilor la sistemul informațional corporativ.

S-a realizat un studiu al metodelor existente de control al accesului și o analiză a aplicabilității acestora în anumite condiții. A fost selectată o metodologie care este cea mai potrivită pentru organizarea controlului accesului la resursele informaționale corporative ale Universității de Stat din Belarus. Pe baza acesteia, a fost construită o aplicație care vă permite să gestionați accesul utilizatorilor la resursele acestui sistem informațional corporativ. Oferă comunicare între aplicații, sisteme de gestionare a bazelor de date și obiecte Active Directory. Sistemul dezvoltat vă permite să gestionați global accesul la aplicații eterogene. Un sistem flexibil de control al accesului vă permite să ghidați dezvoltarea de noi aplicații și sprijină gestionarea aplicațiilor deja scrise, fără a aduce modificări codului acestora.

1. Malyuk A. A. Securitatea informației: fundamente conceptuale și metodologice ale protecției informațiilor. Moscova: Hot Line-Telecom, 2004.

2. Belov E.B. Los V.P. Fundamentele securității informațiilor. Moscova: Hot Line-Telecom, 2006.

3. Romanets Yu.V. Timofeev P.A. Protecția informațiilor în sisteme și rețele informatice. Moscova: Radio și Comunicare 2001.

4. Yarochkin V.I. - Manual de securitate a informațiilor pentru studenți. - M.: Proiect Academic; Gaudeamus.

5. Noel Simpson. Accesarea și manipularea Active Directory cu ASP. NET.

6. Joe Kaplan, Ryan Dunn. Ghidul dezvoltatorului .NET pentru programarea serviciilor de director (Seria de dezvoltare Microsoft .NET)

7. Matthew MacDonald. Începând cu ASP.NET 1.1 în C#: De la novice la profesionist (novice la profesionist).

8. Hank Meyne, Scott Davis Dezvoltarea de aplicații web cu ASP.NET și C#.

9. Robin Duson SQL Server 2000. Programare. Moscova: Binom, 2003.

10. P. Shumakov ADO.NET și crearea de aplicații de baze de date în mediul Microsoft Visual Studio.NET Moscova: Dialog-MEPhI, 2004

Director activ................................................ ................................................... ........................................................ ....................................... 31 , 36

ERP.................................................. .. ................................................ ........................................................ ............................. 3 , 5 , 6 , 7 , 8 , 30 , 35 , 39

MRP.................................................. .. ................................................ ........................................................ .............................................................. ........ 3 , 6

Atac ............................................................................................................................................................................................... 11

Disponibilitate .................................................................................................................................................................................. 10

Set echipament de protectie .......................................................................................................................................................... 11

Confidențialitatea datelor ......................................................................................................................................................... 9

Acces neautorizat la informații ............................................................................................................................... 9

Un obiect ............................................................................................................................................................................................. 10

Politică de securitate ................................................................................................................................................................ 11

Reguli de control al accesului .................................................................................................................................................... 9

Acces autorizat la informații ................................................................................................................................... 9

Subiect ............................................................................................................................................................................................ 10

Daune de securitate ...................................................................................................................................................................... 10

Vulnerabilitate ..................................................................................................................................................................................... 10

Integritate ............................................................................................................................................................................ 10, 12

1. http://xakep.ru este unul dintre cele mai avansate site-uri rusești dedicat analizei vulnerabilităților sistemelor informaționale, exploatărilor acestora, posibilelor modalități de a pirata sistemele și de a le proteja.

2. http://www.webxakep.ru – site-ul este dedicat piratarii sistemelor informatice, precum si masurilor de protectie impotriva atacurilor.

3. http://msdn.microsoft.com - site-ul se adresează dezvoltatorilor concentrați pe soluții tehnologice Microsoft, conține documentație despre produsele companiei, exemple de cod, articole tehnice, materiale de referință și de instruire, cele mai recente actualizări, extensii, ultimele știri, abonat forum .

4. http://microsoft.com – site-ul Microsoft actual

5. http://sdn.sap.com/ este un portal pentru dezvoltatori axat pe soluții tehnologice de la SAP, lider mondial pe piața ERP și a produselor corporative. Principala resursă de Internet dedicată tot ceea ce ține de resursele informaționale SAP

Slide 1 – Titlu slide Slide 2 – Introducere. Goluri.

Slide 3 – Conceptul CIS Slide 4 – Clasificarea CIS

Slide 5 – Clasificarea amenințărilor Slide 6 – Clasificarea amenințărilor

Slide 7 – Sursele amenințărilor Slide 8 – Măsuri de prevenire a amenințărilor

Slide 9 – Măsuri de combatere a amenințărilor Slide 10 – Mecanisme de control al accesului

Slide 11 – CIS BSU Slide 12 – Model DB pentru sistemul dezvoltat

Slide 13 – Demo aplicație Slide 14 – Concluzie

1. Afanasyev, D. Office XP/ D. Afanasyev, S. Barichev, O. Plotnikov. – M.: Kudits-Obraz, 2002. – 344 p.

2. Akhmetov, K.S. Introducere în Microsoft Windows XP / K.S. Ahmetov. – M.: Ediția rusă, 2001. – 210 p.

3. Bott, Ed. Windows XP / E. Bott, K. Sichert. – Petru, 2006. – 1068 p.

4. Willett, E. Office XP. Biblia utilizatorului / E. Willett; [Trad. din engleza Derieva E.N. și altele], 2002. – 843 p.

5. Zaiden, M. Word 2000 / M. Zaiden. – M.: Laboratorul. cunoștințe de bază, 2000. – 336 p.

6. Kaimin, V.A. Informatica: atelier pe calculator: manual / V.A. Kaimin, B.S. Kasaev; Infra-M. – M, 2001. – 215c.

7. Kishik, A.N. Office XP. Tutorial eficient: rapid... simplu... vizual. / A.N. Kishik. – M.: 2002. – 426 p.

8. Kostsov, A.V. Totul despre computerul personal: o enciclopedie mare / A.V. Kostsov, V.M. Kostsov. – M.: Martin, 2004. – 718 p.

9. Kotsyubinsky, A.O. Microsoft Office XP: cele mai recente versiuni de programe / A.O. Kotsyubinsky. – M.: Triumful, 2001. – 469 p.

10. Kotsyubinsky, A.O. Cititor pentru lucrul la calculator: manual. indemnizatie / A.O. Kotsyubinsky, A.O. Groshev. – M.: Triumful, 2003. – 496 p.

11. Krupnik, A. Căutare pe Internet / A. Krupnik. – Sankt Petersburg: Peter, 2001. – 209 p.

12. Krupsky, A.Yu. Editor de text Microsoft Word. Foi de calcul Microsoft Excel: manual / A.Yu. Krupsky, N.A. Feoktistov; Ministerul Educatiei Ros. Federația, Moscova. Institutul de Stat și corporative ex. M.: Dashkov și K. - M., 2004. - 135 p.

13. Levin A. Un scurt tutorial pentru lucrul la calculator / A. Levin. – M.: Editura A. Levin, 2001.

14. Levkovich, O.A. Fundamentele alfabetizării computerelor / O. A. Levkovich, E. S. Shelkoplyasov, T. N. Shelkoplyasova. – Minsk: TetraSystems, 2004. – 528 p.

15. Lozovsky, L.Sh. Internetul este interesant! / L.Sh. Lozovsky, L.A. Ratnovsky. – M.: Infra-M, 2000.

16. Makarova, N.V. Informatică: Atelier de informatică: manual. indemnizație / N.V. Makarova [și alții]; editat de N.V. Makarova. – M.: Finanțe și Statistică, 2000. – 255 p.

17. Olifer, V.G. Retele de calculatoare. Principii, tehnologii, protocoale / V.G. Olifer, N.A. Olifer. – Sankt Petersburg: Peter, 2000.

18. Popov, V.B. Fundamentele tehnologiei computerului: manual. indemnizatie / V.B. Popov; Finanțe și statistici. – M., 2002. – 703 p.

19. Perepelkin, V. Utilizator de computer personal. Curs modern / V. Perepelkin. – Rostov n/d: Phoenix, 2002. – 703 p.

20. Stone, M.D. PC-ul dvs. Probleme și soluții / M.D. Stone, P. Alfred. – M.: Economie, 2001.

21. Yakushina, E. Studierea Internetului, crearea unei pagini Web / E. Yakushina. – Sankt Petersburg: Peter, 2001.

22. Manual pe HTML pentru manechin [Resursă electronică] / Portal Postroyka.ru. M., 2007. – Mod de acces: http://www.postroika.ru/html/content2.html. – Data accesului: 21.09.2008.

23. Comisia Superioară de Certificare a Republicii Belarus [Resursa electronică] / Comisia Superioară de Certificare a Belarusului. – Minsk, 2007. – Mod de acces: http://vak.org.by/ – Data acces: 18/11/2008.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

postat pe http://www.allbest.ru/

• Introducere
• 1.3 Prevederi de bază ale sistemului de securitate a informațiilor
• 2.1 Obiecte și subiecte de protecție
• 2.3 Tehnologii moderne de securitate a informațiilor
• 2.4 Valabilitatea protecției informațiilor
• Lista documentelor de reglementare care reglementează activitățile în domeniul securității informațiilor:
• 3. Îmbunătățirea măsurilor care vizează creșterea eficacității măsurilor de protecție a sistemului informațional corporativ Distanțele de alimentare cu energie electrică
• 3.1 Dezavantajele organizării protecției rețelei corporative
• 3.2 Evenimente organizatorice
• 3.3 Activitati de inginerie
• Concluzie
• Bibliografie

Introducere

Dezvoltarea modernă a economiei mondiale se caracterizează prin dependența tot mai mare a pieței de o cantitate semnificativă de informații care circulă în cadrul acesteia.

În zilele noastre, societatea este în întregime dependentă de datele primite, prelucrate și transmise. Din acest motiv, datele în sine devin foarte valoroase. Și cu cât prețul informațiilor utile este mai mare, cu atât este mai mare siguranța acesteia.

Relevanța subiectului se datorează acțiunii unui număr de factori care vizează îmbunătățirea protecției sistemului informațional corporativ, în scopul îmbunătățirii mecanismului economic al întreprinderilor moderne care operează într-o economie de piață și aplicarea dezvoltărilor tehnologice moderne. .

Având în vedere cele de mai sus, actele legislative, atât în ​​Rusia, cât și în țări străine, prevăd un număr considerabil de norme menite să reglementeze crearea, utilizarea, transferul și protecția informațiilor sub toate formele sale.

De o valoare deosebită sunt informațiile care conțin date personale, secrete oficiale, secrete comerciale, informații restricționate, secrete bancare, secrete de stat, informații privilegiate, informații confidențiale și alte informații.

Problema securității informațiilor este multifațetă și complexă, necesitând combinația necesară de măsuri legislative, organizatorice, software și tehnice aplicabile.

O scurgere de informații poate afecta activitățile unei întreprinderi. Un rol deosebit îl joacă aceste informații; pierderea scoarței poate duce la schimbări majore în întreprinderea însăși și pierderi materiale.

În viața de zi cu zi a unei persoane, siguranța informațiilor despre viața sa depinde de el. Dar situația este complet diferită atunci când suntem obligați să furnizăm date despre noi în conformitate cu legea unui terț, și în special angajatorului. În această situație, angajatul transferă informații confidențiale despre sine pentru păstrare. În plus, angajatorul este responsabil pentru siguranța datelor. El este obligat să protejeze informațiile despre angajat de atacurile terților și să poarte responsabilitatea pentru difuzarea acestor date.

Scopul acestei lucrări este de a determina cerințele pentru sistemul de securitate al unui sistem de informații corporative.

Obiectivele postului:

1. Identificați problemele problematice în sistemul de protecție a sistemului informațional corporativ al distanțelor de alimentare.

2. Formulați o listă de amenințări și cerințe pentru sistemul de protecție a sistemului informațional corporativ al distanței de alimentare cu energie.

3. Justificarea structurii riscurilor informaționale pentru sistemul informațional corporativ al distanțelor de alimentare cu energie.

4. Selectați și justificați metode și mijloace tehnice care vizează creșterea eficienței protejării sistemului informațional corporativ al distanței de alimentare cu energie.

Obiectul studiului este un sistem standard de protecție a sistemului informațional corporativ „intranet” al districtului de alimentare cu energie Moscova-Smolensk al filialei Căilor Ferate Ruse, care are propriile clădiri și teritoriu.

Obiectul cercetării îl reprezintă metodele și mijloacele tehnice de protejare a sistemului informațional corporativ al distanțelor de alimentare.

Semnificația practică și implementarea rezultatelor obținute au făcut posibilă crearea unor măsuri de organizare a protecției unei rețele corporative, adaptate la condiții specifice, ținând cont de specificul obiectului și diverse categorii de informații și utilizatori.

Autorii care studiază problemele lui A.V. Sokolov (profesor, șef al Departamentului de Informatică și Software, Institutul de Tehnologie Electronică din Moscova) și V.F. Shangin (profesor, doctor în științe tehnice) din 1978 până în prezent, a acoperit problemele actuale ale securității informațiilor atunci când se utilizează sisteme corporative distribuite și rețele la scară întreprindere, securitatea Internetului.

rețeaua corporativă a informațiilor de protecție

1. Baze teoretice pentru construirea unei rețele corporative

1.1 Concept, componente, funcționare a unei rețele corporative

O rețea corporativă este un sistem complex care include multe componente diferite: computere de diferite tipuri, de la desktop-uri la mainframe, software de sistem și aplicații, adaptoare de rețea, hub-uri, switch-uri și routere, sistem de cablu. În această lucrare vom lua în considerare intranetul Moscova-Smolensk Distante alimentarea cu energie electrică a filialei JSC Căile Ferate Ruse. Aceasta este o unitate structurală separată a căii ferate, care face parte din serviciul de electrificare și alimentare cu energie. Asigură alimentare neîntreruptă și fiabilă pentru toți consumatorii, precum și asigurarea funcționării fiabile a tuturor obiectelor și dispozitivelor, contactează rețelele din zona deservită.

Funcționalitatea intranet acoperă gama de pagini web statice care înlocuiesc documentele tipărite ale companiei sau oferă o nouă modalitate de a partaja informații la interfețele client complexe pentru aplicațiile server de birou.

Tehnologiile necesare unui intranet și instrumentele care le implementează sunt larg răspândite. Acestea includ: protocolul TCP/IP, NFS (Network File System), browser web (sistem de căutare și vizualizare), server web, editor HTML, e-mail și altele asemenea. Accesul la informații se bazează pe conexiuni IP.

Intranetul este format din mai multe componente:

1) infrastructura de rețea,

2) servere,

3) documente,

4) browsere,

5) aplicații.

Intranetul este fundația, oferind conexiunile necesare care oferă acces la informații angajaților organizației. Intranetul utilizează protocolul de rețea TCP/IP pentru a se conecta și a face schimb de date. TCP/IP permite computerelor dintr-o rețea să fie numite în mod unic (aceste nume se numesc adrese IP). Acest protocol oferă, de asemenea, un mecanism prin care computerele se pot găsi și se pot conecta. Intranetul folosește un alt protocol numit HTTP (Hypertext Transfer Protocol). Este folosit pentru a transmite text, imagini și hyperlink-uri (adică link-uri către alte documente electronice) care indică către pagini Web. Putem spune că TCP/IP este principalul mod prin care computerele comunică în rețea, iar HTTP este un fel de strat superior care le permite să facă schimb de informații.

Servere. Informațiile se află cel mai adesea pe computere, care sunt de obicei numite servere web. Serverul stochează documente și îndeplinește solicitările utilizatorilor de a căuta și vizualiza date.

Documentație. Conținutul intranet, adică informațiile pe care le vizualizați, este stocat în documente. În mod implicit, acestea sunt în format HTML (Hypertext Makeup Language), un format de text format din textul în sine, etichete care controlează formatarea și hyperlinkuri care indică către alte documente.

Browsere. Pentru a lucra pe intranet și a vizualiza documentele stocate pe servere se folosesc aplicații numite browsere. Ele îndeplinesc mai multe funcții:

căutarea de informații și conectarea la un server Web;

încărcarea, formatarea și afișarea documentelor în HTML;

recunoașterea și navigarea către documentele relevante;

Aplicații. Aplicațiile sunt scrise de dezvoltatori pentru a rezolva probleme specifice ale companiei.

Pe lângă o varietate de echipamente de rețea, intranetul constă din următoarele componente software:

1) software-ul serverului Web intern al organizației, care conține informații despre activitățile companiei (prețuri, comenzi de gestiune, documente pentru aprobare și discuție etc., și conectat la bazele de date existente ("Depozit", "Contabilitate" și așa mai departe);

2) software pentru desfășurarea de conferințe în cadrul organizației pentru a discuta propuneri de îmbunătățire a muncii, raportare asupra diferitelor evenimente etc.;

3) Software care implementează e-mail.

Pe intranet poate exista segmente cu diferite grade de securitate:

disponibil gratuit (diverse servere);

cu acces limitat;

închis pentru acces.

Este recomandabil să luați în considerare o rețea la distanță de alimentare cu energie electrică ca un sistem format din mai multe straturi care interacționează. La baza piramidei, reprezentând o rețea corporativă, se află un strat de calculatoare - centre de stocare și procesare a informațiilor, și un subsistem de transport care asigură transmiterea fiabilă a pachetelor de informații între computere.

Figura 1. Ierarhia straturilor de rețea corporativă

Un strat de sisteme de operare în rețea funcționează deasupra sistemului de transport, care organizează munca aplicațiilor pe computere și oferă resursele computerului său pentru utilizare generală prin intermediul sistemului de transport.

Diverse aplicații funcționează pe deasupra sistemului de operare, dar datorită rolului special al sistemelor de gestionare a bazelor de date, care stochează informațiile corporative de bază într-o formă organizată și efectuează operațiuni de căutare de bază pe acesta, această clasă de aplicații de sistem este de obicei alocată unui strat separat. a rețelei corporative.

La nivelul următor, există servicii de sistem care, folosind SGBD ca instrument de căutare a informațiilor necesare între milioane de octeți stocați pe discuri, oferă utilizatorilor finali aceste informații într-o formă convenabilă pentru luarea deciziilor și, de asemenea, efectuează unele proceduri de prelucrare a informaţiilor comune întreprinderilor de toate tipurile . Aceste servicii includ un sistem de e-mail, sisteme de lucru în grup și multe altele.

Nivelul superior al rețelei corporative reprezintă sisteme software speciale care îndeplinesc sarcini specifice unei anumite întreprinderi sau întreprinderi de un anumit tip.

Scopul final al unei rețele corporative este încorporat în programele de aplicație de nivel superior, dar pentru funcționarea cu succes a acestora este absolut necesar ca subsistemele altor straturi să își îndeplinească în mod clar funcțiile.

Sarcina principală a administratorilor de sistem este să se asigure că acest sistem greoi face față cât mai bine procesării fluxurilor de informații care circulă între angajații întreprinderii și le permite să ia decizii oportune și raționale care să asigure funcționarea întreprinderii.

Intranetul Moscovei-Smolensk Distante sursa de alimentare a Căilor Ferate Ruse JSC este izolată de utilizatorii externi de internet și funcționează ca o rețea autonomă care nu are acces din exterior.

Figura 2. Structura rețelei locale

1.2 Analiza surselor de amenințări și a riscurilor informaționale

Toate resursele informaționale ale companiei sunt expuse constant la amenințări obiective și subiective de pierdere a mass-media sau a valorii informațiilor. Amenințarea sau pericolul pierderii de informații este înțeles ca o manifestare unică sau complexă, reală sau potențială, activă sau pasivă a capacităților nefavorabile ale surselor externe sau interne de amenințare de a crea situații, evenimente critice și de a avea un efect destabilizator asupra informațiilor protejate; documente și baze de date. Pentru resursele informaționale cu acces limitat, gama de amenințări care implică pierderea de informații (dezvăluire, scurgere) sau pierderea media este mult mai largă ca urmare a interesului crescut pentru aceste documente din partea diferitelor tipuri de atacatori. Principala amenințare la adresa securității resurselor informaționale de distribuție limitată este accesul neautorizat (ilegal, neautorizat) al unui atacator sau al unui străin la informații documentate și, ca urmare, achiziționarea de informații și utilizarea ilegală a acesteia sau comiterea altor acțiuni destabilizatoare. . Scopurile și rezultatele accesului neautorizat pot fi nu numai achiziționarea de informații valoroase și utilizarea acestora, ci și modificarea, modificarea, distrugerea, falsificarea, înlocuirea și altele asemenea. O condiție prealabilă pentru încercarea de succes a accesului neautorizat la resursele de informații restricționate este interesul față de acestea din partea concurenților, anumitor persoane, servicii și organizații. Principalul vinovat al accesului neautorizat la resursele informaționale este, de regulă, personalul care lucrează cu documente, informații și baze de date. Pierderea de informații are loc în cele mai multe cazuri nu ca urmare a acțiunilor deliberate ale unui atacator, ci din cauza neatenției și iresponsabilității personalului.

În consecință, pierderea resurselor de informații cu acces limitat poate apărea atunci când:

§ prezenta interesului unui concurent, institutii, firme sau persoane in anumite informatii;

§ apariția unui risc de amenințare organizată de un atacator, sau în circumstanțe accidentale;

§ prezența unor condiții care permit unui atacator să efectueze acțiunile necesare și să obțină informații.

Aceste condiții pot include:

© lipsa muncii sistematice de analiză și control pentru identificarea și studierea amenințărilor, canalelor și gradului de risc de încălcare a securității resurselor informaționale;

© un sistem de securitate a informațiilor ineficient sau absența acestui sistem, care creează un grad ridicat de vulnerabilitate a informațiilor;

© tehnologie organizată neprofesional pentru procesarea și stocarea documentelor confidențiale;

© selecție dezordonată a personalului și fluctuație de personal, climat psihologic dificil în echipă;

© lipsa unui sistem de instruire a angajaților în regulile de protecție a informațiilor cu acces restricționat;

© lipsa controlului din partea conducerii companiei asupra conformității de către personal cu cerințele documentelor de reglementare pentru lucrul cu resurse de informații cu acces limitat;

© vizite necontrolate la sediul companiei de către persoane neautorizate.

Trebuie să vă amintiți întotdeauna că faptul de a documenta crește considerabil riscul unei amenințări la adresa informațiilor. Marii maeștri ai trecutului nu au notat niciodată secretele artei lor, ci le-au transmis oral fiilor și studenților lor. Prin urmare, secretul realizării multor articole unice din acea vreme nu a fost dezvăluit până în prezent.

Acțiuni existente efectuate cu informații care pot conține o amenințare: colectare, modificare, scurgere și distrugere. Aceste acțiuni sunt de bază pentru o analiză ulterioară. Aderând la clasificarea acceptată, vom împărți toate sursele de amenințări în externe și interne.

Amenințări interne și externe

Un infractor intern poate fi o persoană din următoarele categorii de angajați ai departamentelor de servicii: personal de service (administratori de sistem responsabili cu operarea și întreținerea hardware-ului și software-ului); Programatori de întreținere a software-ului de sisteme și aplicații; personal tehnic (muncitori utilitati, curatenitori etc.); angajații departamentelor întreprinderii cărora li se acordă acces la spațiile în care se află echipamente informatice sau de telecomunicații.

Sursele amenințărilor interne sunt:

· angajații organizației;

· software;

· hardware.

Amenințările interne se pot manifesta sub următoarele forme:

erori ale utilizatorilor și ale administratorilor de sistem;

încălcări de către angajații companiei a reglementărilor stabilite pentru prelucrarea, transferul și distrugerea informațiilor;

erori în operarea software-ului;

infectarea computerelor cu viruși sau malware;

defecțiuni și defecțiuni ale echipamentelor informatice.

Intrușii externi includ persoane a căror prezență în incintă cu echipamente este imposibilă fără controlul angajaților întreprinderii.

Un intrus extern interceptează și analizează radiația electromagnetică de la echipamentele sistemului informatic.

Sursele externe de amenințări includ:

· Organizații și persoane fizice;

· Dezastre naturale;

· Accidente provocate de om;

· Comiterea de acte teroriste.

Formele de manifestare a ameninţărilor externe sunt: ​​interceptarea; analiza si modificarea informatiilor; acces neautorizat la informațiile corporative; monitorizarea informațiilor de către structuri concurente, informații și servicii speciale; accidente, incendii, dezastre provocate de om.

Toate tipurile de amenințări (forme de manifestare) pe care le-am enumerat pot fi împărțite în intenționate și neintenționate, persoane interesate și neinteresate de apariția unei amenințări.

Influențele deliberate sunt acțiuni intenționate ale unui atacator cauzate de curiozitate; atac de hacker; mândria rănită a unui angajat, o încercare de a comite acte teroriste. Un intrus poate fi un angajat, un vizitator, un concurent, un mercenar, personal tehnic (lucrători de utilități, curățători etc.).

Cauzele impacturilor accidentale neintenționate în timpul funcționării pot fi: situații de urgență datorate dezastrelor naturale și întreruperilor de curent (impacte naturale și provocate de om); defecțiuni și defecțiuni ale echipamentelor; erori de software; erori în munca personalului; interferențe în liniile de comunicare din cauza influențelor mediului.

Conform metodelor de influențare a obiectelor de securitate a informațiilor, amenințările sunt supuse următoarei clasificări: informaționale, software, fizice, radio-electronice și organizațional-juridice.

Amenințările informaționale includ:

- acces neautorizat la resursele informaționale;

- copierea ilegală a datelor în sistemele informaționale;

- furtul de informații din biblioteci, arhive, bănci și baze de date;

- încălcarea tehnologiei de prelucrare a informațiilor;

- colectarea și utilizarea ilegală a informațiilor.

Amenințările software includ:

- utilizarea erorilor și „găurilor” în software;

- viruși informatici și programe malware;

- instalarea dispozitivelor „ipotecare”.

Amenințările fizice includ:

- distrugerea sau distrugerea facilitatilor de prelucrare si comunicare a informatiilor;

- furtul suporturilor de stocare;

- furtul de chei software sau hardware și mijloace de protecție a datelor criptografice;

- impact asupra personalului.

Amenințările electronice includ:

- introducerea dispozitivelor electronice de interceptare a informațiilor în mijloacele și spațiile tehnice;

- interceptarea, decriptarea, înlocuirea și distrugerea informațiilor în canalele de comunicare.

Amenințările organizaționale și juridice includ:

- achiziționarea de tehnologii și instrumente informaționale imperfecte sau învechite;

- încălcarea cerințelor legale și întârzierea în luarea deciziilor de reglementare necesare în sfera informațională.

După identificarea informațiilor care constituie un secret comercial și identificarea surselor care dețin, dețin sau conțin aceste informații, metodele de acces neautorizat la aceste informații sunt identificate prin selectarea din setul dat de principalele metode de acces neautorizat la sursele de informații confidențiale.

Pot fi identificate următoarele canale posibile pentru scurgerea de informații confidențiale (Figura 3):

copierea neautorizată a informațiilor confidențiale pe medii externe și eliminarea acestora în afara teritoriului controlat al întreprinderii. Exemple de astfel de suporturi sunt dischetele, CD-ROM-urile, discurile Flash etc.;

tipărirea informațiilor confidențiale și eliminarea documentelor tipărite în afara teritoriului controlat.

Trebuie remarcat faptul că, în acest caz, pot fi utilizate atât imprimantele locale, care sunt conectate direct la computerul atacatorului, cât și cele la distanță, interacțiunea cu care se realizează prin rețea;

transferul neautorizat de informații confidențiale prin rețea către servere externe situate în afara teritoriului controlat al întreprinderii. De exemplu, un atacator poate transfera informații confidențiale către servere de fișiere externe sau intranet. În acest caz, pentru a-și disimula acțiunile, infractorul poate mai întâi să cripteze informațiile trimise sau să le transmită sub masca unor fișiere grafice standard.

Riscurile informaționale, cea mai restrânsă definiție, sunt riscurile de pierdere, modificare neautorizată a informațiilor din cauza defecțiunilor în funcționarea sistemelor informaționale sau a defecțiunii acestora, ducând la pierderi. Securitatea informației este starea de securitate a mediului informațional. Protecția informațiilor este o activitate de prevenire a scurgerii de informații protejate, a impacturilor neautorizate și neintenționate asupra informațiilor protejate, adică un proces care vizează atingerea acestei stări.

Securitatea informațională a întreprinderii de alimentare cu energie electrică va fi asigurată dacă se asigură riscuri informaționale minime. Informații pentru utilizare în activitățile de zi cu zi, lipsa informațiilor obiective (inclusiv confidențiale) în rândul conducerii întreprinderii necesare pentru luarea unei decizii corecte, precum și difuzarea de către cineva în mediul extern a informațiilor care sunt defavorabile sau periculoase pentru activități. a întreprinderii.

Pentru rezolvarea acestei probleme, din punct de vedere al abordării sistemice, este recomandabil să se dezvolte și să implementeze la întreprindere un sistem de minimizare a riscurilor informaționale, care este un ansamblu interconectat de organisme, mijloace, metode și măsuri care să asigure minimizarea riscuri de scurgere si distrugere a informatiilor necesare functionarii intreprinderii. Principalele riscuri informaționale ale oricărei întreprinderi sunt:

riscul de scurgere și distrugere a informațiilor necesare funcționării întreprinderii;

riscul utilizării informațiilor părtinitoare în activitățile întreprinderii;

riscul ca conducerea întreprinderii să nu aibă informațiile necesare (inclusiv confidențiale) pentru a lua decizia corectă;

riscul ca cineva să difuzeze în mediul extern informații nefavorabile sau periculoase pentru întreprindere.

Principalele sarcini rezolvate de sistemul de minimizare a riscurilor informaționale sunt:

identificarea informațiilor care trebuie protejate;

identificarea surselor care au, posedă sau conțin aceste informații;

identificarea modalităților de acces neautorizat la aceste informații;

dezvoltarea și implementarea măsurilor organizatorice și tehnice pentru protejarea informațiilor confidențiale.

Informațiile despre compania de furnizare a energiei electrice la distanță pot avea următoarele patru niveluri de importanță:

nesemnificative, adică informații, a căror scurgere sau distrugere nu provoacă daune întreprinderii și nu afectează procesul de funcționare a acesteia.

Riscul de scurgere și distrugere a informațiilor necesare funcționării întreprinderii implică următoarele consecințe:

· informații confidențiale, transferul sau scurgerea cărora către persoane neautorizate va atrage daune întreprinderii și personalului acesteia;

· informații critice, a căror absență sau deteriorare va face imposibilă munca zilnică a personalului și a întregii întreprinderi.

Este evident că informațiile din primele trei niveluri de importanță trebuie protejate, iar gradul de protecție ar trebui, în general, să fie determinat de nivelul de importanță al informațiilor. Acest lucru se datorează în principal faptului că gradul de protecție este direct legat de costul implementării acestuia, prin urmare, în general, nu este fezabil din punct de vedere economic să protejăm informațiile cu măsuri de securitate costisitoare dacă scurgerea sau distrugerea acesteia duce la daune nesemnificative.

Informațiile din primele trei niveluri, de regulă, se referă la un secret comercial și sunt determinate de șeful întreprinderii în conformitate cu Decretul Guvernului Federației Ruse din 5 decembrie 1991 nr. 35 „Pe lista de informații care nu poate constitui un secret comercial.”

Procedura de identificare a informațiilor care constituie un secret comercial și de identificare a surselor care dețin, dețin sau conțin aceste informații ar trebui să fie următoarea.

Din ordinul întreprinderii, șefii de departamente sunt însărcinați cu responsabilitatea identificării unor informații specifice care constituie secret comercial în domeniile lor de activitate, a persoanelor autorizate să acceseze aceste informații, precum și a purtătorilor acestor informații.

Rezultatul acestei lucrări ar trebui să fie o „Lista de informații care constituie un secret comercial al întreprinderii” aprobată de șeful întreprinderii, indicând astfel de informații pentru fiecare dintre diviziile structurale; persoanele care sunt purtătoare a acestor informații; documente care conțin aceste informații, precum și alte medii (tehnice) pentru aceste informații, dacă există.

1.3 Prevederi de bază ale sistemului de securitate a informațiilor

O analiză a stării de fapt în domeniul informației arată că a apărut deja un concept și o structură de protecție complet formate, a căror bază este:

un arsenal foarte dezvoltat de mijloace tehnice de securitate a informațiilor produse pe bază industrială;

un număr semnificativ de firme specializate în rezolvarea problemelor de securitate a informațiilor;

un sistem de opinii destul de clar definit asupra acestei probleme;

având o experiență practică semnificativă.

Și, cu toate acestea, după cum arată presa internă și străină, acțiunile rău intenționate împotriva informațiilor nu numai că nu scad, ci au și o tendință ascendentă destul de constantă. Experiența arată că pentru a combate această tendință este necesar:

1. Organizarea organică și direcționată a procesului de protecție a resurselor informaționale. Mai mult, specialiștii profesioniști, administrația, angajații și utilizatorii ar trebui să participe activ la aceasta, ceea ce determină importanța sporită a laturii organizaționale a problemei. În plus, asigurarea securității informațiilor nu poate fi un act unic. Acesta este un proces continuu constând în justificarea și implementarea celor mai raționale metode, metode și modalități de îmbunătățire și dezvoltare a sistemului de protecție, monitorizarea continuă a stării acestuia, identificarea blocajelor și punctelor slabe ale acestuia și acțiunilor ilegale;

2. Securitatea informației poate fi asigurată numai prin utilizarea integrată a întregului arsenal de mijloace de securitate disponibile în toate elementele structurale ale sistemului de producție și în toate etapele ciclului tehnologic de prelucrare a informațiilor. Cel mai mare efect este obținut atunci când toate mijloacele, metodele și măsurile utilizate sunt combinate într-un singur mecanism integral - un sistem de securitate a informațiilor (IPS). Totodată, funcționarea sistemului trebuie monitorizată, actualizată și completată în funcție de schimbările din condițiile externe și interne.

Prin urmare, ne putem imagina un sistem de securitate a informațiilor ca un ansamblu organizatoric de organisme speciale, mijloace, metode și măsuri care asigură protecția informațiilor împotriva amenințărilor interne și externe.

Figura 4. Model pentru construirea unui sistem corporativ de securitate a informațiilor

Din punctul de vedere al unei abordări sistematice a protecției informațiilor, sunt impuse anumite cerințe. Protecția informațiilor ar trebui să fie:

1. Continuu. Această cerință provine din faptul că atacatorii caută doar o oportunitate de a ocoli protecția informațiilor de care sunt interesați.

2. Planificat. Planificarea este realizată de fiecare serviciu care elaborează planuri detaliate pentru protejarea informațiilor din domeniul său de competență, ținând cont de obiectivul general al întreprinderii (organizației).

3. Intenționat. Ceea ce este protejat este ceea ce ar trebui protejat în interesul unui anumit scop, nu totul la rând.

4. Specific. Sunt supuse protecției date specifice care fac obiectul protecției, a căror pierdere ar putea cauza anumite daune organizației.

5. Activ. Este necesar să se protejeze informațiile cu un grad suficient de persistență.

6. De încredere. Metodele și formele de protecție trebuie să blocheze în mod fiabil posibilele căi de acces continuu la secretele protejate, indiferent de forma de prezentare a acestora, limbajul de exprimare și tipul de suport fizic pe care sunt stocate.

7. Universal. Se crede că, în funcție de tipul de canal de scurgere sau de metoda de acces neautorizat, acesta trebuie blocat, oriunde apare, prin mijloace rezonabile și suficiente, indiferent de natura, forma și tipul informațiilor.

8. Cuprinzător. Pentru a proteja informațiile în toată varietatea elementelor structurale, toate tipurile și formele de protecție trebuie utilizate în totalitate. Este inacceptabil să folosiți doar anumite forme sau mijloace tehnice.

Natura complexă a protecției provine din faptul că protecția este un fenomen specific, care este un sistem complex de procese indisolubil interconectate, fiecare dintre acestea având, la rândul lor, multe aspecte, proprietăți și tendințe care se condiționează reciproc.

Astfel, pentru a asigura îndeplinirea unor astfel de cerințe multiple de securitate, sistemul de securitate a informațiilor trebuie să îndeplinească anumite condiții:

acoperă întreg complexul tehnologic al activităților informaționale; să fie variat în mijloacele folosite,

multi-nivel cu secvență de acces ierarhică; să fie deschis la modificări și completări ale măsurilor de securitate a informațiilor;

să fie non-standard, divers, atunci când alegeți mijloace de protecție, nu puteți conta pe ignoranța atacatorilor cu privire la capacitățile sale;

să fie ușor de întreținut și convenabil de utilizat pentru utilizatori;

fi de încredere, orice defecțiuni ale echipamentelor tehnice determină apariția unor canale necontrolate de scurgere de informații;

să fie complex, să aibă integritate, ceea ce înseamnă că nici o singură parte a acestuia nu poate fi îndepărtată fără a deteriora întregul sistem.

Există anumite cerințe pentru sistemul de securitate a informațiilor:

definirea clară a puterilor și drepturilor utilizatorului de a accesa anumite informații;

asigurarea utilizatorului cu autoritatea minimă necesară pentru a efectua munca atribuită;

minimizarea numărului de protecții partajate de mai mulți utilizatori;

înregistrarea cazurilor și încercărilor de acces neautorizat la informații confidențiale;

asigurarea unei evaluări a gradului de confidențialitate a informațiilor;

asigurarea controlului integrității echipamentelor de protecție și a răspunsului imediat la defecțiunea acestora.

Un sistem de securitate a informațiilor, ca orice sistem, trebuie să aibă anumite tipuri de suport propriu, pe baza căruia își va îndeplini funcția țintă. Ținând cont de acest lucru, un sistem de securitate a informațiilor poate avea:

1. Suport juridic. Acestea includ documente de reglementare, reglementări, instrucțiuni, linii directoare, ale căror cerințe sunt obligatorii în regulile domeniului lor de aplicare.

2. Suport organizațional. Aceasta înseamnă că implementarea securității informațiilor este realizată de anumite unități structurale – precum serviciul de securitate a documentelor; regim, acces și serviciu de securitate; serviciu de securitate a informațiilor prin mijloace tehnice; serviciu de informare și analitică și altele.

3. Hardware. Este de așteptat ca mijloacele tehnice să fie utilizate pe scară largă atât pentru protejarea informațiilor, cât și pentru asigurarea funcționării sistemului de securitate a informațiilor.

4. Suport informațional. Include informatii, date, indicatori, parametri care stau la baza solutionarii problemelor care asigura functionarea sistemului. Acesta poate include atât indicatori de acces, contabilitate, stocare, cât și sisteme de suport informațional pentru sarcini de decontare de natură variată legate de activitățile serviciului de suport informațional.

5. Software. Include diverse programe de informare, contabilitate, statistică și calcul care oferă o evaluare a prezenței și pericolului diferitelor canale de scurgere și căi de pătrundere neautorizată în sursele de informații confidențiale;

6. Software matematic. Presupune utilizarea metodelor matematice pentru diferite calcule legate de evaluarea pericolului mijloacelor tehnice ale atacatorilor, zonelor și standardelor de protecție necesare.

7. Suport lingvistic. Un set de mijloace lingvistice speciale de comunicare între specialiști și utilizatori în domeniul securității informațiilor.

8. Suport normativ și metodologic. Acestea includ norme și reglementări pentru activitățile organismelor, servicii, instrumente care implementează funcții de securitate a informațiilor, diverse tehnici care asigură activitățile utilizatorilor atunci când își desfășoară activitatea în condiții stricte de securitate a informațiilor.

Doar un sistem de securitate poate satisface cerințele moderne pentru asigurarea activităților unei întreprinderi și protejarea informațiilor confidențiale ale acesteia. Prin sistem de securitate înțelegem un set organizatoric de organisme speciale, servicii, mijloace, metode și măsuri care asigură protecția intereselor vitale ale individului, întreprinderii și statului de amenințările interne și externe.

Ca orice sistem, un sistem de securitate a informațiilor are propriile scopuri, obiective, metode și mijloace de activitate, care sunt coordonate în loc și timp în funcție de condiții.

Înțelegând securitatea informațiilor ca „starea de securitate a mediului informațional al societății, asigurând formarea, utilizarea și dezvoltarea acestuia în interesul cetățenilor și organizațiilor”, este legitim să se identifice amenințările la adresa securității informațiilor, sursele acestor amenințări, metodele de implementarea și obiectivele acestora, precum și alte condiții și acțiuni care încalcă securitatea. În același timp, este firesc să luăm în considerare măsuri de protejare a informațiilor împotriva acțiunilor ilegale care duc la daune.

Practica arată că pentru a analiza un set atât de semnificativ de surse, obiecte și acțiuni, este indicat să se folosească metode de modelare, în care se formează un fel de „substitut” al situațiilor reale. Trebuie avut în vedere că modelul nu copiază originalul, este mai simplu. Modelul trebuie să fie suficient de general pentru a descrie acțiuni reale, ținând cont de complexitatea acestora.

concluzii: După cum arată experiența străină și internă, în ciuda introducerii din ce în ce mai răspândite a noilor tehnologii informaționale în practica întreprinderilor, principala sursă de scurgere de informații sunt angajații acestor întreprinderi.

Prin urmare, în legătură cu o astfel de situație, este necesar să înțelegem că este practic imposibil să se creeze condiții în întreprindere care să excludă complet accesul neautorizat la această sursă de informații restricționate; este posibil doar să se reducă semnificativ rolul acesteia printre alte surse de informare. scurgerea de informații confidențiale.

În consecință, amenințările la adresa informațiilor restricționate sunt întotdeauna reale, sunt foarte diverse și creează condiții prealabile pentru pierderea informațiilor.

Potrivit Institutului de Securitate Informatică (CSI) și FBI, peste 50% dintre intruziuni sunt opera angajaților proprii ai companiilor. În ceea ce privește frecvența intruziunilor, 21% dintre respondenți au indicat că au experimentat recurențe ale „atacurilor”. Modificarea neautorizată a datelor a fost cea mai comună formă de atac și a fost folosită în principal împotriva instituțiilor medicale și financiare. Peste 50% dintre respondenți consideră concurenții o sursă probabilă de „atacuri”. Respondenții acordă cea mai mare importanță faptelor de interceptări, pătrundere în sistemele informaționale și „atacuri” în care „atacatorii” falsifică adresa de retur pentru a redirecționa căutările către persoane neimplicate. Astfel de atacatori sunt cel mai adesea angajați și concurenți nemulțumiți.

Analiza riscurilor informaționale arată că acestea sunt asociate cu informații confidențiale.

Unele dintre motivele care sunt slab luate în considerare, de exemplu, ostilitatea personală față de șeful întreprinderii, deteriorarea legăturilor comerciale dintre întreprinderi, pot duce la apariția în mass-media a unor informații nefavorabile și, în unele cazuri, periculoase pentru intreprinderea. Prin urmare, pentru a elimina sau cel puțin a reduce riscul de difuzare a acestor informații de către întreprinderile concurente, este necesară diseminarea proactivă a unor informații adevărate și, în unele cazuri, dezinformări.

În ciuda minuțiozității subiectului, multe întrebări apar întotdeauna în procesul de îmbunătățire a sistemului de management al riscului informațional. Scopul construirii unui proces de analiză a riscurilor nu este doar de a le identifica, de a evalua consecințele posibilei lor implementări, de a asigura prelucrarea lor și, ulterior, de a efectua sistematic o monitorizare eficientă ulterioară. Dar și în asigurarea standardizării abordării riscurilor în toate aspectele activităților companiei, obținerea în mod convenabil și rapid a unei imagini holistice a situației cu riscurile informaționale din companie în orice perioadă a activității acesteia. Și, de asemenea, în creșterea atractivității competitive a companiei printr-un răspuns rapid și adecvat la toate noile amenințări emergente, în creșterea încrederii în cadrul companiei însăși între business și securitate.

2. Organizarea protecției sistemului informațional corporativ Distanțele de alimentare pe baza soluțiilor standard

2.1 Obiecte și subiecte de protecție

Pentru Distanța de alimentare, resursele care sunt importante pentru viață și, prin urmare, protejate sunt:

1) oameni (personalul întreprinderii);

2) proprietate: documentație, active materiale și financiare, mostre de produse finite, proprietate intelectuală (know-how), echipamente informatice etc.;

3) Informații: pe medii tangibile, precum și care circulă în canalele de comunicare și informare internă, în birourile conducerii întreprinderii, la ședințe și ședințe;

4) Resurse financiare și economice care asigură dezvoltarea efectivă și durabilă a întreprinderii (interese comerciale, planuri de afaceri, documente și obligații contractuale etc.).

Valori supuse protecției, precum informații restricționate, secrete bancare, date personale, secrete oficiale, secrete comerciale, secrete de stat, informații privilegiate și alte informații în privința cărora se instituie un regim de confidențialitate și răspundere obligatorie pentru divulgarea acestora.

De asemenea, valoroase sunt datele care sunt create sau utilizate în rețeaua de informații corporative, cum ar fi informații științifice, tehnice și tehnologice legate de activitățile întreprinderii.

O listă completă a informațiilor care constituie un secret comercial este stabilită de șefii serviciilor de protecție a informațiilor pe lângă reglementările relevante.

Categoriile de „confidenţiale” includ informaţii care îndeplinesc următoarele criterii:

nu sunt cunoscute în general sau disponibile din punct de vedere legal pentru public;

deținerea în mod monopol a acestor informații oferă organizației avantaje comerciale, beneficii economice și de altă natură, iar dezvăluirea sau utilizarea deschisă a cărora poate duce la daune (materiale, morale, fizice) organizației, clienților sau corespondenților acesteia (secretul comercial).

Bancarsecret se referă la informații despre tranzacții, conturi și depozite, detalii bancare, precum și informații despre clienți și corespondenți ai Băncii, care fac obiectul protecției obligatorii.

Serviciusecret se referă la informații la care accesul este limitat de autoritățile de stat și de legile federale și se referă la informații care nu sunt un secret bancar și sunt supuse protecției obligatorii în conformitate cu lista de informații restricționate.

Comercialsecret organizație înseamnă informații legate de informații științifice, tehnice, tehnologice, de producție, financiare, economice sau de altă natură, care au valoare comercială reală sau potențială datorită necunoscutei terților, la care nu există acces liber din punct de vedere legal și în privința cărora proprietarul astfel de informații au intrat în regim de secret comercial. Dezvăluirea (transfer, scurgere, utilizare deschisă) poate duce la daune organizației, statului, clienților sau corespondenților săi, contrapărților JSC Căile Ferate Ruse.

Personaldate se referă la informații despre fapte, evenimente și împrejurări din viața privată a cetățenilor care permit identificarea identității acestora.

Statsecret- conform definiției adoptate în legislația rusă, informații protejate de stat în domeniul său militar, politicii externe, economice, de informații, contrainformații, de căutare operațională și alte activități, a căror difuzare ar putea dăuna securității statului.

Insiderinformație- (ing. Informații privilegiate) - informații de proprietate semnificative nedezvăluite public ale companiei, care, dacă sunt dezvăluite, ar putea afecta valoarea de piață a valorilor mobiliare ale companiei. Acestea pot include: informații despre schimbarea viitoare a managementului și o nouă strategie, despre pregătirile pentru lansarea unui nou produs și introducerea unei noi tehnologii, despre negocierile de succes cu privire la fuziunea companiilor sau achiziționarea în curs a unui pachet de control; materiale de raportare financiară, previziuni care indică dificultățile companiei; informații despre oferta de licitație (la licitație) înainte de dezvăluirea acesteia către public etc.

informațielimitatacces sunt informații de valoare pentru proprietarul său, accesul la care este restricționat legal. La rândul lor, informațiile cu acces restricționat sunt împărțite în informații care constituie secret de stat și informații a căror confidențialitate este stabilită de legea federală (informații confidențiale).

LegalȘireferinţăinformație, corespondență de afaceri, transfer de informații contabile de raportare între stațiile de lucru ale utilizatorilor și serverul de baze de date în cadrul sistemelor automate SAP R/3 pentru departamentele financiare, economice și tehnice.

Informațiile despre întreprindere pot avea următoarele patru niveluri de importanță:

vitale, adică informații, a căror scurgere sau distrugere amenință însăși existența întreprinderii;

importante, adică informații, a căror scurgere sau distrugere duce la costuri mari;

utilă, adică informații, a căror scurgere sau distrugere provoacă unele daune, dar întreprinderea poate funcționa destul de eficient și după aceea;

nesemnificative, adică informații, a căror scurgere sau distrugere nu provoacă daune întreprinderii și nu afectează procesul de funcționare a acesteia.

2.2 Măsuri organizatorice în sistemul de securitate a informațiilor

Documentele și metodele organizatorice și juridice reglementează întregul ciclu tehnologic de lucru al JSC Căile Ferate Ruse, de la metodologia de selectare a personalului și angajarea acestuia, de exemplu, pe bază de contract, până la prevederile privind responsabilitățile funcționale ale oricărui angajat. Fiecare instrucțiune sau reglementare a companiei trebuie să abordeze direct sau indirect problemele de siguranță și să afecteze funcționalitatea și eficacitatea sistemului de protecție.

O sursă importantă de scurgere de informații confidențiale sunt diversele tipuri de documente. Aici este necesar să se țină seama de faptul că dezvoltarea destul de rapidă a tehnologiei informației a dus la apariția unor noi tipuri de medii de informare a documentelor: imprimări de computer, medii de stocare și altele asemenea. În același timp, importanța în activitățile comerciale a tipurilor tradiționale de documente pe hârtie: contracte, scrisori, recenzii analitice practic nu scade.

Apariția unor noi purtători de informații documentare a condus nu numai la apariția unor noi dificultăți în rezolvarea problemei asigurării protecției informațiilor împotriva accesului neautorizat la conținutul acesteia, ci și la noi oportunități de asigurare a protecției garantate a acestor informații. Vorbim aici în primul rând despre stocarea informațiilor de document deosebit de importante pe medii într-o formă convertită folosind transformări criptografice.

În cadrul acestor măsuri au fost elaborate și implementate documente organizatorice și administrative la Distanța de Alimentare, care definesc o listă de resurse de informații confidențiale, precum și o listă a acelor măsuri care trebuie implementate pentru a contracara.

Documentele organizaționale sunt politica de securitate a informațiilor, fișele de post ale angajaților companiei și reglementările pentru lucrul pe un computer personal.

În acest scop, JSC Căile Ferate Ruse a îndeplinit următoarele sarcini organizatorice:

A fost creat un cadru legal pentru a asigura protecția informațiilor prin implementarea:

- introducerea modificărilor la Carta întreprinderii care conferă conducerii întreprinderii dreptul de a: emite documente de reglementare și administrative care reglementează procedura de determinare a informațiilor care constituie secret comercial și mecanismele de protecție a acestuia;

- completări la „Contractul colectiv” cu prevederi care stabilesc responsabilitățile administrației și angajaților întreprinderii legate de elaborarea și implementarea măsurilor de determinare și protejare a secretelor comerciale;

- completări la „Contractul de muncă” cu cerințe pentru protecția secretelor comerciale și reglementări interne, inclusiv cerințe pentru protecția secretelor comerciale;

- instruirea persoanelor angajate asupra regulilor de păstrare a secretelor comerciale cu executarea unei obligații scrise de nedezvăluire.

- tragerea la răspundere administrativă sau penală a celor care încalcă cerințele de protecție a secretelor comerciale în conformitate cu legislația în vigoare.

- include cerințe pentru protecția secretelor comerciale în contracte pentru toate tipurile de activități comerciale;

- cere protejarea intereselor întreprinderii în fața autorităților guvernamentale și judiciare;

- dispune de informații care sunt proprietatea întreprinderii pentru a obține beneficii și a preveni pagubele economice aduse întreprinderii;

- instruirea angajaților în regulile de protecție a informațiilor cu acces restricționat;

- selectia atenta a angajatilor care sa lucreze in sistemul de management al biroului;

- crearea condiţiilor interne favorabile la întreprindere pentru păstrarea secretelor comerciale;

- identifica si stabilizeaza fluctuatia personalului, climatul psihologic dificil in echipa;

- asigurarea evaluării gradului de confidențialitate a informațiilor;

- scoaterea din munca legata de secretele comerciale a persoanelor care incalca cerintele stabilite pentru protectia acestuia;

- aducerea la cunostinta fiecarui angajat al intreprinderii a “Lista informatiilor constituind secret comercial al intreprinderii”;

- asigurarea depozitării în siguranță a documentelor și distrugerea acestora în timp util, precum și verificarea disponibilității documentelor și monitorizarea oportunității și corectitudinii executării acestora;

- proiectele și versiunile documentelor sunt distruse personal de către executorul executor, care răspunde personal de distrugerea acestora. Distrugerea se realizează folosind mașini standard de tăiat hârtie sau alte metode care exclud posibilitatea citirii.

- stocarea informațiilor confidențiale pe medii și în memoria unui computer electronic personal într-o formă convertită folosind transformări criptografice.

Prin urmare, pentru a exclude accesul neautorizat la această sursă de informații, se folosesc atât metode tradiționale, cât și netradiționale, și anume:

· securitatea teritoriului, spațiilor și birourilor, precum și controlul efectiv al intrării asupra accesului la acestea;

· introducerea unei organizări clare a sistemului de lucru de birou.

Informațiile care constituie un secret comercial includ:

- informatii privind activitatile financiare si economice;

- informatii despre activitatile operationale si de productie;

- informatii despre activitatile de management;

- informatii despre activitatile personalului;

- informatii privind activitatile de control si audit;

- informatii despre semnalizare si comunicatii, electrificare, energie;

- informatii despre munca contractuala;

- informații despre rezultatele propriilor cercetări;

- informatii despre activitatile medicale;

- Informații privind protecția informațiilor și facilităților JSC Căile Ferate Ruse.

Asigurați-vă că computerele și resursele de telecomunicații ale organizației sunt utilizate în scopul propus de către angajații săi și contractanții independenți. Toți utilizatorii de computere au responsabilitatea de a utiliza resursele computerului într-o manieră pricepută, eficientă, etică și legală. Încălcarea politicii de securitate corporativă implică acțiuni disciplinare, până la și inclusiv concediere și/sau proceduri penale.

Politicile de securitate nu sunt reguli obișnuite care sunt deja clare pentru toată lumea. Se prezintă sub forma unui document tipărit serios. Și pentru a reaminti constant utilizatorilor importanța siguranței, copii ale acestui document sunt păstrate de fiecare angajat, astfel încât aceste reguli să fie mereu în fața ochilor lor pe desktop.

Politica de securitate corporativă

· Accesul liber la informațiile care constituie secrete bancare, comerciale și oficiale ale Băncii este închis pentru a proteja informațiile confidențiale și protecția fizică a operatorilor săi.

· Organizația, în calitate de proprietar (deținător) de informații, ia măsuri pentru a proteja secretul bancar, datele personale, secretele oficiale, secretele sale comerciale și alte informații în conformitate cu drepturile și obligațiile care îi sunt acordate de legislația în vigoare.

Documente similare

Analiza comerțului companiei și a sistemului de management al personalului, contabilitate, și nivelul de securitate al sistemului de informații corporative de date cu caracter personal. Dezvoltarea unui subsistem de măsuri tehnice pentru protejarea rutare, comutare și firewall ISDN.

lucrare curs, adăugată 07.08.2014


Analiza obiectului informatizarii. Politica de securitate a informațiilor. Subsisteme de securitate a informațiilor tehnice: control acces, supraveghere video, alarme de securitate și incendiu, protecție împotriva scurgerilor prin canale tehnice, protecție rețelei corporative.

prezentare, adaugat 30.01.2012


Analiza modelului de sistem informatic si de telecomunicatii intreprindere. Tipuri de amenințări la securitatea informațiilor. Scopurile si obiectivele securitatii informatiilor in intreprindere. Dezvoltarea procedurilor de monitorizare a sistemului de management al securității informațiilor în rețeaua corporativă.

teză, adăugată 30.06.2011


Analiza securității rețelelor întreprinderii bazate pe ATM, arhitectura obiectelor de securitate în tehnologie. Model pentru construirea unui sistem corporativ de securitate a informațiilor. Metodologie de evaluare a eficienței economice a utilizării sistemului. Metode de reducere a riscului de pierdere a datelor.

teză, adăugată 29.06.2012


Revizuirea analitică a rețelei corporative. Analiza rețelei existente și a fluxurilor de informații. Cerințe pentru sistemul de administrare și marcarea elementelor LAN. Dezvoltarea protecției sistemului împotriva accesului neautorizat. Instrucțiuni pentru administratorul de sistem.

teză, adăugată 19.01.2017


Conceptul de protecție antivirus a infrastructurii informaționale, tipuri de posibile amenințări. Caracteristicile software-ului utilizat în PJSC „ROSBANK”. Mijloace de protejare a resurselor de informații bancare împotriva amenințărilor la adresa integrității sau confidențialității.

lucrare de curs, adăugată 24.04.2017


Dezvoltarea unei rețele de informații corporative de mare viteză bazată pe linii Ethernet cu un segment de comerț mobil pentru întreprinderea Monarch LLC. Activitati de instalare si exploatare echipamente. Calculul indicatorilor tehnico-economici ai proiectului.

lucrare de curs, adăugată 10.11.2011


Structura sistemului informațional corporativ al organizației. Dezvoltarea spațiului de adrese și a sistemului DNS. Structura domeniului CIS. Selectarea configurațiilor hardware și software pentru stațiile de lucru și echipamentele serverului. Configurarea serviciilor standard.

lucrare curs, adaugat 29.07.2013


Mediu fizic pentru transmiterea datelor în rețelele locale. Rețeaua de informații corporative. Echipamente de telecomunicații și calculatoare pentru întreprinderi. Dezvoltarea unei rețele informaționale corporative bazată pe analiza tehnologiilor informaționale moderne.

teză, adăugată 06.07.2015


Relevanța problemelor de securitate a informațiilor. Software și hardware pentru rețeaua Mineral LLC. Construirea unui model de securitate corporativă și protecție împotriva accesului neautorizat. Solutii tehnice pentru protectia sistemului informatic.