Создание проекта по внедрению средств защиты персональных данных в информационной системе обработки данных

Под угрозой безопасности АС понимаются возможные действия, способные прямо  или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает  нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети). С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы — это присущее системе неудачное свойство, которое может привести к реализации угрозы. Атака на компьютерную систему — это поиск и/или использование злоумышленником той или иной уязвимости системы. Иными словами, атака — это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.

Защищенная система — это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Способ защиты информации — порядок  и правила применения определенных принципов и средств защиты информации.

Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации

Комплекс средств защиты (КСЗ) —  совокупность программных и технических  средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Корпоративные сети относятся к  распределенным автоматизированным системам (АС), осуществляющим обработку информации. Обеспечение безопасности АС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования АС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, т. е. защиту всех компонентов АС — аппаратных средств, программного обеспечения (ПО), данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на разработанной для АС политике безопасности.

Политика безопасности — это  совокупность норм, правил и практических рекомендаций, регламентирующих работу средств зашиты компьютерной системы  от заданного множества угроз. Более подробные сведения о видах политики безопасности и процессе ее разработки будут приводиться в следующих статьях.

 

 

 

 

 

 

 

 

 

 

 

 

 

1.2 Методы и средства защиты информации

 

        Создание систем  информационной безопасности (СИБ)  в ИС и ИТ основывается на следующих принципах:

       Системный подход  к построению системы защиты, означающий оптимальное сочетание  взаимосвязанных организационных,  программных,. аппаратных, физических  и других свойств, подтвержденных  практикой создания отечественных  и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

            Принцип непрерывного развития  системы. Этот принцип, являющийся  одним из основополагающих для  компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа,

       Обеспечение надежности  системы защиты, т. е. невозможность  снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

        Обеспечение  контроля за функционированием  системы защиты, т.е. создание  средств и методов контроля работоспособности механизмов защиты. Обеспечение всевозможных средств борьбы с вредоносными программами.

       Обеспечение экономической  целесообразности использования  системы. защиты, что выражается  в превышении возможного ущерба  ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.

        В результате  решения проблем безопасности  информации современные ИС и  ИТ должны обладать следующими  основными признаками:

      • наличием информации  различной степени конфиденциальности;

      • обеспечением  криптографической защиты информации  различной степени конфиденциальности  при передаче данных; 

     • обязательным управлением  потоками информации, как в локальных  сетях, так и при передаче  по каналам связи на далекие  расстояния;

     • наличием механизма  регистрации и учета попыток  несанкционированного доступа, событий  в ИС и документов, выводимых  на печать;

     • обязательным обеспечением  целостности программного обеспечения  и информации в ИТ;

• наличием средств восстановления системы защиты информации; • обязательным учетом магнитных носителей;

• наличием физической охраны средств  вычислительной техники и магнитных  носителей;

• наличием специальной службы информационной безопасности системы.      

      Методы и средства  обеспечения безопасности информации:

     Препятствие — метод  физического преграждения пути  злоумышленнику к защищаемой  информации (к аппаратуре, носителям  информации и т.д.).

    Управление доступом  — методы защиты информации  регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала  и ресурсов системы (присвоение каждому  объекту персонального идентификатора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• разрешение и создание условий  работы в пределах установленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе  и т.п.) при попытках несанкционированных  действий.

         Механизмы  шифрования — криптографическое  закрытие информации. Эти методы  защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

       Противодействие  атакам вредоносных программ  предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ.

         Вся совокупность  технических средств подразделяется  на аппаратные и физические.

        Аппаратные  средства — устройства, встраиваемые  непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

       Физические средства  включают различные инженерные  устройства и сооружения, препятствующие  физическому проникновению злоумышленников  на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

        Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

        Из средств  ПО системы защиты необходимо  выделить еще программные средства, реализующие механизмы шифрования (криптографии), Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

        Организационные  средства осуществляют своим  комплексом регламентацию производственной  деятельности в ИС и взаимоотношений  исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

        Законодательные  средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

          Морально-этические  средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

 

 

 

 

 

 

 

 

 

 

 

 

2 ПРАКТИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

2.1 Организационная характеристика "Ок-сервис

 

Компьютерная компания ООО "Ок-сервис" работает на рынке IT услуг с 2007 года. Расположена по адресу: г. Оренбург, пр. Автоматики 17.

Организация занимается предоставлением услуг:

• IT – аутсорсинг. Предполагает полную или частичную передачу компьютерного парка предприятия на обслуживание в организацию. Программный и технический ремонт информационной системы.

 

 

• Сервисный центр по ремонту компьютерной техники

 

• Антивирусная защита. Предполагает предоставление ПО и установка

 

• Продажа и установка лицензионного ПО

 

• Разработка сайтов, WEB-дизайн

 

Целью деятельности организации, как и любой другой коммерческой компании, является получение прибыли. Клиентами компании являются юридические (организации) и частные лица, за интересованные в аутсорсинговых услугах по размещению своих информационных ресурсов в управление ООО «ОКС». На предприятии работает 17 человек, включая работников сторонних организаций, участвующих в процессе работы по договорам найма. 

 

2.2 Исследование информационной безопасности ООО «ОКС»

 

Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения или  уничтожения с целью оценки наносимого этими действиями ущерба.

Моделирование угроз состоит в анализе возможных технических каналов утечки информации;

Для создания модели злоумышленника необходимо мысленно проиграть с  позиции злоумышленника варианты возможного получения доступа к источникам информации. Чем больше при этом будет учтено факторов, тем выше будет вероятность соответствия модели реальной практике. В условиях отсутствия информации о злоумышленнике лучше переоценить угрозу, хотя это может привести к увеличению затрат.

При выявлении технических каналов  утечки информации необходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование технических средств обработки информации, оконечные устройства, соединительные линии, распределительные и коммутационные устройства, системы электропитания, системы заземления и т.п. Наряду с основными техническими средствами, непосредственно связанными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные технические средства и системы, такие, как технические средства открытой телефонной, факсимильной, громкоговорящей связи, системы охранной и пожарной сигнализации, электрификации, радиофикации, электробытовые приборы и др. Каналы утечки могут быть реализованы через вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены основные и вспомогательные технические средства, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.

Рассмотрим возможные каналы утечки информации и несанкционированного доступа к ресурсам, которые могут быть использованы противником в данном случае, а также возможную защиту от них.