Материал: Определение требований к системе защиты корпоративной информационной системы

-   инструктированием принимаемых на работу лиц по правилам сохранения коммерческой тайны с оформлением письменного обязательства о неразглашении.

-   привлечением нарушителей требований по защите коммерческой тайны к административной или уголовной ответственности в соответствии с действующим законодательством.

-   включать требования по защите коммерческой тайны в договора по всем видам хозяйственной деятельности;

-   требовать защиты интересов предприятия перед государственными и судебными органами;

-   распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба предприятию;

-   обучения сотрудников правилам защиты информации ограниченного доступа;

-   тщательный подбор сотрудников для работы в системе делопроизводства;

-   создание благоприятных внутренних условий на предприятии для сохранения коммерческой тайны;

-   выявлять и стабилизировать текучесть кадров, сложный психологический климат в коллективе;

-   обеспечение оценки степени конфиденциальности информации;

-   отстранением от работ, связанных с коммерческой тайной лиц нарушающих установленные требования по ее защите;

-   доведения до каждого сотрудника предприятия "Перечня сведений, составляющих коммерческую тайну предприятия";

-   обеспечение надежного хранения документов и своевременного их уничтожения, а также проверке наличия документов и контроле своевременности и правильности их исполнения;

-   черновики и варианты документов уничтожаются лично исполнителем, который несет персональную ответственность за их уничтожение. Уничтожение осуществляется на стандартных бумагорезательных машинах, либо другими способами, исключающими возможность прочтения.

-   хранение конфиденциальной информации на носителях и в памяти персональной электронно-вычислительной машине в преобразованном виде с помощью криптографических преобразований.

Поэтому для исключения несанкционированного доступа к этому источнику информации используются как традиционные, так и нетрадиционные способы, а именно:

·        осуществление охраны территории, помещений и офисов, а также эффективного входного контроля за доступом в них;

·        внедрение четкой организации системы делопроизводства.

К информации, составляющей коммерческую тайну относится:

         информация о финансово - экономической деятельности;

-        информация об эксплуатационной и производственной деятельности;

-        информация об управленческой деятельности;

         информация о кадровой деятельности;

-        информация о контрольной и ревизионной деятельности;

         информация о сигнализации и связи, электрификации, энергетике;

-        информация о договорной работе;

-        информация о результатах собственных исследований;

-        информация о медицинской деятельности;

-        Информация о защите информации и объектов ОАО "РЖД".

Гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов организации ее сотрудниками, независимыми подрядчиками. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы. Нарушения политики корпоративной безопасности влечет за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела.

Политика обеспечения безопасности - это не обычные правила, которые и так всем понятны. Она представлена в форме серьезного печатного документа. А чтобы постоянно напоминать пользователям о важности обеспечения безопасности, копии этого документа находятся у каждого сотрудника, чтобы эти правила всегда были перед глазами на рабочем столе.

Политика корпоративной безопасности

·              Свободный доступ к сведениям, составляющим банковскую, коммерческую и служебную тайну Банка, закрывается с целью защиты конфиденциальной информации и физической защиты ее носителей.

·              Организация, как собственник (владелец) информации, принимает меры по защите банковской тайны, персональных данных, служебной тайны, своей коммерческой тайны и другой информации в соответствии с предоставленными ему действующим законодательством правами и обязанностями.

·              Руководство организации имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и бюджеты предоставляются сотрудникам организации с целью помочь им более эффективно выполнять свою работу.

·              Компьютерная и телекоммуникационная системы принадлежат организации и могут использоваться только в рабочих целях. Сотрудники не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью компьютеров и телекоммуникационных ресурсов.

·              Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства.

·              Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности.

·              Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах Компании. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю.

·              Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством организации.

·              Пользователям не разрешается устанавливать на компьютерах и в сети организации программное обеспечение без разрешения системного администратора.

·              Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя.

·              Электронная почта от юриста Компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: "Защищено адвокатским правом/без разрешения не пересылать".

·              Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.

·              Запрещается использование без предварительного письменного разрешения начальника разрушительных программ (вирусов или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования.

·              Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.

·              Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем.

·              К правовым и морально-этическим, мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.

·              Обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя;

Перечень сведений ограниченного распространения:

. Список сотрудников, обрабатывающих служебную информацию ограниченного распространения в подразделении.

. Перечень автоматизированных рабочих мест (ПЭВМ), на которых осуществляется обработка служебной информации ограниченного распространения.

. Распоряжение о назначении:

администраторов информационной безопасности автоматизированных рабочих мест, на которых осуществляется обработка служебной информации ограниченного распространения в подразделении;

ответственных за эксплуатацию автоматизированных рабочих мест;

ответственных за учет, хранение журнала учета выдачи съемных носителей и машинных носителей служебной информации ограниченного распространения.

2.3 Современные технологии защиты информации

Физическая безопасность

Обеспечение безопасности начинается с периметра прилегающей территории. При несанкционированном проникновении на защищаемый объект наиболее вероятны действия, имеющие корыстные цели, а также действия, связанные с хищением секретной информации. Вход в здание осуществляется через проходную, где располагается пост охраны с установленным инженерным препятствием механический турникет. Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок.

Система контроля и управления доступом (СКУД) выполняет функцию ограничения доступа в помещения здания с разграничением полномочий (учитывая время суток и дни недели, т.е. запрет на вход разных лиц в разное время). При этом обеспечивается легкая смена полномочий и фиксация в памяти всех событий в привязке к текущей дате и времени суток.

Система контроля управления доступом для Дистанции электроснабжения соответствует следующим требованиям:

·        управление от магнитных карт;

·        централизованное и распределенное хранение ключей доступа;

·        функции контроля повторного прохода;

·        энергонезависимый календарь;

·        поиск сотрудников;

·        учет рабочего времени;

·        отчеты по сотрудникам, оставшимся в помещениях на текущее время.

Для системы контроля и управления доступом используется оборудование Научно Производственного Объединения "Болид" систему "Орион-Про". Выбор данной системы обоснован соответствием технических требований предъявляемых к объекту защиты, интеграцией управления с пожарной сигнализацией и грамотной технической поддержкой.

В состав системы входят: контроллеры управления доступом, считыватели магнитных карт, кнопки выхода, замки электромагнитные со встроенным герконом, дверные доводчики.

Управление системой осуществляется с помощью программного обеспечения "Орион - Про", которое позволять отслеживать в реальном времени нахождение и перемещение сотрудников промышленного предприятия. За счет индивидуальных кодов записанных на магнитных картах пропусках выданных сотрудникам. Система позволяет блокировать и разблокировать двери с пульта оператора. Управление системой, ведется с персонального компьютера расположенного на посту охраны.

Системой контроля управления доступом оборудованы все помещения первого и второго этажа за исключением входного и запасного входа (выхода), кабинета директора и сантехнических узлов. В качестве запирающих устройств используются электромеханические замки. Считыватели системы контроля и управления доступом установлены со стороны дверной ручки на высоте 130 см. от уровня пола и на расстоянии 10 см. от дверной коробки. На все двери оборудованные системой ограничения доступа установлены доводчики. Электромагнитные замки устанавливаются с внутренних сторон дверей.

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и так далее.

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА

Статистика показывает, что более 80% всех инцидентов, связанных с нарушением информационной безопасности вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри интрасети конфиденциальной информации.

В дополнении к организационным средствам защиты на Дистанции электроснабжения применяются и технические решения, предназначенные для блокирования технических каналов утечки информации. Применяются различные способы защиты информации от утечки ее по техническим каналам:

средства криптографической защиты конфиденциальной информации.

Для защиты от утечки информации используется (КриптоПРО CSP Версия 2.0) криптографические средства, обеспечивающие шифрование конфиденциальных данных, хранящихся на жёстких дисках или других носителях. При этом ключ, необходимый для декодирования зашифрованной информации, должен храниться отдельно от данных. Как правило, он располагается на внешнем отчуждаемом носителе, таком как дискета, ключ Touch Memory или USB-носитель. В случае, если нарушителю и удастся украсть носитель с конфиденциальной информацией, он не сможет её расшифровать, не имея соответствующего ключа.

Рассмотренный вариант криптографической защиты не позволяет заблокировать другие каналы утечки конфиденциальной информации, особенно если они совершаются пользователем после того, как он получил доступ к данным. С учётом этого недостатка компанией Microsoft была разработана технология управления правами доступа RMS (Windows Rights Management Services) на основе операционной системы Windows Server 2003. Согласно этой технологии вся конфиденциальная информация хранится и передаётся в зашифрованном виде, а её дешифрование возможно только на тех компьютерах и теми пользователями, которые имеют на это права. Вместе с конфиденциальными данными также передаётся специальный XML-файл, содержащий категории пользователей, которым разрешён доступ к информации, а также список тех действий, которые эти пользователи могут выполнять. Так, например, при помощи такого XML-файла, можно запретить пользователю копировать конфиденциальную информацию на внешние носители или выводить её на печать. В этом случае, даже если пользователь скопирует информацию на внешний носитель, она останется в зашифрованном виде и он не сможет получить к ней доступ на другом компьютере. Кроме того, собственник информации может определить временной период, в течение которого пользователь сможет иметь доступ к информации. По истечении этого периода доступ пользователя автоматически блокируется. Управление криптографическими ключами, при помощи которых возможна расшифровка конфиденциальных данных, осуществляется RMS-серверами, установленными в защите информации.

Для использования технологии RMS на рабочих станциях автоматизированных систем должно быть установлено клиентское программное обеспечение с интегрированной поддержкой этой технологии. Так, например, компания Microsoft встроила функции RMS в собственные клиентские программные продукты - Microsoft Office 2003 и Internet Explorer. Технология RMS является открытой и может быть интегрирована в любые программные продукты на основе набора инструментальных средств разработки RMS SDK.

Ниже приводится обобщённый алгоритм использования технология RMS для формирования конфиденциальной информации пользователем "А" и последующего получения к ней доступа пользователем "Б" (рисунок 6):

Рисунок 6. Схема взаимодействия узлов на основе технологии RMS