Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО "АйТиПартнер" : Диплом по Информационное обеспечение, программирование

Информационное обеспечение, программирование

Дипломы

Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО "АйТиПартнер"

Введение

автоматизированный информационный пользователь безопасность

Актуальность темы дипломной работы определяется постоянным уровнем проблем связанных с информационной безопасностью. Вопрос информационной безопасности - один из основных для любой организации. Для ее реализации требуется совокупность мероприятий, направленных на обеспечение конфиденциальности, доступности и целостности обрабатываемой информации. Таким образом, информационную безопасность следует понимать как комплекс организационных, программных, технических и физических мер, гарантирующих достижение целостности, конфиденциальности и доступности.

Многие угрозы связанные с безопасностью возникают вследствие зависимости организаций от информационных систем и услуг. Взаимодействие сетей общего и частного пользования, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Вопрос эффективности централизованного контроля возникает в связи с тенденцией использования распределенной системой обработки данных.

При проектировании и построении многих информационных систем, довольно часто, вопросы информационной безопасности попросту не учитываются. Уровень безопасности, который достигается только техническими средствами, имеет ряд ограничений и недостатков и, следовательно, должен сопровождаться надлежащими организационными мерами. Для достижения необходимого уровня информационной безопасности требуется реализация комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения.

Информация - это актив организации, который имеет ценность и, следовательно, должен иметь необходимый уровень защиты. Цель информационной безопасности заключается в защите информации от широкого диапазона угроз и обеспечение непрерывности бизнеса, минимизации ущерба и получение максимальной прибыли.

В настоящее время все большее количество организаций уделяет внимание вопросам информационной безопасности. Особенно это касается компаний, занимающихся розничной торговлей, таких как ОАО «АйТиПартнер», так как конфиденциальность, целостность и доступность информации являются важными характеристиками непрерывности бизнеса. Комплекс мер направленный на обеспечение информационной безопасности может существенно повлиять на конкурентоспособность, соответствие законодательству, ликвидность и доходность организации.

Цель дипломной работы состоит в разработке и внедрении комплекса мероприятий по обеспечению информационной безопасности компьютера и предприятия ОАО «АйТиПартнер»

Достижения цели дипломной работы потребовало решения следующих задач:

. Анализ существующих стандартов и подходов в области обеспечения информационной безопасности.

.Определение информационной структуры и анализ информационных рисков в ОАО «АйТиПартнер».

.Разработка комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия ОАО «АйТиПартнер»

.Внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы в ОАО «АйТиПартнер» и анализ результатов внедрения.

Предметом исследования в дипломной работы являются система защиты информационной безопасности компьютерной системы в ОАО «АйТиПартнер».

В ходе дипломной работы использовалась информация из международных и отечественных стандартов в области информационной безопасности.

Теоретическая значимость дипломного исследования состоит в реализации комплексного подхода при разработке мероприятии в области информационной безопасности.

Практическая значимость работы определяется тем, что ее результаты позволяют повысить степень защиты информации в организации путем внедрения организационных и технических мер защиты информации.

Новизна дипломной работы заключается в разработке комплекса методов и средств обеспечения информационной безопасности в организации.

1. Анализ предметной области оао «АйТиПартнёр»

.1 Описание АИС ОАО «АйТиПартнёр»

ОАО «АйТиПартнер» - Компания, специализирующаяся на поставках компьютерной и организационной техники, расходных материалов и комплектующих. В настоящее время компания состоит из центрального офиса и двух розничных магазинов.

Более подробно, структурная схема организации изображена на Рисунке 1.

Рисунок 1-Структурная схема организации

Работа магазинов осуществляется путем подключения с рабочего места к Терминальному серверу (Serv_term) и запуска Бизнес-приложения Axapta.

Данный раздел описывает существующую информационную сеть Центрального офиса организации ОАО «АйТиПартнер» (Рисунок 2).

Основные параметры информационной сети Центрального офиса:

·Рабочая сеть обеспечивает основную бизнес - деятельность сотрудников компании.

·Адресация рабочей сети - 192.168.100.0/24

Схема сети:

Рисунок 2-Схема Локальной сети Центрального офиса

Основные параметры информационной сети Магазина 1:

·Рабочая сеть - обеспечивает основную бизнес-деятельность менеджеров, а так же обеспечивает основную бизнес-деятельность сторонних сотрудников, работу POS-терминалов, универсального места тестирования.

·Адресация рабочей сети - 192.168.100.0/24

·Скорость канала связи до центрального офиса - 100Мбит/с;

Схема сети:

Рисунок 3-Схема Локальной сети Магазина 1

Оборудование локальной сети:

Для подключения клиентов рабочей сети использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 871. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

Основные настройки коммутатора AT-8326GB:

·Имя sw-bk-01;

·IP-адрес 192.168.100.111;

Основные настройки маршрутизатора Cisco 871:

·Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет: Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.

Расширенное описание используемых сервисов:

Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192.168.100.5 и partner.local соответственно. В подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.

Основные параметры информационной сети Магазина 2:

·Рабочая сеть - обеспечивает основную бизнес-деятельность менеджеров, а так же обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования.

·Адресация рабочей сети - 192.168.100.0/24

·Скорость канала связи до центрального офиса - 2048Кбит/с;

Схема сети:

Рисунок 4-Схема Локальной сети Магазина 2

Оборудование локальной сети:

Для подключения клиентов рабочей сети использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 1841.

На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

Основные настройки коммутатора AT-8326GB:

·Имя sw-prmr-01;

·IP-адрес 192.168.100.151;

Основные настройки маршрутизатора Cisco 1841:

·Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет:

Доступ в сеть Интернет для сотрудников организован через прокси-сервер. Учет трафика ведется в головном офисе.

Расширенное описание используемых сервисов:

1.2 Категории информационных ресурсов, подлежащих защите

Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации:

«Строго конфиденциальная» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);

«Конфиденциальная» - к данной категории относится информация, не отнесенная к категории «Строго конфиденциальная», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);

«Открытая» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Сведения составляющие коммерческую тайну:

Клиенты:

Ф.И.О., адрес проживания, данные паспортного и медицинского учета

Персонал:

сведения о работниках, содержащиеся в их личных делах, учетных карточках,

материалы по аттестации и проверкам;

сведения о штатном расписании, заработной плате работников, условиях оплаты труда;

материалы персонального учета работников (Ф.И.О., адрес проживания, состав семьи, домашний телефон, данные паспортного и медицинского учета);

Организационно-распорядительная информация:

должностные инструкции;

внутренние приказы, распоряжения, инструкции; протоколы совещаний и переговоров.

К критическим для ИС объектам можно отнести:

Сервера и хранящаяся на них информация.

Сведения конфиденциального характера (коммерческая, служебная тайны), персональные данные.

Хранящаяся в базе данных информация.

Процедуры доступа к информационным ресурсам.

1.3 Категории пользователей, режимы использования и уровни доступа к информации

Так как в «АйТиПартнёр» проявляется произвольное управление доступом, то все права доступа пользователей устанавливаются администратором. Администратор имеет неограниченные права доступа ко всем компьютерным ресурсам предприятия

Администратор предоставляет директору предприятия права суперпользователя, поэтому директор имеет широкий доступ к документам предприятия, но не имеет доступа к системным ресурсам, к программным файлам и базам паролей.

Главный бухгалтер имеет пользовательский доступ только к документам бухгалтерии.

Сотрудник по работе с кадрами имеет доступ к персональным данным сотрудников компании, а так же к различным кадровым документам.

Менеджеры имеют доступ пользователей только к документам, необходимым для их работы.

Продавцы магазинов имеют пользовательский доступ к документам и программам, позволяющим им осуществлять торговые операции.

2. Анализ политики информационной безопасности ОАО «АйтиПартнёр»

.1 Оценка рисков предприятия

Идентификация ресурсов

Ресурсы - это то, что имеет ценность для организации, ее деловых операций и их непрерывности. Поэтому ресурсы необходимо защищать для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет ресурсов являются жизненно важными и должны являться основной обязанностью для руководства всех уровней.

Важные ресурсы организации должны быть четко идентифицированы и должным образом оценены, а реестры этих ресурсов должны быть собраны вместе и поддерживаться в актуальном состоянии. Объединение похожих или связанных ресурсов в управляемые наборы позволяют облегчить усилия, затрачиваемые на процесс оценки рисков.

Подотчетность за ресурсы позволяет обеспечить поддержание адекватной информационной безопасности. Для каждого из идентифицированных ресурсов или группы ресурсов должен быть определен их владелец, и ответственность за сопровождение соответствующих механизмов безопасности должна быть возложена на этого владельца.

Источники требований:

В любой организации, требования безопасности происходят из трех основных источников:

·Уникальный набор угроз и уязвимостей, которые могут привести к значительным потерям, в случае их реализации.

·Применимые к организации, ее коммерческим партнерам, подрядчикам и сервис провайдерам требования законодательства, нормативной базы и договоров.

·Уникальный набор принципов, целей и требований к обработке информации, который организация разработала для поддержки своих деловых операций и процессов, и который применяется к информационным системам организации.

После того, как требования законодательства и бизнес требования были определены, необходимо рассмотреть их в процессе определения стоимости ресурсов и сформулировать их в терминах конфиденциальности, целостности и доступности.

Определение стоимости ресурсов:

Основные факторы в оценке риска - идентификация и определение стоимости ресурсов, исходя из потребностей бизнеса организации. Для определения требуемого уровня защиты ресурсов, необходимо оценить их стоимость исходя из степени их важности для бизнеса или их ценности для различных возможностей деловой деятельности. Также необходимо учитывать идентифицированные законодательные требования, требования бизнеса и последствия нарушения конфиденциальности, целостности и доступности.

Одним из способов выражения стоимости ресурса является использование последствий для бизнеса, возникающих в отношении ресурса и связанных с ним деловых интересов, которым будет нанесен прямой или косвенный ущерб в результате нежелательных инцидентов, таких как раскрытие, модификация, недоступность и / или уничтожение ресурсов. Эти инциденты могут, в свою очередь, привести к потере дохода или прибыли, поэтому эти соображения должны быть отражены в стоимости ресурсов.

Исходные данные для определения стоимости ресурсов должны быть предоставлены владельцами и пользователями этих ресурсов, которые могут авторитетно рассуждать о стоимости ресурсов и конкретной информации для организации и ее бизнеса. Для того чтобы единообразно определять стоимость ресурсов, должна быть определена шкала стоимости ресурсов.

Для каждого из ресурсов должна быть определена его стоимость, отражающая потенциальные последствия для бизнеса в случае нарушения конфиденциальности, целостности, доступности или любых других важных свойств этого ресурса. Для каждого из этих свойств должно быть определено отдельное значение стоимости, так как они являются независимыми и могут варьироваться для каждого из ресурсов.

Информация и другие ресурсы должны быть соответствующим образом классифицированы в соответствии с идентифицированной стоимостью ресурсов, законодательными и бизнес требованиями и уровнем критичности. Классификация показывает потребность, приоритеты и ожидаемый уровень защиты при обращении с информацией. Определение классификации, а также ее пересмотр с целью предоставления гарантий того, что классификация остается на соответствующем уровне, входит в обязанности владельца ресурса.

Идентификация угроз и уязвимостей:

Ресурсы являются объектом для многих видов угроз. Угроза может стать причиной нежелательного инцидента, в результате которого организации или ее ресурсам будет причинен ущерб. Этот ущерб может возникнуть в результате атаки на информацию, принадлежащую организации, например, приводящей к ее несанкционированному раскрытию, модификации, повреждению, уничтожению, недоступности или потери. Угрозы могут исходить от случайных или преднамеренных источников или событий. При реализации угрозы используется одна или более уязвимостей используемых организацией систем, приложений или сервисов с целью успешного причинения ущерба ресурсам. Угрозы могут исходить как изнутри организации, так и извне.

Уязвимости представляют собой слабости защиты, ассоциированные с ресурсами организации. Эти слабости могут использоваться одной или несколькими угрозами, являющимися причиной нежелательных инцидентов, которые могут привести к потере, повреждению или ущербу для ресурсов и бизнеса организации. Идентификация уязвимостей должна определять связанные с ресурсами слабости в:

·физическом окружении;

·персонале, процедурах управления, администрирования и механизмах контроля;

·деловых операциях и предоставлении сервисов;

·технических средствах, программном обеспечении или телекоммуникационном оборудовании и поддерживающей инфраструктуре.

Оценка угроз и уязвимостей:

После идентификации угроз и уязвимостей необходимо оценить вероятность их объединения и возникновения риска. Это включает в себя оценку вероятности реализации угроз, а также того, насколько легко они могут использовать имеющиеся уязвимости.

Оценка вероятности угроз должна учитывать следующее:

·Преднамеренные угрозы. Вероятность преднамеренных угроз зависит от мотивации, знаний, компетенции и ресурсов, доступных потенциальному злоумышленнику, а также от привлекательности ресурсов для реализации изощренных атак.

·Случайные угрозы. Вероятность случайных угроз может оцениваться с использованием статистики и опыта. Вероятность таких угроз может зависеть от близости организации к источникам опасности, таким как автомагистрали и железнодорожные пути, а также заводы, имеющие дело с опасными материалами, такими как химические вещества или бензин. Вероятность человеческих ошибок (одна из наиболее распространенных случайных угроз) и поломки оборудования также должны быть оценены.

·Прошлые инциденты. Это инциденты, происходившие в прошлом, которые иллюстрируют проблемы, имеющиеся в существующих защитных мерах.

·Новые разработки и тенденции. Это включает в себя отчеты, новости и тенденции, полученные из Интернет, групп новостей или от других организаций, которые помогают оценивать ситуацию с угрозами.

Вероятность реализации угроз должна оцениваться на основе такой оценки и на базе шкалы, выбранной для оценки угроз и уязвимостей. Общая вероятность инцидента также зависит от уязвимостей ресурсов, т.е. насколько легко уязвимости могут быть использованы.

Вычисление и оценивание рисков:

Вычисление уровней рисков производиться путем комбинирования стоимости ресурсов, выражающей вероятные последствия нарушения конфиденциальности, целостности и / или доступности, с оценочной вероятностью связанных с ними угроз и величиной уязвимостей, которые при объединении становятся причиной инцидента.

Организация сама должна определить метод оценки рисков, наиболее подходящий для ее бизнес требований и требований безопасности. Вычисленные уровни рисков позволяют ранжировать риски и идентифицировать те риски, которые являются наиболее проблематичными для организации.

Существуют различные способы установления отношений между стоимостью, присвоенной ресурсам, вероятностью угроз и величиной уязвимостей для получения единиц измерения рисков.

Риск определяется двумя факторами, один их них выражает последствия, наступающие в случае осуществления риска, а другой выражает вероятность того, что это событие может произойти.

Фактор, определяющий последствия риска, основан на определении стоимости ресурса, а вероятностный фактор риска, базируется на угрозах и уязвимостях и их оценочных величинах.

Следующей частью оценивания риска является сравнение вычисленных уровней риска со шкалой уровня риска. Уровни риска должны быть выражены в терминах потерь для бизнеса и времени восстановления, как, например, «серьезный ущерб для бизнеса организации, от которого организация не может восстановиться раньше, чем за полгода». Установление связи между уровнями риска и бизнесом организации необходимо для того, чтобы реалистично оценивать влияние, которое вычисленные риски оказывают на бизнес организации, и доносить смысл уровней риска до руководства.

Оценивание рисков должно также идентифицировать приемлемые в большинстве случаев уровни риска, т.е. те уровни риска, при которых оцениваемый ущерб настолько мал, что организация справляется с ним не прерывая своего повседневного бизнеса, и при которых, поэтому, дальнейшие действия не требуются.

2.2 Анализ информационных рисков

Модель нарушителя:

Модель нарушителя представляет из себя некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе. Чаще всего они подразделяются на внешних, внутренних и прочих (соответственно, категории А, В и C). Однако такое деление не является достаточным. Поэтому ранжирование проводится с диверсификацией указанных категорий на подкатегории.

Таблица 1. Модель нарушителя

ИдентификаторНаименованиеОписание возможностейA1Внешний нарушительB1Внутренний нарушительЛица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к информационному ресурсу.B2Внутренний нарушительЗарегистрированный пользователь информационного ресурса, имеющий ограниченные права доступа к данным.C1Вредоносная программаПрограммные закладки («Троянский конь», специальные программы: клавиатурные шпионы, программы подбора паролей удаленного доступа и др.) Программные вирусы.C2Сбои, отказы оборудования

Ресурсы информационной системы:

В качестве объектов информационной системы, к которым применялся обзор угроз, были выбраны основные компоненты сети:

·Domain Controller

·Exchange

·Сервер БД

·Терминальный Сервер

·Маршрутизатор

·Коммутатор

·Рабочее место центрального офиса

·Рабочее место магазина

·Канал связи

Компьютеры рабочих мест центрального офиса и магазина были объединены в группы Рабочее место центрального офиса и Рабочее место магазина соответственно, в виду схожести рабочих мест, отдельное их рассмотрение нецелесообразно. Также в группы были объединены Маршрутизаторы и Коммутаторы. Для каждого сервера организации составлялся собственный список угроз и оценка рисков.

Был выбран обобщенный список угроз, для их устранения на данном, начальном этапе. Ряд перечисленных угроз включает в себя определенный перечень (BS 7799-3:2006).

Угроза получения полного удаленного контроля над системой включает в себя:

·несанкционированный доступ;

·несанкционированный доступ к журналам аудита;

·присвоение идентификатора пользователя;

·доступ к сети неавторизованных лиц;

Угроза нарушения целостности, правильного функционирования системы включает в себя:

·нарушение целостности;

·ошибки;

·внедрение несанкционированного или не протестированного кода;

·вредоносный код;

Угроза нарушения доступности системы включает в себя:

·отказ в обслуживании, недоступность системных ресурсов, информации;

·уничтожение записей;

·сбой оборудования;

·сбой коммуникационных сервисов;

Физическое повреждение аппаратных средств включает в себя:

·сбой системы кондиционирования воздуха;

·повреждение носителей информации;

·бедствия (стихийные или вызванные действиями людей);

·несанкционированный физический доступ;

·вандализм;

Возможность негласного получения и разглашение (публикация) защищаемой информации включает в себя:

·несанкционированное раскрытие информации.

·утечка информации;

·раскрытие информации;

·раскрытие паролей;

·перехват информации;

·фальсификация записей;

Расчет информационных рисков:

Стоимость ресурса (Asset Value, AV). Характеристика ценности данного ресурса. 1 - минимальная стоимость ресурса, 2 - средняя стоимость ресурса, 3 - максимальная стоимость ресурса.

Мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. 1 - минимальная мера уязвимости, 2 - средняя мера уязвимости, 3 - максимальная мера уязвимости.

Оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени, и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).

На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):

Оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле: SLE = AV x EF;

Итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле: ALE = SLE x ARO.

Конечная формула расчета рисков представляет собой произведение: ALE = ((AV x EF = SLE) x ARO). [17]

Определение значение ущерба и вероятностей производилась техническими специалистами и заместителем директора по информационной безопасности ОАО «АйТиПартнер», в составе 3-х человек.

Таблица 2 - Перечень угроз, представляющих потенциальную опасность для данных

РесурсAVУгрозаМодель нарушителяEFAROSLEALEDomain Controller3Угроза получения полного удаленного контроля над системойA1, B232918Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C233927Угроза нарушения доступности системыA1, B2, C132918Подмена сетевого адреса.A1, B233927Физическое повреждение аппаратных средств.B11133Exchange3Угроза получения полного удаленного контроля над системойA1, B232918Возможность негласного получения и разглашение (публикация) защищаемой информации.A1, B2, C122612Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C233927Угроза нарушения доступности системы.A1, B2, C132918РесурсAVУгрозаМодель нарушителяEFAROSLEALEExchange3Подмена сетевого адресаA1, B233927Физическое повреждение аппаратных средствB11133Сервер БД3Угроза получения полного удаленного контроля над системой.A1, B232918Возможность негласного получения и разглашение (публикация) защищаемой информации.A1, B2, C122612Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C233927Угроза нарушения доступности системы.A1, B2, C132918Подмена сетевого адресаA1, B233927Физическое повреждение аппаратных средствB11133Терминальный Сервер3Угроза получения полного удаленного контроля над системой.A1, B232918Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C232918Угроза нарушения доступности системы.A1, B2, C132918Подмена сетевого адресаA1, B233927Физическое повреждение аппаратных средствB11133Маршрутизатор3Угроза получения полного удаленного контроля над системойA1, B222612Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C222612Угроза нарушения доступности системыA1, B2, C132918Подмена сетевого адреса.A1, B233927Физическое повреждение аппаратных средств.B11133Коммутатор3Угроза получения полного удаленного контроля над системойA1, B222612Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C222612Угроза нарушения доступности системыA1, B2, C132918РесурсAVУгрозаМодель нарушителяEFAROSLEALEКоммутатор3Подмена сетевого адреса.A1, B233927Физическое повреждение аппаратных средств.B11133Рабочее место центрального офиса1Угроза получения полного удаленного контроля над системой.A1, B23236Угроза нарушения целостности, правильного функционирования системы.A1, C1, C23339Угроза нарушения доступности системы.A1, C13236Подмена сетевого адресаA13339Физическое повреждение аппаратных средствA1, B13236Угроза утечки видовой информацииA1, B13236Рабочее место магазина1Угроза нарушения целостности, правильного функционирования системы.A1, C1, C22326Подмена сетевого адресаA13133Физическое повреждение аппаратных средствA1, B12224Угроза утечки видовой информацииA1, B11212Канал связи3Угроза перехвата сетевого трафика с целью дальнейшего анализаA1, C13199Физическое повреждениеA1, C232918

Технические и организационные меры устранения информационных угроз:

Сервера:

Таблица 3-Меры по устранению информационных угроз Серверов

УгрозаТехническое решениеОрганизационное решениеУгроза получения полного удаленного контроля над системойСвоевременное обновление операционной системы Развертывание лицензионного антивирусного ПО Фильтрация сетевого трафика, доверенный список портов. Применение более жестких шаблонов безопасности. Периодическая проверка уровня безопасности (использование специализированных сканеров) Настройка системы обнаружения вторжений (на уровне маршрутизатора cisco)Инструкция по обновлению серверных систем. Инструкция по антивирусной защите серверных систем. Инструкция по парольной защите. Регламент ИБУгроза нарушения целостности, правильного функционирования системы.Своевременное обновление операционной системы Развертывание лицензионного антивирусного ПО Регулярное резервное копирование Тестирование обновлений на специализированных компьютерах для выявления возможных проблемИнструкция по обновлению серверных систем. Инструкция по антивирусной защите серверных систем. Инструкция по резервному копированию серверных систем.Угроза нарушения доступности системыОбеспечение резервного питания. Наличие резервного сервера. Контроль доступа в серверное помещение.Регламент ИБ.Подмена сетевого адреса.Вывод в отдельный сегмент сети. Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций). Portsecurity на коммутаторах ciscoРегламент ИБ.Физическое повреждение аппаратных средств.Контроль температуры, влажности серверного помещения. Обеспечение резервного питания. Контроль доступа в серверное помещение.Инструкция по эксплуатации оборудования Регламент ИБ.Маршрутизатор:

Таблица 4. Меры по устранению информационных угроз Маршрутизаторов

УгрозаТехническое решениеОрганизационное решениеУгроза получения полного удаленного контроля над системойСвоевременное обновление. Вывод управляющего интерфейса в отдельный сегмент сети. Использование ssh. Использование стойких паролей.Инструкция по парольной защите. Регламент ИБ.Угроза нарушения целостности, правильного функционирования системы.Своевременное обновление Регулярное резервное копирование конфигурацииИнструкция по обновлению серверных систем. Инструкция по резервному копированию.Угроза нарушения доступности системыОбеспечение резервного питания. Наличие резервного Маршрутизатора. Резервирование конфигурации оборудования. Контроль доступа.Регламент ИБ.Физическое повреждение аппаратных средств.Обеспечение резервного питания. Контроль доступа.Регламент ИБ.

Коммутатор:

Таблица 5. Меры по устранению информационных угроз Коммутаторов

УгрозаТехническое решениеОрганизационное решениеУгроза нарушения целостности, правильного функционирования системы.Применение ACL листов. Фильтрация трафика по доверенному списку портов. Использование стойких паролей. Внедрение системы аудита.Инструкция по парольной защите. Регламент ИБ.Угроза нарушения доступности системыОбеспечение резервного питания. Наличие резервного Коммутатора. Резервирование конфигурации оборудования. Контроль доступа.Регламент ИБ.Физическое повреждение аппаратных средств.Обеспечение резервного питания. Контроль доступа.Регламент ИБ.

Рабочее место центрального офиса:

Таблица 6. Меры по устранению информационных угроз Рабочих мест центрального офиса

УгрозаТехническое решениеОрганизационное решениеУгроза получения полного удаленного контроля над системойСвоевременное обновление операционной системы. Развертывание лицензионного антивирусного ПО. Настройка персонального межсетевого экрана. Применение политик безопасности.Инструкция по обновлению операционных систем. Инструкция по антивирусной защите. Инструкция по парольной защите. Регламент ИБ.Угроза нарушения целостности, правильного функционирования системы.Своевременное обновление операционной системы. Развертывание лицензионного антивирусного ПО. Регулярное резервное копирование.Инструкция по обновлению операционных систем. Инструкция по антивирусной защите. Инструкция по резервному копированию.Угроза нарушения доступности системыОбеспечение резервного питания. Наличие резервного РМ.Подмена сетевого адреса.Вывод в отдельный сегмент сети. Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций). Настройка аутентификации по протоколу eap на базе сетевого оборудования и рабочих станций. Настройка portsecurity на коммутаторах.Регламент ИБ.Физическое повреждение аппаратных средств.Обеспечение резервного питания. Контроль доступа в помещение.Инструкция по эксплуатации рабочего места.Угроза утечки видовой информацииКонтроль доступа в помещение. Правильное расположение мониторов на рабочих местах. Принудительное включение заставок экранаИнструкция по парольной защите

Рабочее место магазинов:

Таблица 7. Меры по устранению информационных угроз Рабочих мест магазинов

УгрозаТехническое решениеОрганизационное решениеУгроза нарушения целостности, правильного функционирования системы.Своевременное обновление операционной системы Развертывание лицензионного антивирусного ПО Настройка персонального межсетевого экрана. Применение политик безопасности.Инструкция по обновлению операционных систем. Инструкция по антивирусной защите. Инструкция по парольной защите. Подмена сетевого адреса.Вывод в отдельный сегмент сети. Внедрение системы сертификатов (настройка аутентификации на уровне коммутаторов для аутентификации рабочих станций). Настройка аутентификации по протоколу eap на базе сетевого оборудования и рабочих станций. Настройка portsecurity на коммутаторах.Регламент ИБ.Физическое повреждение аппаратных средств.Обеспечение резервного питания.Инструкция по эксплуатации рабочего места.Угроза утечки видовой информацииПравильное расположение мониторов на рабочих местах.Инструкция по парольной защите

Канал связи:

Таблица 8. Меры по устранению информационных угроз Каналов связи

УгрозаТехническое решениеОрганизационное решениеУгроза перехвата сетевого трафика с целью дальнейшего анализаОрганизация IPsec site-to-site vpnРегламент ИБ Инструкция по подключению удаленных мест и филиалов.Физическое повреждениеОрганизация резервного канала связиИнструкция по подключению удаленных мест и филиалов.

.3 Выводы

Была рассмотрена существующая схема организации сети в ОАО «АйТиПартнер». На основе этой схемы были выделены основные ресурсы организации и выполнен анализ рисков.

В ходе проведения анализа рисков были определены следующие, наиболее актуальные, угрозы:

·Угроза получения полного удаленного контроля над системой.

·Угроза нарушения целостности, правильного функционирования системы.

·Угроза нарушения доступности системы.

·Подмена сетевого адреса.

Был предложен ряд мер по снижению возникновения этих угроз:

·Своевременное обновление операционной системы.

·Фильтрация сетевого трафика, доверенный список портов.

·Вывод в отдельный сегмент сети.

·Внедрение системы сертификатов.

·Инструкция по обновлению серверных систем.

·Инструкция по антивирусной защите серверных систем.

·Регламент ИБ.

3. Разработка и внедрение комплекса мероприятий по обеспечению информационной безопасности компьютерной системы и предприятия АИС ОАО «АйТиПартнёр»

Для уменьшения рисков угроз безопасности коммерческой информации в ОАО «АйТиПартнер» необходимо принять следующие меры по защите информации:

1.Изменение информационной сети Центрального офиса - Выведение основных серверов в отдельную подсеть; Выведение рабочих компьютеров сотрудников и принтеров в отдельную подсеть (Рисунок 5).

2.Изменение информационной сети Магазинов - Разделение сети на рабочую и гостевую подсети; настройка ACL листов на маршрутизаторах; обеспечение резервного канала связи.

3.Система цифровых сертификатов - Внедрение сервера сертификатов x. 509; Внедрение Radius сервера для проверки подлинности сертификатов.

4.Организационные меры по защите информации - Описание регламентов информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите.

Рисунок 5-Структурная схема организации

3.1 Проект по изменению информационной сети Центрального офиса

Цель проекта:

В настоящее время в сети ОАО «АйТиПартнер» все сервера, а также компьютеры пользователей и принтеры в центральном офисе компании находятся вместе в одной подсети (192.168.100.0/24). Данное обстоятельство не является обязательным для функционирования рабочих процессов и, кроме того, негативно сказывается на безопасности серверов. Например, включение через патчкорд (через который был подключен принтер или компьютер сотрудника) принесенного «левого» ноутбука позволяет получить последнему по DHCP адрес из подсети, в которой находятся все сервера компании.

Принято решение разработать данный план, согласно которому вывести важные для бизнеса сервера в отдельную подсеть, а также отделить рабочие компьютеры сотрудников и принтеры в отдельную подсеть (Рисунок 6).

Таблица 9-Адресация серверов центрального офиса.

Название сервераТекущий IP-адресНовый IP-адресServ_dc (Domain Controller)192.168.100.5192.168.120.5Serv_exch (Exchange Server)192.168.100.6192.168.120.6Serv_term (Terminal Server)192.168.100.10192.168.120.10Serv_bd (DataBase Server)192.168.100.11192.168.120.11

План разделения на подсети:

Таблица 10-план разделения центрального офиса на подсети.

№ПодсетьСодержимое1vlan100 (DEFAULT) - 192.168.100.0/24Рабочие места2vlan120 (ITNET) - 192.168.120.0/27Новая подсеть для серверовСхема сети:

Рисунок 6-Схема сети центрального офиса

.2 Проект по изменению информационной сети Магазина 1

Цель проекта:

Данный проект предусматривает модернизацию существующей информационной сети, с одновременным решением вопроса безопасности подразделения (Рисунок 7).

В рамках проекта решаются следующие задачи:

·работа сотрудников-менеджеров в бизнес-приложении, осуществление ими рабочей деятельности;

·работа сторонних сотрудников (кредитные инспекторы), их оборудования (POS-терминалы, специализированное ПО);

·повышение безопасности сети путем выделения рабочей и гостевой зон локальной сети;

Наложенные ограничения и условия:

·Необходимость подключения к сети оборудования сторонних сотрудников, универсального места тестирования и связанные с этим риски;

·Скорость основного канала связи до центрального офиса - 100Мбит/с, резервного - 256Кбит/с;

·Из гостевой сети доступны интернет-сервера активации продаваемого ПО, доступ в Интернет через прокси-сервер, доступ до серверов организаций сторонних сотрудников;

Общие принципы организации:

Основная задача, которая решается проектом информационной системы - обеспечить с одной стороны изоляцию рабочей среды от деструктивной активности зараженных или неправильно настроенных рабочих мест, а с другой предоставить максимальный уровень сервиса всем подключенным клиентам системы.

Реализованный вариант информационной системы представляет собой логически (на уровне коммутатора) поделенную на две части сеть:

1.рабочая сеть;

2.гостевая сеть.

Рабочая сеть - обеспечивает основную бизнес-деятельность менеджеров. В рабочую сеть подключается только оборудование Компании.

Гостевая сеть - обеспечивает основную бизнес-деятельность сторонних сотрудников (кредитные инспектора), работу POS-терминалов, универсального места тестирования. Наложенные ограничения - доступ к Интернет через прокси-сервер, доступ к серверам активации продаваемого ПО;

Таблица 11-План разделения Магазина 1 на подсети

Тип сетиАдрес сетиМаршрутизаторРабочая сеть192.168.110.64/255.255.255.224192.168.110.65Гостевая сеть192.168.111.32/255.255.255.240192.168.111.33

Схема сети:

Рисунок 7-Схема Локальной сети и организации связи Магазина 1.

Оборудование локальной сети:

Для подключения клиентов рабочей и гостевой сетей использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 871. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

VLAN 1 - рабочая сеть, адресация: 192.168.110.64/27

VLAN 2 - гостевая сеть, адресация: 192.168.111.32/28

Основные настройки коммутатора AT-8326GB:

·Имя sw-bk-01;

·IP-адрес 192.168.110.66;

·Настройка топологии - VLAN, назначение портов в VLAN;

·Настройка авторизации пользователей - регистрация на сервере RADIUS, определение портов для поддержки авторизации (за исключением устройств, не поддерживающих авторизацию по сертификату);

·Настройка дополнительных параметров - SNMP-community (public), пароля администратора.

Основные настройки маршрутизатора Cisco 871:

1.Настройка ACL для рабочей сети;

2.Применение ACL рабочей сети к sub-интерфейсу с направлением in.

.Настройка ACL для гостевой сети;

.Применение ACL гостевой сети к sub-интерфейсу с направлением in.

.Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет:

Расширенное описание используемых сервисов:

Сервер DHCP: используется ISC dhcpd, установленный на видеосервер. Выдача IP-адресов выполняется в рабочей и гостевой подсетях. При выдаче IP-адресов для клиентов рабочей сети адрес DNS-сервера и DNS-префикс выдается 192.168.120.5 и partner.local соответственно. При выдаче IP-адресов для клиентов гостевой сети адрес DNS-сервера 192.168.120.5. В каждой подсети на уровне DHCP-сервера устанавливается резервирование и привязки IP-адресов согласно адресному плану.

.3 Проект по изменению информационной сети Магазина 2

Цель проекта:

Данный проект предусматривает модернизацию существующей информационной сети, с одновременным решением вопроса безопасности подразделения (Рисунок 8).

В рамках проекта решаются следующие задачи:

·работа сотрудников-менеджеров в бизнес-приложении, осуществление ими рабочей деятельности;

·работа сторонних сотрудников (кредитные инспекторы), их оборудования (POS-терминалы, специализированное ПО);

·повышение безопасности сети путем выделения рабочей и гостевой зон локальной сети;

Наложенные ограничения и условия:

·Скорость основного канала связи до центрального офиса - 100Мбит/с, резервного - 256Кбит/с;

Общие принципы организации:

3.рабочая сеть;

4.гостевая сеть.

Рабочая сеть обеспечивает основную бизнес-деятельность менеджеров. В рабочую сеть подключается только оборудование Компании.

Таблица 12-План разделения Магазина 2 на подсети.

Тип сетиАдрес сетиМаршрутизаторРабочая сеть192.168.110.128/255.255.255.224192.168.110.129Гостевая сеть192.168.111.16/255.255.255.240192.168.111.17

Схема сети

Рисунок 8-Схема Локальной сети и организации связи Магазина 2

Оборудование локальной сети:

Для подключения клиентов рабочей и гостевой сетей использован управляемый коммутатор AT-8326GB (24+2 порта), trunk-порт (26) подключен к маршрутизатору Cisco 1841. На кассовых рабочих местах и рабочих местах менеджеров устанавливаются тонкие клиенты Норма. На рабочее место администратора устанавливается рабочая станция. Работа фискальных регистраторов на кассовых рабочих местах производится через IP-Serial конвертеры, порты которых терминируются на терминальном сервере.

VLAN 1 - рабочая сеть, адресация: 192.168.110.128/27

VLAN 2 - гостевая сеть, адресация: 192.168.111.16/28

Основные настройки коммутатора AT-8326GB:

·Имя sw-prmr-01;

·IP-адрес 192.168.110.130;

·Настройка топологии - VLAN, назначение портов в VLAN;

·Настройка дополнительных параметров - SNMP-community (public), пароля администратора.

Основные настройки маршрутизатора Cisco 1841:

6.Настройка ACL для рабочей сети;

7.Применение ACL рабочей сети к sub-интерфейсу с направлением in.

.Настройка ACL для гостевой сети;

.Применение ACL гостевой сети к sub-интерфейсу с направлением in.

.Настройка QoS с выделением классов бизнес-трафика.

Доступ в сеть Интернет:

Расширенное описание используемых сервисов:

3.4 Внедрение системы цифровых сертификатов

Формат сертификатов открытых ключей X.509:

Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документе RFC 3280 Certificate & CRL Profile организации инженерной поддержки Интернета Internet Engineering Task Force (IETF). В настоящее время основным принятым форматом является формат версии 3, позволяющий задавать дополнения, с помощью которых реализуется определенная политика безопасности в системе.

Описание:

Сертификат открытого ключа подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата. В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

·серийный номер сертификата Certificate Serial Number;

·идентификатор алгоритма подписи Signature Algorithm Identifier;

·имя издателя Issuer Name;

·период действия Validity (Not Before/After);

·открытый ключ субъекта Subject Public Key Information;

·имя субъекта сертификата Subject Name.

Под субъектом сертификата понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения.

Дополнения сертификата:

Дополнения позволяют включать в сертификат информацию, которая отсутствует в основном содержании. В дополнениях содержится технологическая информация, позволяющая проверить подлинность сертификата.

Опциональное поле «Extensions» появляется в сертификатах третьей версии. Каждое дополнение состоит из идентификатора типа дополнения Extension identifier, признака критичности Criticality flag и собственно значения дополнения Extension value.

Дополнения сертификатов X.509 определены рекомендациями Х.509 версии 3 Международного Союза по телекоммуникациям и документом RFC 3280. Все эти дополнения можно разделить на две категории: ограничивающие и информационные. Первые ограничивают область применения ключа, определенного сертификатом, или самого сертификата. Вторые содержат дополнительную информацию, которая может быть использована в прикладном программном обеспечении пользователем сертификата. К ограничивающим дополнениям относятся:

·основные ограничения (Basic Constraints);

·назначение ключа (Key Usage);

·расширенное назначение ключа (Extended Key Usage);

·политики применения сертификата (Certificates Policies, Policy Mappings, Policy Constraints);

·ограничения на имена (Name Constraints).

К информационным дополнениям относятся:

·идентификаторы ключей (Subject Key Identifier, Authority Key Identifier);

·альтернативные имена (Subject Alternative Name, Issuer Alternative Name);

·пункт распространения списка аннулированных сертификатов (CRL Distribution Point, Issuing Distribution Point);

·способ доступа к информации УЦ (Authority Access Info). [22]- Сервер:

Аббревиатура RADIUS расшифровывается как Remote Authentication Dial-In User Service (Служба удаленной аутентификации входящих пользователей). Изначально концепция RADIUS состояла в обеспечении удаленного доступа через коммутируемое телефонное соединение. Сейчас же протокол RADIUS используется для авторизации, аутентификации и учета пользователей в различных системах (в том числе и беспроводных). Протокол RADIUS полностью абстрагирован не только от технологии связи, но и от протоколов передачи данных в сети, в которой происходит авторизация. Фактически функция сервера RADIUS сводится к тому, что сервер принимает информацию, которую пользователь сети предоставляет в процессе аутентификации, и авторизует пользователя. Использование сервера RADIUS не может сделать безопаснее сам процесс передачи данных в сети, оно может обезопасить только процесс передачи данных в ходе аутентификации. После того как процесс авторизации пользователя в сети завершился, сервер RADIUS ему больше не нужен, по крайней мере, до тех пор, пока пользователю не понадобится снова авторизоваться в системе.сновные составные части службы RADIUS описываются двумя RFC от IETF: RFC 2865 под названием Remote Authentication Dial-In User Service (RADIUS) в форме проекта стандарта и RFC 2866 под названием RADIUS Accounting в виде «информационного RFC».

Концепция службы идентификации удаленных пользователей подразумевает, что клиент отсылает серверу RADIUS параметры доступа пользователя (в англоязычной документации они часто называются Credentials, т.е. мандат, куда, к примеру, входят его настройки безопасности и права доступа), а также параметры соответствующего соединения. Для этого клиент использует специальный формат, так называемый RADIUS-Message (сообщение RADIUS). В ответ сервер начинает проверку, в ходе которой он аутентифицирует и авторизует запрос клиента RADIUS, а затем пересылает ему ответ - RADIUS-Message-response. После этого клиент передает на сервер RADIUS учетную информацию (Рисунок 9).

Рисунок 9-Процесс аутентификации 802.1x EAP-TLS

Сами по себе сообщения RADIUS передаются в форме пакетов UDP. Причем информация об аутентификации направляется на порт UDP с номером 1812. Некоторые серверы доступа используют, однако, порты 1645 (для сообщений об аутентификации) или, соответственно, 1646 (для учета) - выбор должен определять своим решением администратор. В поле данных пакета UDP всегда помещается только одно сообщение RADIUS. В соответствии с RFC 2865 и RFC 2866 определены следующие типы сообщений:

·Access-Request - «запрос доступа». Запрос клиента RADIUS, с которого начинается собственно аутентификация и авторизация попытки доступа в сеть;

·Access-Accept - «доступ разрешен». С помощью этого ответа на запрос доступа клиенту RADIUS сообщается, что попытка соединения была успешно аутентифицирована и авторизована;

·Access-Reject - «доступ не разрешен». Этот ответ сервера RADIUS означает, что попытка доступа к сети не удалась. Такое возможно в том случае, если пользовательских данных недостаточно для успешной аутентификации или доступ для пользователя не авторизован;

·Access-Challenge - «вызов запроса». Сервер RADIUS передает его в ответ на запрос доступа;

·Accounting-Request - «запрос учета», который клиент RADIUS отсылает для ввода учетной информации после получения разрешения на доступ;

·Accounting-Response - «ответ учета». Таким образом сервер RADIUS реагирует на запрос учета и подтверждает факт обработки запроса учета.

Сообщение RADIUS всегда состоит из заголовка и атрибутов, каждый из которых содержит ту или иную информацию о попытке доступа: например, имя и пароль пользователя, запрашиваемые услуги и IP-адрес сервера доступа. Таким образом, главной задачей атрибутов RADIUS является транспортировка информации между клиентами, серверами и прочими агентами RADIUS. Атрибуты RADIUS определены в нескольких RFC: RFC 2865, RFC 2866, RFC 2867, RFC 2868, RFC 2869 и RFC 3162.

Для защиты сообщений клиент и сервер RADIUS обладают «общим секретом» или, проще говоря, ключом. При этом речь, как правило, идет о цепочке символов, имеющейся как на серверах, так и на клиенте RADIUS.

Протоколы аутентификации:

В настройках клиентского ПО беспроводной сети можно обнаружить аббревиатуры EAP, EAP-TLS, PEAP-MSCHAP-V2 и другие. Они обозначают различные протоколы аутентификации. Так, EAP (Extensible Authentication Protocol, Расширяемый протокол аутентификации) представляет собой контейнер для протоколов, фактически осуществляющих передачу запросов на аутентификацию и ответов аутентификатора. Поскольку EAP абстрагирован от конкретных процедур аутентификации, сетевое оборудование, поддерживающее EAP, тоже не связано с какими-либо конкретными протоколами.

Компания Microsoft разработала на основе EAP протокол EAP-TLS, принятый позднее в качестве стандарта. Протокол EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) реализует двустороннюю аутентификацию с использованием сертификатов X.509 обеими сторонами. PEAP (Protected Extensible Authentication Protocol) представляет собой расширение протокола EAP. В отличие от EAP, протокол PEAP создает безопасный туннель перед началом процесса аутентификации. Далее по этому туннелю передаются данные для аутентификации. Наличие безопасного туннеля затрудняет перехват данных злоумышленником. Как и EAP, PEAP представляет собой контейнер для высокоуровневых протоколов аутентификации, в которых аутентификация выполняется с помощью имени учетной записи и пароля. Еще один протокол, EAP-TTLS, также использует безопасные туннели для передачи данных. Как и в EAP-TLS, в EAP-TTLS реализована двусторонняя аутентификация (сервер удостоверяет себя с помощью сертификата X.509).

Расширенный протокол аутентификации (EAP):

Расширенный протокол аутентификации (Extensible Authentication Protocol, EAP) изначально задумывался как дополнение к РРР для поддержки различных механизмов аутентификации доступа к сети. Протоколы аутентификации для РРР, определяют механизм аутентификации во время фазы установления соединения. На этом этапе необходимо применять согласованный протокол аутентификации, с целью «верификации» соединения. В данном случае речь идет о заранее определенной последовательности сообщений, причем они должны отсылаться в соответствии с заданной схемой, а точнее, в указанной очередности.

При использовании EAP в процессе установления соединения в рамках РРР специальный механизм аутентификации не определяется. Лишь на этапе аутентификации участники взаимодействуют по специальной схеме аутентификации EAP, обозначаемой также как «схема типа EAP».

ЕАР позволяет осуществлять обмен сообщениями между клиентом, запрашивающим доступ, и аутентифицирующим сервером (в его роли часто выступает сервер RADIUS). При этом обмен сообщениями может варьироваться с учетом особенностей различных соединений; он состоит собственно из запросов, в которых требуется предоставление информации об аутентификации, а также из соответствующих ответов. Длительность и конкретные детали сеанса аутентификации зависят от заданной схемы EAP.

В архитектурном плане ЕАР задумывался таким образом, чтобы аутентификацию можно было выполнять с помощью подключенных модулей с обеих сторон соединения: от клиента и от сервера. Если библиотечный файл ЕАР установить на обоих концах, то в любой момент можно применить новую схему аутентификации. Тем самым ЕАР предоставляет гибкую среду для внедрения безопасных методов аутентификации.

ЕАР удобен при таких видах аутентификации, как токены (Generic Token Card), однократные пароли (One Time Password), запрос / ответ (MD5-Challenge) или защита на транспортном уровне (Transport Level Security). Кроме того, эта концепция открыта для применения лучших технологий аутентификации в будущем. Однако ЕАР используется не только вместе с РРР. Он, помимо всего, поддерживается на канальном уровне стандарта IEEE 802. [23]

Установка сервера Сертификатов и RADIUS-сервера:

Установка производится на ОС Ubuntu. Пакеты freeradius, openssl и сопутствующие зависимости.

3.5 Внедрение организационных мер по защите информации

Требования к политике безопасности:

В политике безопасности определяются цели процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса.

Политика безопасности предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности описывается разделение обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании.

Кроме этого, присутствуют основные этапы процессного подхода к обеспечению безопасности. В частности, каждое правило политики последовательно проходит этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без документирования всех процедур, так как правильность и контролируемость выполнения процедуры зависит от наличия четко сформулированных правил ее выполнения.

В политике безопасности требуется кратко описать правила, выполнение которых является основой обеспечения и управления информационной безопасностью. В частности, следует создать правила, описывающие такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее. В описании правил должно даваться четкое определение, на что это правило распространяется, а также должны быть описаны условия, при которых это правил подлежит выполнению.

В политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также, в соответствии с договором, на сторонних лиц, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.

Вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть возможность пересмотра политики безопасности.

Поскольку политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью, при описании правил следует указывать на необходимость создания регламентов и руководств, в которых процесс выполнения описываемых процедур изложен подробно.

Таким образом, в политике безопасности описываются все необходимые требования, для обеспечения и управления информационной безопасности, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании должна достигнуть требуемого уровня, сотрудники должны осознавать свою роль и участие в процессе обеспечения безопасности. Следование правилам позволит гарантировать, что требуемые информационные ресурсы будут доступны в необходимые моменты времени, а изменения в структуре информационной системы будут вноситься только уполномоченными сотрудниками.

Этапы создания политики безопасности

.Определить, какие объекты необходимо защищать и почему. В роли объектов защиты могут выступать: аппаратные средства, программное обеспечение, средства доступа к информации, люди, внутренние коммуникаций, сети, телекоммуникации и так далее.

.Разработка структуры политики безопасности. Политика безопасности должна быть разбита на логически самостоятельнее разделы, каждый из которых посвящен отдельному аспекту защиты. Такая структура позволяет проще понимать и внедрять политику безопасности, а также становится проще ее корректировать. Обязательно должен присутствовать раздел описывающий ответственность за нарушение правил безопасности. Данный раздел, возможно, следует проработать с юристом. Формулировки в тексте политики безопасности должны быть четкими, коротко изложенными. Подробному описанию структуры политики безопасности посвящен следующий параграф.

.Проведение всестороннего исследования архитектуры ИС. Лучший способ это сделать - оценка рисков, анализ рисковых ситуаций или всесторонний аудит системы. Лучше если такое исследование будет проводиться сторонней организацией. В любом случае при разработке правил безопасности первоначальное обследование объекта проводится разработчиком политики безопасности еще на первом этапе, с последующим более детальным изучением совместно с сотрудником в чьем ведении находится данный объект с целью возможной корректировки правил.

.Критическая оценка политики безопасности и ее утверждение. В критике должны принимать участие руководители департаментов и отделов имеющие непосредственное отношение к разрабатываемым правилам, а также юристы т.к. в процессе рецензирования должны рассматриваться не только технические, но и юридические аспекты безопасности. Процесс утверждения представляет собой простое одобрение руководством окончательной версии документа. Утверждение должно состояться после рецензирования. Однако если руководство не утвердит этот документ, его эффективность будет крайне ограничена.

Структура политики безопасности

Общие положения

В данной части следует описать цели создания политики безопасности, область действия данной политики, кратко описать, о чем идет речь в документе.

Описание информационной системы

Необходимо определить задачи, которые выполняет информационная система в компании, дать определение, что является ее составными частями.

Правила

Основная часть политики безопасности, содержащая правила которые следует соблюдать сотрудникам компании. Эта часть должна быть разбита на самостоятельные разделы, касающиеся отдельных аспектов обеспечения информационной безопасности. Структурированный подход к написанию данного раздела позволит сотрудникам четко понимать, что от них требуется в отдельных случаях, а также будет способствовать процессу сопровождения политики.

Обработка инцидентов безопасности

В первую очередь в данном разделе следует описать, что является инцидентом безопасности, а также описать порядок действия сотрудников в случае возникновения инцидентов, и обозначить необходимость назначения сотрудников ответственных за реагирование на инциденты и их регистрацию.

Ответственность

Любой нормативный документ вряд ли будет иметь реальную силу, если в нем не будет предусмотрена ответственность за те или иные нарушения положений, прописанных в нем. Тоже касается и политики безопасности. Должно быть четко определено, за что сотрудник несет ответственность, работая в компании, однако, не стоит переписывать в данный раздел меры предусмотренные законодательством.

.6. Внедрение системы защиты конфиденциальной информации в ОАО «АйТиПартнер»

Первый этап - Изменение информационной сети Магазина 1, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе реализации были выполнены следующие задачи:

)Перекоммутация рабочих мест.

)Составление плана коммутации рабочих мест.

)Изменение настроек DHCP-сервера и настройка DHCP-привязок.

)Изменение списков доступа на маршрутизаторе gw-bk-01 согласно изменениям.

)Разделение рабочих мест на vlan1 и vlan2 и проверка связи.

Второй этап - Изменение информационной сети Магазина 2, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе реализации были выполнены следующие задачи:

)Перекоммутация рабочих мест.

)Составление плана коммутации рабочих мест.

)Изменение настроек DHCP-сервера и настройка DHCP-привязок.

)Изменение списков доступа на маршрутизаторе gw-prmr-01 согласно изменениям.

)Разделение рабочих мест на vlan1 и vlan2 и проверка связи.

Третьим этапом происходило изменение информационной сети Центрального офиса, целью которого являлась модернизация существующей информационной сети, с одновременным решением вопроса безопасности подразделения. В ходе работы было выполнено следующее:

)Перекоммутация серверов и рабочих мест пользователей.

)Составление плана коммутации серверов и рабочих мест пользователей.

)Перенос DHCP-привязок из 100-й сети в 120-ю с сохранением последнего октета адреса (например 192.168.100.99 -> 192.168.120.99)

)Изменение списков доступа на маршрутизаторе gw-tyumen-01 согласно изменениям.

)Переписывание IP-адресов серверов согласно новой адресации.

)Перевод портов с серверами в vlan120 и проверка связи

Четвертым этапом производилось внедрение системы сертификатов с целью ограничения доступа к локальной сети (к подключению допускаются только корпоративные компьютеры и ноутбуки с установленными сертификатами, подписанными корневым сертификатом Компании):

)Установка и настройка Сервера Сертификатов.

)Установка и настройка RADIUS-Сервера.

)Генерация корневого сертификата компании и генерация на его базе сертификатов пользователей.

)Установка сертификатов на Рабочие места пользователей.

Пятым этапом, было внедрение организационные меры по защите информации - Составление регламента информационной безопасности; составление инструкции по парольной защите; составление инструкции по антивирусной защите; с целью определения принципов и механизмов функционирования системы защиты информации.

Проблемы и сложности, с которыми столкнулись, в ходе внедрения системы защиты конфиденциальной информации:

·При разделении сети на подсети основной проблемой была сложность составления корректного access-list, после применения которого, было бы разрешено то, что требуется для работы. Так, например, некоторые пользовательские компьютеры обращались напрямую к SQL-серверу, что запрещено политикой безопасности и требовало либо перенастройки рабочей станции, либо корректировки access-list. Также можно отметить рабочие станции сторонних работников (кредитных инспекторов), которые обращаются к банковским серверам в Интернете. При внедрении списков доступа требовалось дополнительное согласование с тех. службой каждого конкретного банка о требуемых для работы IP-адресах.

·Проблемы с сертификатами на рабочих станциях, возникали из-за неоднородности программного обеспечения и операционных систем, установленных на рабочих местах.

·Для реализации системы сертификатов в локальной сети потребовалось составить полный план коммутации центрального офиса, после чего постепенно переводить порты конкретных пользователей в режим авторизации dot1x.

Также как и анализ информационных рисков, оценка результатов внедрения системы защиты конфиденциальной информации, проводилась техническими специалистами и заместителем директора по информационной безопасности ОАО «АйТиПартнер», в составе 3-х человек.

В ходе оценки было установлено:

Таблица 13-Перечень угроз, представляющих потенциальную опасность для данных

РесурсAVУгрозаМодель нарушителяEFAROSLEALEСервера3Угроза получения полного удаленного контроля над системойA1, B23199Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C232918Угроза нарушения доступности системыA1, B2, C13199Подмена сетевого адреса.A1, B23199Физическое повреждение аппаратных средств.B11133Возможность негласного получения и разглашение (публикация) защищаемой информации.A1, B2, C12166Маршрутизатор3Угроза получения полного удаленного контроля над системойA1, B22166Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C222612Угроза нарушения доступности системыA1, B2, C13199Подмена сетевого адреса.A1, B233927Физическое повреждение аппаратных средств.B11133Коммутатор3Угроза получения полного удаленного контроля над системойA1, B22166Угроза нарушения целостности, правильного функционирования системы.A1, B2, C1, C22166Угроза нарушения доступности системыA1, B2, C13199РесурсAVУгрозаМодель нарушителяEFAROSLEALEКоммутатор3Подмена сетевого адреса.A1, B233927Физическое повреждение аппаратных средств.B11133Рабочее место центрального офиса1Угроза получения полного удаленного контроля над системой.A1, B23133Угроза нарушения целостности, правильного функционирования системы.A1, C1, C23133Угроза нарушения доступности системы.A1, C13133Подмена сетевого адресаA13133Физическое повреждение аппаратных средствA1, B13133Угроза утечки видовой информацииA1, B13133Рабочее место магазина1Угроза нарушения целостности, правильного функционирования системы.A1, C1, C22122Подмена сетевого адресаA13133Физическое повреждение аппаратных средствA1, B12122Угроза утечки видовой информацииA1, B11111Канал связи3Угроза перехвата сетевого трафика с целью дальнейшего анализаA1, C13199Физическое повреждениеA1, C23199

За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Серверов:

·Своевременное обновление операционной системы

·Развертывание лицензионного антивирусного ПО

·Фильтрация сетевого трафика.

·Периодическая проверка уровня безопасности

·Инструкция по антивирусной защите серверных систем.

·Инструкция по парольной защите.

·Регламент ИБ

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Серверов:

·Своевременное обновление операционной системы

·Развертывание лицензионного антивирусного ПО

·Регулярное резервное копирование

·Инструкция по антивирусной защите серверных систем.

·Инструкция по резервному копированию серверных систем.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Серверов:

·Обеспечение резервного питания.

·Наличие резервного сервера.

·Контроль доступа в серверное помещение.

·Регламент ИБ.

За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Серверов:

·Вывод в отдельный сегмент сети

·Внедрение системы сертификатов

·Регламент ИБ.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Серверов:

·Контроль температуры, влажности серверного помещения.

·Обеспечение резервного питания.

·Контроль доступа в серверное помещение.

·Регламент ИБ.

За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Маршрутизаторов:

·Вывод управляющего интерфейса в отдельный сегмент сети.

·Использование ssh.

·Инструкция по парольной защите.

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Маршрутизаторов:

·Своевременное обновление

·Регулярное резервное копирование конфигурации.

·Инструкция по резервному копированию.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Маршрутизаторов:

·Обеспечение резервного питания.

·Наличие резервного Маршрутизатора.

·Резервирование конфигурации оборудования.

·Контроль доступа.

·Инструкция по резервному копированию.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Маршрутизаторов:

·Обеспечение резервного питания.

·Контроль доступа.

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Коммутаторов:

·Применение ACL листов.

·Фильтрация трафика по доверенному списку портов.

·Использование стойких паролей.

·Инструкция по парольной защите.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Коммутаторов:

·Обеспечение резервного питания.

·Наличие резервного Коммутатора.

·Резервирование конфигурации оборудования.

·Контроль доступа.

·Регламент ИБ.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Коммутаторов:

·Обеспечение резервного питания.

·Контроль доступа.

За счет следующих мер, удалось снизить угрозу получения полного удаленного контроля над системой для Рабочих мест:

·Своевременное обновление операционной системы.

·Развертывание лицензионного антивирусного ПО.

·Применение политик безопасности.

·Инструкция по антивирусной защите.

·Инструкция по парольной защите.

·Регламент ИБ.

За счет следующих мер, удалось снизить угрозу нарушения целостности, правильного функционирования системы для Рабочих мест:

·Своевременное обновление операционной системы.

·Развертывание лицензионного антивирусного ПО.

·Инструкция по антивирусной защите.

За счет следующих мер, удалось снизить угрозу нарушения доступности системы для Рабочих мест:

·Обеспечение резервного питания.

·Наличие резервного Рабочего места.

За счет следующих мер, удалось снизить угрозу подмены сетевого адреса для Рабочих мест:

·Вывод в отдельный сегмент сети.

·Внедрение системы сертификатов

·Регламент ИБ.

За счет следующих мер, удалось снизить угрозу физического повреждения аппаратных средств для Рабочих мест:

·Обеспечение резервного питания.

·Контроль доступа в помещение.

За счет следующих мер, удалось снизить угрозу утечки видовой информации для Рабочих мест:

·Контроль доступа в помещение.

·Правильное расположение мониторов на рабочих местах.

·Принудительное включение заставок экрана

За счет следующих мер, удалось снизить угрозу перехвата сетевого трафика с целью дальнейшего анализа для Каналов связи:

·Организация IPsec site-to-site vpn

·Регламент ИБ

·Инструкция по подключению удаленных мест и филиалов.

За счет следующих мер, удалось снизить угрозу физического повреждения для Каналов связи:

·Организация резервного канала связи

·Инструкция по подключению удаленных мест и филиалов.

В данной главе для уменьшения рисков угроз безопасности коммерческой информации в ОАО «АйТиПартнер» было предложено принять следующие меры по защите информации:

1.Изменение информационной сети Центрального офиса.

2.Изменение информационной сети Магазинов.

3.Внедрение системы цифровых сертификатов.

4.Внедрение организационных мер по защите информации.

Впоследствии, эти меры системы защиты конфиденциальной информации были успешно внедрены в ОАО «АйТиПартнер».

Был проведен повторный анализ рисков и описан список мер приведших к снижению тех или иных угроз.

4. Экономическая эффективность проекта

.1 Стоимость информационных ресурсов

Для определения стоимости информационных ресурсов требуются данные категорирования ресурсов компании. Где владельцы ресурсов и руководство определяют стоимость информации хранящейся на информационных ресурсах компании (Табл.3).

Таблица 3 - Стоимость информационных ресурсов

Информационный ресурсМесто хранения (сервер)Стоимость, (руб.).Персональные данные сотрудников1,2500 000Внутренние приказы, распоряжения, инструкции;3300 000Сведения об организации технологического (производственного) процесса;4100 000

4.2 Расчет вероятности реализации угроз, действующих через уязвимости

Для определения вероятностей были привлечены несколько экспертов - сотрудники отдела информационных технологий.

Уровень угрозы - общая вероятность реализации угрозы на рассматриваемый ресурс. Уровень угрозы складывается из двух параметров:

вероятность реализации данной угрозы (P(V));

вероятность того, что реализация угрозы повлияет на рассматриваемый ресурс;

На выходе мы получаем суммарную вероятность реализации по каждому ресурсу (Табл. 4).

Таблица 4 - Уровень ущерба

РесурсОбщий уровень угроз по ресурсуСервер 1,20,742763588Сервер 3,40,433854907

4.3 Расчет необходимых затрат на усовершенствование информационной безопасности (Табл. 5).

Таблица 5 - Расчёт затрат

РешениеЦенаОписаниеViPNet Safe Disk4071Программа ViPNet Safe Disk предназначена для организации безопасного хранения конфиденциальной информации на компьютере пользователя. В процессе работы программа создает защищенные файлы - контейнеры. Файлы - контейнеры представляются пользователю в виде логических дисков операционной системы Windows. Вся информация, которая хранится на этих логических дисках, хранится в зашифрованном виде. При чтении данных с таких дисков они автоматически расшифровываются, а при сохранении зашифровываются. Этот процесс происходит прозрачно для пользователя.ViPNet Personal Firewall1500Personal Firewall позволяет защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа при работе в Интернет или локальной сети.Всего5600

Теперь можно рассчитать остаточные риски путем повторной оценки рисков после внедрения комплекса мероприятий.

Таким образом, получаем следующие результаты (Табл. 6,7):

Таблица 6 - результат внедрения

РесурсМаксимальный ущерб по ресурсу (тыс. руб.)Уровень угрозы по всем уязвимостямРиск по ресурсу (тыс. руб.)Сервер 15000,742763588371,350Сервер 24000,433854907173,52Всего544,87Таблица 7 - результат внедрения

РесурсОстаточный уровень угрозы по всем уязвимостямОстаточный риск по ресурсу (тыс. руб.)Сервер 10,438768827169,933Сервер 20,28790896149,956Всего219,889

Заключение

В работе была рассмотрена информационная структура организации ОАО «АйТиПартнер» и сделан вывод о том, что информация организации не является защищенной должным образом. От степени защищенности информационной системы компании напрямую зависит доходность, конкурентоспособность и соответствие законодательству. Из этого следует, что для организации решение вопроса связанного с информационной безопасностью является необходимостью и для решения данного вопроса необходима разработка и внедрение системы защиты информации.

Был проведен анализ рисков, в ходе которого были выявлены основные потенциальные угрозы. Предложены технические и организационные меры по снижению информационных рисков и повышению информационной безопасности в целом.

В процессе написания работы был выполнен ряд проектов по изменению информационной структуры предприятия, а также разработан ряд руководящих документов - Регламент информационной безопасности, Инструкция антивирусной защиты, Инструкция парольной защиты.

Таким образом, выполнены начальные шаги по созданию системы защиты информации в ОАО «АйТиПартнер»:

-проведена первоначальная оценка ресурсов и анализ рисков.

-выполнен ряд проектов по изменению информационной структуры ОАО «АйТиПартнер»;

- для уменьшения риска угрозы получения полного удаленного контроля над системой приняты следующие решения: Своевременное обновление операционных систем, Развертывание лицензионного антивирусного ПО, Фильтрация сетевого трафика, Инструкция по антивирусной защите.

для уменьшения риска угрозы нарушения целостности, правильного функционирования системы приняты следующие решения: Своевременное обновление операционных систем, Развертывание лицензионного антивирусного ПО, Регулярное резервное копирование, Инструкция по антивирусной защите, Инструкция по парольной защите.

для уменьшения риска угрозы нарушения доступности системы приняты следующие решения: Обеспечение резервного питания, Наличие резервного оборудование, Контроль доступа, Регламент ИБ.

для уменьшения риска угрозы подмена сетевого адреса приняты следующие решения: Разделение на сегменты сети, Внедрение системы сертификатов, Регламент ИБ.

Список использованной литературы

1.ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;

2.ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;

.ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

.Стандарт Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федирации»;

5.ISO/IEC 17799:2005. Information technology. Security techniques. Code of practice for information security management. - ISO: 2005;

.BS 7779-3:2006 «Системы управления информационной безопасностью. Часть 3: Руководство по управлению рисками информационной безопасности»;

.Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.:ООО «ТИД ДС», 2001. - 688 с.;

.Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему. 1997;

.Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000;

.Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: Компания АйТи, 2006. - 400 с.;

.Петренко С.А., Петренко А.А. Аудит безопасности IntraNet. - М.: ДМК Пресс, 2002.;

.Скот Бармен. Разработка правил информационной безопасности. Вильямс, 2002, -208 с.;

.Смит Р.Э. Аутентификация: от паролей до открытых ключей. Вильямс, 2002, -432 с.;

.ISO27000.ru - русскоязычный информационный портал, посвященный вопросам управления информационной безопасностью. URL: http://www.iso27000.ru/, 2009;

.Михаил Брод. Демилитаризация локальной сети. URL: http://hostinfo.ru/articles/487, 2004;

16.Владимир Ульянов. Анализ рисков в области информационной безопасности. URL: http://www.pcweek.ru/themes/detail.php? ID=103317, 2007;

.Павел Покровский. Защита информации: Анализ рисков. URL: http://www.ot.ru/press20041106.html, 2004;

18.Олег Бойцев. Многофакторный анализ рисков информационной безопасности. Подходы и методы. URL: http://www.nestor.minsk.by/kg/2008/44/kg84403.html, 2008;

.Как самому написать концепцию информационной безопасности. URL: http://linuxportal.ru/entry.php/P2734_0_3_0/, 2007;

20.Искандер Конеев. Политики информационной безопасности. URL: http://www.osp.ru/cio/2007/11/4569379/, 2007;

21.Андрей Платонов. Строим защищенную беспроводную сеть: WPA-Enterprise, 802.1X EAP-TLS. URL: http://www.samag.ru/cgi-bin/go.pl? q=articles; n=05.2005; a=03, 2005;

22.Формат сертификатов открытых ключей X.509. URL: http://www.inssl.com/x509-open-key-specifications.html

23.Роберт Шотт. О Radius подробно. URL: http://www.osp.ru/lan/2003/01/137078/_p1.html, 2003;

24.DMZ (компьютерные сети) // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)

.Серия ISO 27000 // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/Серия_ISO_27000

.RADIUS // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/RADIUS

.FreeRADIUS // wikipedia.org - свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/FreeRADIUS

Больше работ по теме:

Информационная система отдела кадров
Диплом
Разработка и внедрение модуля интеграции 1с 7.7 и "Joomla VirtueMart" для предприятия ООО "Вазаро"
Диплом
Разработка и внедрение программного обеспечения на примере компании TOO "Illustrate studio"
Диплом
Информационная система отслеживания игроков букмекерской конторы
Диплом
Разработка и внедрение сайта транспортной компании ООО "ТрансЭнергоСервис"
Диплом

Предмет: Информационное обеспечение, программирование

Тип работы: Диплом

Новости образования

Российский государственный социальный университет реорганизует сеть своих филиалов
22 Июля 2016 16:26
Более 70 представителей крупных вузов АСЕАН подтвердили участие в форуме во Владивостоке
22 Июля 2016 12:51
Абызов: публикация первичных статсведений снизит бюрократическую нагрузку на школы
22 Июля 2016 11:53
В Чечне свыше 200 школьников сдали ЕГЭ с результатом свыше 90 баллов - министр
22 Июля 2016 05:36
Замглавы Минобрнауки РФ: задача сократить число людей с высшим образованием не стоит
21 Июля 2016 20:19

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ