Защита информационной среды на предприятии

ЗАКЛЮЧЕНИЕ
В дипломной работе был проведен анализ исходной защищенности информационной среды рекламного агентства «Констракт-регион», оценены угрозы и риски информационной безопасности. В результате анализа выявлено, что система защиты информационной среды исследуемого предприятия нуждается в модернизации в части обеспечения безопасного функционирования Web-ресурсов.
Вопросы безопасности при доступе к Web-ресурсам остаются актуальными, так как распределенная среда предоставляет широкий круг возможностей реализации атак. Web-серверы – это современные технологии, основанные на виртуализации и сетецентрическом взаимодействии. При решении о разработке собственных Web-ресурсов и организации доступа к ним руководители предприятий должные обязательно учитывать проблему защиты информации. Значимос ...

СОДЕРЖАНИЕ
Введение 6
1. Информационная среда и способы ее защиты 8
1.1 Информационная среда предприятия. Назначение, объекты, характеристики 8
1.2 Проблемы защиты информационной среды на предприятии. Анализ и оценка рисков 11
1.2.1 Классификация угроз безопасности информационной среды предприятия 11
1.2.2. Анализ и оценка рисков при доступе к Web-ресурсам 15
1.3 Методы защиты информационной среды предприятия 21
2. Разработка системы защиты информационной среды рекламного агентства "Констракт-регион" 27
2.1 Анализ исходной защищенности информационной среды рекламного агентства "Констракт-регион" 27
2.1.1 Анализ существующей системы защиты информационной среды рекламного агентства "Констракт-регион" 27
2.1.2 Особенности размещения и защиты Web-ресурсов рекламного агентства "Констракт-регион" 35
2.1.3 Обоснование необходимости разработки системы защиты Web-ресурсов 37
2.2 Практическая реализация мер защиты Web-ресурсов рекламного агентства "Констракт-регион" 39
2.2.1 Построение модели потенциального нарушителя безопасности 39
2.2.2 Реализация законодательных и морально-этических мер защиты информационной среды 41
2.2.3 Реализация организационных мер защиты информационной среды 46
2.2.4 Реализация программно-аппаратных мер защиты информационной среды 49
3. Расчет экономической эффективности внедрения системы защиты информационной среды рекламного агентства "Констракт-регион" 65
3.1 Выбор и обоснование методики расчёта экономической эффективности 65
3.2 Расчёт показателей экономической эффективности проекта 68
Заключение 73
Список литературы 74

ВВЕДЕНИЕ
На сегодняшний день применение средств вычислительной техники стало обычным явлением, начиная от домашних компьютеров для общения и развлечения, заканчивая автоматизированными системами с огромными массивами информации различного значения. Современные условия вынуждают предприятия и компании использовать информационные системы для обеспечения эффективного выполнения процессов, значительно ускоряя и облегчая работу сотрудников предприятия. При этом основные проблемы защиты информационной среды возникают из-за того, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи, тем самым подвергая информационную систему как внешним, так и внутренним угрозам со стороны нарушителей.
Решение проблем защиты информационной сре ды предприятия может быть получено на базе использования криптографических методов. Преобразования данных с помощью криптографии это гибкое и эффективное средство для обеспечения их конфиденциальности, целостности и подлинности. От широкого спектра потенциальных угроз методы криптографии в совокупности с необходимыми техническими и организационными мероприятиями обеспечивают высокий уровень защиты.
Применение только аппаратуры шифрования не решает в полной мере задач защиты информации, т.к. сохраняется потенциальная возможность утечки при передаче данных по открытым каналам телекоммуникационных сетей. Этот вывод можно сделать, проведя анализ трактов прохождения информации на объектах обработки информации.
Актуальность данной работы обусловлена необходимостью разработки новых алгоритмов защиты информационной среды предприятия, позволяющих в совокупности с традиционными решать задачу защиты информации.
Методы и средства защиты информации рассмотрены в работах российских и зарубежных авторов. Среди них следует отметить труды таких авторов, как В. А. Хорошко, А. А. Чекатков, М. Кобб, М. Джост, И.Ш. Килясханов, Ю.М. Саранчук. В литературе выделяют различные способы защиты информации. Среди них можно выделить: физические (препятствие); законодательные; управление доступом; криптографическое закрытие. Перечисленные методы будут рассмотрены в данном исследовании.
Объектом исследования является информационная среда предприятия.
Предмет исследования – процесс проектирования системы защиты информационной среды предприятия.
Целью дипломной работы является разработка системы защиты информационной среды предприятия на примере рекламного агентства «Констракт-регион»
Для достижения поставленной цели в работе решались следующие задачи:
1. На основе теоретического анализа литературы выявить основные способы защиты информационной среды предприятия. Провести их анализ и выявить недостатки.
2. Провести анализ известных мер по обеспечению безопасности информационной среды предприятия. Указать основные проблемы способов совершенствования защиты информации.
3. Провести анализ существующей системы защиты информации в рекламной агентстве «Констракт-регион».
4. Выработать рекомендации по практической реализации мер обеспечения защиты информационной среды рекламного агентства «Констракт-регион».
5. Обосновать экономическую эффективность проекта.

То есть необходимо говорить и об обеспечении безопасности взаимодействия со сторонними организациями, и собственного информационного хранилища. Так как удаленное хранение данных в рассматриваемой организации получило свое распространение не так давно, то меры по защите Web-ресурсов еще недостаточно проработаны.Таким образом, можно сделать вывод о наличии в рекламном агентстве "Констракт-регион" достаточно функциональной системы защиты информационной среды. Однако как динамично развивающаяся компания, агентство имеет собственные Web-ресурсы, защита которых не реализована в полной мере. Соответственно, дальнейшее исследование будет посвящено вопросам разработке рекомендаций по защите Web-ресурсов как одного из компонентов информационной среды.2.1.3 Обоснование необходимости разработки системы защиты Web-ресурсовСогласно статистическим исследованиям в 2014 году большая часть атак при доступе к Web-ресурсам была направлена на базы данных (SQL- и NoSQL-инъекции). В результате успешной атаки нарушитель получает доступ к базе данных.Второе место в данном исследовании занимают атаки на клиентов. Они считаются менее опасными, так как направлены на конкретного пользователя или их группу, а не сервер целиком. Полная статистика представлена на рисунке 8Рисунок 8. Статистика совершения атак в 2014 годуКоличество атак каждый месяц увеличивается, но это, прежде всего, связано с подключением новых клиентов. Еще одна причина роста числа атак на Web-ресурсы – допущение ошибок при разработке и администрировании ресурсов.Выделим самые распространенные проблемы взлома Web-ресурсов:Отсутствие защиты у второстепенных элементов ресурсов.Несвоевременное обновление программного обеспечения.Заражение вредоносными программами компьютеров пользователей, имеющих необходимые ключи доступа.Ошибочная публикация учетных записей в открытом доступе.Разработка слабой парольной политики.Уязвимости в программном коде.Перечислим объекты атак в порядке убывания популярности для злоумышленников:Платежные системы и банки.Электронная коммерция.Средства массовой информации.Игровая индустрия.Рекламные сети.Отметим, что для эффективной реализации защиты при доступе к Web-ресурсам следует строить комплексную систему, которая должна обеспечивать надежное шифрование и передачу файлов, доступ к ним только авторизированных пользователей, изолированных друг от друга, а также содержать инструменты обнаружения атак и средства оповещения пользователей.2.2 Практическая реализация мер защиты Web-ресурсов рекламного агентства «Констракт-регион»2.2.1 Построение модели потенциального нарушителя безопасностиДля построения эффективной системы защиты доступа к Web-ресурсам необходима разработка модели нарушителя.Федеральная служба по техническому и экспертному контролю (ФСТЭК) предлагает следующую модель нарушителя безопасности (см. рис.9)Рисунок 9. Модель нарушителя безопасности Внешние нарушители (или нарушители категории I) не имеют права доступа в контролируемую зону информационной системы. Внутренние нарушители (II категория) такого права не имеют. К первой категории относят и лиц второй группы, если в момент совершения атаки они находятся за пределами контролируемой зоны.Составим модель нарушителя в свете применения Интернет - технологий.Отметим, что деление на внешних и внутренних нарушителей будет условным, так как в глобальной сети отсутствует понятие границы или периметра. Будем считать персонал провайдера и пользователей Web-ресурсов внутренними нарушителями, а операторов связи и пользователей телекоммуникационных сетей – внешними. Описание нарушителей и их потенциально возможных вредоносных действий представлены в таблице 3Таблица 3.Потенциальные нарушители безопасности персональных данных в облачных сервисахНарушительВозможные угрозыПерсонал провайдераИз-за ошибочных действий или целенаправленно могут нанести урон безопасности персональных данных через организацию несанкционированного доступа.Пользователей Web-ресурсовВозможны неправомерные действия в отношении информационных ресурсов других потребителей.Пользователи телекоммуникационных сетейДействия нарушителя могут быть направлены на незаконное получение данных, передаваемых по каналам связи.Оператор связиОператор связи может реализовать угрозы доступности информационных ресурсов, а также осуществить перехват передаваемых данныхНа рисунке 10 представлена обобщенная модель нарушителя безопасности доступа к Web-ресурсам.Рисунок 10. Модель нарушителя безопасности доступа к Web-ресурсам2.2.2 Реализация законодательных и морально-этических мер защиты информационной средыПравовое регулирование вопросов защиты Web-ресурсов можно разделить на несколько направлений (см. рис. 11).Рисунок 11. Правовое регулирование вопросов защиты Web-ресурсовРассмотрим действующие в РФ нормативно-правовые акты, регулирующие сферы деятельности по перечисленным направлениям.Защита персональных данныхВ настоящее время в России участились случаи неправомерного использования персональных данных, расширился круг способов их незаконного получения и распространения.В Российской Федерации основным законодательным актом по защите персональных данных является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».В нем прописаны принципы осуществления обработки информации ограниченного доступа, в частности персональных данных, обязанности оператора, осуществляющего такую обработку, а также права субъекта персональных данных. Данным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. Согласно тексту данного закона, основной его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 22 мая 2013 года официально опубликован Приказ ФСТЭК России от 18.02.2013 № 21  «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», вступивший в силу 1 июня 2013 года.  Принятие данного акта существенно снижает затраты операторов персональных данных на достижение соответствия процессов обработки информации предъявляемым требованиям. Опишем алгоритм защиты персональных данных в соответствии с Приказом ФСТЭК №21:Выбор базовых набор мер из предложенных в приложении к Приказу, которые должны быть сопоставимы с уровнем защищенности персональных данных.Адаптация набора под информационную систему персональных данных.Дополнение мерами необходимыми для нейтрализации угроз, смоделированных оператором, и предусмотренными требованиями прочих документовПриказ ФСТЭК №21 реализует процессный подход к обеспечению защиты персональных данных; актуализирует требования с учетом современных технологий; исключает обязательную сертификацию средств защиты информации; предоставляет возможность адаптации обязательных мер по защите персональных данных к требованиям конкретной системы.В заключении отметим, что список документов в области защиты персональных данных довольно обширен и подробное их изучение выходит за рамки нашего исследования.Защита интеллектуальной собственностиИнтеллектуальная собственность заключается в исключительном праве, закрепленном законом, на результат интеллектуальной деятельности. Согласно 4 части Гражданского кодекса РФ, интеллектуальной собственностью являются, в числе прочего, произведения науки, литературы и искусства; программы для электронно- вычислительных машин; базы данных (см. рис. 12). Таким образом, объектами защиты могут стать отдельные элементы Web-ресурсов (произведения), программные коды Интернет-сайтов (программы для ЭВМ), совокупность информационных элементов (база данных).Рисунок 12. Объекты авторского праваИспользование контента (содержимого Web-ресурса), дизайна или других объектов возможно только с разрешения правообладателя. За присвоение авторства (плагиат) предусмотрена уголовная ответственность. Но следует отметить, что необходимо подтвердить факт такого нарушения, доказательствами которого могут служить обнаружение элементов на сайте на определенную дату или принадлежность домена потенциальному нарушителю. Еще одна рекомендация – правильное составление и оформление документов, подтверждающих права юридического лица на контент. Такими документами могут стать лицензионное соглашение, документы о выплате гонораров, трудовые договора и т.д.Правовое регулирование в сфере доменных именДоменная система имен служит инструментом сопоставления абстрактного символьного имени конкретному IP-адресу в сети. В качестве домена можно использовать короткое словесное обозначение (например, фрагмент названия товарного знака).Реализация угроз в сфере доменных имен возможна со стороны так называемых киберсквоттеров. Их деятельность направлена на регистрацию доменных имен, им не принадлежащих, с целью дальнейшей перепродажи или неправомерного использования. Конфликты в «доменной сфере» разворачиваются в основном вокруг известных фирменных знаков и торговых марок.Правовое решение проблемы борьбы с злоумышленниками – киберсквоттерами основывается на следующих нормативно-правовых документах:Гражданский кодекс РФ - в 54 статье сказано, что юридическое лицо имеет исключительное право использования фирменного наименования.Федеральный закон РФ «О государственной регистрации юридических лиц» - в 5 статье указано, что в государственном реестре должны содержаться сведения и документы о юридическом лице, в том числе фирменное наименование.Федеральный закон РФ "О ратификации Сингапурского договора о законах по товарным знакам" – вводит понятия «товарный знак» и «знак обслуживания».2.2.3 Реализация организационных мер защиты информационной средыОрганизационные (административные) меры и методы защиты - это меры и методы организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности.Возможно четыре варианта размещения Web-ресурсов - на виртуальных серверах в дата-центрах, аренда сервера, размещение сервера в дата-центре или на специализированном сервере организации. (4 варианта)В первых трех случаях организационные меры защиты основаны на формулировке прав и обязанностей сторон – провайдеров (поставщики услуг) и конечных пользователей (потребители). Анализ Интернет-источников показал, что современные поставщики услуг облачных вычислений предлагают клиентам следующие соглашения:SLA - формальный договор между заказчиком услуги и ее поставщиком. Нужен для согласования аспектов предоставления услуги.NDA -  соглашение о конфиденциальности.Договор-поручение оператора. В договоре между провайдером и заказчиком должны быть зафиксированы правовые ограничения, основа которых состоит в том, что поставщик услуги обязан гарантировать использование всех ресурсов, предоставленных ему заказчиком, исключительно для оказания услуг этому заказчику. Кроме того, должны быть четко прописаны регламенты работы с Web-ресурсами, определяющие процедуру доступа к ним персонала провайдера и ограничения по внесению изменений в конфигурацию.Стоит отметить и необходимость разделения ответственности между клиентом и провайдером. Так, в обязанности поставщика входит контроль и обеспечение работоспособности инфраструктуры, предоставляющей сервис. Потребитель должен обеспечивать эксплуатацию сервиса и защиту рабочих мест.Второй вариант (размещение ресурсов на специализированном сервере организации) подразумевает разработку концепции безопасности владельцем Web-ресурсов. Организационные меры заключаются в разработке таких документов, как должностные инструкции для пользователей и обслуживающего персонала; правила администрирования компонентов системы; правила учета, хранения, распространения и уничтожения носителей секретной информации; правила идентификации пользователей;план действий в случае выявления попыток несанкционированного доступа к ресурсам системы, выхода со строя средств защиты, возникновении чрезвычайной ситуации;инструкции по обучению пользователей правилам информационной безопасности.Выделим принципы организационной защиты информации:Комплексный подход (необходимо комплексное принятие всех возможных организационных мер).Оперативность принятия решений (владелец Web-ресурсов должен оперативно решать задачи информационной безопасности).Персональная ответственность (каждый из сотрудников компании обязан нести персональную ответственность за своевременность и эффективность принятия мер по обеспечению информационной безопасности).Таким образом, практические рекомендации при принятии организационных мер защиты при доступе к Web-ресурсам заключаются в следующем:В случае использования услуг Дата-центров:Для согласования условий предоставления услуг по хранению ресурсов заключить договор между компанией и провайдером, в котором указать обязанности поставщика по обеспечению сохранности ресурсов и недопустимости несанкционированного доступа.Составить соглашение о конфиденциальности, в котором предусмотреть правила работы с данными для персонала провайдера.Разработать регламент работы с Web-ресурсами, в котором определить процедуру внесений в них изменений.В случае организации хранения Web-ресурсов на специализированном сервере:Разработать должностные инструкции для персонала компании, имеющих доступ к Web-ресурсам.Составить правила администрирования компонентов корпоративной сети.Определить правила идентификации пользователей Web-ресурсов.Подготовить инструкции для персонала в случае непредвиденных ситуаций.Проводить систематические инструктажи по эффективному обеспечению информационной безопасности.2.2.4 Реализация программно-аппаратных мер защиты информационной средыТехнические меры защиты разделяются на два класса:Ограничение и контроль физического доступа к объектам информационных систем и его техническим средствам (совместно с организационными мерами).Использование программных, программно-аппаратных и аппаратных средств для защиты информации в информационных системах.К техническим мерам можно отнести следующие технологии:Сетевое экранирование.Обнаружение и предотвращение вторжений.Системы предотвращения утечки информации.Защита от вредоносного программного обеспечения.Средства идентификации и аутентификации.Сетевое экранированиеБрандмауэр (сетевой экран) – комплекс аппаратно-программных средств для осуществления контроля и фильтрации проходящих через него сетевых пакетов в соответствии с заданными правилами. Брандмауэр нового поколения – это технология сетевой безопасности, в состав которой входит полный набор средств для проверки и предотвращения проникновений, проверки на уровне приложений и точного управления на основе политик. Реализация брандмауэров возможна как на программном, так и на аппаратном уровне. В первом случае необходима более длительная установка и настройка, второй вариант более прост в использовании, но требует больших материальных затрат.Главным параметром является надёжность сетевого экрана, степень предоставления защиты и способность отражать различные атаки и угрозы. Немаловажным также является удобство использования брандмауэра, простота настройки параметров, требования к производительности и степень загрузки ресурсов компьютера во время работы. В рамках исследования сетевых экранов были проведены их испытания и сравнение.Тест брандмауэров проводился по следующим группам внутренних атак, для наглядности разбитых на уровни сложности:I. Базовый уровень сложности (56 вариант атак): 1. Поверка защиты процессов от завершения (41 вариант атак);2. Защита от стандартных внутренних атак (15 вариантов атак).II. Повышенный уровень сложности (8 вариантов атак):1. тестирование защиты от нестандартных утечек (3 варианта атак);2. тестирование защиты от нестандартных техник проникновения в режим ядра (5 вариантов атак).Тестирование проводилось на популярных сетевых экранах (таблица 4).Таблица 4.БрандмауэрыКомпанияПродуктAvast SoftwareAvast! Internet SecurityAVGAVG Internet SecurityBitDefenderBitDefender Internet SecurityComodoComodo Internet SecurityDr.WebDr.Web Security SpaceEset Eset Smart SecurityKaspersly LabKaspersky Internet SecurityMcAfeeMcAfee Internet SecurityAgnitumOutpost Security Suite ProTrend MicroTrend Micro Titanium Internet SecuritySymantecNorton Internet SecurityВ таблице 5 приведена платформа для тестирования сетевых экранов.Таблица 5.Платформа для проведения тестаПроцессорDualCore Intel Core 2 Duo E8400, 3000 MhzМатеринская платаGygabyte GA-G31MF-S2BидеокартаNVIDIA GeForce 9600 GTОперативная память4096 MBЖeсткий дискWDC WD2500JS-22NCB1Сеть100mbit/sec Ethernet (NVIDIA nForce Networking Controller)Операционная системаWindows 7 Enterprise SP1Установленные программыMicrosoft Visual C++ 2010 x86 RedistributableMicrosoft Office 2007 Enterprise (Русская Версия)Denwer3_Base_PHP52_2012-09-16_a2.2.22_p5.2.12_zendoptimizer_m5.5.25_pma3.5.1_xdebug.exeРезультаты теста приведены в таблице 6.Таблица 6.Результаты теста брандмауэровПротестированный продуктАтаки базового уровня сложностиАтаки повышенного уровня сложностиВсего балловВсего %Баллы%% от суммыБаллы%% от суммыComodo56100%87,5%8100%12,5%64100%BitDefender56100%87,5%8100%12,5%64100%Kaspersky5395%82,8%788%10,9%6094%Norton50,590%78,9%8100%12,5%58,591%Outpost4988%76,6%5,569%8,6%54,585%Eset4988%76,6%5,569%8,6%54,585%Dr.Web46,583%72,7%563%7,8%51,580%Trend Micro4377%67,2%338%4,7%4672%Avast4173%64,1%1,519%2,3%42,566%AVG4173%64,1%00%0,0%4164%McAfee4173%64,1%00%0,0%4164%Из таблицы 6 видно, что наилучшим решением для организации защиты при доступе к Web-ресурсам будет использование брандмауэров Comodo и Bitdefender. Так же оптимальным будет и выбор в пользу Kaspersky, Norton, Outpost, Eset и Dr.WebОбнаружение и предотвращение вторженийСистема обнаружения вторжений (СОВ) (англ. IntrusionDetectionSystem (IDS)) представляет собой программное или аппаратное средство, которое обнаруживает события несанкционированного проникновения (вторжения или сетевой атаки) в компьютерную систему или сеть.Без IDS становится немыслима инфраструктура сетевой безопасности. Дополняя межсетевые экраны, которые функционирую на основе правил безопасности, IDS осуществляют мониторинг и наблюдение за подозрительной активностью. Они позволяют выявить нарушителей, проникших за межсетевой экран, и сообщить об этом администратору, который, примет необходимое решение для поддержания безопасности. Методы выявления вторжений не гарантируют полную безопасность системы.