Глава 2 РАЗРАБОТКА ПОЛИТИКИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ СТРОИТЕЛЬНОЙ КОМПАНИИ
2.1 Политика информационной безопасности в строительной компании
Политика информационной безопасности определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в компании [32].
Основными объектами системы информационной безопасности в компании являются: информационные ресурсы, необходимые для работы. Информация предприятия как ресурс имеет очень большое значение для стабильного развития компании. А стабильное развитие компании – это благополучие ее сотрудников, поэтому информацию необходимо подвергать тщательной защите. И данную защиту возможно осуществить согласно политике информационной безопасности; информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал; информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения.
Как строится система информационной безопасности крупных компаний
Основной целью политики информационной безопасности является защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители,
31 процессы обработки и передачи, а также минимизация уровня операционного и других рисков [32].
Кроме того, целями информационной безопасности компании являются: защита экономических данных компании; защита данных о разработках проектов; защита конфиденциальности информации клиентов и сотрудников; соответствие веб — сервисов, автоматизированных систем и внутренних сетей стандартам защиты информации; защита имущества предприятия.
Для достижения основной цели обеспечения информационной безопасности необходимо решить следующие задачи [32]: своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений; создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации; защиту от вмешательства в процесс функционирования информационной системы посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи); разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам, то есть защиту от несанкционированного доступа; обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
Информационная безопасность в строительстве, ИБ в строительной компании
32 защиту от несанкционированной модификации используемых программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы; защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи; обеспечение криптографических средств защиты информации.
Решение обозначенных задач может быть достигнуто: строгим учетом всех подлежащих защите ресурсов (информации о клиентах, автоматизированных рабочих мест сотрудников); учет всех действий сотрудников, осуществляющих обслуживание и модификацию программных и технических средств корпоративной информационной системы; разграничением прав доступа к ресурсам в зависимости от решаемых задач сотрудниками; четким знанием и строгим соблюдением всеми сотрудниками требований организационно-распорядительных документов по вопросам обеспечения безопасности информации; персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей; применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования.
Данная политика распространяется на всех сотрудников предприятия и требует полного исполнения. Данная политика укрепляет общую политику безопасности компании. Весь персонал должен быть ознакомлен и подотчетен за информационную безопасность в отношении своих должностных полномочий.
Генеральный директор отвечает за обеспечение соответствующей проработки информации во всей организации. Каждый начальник отдела отвечает за то, чтобы сотрудники, работающие под его руководством,
33 осуществляли защиту информации в соответствии со стандартами организации.
Начальник отела безопасности информирует группу руководителей высшего звена, оказывает консультативную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности.
Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.
Таким образом, определены основные задачи по организации политики информационной безопасности в строительной компании и пути их решения.
2.2 Организационные меры обеспечения политики информационной
безопасности предприятия
При построении информационной безопасности предприятия используются международные стандарты информационной безопасности ISO
17799 («Нормы и правила при обеспечении безопасности информации»).
Данные стандарты описывают рекомендации общего характера по обеспечению информационной безопасности, обеспечивающие основной уровень информационной безопасности систем. В стандарте ISO 17799 описаны нормы, которые необходимо изучить и учесть при создании политики информационной безопасности и проектировании конкретных мер обеспечения защиты данных.
Стандарт ISO 17799 состоит из разделов, регламентирующих многие направления обеспечения безопасности информационных систем: политика информационной безопасности регламентирует важность поддержки руководством компании утвержденной системы организации информационной безопасности; рекомендации по политике информационной безопасности предприятия описываются в разделе организационные вопросы; меры обеспечения информационной безопасности описаны в разделе классификация информационных ресурсов; воздействие человеческого фактора и нормы, разработанные для уменьшения риска безопасности, описаны в разделе управление персоналом;
34 реализация физической безопасности регламентирует действия по обеспечению безопасности компонентов информационной системы; действия при работе с серверами, рабочими станциями и т.д. описаны в разделе администрировании информационных систем; необходимость разграничения прав при работе с информацией регламентирует управление доступом; основные рычаги информационной безопасности систем описывает раздел разработки и сопровождения информационных систем; постоянная работа предприятия без перерывов описывает термин обеспечения непрерывности бизнеса; общие требования к политике информационной безопасности описывает термин обеспечения соответствия предъявляемым требованиям.
Политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена [32].
Политика информационной безопасности должна быть частью более общей документированной политики. Если политика информационной безопасности распространяется за границы организации, должны быть приняты меры для предотвращения раскрытия конфиденциальной информации.
Степень информационной безопасности предприятия определяется правилами соблюдение политики информационной безопасности. Для компании политика информационной безопасности представлена следующими нормативными документами:
1. Приказ №214-BS «Об административной защите предприятия».
Данный приказ регламентирует применение административных мер в целях предотвращения утечек информации.
2. Приказ
№332-AD
«О создании службы информационной безопасности».
35 3. Приказ №322-AG «О соблюдении информационной безопасности в офисах и на объектах проведения работ».
4. «Рекомендации по повышению качества информационной безопасности».
Данные нормативные документы полностью регламентируют правила использования компьютерной техники и информационных ресурсов с точки зрения политики информационной безопасности предприятия.
2.3Аппаратные и программные средства обеспечения информационной
безопасности в строительной компании
Электронные и электронно-механические устройства, входящие в состав технических средств охраны, являются аппаратными средствами обеспечения информационной безопасности. Аппаратные средства, работающие вместе с программными средствами или самостоятельно, выполняют задачи необходимые для построения информационной безопасности. Электронные и электронно-механические устройства являются аппаратными средствами обеспечения информационной безопасности. а не инженерно-техническими средствами, если они в обязательном порядке входят в состав технических средств политики информационной безопасности.
Аппаратными средствами политики информационной безопасности являются: устройства ввода биометрических данных распознавания; устройства идентификации сотрудника; устройства кодирования информации; электронные замки и блокираторы, не дающие бесконтрольно включать рабочие станции.
К вспомогательным средствам защиты информации относятся: средства уничтожения магнитных носителей и информации на них;
36 средства сигнализации, предупреждающие о несанкционированных действиях пользователей.
К программным средствам защиты информации относятся программы, входящие в состав программного обеспечения, необходимого для защиты данных. К данным средствам защиты информации возможно отнести: программы распознавания пользователей; программы определения зоны доступа к ресурсу; программы криптографической защиты информации; программное обеспечение: баз данных, компьютерных средств; программы, защищающие информацию от незаконного доступа и копирования.
Идентификация пользователей в политике информационной безопасности понимается как 100% определение индивидуального и уникального имени пользователя, а аутентификация служит для того, чтобы определить 100% принадлежность пользователю представленного имени.
Как пример программ, помогающих в защите информации, могут выступать: программы удаления оставшейся информации (во временных файлах, оперативной памяти и т.д.); аудиторские программы событий, которые описывают произошедшие угрозы, журналы регистрации событий, которые могут представляться как доказательство произошедших угроз; программы, создающие возможные события, при которых осуществляется имитация работы с нарушителем; программы тестирования защищенности.
Для защиты локальной вычислительной сети необходимо пользователей разделить на группы с соответствующими правами:
1.
Administrator – администраторы сети (создание и управление политиками информационной безопасности, глобальные настройки сети и т.д.).
37 2.
Manager – учётные запись для повседневного обслуживания информационно-вычислительной техники.
3.
User – учётная запись стандартного пользователя (сотрудника компании) с ограниченными правами.
4.
Security – ограниченная учёная запись (в случае необходимости доступа не сотрудников организации).
Для идентификации пользователя требуется ActiveDirectory на базе сетевой операционной системы, где для каждого пользователя должна быть создана уникальная запись, и каждая запись была включена в соответствующую группу. Тем самым осуществляется разграничение доступа
(табл. 2.1)
Таблица 2.1 – Группы пользователей и их права
Действия
Security
User
Manager
Administrator
Создание и изменения групп пользователей
Нет
Нет
Нет
Да
Изменение настроек сети
Нет
Нет
Нет
Да
Подключение к сети новых рабочих станций
Нет
Нет
Нет
Да
Изменение настроек серверов Нет
Нет
Нет
Да
Изменение прав доступа к каталогам и резервным копиям
Нет
Нет
Нет
Да
Установка приложений
Нет
Нет
Да
Да
Доступ в Интернет
Нет
Да
Да
Количество трафика (в месяц) 0 100 1000 1000
Возможность скачивать файлы
Нет
Нет
Да
Да
Запись
Только в
«Мои документы»
«Мои документы»,
«Рабочий стол»,
«Для всех»,
«Сетевая»
Любая папка на локальном компьютере
Любая папка на любом компьютере в сети.
39
Продолжение таблицы 2.1
Подключение внешних флеш- дисков, Внешних дисков.
Нет
Нет
Да
Да
Подключение CD/DVD-ROM,
Флоппи-диска
Нет
Нет
Да
Да
Использование ICQ
Нет
Да
Да
Да
Доступ к FTP
Нет
Нет
Нет
Да
Доступ к POP3
Нет
Да
Да
Да
Доступ к SMTP
Нет
Да
Да
Да
Доступ к SSL
Нет
Да
Да
Да
Доступ к SOCKS
Нет
Нет
Нет
Да
Для снижения уязвимости программных средств было решено оценить степень подготовки операционных систем. Для этого были приняты следующие меры:
1.
Произведена замена устаревших операционных систем на новые операционные системы;
2.
Там, где замена операционных систем нецелесообразна, произведено обновление существующих операционных систем путём установки сервис — паков последних версий.
Для повышения качества антивирусной защиты было принято решение внедрить более совершенный антивирус. Контроль интернет — трафика будет осуществляться при помощи прокси-сервера, который одновременно будет служить и фаерволом.
Можно сделать вывод, что по отдельности программный комплекс и аппаратный комплекс мало эффективны, поэтому необходимо два этих рычага защиты информации использовать вместе, тем самым получив программно- аппаратный комплекс. Поэтому считаю необходимым рассмотреть структуру программно-аппаратного комплекса, используемого для обеспечения информационной безопасности данных в организации.
40
2.4 Комплекс программно-аппаратных средств обеспечения
информационной безопасности в строительной компании
Программно-аппаратный комплекс – это набор технических и программных средств, работающих совместно для выполнения одной или нескольких сходных задач [31].
Программный комплекс на данном предприятии включает следующие компоненты: операционная система Windows XP, антивирус Dr. Web Enternet
Security. В программном комплексе парольная защита организована стандартным разграничением доступа пользователей Windows, передача данных осуществляется в интернет без использования защищенного соединения по технологии VPN. Для более расширенного функционирования комплекса на сервере необходимо произвести: настройку межсетевого экрана, установку прокси сервера, установку почтового сервера.
Аппаратный комплекс на предприятии представлен: персональные электронные вычислительные машины Office Cor 2 duo E7500, а также Celeron 430;
Hub Dlink DES — 1005D/E; принтеры HP DeskJet 2050; сканеры Genius G Pen.
Программный и аппаратный комплекс являются одним рабочим комплексом, именуемый в дальнейшем программно-аппаратный комплекс. Для понимания сущности программно-аппаратного комплекса, предлагаемого для строительной организации, рассмотрим его структуру, представленную на рисунке 2.1.
41
Охрана
IT отдел
Менеджеры
Бухгалтерия
Торговый зал
Зам. старшего менеджера
Старший менеджер
Сервер 1С
IBM System x3200
Server
IBM
System x3650
Internet
Office Core 2 Duo
E7500 (2.93GHz)/
2Gb/320GB
Office Core 2 Duo
E7500 (2.93GHz)/
2Gb/320GB
Office Core 2 Duo
E7500 (2.93GHz)/
2Gb/320GB
Office Core 2 Duo
E7500 (2.93GHz)/2Gb
/320GB
HP DeskJet 2050
Celeron 430
(1800MHz)
/1Gb/160GB
Celeron 430
(1800MHz)
/1Gb/160GB
Celeron 430
(1800MHz)
/1Gb/160GB
Celeron 430
(1800MHz)
/1Gb/160GB
Celeron 430
(1800MHz)
/1Gb/160GB
HP LaserJet 6p
HUB D-Link
DES-1005D/E
Genius G-Pen
560 5″x6″ USB
Office Core 2 Duo
E7500 (2.93GHz)
/2Gb/320GB
Office Core 2 Duo
E7500 (2.93GHz)
/2Gb/320GB
Office Core 2 Duo
E7500 (2.93GHz)/
2Gb/320GB
Промо-экран
Office Core 2 Duo
E7500 (2.93GHz)/
2Gb/320GB
Информационный терминал
Терминал пластиковых карт
Терминал экспресс-оплаты
Office Core 2 Duo
E7500 (2.93GHz)/
2Gb/320GB
Office Core 2 Duo
E7500 (2.93GHz)/
2Gb/320GB
Терминал пластиковых карт
HP DeskJet 2050
HP DeskJet 2050
HUB D-Link
DES-1005D/E
Обновление ОС
Обновление антивируса
Установка парольных защит
Обновление ОС
Обновление антивируса
Установка межсетевого экрана
Установка прокси- сервера
Установка почтового сервера
Использование защищённого соединения
Рисунок 2.1 — Структура программно-аппаратного комплекса
Из представленной схемы видно, что в целях повешении информационной безопасности были проведены мероприятии по усилению безопасности сети предприятия, представленные в таблице 2.2.
42
Таблица 2.2 – Проведенные мероприятия по усилению безопасности сети предприятия
Объект
Мероприятия
Сервер
Обновление ОС
Обновление антивируса
Установка межсетевого экрана
Установка прокси-сервера
Установка почтового сервера
Рабочие станции
Обновление ОС
Обновление антивируса
Установка парольных защит
Соединения
Использование защищённого Интернет-соединения
Комплексная политика защиты информации включает в себя инженерно- техническое обеспечение компьютерной безопасности, которая рассматривается как элемент предотвращения компьютерных преступлений.
Инженерно-техническая защита рассматривается как комплекс мер, рычагов, технических средств и мероприятий по обеспечению информационной безопасности.
Для противостояния техническим средствам разведки на предприятиях используют: криптографические, аппаратные, аппаратно-программные, физические и программные средства защиты информации.
Под физическими методами защиты информации подразумевается охрана помещений и здания компании, помещения с рабочими станциями, а также средства компьютерной техники и носителей информации.
Под аппаратными методами защиты информации подразумевается оборудование в виде отдельных технических средств, компьютерной техники, которые используются для защиты этих систем.
Таким образом, изменяется структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия, изображенная на рисунке 2.2.
43
Опломбировка корпуса
Демонтаж средств подключения внешних носителей информации
Физические средства ограничения доступа
Физические средства ограничения доступа
Рисунок 2.2 — Структура инженерно-технического комплекса
С помощью инженерно-технического комплекса на предприятии мы ограничиваем доступ в сеть и производим разграничение доступа к базе данных. Чтобы исключить копирование данных на внешние носители на всех персональных рабочих станциях необходимо произвести опломбирование корпуса и демонтаж средств подключения внешних носителей. Для этого, в целях обеспечения информационной безопасности компьютерной сети были проведены следующие мероприятия (см. табл. 2.3).
44
Таблица 2.3 – Произведенные мероприятия обеспечения информационной безопасности
Объект
Мероприятия
Сервер
Физические средства ограничения доступа
Узлы сети
Физические средства ограничения доступа
Рабочие станции
Опломбировка корпуса с применением специальных запорных устройств
Демонтаж средств подключения внешних носителей информации
Обязательными при представлении комплекса инженерно-технических средств являются следующие задачи [35]: предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения; защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении; предотвращение утечки информации по различным техническим каналам.
Для обеспечения эффективной инженерно-технической защиты информации необходимо определить: что защищать техническими средствами в данной организации, здании, помещении; каким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средств; какие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращение; как организовать и реализовать техническую защиту информации в организации [35].
Для организации были выделены следующие объекты инженерно- технической защиты, которые были разделены по классам защиты:
45 1.
Объекты первого (наивысшего класса) защиты. К данным объектам защиты были отнесены все носители информации, уничтожение или хищение которых приведёт к остановке деятельности фирмы, несению крупных финансовых потерь, возникновению конфликтов с законом и т.д.
2.
Объекты второго класса защиты. К данным объектам были отнесены объекты, уничтожение или хищение которых повлечёт осложнения в работе компании, вызвать временные простои.
3.
Объекты третьего класса защиты, к данным объектам были отнесены объекты, уничтожение или хищение которых незначительно скажется или никак не отразиться на деятельности фирмы.
Данные по важности защищаемых объектов сведены в таблицу 2.4
Таблица 2.4 Распределение по важности защищаемых объектов
№ п/п
Класс
Наименованиеобъекта
1 1
Компьютерруководителя
2 1
Компьютерсекретаря
3 1
Компьютергл. бухгалтера
4 1
Документы руководителя
5 1
Документы секретаря
6 1
Документы гл. бухгалтера
8 1
Серверы
10 2
Документы бухгалтерии
11 2
Документы производственногоотдела
12 2
Прочиедокументы
13 3
Компьютеры программиста, системного администратора
14 3
Компьютеры бухгалтерии
15 3
Компьютеры производственного отдела
16 3
Компьютеры отдела кадров
17 3
Прочие носители информации
Для охраны решено было задействовать следующие инженерно- технические методы для обеспечения информационной безопасности:
1) установка камер видеонаблюдения;
46 2) установка детекторов движения;
3) установка систем оповещения о пожаре;
4) установка систем автоматического пожаротушения;
5) установка средств пассивной защиты от огня.
Данные средства позволяют сократить риск потери, как информации, так и ценного имущества, в результате попытки умышленного похищения информационных носителей или материальных ценностей либо при возникновении возгорания. От использования средств защиты от прослушивания и прочих средств шпионажа, решено было отказаться, поскольку их приобретение, установка и обслуживание дорого обойдутся предприятию.
Для обеспечения информационной безопасности было определено три класса объектов, требуемых защитой, как необходимый список мер и перечень действий для устранения проблем безопасности в системе предприятия. Но было принято решение отказаться от средств зашиты от прослушки и прочих средств зашиты от шпионажа.
Реализация разработанных мер информационной безопасности с применением конкретных средств описана в таблице 2.5.
Таблица 2.5-Реализация разработанных мер информационной безопасности
Объект
Мероприятие
Суть проведения
Сервер
Обновление ОС
Установка последних обновлений серверных операционных систем для устранения уязвимостей защиты, настройка автоматических обновлений.
Сервер
Обновление антивируса
Установка современной лицензионной антивирусной NOD 32, с настрой кой постоянных обновлений антивирусных баз.
Сервер
Установка межсетевого экрана Установка межсетевого экрана Microsoft ISA
Server
Сервер
Установка прокси-сервера
Установка прокси-сервера Microsoft ISA
Server
48
Продолжение таблицы 2.5
Сервер
Установка почтового сервера
Установка почтового сервера Microsoft
Exchange
Рабочая станция
Обновление ОС
Для машин с Windows XP и Windows 2000 смена
ОС на
Windows8, настройка автоматических обновлений.
Рабочая станция
Обновление антивируса
Установка современной лицензионной антивирусной NOD 32, с настрой кой постоянных обновлений антивирусных баз.
Рабочая станция
Использование парольных защит
Заведение групп пользователей в Microsoft
Active Directory с последующей генерацией индивидуальных паролей и настройкой групповых политик.
Соединение Использование защищённого
Интернет-соединения для обмена информацией с главным офисом
Для безопасного обмена данными с главным офисом было использовано защищенное
VPN соединение с локальной сетью основного офиса защищённое 128 битным шифрованием трафика
Таким образом, использование разработанных мер безопасности позволит организовать политику информационной безопасности, а также скорректировать структуру реализуемого аппаратно-программного комплекса.
Структура программного состава комплекса приведена на рисунке 2.3.
В структуру обновленного программного комплекса включено:
1) сервер 1С: работает на операционной системе Windows Server 2008, на нем располагается база программы 1С Предприятие 8.1; антивирус, установленный на данном сервере NOD 32. Через службу каталогов Active
Directory осуществляется распределение доступа;
2) сервер IBM — работает на операционной системе Windows Server 2008, на нем располагается файл-сервер, а также Firewall. Доступ в интернет осуществляется через Firewall, на файл-сервер стекается информация от прикладных программ с рабочих станций;
49 3) рабочие станции 1-ого типа работают на операционной системе
Windows 7, на них установлена: программа 1С предприятие (клиент), Microsoft
Office 2013, а также браузер Internet Explorer 11, антивирус NOD 32;
4) рабочие станции 2-ого типа работают на операционной системе
Windows 8, на них установлена: программа 1С предприятие (клиент), Microsoft
Office 2013, а также браузер Internet Explorer 11, антивирус NOD 32.
ОС Windows 2008 1C:
Предпритие 8.1
NOD 32
ОС Windows 2008
Терминальный сервер
ISA Server Firewall
Файл-сервер
Рабочие станции тип 1 ОС Windows 7 1
С:Предприятие (клиент)
MS Office
Различные прикладные приложения
Рабочие станции тип 2 ОС Windows 8 1
С:Предприятие (клиент)
MS Office
Различные прикладные приложения
Браузер IE
Браузер IE
TCP/IP
TCP/IP
HTTP
FTP
NOD 32
NOD 32
HTTP
In te rn e
t
Active Directory
Рисунок 2.3 — Структура обновленного программного комплекса
Для реализации разработанных мер и создания защищенного интернета, а также для ограничения доступа к серверу узлам сети и рабочим станциям необходимо произвести мероприятия по реализации разработанных мер
50 ограничения доступа. Реализация разработанных мер по ограничению доступа и средства контроля доступа к ресурсу описана в таблице 2.6.
Таблица 2.6 Реализация разработанных мер по ограничению доступа
Объект
Мероприятие
Суть проведения
Сервер
Ограничение физического доступа
Оборудование помещения для расположения серверов.
Оборудование данного помещения запирающимися дверями и системами сигнализации.
Узлы сети
Ограничение физического доступа
Расположение сетевых кабелей в специальных каналах для исключения возможности свободного доступа.
Расположение важного сетевого оборудования на территории серверной либо в специальных запирающихся коробах.
Рабочие станции
Опломбировка корпусов и использованием специальных запирающих устройств
Опломбировка корпусов всей компьютерной техники с целью своевременного обнаружения попыток несанкционированного внедрения либо извлечения устройств. Применение запирающих устройств на корпусах, где такое предусмотрено конструкцией корпуса.
Реализация инженерно-технической защиты информации представлена следующими задачами: установка камер видеонаблюдения; установка детекторов движения; установка систем оповещения о пожаре; установка систем автоматического пожаротушения; установка средств пассивной защиты от огня.
Установка камер видеонаблюдения в офисе продемонстрированная следующим планом (см. рис. 2.4).
В данном случае в офисе компании были установлены 4 видеокамеры
Vision Hi-Tech VB32BS-HVF49, в местах потенциального входа посетителей: камера № 1 установлена на противоположной стене коридора и в поле её обзора попадают все люди, входящие или выходящие из лифта;
51 камера №2 установлена так, что в её обзор попадают люди, попадающие в помещение офиса по лестнице; камера №3 установлена так, что в поле её обзора попадают все люди, входящие приёмную и кабинет директора; камера №4 фиксирует всех людей, пытающихся попасть в помещение через балкон.
Рисунок2.4 — План установки видеокамер
Таким образом, камеры фиксируют лицо каждого человека, который входит в офис. Видеоданные с камер выводятся на монитор охраны и записываются на специальный носитель информации с периодичностью перезаписи 14 дней.
Для защиты офиса в ночное время от проникновения злоумышленников через двери и окна в офисе были установлены 11 детекторов движения в следующих местах: отдел кадров; кабинет главного бухгалтера; бухгалтерия; информационный отдел;
52 серверная; кабинет директора; приёмная; производственный отдел; проектный отдел; коридор.
Были выбраны детекторы IS215T (Ademco) (см. рис. 2.5) со следующими техническими характеристиками: зона обнаружения 12 х.12 м с контролем «под собой»; диаграмма направленности типа «широкий угол»; два уровня чувствительности; высокая устойчивость к воздействию белого света свыше 6000 лк; диапазон рабочих температур -10°C– +55°C; размеры 87 х 62 х 40 мм.
Схема расположения детекторов указана на плане (см. рис. 2.5), где цветом показаны зоны покрытия.
Рисунок2.5 — Схема расположения детекторов
53
Как видно из плана, практически весь офис при таком расположении является охраняемой зоной.
Все предложенные средства защиты информации являются актуальными и необходимыми для предприятия.
2.4 Криптографические методы и средства защиты данных
Криптография представляет собой научное направление, позволяющее исследовать методы обеспечения конфиденциальности, целостности информации, аутентификации, а также невозможность отказа от авторства.
Криптография подразделяется на два направления: шифрование информации, связанное с обратимым преобразованием данных для того чтобы своевременно установить неавторизованных пользователей и соблюдать конфиденциальность передаваемых данных; создание алгоритмов электронной цифровой подписи.
Применение электронной цифровой подписи в предприятиях предусматривает выполнение трех основных правил [7, c.63]: подписание документа с помощью электронной подписи может выполнять наделенный соответствующими полномочиями сотрудник; в случае возникновения внештатной ситуации должна быть предусмотрена возможность установления подлинности электронной подписи; электронная подпись в сети обязательно должна быть закреплена штампом предприятия.
Применение секретного ключа для цифровой подписи является надежным методом защиты информации. Поскольку даже, если злоумышленник получит значительное количество сообщений с цифровой подписью, он не сможет, используя их вычислить подлинность за выделенный промежуток времени.
Однако, если злоумышленник вошел в доверие абонента, то получая данные о шифровании подписей, приходящих от абонента, он может их использовать для передачи другим абонентам. Для исключения данной
54 ситуации необходимо использовать правило подписи только контрольной суммы сообщения, даже если оно имеет незначительный размер.
Шифр представляет собой систему преобразования текста с секретным ключом, что позволяет обеспечить секретность передаваемых информационных данных. Наиболее важным параметром шифра является ключ, представленный в виде криптографического алгоритма, позволяющего обеспечить выбор одного из преобразований информационных данных.
К методам криптографического преобразования информации применяют следующие требования: выбранный метод преобразования информации должен обладать устойчивостью к попыткам получения исходного кода текста на основе зашифрованных данных; используемый ключ шифрования, не должен быть громоздким и трудным для запоминания; затраты, выделенные на шифрование данных должны быть оптимальными для обеспечения требуемого уровня защиты информации; возникающие ошибки в шифровании данных, не должны создавать потерю информации; длина зашифрованного информационного сообщения не должна превышать длину исходного кода.
Криптосистемы подразделяются на:
1) симметричные системы, основанные на использовании одного и того же ключа защиты данных в операциях шифрования и дешифрования данных
2) асимметричные системы, в которых ключ шифрования, отличается от ключа расшифрования. При этом, даже получив информацию об открытом ключе, злоумышленник не сможет определить секретный ключ.
Методы, позволяющие осуществить эффективное шифрование и дешифрование данных, приведены на рисунке 2.6.
55
Рисунок 2.6 – Методы, позволяющие осуществить эффективное шифрование и дешифрование данных
На рисунке 2.6 мы можем проследить, как происходит шифрование сообщения и дешифровка. Здесь изображены все стадии прохождения шифрования сообщения при обоих вариантах шифрования сообщения. Имея исходное сообщение с помощью специального ПО, мы генерируем ключ шифрования для данного сообщения, после чего программа генерирует открытый ключ получателя, затем сообщение зашифровывается. При дешифровке данного сообщения получатель с помощью открытого ключа через тоже ПО формирует секретный ключ получателя, после чего программа расшифровывает сообщение. Но наиболее эффективным является метод ассиметричного шифрования.
Достоинствами аппаратных методов криптографических функций защиты данных являются:
56 возможность обеспечения целостности данных при реализации алгоритма криптозащиты; шифрование и хранение ключей в плате аппаратного обеспечения, а не в оперативной памяти компьютера; создание системы защиты информации от несанкционированного доступа к информации.
Следует отметить, что криптографические механизмы применяют для управления идентичностью, реализации технологии доверенной платформы, разграничения доступа, управления авторством, построения сетей VPN. В отличие от других методов они позволяют обеспечить гарантирование уничтожение данных и обеспечить высокий уровень защиты от физической кражи носителя информации.
Применение технологии управления идентичностью, основанной на криптозащиты, позволяет поддерживать систему цифровых сертификатов, обеспечить высокий уровень контроля защиты данных с помощью цифровых удостоверений. Многие организации внедряют данную технологию для замены метода, основанного на паролях, что позволяет повысить доверие пользователей к выбранным ресурсам.
Технология разграничения доступом применяется фактически в любой системе защиты информации. Основной целью внедрения данной технологии организация многопользовательского доступа к защищенной информации на основании использования принципов назначения ролей, привилегий и защиты каждой группы пользователей с использованием криптозащиты.
Технология доверенных платформенных модулей (ТРМ) используется для реализации аппаратных функций, обеспечивающих необходимый уровень защиты данных. Для реализации данной технологии применяют микросхему, оснащенную механизмами физической безопасности от подделки данных и защиты от вредоносного программного обеспечения. возможность создания, хранения и ограничение использования ключей шифрования;
57 обеспечить необходимый уровень целостности данных.
Среди достоинств криптографических методов защиты следует отметить высокий уровень защиты данных, экономичность в реализации и эффективность в быстродействии.
Недостатком криптографических методов защиты является сложность в реализации, что требует привлечение специалистов по криптографии для обеспечения требуемого уровня защиты данных.
Криптографические методы защиты информации относятся к программному комплексу защиты информации, но в тенденциях современного бизнеса это направление защиты информации становится все актуальнее. Так как вся отчетность и многие торговые операции в связи с улучшением информационных технологий переходят на электронный документооборот, и подлинность документов и подписей необходимо подтверждать, а также защищать документы от правки или доступа к ним посторонних лиц то криптография как метод защиты информации на мой взгляд является отдельным методом в политике информационной безопасности. И криптографические методы защиты информации являются очень эффективными.
Во второй главе выпускной квалификационной работы приведена характеристика организационных, программно-аппаратных, криптографических методов и средств защиты и на основании этого получены следующие авторские выводы:
организационные меры обеспечения политики информационной безопасности предприятия — регламентируют документально использование мер информационной защиты, что регламентирует работу всей политики информационной безопасности;
аппаратные и программные средства обеспечения информационной безопасности в строительной компании очень эффективны в комплексе что дает наибольшую защиту данных и более соответствует необходимым нормам
58 политики информационной безопасности;
в настоящее время среди криптографических методов и средств, используемых на предприятия, наиболее эффективными является криптографический метод защиты создания цифровой или электронной подписи.
Полученные результаты и сформулированные выводы позволяют перейти к рассмотрению материала третьей главы, посвященной разработке и внедрению рекомендаций для повышения информационной безопасности предприятия.
Источник: topuch.ru
Информационная безопасность строительных компаний под угрозой
Информационная эра, в которую все человечество – кто быстрее, кто медленнее – постепенно входит, отличается тем, что главной ценностью, в значительной мере определяющей успех во всех сферах деятельности, в том числе и в бизнесе, становится информация. А это означает, что ее защита приобретает особое значение.
Аналитики «СёрчИнформ» провели ежегодный анонимный опрос российских компаний с целью оценить уровень информационной защиты и подход к вопросам IT-безопасности. В исследовании приняли участие 1024 человека: начальники и сотрудники подразделений, занимающихся информационной безопасностью, эксперты отрасли и руководители организаций из коммерческой (74%), государственной (23%) и некоммерческой сфер (3%). Исследование охватило многие сегменты экономики, в том числе и строительство.
Актуальный вопрос
Все более активное вторжение цифровых технологий во все сферы человеческой жизни приводит к тому, что информация, владение ею и доступ к ней становятся все более ценным ресурсом. А значит, растет и угроза злоупотреблений в этой сфере – от нецелевого использования оборудования до воровства данных, составляющих коммерческую тайну. И чем шире распространяются информационные технологии, тем актуальнее становится проблема.
«По мере развития технологий все больше процессов переводится в «цифру». Это и внутренние бизнес-процессы компании, и ее взаимодействие с потребителями и партнерами. Поэтому вопрос IT-безопасности с каждым годом только актуальнее во всех сферах: и защита персональных данных клиентов, и электронный внутренний документооборот, и внедрение облачных технологий для управления строительными проектами, – то, что в последние годы реализовано у нас в компании», – отмечает директор по маркетингу Группы RBI Михаил Гущин.
С ним соглашается директор департамента IT Becar Asset Management Роман Блонов. «Оцениваю актуальность проблемы информационной безопасности как архиважную. Получить доступ к информации – значит получить доступ ко всем коммерческим тайнам, личным и деловым договоренностям. Также может иметь место прямой убыток от удаленного подключения к тем или иным мощностям. В эпоху расцвета криптовалют ряд компаний столкнулся с удаленным взломом и установкой майнеров на корпоративные компьютеры и серверы», – говорит он.
Исследование «СёрчИнформ» показало, что 72% строительных компаний России столкнулись с утечками информации в 2018 году. «По данным за 2018 год, рост выявленных нарушений в сфере IT-безопасности в стройкомплексе составил около 11% по сравнению с предыдущим годом. И тренд этот характерен, по крайней мере, последние четыре года, с тех пор, как мы начали мониторить ситуацию в строительной отрасли. Год от года острота проблемы растет: 4% и 11% на начало и конец наблюдений, соответственно», – рассказывает руководитель отдела технической аналитики компании «СёрчИнформ» Алексей Парфентьев.
По его словам, это связано с двумя основными факторами. «Во-первых, с развитием информационных технологий активно развивается и возможность злоупотреблений в этой сфере. Во-вторых, необходимость сэкономить на программном обеспечении, оборудовании, зарплате персонала и прочем приводит к использованию бесплатных облачных платформ, привлечению исполнителей в рамках аутсорсинга. Такой подход, конечно, создает дополнительные риски в сфере IT-безопасности, поскольку уменьшает возможности контроля над оборотом информации», – резюмирует эксперт.
Отраслевая специфика
По словам Алексея Парфентьева, в обеспечении IT-безопасности строительство имеет свою специфику. «Бухгалтерия, продажи, кадры – эти бизнес-процессы функционируют как в любой другой отрасли экономики. Но есть целый пласт специфических конфиденциальных данных.
Это техническая и маркетинговая информация с очень длительным циклом подготовки, и ее раскрытие раньше определенных сроков может подорвать целые проекты. Поэтому наибольшее количество запросов о создании отраслевых политик безопасности, настройке систем под конкретного заказчика в сфере строительства касается защиты именно этих данных. Вне зависимости от того, идет ли речь о разработке архитектурного проекта или плана продвижения, плана ценообразования, маркетинговых материалов – требуется не допустить распространения информации раньше намеченного срока. Компаниям нужно защищать данные, которыми сотрудники оперируют в главных рабочих системах: CRM, TaskTracking, бухгалтерском программном обеспечении (ПО), ПО для двухмерной и трехмерной графики, софте для составления смет и прочем», – говорит эксперт.
«Специфика информационной безопасности в строительной сфере заключается в масштабах и ответственности, ведь зданием пользуется большое количество людей. Доступ к информации об особенностях конструктива и инженерии объекта может позволить злоумышленникам, например, проще взламывать систему контроля доступа», – добавляет Роман Блонов.
А вот по мнению Михаила Гущина, нельзя сказать, что девелоперский бизнес в этом смысле специфичен и заметно отличается от какого-то другого бизнеса сопоставимых масштабов.
Воруют всё
Согласно данным исследования «СёрчИнформ», сведения о наиболее частых инцидентах информационной безопасности подтверждают, что традиционные для отрасли риски в виде создания боковых и откатных схем, торговли конфиденциальной информацией по-прежнему очень актуальны. По данным, полученным из опроса, в 2018 году чаще всего утекала коммерческая информация: данные о клиентах, сделках и партнерах, внутренняя бухгалтерия. Эти утечки в сумме составляют 50% всех инцидентов. Еще в 21% случаев утекала техническая информация.
«Но несмотря на то, что в строительной отрасли проблема утечки информации стоит очень остро, главной проблемой остается воровство материальных ресурсов, а не кража данных. Прежде всего, это корпоративное мошенничество при закупках. Так как объемы этих закупок в строительной сфере огромны, они открывают такие же огромные возможности для «договорных» отношений между сотрудниками компаний и контрагентами», – отмечает Алексей Парфентьев.
В «Группе ЛСР» сообщили, что исключили возможность таких проблем, создав собственную открытую электронную торговую площадку. «Стать максимально открытыми в области закупок товаров – важнейшая часть политики нашей компании по ведению бизнеса. Собственная электронная площадка позволит постоянно находить новых качественных контрагентов, даст им возможность войти в пул постоянных подрядчиков и поставщиков «Группы ЛСР» и обеспечит честную конкуренцию среди них. На сайте площадки размещены полный список запросов на товары и услуги предприятий «Группы ЛСР» во всех регионах присутствия компании и требования к потенциальному подрядчику. С помощью нового сервиса можно легко отследить статус проведения тендера, узнать план закупок, задать интересующий вопрос», – рассказали в компании.
Что касается других инцидентов, чаще всего компании сталкиваются с использованием сотрудниками ресурсов компании в личных целях (40%), попытками откатов (24%). Почти поровну распределились ответы о фактах организации боковых схем продаж (10%) и работы в пользу конкурентов (14%).
«Заметная проблема – использование внутренних ресурсов компании для личных целей – начиная от банального выполнения заказов (проектов и т. п.) для другой структуры на рабочем месте, что, в общем, компании особого вреда не наносит, и заканчивая использованием производственных мощностей для выпуска продукции «налево», с оплатой исполнителю. Эти риски в строительной сфере гораздо заметнее, поэтому чаще, чем в других отраслях, специалисты по безопасности смещают вектор мониторинга с технических угроз на «человеческий фактор». Поэтому здесь универсальность современных DLP-систем, их способность решать сразу множество проблем играет заказчикам на руку», – рассказывает Алексей Парфентьев.
Среди нарушителей в строительстве, в отличие от других сфер, велико число руководителей – на их долю приходится 33% инцидентов. Среди нарушителей чаще всего встречаются менеджеры отдела снабжения. Второе и третье место занимают бухгалтеры (финансисты) и помощники руководителя.
Во избежание всяческих…
В принципе, по оценке экспертов, современный рынок предлагает необходимые инструменты для обеспечения информационной безопасности. «Сегодня есть и квалифицированные специалисты, и технические решения, способные обеспечить нужный уровень защиты данных», – говорит Михаил Гущин.
«Мы используем многоуровневый контроль за идентификацией пользователей, разделение доступов к информации, шифрование переписки, защиту внешнего периметра сети, шифрованные каналы коммуникации, регулярно обновляемые серверы, ПО, антивирусную защиту», – рассказывает Роман Блонов.
По словам эксперта, конечно, полностью исключить инциденты невозможно, но им можно эффективно противодействовать. «Однажды доступ к серверу корпоративной IP-телефонии получили злоумышленники и направили через наш сервер свои звонки. Так как была установлена FROD-защита, после превышения определенного объема трафика его передача была прервана, поэтому урон был относительно небольшим», – рассказал он.
Алексей Парфентьев говорит, что компаниям необходимо обеспечить хотя бы минимальную защиту от информационных рисков. «На мой взгляд, главная задача, которую необходимо решить, – это обеспечить прозрачность обращения данных внутри инфраструктуры. Необходимо четкое понимание, на каких ресурсах находится критично важная информация и кто имеет право доступа к ней, кто реально работает с этой информацией, как и с какой целью она циркулирует по сетевым каналам. Это первый шаг в сфере IT-безопасности, который необходим всем, в том числе и небольшим компаниям в сфере строительства и недвижимости. Крупным структурам нужны, конечно, более серьезные системы. И в целом, по моему опыту, они этими вопросами не пренебрегают, располагая всеми необходимыми инструментами в этой сфере», – отмечает специалист.
Но есть и некоторые системные проблемы. «К сожалению, в строительстве нет отраслевых стандартов обеспечения IT-безопасности, таких, как действуют в органах государственной власти или каких Центробанк требует от коммерческих банков. Да, существует федеральный закон, который, в общем, все должны выполнять. Но за его нарушения предусмотрены минимальные штрафы. И многим компаниям проще их заплатить, чем тратиться на системы безопасности», – говорит Алексей Парфентьев.
Источник: m.asninfo.ru
Разработка системы информационной безопасности для строительной компании Текст научной статьи по специальности «Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Стрункина М.С., Воробьева А.В.
В статье рассматриваются проблемы распространения информации в различные информационные структуры, возможность сохранения конфиденциальности внутри компании. Рассматриваются все возможные факторы, которые могут предотвратить попадания личных данных в общую информационную базу. Для того что сохранить безопасность информации, используются программы специального назначения .
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Стрункина М.С., Воробьева А.В.
Лингвистический анализ структурной и содержательной связности текстовых импликатов в контексте поиска противоречий в нечеткой базе правил
DEVELOPMENT OF INFORMATION SECURITY SYSTEM FOR A CONSTRUCTION COMPANY
The article deals with the problem of the dissemination of information in a variety of information structures, the ability to maintain confidentiality within the company. We consider all possible factors that can prevent personal data into a common data base. In order to maintain the security of the information used by special-purpose programs.
Текст научной работы на тему «Разработка системы информационной безопасности для строительной компании»
7. Pospelova L. Metod avtomaticheskogo vyjavlenija nesoglasovannostej v staticheskih nechetkih sistemah produkcij [A method of automatic detection of inconsistencies in the static fuzzy production systems] [Text] // Mezhdunarodnyj nauchnyj institut «Educatio»: ezhemesjachnyj nauchnyj zhurnal. Chast’ 2. Tehnicheskie nauki. [International scientific institute «Educatio»: monthly scientific magazine. Part 2. Technical science.]. — 2015. — № 2(9). C. 134-139. — [Electronic resource] -access Mode — URL: http://cyberleninka.ru/article/n/metod-avtomaticheskogo-vyyavleniya-nesoglasovannostey-v-staticheskih-nechetkih-sistemah-produktsiy [in Russian]
8. Savchuk V. V. Chto takoe povoroty v filosofii? [What is turns in philosophy?] // Doklad na istoriko-metodologicheskom seminare «Russkaja mysl'». RHGA. [The report at a historical and methodological seminar «The Russian thought». RHGA] — 2012. — C. 2-14. — [Electronic resource] — access Mode — URL: http://rhga.ru/science/conferences/rusm/stenogramms/savchuk.php [in Russian]
DOI: 10.18454/IRJ.2016.52.175 Стрункина М.С.1, Воробьева А.В.2
Магистр, Кафедра «Высшая математика и физика», Направление «Прикладная информатика», 2профессор к.т.н., заведующая кафедрой «Высшая математика и физика», Московский государственный
университет технологий и управления имени К. Г. Разумовского РАЗРАБОТКА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ СТРОИТЕЛЬНОЙ
В статье рассматриваются проблемы распространения информации в различные информационные структуры, возможность сохранения конфиденциальности внутри компании. Рассматриваются все возможные факторы, которые могут предотвратить попадания личных данных в общую информационную базу. Для того что сохранить безопасность информации, используются программы специального назначения.
Ключевые слова: защита информации, строительные компании, программы специального назначения.
Strunkina M.S.1, Vorobyeva A.V.2
:Master, Department of «Higher mathematics and physics»/ «Applied Computer Science» direction,
2PhD in Engineering, Professor, Head of the Chair «Higher mathematics and physics», Moscow State University of Technologies and Management named after K.G. Razumovsky DEVELOPMENT OF INFORMATION SECURITY SYSTEM FOR A CONSTRUCTION COMPANY
The article deals with the problem of the dissemination of information in a variety of information structures, the ability to maintain confidentiality within the company. We consider all possible factors that can prevent personal data into a common data base. In order to maintain the security of the information used by special-purpose programs.
Keywords: information security, construction companies, special purpose program.
В настоящее время уделяется большое внимание вопросам построения защищенных информационных систем, что связано с растущей необходимостью применения современных информационных технологий в тех областях, для которых основным требованием к автоматизированным системам обработки информации является обеспечение безопасности. Широко распространенные операционные системы (ОС) типа Linux или Windows не могут удовлетворить этому критерию. В то же время эти ОС обладают огромным количеством приложений для обработки информации и имеют привычный для пользователя интерфейс.
Наиболее полные исследования проблем обеспечения безопасности информации, использования незащищенных компонентов для безопасной обработки информации, подходов к построению защищенных информационных систем и моделей безопасности выполнены в работах В.А. Герасименко, С.П. Расторгуева, Л.М. Ухлинова, А.И. Толстого, С.Н. Смирнова, А.А. Грушо, А.Ю.
Щербакова, Зегжды П.Д., а также зарубежных К. Лендвера, Д. МакЛина, Р. Сандху, П. Самарати, М. Бишопа, К. Брайса, П. Ньюмена, Т. Джегера и многих других.
На основе этих результатов для удовлетворения высоких требований к безопасности создаются специальные защищенные ОС (ЗОС), нацеленные в основном на обеспечение безопасности и сохранение целостности защищаемых информационных ресурсов.
Проблема защиты информации и обеспечения информационной безопасности уже давно является одним из главных приоритетов современных организаций.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
В строительных компаниях разрабатывается огромное множество проектов.
Документация по разработанным проектам хранится в бумажном и электронном архивах. Таким образом, единого хранилища доступной информации не существует, что не позволяет эффективно использовать накопленный компанией опыт. Эту проблему можно решить с помощью базы данных, которая бы собрала воедино наиболее важные сведения о завершенных проектах. Однако в большей степени сведения о проекте необходимы компании непосредственно во время разработки. Здесь необходимо контролировать все стадии, начиная от эскизного проекта до выпуска рабочей документации.
Поэтому важно не только собрать информацию, но и поддерживать её в актуальном состоянии. Постоянное обновление и контроль требуют дополнительных средств, в том числе слежения программой за сроками выполнения
работ, предоставление проектному менеджеру сведений о выполненных работах, об отклонениях от графика и т.д. Периодически необходимо формировать ответные и платежные документы на основе выполненных работ. Помимо этого может возникнуть необходимость в редактировании состава проекта, который является одним из основополагающих документов. Таким образом, возникает необходимость во внедрении системы, содержащей базу данных по проектам и обеспечивающей гибкое управление за счет перечисленных выше функций.
Сегодня на рынке информационной безопасности существует множество программ, который в той или иной степени поддерживают ведение проектов и обеспечивают защиту информации в строительных организациях. Однако большинство из них рассчитаны не на проектную деятельность (выпуск проектной документации в сфере строительства), а на проекты как метод управления компанией.
Схема реализации проекта по обеспечению безопасности в строительной организации представлена на рис.1. Вся схема должна работать четко и отлажено. Информационная защита данных должна происходить таким образом, чтобы не мешать сотрудникам компании заниматься повседневными задачами.
Для обеспечения информационной безопасности и управляемости сети в строительных предприятиях используются следующие приемы. Системный администратор сети имеет возможность добавлять, менять и уничтожать параметры учетных записей пользователей для самых разных платформ, операционных систем и приложений. Такой подход, называется «единой точкой регистрации».
Управление информационной безопасностью системы из единой точки позволяет объединить в единую базу данных контроля доступа к ресурсам. Хороший защитный сервер предприятия обеспечивает прозрачное представление информации обо всех доступных пользователю ресурсах.
Система информационной безопасности выявляет подозрительные действия со стороны как внутренних, так и внешних пользователей. Для этого используются программы специального назначения.
Внедрение DLP-системы. Данная система защиты от утечек данных призвана обеспечивать контроль над распространением конфиденциальной информации за пределы предприятия по доступным каналам передачи информации. DLP — решение предотвращает несанкционированные операции с конфиденциальной информацией (копирование, изменение и т.д.) и ее перемещение (пересылку, передачу за пределы организации и т.д.). Функционал DLP направлен в первую очередь на защиту от случайных утечек, которые, как мы уже видели, из приведенной выше статистики, происходят чаще.
Основная задача DLP-системы заключается в том, чтобы обезопасить общество от нежелательных элементов и их пропагандистских заявлений. Рассмотренное нами явление носит именно социальный характер.
DLP — системы это довольно дорогостоящее оборудование. Экономическая эффективность применения средств, для защиты конфиденциальной информации, понятие, можно сказать, абстрактное.
Об экономических аспектах применения средств защиты информации и безопасности в целом, вспоминают обычно или в период формирования бюджета на следующий год или, когда произошло ЧП, например, утечка информации, проникновение в сеть или просто инцидент с нарушением безопасности.
Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки отдельно по каждому решению. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Затем можно использовать методику расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI).
Показатель ROI определяется отношением суммы прибыли или убытков к сумме инвестиций. Значением прибыли может быть: процентный доход, прибыль/убытки по бухгалтерскому учету, прибыль/убытки по управленческому учету, чистая прибыль/убыток. Значением суммы инвестиций — активы, капитал, сумма основного долга бизнеса, другие, выраженные в деньгах, инвестиции.
Применение всевозможных технических средств не решает в полном объеме задачи по устранению угроз внешних вмешательств и возможности утечки информации конфиденциального содержания. Для комплекса необходимо также применение методов административного воздействия на персонал компании.
Поскольку строительные компании являются многопрофильными предприятиями и имеют в своей структуре, в том числе и логистический комплекс, то существуют дополнительные меры которые можно применить для обеспечения безопасности и защиты конфиденциальной информации.
Модернизацию всего этого процесса возможно осуществить путем внедрения в деятельность службы безопасности предприятия автоматизированной системы обеспечения пропускного режима. Для подготовки документов целесообразно использовать систему электронного документооборота (СЭД, на базе программы 1С), обеспечивающую автоматизированную подготовку необходимых документов в электронном виде, заверенных электронной подписью (ЭП), и их передачу по локальной сети.
Для пропуска посетителей и сотрудников внедрить автоматизированную электронную систему с использованием магнитных электронных карт (прокси — карт) и автоматических пропускников (СКУД). На основании сведений обо всех посетителях и сотрудниках могут выдаваться отчеты о работе системы пропускного режима, а также справки по отдельным запросам. Создание эффективной системы пропускного режима позволит значительно сократить временные затраты на подготовку документов и обеспечит службу безопасности информацией, необходимой для выполнения ее функций и, как следствие, осуществлять контроль всех групп сотрудников и посетителей. Дополнительно можно будет контролировать время прихода и ухода каждого сотрудника.
Все эти меры в комплексе дают возможность дополнительного контроля, что, соответственно, обеспечивает безопасность на предприятии.
Есть урозы 1-го и 2-го тмпов?
Проверка ПО на НДВ Тестирование ИСПДн на проникновения Использование в ИСПДн ПО.использующего методы защищенного програмирования
Рис. 1 — Порядок выбора и применения мер обеспечения безопасности конфиденциальной информации и
Список литературы / References
1. Маилян Л.Р. Справочник современного проектировщика. Учебное пособие. — М.: Феникс, 2008. — 206 с.
2. Мельников В.П. Информационная безопасность и защита информации: Учебное пособие для вузов — М.: Академия, 2008. — 336 c.
3. Парошин А.А. Информационная безопасность: стандартизированные термины и понятия. — Владивосток: Изд- во Дальневосточное федерального ун — та, 2010. — 116 с.
Список литературы латинскими символами / References in Roman script
1. Mailyan L.R. Spravochnik sovremennogo proektirovshhika. Uchebnoe posobie. [Handbook of contemporary designer. Manual]. — M.: Phoenix, 2008. — 206 p. [in Russian]
2. Melnikov V.P. Informacionnaja bezopasnost’ i zashhita informacii: Uchebnoe posobie dlja vuzov [Information security and data protection: Textbook for high schools]. — M .: Akademija, 2008. — 336 p. [in Russian]
3. Paroshin A.A. Informacionnaja bezopasnost’: standartizirovannye terminy i ponjatija [Information security: the standardized terms and concepts]. — Vladivostok: Publishing house of the Far Eastern Federal University — 2010. — 116 p. [in Russian]
Источник: cyberleninka.ru
Информационная безопасность в строительной отрасли
Прошлый год для строительной отрасли России стал знаковым. Ростехнадзор разрешил использование наравне с бумажными электронных документов, подписанных усиленной квалифицированной электронной подписью (ЭЦП), а Главгосэкспертиза перешла на прием проектной документации в электронном виде. Эти два важных события позволили говорить о том, что цифровизация в строительной отрасли России стала реальностью.
Те строительные компании, которые, опираясь на мировую практику, ранее по собственной инициативе переходили на «цифру», на своем опыте убедились: электронный документооборот и проектирование с использованием специализированного софта имеют преимущества перед документооборотом на бумаге. К примеру, цифровой документ, попавший в систему, невозможно потерять и уничтожить.
Работать и подписывать его можно удаленно, причем ЭЦП точно покажет время подписи и подтвердит личность подписанта. Несмотря на преимущества, говорить о том, что вся отрасль в одночасье перейдет с бумаги на цифровой документооборот, нельзя. В подавляющем большинстве люди, которые сейчас принимают решение, довольно далеки от современных IT-технологий, и, не вникая в принципы действия специализированного софта, испытывают к нему недоверие. Здесь даже пункт договора с гарантиями сохранения конфиденциальности и неразглашении третьим лицам не всегда бывает достаточным аргументом. Поэтому стоит немного подробнее посмотреть, как сейчас решается вопрос с безопасностью мобильных решений для строительства, и можно ли им доверять конфиденциальную информацию.
БЕЗОПАСНОСТЬ — ЭТО СЕРЬЕЗНО
Вопрос о том, почему безопасности уделяется большая роль в принятии решения, очевиден. Это не только хранение коммерческой тайны и другая конфиденциальная информация. Речь идет и о физической без- опасности пользователей объекта во время эксплуатации.
Трудно представить масштаб последствий, если особенности конструкций зданий общественного пользования попадут в руки террористов. Именно поэтому многие строительные организации задаются вопросом о необходимости получения специальных лицензий ФСБ.
На самом деле такая лицензия нужна только определенному виду компаний, которые занимаются специфическими разработками, в частности — создают ключи шифрования, какие-то криптосистемы, то есть системы шифрования. В привязке к отрасли это может быть некая база российских данных, которую можно купить и передать третьим лицам. Вот в этом случае придется получать разрешение ФСБ.
В большинстве же случаев можно опираться на классификатор средств защиты информационных систем ФСТЭК. В Федеральной службе по техническому и экспорт- ному контролю принято 5 уровней, где 5 — минимальный, а 1 — максимальный. В последнем случае речь идет о государственной тайне.
Как правило, в строительной отрасли достаточно первых трех уровней, с которыми работает большинство поставщиков ИТ-оборудования. Однако встречаются и более секретные данные.
К примеру, для применения программного комплекса на объектах нефтегазового сектора компании «Мобильные решения для строительства» необходимо было подтвердить 4 класс секретности, и это скорее исключение, чем правило. Сейчас во всем мире в 99,9% случаев требованиям предприятий строительной отрасли по уровню безопасности удовлетворяет технология передачи данных по шифрованному каналу https.
Стандарт широко применяется во многих отраслях. Показательно, что именно его применяют в банковской сфере. Несмотря на это, в России есть разработанные стандарты информационной без- опасности, так называемые ГОСТы, и они применяются на предприятиях с государственным участием. К примеру, ГОСТ Р ИСО/ МЭК 15408 содержит перечень требований, по которым можно сравнить результаты не- зависимых оценок безопасности, благодаря которым заказчик с государственным участием принимает решение о безопасности продукта.
ГДЕ ХРАНЯТСЯ ЦИФРОВЫЕ ДОКУМЕНТЫ
Процесс строительства, эксплуатации или капитального ремонта объекта — это сложный комплекс работ, состоящий из множества этапов. Он описывается огромным массивом документов, включая чертежи, сметы, переписку с поставщиками, подрядчиками, контролирующими органами и т.д.
Понятно, что каждый документ крайне важен, и поэтому таким острым является вопрос гарантий их сохранности при переходе на «цифру». И важнейший вопрос — как и где физически хранится весь этот массив данных.
Рассмотрим, как решают этот вопрос крупные игроки, на долю которых приходится львиная доля внедрения программного продукта в России, — в проектировании и в управлении проектной документацией в целом это мировые лидеры Autodesk и их российские аналоги «Нанософт» и «Аскон», в сфере строи- тельного контроля — отечественная компания «Мобильные решения для строительства». На данный момент практически у всех профессионально исполненных программных продуктов для строительства есть два варианта итогового размещения: на серверах заказчика и на серверах, предоставленных разработчиком, либо даже в «облаке».
У каждого решения есть свои нюансы, свои плюсы и минусы. Крупные компании, обладающие необходимыми аппаратными и людскими ресурсами, как правило, предпочитают размещение программного продукта в своей внутренней локальной сети.
В итоге компания получает несколько уровней защиты, поскольку помимо встроенных в продукт систем сохранения информации, администрирование и безопасность контролируется собственным IT-отделом. Именно он, исходя из интересов компании, решает и ключевой вопрос о предоставлении сотрудникам прав доступа.
Развитие технологий позволяет сделать не менее безопасным и удаленное размещение документов. Здесь есть две составляющие: сохранность документов при доставке до удаленных серверов и хранение информации на удаленном сервере. Как правило, под каждую конкретную организацию выделяется отдельное рабочее пространство, изолированное от других организаций.
Это позволяет исключить передачу информации кому-либо помимо тех лиц, кому администраторы строительной компании выдали соответствующие права. Так- же при выборе поставщика стоит проверить оффлайн-режим.
Когда речь идет о стройке промышленных объектов в труднодоступном месте, это становится первой необходимостью, так как в данном случае не стоит полагаться на мобильный интернет. Должна быть реализована возможность документ, подготовленный на стройке, сохранить в систему позже. А позже, когда интернет станет доступен, информация будет скопирована на сервер. Это стандарт для нормальных, профессионально сделанных решений.
ХАКЕРОВ МНОГО, А БИЗНЕС ОДИН
Киберпреступность сейчас достигла небывалых высот. Ежедневно появляются новые серьезные угрозы, и «подстелить соломку» за- ранее, не зная будущих вирусов, действительно очень сложно. И это всемирная проблема. Для ее решения созданная международная некоммерческая организация OWASP (Open Web Application Securitu Project).
Сообщество профессионалов занимается классификацией векторов атак и уязвимостей и улучшением безопасности программного обеспечения. Они создали список из 10 самых опасных направлений кибератак, так называемых OWASP TOP10. Это открытая информация, которой пользуются и ведущие поставщики программного оборудования для строительства. Компании регулярно проверяют свои продукты по всем категориям взлома.
КАК ВЫБРАТЬ ПОСТАВЩИКА СОФТА?
В работе с поставщиками программного продукта, как и с любыми поставщиками, нужно подбирать контрагента тщательно. Крайне важно убедиться, что система, которую вы внедряете, имеет ограничения по правам доступа, что вы правильно настроили все права перед тем, как загружать туда какие-то данные и подключать пользователей.
Также желательно выбирать тот продукт, где возможно автоматическое копирование всех материалов на какой-либо носитель на предприятии. И пренебрегать резервным копированием не стоит. Недавно жизнь подсказала еще одно правило.
Американская компания Oracle с флагманским продуктом Primavera, системой проектного управления, на которой работает, по сути, вся нефтегазовая отрасль России, заявила, что в связи с введением санкций не готова продолжать поддержку своего продукта для ряда российских компаний. Вероятнее всего, это повлечет за собой дальнейший переход на аналогичный софт российских производителей, благо разработчики из нашей страны уже вполне успешно конкурируют на мировом уровне.
Но переход этот будет крайне дорогостоящим и длительным, поскольку перенастройка процессов и цена возможных ошибок крайне высока. В ближайшей перспективе вряд ли стоит ожидать снятия санкций, так что в строительстве изначально стоит задуматься о внедрении российского продукта и проверить возможность хранения всей информации на российских серверах.
В завершении хочется сказать, что, судя по изменениям, происходящим в строительной отрасли России, профессионалы начинают признавать удобство специализированных программ для стройки. Понятнее становится и главный вопрос — обеспечение безопасности, к которой закономерно предъявляются высокие требования.
Эксперты IT-сферы считают, что на данный момент гораздо большим тормозом применения цифровых технологий является не обеспечение безопасности, а восприятие. Средний возраст строителя, принимающего решение о внедрении ИТ-решений, перевалил за 45. Как правило, с течением времени нам все сложнее принимать изменения. Через несколько лет сменится поколение, и тогда вопросы безопасности из обсуждаемых для принятия решения о покупке станут гигиеническими требованиями.
Источник: mrspro.ru