Основы информационной безопасности на предприятии пищевой промышленности

Реализация указанных превентивных мер защиты, а также ликвидация существующих повреждений позволят повысить уровень конфиденциальности, целостности и доступности до состояния ВС.

Модель нарушителя информационной безопасности неразрывно связана с моделью угроз информационной безопасности, т.к. нарушитель информационной безопасности часто является как источником угроз, так и следствием.

1. Внутренний нарушитель

К данному типу нарушителя могут быть отнесены различные категории персонала самого объекта защиты, к ним можно отнести следующих сотрудников10:

- лица, имеющие санкционированный доступ к максимальному объему информации (уполномоченные сотрудники, такие как начальство, управляющий состав). Под данную категорию попадает практически весь персонал объекта защиты;

- лица, имеющие санкционированный доступ к определенному объему информации (сотрудники структурных подразделений);

- лица, имеющие санкционированные доступ к максимальному объему (администраторы автоматизированных систем) или определенному объему (сотрудники отделов информационных технологий, программисты) информации в процессе обеспечения работоспособности и функционирования информационных систем.

Необходимо понимать, что администратор информационной безопасности имеет различные права и возможности по сравнению с администратором информационной системы. Стоит учитывать тот факт, что, несмотря на тип нарушителя «Внутренний», все сотрудники, определенные в нем, могут иметь удаленный доступ к ресурсам объекта информатизации.

По способам воздействия внутренний нарушитель может быть разделен на две категории:

- Случайный (непреднамеренный).

Данный нарушитель зачастую даже не предполагает о причинённом ущербе в случае своих действий. Под категорию случайного нарушителя может попадать одновременно весь персонал объекта защиты, независимо, имеет ли он прямой доступ к информации либо осуществляет косвенную деятельность, связанную с поддержанием функционирования информационных систем объекта защиты. Можно выделить несколько примеров, таких как:

-обслуживающий персонал помещений;

-сотрудники одного из структурных подразделений;

-персонал, обслуживающий информационные ресурсы объекта информатизации и т.д.

- Инсайдер (заинтересованное лицо).

Опасность, которую несет в себе данная категория нарушителя, в том, что ущерб от его действий может достигать достаточно внушительных размеров. В отличие от случайного нарушителя, он сложно идентифицируем и может осуществлять свою деятельность долгое время.

На сегодняшний момент существуют различные концепции по описанию инсайдеров на предприятии, по разбиению состава сотрудников на группы риска, но большинство инсайдеров делятся на сотрудников11:

- заинтересованных в оплате предоставляемой информации об объекте защиты;

- имеющих личные мотивы по отношению к компании - объекту защиты.

Наряду с данной классификацией имеется еще одна особенность, применимая как к внутреннему, так и к внешнему нарушителю, - наличие возможностей.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объекта защиты режимных и организационно-технических мер защиты, в том числе по допуску физических лиц с информационными ресурсами и контролю порядка проведения работ на объекте защиты.

2. Внешний нарушитель

Это наиболее распространенный вид нарушителя. На регламентирование построения комплексной системы защиты информации и применение средств защиты информации направлено большинство существующих нормативных документов Российской Федерации.

В основном к данному виду можно отнести следующих представителей:

-правоохранительные органы и органы исполнительной власти Российской Федерации;

-конкуренты;

-криминальные структуры;

-физические лица, непосредственно занимающиеся анализом информационной безопасности объекта защиты.

Основными критериями деления внешних нарушителей на категории являются:

- возможность доступа к каналам связи, выходящим за границы контролируемой зоны объекта защиты (всевозможные излучения, оптический канал, линии передачи информации);

- возможность доступа в пределы контролируемой зоны объекта защиты (санкционированный доступ, несанкционированный доступ путем маскировки и т.д.);

- наличие информации об объекте защиты;

- имеющиеся средства реализации атак на объект защиты (сканеры уязвимости, подавители сигнала и т.д.).

 

 

4 Рекомендации по организации  системы защиты информации на предприятиях пищевой промышленности

 

 

Защита информации, подразумевает соблюдение правовых, организационных, технических, технологических и иных специальных мер, обеспечивающих информационную безопасность (утечку, хищение, утрату, искажение, подделку информации, несанкционированный доступ и распространение).

Меры по защите информации должны включать в себя:

- определение перечня информации, составляющей коммерческую тайну;

- ограничение свободного доступа к такой информации;

- договорное регулирование отношений с работниками, имеющими доступ к сведениям, составляющим коммерческую тайну;

- нанесение на материальные носители информации, составляющей коммерческую тайну, грифа «Коммерческая тайна» с указанием ее обладателя;

- запрет бесконтрольного использования копировально-множительной техники;

- соблюдение мер предосторожности при пересылке конфиденциальной информации;

- принятие мер физической защиты (дверные замки, решетки или специальные жалюзи на окнах, сейфы и др.);

- административные мероприятия (наличие службы безопасности, пропускной режим и др.);

- использование технических средств контроля с применением радиотехнических, акустических, электронных и других систем, применение которых не противоречит законодательству Российской Федерации.

Обеспечить защиту информации позволяет также соблюдение строгого контроля над действиями лиц, осуществляющих подготовку секретных документов и работу с ними. Такие документы должны выдаваться с разрешения руководителя организации или предприятия под расписку только лицам, имеющим допуск к работе с ними. Нарушение требований защиты коммерческой тайны расценивается как несанкционированный доступ к информации и влечет за собой предусмотренную действующим законодательством ответственность.

Обязательное условие решения проблемы обеспечения информационной безопасности — централизованное управление процессом обработки конфиденциальной информации, которое предусматривает12:

- координацию действий структурных подразделений предприятия по реализации политики обеспечения информационной безопасности организации (предприятия);

- сосредоточение совокупности корпоративных ресурсов предприятия на решении задач, предусмотренных указанным планом;

- контроль за своевременностью и полнотой выполнения политики информационной безопасности.

В системах обеспечения информационной безопасности (СОИБ) выделяют три составляющие: организационную, нормативно-правовую и техническую. При этом наибольшее число проблем возникает при формировании технической составляющей. В процессе ее формирования следует реализовать ряд базовых принципов.

Один из важнейших — функциональная интеграция программно-технических комплексов защиты с программно-техническими комплексами передачи и обработки информации, имеющими собственные встроенные средства защиты с

 развитой функциональностью  рабочих станций и серверов, активное сетевое оборудование.

Второй принцип — физическое или виртуальное разделение ЛВС и информационных ресурсов структурных единиц организации с жестким распределением прав доступа к ресурсам между персоналом.

Существенное сокращение затрат на внедрение СОИБ обеспечивает базовый принцип защиты с использованием типовых комплексов технических средств защиты информации.

Механизмы защиты позволяют администратору безопасности решать задачи:

- усиление защиты от НСД в систему;

- разграничение доступа пользователей к ресурсам;

- обеспечение гарантированного удаления информации;

- разграничение доступа к запуску программ;

- контроль целостности объектов файловой системы;

- контроль целостности реестра;

- очистка памяти после завершения работы приложений;

- контроль вывода информации на печать, маркировка документов;

- разграничение доступа пользователей к администрированию СЗИ;

- просмотр информационных сообщений СЗИ в ходе работы;

- контроль событий безопасности защищаемой информации.

Механизм контроля печати осуществляет маркировку конфиденциальных документов, выводимых на печать, то есть вывод настраиваемого штампа в колонтитулах на страницах печатаемых документов.

Механизм гарантированного удаления запрещает удаление стандартным способом отмеченных файлов. Удаление файлов происходит трехкратным затиранием содержимого по алгоритму, исключающему считывание остаточной информации на диске после удаления.

Механизм очистки памяти очищает (обнуляет) освобождаемых СЗИ областей оперативной памяти и удаляемых данных на СЗИ.

Механизм контроля целостности проверяет целостность контролируемых файлов по алгоритму CRC-32 и при ошибке восстанавливает их. Этот же механизм используется для контроля целостности и надежного восстановления свойств СЗИ после сбоев и отказов оборудования.

Механизм контроля целостности реестра проверяет целостность разделов (ветвей), параметров (ключей) и значений параметров реестра Windows сравнением с эталоном и при ошибке информирует пользователя.

 

 

 

 

 

 

Заключение

 

Анализ состояния дел в области информационной безопасности показывает, что в ряде развитых государств сложилась и успешно функционирует вполне устоявшаяся инфраструктура системы информационной безопасности СИБ, т.е. системы мер, обеспечивающей такое состояние конфиденциальной информации, при котором исключаются ее разглашение, утечка, несанкционированный доступ (внешние угрозы), а также искажение, модификация, потеря (внутренние угрозы).

Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не прекращаются, а имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для успешного противодействия этой тенденции необходима стройная и управляемая система обеспечения безопасности информации (ОБИ).

Поскольку информация является продуктом информационной системы (ИС), т.е. организационно-упорядоченной совокупности информационных ресурсов, технологических средств, реализующих информационные процессы в традиционном или автоматизированном режимах для удовлетворения информационных потребностей пользователей, то материальными объектами информационной безопасности являются элементы таких ИС:

- потребители и персонал;

- материально-технические средства (МТС) информатизации;

- информационные ресурсы (ИР) с  ограниченным доступом.

Под информационной безопасностью далее будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности.

Реализация процесса защиты информации в каждом из означенных контуров происходит примерно по следующим этапам:

1. Определение объекта защиты:

- права на защиту ИР;

- стоимостная оценка ИР и  его основных элементов;

- длительность жизненного цикла  ИР;

- траектория информационного процесса  по функциональным подразделениям фирмы;

2. Выявление угроз:

- источников угроз (конкурентов, преступников, сотрудников и т.п.);

- целей угроз (ознакомление, модификация, уничтожение и т.п.);

- возможных каналов реализации  угроз (разглашение, утечка, НСД и т.п.);

3. Определение необходимых мер  защиты;

4. Оценка их эффективности и  экономической целесообразности;

5. Реализация принятых мер с  учетом выработанных критериев (приоритетов);

6. Доведение принятых мер до  персонала (в части касающейся), контроль за их эффективностью и устранение (предотвращение) последствий угроз.

 

 

 

 

Глоссарий

1. Brute-force атака - вид перебора пароля, который заключается в переборе все возможных паролей. При достаточной скорости и недостаточной защищенности криптоалгоритма, brute-force атака может быстро узнать пароль аккаунта.
2. Buffer Overflow - самый популярный вид ошибки в программах UNIX, которые позволяют при некоторых характеристиках (suid-флаг и т.п.) получить права доступа высшей категории.
3. Denial-of-service (DoS) - общий вид атаки на сервера в Интернете, главной целью которой является остановка обслуживания или искажения обслуживания этим сервером своих пользователей. Это добиваются путем перезагрузки сервера, "зависания" сервера, прекращение его работы и т.п.
4. Exploit (эксплоит) - небольшая программа, часто написанная на языке C с использованием ассемблера (если она под UNIX), которая используя заранее известный недочет в другой программе, позволяет получить какую-либо привилегию.
5. FreeBSD - самый распространенный UNIX-сервер в Интернете. Известен своей маштабируемостью, но и не защищенностью по умолчанию.
6. Human denial-of-service (HDoS) - вид атаки на человека с общими принципами как у DoS-атаки, когда главной целью остановка реагирования или искажения реагирования человека на определенные факторы
7. Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.
8. Аутентификация - процедура проверки является ли человек тем, за кого он себя выдал при идентификации.
9. Веб-мастер (веб-админ) - человек, который регулирует работу веб-сайта.
10. Веб-сайт - сервер в Интернет, который предоставляет для пользователей Интернета доступ к той информации, которую на него выложит веб-мастер.
11. Врата сортировки - характеристика бессознательного человека, которыми обладает каждый индивидуум и с помощью которых можно расположить человека к себе.
12. Е-майл, e-mail - адрес (в нек. случаях письмо) электронной почты.
13. Идентификация - процедура опознавания человека объектом информатизации.
14. Лога сервера - файл(ы) на компьютере, в которых фиксируются события указанные по критериям оценки опасности этих событий. Часто применяется при обнаружении попыток взлома сервера.
15. Метамодель (метапрограмма) - базовые фильтры восприятия человека, на которых держится его мировосприятие.
16. Объект информатизации - комплекс, состоящий из программно-аппаратных частей компьютера или других видов техники, который хранит, обрабатывает и выдает информацию.
17. Права доступа - определенный вид характеристики учетной записи и файлов, которая определяет нормативы доступа (право на чтение, изменение, удаление и т.п.) к информации при объекте информатизации.
18. Принцип уподобления - метод, при котором, социальный инженер "уподобляется" жертве. То есть зеркально копирует все вербальные и не вербальные жесты и позы жертвы, что начинает "управлять" позами, а соответственно расположенностью жертвы.
19. Социальная инженерия - наука и методология, изучающая управление метамоделью поведения человека, а также изучающая разрушение и построение соответствующих новых метамоделей.
20. Социальный инженер - человек, который в совершенстве освоил техники и методы социальной инженерии.
21. Угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней.
22. Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.
23. Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка" .
24. Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.
25. Учетная запись (аккаунт) - совокупность имени и пароля конкретного человека для определенного объекта информатизации в целях обеспечения идентификации и аутентификации этого человека.
26. Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.