Противодействие угрозами информационной безопасности организации со стороны собственного персонала

Глава 3 Рекомендации по актуализации подсистем

3.1 Рекомендуемые инновации в области противодействия угрозам информационной безопасности

Для обеспечения режима информационной безопасности в рамках предприятия ООО «Агентство «С» нами разработаны следующие рекомендации:

- взять под жесткий контроль все каналы связи, по которым корпоративная сеть может сообщаться с внешним миром (телефонные коммутируемые, выделенные, цифровые, радиоканалы и т.д.);

- организовать разделение доступа в сети к различным информационным ресурсам путем разбиения сети на изолированные сегменты, для каждой группы пользователей сети предоставить строго только необходимые ресурсы;

- выделить эксплуатируемый WWW-сервер в отдельный изолированный сегмент, а при необходимости и физически изолировать его от остальной сети;

- удалить (заблокировать) на эксплуатируемых в сети компьютерах накопители на сменных носителях, удалить или опечатать шлейфы неиспользуемых коммуникационных портов, для остальных установить нестандартные внешние разъемы, эксплуатация которых без специального ключа (переходника) невозможна, при возможности использовать в качестве рабочих мест терминалы вместо персональных компьютеров;

- ключи для коммуникационных портов хранить в опечатанных пеналах в металлическом хранилище и выдавать строго определенным сотрудникам;

- перенос любой информации с компьютера на компьютер помимо сети осуществлять только на одном внешнем накопителе, при этом заниматься этим должен один конкретный сотрудник, несущий персональную ответственность за сохранность информации;

- носители, на которых физически размещается критически важная информация, поместить в контейнеры типа Mobil rack, опечатывать замки и переднюю панель контейнера при эксплуатации массива, в нерабочее время помещать контейнер в металлическое хранилище (сейф);

- официально назначить сотрудника, несущего ответственность за защиту информации на предприятии (в организации), определить круг его обязанностей;

- провести сплошную проверку компьютеров, эксплуатируемых на предприятии (в организации) на предмет нештатных вложений либо подключений, после проверки корпуса компьютеров опечатать;

- для пресечения попыток снятия информации с работающих компьютеров путем визуального наблюдения или сканирования электромагнитной сигнатуры оборудовать окна в помещениях, в которых размещаются компьютеры, внутренними жесткими металлическими жалюзями, обязать персонал закрывать жалюзи при обработке критической информации;

- для сохранения наиболее критической информации как хранящейся на носителях, так и перемещающейся по сети, применять криптографическое программное обеспечение, использующее современные алгоритмы шифрования;

- постоянно сканировать пространство корпоративной сети и поступающую извне информацию антивирусными программами, регулярно обновлять базы данных антивирусов, обязать персонал систематически проверять носители, особенно сменные, а также входящую почту, на предмет наличия вирусов;

- установить дисциплинарную ответственность персонала за нарушение режима информационной безопасности и халатное отношение к сохранности информации, каждый случай нарушения режима и принятые в отношении нарушителя дисциплинарные меры доводить до сведения коллектива, акцентировать внимание персонала на том, что распространение вредоносных программ (вирусов) и нарушение правил эксплуатации компьютеров и их сетей, повлекшее утрату (повреждение) информации, в настоящее время являются уголовно наказуемыми деяниями;

- установить штатно предусмотренные пароли на доступ к BIOS компьютеров, на компьютерах содержащих критическую информацию дополнительно установить пароли на загрузку, предусмотреть систему парольной идентификации пользователей в сети, ведение протоколов работы пользователей;

- установить в корпоративной сети внутренние POP, SMTP, Proxy HTTP/FTP сервера, все общение пользователей сети с внешним миром вести только через эти сервера, установить на них программное обеспечение для объективного контроля за содержимым информации, циркулирующей через них;

- установить на компьютерах, в том числе и не подключенных к сети, средств объективного контроля за деятельность персонала;

- установить программную систему мониторинга движения пакетов в корпоративной сети и доступа к критичной информации, вести протоколирование доступа к подобной информации;

- установить программную систему типа packet sniffer для сканирования сети, при возникновении риска нарушения режима безопасности переводить ее в режим перехвата пакетов;

- назначить конкретного сотрудника, который будет заниматься анализом результатов работы средств объективного контроля, контролировать состояние безопасности сети и при возникновении нештатных ситуаций принимать меры по незамедлительному реагированию;

- систематически проверять соблюдение режима информационной безопасности - сохранность печатей на оборудовании, ключей коммуникационных портов, внешних и сменных носителей, носителей в контейнерах, наличие нетабельных коммуникационных устройств и носителей на рабочих местах персонала, наличие компьютеров, оставленных персоналом во включенном состоянии без присмотра.

  Исходные данные: имеется локальная сеть ООО Агентство «С», объединяющая несколько отделов (или других структурных подразделений), Web-сервер и доступ к Интернет.

Требуется: разграничить права доступа на уровне отделов/подразделений к ресурсам других подразделений и обеспечение безопасности при работе с Интернетом в плане несанкционированного доступа из Интернета к внутренней сети организации.

Предлагается следующее решение: сеть организации разбивается на сегменты посредством сбора сегментов сети на РАЗНЫХ концентраторах (хабах). Внутри одного сегмента предполагается, что все машины имеют одинаковый уровень доступа.

В центре сети ставится машина под ОС Linux с настроенными правилами фильтрации. Для каждого сегмента в сервере предусматривается отдельная сетевая плата.

Доступ из одного сегмента в другой может быть разрешен или запрещен полностью или частично. Под частичным ограничением доступа следует понимать следующие виды ограничений:

1. По IP-адресу источника и приемника пакета.

2. По протоколу TCP/UDP/ICMP.

3. По порту источника и приемника пакета.

4. По признаку SYN/ACK (инициатор/ответчик).

5. По интерфейсам главного маршрутизатора.

Кроме того, может быть выполнена жесткая привязка IP-адресов к MAC- адресам сетевых плат на рабочих машиинах при их работе с/через главный маршрутизатор, что затрудняет простую перестановку IP адреса даже внутри одного сегмента с машины на машину для предотвращения представления одной машины реквизитами другой в сети (при этом не исключается перестановка сетевых плат физически с машины на машину или, при наличии у сетевой платы такой возможности, перепрограммирования ее MAC-адреса на аппаратном уровне.

Эти действия требуют квалификации пользователя, легко выявляются при дубляже MAC-адресов в виде нарушения работы двух рабочих машин в сети).

  Администрирование собственно Linux и WWW серверов может производиться с самого сервера или с любой из рабочих станций. Доступ для администрирования может быть дополнительно защищен от прослушивания траффика внутри своего сегмента. Все вышеперечисленные ограничения применимы и к выходу через данный Linux-сервер в интернет и для блокировки несанкционированного проникновения из интернета во внутренние сегменты. Кроме того на данном Linux-сервере могут быть установлены proxy-сервера для доступа к интернету в том числе и с возможностью фильтрации запрашиваемых доменных имен при серфинге по Интернету для блокировки посещеня нежелательных сайтов.

На базе может быть Linux организован почтовый сервер SMTP/POP3 и модемные подключения для доступа извне.

Все описанные вещи практически независимы и могут добавляться постепенно по мере необходимости.

Условная смета проведения работ по обеспечению режима информационной безопасности.

Технические средства и мероприятия:

- приобретение контейнеров типа Mobil rack 2-3 шт. по 10-15 УЗЕ

- изготовление нестандартных разъемов внешних интерфейсов (LPT) и ключей к ним 7-9 УЗЕ за комплект

- приобретение компьютера-маршрутизатора и сетевых аппаратных средств к нему 700-1000 УЗЕ

- приобретение внешнего накопителя с интерфейсом LPT 140-175 УЗЕ

- отключение накопителей на сменных носителях, внешних интерфейсных разъемов по потребности

- изготовление и установка принадлежностей для опечатывания корпусов компьютеров, контейнеров с винчестерами, изготовление (закупка) пеналов для хранения ключей разъемов LPT по потребности

- установка на окнах в помещениях с компьютерами защитных жалюзей

по потребности

- органолептический контроль наличия посторонних вложений на рабочих станциях сети 2-4 УЗЕ на рабочее место

Программные средства:

- установка и конфигурирование программного обеспечения маршрутизатора и брандмауэра 200 УЗЕ

- разработка, установка, конфигурирование средств объективного контроля рабочих мест сети 4 УЗЕ на рабочее место

- установка и конфигурирование POP/SMTP и HTTP серверов и средств объективного контроля на них 100 УЗЕ

- конфигурирование системы разграничения доступа пользователей 50 УЗЕ

- установка и конфигурирование системы типа packet sniffer для работы в режиме сканирования сети 150 УЗЕ

- установка системы мониторинга движения пакетов в корпоративной сети и доступа к критичной информации 60 УЗЕ

- приобретение антивируса AVP с годовой подпиской 100 УЗЕ

- приобретение антивируса DoctorWEB по потребности

- установка и конфигурирование средств шифрования данных по потребности.

Нами разработаны рекомендации по обеспечению информационной безопасности организации со стороны персонала ООО Агентство «С»:

-разработка гибкой организационной структуры организации, адаптированной «под задачи», когда лишние подразделения следует ликвидировать, перераспределив и частично уволив сотрудников;

-определение приоритетов в развитии персонала и реализации функций управления ими;

-ежегодная аттестация персонала предприятия;

-систематический пересмотр «Положений о подразделениях» и «Должностных инструкций» с целью их совершенствования в соответствии с изменениями в разделении и организации труда, а также в связи с изменениями уровня профессионализма самих работников;

-разработка компенсационных пакетов (размера, структуры, соотношения различных форм вознаграждения работникам) с ориентацией на конечные результаты, значимые для организации (система сквозных показателей, например), и с учетом индикации;

-разработка системы мер профилактики противоправного поведения сотрудников, в том числе и на случаи возникновения объективных причин к снижению уровня преданности фирме (например, при угрозе увольнения). Здесь речь идет о защите конфиденциальной информации, включая соответствующие положения в трудовых соглашениях, и мерах против мошенничества, включая внутренний аудит;

-постоянное информирование сотрудников о состоянии рынка товаров и услуг, на котором действует организация, формирование рыночного мышления, обеспечение причастности к проблемам организации.

Создаваемые в ООО Агентство «С» комплексные системы защиты информации – многоуровневые, как правило, территориально-распределенные системы со строгой иерархической структурой, обеспечивающие эшелонированную защиту информационных систем и ресурсов заказчика. Перечень функциональных комплексов средств защиты, внедрение которых позволяет обеспечивать безопасность информационно-вычислительной системы заказчика от всех известных видов информационных угроз. В рамках комплексных систем защиты информации в ООО Агентсвто «С» рекомендуется включить следующие комплексы:

–   управления доступом, реализующий функции по управлению доступом пользователей к ресурсам, включая сетевые подключения и доступ к внешним носителям информации и устройствам;

–   регистрации и учета, осуществляющий регистрацию и учет действий пользователей в различных системах, что позволяет зафиксировать факты обращения пользователей к защищаемым информационным ресурсам;

–   обеспечения целостности, позволяющий предотвращать подмену легитимной программной среды на модифицированную как злоумышленником, так и в результате системных сбоев;

–   криптографической защиты, обеспечивающий защиту данных при хранении и передаче по каналам связи, а также организацию документооборота с использованием средств ЭЦП;

–   защиты от вредоносного кода и спама, осуществляющий защиту рабочих станций и серверов от различных вирусов, червей, троянов и другого вредоносного кода, получаемого из интернета, по электронной почте или другим каналам, а также защиту от нежелательной корреспонденции (спама);

–   обеспечения сетевой безопасности, предотвращающий возможные атаки, реализуемые на сетевом уровне. В состав комплекса входят средства межсетевого экранирования, организации защищенных виртуальных сетей (филиалы, удаленные пользователи) и средства своевременного обнаружения и блокирования атак (IDS/IPS);