Разработка и внедрение политики безопасности ИС на предприятии

Данное положение определяет распространение шифровальных  (криптографических) средств, техническое обслуживание шифровальных (криптографических) средств, предоставление услуг в сфере шифрования информации, разработку, производство шифровальных (криптографических) средств

Данные приказы являются лишь малой частью того, что разработано для защиты информационной системы и ее частей.

Стандартами информационной безопасности являются:

• Международные стандарты;

Одним из важных международных стандартов является:

«Финансовые услуги. Рекомендации по информационной безопасности. ГОСТ Р»

• Государственные (национальные) стандарты РФ;

Одним из ведущих национальных стандартов РФ является:

• «Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008»(принят и введен в действие Распоряжением Банка России от 25.12.2008 № Р-1674).
• Рекомендации по стандартизации:

Одной из основных рекомендаций по стандартизации среди стран СНГ является:

• решение Совета глав правительств «О придании федеральному государственному унитарному предприятию «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации» статуса базовой организации государств-участников Содружества Независимых  Государств по методическому и организационно-техническому обеспечению работ в области информационной безопасности и подготовке специалистов в этой сфере»20
• Методические указания.

Деятельность информационной безопасности определяется специальными  государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы и службы РФ
государственные органы	службы
Комитет Государственной Думы по безопасности	Служба экономической безопасности
Совет безопасности РФ	Служба безопасности персонала
Федеральная служба по техническому и экспортному контролю (ФСТЭК России)	Кадровая служба
Федеральная служба безопасности РФ (ФСБ России)	Служба информационной безопасности
Федеральная служба РФ (ФСО России)
Служба внешней разведки РФ (СВР России)
Министерство обороны РФ (Минобороны России)
Министерство внутренних дел РФ (МВД России)

 

Таблица 1.

 

1.3.Способы и  средства обеспечения защиты  информационной безопасности. Виды  атака на информацию предприятия

Наиболее популярными способами и средствами защиты информационных систем на предприятии являются:

• авторизация (предоставление определенному лицу или группе лиц прав на выполнение определенных действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий); 
• антивирусные программы (программа, которая специлизируется  по выявлению вирусов и нежелательных программ. Самыми популярными антивирусными программами являются Eset Smart Security, Microsoft Security Essentials и антивирус Касперского);21
• -межсетевые экраны (совокупность программно-технических средств, осуществляющее контроль и проходимость сетевых пакетов через него в соответствии с заданными правилами. Наиболее известный межсетевой экран – брандмауэр Windows);22
• пароль (случайный набор букв или цифр, предназначение которого является подтверждение личности или полномочий );23
• грифы секретности (реквизиты, которые свидетельствуют о степени секретности сведений, которые находятся на носителе, стоящий прямо на носителе или в прилагающей к нему документации);24
• криптография (наука, изучающая методы обеспечения секретности и подлинности);25

Видами атак на систему организации являются:

• подключение через удаленный доступ (этот вид позволяет управлять удаленно персональным компьютером пользователя по сети);
• сетевая разведка (в таком виде атаки хакер не предпринимает никаких действий, но при этом он может получить секретную информацию о построении и функционировании информационной системы жертвы);26
• взломщики паролей (программное обеспечение, предназначенное для взлома авторизованных пользователей ресурсов системы и ее услуг);
• IP-спуффинг (вид атаки в незащищенных сетях, в котором злоумышленник представляет из себя уполномоченного пользователя находясь в самой организации);
• переполнение буфера(принцип такого вида атаки выстроен на применении программных ошибок которые позволяют вызывать сбой границ памяти);
• хакерская атака (событие, цель которого захват контроля над локальной вычислительной машиной или ее отказ).

Хакерская атака также делится на три основных вида атак: троянские программы (программное обеспечение, которая распространяется людьми); почтовый (сетевой) червь (программное обеспечение, которая распространяется самостоятельно через локальные сети и через сеть Интернет);27 DoS-атака (вид атаки, цель которого принудить сервер не отвечать на запросы.

Причинами использования DOS - атаки являются:

• личная неприязнь;
• развлечение;
• политический протест;
• недобросовестная конкуренция;
• вымогательство или шантаж.28

Также DOS-атака имеет подтип под названием DDoS-атака(подтип DoS-атаки, у которого цель та же самая, что и у DoS-атаки, но с одним различием: атака происходит не с одного ПК, а сразу с нескольких машин).

Также самая примитивная Dos-атака  может быть выполнена с помощью одного персонального компьютера, который имеет высокоскоростное подключение к сети Интернет.. При такой атаке злоумышленник использует специальную программу, который начинает  засыпать сайт запросами. В принципе для этого может подойти и обычный веб-браузер, который «обновляет» страницу.

Но этот тип атаки имеет минимальный процент на успех в современной сети Интернет. Его проблема заключается в том, что протоколы передачи данных позволяют хостинг-провайдеру фильтровать слишком большой список запросов по IP-адресу источника.

Нужно отметить, что для атаки на организацию преступники используют  различные особенности протоколов передачи данных, в том числе подделка IP-адреса. Одним из самых известных поддельных сайтов является yanclex.ru, который преступники использовали для кражи огромных денежных сумм у людей. На Яндексе есть вкладка для пополнения счета под названием «Яндекс.Деньги». Ничего не знающий человек вместо латинской буквы d пишет сочетание букв cl очень похожее на d при пополнению своего счета.

Различных IP-адресов в современном мире существует достаточно много, с помощью которых можно было произвести атаку на определенный сайт, т.к.  атакующие запросы приходят с других IP-адресов, фильтрация атаки по адресу источника в данный момент не происходит.

Для реализации любой DDoS-атаки преступники используют специальные программы под названием ботнеты – сети из зараженных сетевыми червями персональными компьютерами, расположенные по всему миру. Крупные из них могут включать в себя десятки и сотни тысяч ПК. Их пользователи не подозревают о том, что их компьютер заражен вирусными программами. Ботнеты программируются путем рассылки вредоносного ПО, а поврежденные ПК в дальнейшем постоянно получают команды от преступника, который написал ботнет29. Его создание можно посмотреть как Приложение 1 «Создание ботнета».

Наиболее успешным способом DDoS-атаки является подача ПК таких запросов к веб-серверу, требующие существенных затрат на вычисления ресурсов на обработку.

Также проблемой является уязвимый хостинг – провайдер. Основными ошибками всех хостинг-провайдеров является неверная настройка веб-серверов, использование устаревших версий ОС, несвоевременное обновление ПО, а также применение программ собственной разработки.

Этот список можно и дальше продолжать.

Использовав что-нибудь из этого списка, преступник может получить полный доступ к данным других пользователей или вызвать разные сбои в работе ОС.

Борьба с подобными уязвимостями – задача первостепенной важности для сохранности информации предприятия и провайдеры с ней обычно справляются успешно.

Пользователь никак не может повлиять на эту ситуацию.

Man in the Middle - тип атаки, в котором злоумышленник перехватывает канал связи между двумя системами, и получает доступ ко всем ресурсам информации.

Потом преступник действует как  прокси и может читать их или изменять. Довольно редко происходит прямое соединение с клиентом. Является довольно простой и более надежный из-за природы HTTP-протокола и передаваемых данных, основанных на ASCII.30

 

Глава 2.Существующая политика безопасности

2.1. Сведения об организации

МАОУ ДОД ЦТР и ГО «Информационные технологии» (далее ЦИТОИС) - инфраструктурная площадка комитета по образованию администрации городского округа «Город Калининград», образованная в 2005 году в городе Калининграде и расположен по адресу ул. Полковника Ефремова, 10.

В состав ЦИТОИСа входят 2 этажа: первый этаж полностью учебные классы и спортивный зал, второй этаж – администрация, бухгалтерия и учебные классы. Детей обучают по различным направлениям: робототехника, иностранный язык, баскетбол, ИКТ и так далее.

Высшим органом управления является Комитет по образованию администрации городского округа «Город Калининград» и является учреждением дополнительного образования детей.

В соответствии с Уставом ЦИТОИСа главным лицом является Директор. Управленческий персонал состоит из работников, обеспечивающих управление технологическим и трудовым процессом. Сюда входят руководящие, инженерно-технические работники.

Структура ЦИТОИСа показана на схеме 1.

 

 

 

 

 

схема 1.

 

Также ЦИТОИС имеет высшую категорию и проводит обучение детей и взрослых по следующим категориям: обучение детей ИКТ и проектной деятельности; раннее развитие; дополнительное образование для детей с ограниченными возможностями здоровья; организация массовых форм деятельности детей и взрослых в дополнительном образовании (движения, проекты, игровые и досуговые программы, тренинги, праздники, фестивали, лагеря, экспедиции,  конкурсы, олимпиады.); организация повышения квалификации для различных целевых групп работников образования; внедрение информационных технологий в образовательное учреждение; работа с проектами, грантами, и партнерскими  программами.

Также в ЦИТОИСе проводятся профильные смены – профильная Летняя (Зимняя) компьютерная школа «ЦИТ.RUS». Этот лагерь проводится в 2 смены.

Услуги, проводимые в ЦИТОИСе, в основном оказывают бюджетное (бесплатное) образование в рамках  реализации муниципального задания: основы компьютерной грамотности; компьютерная графика и анимация; робототехника; информатика и современные информационные технологии.

Бывают и интеллектуальные игры:

• Конкурс «Леонардо»
• Игра-конкурс «Русский медвежонок»
• Конкурс КИТ
• Тестирование «ИПО - выпускникам» по русскому языку
• Тестирование «ИПО - выпускникам» по естествознанию (физике, химии, биологии)
• Конкурс «Британский бульдог»
• Тестирование «Кенгуру - выпускникам» - математическое тестирование 4, 9 и 11 классов
• Конкурс «ЧИП – человек и природа» - Всероссийский конкурс по предметам естественных наук.

ЦИТОИС имеет два подразделения:

• Информационно-коммуникативное
• Учебно-методическое

Информационно-коммуникативное подразделение имеет основные направления:

• Сопровождение процесса информатизации городской системы образования
• Организация системы технической поддержки коммуникационного и компьютерного оборудования в образовательных учреждениях
• Ведение базы данных по образовательных учреждениям  города
• Поддержка городского образовательного портала
• Внедрение Интернет-ресурсов и элементов  дистанционного образования в образовательный процесс.

Образование учебно-методического подразделения ориентировано на научно-техническую направленность, в которую входят следующие программы:

• Фантазеры. Мультитворчество
• Основы компьютерной грамотности
• Компьютерная анимация и графика
• Информатика и современные информационные технологии
• Робототехника.

Также проводится один международный социальный проект под названием «Миссия Скаутинга», цель которого является – сделать вклад в воспитание молодых людей, используя основанную на Скаутском Обещании и Законе скаутов системы ценностей, во имя построения лучшего мира, в котором люди будут чувствовать себя полноценными личностями и будут играть созидательную роль в обществе.