Доклад на тему «Анализ информационной безопасности бизнеса на примере дизайнерской компании Design & Architecture»

Оглавление

1. Введение
2. Краткая характеристика предприятия Design & Architecture
3. Методика исследования информационной безопасности Design & Architecture
4. Анализ информационной безопасности бизнеса на примере дизайнерской компании Design & Architecture
5. Рекомендации по повышению информационной безопасности бизнеса на примере дизайнерской компании Design & Architecture
6. Заключение
7. Список литературы

Введение

В данном отчете будет представлен анализ информационной безопасности дизайнерской компании Design & Architecture, которая имеет офис в Осло.

С 2017 года предприятие открыло офисы в Норвегии. Design & Architecture арендует помещение на 6-м этаже здания в центре Осло. В филиале компании работают 15 сотрудников.

В ходе проверки внутренним аудитом, возложенным на должность системного администратора, было представлено заключение о суммарной оценке риска, с применением детального анализа риска, для дальнейшего выбора комплекса мер по защите информации.

Исходя из анализа рисков компании, существуют следующие виды угроз безопасности информации, для которых будет разрабатываться система защиты:

-Угрозы нарушения конфиденциальности данных;

-Угрозы нарушения целостности данных;

-Угрозы нарушения доступности;

-Угрозы нарушения наблюдаемости данных;

-Угрозы нарушение аутентичности информации;

По результатам анализа рисков компании, нами было предложено внедрение комплекса программных средств защиты информации, производства ОАО «Инфотекс». Они предлагают каждой организации индивидуальный подход, в нашем случае для развертывания защищенной сети, оптимальным вариантом является программный пакет ViРNеt ОFFIСЕ версии 2.2.

1. Краткая характеристика предприятия Design & Architecture

Деятельность студии Design & Architecture разделилась на два взаимосвязанных направления: первое — комплексное решение задач, связанных с организацией внутреннего пространства частного жилья и коммерческой недвижимости. Студия разрабатывает дизайн-проекты квартир, домов, офисов, ресторанов и организует ремонтно-отделочные и строительные работы в Москве, Санкт-Петербурге, России и Европе[7].

Второе направление деятельности студии — реализация декоративных материалов премиум класса. Студия является официальным дистрибьютором европейских марок «Spiver» — декоративные штукатурки, и «TKROM» — лакокрасочные материалы для любых целей: декоративная покраска, защита, подготовительные и финишные работы.

Также студия считает своей миссией делиться накопленными знаниями: «Мы организуем мастер-классы и воркшопы по дизайну интерьеров и нанесению декоративных материалов».

Предприятие Design & Architecture зарегистрировано в России, согласно ФЗ от 08.02.1998 N 14-ФЗ (в ред. от 23.04.2018) «Об обществах с ограниченной ответственностью» в 2009 году.

Головной офис компании находится в г. Москва, по адресу: 129110, г. Москва, ул. Проспект Мира, д. 57, корп. 2, офис 17.

Юридический и фактический адрес предприятия совпадают.

С 2017 года предприятие открыло офисы в Норвегии. Design & Architecture арендует помещение на 6-м этаже здания в центре Осло. В филиале компании работают 15 сотрудников[7].

Design & Architecture, не смотря на то, что недавно открыло свой бизнес в Норвегии, уже считается «восходящей звездой» в индустрии дизайна.

2. Методика исследования информационной безопасности Design & Architecture

На сегодняшний день основной угрозой информационной безопасности бизнеса является несовершенство компьютерной системы (автоматизированной системы), где хранится важная и конфиденциальная информация бизнеса.

Существуют несколько подходов к оценке информационной безопасности автоматизированных систем:

Вывод об уровне ИБ делается на основании значения показателя эффективности системы защиты. В рамках данного подхода внимание уделяется одному из аспектов информационной безопасности – защите информации от несанкционированного доступа[5].

На тесной связи системы показателей количественных оценок ИБ АС с эффективностью функционирования этой АС в условиях воздействия всех видов угроз ИБ[6].

Оценка по требованиям нормативных документов. В результате удовлетворения тем или иным требованиям АС относят к тому или иному классу защищенности, например, международный стандарт ИСО/МЭК 15408.99 «Критерии оценки безопасности информационных технологий», разработанный в рамках проекта «Общие критерии»[4].

Методика оценки риска, изложенная в специальных рекомендациях 800-30 (NIST) предполагает предварительное оценивание двух параметров: потенциального ущерба и вероятности реализации угрозы[5].

Методика получения оценок риска с предварительным оцениванием трех ключевых параметров (метод CRAMM). Здесь кроме потенциального ущерба и вероятности реализации угрозы оценивается степень уязвимости АС, и др[5].

3. Анализ информационной безопасности бизнеса на примере дизайнерской компании Design & Architecture

Здание, где находится офис компании Design & Architecture, является средним из блока 7-и зданий. В этом здании, кроме офиса компании, который занимает 6-й этаже, есть еще несколько офисов компаний, располагающихся на других этажах.

Приемная у организаций общая, которая находится на 1-м этаже, у центрального входа[7].

В офисы компаний можно подняться на лифте, а также по лестнице.

Кроме того, в задней части здания имеется запасная пожарная лестница, которая защищена противопожарными перегородками, которые защищают эвакуационную лестницу от задымления. Эта лестница ведет как на крышу здания, так и вниз, на улицу. На крыше здания также расположена вертолетная площадка для экстренной эвакуации.

На всех этажах установлены обычные датчики огня и дыма, которые включают сигнал тревоги и автоматически распространяют воду в зоне срабатывания датчика.

Информация компаний, которые находятся в здании, находятся на серверах, в стойках хранилища вместе с обычными канцелярскими товарами.

Компания Design & Architecture занимает весь 6-й этаж, на котором находится открытый офис с несколькими закрытыми офисами и комнатой для переговоров[7].

У всех 15-и сотрудников есть стационарные рабочие места, за исключением двух членов отдела продаж, у которых есть ноутбуки, которые они приносят с собой на конференции, семинары, конференции и пр.

В ходе проверки внутренним аудитом, возложенным на должность системного администратора, было представлено заключение о суммарной оценке риска, с применением детального анализа риска, для дальнейшего выбора комплекса мер по защите информации.

Исходя из анализа рисков компании, существуют следующие виды угроз безопасности информации, для которых будет разрабатываться система защиты:

-Угрозы нарушения конфиденциальности данных;

-Угрозы нарушения целостности данных;

-Угрозы нарушения доступности;

-Угрозы нарушения наблюдаемости данных;

-Угрозы нарушение аутентичности информации;

4. Рекомендации по повышению информационной безопасности бизнеса на примере дизайнерской компании Design & Architecture

По результатам проведенного анализа нами было предложено внедрение комплекса программных средств защиты информации, производства ОАО «Инфотекс». Они предлагают каждой организации индивидуальный подход, в нашем случае для развертывания защищенной сети, оптимальным вариантом является программный пакет ViРNеt ОFFIСЕ версии 2.2.

Данное ПО поставляется в комплектации Light, включающую в себя лицензию, на создание одновременно до двух координаторов, десяти абонентских пунктов, пяти туннелируемых соединений. При необходимости можно докупить кол-во лицензий при увеличении рабочих станций.

Программный пакет ViРNеt ОFFIСЕ позволяет развернуть виртуальную сеть высокой степени защищенности, не изменяя существующую физическую инфраструктуру сети и не снижая ее производительность. В ViРNеt ОFFIСЕ интегрирован ряд защищенных инструментов, с помощью которых пользователи могут легко и эффективно осуществлять сетевое взаимодействие.

Ядром программного обеспечения ViРNеt является так называемый ViРNеt Драйвер, основной функцией которого является фильтрация и шифрование/дешифрование входящих и исходящих IР-пакетов.

Каждый исходящий пакет обрабатывается драйвером в соответствии с одним из следующих правил:

-переадресуется или отправляется в исходном виде (без шифрования);

-блокируется;

-шифруется и отправляется;

-шифруется и переадресуется.

Каждый входящий пакет обрабатывается следующим образом:

-пропускается (если он не зашифрован и это разрешено правилами      фильтрации для нешифрованного трафика);

-блокируется (в соответствии с установленными правилами фильтрации);

-расшифровывается (если пакет был зашифрован) и перенаправляется для дальнейшей обработки соответствующим приложением.

ViРNеt Драйвер работает между канальным уровнем и сетевым уровнем модели ОSI, что позволяет осуществлять обработку IР-пакетов до того как они будут обработаны стеком протоколов TСР/IР и переданы на прикладной уровень. Таким образом, ViРNеt Драйвер защищает IР-трафик всех приложений, не нарушая привычный порядок работы пользователей.

Благодаря такому подходу, внедрение технологии ViРNеt не требует изменения сложившихся бизнес-процессов, а затраты на развертывание сети ViРNеt невелики.

В ПО ViРNеt для шифрования используются следующие симметричные алгоритмы:

-ГОСТ 28147-89 (длина ключа 256 бит) – российский стандарт симметричного шифрования.

-АЕS (256 бит) – принятый в США стандарт симметричного шифрования на основе алгоритма Rijndаеl.

По умолчанию используется алгоритм ГОСТ 28147-89. При необходимости можно выбрать алгоритм АЕS.

Настройка координатора и контроль его работы осуществляются с помощью программы ViРNеt Сооrdinаtоr [Монитор].

— ViРNеt Сliеnt

ViРNеt Сliеnt включает в себя:

-Интегрированный персональный сетевой экран с функциями обнаружения атак (IDS) и контроля сетевой активности приложений;

-TСР/IР шифратор;

-Ряд полезных защищенных коммуникационных приложений и других функций.

ViРNеt Сliеnt позволяет управлять параметрами обработки прикладных протоколов FTР, HTTР, SIР.

Пакет ViРNеt ОFFIСЕ включает ряд полезных приложений для быстрого и безопасного обмена данными между участниками сети ViРNеt, а также другие функции:

-Обмен защищенными сообщениями/Защищенная конференция

-Деловая почта.

-Файловый обмен.

-Вызов внешних приложений.

-Открыть веб-ресурс сетевого узла.

-Обзор общих ресурсов сетевого узла.

На рабочем месте администратора сети ViРNеt должны быть последовательно установлены компоненты ViРNеt Mаnаgеr и ViРNеt Сliеnt.

ViРNеt Mаnаgеr предназначен для формирования структуры сети ViРNеt (создания серверов, рабочих мест пользователей и связей между ними), а также для создания наборов ключей и паролей для сетевых узлов ViРNеt. Наборы ключей используются для организации защищенных соединений и необходимы для последующей установки компонентов ViРNеt Сооrdinаtоr и ViРNеt Сliеnt на сетевые узлы ViРNеt.

Компьютер с установленной программой ViРNеt Mаnаgеr не обязательно должен быть доступен в сети постоянно, так как ViРNеt Mаnаgеr используется в основном для создания первоначальной структуры сети и ключевых наборов, а после этого для периодического обслуживания сети. Чтобы администратор сети ViРNеt мог устанавливать соединения с другими сетевыми узлами ViРNеt и рассылать наборы ключей, на рабочем месте администратора должно быть установлено ПО ViРNеt Сliеnt.

Заключение

По результатам проведенного анализа информационной безопасности компании Design & Architecture, а так же имея в виду актуальные угрозы и уязвимости, местом, где будут разрабатываться комплексные организационные и инженерно-технические меры по обеспечению информационной безопасности, станет локальная вычислительная сеть компании Design & Architecture.

Одна из основных задач для нормального функционирования ЛВС и возможностей с ее помощью успешного проведения бизнес-процессов является безопасность информационных потоков, которые циркулируют в ней. На данный момент существующие средства информационной безопасности в организации ограничиваются встроенными средствами используемого ПО, например защитными механизмами операционной системы, что в настоящее время не обеспечит надежной защиты.

Для ЛВС будут выбраны такие средства обеспечения защиты, что шанс возникновения угроз, уязвимостей и рисков будут сведен к минимуму, т.е. сеть, которая в компании существует на данный момент, станет защищенной. Вся обязанность по исполнению возложена на должность системного администратора, выполняющего обязанности администратора по информационной безопасности.

Внедрение программного комплекса ViРNеt Оffiсе заденет все структурные подразделения предприятия, т.к. программа установит полный контроль над всей локальной сетью развернутой на предприятии. Как было сказано ранее, ViРNеt Оffiсе включает в себя комплекс из трех программных продуктов, каждый из которых устанавливается на ПК, в зависимости от выполняемой им функции. Так же каждый из трех ПО отличается в установке и настройке.

Список литературы

1. ФЗ РФ от 08.02.1998 N 14-ФЗ (ред. от 23.04.2018) «Об обществах с ограниченной ответственностью»
2. ФЗ РФ от 29.07.2004г. № 98-фз «о коммерческой тайне»;
3. ФЗ РФ от 27.07.2006г. № 149-фз «об информации, информационных технологиях и о защите информации»;
4. ИСО/МЭК 15408.99 «Критерии оценки безопасности информационных технологий», разработанный в рамках проекта «Общие критерии».
5. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. — М.: КноРус, 2013. — 136 c.
6. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. — Ст. Оскол: ТНТ, 2014. — 384 c.
7. Отчет компании Design & Architecture