Инструменты обеспечения информационной безопасности на предприятиях. Часть 3

Страницы: 1 2 3

---

ГЛАВА 3. ПРОЕКТИРОВАНИЕ КОНЦЕПТУАЛЬНОЙ МОДЕЛИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИЯХ МАЛОГО И СРЕДНЕГО БИЗНЕСА

3.1 Разработка методики обеспечения информационной безопасности на предприятиях малого и среднего бизнеса

Выбор защитных мер осуществляется в соответствии с идентифицированными рисками, выбранным комплексом задач обеспечения информационной безопасности.

Рабочей документацией данного раздела является:

А) Контекстная диаграмма моделируемого процесса с описанием входов, выходов, управления и механизмов

Б) Схема декомпозиции моделируемого процесса.

Далее прецедент декомпозируется на блоки, соответствующие основным шагам прецедента (таблица 4).

Таблица 4. Контекстная диаграмма для диаграммы А0 «Бизнес-процесс обеспечения информационной безопасности предприятия малого и среднего бизнеса

Диаграммы бизнес-процессов представлены ниже (рисунок 8).

Рисунок 11 –  Процесс А.2 «Защита компьютера, локальной сети или отдельных узлов от внешних атак»

 

Таким образом, на основании проведенного исследования нами были выделены следующие проблемы управления информационной безопасностью предприятия малого и среднего бизнеса:

1 Обеспечение конфиденциальности данных.

2 Обеспечение целостности данных.

3 Обеспечение аутентификации.

Решение данных проблем предлагается путем:

– внедрения криптографической защиты;

– перехода на сервер на RAID-5;

– внедрения Comodo FW.

Можно выделить следующие требования к архитектуре защиты информационной системы предприятия малого бизнеса:

1 Архитектура безопасности должна позволять организации и ее подразделениям осуществлять бизнес-процессы в электронном виде и предоставлять безопасные услуги своим клиентам.

2 Бизнес-требования и политика безопасности, а не сама технология, должны определять выбор средств контроля безопасности.

3 Уровни безопасности, применяемые к данным и ресурсам, должны быть, как минимум, соизмеримы с их деловой ценностью и достаточны для сдерживания риска до приемлемого уровня.

4 Архитектура безопасности должна основываться на общепромышленных, открытых стандартах, где это возможно, и учитывать потребности в различных уровнях безопасности.

5 Безопасность информационных систем будет встроена в системы с момента их создания, а не закреплена после внедрения системы.

6 Для достижения преимуществ архитектуры, основанной на стандартах предприятия, все инвестиции в информационные технологии должны соответствовать установленной EISA, которая предназначена для обеспечения защиты и совместимости информационных технологий в рамках всей организации.

События, сообщения и потоки данных должны учитываться в структуре концептуальной модели системы защиты информационной системы, поскольку они относятся к интерфейсам между приложениями.  Классификации данных, базы данных и вспомогательные модели данных также должны быть разработаны в стратегии, поскольку они относятся к оборудованию, платформам и компонентам хостинга.  Это гарантирует, что организация понимает сложность своих серверов, сетевых компонентов и устройств безопасности и где они хранятся в случае нарушения данных.

Организации всех размеров имеют архитектуру безопасности — независимо от того, намеренно ли они применили к ней дизайн или нет. Наличие любого технологического решения означает необходимость учитывать архитектуру и дизайн системы безопасности.

Общая предлагаемая концептуальная модель системы обеспечения информационной безопасности предприятия малого и среднего бизнеса представлена на рисунке 12.

Рисунок 12 –   Схема концептуальной модели системы обеспечения информационной безопасности предприятия малого и среднего бизнеса

В рамках данной модели предлагаются мероприятий по повышению эффективности системы обеспечения информационной безопасности предприятия малого и среднего бизнеса, представленные на рисунке 13.

Рисунок 13 –  Мероприятия по повышению эффективности системы обеспечения информационной безопасности предприятия малого и среднего бизнеса

 

Сформированная политика обеспечения информационной безопасности предприятия малого и среднего бизнеса представлена в приложении Б.

Рассмотрим методику обеспечения системы защиты информационной системы в рамках предлагаемой концептуальной модели более подробно.

1 Криптографическая защита. В основу данной политики безопасности положена криптографическая защита. Цель: обеспечить надлежащее и эффективное использование криптографии для защиты конфиденциальности и целостности данных, находящихся в собственности или под управлением предприятия или от его имени.  Конфиденциальная информация должна быть зашифрована с использованием действительных процессов шифрования для данных в покое и в движении, как того требует законодательство. Это включает, но не ограничивается, конфиденциальную информацию, хранящуюся на мобильных устройствах, съемных дисках и ноутбуках.

Криптографический контроль должен основываться на классификации и критичности данных.  При принятии решения о том, какую силу и тип управления следует развернуть, следует учитывать как автономные, так и корпоративные решения для шифрования.  Следует обратить внимание на правила, ограничения (например, экспортный контроль), которые могут применяться к использованию криптографических методов.

Информационные системы должны защищать целостность передаваемой информации, проходящей через внутренние и внешние коммуникации.  Этот контроль применяется к связи через внутренние и внешние сети.

Информационные системы должны использовать механизмы для аутентификации в криптографическом модуле, которые отвечают требованиям нормативных правовых документов и руководств по такой аутентификации. Список используемых криптографических модулей будет сравниваться со списком проверенных криптографических модулей NIST ежеквартально для обеспечения соответствия.

Информационные системы будут получать и выдавать сертификаты открытого ключа и безопасности транспортного уровня (TLS) от утвержденного поставщика услуг.  Этот элемент управления фокусирует сертификаты с видимостью, внешним по отношению к информационной системе, и не включает сертификаты, относящиеся к внутренним системным операциям, например, к службам времени конкретного приложения.  Протокол Secure Socket Layer (SSL) должен быть отключен на всех устройствах.

Должна быть установлена защищенная среда для защиты криптографических ключей, используемых для шифрования и дешифрования информации.  Управление и установление криптографических ключей будет осуществляться с использованием автоматизированных механизмов с поддержкой ручных процедур.  Ключи должны быть надежно распределены и сохранены.  Доступ к ключам должен быть ограничен только лицами, которым бизнес нужен для доступа к ним.  Любой доступ к криптографическим ключам требует авторизации и должен быть задокументирован.  Компрометация криптографического ключа приведет к тому, что вся информация, зашифрованная этим ключом, будет считаться незашифрованной.

С увеличением числа устройств, принадлежащих сотрудникам предприятия, возрастает также риск случайной утечки данных через приложения и службы, такие как электронная почта, социальные сети и публичное облако, которые находятся вне контроля предприятия. Например, когда сотрудник отправляет последние инженерные фотографии из своей личной учетной записи электронной почты, копирует и вставляет информацию о продукте в социальные сети или сохраняет отчет о продажах в публичном облачном хранилище.

Windows Information Protection (WIP), ранее известная как enterprise data protection (EDP), помогает защитить от этой потенциальной утечки данных, не вмешиваясь в работу сотрудников. WIP также помогает защитить корпоративные приложения и данные от случайной утечки данных на корпоративных устройствах и персональных устройствах, которые сотрудники приносят на работу, не требуя изменений в вашей среде или других приложениях. Наконец, другая технология защиты данных, Azure Rights Management, также работает вместе с WIP, чтобы расширить защиту данных для данных, которые покидают устройство, например, когда вложения электронной почты отправляются из корпоративной версии почтового клиента управления правами.

WIP-это механизм управления мобильными приложениями (MAM) в Windows 10. WIP предоставляет вам новый способ управления принудительным применением Политики данных для приложений и документов в настольных операционных системах Windows 10, а также возможность удалять доступ к корпоративным данным как с корпоративных, так и с персональных устройств (после регистрации в решении для управления предприятием, например Intune).

Измените свое представление о применении политики данных. Как администратор предприятия, вы должны поддерживать соответствие в политике данных и доступе к данным. WIP помогает защитить предприятие как на корпоративных, так и на принадлежащих сотрудникам устройствах, даже если сотрудник не использует это устройство. Когда сотрудники создают контент на защищенном корпоративном устройстве, они могут сохранить его в качестве рабочего документа. Если это рабочий документ, он становится локально поддерживаемым как корпоративные данные.

Копирование или загрузка корпоративных данных. Когда сотрудник или приложение загружает контент из такого расположения, как SharePoint, сетевой ресурс или корпоративный веб-узел, используя защищенное WIP устройство, WIP шифрует данные на устройстве.

Использование защищенных приложений. Управляемые приложения (приложения, включенные в список защищенных приложений в политике НЗП) имеют доступ к корпоративным данным и будут взаимодействовать по-разному при использовании с несанкционированными, не связанными с предприятием или персональными приложениями. Например, если управление WIP настроено на блокировку, сотрудники могут копировать и вставлять данные из одного защищенного приложения в другое защищенное приложение, но не в личные приложения. Например, если сотрудник отдела кадров хочет скопировать описание работы из защищенного приложения на внутренний сайт карьеры, защищенное местоположение предприятия, но вместо этого пытается вставить его в личное приложение – действие вставить завершается ошибкой, и появляется уведомление о том, что приложение не может вставить из-за ограничения политики. Затем сотрудник отдела кадров правильно вставляет на сайт карьеры без вывода ошибки.

Управляемые приложения и ограничения. С помощью WIP можно контролировать, какие приложения могут получать доступ и использовать ваши корпоративные данные. После добавления приложения в список защищенных приложений ему доверяются корпоративные данные. Все приложения, не включенные в этот список, не имеют доступа к корпоративным данным в зависимости от режима управления WIP.

Определение уровня доступа к данным. WIP позволяет блокировать, разрешать переопределения или проверять действия сотрудников по обмену данными. Скрытие переопределений немедленно останавливает действие. Разрешение переопределений позволяет сотруднику знать, что существует риск, но позволяет ему или ей продолжать делиться данными во время записи и аудита действия. Silent просто регистрирует действие, не останавливая ничего, что сотрудник мог бы переопределить при использовании этой настройки; сбор информации, которая может помочь вам увидеть шаблоны неправильного обмена, чтобы вы могли предпринять обучающие действия или найти приложения, которые должны быть добавлены в список защищенных приложений. Дополнительные сведения о сборе файлов журнала аудита см. В разделе сбор журналов событий аудита Windows Information Protection (WIP).

Шифрование данных в состоянии покоя. WIP помогает защитить корпоративные данные на локальных файлах и съемных носителях.

Такие приложения, как Microsoft Word, работают с WIP, чтобы помочь продолжить защиту данных через локальные файлы и съемные носители. Эти приложения называются, enterprise aware. Например, если сотрудник открывает WIP-зашифрованное содержимое из Word, редактирует содержимое, а затем пытается сохранить отредактированную версию с другим именем, Word автоматически применяет WIP к новому документу.

Помогает предотвратить случайное раскрытие данных в общественных местах. WIP помогает защитить ваши корпоративные данные от случайного доступа к общим пространствам, таким как публичное облачное хранилище. Например, если Dropbox отсутствует в списке защищенных приложений, сотрудники не смогут синхронизировать зашифрованные файлы со своим персональным облачным хранилищем. Вместо этого, если сотрудник хранит содержимое в приложении из списка защищенных приложений, например Microsoft OneDrive для бизнеса, зашифрованные файлы могут свободно синхронизироваться с бизнес-облаком, сохраняя шифрование локально.

Помогает предотвратить случайное раскрытие данных на съемных носителях. WIP помогает предотвратить утечку корпоративных данных при их копировании или передаче На съемный носитель. Например, если сотрудник помещает корпоративные данные на диск универсальной последовательной шины (USB), который также содержит персональные данные, корпоративные данные остаются зашифрованными, а персональные данные-нет.

Удалите доступ к корпоративным данным с защищенных устройств. WIP дает администраторам возможность отзывать корпоративные данные с одного или нескольких устройств, зарегистрированных в MDM, оставляя личные данные в покое. Это преимущество, когда сотрудник покидает вашу компанию, или в случае кражи устройства. После определения того, что доступ к данным должен быть удален, можно использовать Microsoft Intune для отмены регистрации устройства, чтобы при подключении к сети ключ шифрования пользователя для устройства был отозван и корпоративные данные стали нечитаемыми.

Описание модулей программы представлено в таблице 6.

Таблица 6. Основные модули WIP

 

2 Сервер на RAID-5. RAID-это технология, которая используется для повышения производительности и / или надежности хранения данных. Аббревиатура означает либо резервный массив недорогих дисков, либо резервный массив независимых дисков. RAID-система состоит из двух или более дисков, работающих параллельно. Это могут быть жесткие диски, но есть тенденция также использовать технологию SSD (Solid State Drive). Существуют различные уровни RAID, каждый из которых оптимизирован для конкретной ситуации. Они не стандартизированы отраслевой группой или комитетом по стандартизации. Это объясняет, почему компании иногда придумывают свои собственные уникальные номера и реализации.

Чередование с четностью между драйверами при использовании RAID-5 представлено на рисунке 14.

Рисунок 14 – Чередование с четностью между драйверами при использовании RAID-5

 

Рассмотрим вариант настройки Сервер 1C:TMS + PostgreSQL 9.4.2 + Debian 8.6. Система будет устанавливаться на бюджетный резервный сервер от компании Supermicro: 32ГБ оперативной памяти, 1 процессор Intel Xeon 2.4 Ghz, и 2 Toshiba Server HDD по 1TB.

Список дистрибутивов, которые понадобятся для установки всех компонентов системы: Debian 8.6. Будет использоваться «netinst» версия, чтобы не было ничего лишнего. Скачать можно по этой ссылке. Архитектура — amd64. Сервер 1C:TMS.9.1818. Postgresql-9.4.2-1.1C_amd64.

Схема настройки RAID и установки системы представлена на рисунке 15.

 

 

Рисунок 15 – Схема настройки RAID и установки системы

1. В процессе установки вводим свои параметры языков, имени сервера, рабочей группы, пользователя и пароля, а также настраиваем сетевую карту по DHCP, потом мы ее перенастроим. Настраивать будем только разметку HDD. Режим работы HDD в BIOS выставляется — AHCI. RAID будет программным.

2. В ручном режиме создать разметку дисков. Если их несколько, то для каждого:

первичный 10Gb физический том для RAID

первичный 990Gb физический том для RAID.

Настройка программного RAID и разметки дисков.

2.1. Создать новое MD (составное) устройство

Выбираем RAID1 (Зеркалирование)

Активных устройств: 2

Резервных устройств: 0.

2.2. Объединить одинаковые разделы на разных HDD.

Первый блок 10Gb;

Второй блок 990Gb.

2.3. Из MD устройства 10Gb сделать файл подкачки.

2.4. Из MD устройства 990Gb сделать файловую систему Ext4:

– точка монтирования – корневая;

– параметры монтирования – default;

– метка – отсутствует;

– зарезервированные блоки — 5%;

– обычное использование – стандарт.

3 Comodo Firewall обеспечивает высокий уровень защиты от входящих и исходящих угроз. Firewall проверяет, что весь сетевой трафик, входящий и исходящий с компьютера. Программа скрывает порты компьютера от незаконного проникновения и блокирует вредоносное программное обеспечение от передачи конфиденциальных данных через интернет.

Comodo Firewal также позволяет точно указать, какие приложения разрешено подключать к интернету, и немедленно предупреждает о подозрительной активности.

Система Endpoint security гарантирует, что информация защищена от утечки данных. В соответствии с этими соображениями, элемент под названием Data Loss Prevention (DLP) удерживает конечных клиентов от обмена важными фрагментами данных за пределами корпоративной системы.

Одним из примеров возможностей DLP является то, что он не может обмениваться существенными записями через открытое облако, электронную почту или даже через бесплатные сайты обмена документами. В момент, когда такие упражнения происходят, продуктивно работающий DLP завершит процедуру, как только она будет выделена, или просто не будет учитывать процедуру, которая должна произойти.

Функция для управления системой жизненно важна, поскольку она ограничивает обмен файлами и процедуры эксфильтрации. Поскольку эта функция ограничивает конечных клиентов в получении или внедрении определенных гаджетов, они могут быть ограничены как компонент защиты информации, сохраненной в обрабатывающей машине. Само устройство также может быть изменено таким образом, что порты и центры будут повреждены там, где внешние накопители емкости могут быть связаны для обмена записями.

Шифрование хранилища является также творческим и жизнеспособным механизмом защиты информации, в котором безопасность повышается за счет использования шифрования и декодирования.

Помимо программирования или проектов endpoint security, некоторые ИТ-супервизоры дополнительно требуют других процедур предотвращения вредоносных программ, например, получения пограничной безопасности системы, реализации сложных политик паролей, убедительных инструкций для конечных пользователей, ведения журнала доступа к данным, а также решений и готовности к восстановлению системы.

Доступны следующие варианты:

Блокировать все. Брандмауэр блокирует весь трафик на ваш компьютер и вне его независимо от какой-либо пользовательской конфигурации и правил.  Брандмауэр не пытается узнать поведение какого-либо приложения и не создает автоматически правила трафика для каких-либо приложений.  Выбор этого параметра эффективно предотвращает доступ компьютера к любым сетям, включая Интернет.

Можно выбрать тип новой сети, к которой подключены, чтобы конфигурация брандмауэра была оптимизирована для типа подключения.  Comodo рекомендует пользователям оставить этот параметр по умолчанию включенным (значение по умолчанию включено).

Можно включить оповещения Trustconnect – если подключаетесь к Интернету в общественном месте, например в аэропорту или кафе, то потенциально подвергаете себя опасности.  Незащищенные общедоступные сети могут позволить другим людям легко подслушивать ваши сообщения или даже получать доступ к компьютеру для кражи конфиденциальной информации. Для защиты от таких попыток Comodo рекомендует шифровать соединение в общедоступных точках доступа с помощью TrustConnect — безопасного интернет-прокси  служба.

Если выбран этот параметр, Comodo Firewall будет отображать предупреждение, если подключены к Интернету через незащищенную сеть (по умолчанию = включено). Параметры раскрывающегося списка позволяют выбрать условия, при которых вы хотите, чтобы оповещения отображались:

Только для незащищенных беспроводных сетей (по умолчанию) — оповещения TrustConnect отображаются только при подключении к незашифрованной беспроводной сети.

Только для общедоступных и незащищенных беспроводных сетей — оповещения TrustConnect отображаются при подключении к общедоступной беспроводной сети независимо от того, зашифровано ли соединение

Если движение исходящее, можно видеть зеленые стрелки, движущиеся вверх по правой стороне щита.  Аналогично, для входящего трафика можно видеть желтые стрелки, движущиеся вниз по левой стороне.  Это обеспечивает очень полезный индикатор перемещения данных в реальном времени на ваш компьютер (по умолчанию = включено).

Задать уровень частоты оповещений. Включение этого параметра позволяет настроить количество оповещений, которые генерирует Comodo Firewall, из раскрывающегося списка.  Следует отметить, что это не влияет на вашу безопасность, что определяется настроенными вами правилами (например, в «Правилах применения» и «Глобальных правилах»).  Для большинства пользователей настройка по умолчанию «Низкий» — это идеальный уровень, гарантирующий, что вы будете информированы о попытках подключения и подозрительных действиях, при этом не подавляя вас предупреждающими сообщениями.  (По умолчанию = Отключено).

Comodo Firewall имеет расширенные настройки обнаружения, которые помогают защитить компьютер от распространенных атак типа «отказ в обслуживании» (DoS).  Запуская атаку типа «отказ в обслуживании» или «флуд», злоумышленник бомбардирует целевую машину таким количеством запросов на соединение, что ваш компьютер не может принимать допустимые соединения, эффективно отключая ваш веб, почтовый сервер, сервер FTP или VPN.

Фильтровать трафик IP v6 — если этот параметр включен, CIS будет фильтровать сетевой трафик IPv6 в дополнение к трафику IPv4 (по умолчанию = отключено).

Таким образом, в связи с выделенными проблемами управления информационной безопасностью предприятия малого и среднего бизнеса в виде обеспечения конфиденциальности данных, обеспечения целостности данных и обеспечение аутентификации предложена концептуальная модель и методология применения инструментов обеспечения информационной безопасности предприятий малого и среднего бизнеса посредством внедрения криптографической защиты, перехода на сервер на RAID-5 и внедрения Comodo FW.

3.2 Оценка экономической эффективности проекта

Внедрение методологии обеспечения информационной безопасности предприятия малого бизнеса ООО «Веста» потребует дополнительных затрат на разработку профильного программного обеспечения. Приведем примерный расчет стоимости разработки такого продукта.

Расчет общей трудоемкости работ по созданию новой информационной системы выполняем по формуле:

Т=Т₀+Т_u+T_a+T_n+T_отл+T_σ,

Где: Т– общие затраты труда;

Т₀ – затраты труда на описание задачи;

Т_u– затраты на исследование предметной области;

Т_а– затраты на разработку блок-схем;

Т_n– затраты на программирование;

Т_отл – затраты на отладку;

Т_σ– затраты на подготовку документации.

Произведем подсчет общей суммы трудозатрат на создание новой информационной системы.

Т=12+698,61+124,42+124,42+622,08+155,52=1107,05 чел/час.

Таким образом, трудозатраты на создание новой информационной системы составляют 1107,05 человеко-часов.

Трудоемкость необходимо скорректировать с учетом сложности используемого языка программирования:

T=T*k_кор,

Где значение коэффициента k_кор принимается от 0.7 до 1,0.

С учетом корректировки при помощи коэффициента изменения трудоемкостиk_кор, получаем итоговую трудоемкость разработки T:

Т=Т*k_кор

Т=1107,05*0,7=774,94 чел/час.

Заработную плату программиста по договору найма принимаем средней по РФ: ЗП=60 000 рублей (по данным на 01.05.2021)

, где:

ЗП_П – заработная плата за весь период времени разработки новой информационной системы;

К_мр – количество месяцев работы;

ЗП_П=60000*4=240 0000 рублей.

Страховые взносы составят 73440 рублей.

Стоимость программного продукта рассчитывается, как сумма затрат на зарплату разработчика и накладных расходов в сумме 99632,00 рубля.

Стоимость новой информационной системы:

С_и=З_п+Отч+Р_н, где:

С_и – стоимость новой информационной системы;

Р_н – накладные расходы;

С_И=240000+73440+99632=413072 рубля.

Внедрение методологии позволит достичь следующих результатов:

1 Снижение сроков оказания услуг на 50-60%. При этом объем чистая прибыль может вырасти на 15%.

2 Рост качества оказываемых услуг, что позволит снизить потери из-за задержек доставки и уплаты соответствующих платежей на 15 %.

Экономический эффект рассчитаем по следующей формуле:

ЭФ=∆ВД_ПР − ∆З_ПР,                                  

где ЭФ – величина экономического эффекта от реализации проекта (дополнительная валовая или чистая прибыль от проектных мероприятий);

ΔВД_ПР – величина дополнительного валового дохода от реализации проекта;

ΔЗ_ПР – величина совокупных дополнительных экономических затрат на осуществление проектных мероприятий.

На основе выявленных ранее показателей, потенциальный экономический эффект от перехода к новой методологии составит:

ЭФ=(59*0,15+2,617*0,15)-(0,24*16+0,073*16+0,099*16)=2,65 млн. руб.

Рассчитаем уровень безопасности информационной системы после реализации данных мероприятий, согласно концептуальной модели.

До внедрения мероприятий показатели для системы обеспечения информационной безопасности предприятия малого и среднего бизнеса представлены в таблице 7. После внедрения мероприятий будут получены данные, представленные в таблице 8.

Таблица 7. Качественные показатели и балльное значение рейтинга обеспечения информационной безопасности предприятия малого и среднего бизнеса

Итоговый рейтинг R^#  составит 1,25.

Таблица 8. Качественные показатели и балльное значение рейтинга мероприятий для системы обеспечения информационной безопасности предприятия малого и среднего бизнеса после проведения мероприятий

 

Итоговый рейтинг R^#  составит 2,5. Таким образом, рейтинг системы безопасности информационной системы значительно вырос в итоге внедрения мероприятий.

Таким образом, в главе реализовано проектирование концептуальной модели системы защиты информационной системы малого предприятия на основе сочетания криптографической защиты, сервера на базе RAID5 и Comodo Firewall. Показан рост уровня защищенности информационной системы после внедрения данной модели.

ЗАКЛЮЧЕНИЕ

На основании результатов исследования были получены следующие выводы:

Информационная безопасность – практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. При анализе проблем информационной безопасности, прежде всего, необходимо выявить субъекты информационных отношений и  их  потребности, связанные  с использованием   информационных   систем, определить цели и задачи защиты информации, основные  угрозы  безопасности  и  возможные уязвимости системы. Актуальность угроз информационной безопасности малого и среднего бизнеса обусловлена более низким уровнем технического и программного обеспечения защиты информации в связи с ресурсными ограничениями.

Анализ актуальных угроз безопасности информационных систем по БДУ ФСТЭК России показал, что основными направлениями являются несанкционированный доступ к информации в связи с недостатками аутентификации пользователей, нарушение целостности и сохранности данных из-за низкой отказоустойчивости сервера, угроза компьютеру, локальной сети или отдельным узлам от внешних атак, вредоносного программного обеспечения.

Анализ потенциальных угроз безопасности информационной системы малого предприятия ООО «Веста» по БДУ ФСТЭК России показал, что в качестве потенциальных угроз безопасности информационной системы компании специалистами выделяются такие как копирование и взлом базы данных 1С; несанкционированный доступ к серверному оборудованию; низкая отказоустойчивости системы, низкий уровень защиты сервера 1С от сбоев; низкий уровень сетевой безопасности и организация защиты 1С конфигураций 7.7, 8.2, 8.3.

В ходе обзора методов обеспечения безопасности информационных систем были выделены такие как защита биометрических данных, криптографическая защита, создание отказоустойчивого сервера, трехступенчатая система авторизации (БИОС, локальная станция, клиент-станция), использование файерволлов и пр.

Особенности построения и функционирования информационной системы малого предприятия ООО «Веста» на платформе «TMS Логистика: Управление перевозками» включают широкое использование прикладных решений; низкий уровень возможности изменения данных, введенных в систему; рабочие процессы могут функционировать на одном или нескольких компьютерах; TMS Логистика: Управление перевозками может работать под управлением ОС Linux. Система TMS Логистика: Управление перевозками.1 теперь работает с базой данных PostgreSQL, которая работает как под ОС Windows, так и под ОС Linux.

Анализ существующих стратегий и методов обеспечения безопасности информационных систем на платформе «TMS Логистика: Управление перевозками» показал, что в настоящее время на платформе «TMS Логистика: Управление перевозками» реализованы такие стратегии и методы обеспечения безопасности как механизм блокировки управляемых данных; реализован скрипт объекта DataLock; реализован новый режим работы менеджеров накопительного и учетного регистров — с разделителем итогов, что позволяет обеспечить большую согласованность записи в регистры; можно отлаживать любые модули 1С: Предприятие (включая сессии на сервере, во внешних соединениях и Web-сервисах); реализован механизм технологического логирования; имеется механизм блокировки установочных соединений с информационной базой;

Разработка методики обеспечения системы защиты информационной системы малого предприятия с использованием CASE-средства AllFusion Process Modeler (BPwin) включила такие основные компоненты как:

1 Обеспечение конфиденциальности данных за счет криптографической защиты.

2 Обеспечение целостности данных путем внедрения сервера RAID-5.

3 Обеспечение аутентификации за счет Comodo FW.

Процесс проектирования концептуальной модели системы защиты информационной системы малого предприятия был разделен на дискретные компоненты информационных технологий, включающие организационные схемы, виды деятельности и потоки процессов функционирования организации.  Эти диаграммы могут быть сконфигурированы в виде организационных циклов, включающих периоды и сроки, соответствующие поставщикам технологического оборудования, программного обеспечения и услуг.

Итоговый рейтинг R^#  уровня защиты информационной системы по итогам внедрения методики составит 2,5, что более чем на 1 уровень выше первоначального рассчитанного показателя для информационной системы малого предприятия.

Таким образом, цель работы достигнута, задачи исследования решены.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ

1. О персональных данных: Федеральный закон от 27 июля 2006 г. № 152-ФЗ // Сборник федеральных законов РФ. М., — 2007.
2. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18 февраля 2013 г. № 21 // Собрание законодательства. – М., — 2013.
3. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: постановление Правительства РФ от 01 ноября 2012 г. № 1119 // Собрание законодательства. – М., — 2012.
4. Абрамова, Е.А. Информационная система и информационная безопасность малого и среднего бизнеса / Е.А. Абрамова, Д.А. Смирнов // Сборник научных трудов вузов России «Проблемы экономики, финансов и управления производством». – 2019. – № 44. – С. 70-74.
5. Абрамович А.С. Обеспечение целостности данных при параллельной работе клиентов информационных баз 1С, связанных с базой данных, реализованной средст СУБД / А.С. Абрамович, И.С. Молдованов // Инновации в информационных технологиях, машиностроении и автотранспорте. – 2019. – С. 4-7.
6. Антипова С.В. Особенности построения и функционирования информационных систем на платформе 1С: Предприятие // Мобильный бизнес: перспективы развития и реализации систем радиосвязи в России и за рубежом. – 2019. – С. 63-65.
7. Антипова, С.В. Особенности построения и функционирования информационных систем на платформе 1С: Предприятие // Мобильный бизнес: перспективы развития и реализации систем радиосвязи в России и за рубежом. – 2019. – С. 63-65.
8. Баранкова, И.И. Минимизация рисков информационной безопасности на основе моделирования угроз безопасности / И.И. Баранкова, У.В. Михайлова, М.В. Афанасьева // Динамика систем, механизмов и машин. – 2019. – Т. 7. –№ 4. – С. 60-66.
9. Баранов А.Н. Разработка и исследование метода защиты информационных ресурсов в автоматизированной системе управления производственным процессом предприятия / А.Н. Баранов, Е.М. Баранова, Д.М. Федорович, М.Е. Ференс // Известия Тульского государственного университета. Технические науки. – 2019. – № 10. – С. 238-248.
10. Блажко, С.В. Особенности использования IRM-систем для защиты документов в гетерогенной корпоративной среде // Системный администратор. — 2018. – № 11. – С. 76-79.
11. Будагов, А.С. Использование информационных систем в целях обеспечения экономической безопасности на предприятиях малого бизнеса / А.С. Будагов, Р.Л. Захарова, И.В. Романова // Актуальные проблемы экономики и управления. – 2018. – № 4 (20). – С. 42-46.
12. Буланов В.А. Функционал взаимодействия с клиентами на базе расширения конфигурации «1С:CRM» / В.А. Буланов, О.Е. Фомичева // Приборы и системы. Управление, контроль, диагностика. — 2020. — № 1. — С. 21-28.
13. Василец В.И. Управление качеством системы защиты информации промышленного объекта / В.И. Василец, В.Э. Скворцов // Вопросы защиты информации. — 2019. — № 4. — С. 49-53.
14. Васильев Н.Г. Система передачи данных, защита информации при обмене информации / Н.Г. Васильев // Научен вектор на Балканите. – 2019. – Т. 3. – № 2 (4). – С. 104-107.
15. Васильев, В.В. Понятие информационной безопасности / В.В. Васильев // Экономика и социум. — 2017. — № 5-1 (36). — С. 242-244.
16. Витенбург Е.А. Архитектура программного комплекса интеллектуальной поддержки принятия решений при проектировании системы защиты информационной системы предприятия / Е.А. Витенбург // Вестник кибернетики. – 2019. – № 4 (36). – С. 46-51.
17. Витязев Г.Г. Анализ эффективности внедрения информационной системы на предприятии // Молодой ученый. – 2016. — №10. – С. 643 – 645.
18. Говорин Е.Б. Модель имитации информационных систем для защиты вычислительных сетей специального назначения в условях действия злоумышленника / Е.Б. Говорин // Профессиональное образование и наука. – 2019. – № 4 (9). – С. 98-101.
19. Голдобина А.С. Оценка эффективности средств защиты государственных информационных систем / А.С. Голдобина, В.В. Селифанов // Интерэкспо Гео-Сибирь. – 2019. – Т. 6. – № 1. – С. 115-121.
20. Грушо, А.A. Методы оценки защищенности компьютерных систем информационной поддержки цифровой экономики / А.А. Грушо, Н.А. Грушо, М.И. Забежайло, Е.Е. Тимонина // International Journal of Open Information Technologies. – 2019. – Т. 7. – № 4. – С. 61-66.
21. Грушо, А.А. Методы защиты от массового вывода из строя слабозащищенных компьютеров цифровой экономики / А.А. Грушо, Н.А. Грушо, Е.Е. Тимонина // Системы и средства информатики. – 2019. – Т. 29. – № 1. – С. 4-11.
22. Драчев В.О. Информационное обеспечение систем защиты информации / В.О. Драчев, В.Ю. Батов, Д.В. Муковоз // Наука и военная безопасность. – 2019. – № 1 (16). – С. 46-52.
23. Жукова Н.В. Использование Big Data в качестве информационного массива управленческого учета / Н.В. Жукова, А.В. Капустин // Вестник образовательного консорциума Среднерусский университет. Серия: Экономика и управление. — 2017. — № 10. — С. 79-82.
24. Жумаева, А.П. О выборе средств защиты информации для государственных информационных систем / А.П. Жумаева, В.А. Ялбаева, П.А. Звягинцева, В.В. Селифанов // Интерэкспо Гео-Сибирь. – 2019. – Т. 9. – С. 54-60.
25. Касенов, А.А. Построение эффективной системы защиты информации автоматизированных и информационных систем / А.А. Касенов, П.А. Данильченко, М.А. Батов, М.С.Седина //Modern Science.–2019.–№12.–С.153-156.
26. Кузьмина Т.А. Автоматизация учета средств защиты с применением информационных систем / Т.А. Кузьмина, С.В. Ильницкий, А.Е. Гайдукевич, А.И. Бобров // Современные технологии обеспечения гражданской обороны и ликвидации последствий чрезвычайных ситуаций. – 2019. – № 1. – С. 214-217.
27. Кульмамиров, С.А. Риски защиты ресурсов информационной системы типового предприятия / С.А. Кульмамиров, В.И. Карюкин // Актуальные научные исследования в современном мире. – 2019. – № 5-7 (49). – С. 26-35.
28. Купирова Ч.Ш. Информационная безопасность как объект киберпреступности / Ч.Ш. Купирова, Ю.А. Кузьмин // Oeconomia et Jus. — 2019.- № 4- С. 41-46.
29. Куринных Д.Ю. Методы обеспечения защиты средств информационных и коммуникационных систем / Д.Ю. Куринных, В.В. Сахно // Вестник Науки и Творчества. – 2019. – № 5 (41). – С. 44-46.
30. Лушников, Н.Д. Предложения по обеспечению информационной безопасности предприятий / Н.Д. Лушников, А.Д. Альтерман // Аллея науки. – 2018. – Т. 6. – № 6 (22). – С. 857-861.
31. Лыгина Н.И. Информационно-коммуникационные технологии как средство повышения эффективности управления промышленным предприятием / Н.И. Лыгина, О.В. Рудакова, А.Н. Алексахин, Л.А. Терехова // Известия Юго-Западного государственного университета. Серия: Экономика. Социология. Менеджмент. – 2017. – №4. — С. 136-148.
32. Мазур, М.В. Безопасность кластера серверов системы 1С «Предприятие» / М.В. Мазур, Р.А. Белоножко // Материалы региональной научно-практической конференции студентов, аспирантов и молодых учёных по естественным наукам. – 2018. – С. 82-84.

---

Страницы: 1 2 3