Основы информационной безопасности для организации ООО СКБ Контур

Оглавление. 2
Введение. 3
1.Основные характеристики организации и специфика её информационной системы.. 5
1.Основная цель реферата. 13
2.Классификация, специфика и краткий анализ основных угроз информационной системе организации14
3.Формулировка основных задач СИБ организации и средства их возможной реализации. 16
4.Средства разграничения доступа к глобальным сетям, данным и программам.. 18
5.Средства идентификации и аутентификации пользователей информационной системы организации20
6.1.Microsoft Active Directory. 21
6.2.Novell eDirectory. 23
6.3 Аппаратные системы контроля и управления доступом.. 25
6.4 Биометрическая идентификация. 28
6.Обоснование необходимости использования ЭЦП и предложения по её внедрению и применению в информационном процессе организации. 30
7.Предложения по структуре СИБ и размещению её элементов в ЛВС АПКУ организации. Схема ЛВС организации с предлагаемыми элементами СИБ. 33
8.Основные экономические характеристики СИБ и предложения по этапности её внедрения36
9.Выводы, предложения и рекомендации по дальнейшему развитию и совершенствованию СИБ38
10.Список реферированных источников. 40
Приложения. 41
Приложение 1. 41
Приложение 2. 42
Приложение 3. 43

Введение
Информационная эра привела к существенным изменениям в способе выполнения некоторых обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел. Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим данным. Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.
Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год и составляет около 3.5 миллиардов долларов. Одной из причин является сумма денег, получаемая в результате преступления: в товремякак ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов. Шансов быть пойманным у компьютерного преступника гораздо меньше, чем у грабителя банка - и даже при поимке у него меньше шансов попасть в тюрьму. Обнаруживается в среднем 1 процент компьютерных преступлений. И вероятность того, что за компьютерное мошенничество преступник попадет в тюрьму, меньше 10 процентов.
Применительно к Российской специфике говорить о подобного рода потерях еще рано, однако существующая общемировая тенденция и стремительное развитие информационных технологий в сфере корпоративного менеджмента позволяет прогнозировать увеличение доли угроз экономической безопасности именно в сегменте информационных технологий. При этом источником угроз могут быть как несовершенства технологии (различного рода «дыры» и уязвимости в программном обеспечении, веб-браузерах и почтовых клиентах), так и пресловутый «человеческий фактор», особенности психологии восприятия – ведь любая, даже самая совершенная информационная система требует участия оператора, т.е. человека.
Умышленные компьютерные преступления составляют заметную часть преступлений. Но злоупотреблений компьютерами и ошибок еще больше. Эти потери подчеркивают важность и серьезность убытков, связанных с аппаратно-программными комплексами.
Основной причиной наличия потерь, связанных с компьютерами, является недостаточная образованность в области безопасности. Только наличие некоторых знаний в области безопасности может прекратить инциденты и ошибки, обеспечить эффективное применение мер защиты, предотвратить преступление или своевременно обнаружить подозреваемого. Осведомленность конечного пользователя о мерах безопасности уже обеспечивает определенный уровень защиты компьютерных и информационных ресурсов.

1. Основные характеристики организации и специфика её информационной системы
Компания ООО «СКБ Контур»
«СКБ Контур» – федеральный разработчик программного обеспечения с 1988 года.
Сегодня компания «СКБ Контур» сотрудничает с крупнейшими федеральными контролирующими и исполнительными органами: Федеральной налоговой службой, Пенсионным фондом, Фондом социального страхования, Федеральной службой по тарифам, Росстатом, Росинформтехнологиями и др. – и обслуживает более 1 млн клиентов по всей стране.
«СКБ Контур» работает над тем, чтобы избавить специалистов от бумажной волокиты. Программы данной организации способны автоматизировать самые разные процессы:
· подготовить и сдать через Интернет отчетность в налоговую инспекцию и другие контролирующие органы (ПФР, ФСС, Росстат) – система «Контур-Экстерн», сервис «Контур-Отчет ПФ»;
· наладить кадровый учет и начислить зарплату – системы «Контур-Зарплата» и «Контур-Персонал»;
· обменяться юридически значимыми документами с контрагентами посредством безбумажного юридически значимого документооборота между предприятиями;
· уточнить правовые аспекты бухгалтерской работы – система «Контур-Норматив».
И это далеко не полный перечень продуктов и сервисов «СКБ Контур».
В 2008 году нашей компании исполнилось 20 лет. За это было создано 11 серьезных программных продуктов.
Количество работающих на предприятии – 1200 человек; Руководитель: Дмитрий Мраморов. Годовой доход составляет 420 млн. рублей. [1]
Филиалы и подразделения «СКБ Контур» размещены по многим городам России:
Санкт-Петербург
Санкт-Петербургский филиал ЗАО «ПФ «СКБ Контур»
199034, г. Санкт-Петербург, 14-я линия Васильевского острова, д. 7а, офис 4.3.1
Телефон: (812) 334-04-73, 334-04-74
Электронная почта: kontur-spb@spb.skbkontur.ru
Екатеринбург
Юридический адрес
620017, г. Екатеринбург, Космонавтов, д. 56, 4-ый этаж.
Время работы: с 9:00 до 18:00
Телефон: (343) 228-14-40, 228-14-41
Электронная почта: info@skbkontur.ru
Центр продаж и подключений
620014, г. Екатеринбург, ул. Шевелева, 8.
Телефон: (343) 270-55-66 (многоканальный)
Москва
Московский филиал ЗАО ПФ СКБ Контур
127254, г. Москва, ул. Добролюбова, д. 3, стр. 1, офис 413 Телефон: (495) 604-48-12
Электронная почта: ds@skbkontur.ru
Центр продаж и подключений
115054, г. Москва, ул. Озерковская набережная, д. 50, стр. 1, офис 345 (м. Павелецкая)
Телефон: (495) 604-49-15
Электронная почта: ds@skbkontur.ru
Вологда
Обособленное подразделение ЗАО «ПФ «СКБ Контур» в г. Вологда
160000, г. Вологда, ул. Предтеченская, 67
Телефон: (8172) 75-11-11
Краснодар
Обособленное подразделение ЗАО "ПФ "СКБ Контур" в г. Краснодар
350000, г. Краснодар, ул. Карасунская, д. 60, 6 этаж, каб. 66
Телефон: (861)200-01-05, (861)200-01-00
Электронная почта: r23@skbkontur.ru
Новгород Великий
Обособленное подразделение ЗАО "ПФ "СКБ Контур" в г. Великий Новгород
173020, г. Великий Новгород, ул. Большая Московская, д. 59
Телефон: (8162) 66-55-11, 66-32-12
Электронная почта: novgorod@skbkontur.ru
Новосибирск
Обособленное подразделение ЗАО "ПФ "СКБ Контур" в г. Новосибирск
630091, г. Новосибирск, ул. Фрунзе, д. 5, оф. 412
Телефон: (383) 363-11-31, 335-82-28, техническая поддержка: (383) 363-11-32
Электронная почта: novosibirsk@skbkontur.ru
Пермь
Пермский филиал ЗАО «ПФ «СКБ Контур»
614077, г. Пермь, ул. Аркадия Гайдара, 3
Телефон: (342) 219-54-54, 215-59-59
Электронная почта: perm@skbkontur.ru
Ростов-на-Дону
Обособленное подразделение ЗАО "ПФ "СКБ Контур" в г. Ростов-на-Дону
Ул. Чехова, 71, г.Ростов-на-Дону, 344010
Телефон: (863) 207-90-10
Электронная почта: r61@skbkontur.ru
Ставрополь
Обособленное подразделение ЗАО "ПФ "СКБ Контур" в г. Ставрополь
355035, г. Ставрополь, пр-кт Кулакова, 16 В
Телефон: 8 (8652) 20-50-40
Электронная почта: r26@skbkontur.ru
Уфа
Обособленное подразделение ЗАО «ПФ «СКБ Контур» в г. Уфе
450078, г.Уфа, ул. Айская, 46, 2 этаж
Телефон: (347) 252-40-55, 252-07-58, 248-15-75
Электронная почта: kontur@ufanet.ru
Ханты-Мансийск
Обособленное подразделение ЗАО «ПФ «СКБ Контур» в г. Ханты-Мансийске
628012, г. Ханты-Мансийск, Комсомольская ул.,18
Телефон: (3467) 34-90-30, 30-03-73
Электронная почта: hmao@skbkontur.ru
Челябинск
Челябинский филиал ЗАО "ПФ "СКБ Контур"
454080, г.Челябинск, ул.Энтузиастов, 16
Телефон: (351) 729-86-86, 211-32-40
Электронная почта: 74@skbkontur.ru
ООО «СКБ Контур» представляет собой вертикально-дифференцированную организацию, общие принципы работы которой распределены в пространстве между подразделениями, рабочими группами различных проектов в интересах максимальной прибыли и дальнейшего развития.
У центрального органа управления в подчинении находятся периферийные органы управления, распределенные в пространстве:
-C1 – ООО «СКБ Контур» Северо - Запад;
-C2 – ООО «СКБ Контур» Приволжье ;
-С3 – ООО «СКБ Контур» Дальний Восток;
-C4 – ООО «СКБ Контур» Сибирь;
-C5 – ООО «СКБ Контур» Урал».
По проведённым ранее исследованиям был рассчитан примерный объём обмениваемых данных за сутки составил в общем 49 Гб/сутки.
В среднем обмен между органами управления осуществляется со следующей скоростью:
1) С0 – С1 : 14 Гб/час;
2) С0 – С2 : 11 Гб/час;
3) С0 – С3 : 9 Гб/час;
4) С0 – С4 : 8Гб/час;
5) С0 – С5 : 7 Гб/час.
По характеру использования принимаемая информация в организации подразделяется на следующие категории:
• Оперативная (технические задания и т.п.);
• Письменная/печатная аналитическая (обзоры, статьи, рассылки);
• Рабочие видео/фотоматериалы;
• Служебная финансовая (налоговая информация);
• Административная.
Передаваемую информацию также можно разделить на категории:
• Производственная (проектная документация, чертежи, сметы и т.п.);
• Служебная финансовая;
• Административная.
Прием и передача информации производится по следующим каналам:
Интранет
Внутренний обмен цифровой информацией (переписка, обмен файлами).
Интернет (открытый)
Получение оперативной информации, служебная переписка, обмен файлами с партнерами, контрагентами и др.
Интернет (виртуальные частные сети, VPN)
Обмен финансовой и другой конфиденциальной информацией.
Телефонная связь/факс
Обмен служебной и административной информацией как внутри организации, так и с партнерами.
Курьерская служба
Обмен неэлектронной и строго конфиденциальной информацией с партнерами ( документы, лицензионные ПО, др.)
Схема головного офиса и подразделений представлена в Приложении 1.
Оpганизационная структура центрального органа управления «СКБ Контур» в Приложении 2.
Структурная схема ЛВС организации представлена в Приложении 3.

1. Основная цель реферата
Настоящий реферат ставит целью разработать эффективную стратегию информационной безопасности организации, позволяющую исключить или минимизировать ущерб, вызванный той или иной угрозой. Т.е. определение и внедрение средств и мер, позволяющих:
1. Исключить возможность непосредственного проникновения злоумышленника из внешней среды (интернета) через уязвимости программного и аппаратного обеспечения;
2. .Минимизировать возможность поражения отдельных компьютеров или всей сети "Троянскими" программами и вирусами, внедрить средства мониторинга "подозрительной" активности в ЛВС и на компьютерах, а также средства сканирования на известные виды вирусов;
3. Внедрить практику защиты (шифрования) данных, передаваемых по открытым каналам связи;
4. .Разработать систему разграничения прав пользователей, а также систему мониторинга доступа к данным, позволяющую выявлять факты недобросовестного доступа;
5. Наладить процесс периодического архивирования данных, в результате чего минимизируется ущерб при их случайной потере.

2. Классификация, специфика и краткий анализ основных угроз информационной системе организации
Таблица 1. Основные угрозы безопасности
Наименование угрозы Идентификатор Источник
Прямой удаленный доступ к ресурсам ЛВС УДС Интернет, VPN
"Троянские" программы ТРП Вебсайты, рассылки
Вирусы ВИР Вебсайты, рассылки
Перехват данных ПД Эл. почта
Кража информации КР Недобросовестные сотрудники
Случайная потеря данных ПТД Ошибки персонала, сбои оборудования и ПО
В таблице перечислены основные угрозы информационной безопасности организации. Ниже приводятся характеристики каждой из угроз:

Таблица 2. Характеристика угроз безопасности
Угроза Частота появления Результат воздействия Степень опасности Оценка вреда (% дохода) Время восстановления Средства борьбы
УДС 2-3 раза в год Утечка информации С 2%-20% 1-3 нед. Файервол
ТРП 5-10 раз в год Утечка информации, нарушение работоспособности ЛВС С 3%-20% 1 нед. — 1 мес.
Антивирусная
программа
ВИР 1 раз в месяц
Нарушение
работоспособности
ЛВС
H 2%-5% 1 нед. — 1 мес.
Антивирусная
программа
ПД 1 раз в год
Утечка
конфиденциальной информации
В 5%-30% — Шифрование
КР менее 1 раза в год
Утечка
конфиденциальной информации
С 10%-30% — Адм. меры
ПТД менее 1 раза в год Потеря информации С 10%-70% 1-6 мес. Архивация данных

3. Формулировка основных задач СИБ организации и средства их возможной реализации
Для каждого типа угрозы необходимо выбрать соответствующее средство защиты. Ниже приведены наиболее подходящие средства защиты для данной организации.
Межсетевые экраны (файерволы) — применяются с целью защиты ЛВС или ее части от прямого несанкционированного доступа извне. Подразделяются на программные и аппаратные решения. Наиболее популярные на сегодняшний день:
• Kaspersky Internet Security (программный);
• Microsoft ISA Server (программный);
• ZyWALL 1050 (аппаратный).
Для борьбы с вирусами и "троянскими" программами применяются Антивирусы, которые могут быть использованы как в качестве коллективного средства защиты, так и индивидуального. Список распространенных антивирусных программ:
• Kaspersky Anti-Virus
• Norton Antivirus
Предотвращение перехвата и подделки данных, передаваемых через открытые каналы связи, осуществляется средствами Криптографической защиты — шифрованием и электронной цифровой подписью (ЭЦП). Шифрование применяется для сокрытия содержимого передаваемой информации, ЭЦП — для предотвращения подделки передаваемых данных с целью доставки вредоносных программ в сеть организации с последующими попытками ее взлома.
• Цифровой конверт "Веста";
• AladdinSecretDisk — система защиты конфиденциальной информации;
Для обеспечения сохранности данных организации и минимизации возможности случайных потерь по тем или иным причинам используются Системы архивирования данных:
• Система архивирования данных АНТРЕЛ;
• IBM Tivoli Storage Manager;
• SunSAM — система управления архивами.

Внимание, отключите Adblock

Вы посетили наш сайт со включенным блокировщиком рекламы!
Ссылка для скачивания станет доступной сразу после отключения Adblock!

Скачать полную версию