- •Введение
- •1 Актуальность создания системы обеспечения корпоративной безопасности
- •1.2 Составляющие корпоративной безопасности
- •1.2.1 Физическая безопасность
- •1.2.2 Организационно-техническая безопасность
- •1.2.3 Экономическая безопасность
- •1.2.4 Безопасность контента
- •1.3 Информационная безопасность
- •2 Организационно–технические основы создания систем корпоративной безопасности
- •2.1 Структура, задачи и цели службы безопасности
- •2.2 Коммерческая разведка и контрразведка
- •2.3 Каналы утечки конфиденциальной информации
- •2.4 Принципы работы с персоналом
- •3 Результаты проектирования
- •3.1 Исходные данные для проектирования
- •3.1.2 Процесс оценки уязвимости
- •3.1.3 Оценка риска
- •3.2 Описание объекта
- •3.3 Инженерно-техническая укрепленность объекта защиты
- •3.4 Описание автоматизированной системы охраны «Орион» и ее внедрение на объекте защиты
- •3.4.1 Автоматическая установка пожарной сигнализации безадресная
- •3.4.2 Система оповещения и управления эвакуацией людей при пожаре
- •3.4.3 Система охранной сигнализации безадресная
- •3.4.4 Система контроля доступа
- •3.4.5 Система телевизионного видеоконтроля
- •3.5. Разработка проекта комплексной системы защиты информации ооо «Бухучет Сервис»
- •3.6. Введение в эксплуатацию системы защиты информации
1.2.4 Безопасность контента
Значительный интерес представляет также безопасность контента, в том числе и предоставляемого компаниями-партнерами владельца информационной системы.
Системы контроля безопасности контента в первую очередь призваны осуществлять контроль содержания потоков информации, передаваемых из компании в Интернет и получаемых из Сети в локальную сеть организации.
К задачам систем контент–секьюрити относятся также проверка информации, хранящейся в локальной сети предприятия, контроль содержания корпоративной электронной почты, а также фильтрация просматриваемой сотрудниками информацией с целью предотвращения использования Интернета в личных целях в рабочее время.
1.3 Информационная безопасность
Стремительно развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять, причем стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится. От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей.
Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. На практике важнейшими являются три аспекта информационной безопасности:
доступность (возможность за разумное время получить требуемую информационную услугу);
целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
конфиденциальность (защита от несанкционированного доступа).
нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.
Классификация угроз информационной безопасности производится по двум основным критериям: по местонахождению источника (угрозы делятся на внешние и внутренние); по способу организации (угрозы подразделяются на организационные, программно-математические, физические и радиоэлектронные).
К внешним угрозам информационной безопасности относятся:
деятельность иностранных разведывательных и специальных служб;
деятельность конкурирующих иностранных экономических структур;
деятельность отечественных политических и экономических групп, криминальных формирований и отдельных лиц антигосударственного и антиобщественного характера, проявляющаяся в виде воздействия на элементы системы информационной безопасности;
стихийные бедствия и катастрофы.
К внутренним угрозам могут быть отнесены:
нарушения требований информационной безопасности (непреднамеренные и преднамеренные) персоналом и пользователями;
отказы и неисправности элементов системы информационной безопасности, включая сбои программного обеспечения всех видов.
Группу организационных угроз составляют:
нарушения требований информационной безопасности, допускаемые персоналом и пользователями системы информационной безопасности;
несанкционированный доступ персонала и пользователей системы информационной безопасности к ресурсам, содержащим конфиденциальную информацию;
манипулирование (дезинформация, скрытие или искажение) конфиденциальной информацией;
несанкционированное копирование данных в систему информационной безопасности;
хищение конфиденциальной информации из базы данных пользователей и базы данных системы информационной безопасности;
хищение машинных носителей конфиденциальной информации;
хищение «ключей» для средств криптографической защиты;
уничтожение или модификация данных в системе информационной безопасности.
В число программно-математических угроз входят:
внедрение программ-вирусов;
применение программных закладок.
К физическим угрозам относятся:
уничтожение, разрушение средств связи (обработки, передачи, приема и др.) конфиденциальной информации, целенаправленное внесение в них неисправностей;
уничтожение или разрушение компьютерных носителей конфиденциальной информации;
воздействие на персонал и пользователей системы информационной безопасности с целью реализации других видов (физических, программно-математических, организационных) угроз.
Примерами радиоэлектронных угроз являются:
перехват конфиденциальной информации в технических каналах утечки;
внедрение средств перехвата конфиденциальной информации в аппаратуру системы информационной безопасности;
перехват и дешифрование конфиденциальной информации в сетях передачи данных и линиях связи;
навязывание ложной информации по сетям передачи данных и линиям связи;
радиоэлектронное подавление линий связи, дезорганизация систем управления.
Рассмотрим классификацию методов, используемых для обеспечения информационной безопасности:
препятствие – метод физического преграждения пути злоумышленнику к информации;
управление доступом – метод защиты с помощью регулирования использования информационных ресурсов системы;
маскировка – метод защиты информации путем ее криптографического преобразования;
регламентация – метод защиты информации, создающий условия автоматизированной обработки, при которых возможности несанкционированного доступа сводится к минимуму;
принуждение – метод защиты, при котором персонал вынужден соблюдать правила обработки, передачи и использования информации;
побуждение – метод защиты, при котором пользователь побуждается не нарушать режимы обработки, передачи и использования информации за счет соблюдения этических и моральных норм.
Средства обеспечивающие защиту могут быть классифицированы по следующим признакам:
технические средства – различные электрические, электронные и компьютерные устройства;
физические средства – реализуются в виде автономных устройств и систем;
программные средства – программное обеспечение, предназначенное для выполнения функций защиты информации;
криптографические средства – математические алгоритмы, обеспечивающие преобразования данных для решения задач информационной безопасности;
организационные средства – совокупность организационно-технических и организационно-правовых мероприятий;
морально-этические средства – реализуются в виде норм, сложившихся по мере распространения ЭВМ и информационных технологий;
законодательные средства – совокупность законодательных актов, регламентирующих правила пользования ИС, обработку и передачу информации.