Защита информации

Таблица 2.2. Перечень систем внутреннего документооборота УПФР в Киреевском районе Тульской областиНаименование задачиКриптопровайдерУдостоверяющий центрЭДО в технологии назначения и выплаты пенсии (ПТК КС)VipNetУЦ ОПФР по Тульской областиЭДО в технологии защиты информацииVipNetУЦ ОПФР по Тульской областиЭДО в технологии отчетности по расходам на содержание УПФРVipNetУЦ ОПФР по Тульской областиПрограммным продуктом в рамках внутреннего ЭДО является VipNetCryptoServiceот InfoTecs. В Отделении ПФР по Тульской области развернут авторизованный удостоверяющий центр, имеющий лицензию на выпуск сертификатов квалифицированной и неквалифицированной электронной подписи.Таким образом, выполнение пункта 9 «Работа с криптосредствами»концепции АИС ПФР-2 можно считать выполненным.2.5 Совершенствование системы защиты информации в Управлении ПФРДля устранения недостатков системы антивирусной защиты УПФР в Киреевском районе в рамках работы над проектом мной был предложен ряд мер, связанных с совершенствованием системы антивирусной защиты, приведенный в таблице 3.1.Совершенствование системы антивирусной защиты предлагается в следующих направлениях:- оптимизация архитектуры с использованием существующего решения на базе KasperskyEndPointSecurity;- внедрение решений на основе дополнительного антивирусного программного решения;- внедрение системы комплексной защиты информации, что позволит предотвратить активность вредоносного ПО и оптимизировать ресурсы информационной системы в части защиты информации.Таблица 3.1 - Меры по совершенствованию системы антивирусной защиты в условиях УПФР в Киреевском районеВид деятельностиСуществующая технологияПредлагаемая технологияРабота с внешними носителями информацииСпециалисты могут использовать внешние носители информации, предварительно проверив их с использованием средств KasperskyEndPointSecurityСоздание выделенной рабочей станции для проверки внешних носителей, использующей для проверки средства ПО DrWebSecuritySpace с отключением возможности работы с внешними носителями Работа с ресурсами сети ИнтернетНа рабочих станциях специалистов открыт полный доступ к ИнтернетуРегламентация доступа к Интернету, блокирование возможности входа в социальные сети и пр. сайты, не относящиеся к технологии работы специалистов, с использованием средства KasperskyWeb фильтрАвтозапускИспользование автозапуска специалистами для возможности работы с прикладным ПО, что повышает уязвимость системыОтключение системы автозапуска средствами KasperskyEndPointSecurityКонтроль учетных записейКаждый из специалистов со своей доменной учетной записью может получить доступ к любой рабочей станции в локальной сети предприятия Ограничения на активность учетных записей с использованием специального ПОИспользование встроенной учетной записи администратораНа каждой рабочей станции возможен вход под локальным администратором без пароля, что может использоваться вредоносным ПОУстановка пароля для учетной записи администратораИспользование файла подкачкиНа рабочих станциях пользователей используется файл подкачки, что потенциально повышает уязвимость системыОчистка файла подкачки при каждой перезагрузке системы с использованием специальных средств Предлагаемая система использования выделенной рабочей станции для проверки внешних носителей информации приведена на рисунке 3.1.В рамках предлагаемого варианта, все внешние носители информации проходят проверку на выделенной рабочей станции с установленным ПО DrWeb, после чего пользователь выбирает необходимые ему для работы файлы и по протоколу FTP копирует их на выделенный сетевой ресурс в локальной сети информационной системы УПФР в Киреевском районе.рабочая станция для проверки внешних носителей не включена в домен, не имеет подключенных сетевых дисков, имеет связь с остальными ресурсами сети только по FTP, каталоги которого на сервере проверяются средствами KasperskyEndPointSecurity, что минимизирует вероятность вирусного заражения с данного компьютера. Кроме того, предлагается рассмотреть вопрос о возможности автоматического копирования на FTP-сервер файлов только с определенными расширениями (*.doc, *.docx, *.xls, *xlsx, *.odt, *.odf, *.xml и т.п.) с использованием специального сканирующего ПО, что позволит не обращаться к потенциально заражаемым объектам.Рисунок 3.1. Система использования выделенной рабочей станции для проверки внешних носителей информацииТаким образом, использование двух антивирусов в информационной системе не приведет к дополнительной нагрузке на вычислительные ресурсы, и, в то же время, исключит вероятность заражения вредоносным ПО, не включенным в сигнатуры одного из антивирусов. Блокировка USB-портов для использования внешних носителей также повысит общую защищенность системы. Следующим видом уязвимости является возможность использования встроенных учетных записей, а также учетных записей специалистов на любой рабочей станции пользователя. Для решения данных проблем предлагается в дополнение к антивирусным средствам использование КСЗИ «Панцирь-К», которое также позволяет предотвращать вирусную активность. Кроме того, использование КСЗИ «Панцирь-К» позволяет выполнить требования пункта 6 концепции АИС ПФР-2 «Защита рабочих станций и серверов», так как в нем ограничена возможность авторизации пользователям, которым не разрешен вход в систему, реализована возможность протоколирования всех действий пользователя, включая ведения библиотеки снимков с экрана, протоколирования введения данных с клавиатуры. На рисунке 3.2 приведено окно запуска системы КСЗИ «Панцирь-К». Данное ПО позволяет производить контроль целостности системных файлов в случае, когда все же вирусное заражение произошло, активность вирусного ПО автоматически блокируется. Для разбора событий, связанных с активностью вредоносного ПО существует возможность протоколировать ввод данных с клавиатуры, а также снимков с экрана (Рисунок 3.4).Рисунок 3.2. Окно запуска КСЗИ «Панцирь-К»Рисунок 3.3. Настройки контроля целостностиРисунок 3.4. Настройка аудита действий пользователяТаким образом, в случае возникновения инцидентов, связанных с вирусным заражением по вине пользователя, существует возможность предъявления протоколов его действий.Настройка контроля учетных записей пользователей приведена на рисунке 3.5. В данном режиме есть возможность контроля типов авторизации – с использованием вода пароля с консоли или использования смарт-карт, контролировать активность встроенных учетных записей, которые зачастую используются вредоносным ПО.Таким образом, даже в случае вирусного заражения, активность вредоносного ПО, использующего учетные записи локального администратора или гостя, блокируется.Рисунок 3.5. Настройка контроля учетных записей пользователейТакже использование данного ПО позволяет управлять доступом:- к сетевым ресурсам;- к буферу обмена;- к подключенным устройствам;- к файловой системе;- другим ресурсам.Данные сервисы позволяют блокировать активность вредоносного ПО, функционал которого связан с указанными ресурсами.Рисунок 3.6. Настройка управления доступомТакже использование данного КСЗИ позволяет контролировать использование файла подкачки, который также может использоваться вредоносным ПО.Рисунок 3.7. Дополнительные настройкиТакже необходимо защитить ПО NetAgent от несанкционированной деинсталляции (Рисунок 3.14). В ходе работы над проектом и внедрении предложенных мер по совершенствованию системы антивирусной защиты мной был проведен анализ состояния антивирусной защиты. По данным отчета после применения указанных мер совершенствования, вирусная активность снизилась до нуля. Таким образом, предложенные модели совершенствования в рамках данной работы позволят в полной мере выполнить требования пункта 10 «Антивирусная защита» и пункта 6 «Защита рабочих станций и серверов» концепции АИС ПФР-2.Сформулируем предложения по выполнению пункта 12 концепции АИС ПФР-2 «Обеспечение мобильного доступа».Внедрение ПО «SecretDisk»позволит обеспечить защиту персональных данных при необходимости использования выделенного компьютера вне помещений УПФР в Киреевском районе.Данное программное обеспечение позволяет создавать зашифрованные области диска, и, в случае утери или хищения выделенного компьютера (ноутбука) злоумышленник не сможет расшифровать информацию, помещенную в выделенную область диска.Программно-аппаратный комплекс SecretDisk NG 3.1 защищает конфиденциальную информацию на персональном компьютере. С его помощью на рабочей станции создаются защищённые (зашифрованные) диски, работать с которыми могут только пользователи, назначенные приказом.Подключенный защищённый диск операционная система воспринимает как обычный диск. Удаление подключенных защищённых дисков и доступ к ним по локальной сети невозможен. Доступ к информации на защищённых дисках предоставляется пользователям, работающим на данном компьютере и имеющим электронный ключ eToken PRO. Работа с защищёнными дисками возможна только при подключенномeToken. При отключении электронного ключа все защищённые диски автоматически становятся недоступными. Добавлять и/или удалять пользователей, создавать/удалять защищенные диски имеет право только администратор SecretDisk NG.Выдача электронного ключа eToken PRO пользователям осуществляется администратором SecretDisk NG по журналу выдачи электронных ключей под роспись.При переходе в другое структурное подразделение или увольнении администратора SecretDisk NG, необходимо передать ключ по акту администратору защиты информации – специалисту Управления.Степенями защиты зашифрованной области диска являются:- шифрование данных;- необходимость электронного ключа для расшифровки информации;- наличие пин-кода для электронного ключа, и, в случае утери ноутбука вместе с ключом, злоумышленнику необходимо ввести пин-код, и, в случае 14 ошибочных попыток его ввода, происходит блокировка ключа;- необходимость ввода ключа к ПО VipNetCryptoServiceдля запуска программы расшифровывания информации;- возможность использования мастер-ключа при шифровании областей.Эксплуатация ПО SecretDisk NG предполагает создание выделенного логического диска, на который специалисты производят сохранение персональных данных, а также защищаемой информации иного характера. В случае отсутствия ключа ноутбук включается и работает, но зашифрованная область диска нигде не отображается. Подключение зашифрованных областей производится при использовании электронного ключа, вводе пин-кода. В качестве программного обеспечения для шифрования дисковых областей выступает ПОVipNetCryptoService.Для использования SecretDisk персональный компьютер должен удовлетворять следующим минимальным требованиям:установленная операционная система Windows XP/7/8 ;20 МБ свободного места на жёстком диске;наличие свободного работающего порта USB.Перед началом установки программного обеспечения необходимо разбить жесткий диск на 2 раздела: 30-40 Гб – диск С (системный), остальное – диск D (шифрованный).Для установки и удаления программного обеспечения администратору защиты информации необходимы полномочия локального администратора компьютера.Порядок установки:ViPNetCryptoServiceeToken RTE 3.66eToken RTE 3.66 RUISecretDiskNG3.2.5.77InfotecsCSP1.0.0.6На рис.3.14 показана панель ПО SecretDisk в режиме настройки областей для шифрования исковых областей.Рис.3.14. Панель ПО SecretDiskНа рис.3.15 показано окно настроек шифрования дисковых областей с выбором алгоритма шифрования, на рис.3.16 – режим копирования мастер-ключа.Рис.3.15. Окно настроек шифрования дисковых областейРис.3.16. Настройка копирования мастер-ключаПри подключении ключа eTokenдля возможности работы с зашифрованными областями необходимо пройти авторизацию. Окно авторизации приведено на рис.3.17.Рис.3.17. Окно авторизации в ПО SecretDiskТаким образом, уязвимость системы защиты персональных данных, связанная с использованием компьютеров вне помещений офиса УПФР в Киреевском районе может быть устранена использованием ПО SecretDisk. Однако, необходимо иметь в виду, что в случае утери ключа расшифровка защищенных областей диска становится невозможной, поэтому при необходимости хранения в зашифрованных областях особо ценной информации необходимо проводить резервное копирование данных на другой зашифрованный носитель.Таким образом, принятие мер по совершенствованию защиты персональных данных позволит выполнить требования нормативных актов согласно присвоенному классу обрабатываемых персональных данных. ЗаключениеПолитика информационной безопасности в информационных системах предприятий имеет множество аспектов и в рамках одной дипломной работы невозможно охарактеризовать ее в полном объеме.В рамках данной работы проведена разработка концепции информационной безопасности на примере государственного Учреждения -Управления Пенсионного Фонда. В рамках анализа технологии работ Пенсионного Фонда были определены технологические этапы, требующие применения технологий защиты информации. Показано, что в настоящее время актуальной задачей ив органах ПФР является приведение системы защиты информации в соответствие с концепцией АИС ПФР-2. Так как перечень требований весьма высок, в рамках данной работы был приведен анализ некоторых основных позиций данной концепции и сформулированы меры по выполнению их в полной мере.В ходе работы над проектом был проведен анализ архитектуры системы информационной безопасности Управления. Показано, что комплексная система защиты информации включает в себя организационных и технологические решения. Пренебрежение каким-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом.Далее был проведен анализ системы антивирусной защиты в условиях информационной системы предприятия. Показано, что в существующей системе, основанной на корпоративных решениях от Лаборатории Касперского, защищенность системы хоть и является удовлетворительной, но отмечаются случаи активного вирусного заражения. Для проведения анализа существующей системы антивирусной защиты был проведен сбор статистической отчетности о состоянии антивирусной защиты на предприятии средствами KasperskySecurityCenter. Показано, что в существующей системе антивирусной защиты отмечаются многочисленные факты обнаружения вредоносного ПО на внешних носителях информации, а также, связанных с работой с ресурсами Интернета. Отмечены случаи, когда защита не срабатывало и происходили активные заражения системы, которые приходилось лечить с использованием стороннего антивирусного ПО.В качестве мер совершенствования системы антивирусной защиты были предложены:- регулирование доступа к ресурсам Интернета средствами KasperskySecurityCenter;- ограничение использования внешних носителей информации, ограничение использования USB-портов;- установка рабочей станции для проверки внешних носителей информации и копирования необходимых файлов с них на выделенный ресурс;- введение системы рейтинговой оценки состояния антивирусной защиты в разрезе подразделений;- использование системы КСЗИ «Панцирь-К» для совершенствования системы информационной безопасности;- использование системы SecretDiskпозволит выполнить требования к обеспечению безопасности мобильного доступа.Статистические данные о вирусной активности после внедрения указанных мер совершенствования системы АВЗ показали, что случаи обнаружения вредоносного ПО стали единичными.Список использованных источников1. Жадаев А. Антивирусная защита ПК. От "чайника" к пользователю. – СПб.: БХВ-Петербург, 2011 – 224с. 2. Петренко С.А. Политики безопасности компании при работе в интернете/ С.А. Петренко, В.А.Курбатов – М.: ДМК Пресс, 2011 – 311с.3. Свинарёв Н.А. Инструментальный контроль и защита информации. – М.: ВГУИТ, 2013 – 192с.4. Милославская Н.М., Сенаторов М.В., Толстой А.А. Управление рисками информационной безопасности. – М.: Горячая линия-Телеком, 2014. – 410с.5. Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2011 - 96с.6. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.7. Стефанюк В.Л. Локальная организация интеллектуальных систем. – М.: Наука, 2014. - 574 c.8. Якубайтис Э.А. Информационные сети и системы: Справочная книга.- М.: Финансы и статистика, 2011. – 232с.9. Разработка инфраструктуры сетевых служб Microsoft Windows Server 2008. Учебный курс MCSE М.: Bзд-во Русская редакция, 2009. 10. Сосински Б., Дж. Московиц Дж. Windows 2008 Server за 24 часа. – М.: Издательский дом Вильямс, 2008. 11. NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health informatics – Pseudonymization»Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сГук М. Аппаратные средства локальных сетей. Энциклопедия. – СПб.: Питер, 2010. – 576с.Иопа, Н. И. Информатика: (для технических специальностей): учебное пособие– Москва: КноРус, 2011. – 469 с. Акулов, О. А., Медведев, Н. В. Информатика. Базовый курс: учебник – Москва: Омега-Л, 2010. – 557 с.Лапонина О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий - ИНТУИТ.ру, 2012Могилев А.В.. Информатика: Учебное пособие для вузов - М.: Изд. центр "Академия", 2011Партыка Т.Л. Операционные системы и оболочки. - М.: Форум, 2011Под ред. проф. Н.В. Макаровой: Информатика и ИКТ. - СПб.: Питер, 2011Новиков Ю. В., Кондратенко С. В. Основы локальных сетей. КуПК лекций. – СПб.: Интуит, 2012. – 360с.Ташков П.А. Защита компьютера на 100%. - СПб.: Питер, 2011