К принципам противодействия угрозам также относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации.
Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу автоматизированных систем за счет налагаемых ограничений организационного и технического характера. Поэтому одним из принципов противодействия угрозам является принцип максимальной дружественности системы обеспечения информационной безопасности. При этом следует учесть совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы и сложившимися традициями учреждения.
Принцип системного подхода к построению системы противодействия угрозам безопасности позволяет заложить комплекс мероприятий по защите информации уже на стадии проектирования, обеспечив оптимальное сочетание организационных и технических мер защиты информации. Важность реализации этого принципа основана на том, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.
Из принципа декомпозиции механизма воздействия угроз безопасности информации вытекает принцип самозащиты и конфиденциальности системы защиты информации, заключающийся в применимости принципов противодействия угрозам к самой системе защиты и соблюдении конфиденциальности реализованных механизмов защиты информации в автоматизированной системе. Реализация данного принципа позволяет контролировать целостность системы защиты информации, управлять безопасностью через администратора безопасности, восстанавливать систему защиты при ее компрометации и отказах оборудования.
Из совокупности этих принципов вытекает необходимость выбора средств защиты еще на этапе подготовки к обработке конфиденциальной информации. Однако такой выбор нельзя провести квалифицировано, если неизвестен существующий рынок средств защиты информации. Именно вопросам изучения рынка и посвящен данный анализ.
Необходимо отметить, что актуальность и значимость проблем, касающихся обеспечения информационной безопасности государства, личности и общества в нашей стране, давно вывели их за узкотехнические рамки, придав им общественно-политическую значимость. Динамично развивается тенденция расширения круга лиц интересующихся вопросами защиты информации, как важного компонента обеспечения их законных прав и демократических свобод.
Целью дипломного проекта – является совершенствование системы защиты информации на предприятии ООО «Профи».
Анализ информационной инфраструктуры на предприятии
Сеть представляет собой домен Windows 2003 с сервером Windows 2003. Любой пользователь домена может получить доступ к серверу с любой рабочей станции, введя имя и пароль. Главный контроллер домена выполняет следующие функции:
опознание пользователей домена по имени и паролю;
предоставление доступа к дисковым ресурсам сервера;
контроль за доступом пользователей домена к файлам и принтерам рабочих станций;
предоставление доступа к ресурсам Internet и электронной почте.
В сетевых системах используется модель "клиент-сервер", когда одни компьютеры или программы, называемые серверами, предоставляют доступ к своим ресурсам, а другие, называемые клиентами, пользуются этими ресурсами. При этом сервер ожидает подключения клиентов, а клиент при подключении ищет соответствующий сервер. На одном компьютере может работать несколько серверных программ, а одна программа может работать на разных компьютерах. Чаще всего используются файловые и почтовые серверные службы.
Соединения клиента с сервером осуществляется посредством протокола - набора правил установления, поддержания соединения и передачи данных между программами. Одни службы поддерживают работу по нескольким протоколам, другие работают только по одному из них.
При работе в домене Windows 2003 рабочие станции являются клиентами сети Microsoft.
Протоколы TCP/IP, NetBEUI.
Протокол TCP/IP является базовым в сети Internet, где он служит основой для более сложных протоколов взаимодействия. TCP/IP по умолчанию не устанавливается при настройке сети.
Протокол NETBEUI используется в сетях Microsoft и считается более эффективным, чем IPX/SPX. При установке клиентской части для сетей Microsoft эти протоколы устанавливаются автоматически.
Программно-аппаратные средства защиты должны удовлетворять ряду требований:
для внешних пользователей сети Интернет структура внутренней сети не должна быть видна;
должна иметься возможность ограничения доступа внешних пользователей сети к внутренним ресурсам, вплоть до полного запрета, с обязательным протоколированием удачных и неудачных попыток доступа;
должен осуществляться контроль за порядком обращения внутренних пользователей к сети Интернет;
должна существовать возможность анализа ведущихся протоколов с понятным и удобным пользовательским интерфейсом;
система должна быть гибкой, настраиваемой, а также обладать способностью длительной работы в круглосуточном режиме.
Защита программ и данных на рабочих станциях особенно важна, как элемент комплексного решения по защите информационных ресурсов сети.
6. ГОСТ 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищен-ном исполнении. Общие требования." ГОСТ Р 51624-00 "Защита информации. Автоматизирован-ные системы в защищенном исполнении. Общие требования."
7. Федеральный закон "Об информации, информатизации и защите информации", № 24-ФЗ, 1995 г., ст. 2, Конституция Российской Федерации, ст. 23, Гражданский кодекс Российской Федерации, часть I, ст.ст. 139, 128.
8. См. сноску 1, ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".
9. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении Перечня све-дений конфиденциального характера". Постановление Правительства Российской Федерации от 5 декабря 1991 г. №
10. Федеральный закон "Об информации, информатизации и защите информации", № 24-ФЗ, 1995, ст.
11. Алексенцев А.И. Конфиденциальное делопроизводство. - М.: ЗАО "Бизнес-школа "Интел-Синтез", 2001.
12. Алексенцев А.И. Определение состава конфиденциальных документов // Секретарское дело. 1999 № 2.
13. Алексенцев А.И. Защита информации : Словарь базовых терминов и определений. - М.: РГГУ, 2000.