Отчет по практике в ТОО «КазТурбоРемонт»

Обеспечивается  подключение снаружи к маршрутизатору, например по протоколу PPPoE, PPTP или L2TP (PPTP+IPSec).

Так как в этих протоколах используется PPP, то существует возможность назначить абоненту IP-адрес. Назначается свободный (не занятый) IP-адрес из локальной сети.

Маршрутизатор (VPN, Dial-in сервер) добавляет proxyarp — запись на локальной сетевой карте для IP-адреса, который он выдал VPN-клиенту. После этого, если локальные компьютеры попытаются обратиться напрямую к выданному адресу, то они после ARP-запроса получат MAC-адрес локальной сетевой карты сервера и трафик пойдёт на сервер, а потом и в VPN-туннель.

 

           4. Политика информационной безопасности Организации 

 

Настоящая политика информационной безопасности (ИБ) разработана на основе требований действующих в Республике Казахстан законодательных и нормативных документов, регламентирующих вопросы защиты информации Организации, с учетом современного состояния, целей, задач и правовых основ создания, эксплуатации и функционирования информационной системы.

Положения и требования Политики распространяются на все предприятия и учреждения Организации, основных разработчиков  и исполнителей, которые участвуют  в разработке, создании, развертывании, вводе в эксплуатацию информационной системы, в части их касающейся.

Положения и требования Политики могут быть распространены (по согласованию) также  на другие предприятия, учреждения и  организации, осуществляющих информационное взаимодействие в качестве поставщиков  и потребителей (пользователей) информации.

Под информационной безопасностью информационной системы понимается состояние защищенности информационной среды (информации, информационных ресурсов, фондов и информационных систем, баз данных), при которой её формирование, использование, развитие и информационный обмен обеспечивается защитой информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования.

Политика  ИБ является методологической основой  для:

• разработки подсистемы информационной безопасности (далее именуется — ПИБ) при доступе к информации, реализуемой на объектах информатизации с ограниченным доступом, в виде комплексной системы защиты информации от несанкционированного доступа — КСЗИ НСД;
• разработки защищенного электронного документооборота, с использованием средств криптографической защиты информации, развертывания системы удостоверяющих центров, применения электронной цифровой подписи и частных виртуальных сетей обмена защищаемой информации;
• разработки конкретных нормативных документов и мероприятий, регламентирующих деятельность в области обеспечения информационной безопасности;
• реализации прав граждан, организаций и государства на получение, распространение и использование информации.
• Политика обеспечения информационной безопасности основывается на следующих основных принципах:
• соблюдение Конституции Республики Казахстан, законов Республики Казахстан, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности;
• достижение целей, описанных в уставном положении Организации;
• открытость процессов, и информирование лиц, принимающих решения;
• приоритетное развитие отечественных и свободных современных информационных и телекоммуникационных технологий, в том числе в защищенном исполнении;
• правовое равенство всех участников процесса информационного взаимодействия вне зависимости от их политического, социального и экономического статуса, основывающееся на конституционном праве граждан на свободный поиск, получение, передачу, производство и распространение информации любым законным способом;
• определение и поддержание требуемого баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;
• оценка состояния информационной безопасности, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, парирования и нейтрализации этих угроз;
• применение сертифицированных средств защиты информации и лицензирование деятельности в области защиты информации;
• совершенствование и развитие системы подготовки кадров в области информационной безопасности.

 

4.1 Основные сведения об информационной системе

 

Информационные  системы Организации предназначены  для обеспечения эффективного достижения целей Организации посредством  эффективного использования ресурсов, современного управления и технологий.

Информационные  системы Организации включают в  себя средства информатизации — программно-технические комплексы и телекоммуникационные средства, обеспечивающие доступ к данным, а также организационно-правовое, методическое и технологическое обеспечение её создания и функционирования.

Информационная  система развивается, как территориально-распределенная гетерогенная система, объединяющая объекты информатизации предприятий и учреждений Организации, предприятий, организаций и учреждений основных разработчиков, исполнителей и заказчиков в единую корпоративную вычислительную (информационно-телекоммуникационную) сеть.

В общем виде информационная система  представляет собой совокупность объектов информатизации состоящих из локальных  вычислительных сетей (программно-технических комплексов), автоматизированных рабочих мест, объединенных средствами телекоммуникации.

Каждая  ЛВС объединяет ряд взаимосвязанных  и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение отдельных  задач пользователей.

Ряд объектов информатизации осуществляет взаимодействие с внешними (государственными и коммерческими) организациями  по коммутируемым и выделенным каналам  с использованием средств передачи информации.

Программно-технические  комплексы на объектах информатизации включают технические средства обработки  данных (ПЭВМ, сервера БД, почтовые сервера, сервера обеспечения совместной работы, контроля, планирования), средства обмена данными в ЛВС, с возможностью выхода в телекоммуникационные системы  и сети (кабельная система, мосты, шлюзы, маршрутизаторы, модемы), а также средства хранения (резервирования, дублирования и архивирования).

В технологическом плане объекты  информатизации включают:

• технологическое оборудование (программно-технические комплексы, сетевое и кабельное оборудование);
• программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение, ГИС-технологии);
• информационные ресурсы, содержащие открытые сведения, сведения конфиденциального характера и сведения, составляющие государственную тайну, представленные в виде документов в электронной форме (электронный документ), на бумажной и иной основе или записей на носителях на магнитной, оптической и другой физической основе, информационных массивов и баз данных;
• средства связи и передачи данных (средства телекоммуникации);
• каналы связи;
• служебные режимные и выделенные помещения (где это необходимо), в которых обрабатывается документированная информация с ограниченным доступом;
• технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы — ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) документированная информация, содержащая сведения с ограниченным доступом;
• средства защиты информации от несанкционированного доступа, средства противодействия техническим разведкам (где это необходимо), средства криптографической защиты информации, включая систему удостоверяющих центров для применения электронной цифровой подписи и VPN —сети, объединенные в подсистему информационной безопасности.

В процессе функционирования информационная система должна обеспечить:

• сбор и обработку информации на всех уровнях;
• ведение баз данных информации и информационное обслуживание Организации и его деловых партнёров;
• организацию обмена сведениями на уровне межкорпоративного взаимодействия, а также обслуживания организаций и отдельных граждан;
• информационную безопасность на объектах информатизации, где ведется обработка документированной информации с ограниченным доступом, в виде КСЗИ НСД.

 

Основными объектами защиты в информационной системе являются:

• информационные ресурсы с ограниченным доступом, содержащие сведения, составляющие государственную тайну, и сведения конфиденциального характера (служебная и коммерческая информация, персональные данные) и иные информационные ресурсы (в том числе открытая информация), представленные в виде документов, баз данных;
• система формирования, распространения и использования информации, информационные технологии, процедуры сбора, обработки, хранения и передачи информации, пользователи системы и её обслуживающий персонал;
• информационная инфраструктура, включающая центры обработки и анализа информации (данных), технические и программные средства её обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, КСЗИ НСД, документация на них и другая, относящаяся к ним информация, здания и помещения, в которых проводится обработка документированной информации с ограниченным доступом или переговоры конфиденциального характера;
• технологические процессы обработки, передачи и хранения информации по ведению документов, управленческой, отчётной и статистической информации.

 

4.2 Категории информационных ресурсов подлежащих защите

 

Перечень  и необходимый уровень защиты обрабатываемых информационных ресурсов содержащих сведения, составляющие конфиденциальную информацию (служебную информацию, персональные данные и коммерческие сведения), определяется следующим  образом:

• перечень сведений, отнесенных к служебной информации, определяется пометкой «Для служебного пользования»;
• перечень сведений, отнесенных к персональным данным, определяется в соответствии с 152-ФЗ «О персональных данных»;
• перечень сведений, отнесенных к коммерческой тайне, определяется в соответствии с «Перечнями сведений, отнесенных к коммерческой тайне», составляемых руководителями подразделений Организации;
• необходимый уровень защиты определяется, в соответствии с требованиями основных документов.

Открытые  информационные ресурсы — информация, которая не отнесена к категории ограниченного доступа. Открытые информационные ресурсы с точки зрения ограничения доступа разделяются на следующие категории:

регламентируемые ресурсы — информационные ресурсы, доступ к которым требует выполнения определенных процедур (например, получение разрешения — визирования, или платный доступ), или доступ к которым свободен, а право копирования ограничено на основании авторского права;

свободные ресурсы — информационные ресурсы, доступ к которым свободен для всех пользователей (в том числе и внешних) и которые разрешено свободно копировать, модифицировать и распространять.

Категории информации, подлежащие защите
Категория (тип) сведений (информации)	Документы, определяющие состав и объем  сведений (информации)	Требования по защите
Служебная тайна	Состав и объем определяется (до принятия Федерального закона «О служебной  тайне») «Перечнями сведений, отнесенных к служебной информации ограниченного  распространения».	Защита обязательна
Персональные данные	Состав и объем определяется Федеральным  законом «О персональных данных»  и «Перечнями сведений, отнесенных к персональным данным (информация о гражданах)». Примечание:Персональные данные — сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность	Защита обязательна
Коммерческая тайна	Состав и объем определяется (до принятия Федерального закона «О коммерческой тайне») в соответствии с «Перечнями сведений, отнесенных к коммерческой тайне», разрабатываемыми руководством подразделений	Защита рекомендуется
Открытые регламентные ресурсы	Состав и объем определяется руководством министерства, службы и агентства, предприятия, организации или учреждения	Уровень защиты определяется руководством.

 

4.3 Источники и угрозы информационной безопасности на объектах информатизации

 

Основными источниками защищаемой информации на объектах информатизации (ОИ) являются субъекты информационных отношений:

• пользователи (операторы), программисты, администраторы АС (ЛВС), руководители разработки и эксплуатации АС, технический (обслуживающий) персонал;
• документы на твердой основе, различного характера и назначения включая электронные документы на машиночитаемых носителях информации, с защищаемой информацией;
• штатные технические средства АС обработки защищаемой информации: АРМ, ЛВС, средства обеспечения производственной деятельности людей, информационные и телекоммуникационные линии связи.
• Под угрозами информационной безопасности понимается потенциальная возможность нарушения её следующих основных, качественных характеристик (свойств):
• конфиденциальности (разглашение, утечка) сведений, составляющих государственную, служебную или коммерческую тайну, а также персональных данных;
• работоспособности (дезорганизация работы) программно-технических комплексов, блокирование информации, нарушение технологических процессов обработки информации, срыв своевременного решения выполняемых задач;
• целостности и достоверности информационных, программных и других ресурсов, а также фальсификация (подделка) документов.
• Источники угроз информационной безопасности, разделяются на внешние и внутренние:
• К внешним источникам угроз относятся:
• деятельность иностранных разведывательных и специальных служб, направленная на добывание защищаемых информационных ресурсов с ограниченным доступом, о подготавливаемых решениях и инициативах, в том числе по экономическим вопросам, а также на подрыв авторитета Организации;
• действия преступных групп, формирований и связанных с ними коррумпированных лиц по добыванию защищаемой информации в целях реализации своих преступных замыслов;
• использование средств опасного воздействия на информационные ресурсы, получение несанкционированного доступа к ним;
• недружественная политика иностранных государств в области распространения информации и новых информационных технологий;
• преступная деятельность отдельных лиц, бандитских групп и формирований или злоумышленников, конкурирующих и недобросовестных организаций, в том числе с использованием телекоммуникационных систем (прежде всего Интернет);
• промышленный шпионаж со стороны иностранных представителей при проведении совместных международных проектов и работ;
• диверсионные действия по отношению к объектам информатизации (поджоги, технические аварии, взрывы и т.д.);
• деятельность министерств и ведомств и субъектов Республики Казахстан, препятствующая или умышленно создающая трудности работе системы, совершаемая в противовес принятых законодательных актов;
• стихийные бедствия, аварии, и техногенные катастрофы.
• К внутренним источникам угроз относятся:
• неправомерные действия должностных лиц в области формирования, распространения и использования защищаемой информации;
• преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия персонала, работающего на объектах информатизации;
• отказы технических средств и программного обеспечения в информационных и телекоммуникационных системах;
• некомпетентные действия и ошибки, допущенные при проектировании и эксплуатации информационных систем;
• халатность и недостаточно четкое исполнение служебных обязанностей при проведении мероприятий по защите информации;
• нарушения пользователями (исполнителями работ) и обслуживающим персоналом установленных регламентов сбора, обработки и передачи информации, а также требований по защите информации;
• отказы, неисправности и сбои средств защиты информации и средств контроля эффективности, принятых мер по защите информации;
• непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия персонала при эксплуатации объектов информатизации, приводящие к разглашению защищаемой информации;
• некоординированность или отсутствие необходимых сил и финансовых средств, для реализации мер в организации и защите информационных ресурсов;
• противозаконная деятельность коммерческих и экономических структур, имеющих позиции в среде сотрудников и пользователей;
• получение криминальными структурами доступа к защищаемой информации, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере.

 

4.4 Категории возможных нарушителей

 

Разработка  модели возможного нарушителя на объектах информатизации проведена в соответствии с основными положениями документа: "Руководящий документ. Концепция  защиты средств вычислительной техники  и автоматизированных систем от несанкционированного доступа к информации" (Гостехкомиссия РК, 1992г.).

В соответствии с указанным документом принимаются следующие основные положения.

В качестве нарушителя рассматривается  субъект, имеющий доступ к работе со штатными средствами ОИ.

Нарушители  классифицируются по уровню возможностей, предоставляемых им штатными средствами ОИ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий  уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в ОИ — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием ОИ, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств ОИ, вплоть до включения в состав программно-технических комплексов собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все о  ОИ и, в частности, о системе и  средствах её защиты.

Под возможным нарушителем (злоумышленником) для объектов информатизации подразумевается лицо или группа лиц, не состоящих или состоящих в сговоре, которые в результате преднамеренных или непреднамеренных действий потенциально могут нанести ущерб защищаемым ресурсам (информации).

Для принятия мер по обеспечению информационной безопасности защищаемой информации на объектах информатизации (обрабатывающих информацию с ограниченным доступом) в разрабатывается модель возможного нарушителя (применительно к конкретному ОИ), которая включает две категории возможных нарушителей — внешние и внутренние возможные нарушители.

Категории возможных нарушителей  на ОИ
Уровень	Внешние, возможные нарушители	Внутренние, возможные нарушители
I	Посетители	Пользователи (операторы)
II	Уволенные работники организации	Программисты
III	Хакеры	Администраторы ЛВС и специалисты  по защите информации
IV	Криминальные группировки и сторонние  организации	Руководители разработки и эксплуатации ОИ, технический (обслуживающий) персонал