МІНІСТЕРСТВО ОСВІТИ І НАУЦІ РФ
Ухтинського державного ТЕХНІЧНОГО УНІВЕРСИТЕТ
Кафедра «Інформаційні системи та технології»
Курсовий проект
з дисципліни «Інформаційна безпека»
на тему: "Інформаційна безпека системи 1С: Бухгалтерія 8.0"
Роботу виконав
студент групи ІВ-01
Бритвін П.Ю.
Роботу перевірив
Доцент
Некучаева Н.А.
Ухта, 2007.
Федеральне агентство освіти і науки Російської Федерації
Державна установа вищої професійної освіти
Ухтинський державний технічний університет
Кафедра Інформаційні системи і технології
ПОГОДЖЕНО
Головний фахівець підприємства
(Для якого виконаний реальний проект)
Підпис, ініціали, прізвище
«__» ___________ 200_р.
ЗАТВЕРДЖУЮ
Зав. кафедрою М. А. Миколаєва
Підпис, ініціали, прізвище
«__» ___________ 200_р.
ПОЯСНЮВАЛЬНА ЗАПИСКА
Федеральне агентство освіти і науки Російської Федерації
Державна установа вищої професійної освіти
Ухтинський державний технічний університет
Кафедра Інформаційні системи і технології
ЗАВДАННЯ НА КУРСОВИЙ ПРОЕКТ (РОБОТУ)
Зміст
Введення
1. Опис системи і середовища її функціонування
2. Користувачі Системи
3. Клас захищеності розробляється підсистеми
4. Горизонтальна модель мережі
4.1. Опис можливих загроз
4.2. Заходи щодо усунення загроз безпеки мережі
5. Вертикальна модель мережі
5.1. Фізичний рівень
5.2. Канальний рівень
5.3. Мережевий рівень
5.4. Транспортний рівень
5.5. Прикладний рівень
5.6. Захист ОС
5.7. Прикладне і загальносистемної ПЗ
5.8. Захист СУБД
6. Організаційні заходи
Висновок
Список літератури
Додаток № 1. Схема мережі АСУ підприємства.
Введення
Розробка інформаційних систем автоматизації деяких бізнес-процесів є досить дорогим і витратним заходом. І не всі Замовники при прийнятті рішення про необхідність проведення такого виду робіт, повністю розуміють необхідну кількість витрат.
Класифікація витрат створення ПО достатньо велика. Досить "проаналізувати" всі етапи життєвого циклу ПЗ. Однак, при аналізі витрат на створення і супровід систем, слід знати про існування серед них таких витрат, які спрямовані на організацію усунення загроз нелегального використання інформації системи, а так само на підтримку заданого рівня безпеки протягом усього терміну використання системи.
Передумовою даної роботи є вже готова до введення в дослідну експлуатацію - система управління бухгалтерським обліком "1С: Підприємство 8.0 Управління бухгалтерією".
Метою проекту ставиться аналіз програмно-апаратного комплексу підприємства на можливість використання даної системи на підприємстві та недопущення факту "витоку" (крадіжки) комерційної інформації.
Для вирішення даної мети необхідно вирішити такі завдання:
-Проаналізувати комерційну інформацію і визначити клас безпеки такої системи;
-На основі класу безпеки визначити перелік вимог, які повинні бути дотримані;
-Проаналізувати всі загрози і запропонувати заходи щодо їх усунення;
-Представити перелік необхідних організаційних заходів, визначити список посадових осіб, яким будуть делеговані нові повноваження.
Дана робота орієнтована на вирішення завдання інформаційної безпеки системи. При цьому, під даною категорією розуміється комплекс заходів, що забезпечує для охоплюваній їм інформацією наступні фактори:
-Конфіденційність - можливість ознайомлення з інформацією (саме з даними або відомостями, що несуть смислове навантаження, а не послідовністю біт їх представляють) мають з своєму розпорядженні тільки ті особи, хто володіє відповідними повноваженнями;
-Цілісність - можливість внести зміну в інформацію повинні тільки ті особи, хто на це уповноважений;
-Доступність - можливість отримання авторизованого доступу до інформації з боку уповноважених осіб до відповідного санкціонований для роботи період часу ([1]. - С. 24).
1. Опис системи і середовища її функціонування
Система "1С: Підприємство 8.0 Управління бухгалтерією" (далі, скрізь система) призначена для автоматизації ведення: бухгалтерського, податкового, управлінського обліку та обліку заробітної плати співробітників. Відзначимо, що дана система здійснює ведення обліку від імені кількох Організацій. Тобто, операції з будь-якого з перерахованих видів обліків здійснюються в розрізі власних юридичних осіб (або Організацій).
Технологія системи
Дана система є клієнт-серверним додатком, з триланкової архітектурою. В якості сервера БД використовується СУБД MS SQL Server 2000 Standard Edition SP3a. В якості сервера-додатка використовується "Сервер програми 1С: Підприємство". Клієнтською частиною є Платформа "1С: Підприємство 8.0" і функціонує в ній конфігурацію "Управління бухгалтерією" (версія 8.5.2.1).
Середовище функціонування
Використання даної системи обмежується в рамках однієї ЛВС, що розташовується в одному будинку. У роботі з системою задіяні такі відділи:
-Бухгалтерія;
-Відділ кадрів.
Однак, з огляду на те, що система підтримує ведення управлінського обліку, то, передбачається, що система може бути використана віддалено. Це може здійснити директор організації за допомогою свого мобільного комп'ютера і засобів каналів зв'язку Internet, перебуваючи у відрядженні чи у відпустці.
Крім того, дані податкового та бухгалтерського обліку можуть надаватися по каналах зв'язку Internet до Міжрайонної податкової інспекції регіону. Дані кадрового обліку надаються до пенсійного фонду.
До середи функціонування відноситься також те, оточення, яке безпосередньо не працює з даною системою, але входить до складу підприємства, і має доступ до ЛВС. Сюди відносяться відділи: маркетингу та інформаційний.
Загальна схема АСУ компанії представлена в додатку № 1.
2. Користувачі Системи
Генеральний директор організації - здійснення загального контролю діяльності підприємства, зокрема фінансового контролю організації;
Системний адміністратор - впровадження ІС в інформаційну структуру організації, настроювання можливостей взаємодії з іншими програмними продуктами, зокрема, контроль правильності функціонування системи;
Головний бухгалтер - використання ІВ, контроль правильності та своєчасність наповнення ІС, формування форм звітностей;
Бухгалтер - використання ІС, внесення даних в ІС, розрахунок основних показників податкового та управлінського обліку;
Спеціаліст відділу кадрів - безпосереднє наповнення БД даними кадрового обліку. Так само формування форм звітностей.
3. Клас захищеності системи, що розробляється
Для визначення класу безпеки розробленої системи скористаємося класифікацією, представленої Державної технічної комісії РФ. Дотримуючись її стандарту, існує всього 3 групи класів:
3 група: відносяться АС, в якій працює один користувач, допущений до всього обсягу інформації АС, що відноситься до одного рівня конфіденційності.
2 група: класифікує АС, в якій всі користувачі мають однакові права до всієї інформації і вся вона розміщена на одному рівні конфіденційності.
1 група: класифікує багатокористувацькі АС, в яких одночасно обробляється та зберігається інформація різних рівнів конфіденційності, і користувачі мають різні права доступу до неї.
У залежності від ступеня таємності інформації, кожна з груп ділиться на класи.
Класи "А", "Б" і "В" призначені для захисту державної таємниці. Відповідно, комерційна інформація обліку підприємства потрапляє в першу групу класу "Г".
4. Горизонтальна модель мережі
Опис загроз відповідає схемі АСОІ компанії представленої в додаток № 1. Ще раз відзначимо, що система використовує клієнт-серверну технологію триланкової архітектури. Сервер управління БД (СУБД) і сервер - додатки встановлений на Сервері ЛВС. Всі клієнти за допомогою каналів ЛВС, через мережевий концентратор Switch підключені до цього сервера, що забезпечує функціонування їх робочих місць.
Користувачі мережі, крім загального ресурсу - СУБД, використовують ще два принтери. Причому один з них мережний, а інший відкрито по мережі для загального використання. Користувачі ЛВС мають вихід в Інтернет за допомогою модему, поєднаного з маршрутизатором.
З даного опису випливає, що інформація системи бухгалтерського обліку, що представляє для компанії найвищий рівень конфіденційності, може бути неправомірно використана: змінена, вилучена, чи викрадено. Навіть, викрадення не самої системи, а її копії конкурентами або іншими третіми особами, може принести колосальну шкоду компанії у вигляді збитків.
Далі, спробуємо визначити перелік потенційних загроз для функціонування системи?
4.1. Опис можливих загроз
Всі загрози прийнято ділити на дві групи: зовнішні і внутрішні. Розглянемо кожну з груп, окремо.
Внутрішні загрози:
Фізичний доступ до сервера і активного обладнання. Сервер може бути протиправними діями виведений з ладу: відключений, пошкоджений, вкрадений, і.т.д. Активне обладнання так само може бути піддане протиправних дій.
Фізичний доступ до ЕОМ кінцевих користувачів. Протиправними діями третіх осіб, може бути так само завдано матеріальний збиток устаткуванню, або незаконний доступ до інформації з робочого місця користувача при включеному комп'ютері.
Фізичний доступ до принтера. Різні відділи працюють з інформацією різного рівня конфіденційності. Наприклад, інформація бухгалтерії та кадрового відділу, є найбільш конфіденційною. Відповідно, використовувані ними засоби друку повинні бути відповідно захищені. Перехоплення трафіку всередині мережі. Несанкціонований доступ до системи.
Зовнішні загрози:
Загроза зовнішньої атаки з Інтернету, по засобом: мережевої атаки, зараження вірусом, або зломом через програми "трояни".
Несанкціонований доступ до даних при обміні конфіденційними даними між віддаленим користувачем і мережею.
4.2. Заходи щодо усунення загроз безпеки мережі
За вимогами Гостехкомиссией для класу "1Г", керівництво компанії зобов'язані забезпечити охорону сервера і активного устаткування. При цьому розуміється виділення окремого приміщення, в якому повинні бути проведені всі ремонтні роботи і приміщення має бути також обладнано відповідно до Гостів РФ з електропостачання, пожежогасіння і вентиляції.
За вимогами Гостехкомиссией для класу "1Г", керівництво так само має забезпечити фізичну охорону приміщень, в яких працюють користувачі. Причому такі заходи не повинні обмежуватися тільки тим часом доби, коли співробітників немає на робочих місцях. У робочий час, відповідальність за охорону робочих місць повинна відноситься на самих співробітників, і керівників відповідних відділів. У рамках даної системи, відповідальними за охорону робочих місць в робочий час відповідають Головний бухгалтер (бухгалтерія), Старший розраховувач (відділ кадрів).
Системний блок кожного комп'ютера користувача повинен бути видрукуваний за підписом начальника відділу та системного адміністратора. Крім того, кожен такий комп'ютер не повинен містити механізмів обміну даними (наприклад, пристрої для роботи з CD-дисками, і дискетами, пристрої обміну даними через інтерфейс USB).
Згрупувати співробітників по групах. Першу групу складуть бухгалтерія та відділ кадрів. У кабінеті одного з відділів встановити їх спеціалізований принтер. Доступ до даних відділи вже обмежені. Другу групу складають співробітники відділів маркетингу та інформаційного. У розпорядження даної групи надати інший принтер. Далі, необхідно зробити настройки мережевих ресурсів, так, щоб співробітники відділів могли здійснити друк тільки на "відведених" для них пристроях друку.
Не використовувати пристрої типу Hub. Використовувати спеціалізовані комутатори, де пакети йдуть по спеціалізованому маршрутом, конкретно заданої машини.
Як відомо слабкість системи визначається по самому слабкому ділянці цієї системи, а не всієї системи в цілому. Відповідно, організація ідентифікації повинна здійснюватися з рівня ОС. При цьому, на зміну параметрів Bios вже повинен бути виставлений пароль. Система повинна бути захищена на всіх рівнях (ланках) - клієнт, сервер-додаток, СУБД.
При цьому повинні виконуватися всі вимоги, які пред'являються до паролю: "не брати як паролі коротких послідовностей символів, менше 8-10; максимально використовувати надані системою можливості і вводити парольні послідовності в 15-20 символів; обов'язково використовувати в паролі не тільки букви і цифри , але і спецсимволи (! "№ ;%:?*{[<>& тощо) та зміна регістру символів. Не слід розуміти, що досить набирати в якості пароля на клавіатурі, включеної в режим латинського шрифту, фразу російською мовою, орієнтуючись на російську розкладку. На жаль, існують вже словники для програм-зломщиків паролів, орієнтованих і на такі хитрощі; "([1] - с.135.)
Ухтинського державного ТЕХНІЧНОГО УНІВЕРСИТЕТ
Кафедра «Інформаційні системи та технології»
Курсовий проект
з дисципліни «Інформаційна безпека»
на тему: "Інформаційна безпека системи 1С: Бухгалтерія 8.0"
Роботу виконав
студент групи ІВ-01
Бритвін П.Ю.
Роботу перевірив
Доцент
Некучаева Н.А.
Ухта, 2007.
Федеральне агентство освіти і науки Російської Федерації
Державна установа вищої професійної освіти
Ухтинський державний технічний університет
Кафедра Інформаційні системи і технології
ПОГОДЖЕНО
Головний фахівець підприємства
(Для якого виконаний реальний проект)
Підпис, ініціали, прізвище
«__» ___________ 200_р.
ЗАТВЕРДЖУЮ
Зав. кафедрою М. А. Миколаєва
Підпис, ініціали, прізвище
«__» ___________ 200_р.
ПОЯСНЮВАЛЬНА ЗАПИСКА
| До курсового проекту (роботи) за | Інформаційна безпека | ||||||||
| найменування дисципліни | |||||||||
| На тему | "Інформаційний захист системи 1С: Бухгалтерія 8.0." | ||||||||
| Автор проекту (роботи) | 16.12.2005 р. П.Ю. Бритвін | ||||||||
| підпис, дата, ініціали, прізвище | |||||||||
| Спеціальність | 654700, Інформаційні системи | ||||||||
| номер, найменування | |||||||||
| Позначення курсового проекту (роботи) | КП-02009562-654700-52-05 | група | ІС - 01 | ||||||
| Керівник проекту | Некучаева Н.А. | ||||||||
| підпис, дата | ініціали, прізвище | ||||||||
| Проект (робота) захищена (а) | |||||||||
| дата | Оцінка | ||||||||
| Члени комісії | Н.А. Миколаєва | ||||||||
| підпис, дата | ініціали, прізвище | ||||||||
| підпис, дата | ініціали, прізвище | ||||||||
| підпис, дата | ініціали, прізвище | ||||||||
| Ухта, 2007 | |||||||||
| місто, рік захисту | |||||||||
Федеральне агентство освіти і науки Російської Федерації
Державна установа вищої професійної освіти
Ухтинський державний технічний університет
Кафедра Інформаційні системи і технології
ЗАВДАННЯ НА КУРСОВИЙ ПРОЕКТ (РОБОТУ)
| Студент | Бритвін П.Ю. | код | 654700 | група | ІС - 01 | ||||||||||||||||
| Прізвище, ініціали | |||||||||||||||||||||
| 1. Тема | "Інформаційний захист системи 1С: Бухгалтерія 8.0." | ||||||||||||||||||||
| 2. Термін подання проекту (роботи) до захисту | |||||||||||||||||||||
| « | 16 | » | Грудень | 200 | 7 | р. | |||||||||||||||
| 3. Вихідні дані для проектування (наукового дослідження): | |||||||||||||||||||||
| 4. Зміст пояснювальної записки курсового проекту (роботи): | |||||||||||||||||||||
| 4.1. | Введення; | ||||||||||||||||||||
| 4.2. | Опис системи і середовища її функціонування; | ||||||||||||||||||||
| 4.3. | Користувачі системи; | ||||||||||||||||||||
| 4.4 | Клас захищеності системи, що розробляється; | ||||||||||||||||||||
| 4.5. | Горизонтальна модель мережі; | ||||||||||||||||||||
| 4.6. | Вертикальна модель мережі; | ||||||||||||||||||||
| 4.7. | Організаційні заходи; | ||||||||||||||||||||
| 4.8. | Висновок; | ||||||||||||||||||||
| 4.8. | Список літератури; | ||||||||||||||||||||
| 4.9. | Додаток № 1. Схема АСУ підприємства | ||||||||||||||||||||
| 5. Перелік графічного матеріалу: | |||||||||||||||||||||
| Керівник проекту (роботи) | 20.11.07 | Н.А. Некучаева | |||||||||||||||||||
| Підпис, дата | Прізвище, ініціали | ||||||||||||||||||||
| Завдання прийняв до виконання | 20.11.07 | П.Ю. Бритвін | |||||||||||||||||||
| Підпис, дата | Прізвище, ініціали | ||||||||||||||||||||
Зміст
Введення
1. Опис системи і середовища її функціонування
2. Користувачі Системи
3. Клас захищеності розробляється підсистеми
4. Горизонтальна модель мережі
4.1. Опис можливих загроз
4.2. Заходи щодо усунення загроз безпеки мережі
5. Вертикальна модель мережі
5.1. Фізичний рівень
5.2. Канальний рівень
5.3. Мережевий рівень
5.4. Транспортний рівень
5.5. Прикладний рівень
5.6. Захист ОС
5.7. Прикладне і загальносистемної ПЗ
5.8. Захист СУБД
6. Організаційні заходи
Висновок
Список літератури
Додаток № 1. Схема мережі АСУ підприємства.
| КП - 02009562 - 654700 - 52 - 05 | ||||||||
| Ізмь | Лист | N докум. | Підпис | Дата | ||||
| Розробник. | Бритвін П.Ю. | Літ. | Лист | Листів | ||||
| Пров. | Некучаева Н.А. | 4 | 17 | |||||
| Зміст | ||||||||
| ІС - 01 | ||||||||
Введення
Розробка інформаційних систем автоматизації деяких бізнес-процесів є досить дорогим і витратним заходом. І не всі Замовники при прийнятті рішення про необхідність проведення такого виду робіт, повністю розуміють необхідну кількість витрат.
Класифікація витрат створення ПО достатньо велика. Досить "проаналізувати" всі етапи життєвого циклу ПЗ. Однак, при аналізі витрат на створення і супровід систем, слід знати про існування серед них таких витрат, які спрямовані на організацію усунення загроз нелегального використання інформації системи, а так само на підтримку заданого рівня безпеки протягом усього терміну використання системи.
Передумовою даної роботи є вже готова до введення в дослідну експлуатацію - система управління бухгалтерським обліком "1С: Підприємство 8.0 Управління бухгалтерією".
Метою проекту ставиться аналіз програмно-апаратного комплексу підприємства на можливість використання даної системи на підприємстві та недопущення факту "витоку" (крадіжки) комерційної інформації.
Для вирішення даної мети необхідно вирішити такі завдання:
-Проаналізувати комерційну інформацію і визначити клас безпеки такої системи;
-На основі класу безпеки визначити перелік вимог, які повинні бути дотримані;
-Проаналізувати всі загрози і запропонувати заходи щодо їх усунення;
-Представити перелік необхідних організаційних заходів, визначити список посадових осіб, яким будуть делеговані нові повноваження.
Дана робота орієнтована на вирішення завдання інформаційної безпеки системи. При цьому, під даною категорією розуміється комплекс заходів, що забезпечує для охоплюваній їм інформацією наступні фактори:
-Конфіденційність - можливість ознайомлення з інформацією (саме з даними або відомостями, що несуть смислове навантаження, а не послідовністю біт їх представляють) мають з своєму розпорядженні тільки ті особи, хто володіє відповідними повноваженнями;
-Цілісність - можливість внести зміну в інформацію повинні тільки ті особи, хто на це уповноважений;
-Доступність - можливість отримання авторизованого доступу до інформації з боку уповноважених осіб до відповідного санкціонований для роботи період часу ([1]. - С. 24).
1. Опис системи і середовища її функціонування
Система "1С: Підприємство 8.0 Управління бухгалтерією" (далі, скрізь система) призначена для автоматизації ведення: бухгалтерського, податкового, управлінського обліку та обліку заробітної плати співробітників. Відзначимо, що дана система здійснює ведення обліку від імені кількох Організацій. Тобто, операції з будь-якого з перерахованих видів обліків здійснюються в розрізі власних юридичних осіб (або Організацій).
Технологія системи
Дана система є клієнт-серверним додатком, з триланкової архітектурою. В якості сервера БД використовується СУБД MS SQL Server 2000 Standard Edition SP3a. В якості сервера-додатка використовується "Сервер програми 1С: Підприємство". Клієнтською частиною є Платформа "1С: Підприємство 8.0" і функціонує в ній конфігурацію "Управління бухгалтерією" (версія 8.5.2.1).
Середовище функціонування
Використання даної системи обмежується в рамках однієї ЛВС, що розташовується в одному будинку. У роботі з системою задіяні такі відділи:
-Бухгалтерія;
-Відділ кадрів.
Однак, з огляду на те, що система підтримує ведення управлінського обліку, то, передбачається, що система може бути використана віддалено. Це може здійснити директор організації за допомогою свого мобільного комп'ютера і засобів каналів зв'язку Internet, перебуваючи у відрядженні чи у відпустці.
Крім того, дані податкового та бухгалтерського обліку можуть надаватися по каналах зв'язку Internet до Міжрайонної податкової інспекції регіону. Дані кадрового обліку надаються до пенсійного фонду.
До середи функціонування відноситься також те, оточення, яке безпосередньо не працює з даною системою, але входить до складу підприємства, і має доступ до ЛВС. Сюди відносяться відділи: маркетингу та інформаційний.
Загальна схема АСУ компанії представлена в додатку № 1.
2. Користувачі Системи
Генеральний директор організації - здійснення загального контролю діяльності підприємства, зокрема фінансового контролю організації;
Системний адміністратор - впровадження ІС в інформаційну структуру організації, настроювання можливостей взаємодії з іншими програмними продуктами, зокрема, контроль правильності функціонування системи;
Головний бухгалтер - використання ІВ, контроль правильності та своєчасність наповнення ІС, формування форм звітностей;
Бухгалтер - використання ІС, внесення даних в ІС, розрахунок основних показників податкового та управлінського обліку;
Спеціаліст відділу кадрів - безпосереднє наповнення БД даними кадрового обліку. Так само формування форм звітностей.
3. Клас захищеності системи, що розробляється
Для визначення класу безпеки розробленої системи скористаємося класифікацією, представленої Державної технічної комісії РФ. Дотримуючись її стандарту, існує всього 3 групи класів:
3 група: відносяться АС, в якій працює один користувач, допущений до всього обсягу інформації АС, що відноситься до одного рівня конфіденційності.
2 група: класифікує АС, в якій всі користувачі мають однакові права до всієї інформації і вся вона розміщена на одному рівні конфіденційності.
1 група: класифікує багатокористувацькі АС, в яких одночасно обробляється та зберігається інформація різних рівнів конфіденційності, і користувачі мають різні права доступу до неї.
У залежності від ступеня таємності інформації, кожна з груп ділиться на класи.
Класи "А", "Б" і "В" призначені для захисту державної таємниці. Відповідно, комерційна інформація обліку підприємства потрапляє в першу групу класу "Г".
4. Горизонтальна модель мережі
Опис загроз відповідає схемі АСОІ компанії представленої в додаток № 1. Ще раз відзначимо, що система використовує клієнт-серверну технологію триланкової архітектури. Сервер управління БД (СУБД) і сервер - додатки встановлений на Сервері ЛВС. Всі клієнти за допомогою каналів ЛВС, через мережевий концентратор Switch підключені до цього сервера, що забезпечує функціонування їх робочих місць.
Користувачі мережі, крім загального ресурсу - СУБД, використовують ще два принтери. Причому один з них мережний, а інший відкрито по мережі для загального використання. Користувачі ЛВС мають вихід в Інтернет за допомогою модему, поєднаного з маршрутизатором.
З даного опису випливає, що інформація системи бухгалтерського обліку, що представляє для компанії найвищий рівень конфіденційності, може бути неправомірно використана: змінена, вилучена, чи викрадено. Навіть, викрадення не самої системи, а її копії конкурентами або іншими третіми особами, може принести колосальну шкоду компанії у вигляді збитків.
Далі, спробуємо визначити перелік потенційних загроз для функціонування системи?
4.1. Опис можливих загроз
Всі загрози прийнято ділити на дві групи: зовнішні і внутрішні. Розглянемо кожну з груп, окремо.
Внутрішні загрози:
Фізичний доступ до сервера і активного обладнання. Сервер може бути протиправними діями виведений з ладу: відключений, пошкоджений, вкрадений, і.т.д. Активне обладнання так само може бути піддане протиправних дій.
Фізичний доступ до ЕОМ кінцевих користувачів. Протиправними діями третіх осіб, може бути так само завдано матеріальний збиток устаткуванню, або незаконний доступ до інформації з робочого місця користувача при включеному комп'ютері.
Фізичний доступ до принтера. Різні відділи працюють з інформацією різного рівня конфіденційності. Наприклад, інформація бухгалтерії та кадрового відділу, є найбільш конфіденційною. Відповідно, використовувані ними засоби друку повинні бути відповідно захищені. Перехоплення трафіку всередині мережі. Несанкціонований доступ до системи.
Зовнішні загрози:
Загроза зовнішньої атаки з Інтернету, по засобом: мережевої атаки, зараження вірусом, або зломом через програми "трояни".
Несанкціонований доступ до даних при обміні конфіденційними даними між віддаленим користувачем і мережею.
4.2. Заходи щодо усунення загроз безпеки мережі
За вимогами Гостехкомиссией для класу "1Г", керівництво компанії зобов'язані забезпечити охорону сервера і активного устаткування. При цьому розуміється виділення окремого приміщення, в якому повинні бути проведені всі ремонтні роботи і приміщення має бути також обладнано відповідно до Гостів РФ з електропостачання, пожежогасіння і вентиляції.
За вимогами Гостехкомиссией для класу "1Г", керівництво так само має забезпечити фізичну охорону приміщень, в яких працюють користувачі. Причому такі заходи не повинні обмежуватися тільки тим часом доби, коли співробітників немає на робочих місцях. У робочий час, відповідальність за охорону робочих місць повинна відноситься на самих співробітників, і керівників відповідних відділів. У рамках даної системи, відповідальними за охорону робочих місць в робочий час відповідають Головний бухгалтер (бухгалтерія), Старший розраховувач (відділ кадрів).
Системний блок кожного комп'ютера користувача повинен бути видрукуваний за підписом начальника відділу та системного адміністратора. Крім того, кожен такий комп'ютер не повинен містити механізмів обміну даними (наприклад, пристрої для роботи з CD-дисками, і дискетами, пристрої обміну даними через інтерфейс USB).
Згрупувати співробітників по групах. Першу групу складуть бухгалтерія та відділ кадрів. У кабінеті одного з відділів встановити їх спеціалізований принтер. Доступ до даних відділи вже обмежені. Другу групу складають співробітники відділів маркетингу та інформаційного. У розпорядження даної групи надати інший принтер. Далі, необхідно зробити настройки мережевих ресурсів, так, щоб співробітники відділів могли здійснити друк тільки на "відведених" для них пристроях друку.
Не використовувати пристрої типу Hub. Використовувати спеціалізовані комутатори, де пакети йдуть по спеціалізованому маршрутом, конкретно заданої машини.
Як відомо слабкість системи визначається по самому слабкому ділянці цієї системи, а не всієї системи в цілому. Відповідно, організація ідентифікації повинна здійснюватися з рівня ОС. При цьому, на зміну параметрів Bios вже повинен бути виставлений пароль. Система повинна бути захищена на всіх рівнях (ланках) - клієнт, сервер-додаток, СУБД.
При цьому повинні виконуватися всі вимоги, які пред'являються до паролю: "не брати як паролі коротких послідовностей символів, менше 8-10; максимально використовувати надані системою можливості і вводити парольні послідовності в 15-20 символів; обов'язково використовувати в паролі не тільки букви і цифри , але і спецсимволи (! "№ ;%:?*{[<>& тощо) та зміна регістру символів. Не слід розуміти, що досить набирати в якості пароля на клавіатурі, включеної в режим латинського шрифту, фразу російською мовою, орієнтуючись на російську розкладку. На жаль, існують вже словники для програм-зломщиків паролів, орієнтованих і на такі хитрощі; "([1] - с.135.)
Слід здійснити налаштування таким чином, щоб користувач в примусовому порядку міняв пароля у встановлений проміжок часу. Краще, не рідше, ніж 1 місяць. При цьому останні паролі (5-10 штук) не повинні повторюватися.
Обмежити використання Інтернету, тільки в міру необхідності. Так, наприклад, Інтернет необхідний для спеціалістів відділів маркетингу, управлінців, і частково бухгалтерії. Електронною поштою користуються всі.
Точка виходу в глобальну мережу з даної мережі повинна бути одна - маршрутизатор, підключений до мережі через мережний комутатор. Обов'язковими заходами мають стати установка на маршрутизатор спеціалізованого ПЗ: firewall і антивірус. Для даного ПЗ повинен бути встановлений період часу, коли бази сигнатур повинні бути поповнені.
Використання технології VPN (virtual private network). У ЛВС підприємства VPN реалізується програмно-апаратний. На мобільному комп'ютері Директора, встановлюється тільки клієнтська частина VPN.
5. Вертикальна модель мережі
У попередньому розділі даної роботи була розглянута горизонтальна модель мережу, що відрізняє від вертикальної тим, що вона зачіпає лише аналіз загроз, які виникають в мережі на деякому одному рівні. Це рівень середовища функціонування системи, в якій "мешкають" кінцеві користувачі, системні адміністратори, програми.
Однак, загрози для системи можуть виявиться і на різних рівнях, відповідних семиуровневой мережевої моделі (OSI - Open System Interconnection).
"... Побудова механізмів захисту має також носити багаторівневий характер. Простіше це пояснити на прикладах. Якщо нас цікавить тільки захист конфіденційності і цілісності даних в додатках, то, звичайно, це питання можна вирішити на верхніх рівнях (додатках або уявленнях даних). Якщо постає питання про забезпечення надійності доставки - акценти зміщуються до транспортному рівню. Якщо обмін інформацією між системами повинен приховувати внутрішню мережеву структуру систем, то мова йде про мережевому рівні. Якщо необхідно врахувати небезпека широкомовних повідомлень (наприклад, загрози використання пасивного прослуховування сегмента), слід говорити про канальному рівні. Фізичний рівень звичайно порушується, коли мова йде про захист від побічних електромагнітних випромінюваннях або можливості фізичного впровадження зловмисника в канал зв'язку "([1]-c.107.).
Розглянемо кожен рівень семиуровневой мережевої моделі застосувавши для Системи.
5.1. Фізичний рівень
Даний рівень відповідає за кодування переданих сигналів у середовищі передачі даних. На цьому рівні відбувається перетворення надходять зі всіх інших рівнів бітів (0 і 1) в електричні сигнали. Відповідно до цього, для уникнення впливу різних електромагнітних наведень, які можуть призвести до спотворення переданої інформації, необхідно використовувати для передачі даних спеціальні екрановані проводи.
Також навколо проводів передачі даних утворюється електромагнітне поле, яке забезпечує можливість зчитування інформації, що передається за допомогою спеціальних пристроїв. З метою усунення такої загрози кабелі необхідно прокладати як можна далі від вікон (бажано по центральному коридору). У результаті цього зловмисники не зможуть вважати передані дані, перебуваючи за межами будівлі.
Рекомендована топологія мережі - зірка, де для підключення кожного вузла виділений окремий кабельний сегмент.
5.2. Канальний рівень
Оскільки на даному рівні семиуровневой моделі OSI відбувається робота з MAC-адресами мережевих інтерфейсів (адресами мережевих карт), то з метою усунення такої загрози, як підміна робочого місця користувача, необхідно зробити прив'язку MAC-адрес до конкретних портів активного обладнання, наприклад, комутатора .
Прив'язка MAC-адрес буде виглядати приблизно так:
[Прив'язати MAC - 1 до порту Port - 1]
Після виконання такої операції до порту 1 комутатора будуть мати доступ тільки комп'ютери з адресами мережевих інтерфейсів MAC-1. Пристрої з іншими мережевими картами вже не зможуть отримати доступ до портів даного комутатора.
5.3. Мережевий рівень
Мережевий рівень відповідає за маршрутизацію, тобто за вибір оптимального шляху і доставку пакета даних адресату. Відповідно до цього, необхідно розбити мережу на віртуальні сегменти (згрупувати в окремі VLAN-и), причому кожен такий сегмент буде мати справу з конфіденційною інформацією, що стосується лише користувачів, розташованих в даному сегменті мережі (працівників бухгалтерії підприємства та кадровиків).
Створимо для кожного відділу свій VLAN.
Налаштування портів може в такому випадку виглядати наступним чином:
[Включити Port - (1-6) в VLAN - 4]
[Включити Port - (7-10) в VLAN - 5]
[Включити Port - (11-12) в VLAN - 1]
[Включити Port - 13 в VLAN - 2]
[Включити Port - 14 в VLAN - 3]
Для досягнення більшого ефекту від такого розбиття мережі необхідно використовувати листи доступу (ACCESS - листи), які б забороняли мереж з конфіденційною інформацією маршрутизироваться в персональній машині користувачів бухгалтерії та відділів кадрів повинна бути встановлена ОС Windows 2000 Professional або Windows XP. Будь-яка з даних ОС повинна бути оновлена відповідними Service Pack. Так, для Win2000 до SP4, а для WinXP до SP2.
На сервері для функціонування системи має бути інстальований сервер-додаток "1С: Підприємство 8.0", а так само СУБД MS SQL Server Standard Edition SP3a. Потрібно встановити ОС - Windows 2000 Server або Windows 2003 Server for Small Business. При інсталяції та налаштування ОС рекомендується:
Опускати непотрібні сервіси, при цьому необхідно періодично перевіряти включені сервіси з метою виявлення змін, які можуть відбутися, наприклад, при установці нового ПЗ або АТ (На сервері з конфіденційною інформацією не повинно бути таких сервісів, як telnet, ftp, http);
По можливості не використовувати віддалене адміністрування;
Включити виявлення атак і антивірусний захист;
Постійно стежити за появою загроз в системі.
Обов'язково виконувати резервне копіювання, архівування, і якщо це можливо здійснювати контроль цілісності і очищення пам'яті.
5.7. Прикладне і загальносистемної ПЗ
На сервері і клієнті заборонено мати засоби розробки;
Категорично заборонено вести розробку ПЗ на промислових ресурсах. Для цих цілей повинні бути виділені окремі ресурси;
Кожен суб'єкт повинен мати доступ тільки до тих об'єктом, який йому дозволено відповідно до матриці доступу.
5.8. Захист СУБД
В якості сервера необхідно використовувати MS SQL Server Standard Edition SP3a. Необхідно виконання наступних заходів щодо захисту сервера СУБД:
Доступ до даних здійснювати тільки через системи ролей. Ролі затверджуються генеральним директором підприємства, а потім системний адміністратор призначає доступ;
Розробку і налагодження ПЗ вести на окремому сервері. Тестування також здійснювати на окремих ресурсах з урахуванням майбутньої навантаження;
Необхідно підвищити надійність електроживлення на сервері.
Організаційні заходи
Найдешевшим і найефективнішим засобом захисту інформації є проведення організаційних заходів. Для захисту Системи необхідно затвердити наступні організаційні заходи:
Затвердження політики безпеки;
Охорону периметру будівлі;
Розпорядження про персональний доступі в кросове приміщення;
Облік ключів та їх видача особам, затвердженим у спеціальному списку, що мають доступ до серверних приміщень, активному обладнанню та конфіденційної інформації; всі дії, що виконуються в цих приміщеннях, повинні документуватися і реєструватися, тобто необхідно ведення аудиту;
Розпорядження на видачу конфіденційної інформації в документальному вигляді;
Регламенту про резервне копіювання та архівування, який описує: хто відповідає за ці дії, а також графік їх виконання;
Заборона використання переносних пристроїв інформації;
Повинен бути розроблений список доступу користувачів до інформаційних об'єктів: матриця доступу;
Опис конфігурації серверів, всі конфігураційні файли повинні бути зарезервовані (збережені);
Розробка регламенту про отримання відомостей при переміщенні по службі (звільнення): на підставі наказів про звільнення службовців або їх переведення до інших підрозділів необхідно видалити обліковий запис, або змінити права доступу відповідно;
Розробка регламенту на використання антивірусів;
Регламент на відновлення системи після збоїв;
Налагодження обліку використовуваного програмного забезпечення: облік ліцензій, стандарт програмного забезпечення, робочого місця;
Регламент на профілактику: установка patch-їй
При виявленні уразливого місця в програмному забезпеченні встановити відповідний patch. Якщо ж такого ще немає, то стежити за його появою, а так само за інформацією про використання виявленого вади зловмисниками.
Висновок
В результаті виконання роботи було розглянуто функціонування Автоматизованої системи бухгалтерського, податкового та управлінського обліку. При аналізі діяльності бухгалтерії була виявлена інформація, що потребує захисту для його благополучного функціонування. Виходячи з цих даних, було проведено аналіз можливих загроз, яким могла піддатися персональна інформація і користувачі, що працюють із нею. Виявлені загрози були класифіковані на зовнішні і внутрішні. Вивчивши, ступінь можливого ризику появи цих загроз був проведений пошук рішень щодо зниження ймовірності появи кожної з них.
Реалізація захисту на вертикальній структурі забезпечила об'єднання користувачів бухгалтерії в окремий сегмент мережі так, щоб конфіденційна інформація не могла циркулювати в інших відділах. У той же сегмент був поміщений сервер баз даних, завдяки чому, доступ до нього має тільки сама бухгалтерія.
Підсумком став список організаційних заходів, регламентів і розпоряджень, завдяки яким основна частина загроз була ліквідована.
Розроблена підсистема відповідає класу захищеності 1Г, так як існує управління доступом (у систему, до ЕОМ, зовнішніх пристроїв ЕОМ, каналів зв'язку), реєстрація та облік (реєстрація входу / виходу суб'єктів доступу в / із системи, видачі друкованих вихідних документів, обліку носіїв інформації і т.д.), забезпечення цілісності (забезпечення цілісності ПЗ і оброблюваної інформації, фізична охорона засобів обчислювальної техніки та носіїв інформації, періодичне).
Варто відзначити, що в рамках даної роботи були задоволені наступні вимоги до захисту системи класу 1Г:
-Ідентифікація, перевірка достовірності та контроль доступу суб'єктів;
-Реєстрація та облік (входу / виходу суб'єктів в / із системи; видачі друкованих вихідних документів; запуску / завершення програм і процесів; доступу програм суб'єктів до захищуваних файлів, включаючи їх створення та видалення, передачу по лініях і каналах зв'язку);
-Фізична охорона засобів обчислювальної техніки та носіїв інформації;
-Наявність засобів відновлення системи.
Серед існуючих вимог класу 1Г є й такі, які не були вирішені повністю:
-Забезпечення цілісності програмних засобів та оброблюваної інформації;
-Очищення (обнулення) звільняються областей ВП Серверів і зовнішніх носіїв.
Запропоновані засоби та регламенти щодо захисту конфіденційної інформації системи в мережі дозволяють значно знизити ризики її крадіжки.
Список літератури
1. Конєв І.Р., Бєляєв А.В. Інформаційна безпека підприємства. - СПб.: БХВ-Петербург, 2003. - 752 с.: Іл.
2. Лекції Н.А. Некучаевой з дисципліни "Інформаційна безпека та захист інформації", 2005р.
Обмежити використання Інтернету, тільки в міру необхідності. Так, наприклад, Інтернет необхідний для спеціалістів відділів маркетингу, управлінців, і частково бухгалтерії. Електронною поштою користуються всі.
Точка виходу в глобальну мережу з даної мережі повинна бути одна - маршрутизатор, підключений до мережі через мережний комутатор. Обов'язковими заходами мають стати установка на маршрутизатор спеціалізованого ПЗ: firewall і антивірус. Для даного ПЗ повинен бути встановлений період часу, коли бази сигнатур повинні бути поповнені.
Використання технології VPN (virtual private network). У ЛВС підприємства VPN реалізується програмно-апаратний. На мобільному комп'ютері Директора, встановлюється тільки клієнтська частина VPN.
5. Вертикальна модель мережі
У попередньому розділі даної роботи була розглянута горизонтальна модель мережу, що відрізняє від вертикальної тим, що вона зачіпає лише аналіз загроз, які виникають в мережі на деякому одному рівні. Це рівень середовища функціонування системи, в якій "мешкають" кінцеві користувачі, системні адміністратори, програми.
Однак, загрози для системи можуть виявиться і на різних рівнях, відповідних семиуровневой мережевої моделі (OSI - Open System Interconnection).
"... Побудова механізмів захисту має також носити багаторівневий характер. Простіше це пояснити на прикладах. Якщо нас цікавить тільки захист конфіденційності і цілісності даних в додатках, то, звичайно, це питання можна вирішити на верхніх рівнях (додатках або уявленнях даних). Якщо постає питання про забезпечення надійності доставки - акценти зміщуються до транспортному рівню. Якщо обмін інформацією між системами повинен приховувати внутрішню мережеву структуру систем, то мова йде про мережевому рівні. Якщо необхідно врахувати небезпека широкомовних повідомлень (наприклад, загрози використання пасивного прослуховування сегмента), слід говорити про канальному рівні. Фізичний рівень звичайно порушується, коли мова йде про захист від побічних електромагнітних випромінюваннях або можливості фізичного впровадження зловмисника в канал зв'язку "([1]-c.107.).
Розглянемо кожен рівень семиуровневой мережевої моделі застосувавши для Системи.
5.1. Фізичний рівень
Даний рівень відповідає за кодування переданих сигналів у середовищі передачі даних. На цьому рівні відбувається перетворення надходять зі всіх інших рівнів бітів (0 і 1) в електричні сигнали. Відповідно до цього, для уникнення впливу різних електромагнітних наведень, які можуть призвести до спотворення переданої інформації, необхідно використовувати для передачі даних спеціальні екрановані проводи.
Також навколо проводів передачі даних утворюється електромагнітне поле, яке забезпечує можливість зчитування інформації, що передається за допомогою спеціальних пристроїв. З метою усунення такої загрози кабелі необхідно прокладати як можна далі від вікон (бажано по центральному коридору). У результаті цього зловмисники не зможуть вважати передані дані, перебуваючи за межами будівлі.
Рекомендована топологія мережі - зірка, де для підключення кожного вузла виділений окремий кабельний сегмент.
5.2. Канальний рівень
Оскільки на даному рівні семиуровневой моделі OSI відбувається робота з MAC-адресами мережевих інтерфейсів (адресами мережевих карт), то з метою усунення такої загрози, як підміна робочого місця користувача, необхідно зробити прив'язку MAC-адрес до конкретних портів активного обладнання, наприклад, комутатора .
Прив'язка MAC-адрес буде виглядати приблизно так:
[Прив'язати MAC - 1 до порту Port - 1]
Після виконання такої операції до порту 1 комутатора будуть мати доступ тільки комп'ютери з адресами мережевих інтерфейсів MAC-1. Пристрої з іншими мережевими картами вже не зможуть отримати доступ до портів даного комутатора.
5.3. Мережевий рівень
Мережевий рівень відповідає за маршрутизацію, тобто за вибір оптимального шляху і доставку пакета даних адресату. Відповідно до цього, необхідно розбити мережу на віртуальні сегменти (згрупувати в окремі VLAN-и), причому кожен такий сегмент буде мати справу з конфіденційною інформацією, що стосується лише користувачів, розташованих в даному сегменті мережі (працівників бухгалтерії підприємства та кадровиків).
Створимо для кожного відділу свій VLAN.
| Бухгалтерія | VLAN - 1 |
| Відділ кадрів | VLAN - 2 |
| Управлінець | VLAN - 3 |
| Інформаційні відділ | VLAN - 4 |
| Маркетинг | VLAN - 5 |
[Включити Port - (1-6) в VLAN - 4]
[Включити Port - (7-10) в VLAN - 5]
[Включити Port - (11-12) в VLAN - 1]
[Включити Port - 13 в VLAN - 2]
[Включити Port - 14 в VLAN - 3]
Для досягнення більшого ефекту від такого розбиття мережі необхідно використовувати листи доступу (ACCESS - листи), які б забороняли мереж з конфіденційною інформацією маршрутизироваться в персональній машині користувачів бухгалтерії та відділів кадрів повинна бути встановлена ОС Windows 2000 Professional або Windows XP. Будь-яка з даних ОС повинна бути оновлена відповідними Service Pack. Так, для Win2000 до SP4, а для WinXP до SP2.
На сервері для функціонування системи має бути інстальований сервер-додаток "1С: Підприємство 8.0", а так само СУБД MS SQL Server Standard Edition SP3a. Потрібно встановити ОС - Windows 2000 Server або Windows 2003 Server for Small Business. При інсталяції та налаштування ОС рекомендується:
Опускати непотрібні сервіси, при цьому необхідно періодично перевіряти включені сервіси з метою виявлення змін, які можуть відбутися, наприклад, при установці нового ПЗ або АТ (На сервері з конфіденційною інформацією не повинно бути таких сервісів, як telnet, ftp, http);
По можливості не використовувати віддалене адміністрування;
Включити виявлення атак і антивірусний захист;
Постійно стежити за появою загроз в системі.
Обов'язково виконувати резервне копіювання, архівування, і якщо це можливо здійснювати контроль цілісності і очищення пам'яті.
5.7. Прикладне і загальносистемної ПЗ
На сервері і клієнті заборонено мати засоби розробки;
Категорично заборонено вести розробку ПЗ на промислових ресурсах. Для цих цілей повинні бути виділені окремі ресурси;
Кожен суб'єкт повинен мати доступ тільки до тих об'єктом, який йому дозволено відповідно до матриці доступу.
5.8. Захист СУБД
В якості сервера необхідно використовувати MS SQL Server Standard Edition SP3a. Необхідно виконання наступних заходів щодо захисту сервера СУБД:
Доступ до даних здійснювати тільки через системи ролей. Ролі затверджуються генеральним директором підприємства, а потім системний адміністратор призначає доступ;
Розробку і налагодження ПЗ вести на окремому сервері. Тестування також здійснювати на окремих ресурсах з урахуванням майбутньої навантаження;
Необхідно підвищити надійність електроживлення на сервері.
Організаційні заходи
Найдешевшим і найефективнішим засобом захисту інформації є проведення організаційних заходів. Для захисту Системи необхідно затвердити наступні організаційні заходи:
Затвердження політики безпеки;
Охорону периметру будівлі;
Розпорядження про персональний доступі в кросове приміщення;
Облік ключів та їх видача особам, затвердженим у спеціальному списку, що мають доступ до серверних приміщень, активному обладнанню та конфіденційної інформації; всі дії, що виконуються в цих приміщеннях, повинні документуватися і реєструватися, тобто необхідно ведення аудиту;
Розпорядження на видачу конфіденційної інформації в документальному вигляді;
Регламенту про резервне копіювання та архівування, який описує: хто відповідає за ці дії, а також графік їх виконання;
Заборона використання переносних пристроїв інформації;
Повинен бути розроблений список доступу користувачів до інформаційних об'єктів: матриця доступу;
Опис конфігурації серверів, всі конфігураційні файли повинні бути зарезервовані (збережені);
Розробка регламенту про отримання відомостей при переміщенні по службі (звільнення): на підставі наказів про звільнення службовців або їх переведення до інших підрозділів необхідно видалити обліковий запис, або змінити права доступу відповідно;
Розробка регламенту на використання антивірусів;
Регламент на відновлення системи після збоїв;
Налагодження обліку використовуваного програмного забезпечення: облік ліцензій, стандарт програмного забезпечення, робочого місця;
Регламент на профілактику: установка patch-їй
При виявленні уразливого місця в програмному забезпеченні встановити відповідний patch. Якщо ж такого ще немає, то стежити за його появою, а так само за інформацією про використання виявленого вади зловмисниками.
Висновок
В результаті виконання роботи було розглянуто функціонування Автоматизованої системи бухгалтерського, податкового та управлінського обліку. При аналізі діяльності бухгалтерії була виявлена інформація, що потребує захисту для його благополучного функціонування. Виходячи з цих даних, було проведено аналіз можливих загроз, яким могла піддатися персональна інформація і користувачі, що працюють із нею. Виявлені загрози були класифіковані на зовнішні і внутрішні. Вивчивши, ступінь можливого ризику появи цих загроз був проведений пошук рішень щодо зниження ймовірності появи кожної з них.
Реалізація захисту на вертикальній структурі забезпечила об'єднання користувачів бухгалтерії в окремий сегмент мережі так, щоб конфіденційна інформація не могла циркулювати в інших відділах. У той же сегмент був поміщений сервер баз даних, завдяки чому, доступ до нього має тільки сама бухгалтерія.
Підсумком став список організаційних заходів, регламентів і розпоряджень, завдяки яким основна частина загроз була ліквідована.
Розроблена підсистема відповідає класу захищеності 1Г, так як існує управління доступом (у систему, до ЕОМ, зовнішніх пристроїв ЕОМ, каналів зв'язку), реєстрація та облік (реєстрація входу / виходу суб'єктів доступу в / із системи, видачі друкованих вихідних документів, обліку носіїв інформації і т.д.), забезпечення цілісності (забезпечення цілісності ПЗ і оброблюваної інформації, фізична охорона засобів обчислювальної техніки та носіїв інформації, періодичне).
Варто відзначити, що в рамках даної роботи були задоволені наступні вимоги до захисту системи класу 1Г:
-Ідентифікація, перевірка достовірності та контроль доступу суб'єктів;
-Реєстрація та облік (входу / виходу суб'єктів в / із системи; видачі друкованих вихідних документів; запуску / завершення програм і процесів; доступу програм суб'єктів до захищуваних файлів, включаючи їх створення та видалення, передачу по лініях і каналах зв'язку);
-Фізична охорона засобів обчислювальної техніки та носіїв інформації;
-Наявність засобів відновлення системи.
Серед існуючих вимог класу 1Г є й такі, які не були вирішені повністю:
-Забезпечення цілісності програмних засобів та оброблюваної інформації;
-Очищення (обнулення) звільняються областей ВП Серверів і зовнішніх носіїв.
Запропоновані засоби та регламенти щодо захисту конфіденційної інформації системи в мережі дозволяють значно знизити ризики її крадіжки.
Список літератури
1. Конєв І.Р., Бєляєв А.В. Інформаційна безпека підприємства. - СПб.: БХВ-Петербург, 2003. - 752 с.: Іл.
2. Лекції Н.А. Некучаевой з дисципліни "Інформаційна безпека та захист інформації", 2005р.
Додаток № 1. Схема АСУ підприємства.
