Автоматизированные информационные системы. Информационная безопасность экономических систем

В качестве инженерно-технических мер защиты в данном случае необходимо использовать [7]:
- экранирующие пленки для снижения прозрачности окон в помещениях, где производится обработка конфиденциальной информации;
- системы шумопонижения (звукоизолирующие материалы) на стенах в кабинетах;
- для защиты от утечек по радиоканалам - использование приборов, создающих зашумление, что делает перехваченные сигналы неинформативными;
- устройства для уничтожения документов перед их утилизацией (шредеры).
2.3 Общая характеристика программных систем защиты информации

Программная компонента системы защиты информации в технологии специалистов служит для обеспечения сохранности и конфиденциальности защищаемой информации, содержащейся в программных комплексах предприятия.
Основными компонентами программной защиты информации являются [4]:
- средства защиты от вредоносных программ, а также от сетевых угроз;
- средства защиты от несанкционированного доступа (НСД) в программные комплексы;
- средства разграничения доступа;
- криптографические системы.
Антивирусное ПО используется для защиты от вредоносного программного обеспечения. Корпоративные решения предполагают возможность настройки, обеспечивающие оптимальный уровень безопасности системы: ограничение использования flash-накопителей, исключения возможностей отключения защиты на уровне пользователей, централизованную установку программных продуктов и обновлений системы.
В работе специалистов по работе с персоналом при работе с прикладным программным обеспечением используются технологии парольной защиты с возможностью к определению сложности паролей, периодичности их смены.
Защита от НСД в прикладных системах предполагает [6]:
- разграничение доступа в прикладных подсистемах;
- ограничение доступа при входе в систему (исключение возможности наделение пользователей правами локальных администраторов);
- протоколирование работы пользователей;
- разграничение правил доступа к ресурсам файловых серверов.
Как правило, администрирование на уровне прикладного ПО, находится в компетенции специалистов профильных подразделений, так как выполнение разграничения доступа не предполагает непосредственного управления базой данных. Администраторы базы данных и администраторы системы назначаются из числа ИТ-специалистов.
При обращении паролей необходимо соблюдение дисциплины (исключение передачи паролей между специалистами, исключение возможности авторизации в системе с чужими учетными данными). Нарушение данных требований должно повлечь за собой дисциплинарные взыскания.

2.4 Использование программных и аппаратных средств для защиты от НСД

Использование электронных ключей при работе в программных комплексах позволяет решать усилить защищенность системы посредством принятия мер [5]:
- хранение всех пользовательских паролей в памяти ключа, либо на сервере управления ключами, для авторизации в системе ввод пароля производится единожды через ввод ПИН-кода ключа;
- возможность централизованного управления электронными ключами, что позволяет проводить централизованную блокировку, а также управление пользовательскими сессиями (что исключает, например, вход в систему для пользователей, отсутствующих на рабочем месте – находящихся в отпуске, на больничном или уволившихся);
- возможность централизованного управления ключами также дает возможности по управлению их содержимым – через управление политиками парольной защиты по срокам их изменения, степени сложности, блокировкам при ошибках авторизации в системе или прикладных программных комплексах;
- возможность ведения протоколов работы пользователей в системе, связанных с авторизацией в системе или прикладных комплексах, что дает возможности для анализа инцидентов, связанных с ошибками аутентификации;
- пользователи несут персональную ответственность за работу с электронными ключами и обязаны обеспечить их хранение в недоступном месте. Факты передачи электронных ключей относятся к инцидентам информационной безопасности;
- существуют возможности хранение помимо аутентификационных данных также и закрытых ключей электронной подписи, что также повышает степень защищенности системы от угроз, связанных с компрометацией.
Электронный ключ eToken является персональным средством аутентификации и хранения информации, аппаратно поддерживающим работу с цифровыми сертификатами и ЭЦП. Ключи eToken выпускаются в форм-факторе USB-ключей. Ключи eToken имеют защищённую энергонезависимую память и используются как портативные хранилища секретной информации, к которой относятся: ключи шифрования, данные авторизации в системе и прикладных программных комплексах, Web-формах, ключи шифрования [3].
Схема архитектуры управления аппаратными аутентификаторами приведена на рисунке 1.
При всех достоинствах использование электронных ключей не позволяет устранять следующие уязвимости [7]:
- невозможность предотвращения авторизации с действующим электронным ключом на рабочие станции, которые не предусмотрены технологией работы специалиста, что создает уязвимость перед инсайдерской активностью внутри организации;
- невозможность предотвращения входа с использованием встроенных учетных записей локального администратора или гостя (так как авторизация по ключу не исключает включения опций двухфакторной аутентификации).
Наличие активных встроенных учетных записей создает опасности, связанные с возможностью их использования вредоносным ПО.

Рисунок 2 - Схема управления электронными ключами

Рисунок 3 - Технологическая схема смены паролей с использованием технологии электронных ключей
Использование комплексных систем защиты информации (КСЗИ)
В качестве наступательной тактики при использовании программной защиты информации в технологии работы специалистов по работе с персоналом предлагается использование комплексной системы защиты информации «Панцирь-К».
Основными функциями КСЗИ «Панцирь-К» являются [6]:
- жесткая настройка списка пользователей компьютеров, исключающая возможности авторизации не включенных в список учетных записей даже с правами Гостя;
- ведение протоколов активности учетных записей, в которые возможно включение: снимков экранов, списка запущенных процессов, распределения памяти, сетевой активности;
- возможность контроля активности и изменения системного ПО;
- возможность централизованного завершения пользовательских сессий;
- возможность защиты установленного ПО от несанкционированного удаления (то есть пользователь лишается возможности самостоятельного удаления программ даже с административными).
На рисунке 4 приведено окно запуска системы КСЗИ «Панцирь-К».

Рисунок 4 - Окно запуска КСЗИ «Панцирь-К»

Таким образом, в случае возникновения инцидентов, связанных с нарушением требований к аутентификации, существует возможность предъявления протоколов его действий. Настройка контроля учетных записей пользователей приведена на рисунке 4. В данном режиме есть возможность контроля типов авторизации – с использованием вода пароля с консоли или использования смарт-карт, контролировать активность встроенных учетных записей, которые зачастую используются вредоносным ПО.

Рисунок 5 - Настройки контроля целостности

Таким образом, даже при наличии признаков активности вредоносного ПО, использующего встроенные учетные записи, возможна блокировка рабочей станции. Также исключается возможность доступа вредоносного ПО к информационным системам, список которых определен администратором.


Рисунок 6 - Настройка аудита действий пользователя


Рисунок 7 - Настройка контроля учетных записей пользователей

Также использование КСЗИ позволяет осуществлять управление:
- доступом к сетевым ресурсам;
- к буферу обмена;
- к подключенным устройствам;
- к файловой системе;
- другим ресурсам.
Данные сервисы позволяют блокировать активность вредоносного ПО, функционал которого связан с указанными ресурсами.





Заключение

В рамках данной работы проведен анализ вопросов проектирования архитектуры информационной безопасности применительно к экономическим информационным системам. Проведен анализ теоретических аспектов проектирования систем информационной безопасности, определены объекты защиты информации в информационных системах предприятий. Показано, что наиболее распространенными тактиками при проектировании системы информационной безопасности являются как комплекс защитных мер, так и активные, атакующие мероприятия. В рамках данной работы был проведен анализ возможности применения данных стратегий на примере инженерно-технической, организационной и программной защиты информации.
Опыт организаций, занимающихся защитой информации, показывает, что для достижения удачных решений по обеспечению информационной безопасности необходимо сочетание правовых, организационных и инженерно-технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.

Список использованных источников

Бирюков, А.А. Информационная безопасность. Защита и нападение [Текст] /А.А.Бирюков. - М.: ДМК-Пресс, 2014. – 647 с.
Астахов, А.М. Искусство управления информационными рисками [Текст]/ А.М.Астахов. – М.: ДМК Пресс, 2015. – 314 с.
Блинов, А.М. Информационная безопасность [Текст]/ А.М.Блинов. – СПб: СПбГУЭФ, 2015 - 96с.
Абдикеев, Н.М. Информационный менеджмент [Текст]/ Н.М.Абдикеев. - М. : ИНФРА-М¸ 2015. – 658с.
Алешенков, М.В. Основы национальной безопасности [Текст]/ М.В. Алешенков /Основы безопасности жизни.-2015.-№11.-С.5-10.
Андрианов, В.В. Обеспечение информационной безопасности бизнеса [Текст]/ В.В.Андрианов, С.Л.Зефиров, В.Б.Голованов, Н.А.Голдуев. – М.: Альпина Паблишерз, 2015. – 338с.
Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография [Текст] / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.
Лапонина, О.Р. Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия Интернет-университет информационных технологий [Текст]/ О.Р.Лапонина. - М.: ИНТУИТ.ру, 2014
Соната 3-М. Защита от утечек с использованием ПЭМИН. [Электронный ресурс]. Режим доступа: http://www.npoanna.ru/Content.aspx?name=models.sonata-avm
Системы защиты от утечек с использованием ПЭМИН. [Электронный ресурс]. Режим доступа: http://www.support17.com /component /content/39.html?task=view
Исаев, Г.Н. Информационные технологии: Учебное пособие / Г.Н. Исаев. - М.: Омега-Л, 2013. - 464 c.
Карпова, И.П. Базы данных: Учебное пособие / И.П. Карпова. - СПб.: Питер, 2013. - 240 c.
Петров, Сергей Викторович; Кисляков Павел Александрович Информационная Безопасность / Александрович Петров Сергей Викторович; Кисляков Павел. - Москва: СПб. [и др.] : Питер, 2013. - 329 c.19. Рассел, Джесси Honeypot (информационная безопасность) / Джесси Рассел. - М.: VSD, 2013. - 686 c.
20. Сальная, Л. К. Английский язык для специалистов в области информационной безопасности / Л.К. Сальная, А.К. Шилов, Ю.А. Королева. - М.: Гелиос АРВ, 2016. - 208 c.
21. Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2017. - 304 c.22. Федоров, А. В. Информационная безопасность в мировом политическом процессе / А.В. Федоров. - М.: МГИМО-Университет, 2017. - 220 c.23. Чипига, А. Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. - М.: Гелиос АРВ, 2013. - 336 c.








31