Организация безопасного удаленного доступа к ЛВС организации, предприятия

Удаленный доступ осуществляется с помощью дополнительного установленного программного обеспечения, создающего защищенное соединение с локальной сетью — соединение VPN.Аудит прав доступа проводится в случае прекращения полномочий работника - перевода на другую должность в организации и/или изменения требований руководящих документов по безопасности.Доступ к ресурсам ЛВС, ЛВС пользователю предоставляется:В целях обеспечения надлежащих организационно-технических условий, необходимых для исполнения своих должностных обязанностей.В целях поставки товаров, выполнения работ, оказания услуг в ходе реализации государственных контрактов (договоров), связанных с функционированием ЛВС.Доступ к информационным и программным ресурсам ЛВС осуществляется при соблюдении всех следующих условий:Наличие доступа пользователей к аппаратным ресурсам (наличие автоматизированного рабочего места – рабочей станции).Наличие на рабочей станции пользователя лицензионной операционной системы, лицензионного прикладного программного обеспечения и лицензионных средств антивирусной защиты, совместимых со средствами управления, установленными на серверном оборудовании министерства информационных технологий и связи Ростовской области (далее – министерство).Наличие доступа пользователей к необходимым сопутствующим ресурсам ЛВС.При работе с ресурсами локальной сети пользователю запрещается:Попробуйте расширить права пользователя локальной сети;Попытаться угадать пароли пользователей локальной сети;хранить информацию, составляющую служебную и коммерческую тайну, на общедоступных сетевых ресурсах;попробуйте увеличить объем сетевого хранилища и сетевых папок;передавать средства хранения информации третьим лицам в неустановленном порядке;записывать и хранить непроизводственную информацию;Записывать файлы, содержащие исполняемый код или вредоносное ПО;Копировать информацию и документы из локальной сетиДопускать к подключенной в ЛВС рабочей станции других лиц без согласования с отделом защиты информации.Запускать на рабочей станции, подключенной к ЛВС, ПО, не входящее в состав ПО рабочей станции.Устанавливать и/или использовать на рабочей станции, подключенной к ЛВС, игровое, обучающее и другое ПО, не предназначенное для исполнения служебных обязанностей.Зарегистрированные средства хранения информации;- использовать для работы с информационными ресурсами и средствами ЛВС незарегистрированные хранилища информации;Удаленное безопасное управление доступом к локальной сетиКонтроль действий пользователей в локальной сети осуществляется устройствами безопасности.Для контроля использования средств хранения информации ИТ-персонал устанавливает на компьютеры сотрудников специальное программное обеспечение.При выявлении нарушений требований настоящего регламента сотрудники ИБ должны сообщить о выявленных нарушениях руководителю службы безопасности.Пользователь обязан:При работе на рабочей станции выполнять только служебные задания.При сообщениях тестовых программ о появлении вредоносного программного обеспечения незамедлительно сообщать об этом в отдел защиты информации.При применении внешних носителей информации перед началом работы провести их проверку на предмет отсутствия вредоносного программного обеспечения.При работе с информацией использовать только учтенные носители информации.Выполнять требования работника отдела защиты информации, связанные с соблюдением настоящего раздела.Сохранять пароли в тайне, не сообщать их другим лицам.Вводить личные пароли и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц.В случае обнаружения сбоя в работе рабочей станции, ресурса ЛВС в течение одного дня сообщить об этом администратору ЛВС.ЗаключениеЦелью данного исследования является разработка методических рекомендаций направленных на снижение угроз безопасности ресурсам вычислительной сети при удаленном подключении. В квалификационной работе проводится анализ мероприятий по организации информационной безопасности организации в случае использования в ней удаленного доступа пользователей к сетевым ресурсам. Информация, циркулирующая в этой системе, представляет для организации определенную ценность, и поэтому она хочет эту информацию защитить.Для достижения поставленной цели, в работе поставлены следующие основные задачи:Проведен анализ специфики и особенностей функционирования рассматриваемой организации.Выявлена, а также проанализированы причинно-следственные связи возникновения угроз, особенности развития основных угроз безопасности функционирования автоматизированной системе управления в свете современного нормативно-правового регулирования.Проведен анализ существующих методов организации безопасности вычислительной сети при использовании удаленных методов подключения пользователей.Разработаны методические рекомендации, касающиеся снижения негативных последствий влияния основных угроз на вычислительную сеть организации.Сформулированы рекомендации, касающиеся практической реализации предложений, направленных на снижение негативного воздействия угроз на автоматизированную систему управления финансово-кредитного учреждения, провести их экономическую оценку.Таким образом, можно считать, что система ИБ организации, в результате модернизации теперь соответствует предъявленным требованиям. Список литературыСабанов А. А. Некоторые аспекты защиты электронного документооборота // Соnnесt! Мир связи. - 2019. - № 7. - С. 62-64.Титоренко, Г.А. Информационные системы в экономике : учебник для студентов вузов / Г.А. Титоренко. - М. : ЮНИТИ-ДАНА, 2018. - 463 с.Protect Sensitive Data in Motion with SafeNet Carrier Ethernet Encryption. [Электронныйдокумент] URL: https://safenet.gemalto.com/Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;ГОСТ Р 50775-95 Системы тревожной сигнализации.ГОСТ 51241-98 - Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытанийНПБ 88-01 Установки пожаротушения и сигнализации. Нормы и правила проектированияРД 78.36.003-2002 Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств. РД 78.36.005-99 Выбор и применение систем контроля и управления доступом. Рекомендации.РД 78.36.007-99 Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации.ГОСТ Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования» - М.: Госстандарт России: Издательство стандартов, 2007.ГОСТ Р 53113.2-2009 Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. - М.: Госстандарт России: Издательство стандартов, Дата введения 2009-12-01Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. изд 2 - М.: Наука и техника, 2019. - 412 с.Федеральный закон "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" от 21.12.1994 N 68-ФЗОков И. Н. Криптографические системы защиты информации СПб, ВУС, 2021, 236с.Соколов А. М., Степанюк О.М. Защита объектов и компьютерных сетей (Шпионские штучки). - М.: ACT, СПб.: Полигон, 2018. 272с.Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования.— М.: ФОРУМ: ИНФРА-М, 2019.Крысин А.В. Информационная безопасность. Практическое руководство — М.: СПАРРК, К.:ВЕК+, 2019.Савицкая Г.В. Анализ хозяйственной деятельности предприятия: Учебник. – 3-е изд., перераб. И доп. – М.: ИНФРА-М, 2018. – 425 с.Цывин М.Н. Терминологические проблемы изучения дисциплины "Электронный документооборот" / М.Н. Цывин // Библиотековедение. Документоведение. Информология. - 2019. - № 1. - C. 7 - 11.Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2018. –76с.Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2019. – 214 с.Стельмашонок Е.В., Васильева И.Н. (ред.) Информационная безопасность цифрового пространства. СПб.: СПбГЭУ, 2019. — 155 с. — ISBN 978-5-7310-4465-3.Воробьева А.А., Коржук В.М. Системы защиты информации в ведущих зарубежных странах. Учебно-методическое пособие. – СПб: Университет ИТМО, 2019.– 32 с.Бирюков В.А., Дмитриева О.В., Степанова Г.Н. Теоретико-методологические аспекты реализации стратегии информационной безопасности медиа организации в современных условиях. Монография. — М.: Буки Веди, 2019. — 160 с.Ананченко И.В., Зудилова Т.В., Хоружников С.Э. Средства резервного копирования, восстановления, защиты данных в операционных системах Windows. Учебное пособие. — СПб.: Университет ИТМО, 2019. — 50 с.Козлов Сергей. Защита информации. Устройства несанкционированного съема информации и борьба с ними. М.: Трикста, 2018. — 289 с.Масалков А.С. Особенности киберпреступлений: инструменты нападения и защиты информации. М.: ДМК Пресс, 2018. — 226 с.: ил.Сычев Ю.Н. Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. М.: РЭУ им. Г.В. Плеханова, 2017. — 207 с. Нохрина Г.Л. Информационная безопасность. Курс лекций. — Екатеринбург: Уральский государственный лесотехнический университет, 2017. — 133 с.Пелешенко В.С., Говорова С.В., Лапина М.А. Менеджмент инцидентов информационной безопасности защищенных автоматизированных систем управления. Учебное пособие. — Ставрополь: Изд-во СКФУ, 2017. — 86 с.Денисов Д.В Методические указания по дипломному проектированию для специальности «Информационные системы и технологии», «Безопасность информационных систем» Денисов Д.В., Дик В.В., Емельянов А.А., Жильцов А.И.,М. МПФУ 2019 г.Статистика уязвимостей корпоративных информационных систем.Positivetechnologies. Режим доступа www. www.ptsecurity.ruОфициальный сайт ООО «Код Безопасности». [Электронный документ]: URL: www.securitycode.ruПриложение 1.Законодательство Российской Федерации в области защиты конфиденциальной информации и персональных данныхФедеральные законы:а) 149-ФЗ «Об информации, информационных технологиях и о защите информации»149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.Ключевые моменты закона об информационной безопасности:Нельзя собирать и распространять информацию о жизни человека без его согласия.Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.Есть информация, к которой нельзя ограничивать доступ, например, сведения о состоянии окружающей среды.Некоторую информацию распространять запрещено, например, ту, которая пропагандирует насилие или нетерпимость.Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют;б) 152-ФЗ «О персональных данных»Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»Ключевые моменты закона:Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет;в) 98-ФЗ «О коммерческой тайне»Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.Ключевые моменты закона о защите информации компании:Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности;г) 63-ФЗ «Об электронной подписи»Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.Ключевые моменты закона:Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр;д) 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.Ключевые моменты закона об информационной безопасности критически важных структур:Для защиты критической инфраструктуры существует Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).Объекты критически важной инфраструктуры обязаны подключиться к ГосСОПКА. Для этого нужно купить и установить специальное ПО, которое будет следить за безопасностью инфраструктуры компании.Одна из мер предупреждения — проверка и сертификация оборудования, ПО и всей инфраструктуры, которая используется на критически важных предприятиях.Субъекты критической информационной инфраструктуры обязаны сообщать об инцидентах в своих информационных системах и выполнять требования государственных служащих. Например, использовать только сертифицированное ПО.Все IT-системы критически важных предприятий должны быть защищены от неправомерного доступа и непрерывно взаимодействовать с ГосСОПКА.При разработке IT-инфраструктуры критически важные предприятия должны руководствоваться приказом ФСТЭК №239 от 25.12.2017 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации". В нем прописаны основные требования к защите информации на таких предприятиях. Обеспечение безопасности значимого объекта в ходе его удаленной эксплуатации п. 13.4 : «Реализованные процессы управления изменениями значимого объекта и его подсистемы безопасности должны охватывать процессы гарантийного и (или) технического обслуживания, в том числе дистанционного (удаленного), программных и программно-аппаратных средств, включая средства защиты информации, значимого объекта.»Государство имеет право проверять объекты критически важной инфраструктуры, в том числе внепланово, например, после компьютерных инцидентов вроде взлома или потери информации.