Защита информации в компании «British Petrolium»

ЭЦП - это  программно-криптографическое средство, которое обеспечивает:

- проверку  целостности документов;

- конфиденциальность  документов;

- установление  лица, отправившего документ

1.8 Понятие компьютерного вируса

Компьютерный  вирус - это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области  компьютера и т.д., а также выполнять  различные нежелательные действия на компьютере.

 Программа,  внутри которой находится вирус,  называется "зараженной". Когда  такая программа начинает работу, то сначала управление получает  вирус. Вирус находит и "заражает" другие программы, а также выполняет  какие-нибудь вредные действия (например, портит файлы или таблицу размещения  файлов на диске, "засоряет" оперативную память и т.д.). Для  маскировки вируса действия по  заражению других программ и  нанесению вреда могут выполняться  не всегда, а, скажем, при выполнении  определенных условий. [8]

1.9 Классификация компьютерных вирусов

Можно классифицировать вирусы по следующим признакам:

1. по  среде обитания вируса

2. по  способу заражения среды обитания

3. по  деструктивным возможностям

4. по  особенностям алгоритма вируса.

 

 

2. Защита информации в компании  «British Petrolium»

В качестве объекта защиты я решила выбрать  один из офисов крупной нефте-газовой корпорации «British Petrolium» BP — британская нефтегазовая компания, вторая по величине публично торгующаяся нефтегазовая компания в мире. Штаб-квартира — в Лондоне.Основана в 1908 как Anglo-Persian Oil Company, с 1954 — British Petroleum Company. В 1998 British Petroleum слилась с American Oil Company (Amoco), образовав BP Amoco, после чего название British Petroleum перестало употребляться.Главный управляющий компании — лорд Джон Браун.На протяжении почти всего столетия British Petroleum играла ведущую роль в мировой экономике. Сегодня ВР - третья по величине нефтяная и нефтехимическая корпорация мира, обладающая богатым опытом научно-исследовательской и практической деятельности в ключевых областях нефтебизнеса. Компания ведёт добычу нефти и газа во многих уголках земли, как на суше, так и на шельфе. BP владеет серьезными нефтеперерабатывающими и нефтехимическими мощностями, сетью АЗС, выпускает масла под маркой Castrol. Причиной моего выбора является то, что офис нефте-газовой компании является одним из интереснейших объектов защиты. На серверах  в офисе такой огромнейшей корпорации хранится немало ценнейшей информации, доступ к которой должен быть строго ограничен. Предположим, что на сервере в данном конкретном  офисе, который я буду защищать хранится информация о месторождениях нефти, газа, а также о некоторых крупных финансовых сделках корпорации. Ценность такой информации сложно переоценить. 

Физическая  защита

Офис  расположен на четвертом этаже 16-тиэтажного здания.

Объектами защиты являются:

серверная комната, в которой находится сервер, RAID-массиы, хранящие основные данные, резервные копии данных, маршрутизаторы, точки выхода в корпоративную сеть и в Internet, и т.д.;

компьютеры  в рабочей комнате, на посту охраны, в кабинетах и конференцзалах, т.е. офисная сеть.

Некоторые меры защиты

Для защиты входной двери надо поставить  на нее металлическую тяжелую  дверь и камеру с кардридером или кодовой клавиатурой. Расположить пост охраны непосредственно в коридоре за или перед входной дверью. Установить вход по пропускам или по приглашению с записью в журнал.

Для охраны точек выхода в Internet или в корпоративную сеть необходимо установить аппаратные фаерволы. По-моему неплохим решением могут быть фаерволы Сіsco.

Для физического  контроля за доступом к информации нужно:

установить электронные системы обнаружения, такие как камеры (как видимые, так и скрытые), видеомагнитофоны, дверные переключатели, детекторы движения, звуковые датчики, лучи фотоэлемента, контактные переключатели, инфракрасные сенсоры и беспроводные технологии, в целостную систему обнаружения. Тщательно следить за информацией о состоянии и местоположении всех установленных устройств;

вести инвентарный  список всего компьютерного оборудования, которое кто-нибудь может похитить, проникнув в систему (например, серверов, дисков, мониторов) и наклеить на эти  устройства инвентарные номера корпорации или другие соответствующие идентификационные  отметки. Ежегодно проверять наличие  оборудования по записям в реестре. В случае несанкционированного проникновения  в систему эти методы помогут  определить, что пропало, и идентифицировать утраченную собственность;

в BIOS запретить  загрузку с дискет и компакт-дисков;

не оставлять  документацию о системах, архитектуре  сети и паролях в общедоступном  месте;

защитить  сетевые устройства, такие как  маршрутизаторы, концентраторы и  коммутаторы. Незаблокированный порт коммутатора может быть использован  как точка входа в сеть.

Серверная комната хранит всю наиважнейшую информацию и потому требует дополнительных мер защиты. Вот комплекс мер необходимых  для защиты серверной комнаты с учетом конкретных особенностей защищаемого объекта:

Защита  по периметру

Замки и  двери. Надежный замок в двери  центра данных - первая строка физического  обеспечения безопасности. Порекомендую кодовый замок, который поддерживает безопасность на уровне пользователя. Надо установите различные комбинации для каждого пользователя и периодически менять их. Ввести процедуру блокировки доступа пользователя, который покидает компанию. Стандартные замки с  ключами или кодовые замки  с единственной комбинацией небезопасны, поскольку они не имеют достаточно возможностей регистрации, а потерять ключ или подобрать одну комбинацию достаточно легко. Лучше использовать замок, имеющий защитный экран, такой, что только пользователь, вводящий комбинацию, может видеть вспомогательную  клавиатуру.

Замок нужно  сконфигурировать для записи в журнал событий регистрации пользователей, входящих в закрытую область. Компании предоставляют блокирующие системы, которые поддерживают регистрацию. Эти замки имеют встроенный инфракрасный порт (IR), который можно задействовать  для печати журнала событий и  списка пользователей. Кроме того, можно  использовать замки с магнитными картами и идентификационные  бей джи (proximity badges), которые поддерживают регистрацию событий. Основной риск для любой системы, которая требует от пользователей ввода кода, наличия идентификационной карточки или ключа связан с тем, что не имеющие на самом деле прав доступа пользователи все равно могут его получить.

Дверь лучше  выбрать металлическую: она должна быть достаточно надежна, чтобы выдержать  удар плечом. Укрепить дверную раму и обшивку, петли расположить  так, чтобы злоумышленники не могли  снять дверь снаружи, или установите несъемные петли. Использовать для  крепления петель и несущей конструкции  длинные винты, уходящие в стену. Приварить гайки любых болтов, которые выходят на поверхность  стальных дверей.

Окон  в серверной комнате не имеется.

Потолки и полы. Чтобы продвигаться незаметно  на несколько десятков метров при  кражах со взломом в магазине, грабитель, как известно, использует пространство фальшпотолков и фальшполов. Надо продлите стены серверного помещения выше фальшпотолка и ниже фальшпола, чтобы соединить реальные потолок и пол. Кроме того, чтобы перекрыть возможность доступа для злоумышленников, на стенах, которые наращиваются до реального потолочного покрытия и пола, устанавливают датчики состояния окружающей среды (то есть уровня загазованности и температуры).

Стены, пол  и потолок за экранировать металлом

Электроэнергия. Если основные панели выключателей находятся  возле центра данных (например, снаружи  за дверью), перенести их, либо запереть. Один из возможных способов проникновения  в систему – отключение энергии  в надежде заблокировать сигнал тревоги и другое оборудование защиты периметра. Установить UPS для серверов и расположить оборудование контроля доступа так, чтобы иметь некоторую  защиту на время отключения энергии.

Внутри  центра данных

Безопасность  шкафа. Большинство промышленных шкафов для сервера имеют блокировку передней и задней двери. Двери и  замки могут быть усилены, но они  одновременно мешают доступу при  выключении серверов и дисководов.

Внешний контроль (мониторинг). Установить второй контрольный узел за пределами серверной  комнаты. Этот узел подаст сигнал тревоги, если злоумышленник выведет из строя  сетевое соединение или отключит первичное устройство, чтобы избежать сообщения из серверной. Установить и обслуживать второй контрольный пост надо, стараясь обойтись минимальным количеством сотрудников.

Создать вторую резервную копию данных и  поместить в другое хорошо защищенное помещение. В корпорации должно быть общее место для хранения архивов.

Реализация  политики безопасности

Эта часть  будет описывать границы ответственности  и отчетности при претворении  в жизнь политики, описанной в  последующих разделах. Она определяет ответственных за реализацию политики после того, как описывает лиц  в организации, к которым она  применима.

Область действия

Эта политика применима к данному офису  Корпорации как к одной из ее составляющих. В случае спора в отношении правильности интерпретации или реализации данной политики, последнее слово будет за комитетом по безопасности в Корпорации. Ответственность за выполнение этой политики  в рассматриваемом офисе возлагается на начальника службы безопасности офиса, кто может в свою очередь переложить часть этой ответственности на других лиц. Уточнения и интерпретации этой политики могут быть получены из комитета по безопасности в тех случаях, когда имеет место очевидный конфликт между местными требованиями или различные толкования положений основной политики.

 Реализация

Каждое  должностное лицо и служащий Корпорации, который администрирует или использует сетевые ресурсы Корпорации, отвечает за строгое соблюдение данной политики. Каждый человек должен обязательно  сообщать о подозреваемых или  реальных уязвимых местах в безопасности своему непосредственному начальнику. В Корпорации имеется своя группа улаживания инцидентов с компьютерной безопасностью(ГУИКБ), которая может и должна уведомляться в обязательном порядке об основных инцидентах, при которых произошли компрометация, неправильное использование или порча информационных ценностей Корпорации. В нашем офисе организована своя ГУИКБ для более быстрого выявления уязвимых мест в защите и заделывания их. Хотя сотрудники, входящие в ГУИКБ, имеют свои основные должностные обязанности, вопросы безопасности имеют приоритет по отношению к ним, и должны решаться в первую очередь.

Описание  политики Сети

Политика  безопасности, описываемая здесь, в  равной степени применима ко всем сетевым компонентам Корпорации.

Интересы  организации

Сетевые ресурсы Корпорации существуют лишь для того, чтобы поддерживать деятельность организации. В некоторых случаях  тяжело провести черту между интересами организации( служебными интересами) и другими интересами. Система конференций и электронной почты Интернета являются примерами смешения интересов организации и личных интересов сотрудников по использованию этих ресурсов. Корпорация понимает, что попытки использования ограничений типа “только в интересах Корпорации” в этих случаях бессмысленны. Поэтому необходимо дать рекомендации, а не строгие требования в отношении информационных ресурсов, которые служат для решения не только задач, стоящих перед Корпорацией. Начальники отделов имеют право принять решение о допустимости использования сетевых ресурсов сотрудниками для решения задач, отличных от чисто служебных, в том случае, если при этом повышается эффективность работы данного сотрудника. С другой стороны начальники отделов должны препятствовать некорректному использованию сетевых ресурсов, как для личных целей, так и для целей отдыха и развлечения сотрудников, но могут допустить такое использование ресурсов, там где оно морально или повышает эффективность работы. Сетевые администраторы имеют право и должны сообщать об инцидентах, связанных с подозреваемым или доказанным использованием сетевых ресурсов не по назначению, начальнику отдела, сотрудники которого были участниками инцидента, и сообщать о нарушениях данной политики своему начальнику отдела.

Принцип “знай только то, что ты должен знать  для работы”

Доступ  к информационным ценностям Корпорации не будет осуществлен, если не будет  необходимости знать эту информацию. Это значит, что очень критическая  информация должна быть защищена и  раздроблена на части таким образом, чтобы она была неизвестна основной массе сотрудников. Персональная информация, например, требуется руководителям  групп, но им не нужна полная информация о людях, то есть о сотрудниках, работа с которыми не входит в их круг обязанностей.

Выявление необходимости сотруднику знать  какую-либо информацию осуществляется младшими начальниками , а ответственность за реализацию принятых решений возлагается на сетевых администраторов в рамках его ответственности. Споры и конфликты будут разрешаться комитетом по безопасности, но доступ к информации, явившейся предметом конфликта, будет запрещен до окончания разрешения конфликта. Другими словами, каждый должен знать только то, что ему положено.

Обмен данными

Одним из основных показателей значимости сетевых  ресурсов является быстрый и точный обмен данными, а также уничтожение  избыточных и устаревших данных. В  этом вопросе Корпорация поддерживает и поощряет совместное использование  и обмен информацией между  подразделениями Корпорации там, где  этот обмен не входит в противоречие с принципом “знать только то, что  тебе нужно для работы”. Не должно происходить импорта и экспорта информационных ценностей между узлами сети без явного разрешения на это в соответствии с вышеупомянутым принципом. Причина выделения отдельного пункта состоит в необходимости подчеркнуть, что неконтролируемый обмен данными является причиной появления источников порчи информации и их распространения( вирусов и т.д.). Например, как следствие, запрещено вносить данные, полученные вне сетевой инфраструктуры Корпорации, без тщательной проверки на отсутствие источников ее порчи. Из изложенного выше должно быть ясно, что все, что явно не разрешено, - запрещено, так как область обмена данными создает риск целостности данных.

Аутентификация

Доступ  к любой информационной ценности Корпорации не должен осуществляться без соответствующей аутентификации, кроме случаев, описанных в этом разделе. Руководители подразделений  могут принять решение предоставить публичный доступ к некоторой  информации Корпорации для ее рекламы  и продвижения на рынке. Сети могут  иметь службы общего доступа, аналогичные  тем, что имеются в BBS. Эти службы не требуют аутентификации или имеют  слабую аутентификацию. Если такая  служба делается доступной для пользователей  сети, которые не являются постоянными  сотрудниками Корпорации или работающими  в ней по контракту, или как-то иначе подпадающими под юрисдикцию Корпорации, то они должна получать к ней доступ не из сети, а из интернета  с применением соответствующих  мер защиты периметра безопасности. Другими словами, если информация раскрывается вне Корпорации, то это не может  делаться через сеть, а должно осуществляться через интернет с использованием соответствующих средств защиты, например требования аутентификации для  получения доступа к частным  информационным ценностям.