Фрагмент для ознакомления
2
Информационный обмен в ООО «Приморье Агро» охватывает множество процессов, требующих различного уровня защиты. Внутренний информационный обмен осуществляется между структурными подразделениями предприятия: дирекцией, бухгалтерией, отделом кадров, отделом снабжения, отделом продаж и агрономической службой. Внешний информационный обмен включает взаимодействие с поставщиками, покупателями, государственными контролирующими органами, банковскими учреждениями и партнёрами по агробизнесу. Информационные потоки передаются посредством локальной вычислительной сети, электронной почты, телефонной связи, а также посредством обмена бумажными документами. Анализ информационного обмена позволяет определить критические точки, в которых возможна утечка или искажение защищаемой информации, и выстроить соответствующую систему защитных мер.
1.1.1 Меры по защите коммерческой тайны
Защита коммерческой тайны в ООО «Приморье Агро» основывается на определении состава защищаемой информации и создании условий, затрудняющих её несанкционированное получение. Коммерческую тайну предприятия составляют сведения о финансово-экономической деятельности, технологические решения, данные о поставщиках и покупателях, а также управленческая информация, распространение или использование которых может нанести ущерб конкурентоспособности хозяйства. К таким сведениям относятся: данные о себестоимости продукции и размерах прибыли, технологии возделывания сельскохозяйственных культур, результаты научных исследований, базы данных клиентов и партнёров, условия заключённых договоров, ценовая политика и стратегические планы развития [15].
Объектом защиты информации является комплексная информационная инфраструктура предприятия, включающая технические средства обработки информации, программное обеспечение, базы данных, документацию и каналы передачи данных. Предприятие осуществляет деятельность на территории общей площадью 4 гектара, что обусловливает специфические требования к физической защите информационных ресурсов. Территория предприятия включает производственные здания, административные помещения, зернохранилища и складские помещения для хранения сельскохозяйственной продукции и техники (рисунок 1.1). Ближайшие строения представляют потенциальную угрозу утечки информации: жилой дом расположен на расстоянии 15 метров от административного здания, что создаёт возможность визуального наблюдения за действиями персонала через оконные проёмы, а производственные постройки соседних предприятий находятся на расстоянии 30 метров от границы территории, что может способствовать перехвату электромагнитных излучений от вычислительной техники [2].
Рисунок 1.1 – Территория расположения объекта исследования
Планировка территории предусматривает централизованное размещение административных зданий вблизи главного входа, что обеспечивает контроль доступа посетителей. Производственные здания удалены от административного корпуса на 50–100 метров, что создаёт определённую изолированность технологических процессов. Однако отсутствие охраняемых периметров между отдельными зданиями и недостаточное освещение территории в ночное время создают благоприятные условия для несанкционированного проникновения.
Основные направления внутреннего и внешнего информационного обмена ООО «Приморье Агро», а также категории передаваемой информации представлены на рисунке 1.2.
Рисунок 1.2 – Модель информационного обмена ООО «Приморье Агро»
Источник: составлено автором
Как видно из рисунка 1.2, информационный обмен предприятия включает внутреннее взаимодействие между дирекцией, службой информационной безопасности, бухгалтерией, отделом кадров, отделом снабжения, отделом продаж, агрономической службой, складом и производством, а также внешний обмен с регуляторами, банками, поставщиками, покупателями и клиентами. По каналам обмена передаются персональные данные сотрудников и клиентов, сведения, составляющие коммерческую тайну, служебная и открытая информация.
Действующие меры защиты коммерческой тайны включают организационные, такие как: ограничения доступа к конфиденциальным документам, использование замков и сигнализации в помещениях хранения документов, а также технические меры – программные средства разграничения доступа к электронным данным. Режим коммерческой тайны установлен локальными нормативными актами предприятия, определяющими перечень конфиденциальной информации и порядок работы с ней. Сотрудники, допущенные к сведениям, составляющим коммерческую тайну, подписывают обязательства о неразглашении. Вместе с тем анализ существующей системы защиты выявляет ряд существенных недостатков: отсутствует классификация информации по степеням конфиденциальности, контроль движения документов не автоматизирован, обучение персонала правилам работы с конфиденциальной информацией проводится нерегулярно, технические средства защиты не обеспечивают комплексного перекрытия каналов утечки информации [4].
Для повышения эффективности защиты коммерческой тайны рекомендуется внедрить комплекс дополнительных мер. Организационные меры должны включать разработку детализированного положения о коммерческой тайне с чётким определением категорий конфиденциальной информации, порядка её обработки, хранения и уничтожения. Необходимо создать систему допуска с дифференциацией уровней доступа к информации различных категорий конфиденциальности. Персонал должен проходить вводный инструктаж при приёме на работу и периодические проверки знаний не реже одного раза в год. Технические меры должны предусматривать криптографическую защиту электронных документов, учёт и контроль движения документов с применением электронного документооборота, защиту помещений от утечки информации по техническим каналам [5].
1.1.2 Меры по защите персональных данных
Защита персональных данных работников и клиентов ООО «Приморье Агро» осуществляется в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и локальными нормативными актами предприятия. Персональные данные, обрабатываемые на предприятии, включают сведения о сотрудниках: фамилию, имя, отчество, дату и место рождения, адрес регистрации и проживания, паспортные данные, идентификационный номер налогоплательщика, сведения об образовании, трудовом стаже, семейном положении и составе семьи, а также сведения о заработной плате и социальных льготах. Кроме того, обрабатываются персональные данные клиентов и партнёров: контактные данные, банковские реквизиты, сведения о заключённых договорах и история взаимодействия [16].
Требования к защите персональных данных в информационной системе предприятия определяются в соответствии с Постановлением Правительства РФ №1119 и Приказом ФСТЭК России №21 [18, 19]. Система включает автоматизированные рабочие места в отделе кадров и бухгалтерии, серверное оборудование для хранения баз данных, программное обеспечение для ведения кадрового учёта и расчёта заработной платы, а также каналы передачи данных между структурными подразделениями. ИСПДн функционирует под управлением операционной системы Windows Server 2012 R2, которая с 2023 года официально не поддерживается производителем и не получает обновлений безопасности, что создаёт повышенные риски компрометации системы [7].
Существующие меры защиты персональных данных включают программные средства разграничения доступа к базам данных, хранение документов с персональными данными в запираемых шкафах, ограничение круга лиц, имеющих доступ к персональным данным. Вместе с тем система защиты имеет существенные недостатки: серверное оборудование размещено в неспециализированном помещении без надлежащей физической защиты, резервное копирование данных осуществляется нерегулярно, отсутствует система мониторинга событий безопасности и обнаружения вторжений, сотрудники не проходят обучение правилам обработки персональных данных. Угрозы безопасности персональных данных включают возможность несанкционированного доступа вследствие недостаточной защищённости операционной системы, утечку информации при передаче по сети, а также риски утраты или искажения данных [8].
Необходимые меры по совершенствованию защиты персональных данных должны быть направлены на устранение выявленных недостатков и обеспечение соответствия требованиям законодательства. В первую очередь требуется модернизация серверной инфраструктуры с переходом на поддерживаемую операционную систему, например Astra Linux Special Edition, обеспечивающую необходимый уровень защищённости и соответствующую требованиям импортозамещения. Необходимо внедрить систему резервного копирования данных с контролируемым хранением резервных копий, реализовать средства аудита и мониторинга доступа к персональным данным, обеспечить шифрование персональных данных при хранении и передаче. Следует организовать обучение персонала, ответственного за обработку персональных данных, требованиям законодательства и правилам работы с конфиденциальной информацией [9].
1.1.3 Меры по обеспечению охраны объектов сельскохозяйственного предприятия
Для анализа физической структуры информационной системы рассмотрим планировку административного здания и размещение помещений (рисунок 1.3), в которых осуществляется обработка и хранение защищаемой информации. Экспликация помещений административного здания представлена в Таблице 1.
Обеспечение охраны объектов сельскохозяйственного предприятия включает комплексную защиту территории, зданий, сооружений и технических средств информатизации от несанкционированного доступа, хищений и иных противоправных действий. Территория предприятия площадью 4 гектара включает административные здания, производственные помещения, зернохранилища, склады сельскохозяйственной техники и горюче-смазочных материалов, а также открытые площадки для хранения продукции и материалов (рисунок 1.5). Периметр территории составляет около 900 метров, при этом ограждение частично разрушено и не обеспечивает надёжного препятствия для проникновения посторонних лиц. Освещение территории в ночное время недостаточное, что создаёт благоприятные условия для скрытного передвижения нарушителей [10].
Рисунок 1.4 – Физическая структура информационной системы
Физическая охрана объектов осуществляется силами собственной службы охраны в количестве трёх человек, работающих посменно. Режим охраны предусматривает несение дежурства на контрольно-пропускном пункте при въезде на территорию и периодическое патрулирование периметра. Однако круглосуточное патрулирование всей территории силами трёх человек не обеспечивается, контроль въезда и выезда транспортных средств документируется в журнале нерегулярно. Административное здание оборудовано металлической входной дверью с замком и охранной сигнализацией, однако сигнализация находится в неработоспособном состоянии. Оконные проёмы первого этажа не защищены решётками или иными физическими барьерами, что создаёт возможность проникновения через окна [11].
Сетевая инфраструктура предприятия построена на базе коммутаторов, объединённых в локальную вычислительную сеть. Фактически до модернизации локальные распределительные шкафы на этажах не укомплектованы активными коммутаторами – доступен только единичный коммутатор в северной части здания. Маршрутизация сетевого трафика осуществляется посредством сетевого оборудования, расположенного в серверном помещении. Существующая архитектура сети предусматривает единое сетевое пространство без сегментации по структурным подразделениям или категориям обрабатываемой информации, что повышает риски распространения угроз в случае компрометации одного из сегментов. Каналы связи между зданиями проложены по воздуху на опорах линий электропередач, что создаёт возможность несанкционированного подключения к линии связи [12].
Мероприятия по совершенствованию охраны объектов должны включать реконструкцию ограждения территории с восстановлением повреждённых участков, организацию освещения периметра в ночное время, установку системы видеонаблюдения с охватом ключевых зон территории и въездных групп. Необходимо модернизировать систему охранной сигнализации административного здания и организовать её техническое обслуживание, обеспечить защиту оконных проёмов первого этажа металлическими решётками. В сетевой инфраструктуре рекомендуется внедрить сегментацию сети с использованием VLAN для разделения трафика между структурными подразделениями и категориями защищаемой информации. Для обеспечения охраны серверного помещения рекомендуется установить систему контроля и управления доступом, а также организовать хранение резервных копий данных в защищённом помещении за пределами основного серверного помещения [11].
1.2 Описание информационного объекта
Информационным объектом исследования является автоматизированная информационная система ООО «Приморье Агро», предназначенная для обработки, хранения и передачи персональных данных работников, клиентов и представителей контрагентов, сведений, составляющих коммерческую тайну, а также служебной и производственно-технологической информации. Границы информационного объекта включают сервер баз данных, файловое хранилище, автоматизированные рабочие места пользователей, локальную вычислительную сеть административного здания, маршрутизатор, коммутатор, каналы связи, машинные носители информации, бумажный архив, программное обеспечение, учётные записи пользователей и администраторов, а также пользователей, имеющих доступ к информационным ресурсам предприятия.
Физическая структура информационной системы ООО «Приморье Агро» включает комплекс технических средств, обеспечивающих обработку, хранение и передачу информации на предприятии. Серверное оборудование размещено в помещении административного здания, не специализированном для серверной: отсутствуют климат-контроль (поддержка температуры и влажности), автоматическая система пожаротушения и резервированное электропитание. Такое размещение повышает риски выхода оборудования из строя и утраты данных в случае аварий. Сервер представляет собой системный блок промышленного исполнения, используемый в качестве файл-сервера и сервера баз данных. Конфигурация сервера включает процессор Intel Xeon, оперативную память 32 ГБ, жёсткие диски общим объёмом 4 ТБ в конфигурации RAID 1, сетевой адаптер Gigabit Ethernet. На сервере установлена операционная система Windows Server 2012 R2, система управления базами данных Microsoft SQL Server 2014, файловый сервер и контроллер домена [17].
Рабочие станции пользователей представлены персональными компьютерами различной конфигурации, преимущественно на базе процессоров Intel Core i5 и i7, с оперативной памятью 8–16 ГБ и жёсткими дисками объёмом 500 ГБ – 1 ТБ. Операционные системы рабочих станций – Windows 10 Professional, лицензирование осуществляется по программам корпоративного лицензирования. Общее количество рабочих станций составляет 25 единиц, распределённых между структурными подразделениями следующим образом: дирекция – 3 рабочие станции, бухгалтерия – 5 рабочих станций, отдел кадров – 2 рабочие станции, отдел снабжения – 4 рабочие станции, отдел продаж – 5 рабочих станций, агрономическая служба – 4 рабочие станции, прочие службы – 2 рабочие станции [18].
Выход в Интернет организован через единый DSL-модем (модем-роутер провайдера), выполняющий функции маршрутизации и DHCP. Использование потребительского модема-роутера вместо выделенного периметрального маршрутизатора/межсетевого экрана лишает сеть надёжной фильтрации входящего/исходящего трафика и централизованного контроля доступа. Кроме того, отсутствие сегментации (VLAN) и аппаратного межсетевого экрана создаёт единое широковещательное доменное пространство и повышает вероятность масштабного распространения вредоносного ПО в случае компрометации одной из рабочих станций.
Логическая структура информационной системы ООО «Приморье Агро» определяется архитектурой программного обеспечения, распределением функций между компонентами системы и организацией сетевого взаимодействия. На сервере установлена ОС Windows Server 2012 R2, которая с 2023 г. не поддерживается и не получает обновлений безопасности, что повышает риск компрометации серверной инфраструктуры до модернизации. Система управления базами данных – Microsoft SQL Server 2014, используемая для хранения данных бухгалтерского учёта, кадрового делопроизводства, сведений о клиентах и поставщиках, а также производственно-технологической информации, связанной с планированием и ведением сельскохозяйственного производства. Данные хранятся в единой базе без разделения по уровням конфиденциальности, что создаёт риски несанкционированного доступа к защищаемой информации при компрометации любой части системы [20].
Программное обеспечение рабочих станций включает операционную систему Windows 10 Professional, офисный пакет Microsoft Office 2019, программу бухгалтерского учёта «1С:Бухгалтерия», кадровую программу «1С:Зарплата и управление персоналом», браузеры для работы с веб-приложениями, почтовый клиент Microsoft Outlook. Сетевая архитектура предусматривает единое широковещательное доменное пространство без разделения на виртуальные локальные сети (VLAN). Все рабочие станции и сервер находятся в единой сети 192.168.1.0/24, адреса назначаются посредством DHCP-сервера, функционирующего на маршрутизаторе. Контроль доступа к сетевым ресурсам осуществляется посредством доменной аутентификации в Active Directory, однако политики парольной защиты и блокировки учётных записей настроены с минимальными требованиями [21].
Схема размещение сетевых элементов показана на рисунке 1.6. Сеть предприятия представляет собой плоскую топологию «звезда» с центром в коммутаторе ядра. Все сегменты сети объединены в единое широковещательное пространство, сегментация по структурным подразделениям или функциональным группам отсутствует. Маршрутизатор обеспечивает связь с сетью Интернет и выполняет базовые функции NAT; полноценного межсетевого экрана (аппаратного или программного уровня) не установлено. Фильтрация трафика реализована на минимальном уровне и не обеспечивает полноценной защиты периметра сети. Внутренние коммуникации между подразделениями никак не ограничены, любой пользователь сети может получить доступ к ресурсам любого другого компьютера при отсутствии локальных разрешений. Такая архитектура создаёт благоприятные условия для распространения вредоносного программного обеспечения и реализации внутренних угроз безопасности информации [22].
Рисунок 1.6 – Существующая схема размещения оборудования агрокомплекса
Отсутствие сегментации сети означает, что весь трафик передаётся в едином широковещательном домене, что создаёт следующие проблемы безопасности. Во-первых, широковещательный шторм в любой части сети влияет на производительность всей сети. Во-вторых, сниффинг сетевого трафика возможен с любой точки сети при использовании коммутируемой архитектуры без защиты от ARP-спуфинга. В-третьих, распространение вредоносного программного обеспечения не ограничено сегментами сети. В-четвёртых, несанкционированный доступ к ресурсам не ограничен организационными границами подразделений. В-пятых, аудит сетевой активности затруднён из-за отсутствия централизованного мониторинга на уровне сегментов [23].
Совершенствование системы защиты информации в ООО «Приморье Агро» основывается на принципе экономической целесообразности, согласно которому затраты на защиту информации не должны превышать возможный ущерб от её утечки или утраты. При выборе методов и средств защиты необходимо учитывать специфику деятельности предприятия, характер и объём обрабатываемой информации, выявленные уязвимости и угрозы, а также финансовые возможности хозяйства. Комплексный подход предполагает одновременное применение организационных, технических и программных мер защиты, обеспечивающих перекрытие всех потенциальных каналов утечки информации [24].
Для модернизации в проекте предусмотрены: обновление серверной инфраструктуры с переходом на отечественную операционную систему, внедрение системы резервного копирования данных, реализация сегментации локальной сети, а также модернизация физической охраны объектов. Данные мероприятия позволят устранить наиболее критичные уязвимости и обеспечить базовый уровень защищённости информационных активов предприятия. Последующие этапы будут включать внедрение средств криптографической защиты информации, систем мониторинга и обнаружения вторжений, а также комплексную защиту помещений от утечки информации по техническим каналам. Модернизация будет осуществляться поэтапно, с учётом последовательного внедрения защитных мер и оценки их эффективности [25].