Задачи по защите информации возложены на сотрудников IT-отдела компании, а также на руководителей подразделений.
Компания оснащена необходимыми техническими средствами, характеристики которых отражены на схеме технической архитектуры ИС компании на рисунке 1.
Рисунок 1 – Техническая архитектура ИС
Сервер 1С установлен на персональном компьютере, который имеет следующие параметры: Intel Сore i7 8550u 4GHz/8MB/Turbo/Максимальный объем памяти: 32 ГБ. Типы памяти: DDR4-2400, LPDDR3-2133. Количество каналов памяти: 2. Максимальная пропускная способность памяти: 37.5 Гб/с.
Все отделы компании оснащены рабочими станциями со следующими параметрами: Intel core i3 8145u (2,10 ГГц) / RAM 2 ГБ / HDD 500 ГБ.
Для печати документов в отделах компании и торговом зале установлены принтеры, со следующими параметрами: SamsungSCX-4600+USB cable/360 МГц/256Мб/ Технология печати: Лазерная печать (ч/б) / Скорость печати составляет 22 стр./мин. при разрешении до 1200x600 тчк./дюйм.
Бухгалтерия компании оснащена многофункциональным устройством со следующими параметрами: Canon i-SENSYS MF411dw интерфейсы: Wi-Fi, USB 2.0, RJ-45/ лазерный/ A4/ монохромный/ ч.б. 33 стр/мин/ печать 1200x1200/ сканирование 600x600/ автоматическая двусторонняя печать.
|
|
Все рабочие станции компании соединены в локальную сеть каналами связи, с помощью технологии передачи данных Ethernet с использованием маршрутизаторов большой мощности – MIKROTIK CCR1016-12G. Данный маршрутизатор имеет 12 портов Gigabit Ethernet 10/100/1000BASE-T, а также 1 microUSB (с питанием) для подключения накопителей, адаптеров(serial, ethernet), 3G и 4G модемов, беспроводных адаптеров. Также присутствуют два слота SODIMM DDR3 с предустановленными 2x 1GB DDR3 (всего 2GB). Производительность маршрутизатора – 1,5 млн. пакетов в секунду standard forwarding, 17,8 млн. пакетов в секунду FastPath forwarding (скорость всех портов), до 12 Gbit/s пропускная способность.
На сегодняшний день бухгалтерский и налоговый учет в компании осуществляется бухгалтерией с помощью программного продукта «1C: Бухгалтерия 8.3», а реализация товаров и услуг при помощи «1С:Розница 8» которые обеспечивают высокий уровень автоматизации ведения бухгалтерского и налогового учета и подготовки обязательной (регламентированной) отчетности в хозрасчетных организациях.
Сервер 1С – это программа и компьютер, на котором установлена и работает данная программа.
Система 1С: Бухгалтерия 8.3 обеспечивает решение всех задач стоящих перед бухгалтерской службой.
Подготовка внутренней и внешней отчетности менеджерами по продажам и администраторами, а также необходимой сопроводительной документации в компании производится с помощью программных продуктов пакета прикладных программ Microsoft Office 2007:
Microsoft Office Word позволяет создавать и редактировать профессионально оформленные отчеты, а так же документы строгой отчетности.
|
|
Microsoft Office Excel позволяет выполнять вычисления, а также анализировать и визуализировать данные в электронных таблицах.
Microsoft Office Outlook позволяет получать и отправлять почту, работать с расписаниями, контактами и задачами, а так же вести запись своих действий.
Microsoft Office PowerPoint позволяет готовить презентации для демонстрации, собраний и веб-страниц.
Веб-браузер Google Chrome используется всеми отделами компании для работы в интернете (поиска, работа с электронной почтой, банковских операций и чтение новостей).
Для защиты от внешних угроз операционная система предприятия «Домашний компьютер» защищена лицензионным программным продуктом «Kaspersky Internet Security 2019». Данное программное обеспечение функционирует в рамках операционной системы Microsoft Windows 7 (Корпоративная версия), установленной на всех компьютерах, имеющихся в компании.
На данный момент каждый пользователь информационной системы «1С: Бухгалтерия 8.3» имеет свой логин и пароль для входа в систему. Благодаря, чему в любой момент времени можно проследить за действиями пользователей в системе, определить, кто и когда производил те или иные операции над накладными.
Результаты оценки действующей системы безопасности информации, отражают, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации (таблица 6).
В компании действуют следующие нормативно-правовые документы в области защиты информации и информационной безопасности (ИБ):
- Положение о конфиденциальной информации
- Положение об использовании программного обеспечения
- Правила внутреннего трудового распорядка
- Приказ о введении Правил внутреннего трудового распорядка
Таблица 6 – Анализ выполнения задач по обеспечению информационной безопасности
№ п/п | Основные задачи по обеспечению информационной безопасности | Степень выполнения |
1. | обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной; | средняя |
2. | организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны; | средняя |
3. | организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной; | низкая |
4. | предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну; | средняя |
5. | выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях; | средняя |
6. | обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне; | высокая |
7. | обеспечение охраны территории, зданий помещений, с защищаемой информацией. | высокая |
Оценка рисков
Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности.
Для оценки рисков выбран метод, который предлагает использование таблицы «штрафных баллов» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 7)
Суть подхода заключается в определении наиболее критичных активов в организации с точки зрения рисков ИБ по «штрафным баллам». Оценивание рисков производится экспертным путем на основе анализа ценности активов, возможности реализации угроз и использования уязвимостей, определенных в предыдущих пунктах. Для оценивания предлагается, например, таблица с заранее предопределенными «штрафными баллами» для каждой комбинации ценности активов, уровня угроз и уязвимостей [11, стр. 65].
|
|
Таблица 7 – Таблица «штрафных баллов»
Ценность актива | Уровень угрозы | ||||||||
Низкий | Средний | Высокий | |||||||
Уровень уязвимости | Уровень уязвимости | Уровень уязвимости | |||||||
Н | С | В | Н | С | В | Н | С | В | |
0 | 0 | 1 | 2 | 1 | 2 | 3 | 2 | 3 | 4 |
1 | 1 | 2 | 3 | 2 | 3 | 4 | 3 | 4 | 5 |
2 | 2 | 3 | 4 | 3 | 4 | 5 | 4 | 5 | 6 |
3 | 3 | 4 | 5 | 4 | 5 | 6 | 5 | 6 | 7 |
4 | 4 | 5 | 6 | 5 | 6 | 7 | 6 | 7 | 8 |
Обозначение: Н - низкий, С - средний, В - высокий. |
Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8. Значения величин размещают в матрице в структурированной форме в соответствии с таблицей 7.
Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует. Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку – по степени угрозы и уязвимости. Ценность настоящего метода состоит в ранжировании соответствующих рисков (таблица 8).
Таблица 8 – Результаты оценки рисков информационным активам организации
Риск | Актив | Ранг риска |
Утрата доступности | Цены на товары и материалы | 64 |
Утрата доступности | Информационные услуги | 59 |
Утрата конфиденциальности | Внутренняя переписка | 56 |
Утрата конфиденциальности | Приходные накладные | 53 |
Утрата конфиденциальности | Расходные накладные | 48 |
Утрата конфиденциальности | Инвентаризационная ведомость | 35 |
Утрата конфиденциальности | Заказы клиентов | 27 |
Утрата доступности | Скидки клиентов | 22 |
Нарушение целостности | Программное обеспечение | 22 |
Утрата доступности | Наряд на выполнение работ | 21 |
Утрата доступности | Бухгалтерская и налоговая отчетность | 6 |
Данная таблица содержит риски наиболее ценным информационным активам, распределенные в порядке убывания. Результаты оценки рисков являются основанием для выбора и формулировки задач по обеспечению информационной безопасности предприятия, и выбора защитных мер.
|
|
Таким образом, наивысшую оценку среди активов по такому риску, как «утрата доступности» наибольшую важность представляют цены на товары и материалы, что приведет к утрате, клиентами, возможности просматривать актуальные цены, а это, в свою очередь, приведет к финансовым потерям.
Для риска «утрата конфиденциальности» самую большую оценку важности актива получает Внутренняя переписка, так как информация такого рода, получившая огласку, может привести к снижению имиджа компании.
Угроза «Нарушение целостности» для актива Программное обеспечение приведет к простою в работе фирмы, что также негативно скажется на финансовом состоянии.