СодержаниеВВЕДЕНИЕ ............................ 3
Глава 1. ОПИСАНИЕ ФИНАКАДЕМИИ И СИСТЕМЫ ВКС .....
14
1.1. Структура Финакадемии ..................... 16
1.2. Подразделения по информационному обеспечению ..... 19
1.3. Нормативно-методическое обеспечение подразделений по информационному обеспечению .................
21
1.4. Общее описание системы видеоконференцсвязи ........ 22
Глава 2. АНАЛИЗ СИСТЕМЫ ВИДЕОКОНФЕРЕНЦСВЯЗИ
25
2.1. Программно-аппаратное обеспечение системы ВКС ....... 25
2.2. Технология функционирования системы ВКС ......... 40
2.3. Анализ нормативно-методических документов .......... 42
2.4. Описание каналов утечки конфиденциальной информации .. 44
2.5. Выявление и оценка достижений и недостатков ......... 48
Глава 3. СОВЕРШЕНСТВОВАНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ ВИДЕОКОНФЕРЕНЦСВЯЗИ ........................................
59
3.1. Организационная защита информации ............ 59
3.2. Нормативно-методическое обеспечение защиты информации ... 63
3.3. Устранение каналов утечки информации .............. 65
ЗАКЛЮЧЕНИЕ ............................
70
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И ЛИТЕРАТУРЫ
73
ПРИЛОЖЕНИЯ ........................
75ВведениеОбщение при помощи видеоконференцсвязи (ВКС) позволяет увеличить эффект восприятия информации до 90% - во время сеанса участники могут не только видеть и слышать друг друга, но и обмениваться данными и обрабатывать их в режиме реального времени. По этой причине использование видеоконференцсвязи считается одним из мощнейших инструментов повышения эффективности бизнеса и представляет собой качественно новый уровень коммуникаций, объединяя технологические достижения в компьютерной области, телефонии и телевидении.
Тем не менее, в России системы ВКС продолжают оставаться востребованными в основном среди крупных компаний и предприятий.
На сегодняшний день автоматизированные системы (АС) являются основой обеспечения практически любых бизнес-процессов, в том числе и в государственных организациях. Вместе с тем, повсеместное использование АС для хранения, обработки и передачи информации приводит к обострению проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.
По данным Министерства внутренних дел РФ количество компьютерных преступлений, связанных с несанкционированным доступом к конфиденциальной информации, увеличилось с шести сотен в 2000 году до семи тысяч в 2003 году . Рассматривая статистику компьютерных преступлений, приведенную выше, следует учитывать то, что данная информация устарела.
По сравнению с 2003 годом количество пользователей увеличилось, а следовательно, и увеличилась преступность за счет более изощренных методов проникновения.
Компания IDC (ведущая международная исследовательская и консалтинговая компания, работающая на рынке информационных технологий и телекоммуникаций) на конференции, посвященной вопросам «Информационной безопасности предприятия: анализ рисков, противостояние угрозам и проблемы регулирования», предоставила данные опроса 150 российских компаний в 2006 году, из которых следует, что наиболее серьезными проблемами, с которыми приходится сталкиваться сотрудникам ИТ в области обеспечения безопасности, являются ошибки сотрудников.
В 2007 году, на конференции, проведенной IDC в рамках вопроса защиты конфиденциальной информации, все специалисты, а также представители крупнейших организаций, предоставляющих услуги по обеспечению аудита и защите предприятия от НСД, без исключения разделяют мнение о том, что к вопросам по обеспечению безопасности информации внутри предприятия следует относиться гораздо серьезнее. Понятие информационной безопасности выходит за рамки подразделений, отвечающих за информационные технологии, и уже тесно связано с такими понятиями, как бизнес-процессы.
Если ранее пользователи автоматизированных систем сталкивались и боролись с хулиганами, которые взламывали системы ради забавы, то сейчас мы имеем дело с профессионалами, которые иногда имеют даже больше знаний и опыта, чем сотрудники ИТ.
Как отмечают многие исследовательские центры, более 80% всех инцидентов, связанных с нарушением информационной безопасности, вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри АС конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные или ущемлённые в том или ином аспекте сотрудники компаний, которые своими действиями стремятся нанести организации финансовый или материальный ущерб. Всё это заставляет более пристально рассмотреть как возможные каналы утечки конфиденциальной информации, так и дать возможность ознакомиться со спектром технических решений, позволяющих предотвратить утечку данных.
При написании дипломной работы были использованы различные источники информации, разделенные на две подгруппы:
Опубликованные:
• Гришина Н.В. Организация комплексной системы защиты информации – М.: Гелиос АРВ, 2007. – 256 с., ил.
Рассматриваются вопросы организации системы защиты информации на предприятии. Определяются методологические подходы к технологии построения, принципы управления комплексной системой защиты информации (КСЗИ).
• Официальная статистика компьютерных преступлений, совершенных в Российской Федерации по данным ГИАЦ МВД России, 2004.
В системе органов внутренних дел ГИАЦ МВД России является головной организацией в областях:
– информационного обеспечения статистическими, оперативно-справочными, розыскными, криминалистическими, архивными и научно-техническими сведениями;
– оперативно-аналитического и информационного обеспечения оперативно-розыскной деятельности, а также информационного взаимодействия по обмену оперативной информацией с иными субъектами оперативно-розыскной деятельности;
– планирования, координации и контроля процессов создания, внедрения, использования, развития в системе МВД России современных информационных технологий, автоматизированных информационных систем общего пользования и оперативно-розыскного характера, интегрированных банков данных общего пользования, средств вычислительной техники и системного программного обеспечения к ним;
– ведения и развития Единой системы классификации и кодирования технико-экономической и социальной информации.
• Постановление Правительства Российской Федерации от 21 января 2006 г. №26 "О совершенствовании структуры Финансовой академии при Правительстве Российской Федерации".
Постановление, регламентирует создание, на основе федеральных государственных образовательных реорганизованных учреждений, филиалов Финакадемии.
• Устав Финакадемии при Правительстве РФ.
В данном источнике отражен свод правил, регулирующих организацию и порядок деятельности Финакадемии. Устав выполняет роль основного акта, определяющего задачи, принципы образования и деятельности данной организации.
• Федеральный закон "О коммерческой тайне" от 29 июля 2004 года № 98-ФЗ.
Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау).
Положения настоящего Федерального закона распространяются на информацию, составляющую коммерческую тайну, независимо от вида носителя, на котором она зафиксирована.
• Федеральный закон "О персональных данных" от 8 июля 2006 года № 149-ФЗ.
Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
• Федеральный закон "Об информации, информационных технологиях и защите информации" от 27 июля 2006 года № 149-ФЗ.
Данный федеральный закон , регулирует отношения, возникающие при:
– осуществлении права на поиск, получение, передачу, производство и распространение информации;
– применении информационных технологий;
– обеспечении защиты информации.
Также стоит отметить, что положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.
• Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ.
Уголовное законодательство Российской Федерации состоит из настоящего Кодекса.
Настоящий Кодекс основывается на Конституции Российской Федерации и общепризнанных принципах и нормах международного права.
• Polycom MGC Administrator’s Guide 9.0.
Данный источник информации представляет собой руководство администратора, предназначенное для развертывания и настройки сервера MCU Polycom MGC-50.
• Polycom MGC User Guide 9.0 vol. I, II.
Данный источник информации представляет собой руководство пользователя, предназначенное для настройки и управления сервером многоточечной конференции MCU Polycom MGC-50.
• Polycom PathNavigator User Guide 7.0.
Данный источник информации представляет собой руководство администратора, предназначенное для развертывания и настройки контроллера зоны системы ВКС.
• TANDBERG 550 MXP User Manual.
Руководство пользователя терминального оборудования TANDBERG 550 MXP.
• TANDBERG 550 MXP Technical Description.
Углубленное техническое описание терминального оборудования TANDBERG 550 MXP.
• TANDBERG 770/880/990 MXP User Manual.
Руководство пользователя терминального оборудования TANDBERG 880 MXP.
• TANDBERG 770/880/990 MXP Technical Description.
Углубленное техническое описание терминального оборудования TANDBERG 880 MXP.
• TANDBERG Management Suite 12.0 Administrator Guide.
Данный источник информации представляет собой руководство администратора, предназначенное для развертывания и настройки сервера управления TANDBERG Management Suite 12.0 терминальным оборудованием системы ВКС.
Неопубликованные:
• Должностные инструкции сотрудников Управления технологий и прикладных систем Финансовой Академии при Правительстве РФ.
Инструкции сотрудников описывают общие положения, должностные обязанности, ответственность и квалификационные требования.
• Инструкция по охране труда для работников, занятых эксплуатацией персональных компьютеров.
В данной инструкции описаны общие требования охраны труда для работников, занятых эксплуатацией персональных компьютеров.
• Положение об Управлении технологий и прикладных систем Финансовой Академии при Правительстве РФ.
Это внутренний нормативный акт, конкретизирующий те или иные виды деятельности Управления, неоговоренные уставом.
• Распоряжение Финансовой академии при Правительстве РФ №320-1 от 21.11.2008 проректора по информационным технологиям и инновациям.
Данное распоряжение обязывает, с целью организации обучения профессорско-преподавательского состава и работников Финакадемии работе с информационно-технологическими продуктами, подать заявки и списки групп на обучение. В приложении к распоряжению содержится список курсов с кратким описанием содержания.
• Создание информационно-телекоммуникационной системы Финансовой Академии при Правительстве РФ. Технорабочий проект.
Данный проект разработан на основании и в соответствии с утвержденным «Техническим заданием на поставку оборудования и услуг, связанных с проектированием и последующей реализацией ЛВС, сети цифрового вещания и проектирования оптической сети Финансовой Академии при Правительстве России».
Дипломная работа включает в себя введение, три главы, заключение, список использованных источников и литературы, приложения.
Глава 1. В этой главе приведена структура Финакадемии и особенности системы ВКС – глава имеет описательный характер. Охарактеризовано предприятие и подразделения, отвечающие за информационное обеспечение Финакадемии, а также назначение и задачи, которые решает система ВКС.
Глава 2. Анализ системы видеоконференцсвязи – в данной главе детализируется текущее состояние системы ВКС применительно к вопросам защиты информации на различных уровнях (программно-аппаратный, нормативно-методический, организационный).
Глава 3. Совершенствование защиты информации в системе видеоконференцсвязи, в которой описываются основные направления развития защиты информации в системе видеоконференцсвязи и предложения по ее совершенствованию.
Цель дипломной работы состоит в выработке предложений и рекомендаций по вопросам реального повышения защищенности системы ВКС, а также в устранении каналов утечки конфиденциальной информации.
Исходя из этого, задачами дипломной работы являются:
• рассмотрение организационной структуры Финакадемии и подразделений по информационному обеспечению предприятия, с описанием основных функций ВКС;
• выявление особенностей работы системы ВКС на данном предприятии;
• анализ состояния защищенности системы ВКС;
• разработка и обоснование предложений по защите системы ВКС от утечки информации ограниченного распространения.
Система видеоконференцсвязи – это быстро развивающийся сегмент рынка, который внедряется, в основном, крупными интеграторами и требует значительных денежных вложений. Технологии, используемые в реализации системы видеоконференцсвязи, описаны только на сайтах производителей оборудования и в технической документации к готовому и внедренному проекту на предприятии.
Тема защиты информации в системе видеоконференцсвязи, безусловно исследуется в различных проектах, однако информация подобного рода является конфиденциальной и почти никогда не публикуется для широкой аудитории. Никаких примеров реализации и развертывания проектов систем ВКС в открытом доступе найти не представляется возможным, не говоря уже о защите информации в данных системах, за исключением технической документации, расположенной на сайтах производителей и содержащих информацию по отдельному конкретному продукту.
Актуальность проблемы по защите информации, передаваемой средствами системы ВКС, не нашла отражение в научной и справочной литературе, использованной при написании диплома. В данных работах, в основном, затрагиваются вопросы настройки аппаратно-программных составляющих системы ВКС.
Применение системы ВКС в Финакадемии ограничивается несколькими видами деятельности:
– совещаниями руководства Финакадемии, в лице ректора и проректоров;
– совещаниями с представителями кафедр и руководителями подразделений;
– вещанием аудио-видео информации на компьютеры пользователей Финакадемии;
– проведением основных этапов учебного процесса;
– проведением открытых конференций или совещаний с использованием проекторов, установленных в мультимедиа классах и залах проведения совещаний.
Состав аудио-видео информации, передаваемой средствами видеоконференцсвязи, определяется тематикой обсуждаемых вопросов, в соответствии с которой информация попадает под категории:
– коммерческая тайна – обсуждаемая информация содержит данные финансового характера, касающиеся Финакадемии.
Законодательство Российской Федерации определяет данный вид тайны, как «научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию (в том числе, составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны» ;
– персональные данные – это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация» .
Например: обсуждение определенного абитуриента, студента или сотрудника в сеансе связи между абонентами;
– служебная тайна, определение которой в законодательстве однозначно не определено. Вместе с тем анализ нормативных актов позволяет дать определение данному виду информации.
Служебная информация – это несекретная информация, касающаяся деятельности организации, ограничение на распространение которой диктуется служебной необходимостью;
– открытая – «к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен» .
Например: поздравление студентов и сотрудников с Новым Годом средствами системы ВКС.
Вследствие особенностей перечисленных категорий обрабатываемой информации, обеспечение ограничения доступа к информации необходимо.
Безопасность информации в вопросе, связанном с передачей и обработкой информации, в рамках ВКС очень важна, так как пользователями данной системы, помимо использования системы видеоконференцсвязи в целях повышения эффекта восприятия информации в рамках учебного процесса, являются руководители высшего звена Финансовой Академии в лице ректора и проректоров.
Учитывая богатый функционал, который предоставляет система ВКС (использование многоточечной конференции, персонального компьютера для демонстрации каких-либо документов, возможность вещания информации в Интернет, т.е. за пределы организации), необходимо повышать уровень защиты передаваемой информации на всех возможных рубежах, а так же осуществлять точную настройку и контроль за оборудованием и сотрудниками, осуществляющими настройку оборудования.ЛитератураОфициальная статистика компьютерных преступлений, совершенных в Российской Федерации по данным ГИАЦ МВД России, 2004.
Постановление Правительства Российской Федерации от 21 января 2006 г. № 26 "О совершенствовании структуры Финансовой академии при Правительстве Российской Федерации".
Федеральный закон "О коммерческой тайне" от 29 июля 2004 года № 98-ФЗ.
Федеральный закон "О персональных данных" от 8 июля 2006 года № 149-ФЗ.
Федеральный закон "Об информации, информационных технологиях и защите информации" от 27 июля 2006 года № 149-ФЗ.
Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ.
Источники неопубликованные
Должностные инструкции сотрудников Управления информационно-технологической Инфраструктуры Финансовой Академии при Правительстве РФ.
Инструкция по охране труда для работников, занятых эксплуатацией персональных компьютеров.
Положение об Управлении информационно-технологической инфраструктуры Финансовой Академии при Правительстве РФ.
Распоряжение Финансовой академии при Правительстве РФ №320-1 от 21.11.2008 проректора по информационным технологиям и инновациям.
Создание информационно-телекоммуникационной системы Финансовой Академии при Правительстве РФ. Технорабочий проект.
Литература
Гришина Н.В. Организация комплексной системы защиты информации – М.: Гелиос АРВ, 2007. – 256 с., ил.
Электронные ресурсы
Устав Финакадемии при Правительстве РФ. – Режим доступа: http://www.fa.ru/ustav.asp
Polycom MGC Administrator’s Guide 9.0. – Режим доступа: http://www.polycom.com/common/documents/support/user/products/network/mgc_admin_guide_v90.pdf
Polycom MGC User Guide 9.0 vol. I. – Режим доступа: http://www.polycom.com/common/documents/support/user/products/network/mgc_user_guide_v90_vol_I.pdf
Polycom MGC User Guide 9.0 vol. II. – Режим доступа: http://www.polycom.com/common/documents/support/user/products/network/mgc_user_guide_v90_vol_II.pdf
Polycom PathNavigator User Guide 7.0. – Режим доступа: http://www.polycom.com/common/documents/support/setup_maintenance/products/network/pathnavigator_user_guide%207_0.pdf
TANDBERG 550 MXP User Manual. – Режим доступа: http://www.ivci.com/pdf/videoconferencing_tandberg_550_user_manual.pdf
TANDBERG 550 MXP Technical Description. – Режим доступа: http://www.tandberg.com/collateral/documentation/Detailed_Technical_Descriptions/TANDBERG_550_Technical_Description.pdf
TANDBERG 770/880/990 MXP User Manual. – Режим доступа: http://www.ivci.com/pdf/videoconferencing_tandberg_990_880_770_mxp_user_manual.pdf
TANDBERG 770/880/990 MXP Technical Description. – Режим доступа: http://www.tandberg.com/collateral/documentation/Detailed_Technical_Descriptions/TANDBERG_990_880_770_Technical_Description.pdf
TANDBERG Management Suite 12.0 Administrator Guide. – Режим доступа: http://www.tandberg.com/collateral/documentation/User_Manuals/ TANDBERG%20Management%20Suite%2012.0%20Administrators%20guide.pdf
|
|
