Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:

· ограничение физического доступа к объектам ИС и реализацию режимных мер;

· ограничение возможности перехвата информации вследствие существования физических полей;

· ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;

· создание твердых копий важных с точки зрения утраты массивов данных;

· проведение профилактических и других мер от внедрения вирусов.

К организационно-правовым мероприятиям защиты, необходимыми для проведения в бухгалтерии ООО «Стиль» относятся:

· организация и поддержание надежного пропускного режима и контроль посетителей;

· надежная охрана помещений компании и территории;

· организация защиты информации, т. е. назначение ответственного за защиту информации, проведение систематического контроля за работой персонала, порядок учета, хранения и уничтожения документов;

Организационные мероприятия при работе с сотрудниками компании включают в себя:

· беседы при приеме на работу;

· ознакомление с правилами и процедурами работы с ИС на предприятии;

· обучение правилам работы с ИС для сохранения ее целостности и корректности данных;

· беседы с увольняемыми.

В результате беседы при приеме на работу устанавливается целесообразность приема кандидата на соответствующую вакансию.

Обучение сотрудников предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений.

Организационно-технические меры защиты включают следующие основные мероприятия:

· резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов);

· профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах);

· ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов);

· фильтрация (разделение винчестера на логические диски с различными возможностями доступа к ним, использование резидентных программных средств слежения за файловой системой);

Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программу-архиватор WinRar, программы резервирования важных компонентов файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты. Резервирование данных ИС должно проводиться с использованием встроенных средств программы 1С Бухгалтерия 7.7.

3.2.3 Технический уровень ИБ

Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических мероприятий должно исключать:

· неправомочный доступ к аппаратуре обработки информации путем контроля доступа в помещении бухгалтерии;

· неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля;

· несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;

· неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;

· доступ в системы обработки информации посредством самодельных устройств и незаконное получение данных;

· возможность неправомочной передачи данных через компьютерную сеть;

· бесконтрольный ввод данных в систему;

· неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Инженерно-техническая защита использует следующие средства:

· физические средства;

· аппаратные средства;

· программные средства;

Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.

Для построения системы физической безопасности необходимы следующие средства

· аппаратура тревожной сигнализации, обеспечивающая обнаружение попыток проникновения и несанкционированных действий, а также оценку их опасности;

· системы связи, обеспечивающие сбор, объединение и передачу тревожной информации и других данных (для этой цели подойдет организация офисной АТС);

· персонал охраны, выполняющий ежедневные программы безопасности, управление системой и ее использование в нештатных ситуациях.

К инженерным мероприятиям, необходимым для проведения в бухгалтерии ООО «Стиль», относятся:

· защита акустического канала;

· экранирование помещения бухгалтерии.

К аппаратным средствам относятся приборы, устройства, приспособления и другие технические решения, используемые в интересах обеспечения безопасности.

В бухгалтерии необходимо:·в терминалах пользователей размещать устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (блокираторы);·обеспечить идентификацию терминала (схемы генерирования идентифицирующего кода);·обеспечить идентификацию пользователя (магнитные индивидуальные карточки).

Программные средства - это специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных.

К задачам программных средств защиты относятся:

· идентификация и аутентификация;

· управление доступом;

· обеспечение целостности и сохранности данных;

· контроль субъектов взаимодействия;

· регистрация и наблюдение.

3.3. Создание системы информационной безопасности

3.3.1 Разработка структуры системы

В соответствии с выделенными требованиями система информационной безопасности бухгалтерии ООО «Стиль» должна включать в себя следующие подсистемы:

· подсистему идентификации и аутентификации пользователей;

· подсистему защиты от вредоносного программного обеспечения;

· подсистему резервного копирования и архивирования;

· подсистема защиты информации в ЛВС;

· подсистема обеспечения целостности данных;

· подсистема регистрации и учета;

· подсистема обнаружения сетевых атак.

3.3.2 Подсистема идентификации и аутентификации пользователей

Предотвратить ущерб, связанный с утратой хранящейся в компьютерах данных бухгалтерского учета, - одна из важнейших задач для бухгалтерии компании. Известно, что персонал предприятия нередко оказывается главным виновником этих потерь. Каждый сотрудник должен иметь доступ только к своему рабочему компьютеру во избежание случайной или преднамеренной модификации, изменения, порчи или уничтожения данных.

Основным способом защиты информации считается внедрение так называемых средств ААА, или 3А (authentication, authorization, administration - аутентификация, авторизация, администрирование). Среди средств ААА значимое место занимают аппаратно-программные системы идентификации и аутентификации (СИА) к компьютерам.

При использовании СИА сотрудник получает доступ к компьютеру или в корпоративную сеть только после успешного прохождения процедуры идентификации и аутентификации. Идентификация заключается в распознавании пользователя по присущему или присвоенному ему идентификационному признаку. Проверка принадлежности пользователю предъявленного им идентификационного признака осуществляется в процессе аутентификации.

Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 7).

Рис. 7. Классификация СИА по виду идентификационных признаков

В бухгалтерии планируется использование систему идентификации и аутентификации Rutoken.