Завершен комплекс работ по аудиту информационной безопасности и внедрению мер повышения уровня защиты информационной системы компании АПК,
Санкт-Петербург.

1. Повышение безопасности пользовательских компьютеров

1.1. Изменен тип учетных записей пользователей

Заменены права учетных записей пользователей с прав администратора на права ограниченной учетной записи. Это увеличило безопасность, предотвратив самовольную установку пользователями вредоносного (вирусов) или не лицензионного ПО, а также поспособствует правильному разделению прав доступа к информации.

1.2. Назначена внеплановая смена паролей пользователей

Для повышения безопасности и правильного разделения прав доступа были заменены все пользовательские пароли внепланово. Назначена политика регулярной смены паролей каждые 60 дней (общепринятая мировая практика).

1.3. Установлены пароли на доступ к настройкам BIOS компьютеров и на включение ПК, что улучшило безопасность. Без этой опции компьютер также спрашивает пароль при входе в Windows, но можно было вставить CD или USB-флешку и загрузиться с неё. При включении данной опции – запрос пароля производится сразу при включении ПК.

1.4. Отказ от Mail.Ru-агента. Настроено использование электронной почты через бесплатный почтовый клиент Mozilla Thunderbird, как более безопасный вариант.

2. Улучшение серверной инфраструктуры

2.1. На момент аудита в организации не применялась фильтрация посещяемых Интернет-страниц. Не производилась автоматическая проверка на предмет потенциально опасного содержимого, загружаемого из сети Интернет.

2.2. Использовался межсетевой экран (firewall) из стандартного набора Windows Server 2003. Но он не предоставлял возможности тонкой настройки, так же он известен рядом уязвимостей, присущих семейству Windows.

Для обеспечения безопасности работы с ресурсами сети Интернет, а также для лучшей защиты от внешних угроз был установлен Интернет-шлюз Debian CBS – разработка компании «Интеллект-Сервис» на базе свободно распространяемого программного обеспечения семейства Linux.

Основные функции:

  • Firewall (межсетевой экран, позволяет создать правила фильтрации Интернет-соединений).
  • Интернет-шлюз (сервер коллективного доступа к сети Интернет, ускорение загрузки страниц путем кеширования, учет и контроль трафика, ведение списка запрещенных сайтов).

Позволяет ограничить доступ пользователей к следующим категориям сайтов:

  1. сайты, на которых распространяется нелегальное ПО, ПО зараженное вирусами,
  2. сайты порнографического содержания,
  3. сайты с азартными играми,
  4. фишинг-сайты.
  5. сайты, которые предоставляют сервисы анонимности (они могут использоваться для получения доступа к другим запрещенным категориям).

Данный список может быть исправлен и дополнен.

it проект

* Подробнее о Debian CBS

3. Модернизация системы антивирусной защиты

Вместо используемого ESET NOD32 v.2.7 2007 года разработки и базой вирусов февраля 2010, был установлен лицензионный Dr.Web 2010 года выпуска. Версия – Enterprise c централизованным управлением и контролем работы всех ПК офиса.

4. Обеспечение лицензионности программного обеспечения

Лицензионное ПО обладает следующими преимуществами:

  • Техническую поддержку разработчика программы.
  • Автоматические, своевременные и бесплатные обновления.
  • Более надежная и безопасная работа вашего бизнеса.
  • Соблюдение законодательства.

Для обеспечения легальности программного обеспечения были приобретены лицензии на требуемое ПО. При этом 50 % ПО были заменено на открытые или бесплатные аналоги.

* Подробнее о переводе на Линукс

4.1. Пользовательские компьютеры

4.1.1. Уже установленное программное обеспечение Microsoft Windows XP было легализовано при помощи Legalization GetGenuine Pack. Содержимое комплекта поставки пакета лицензирования Legalization GetGenuine Pack:

  • Лицензионный сертификат.
  • Приложение к условиям лицензионного соглашения.
  • Наклейка сертификата подлинности.
  • Права на использование продукта (PUR).

Подробнее: http://www.microsoft.com/Oem/Russian/CatalogOEM/GetGenuine/Default.mspx.

Появилась возможность загружать с сайта Microsoft и устанавливать обновления операционной системы, а также исправления для вновь обнаруженных угроз в безопасности (HotFix).

4.1.2. Пакет офисных программ Microsoft Office стоимостью 9 011 руб. за компьютер был заменен на аналог с той же функциональностью (тексты, таблицы) и поддержкой форматов Word, Excel, PDF. OpenOffice.org 3.0 (1DVD) стоимостью 250 руб.

4.1.3. Оптимизация набора программного обеспечения. Выяснено наличие на пользовательских компьютерах помимо основного программного обеспечения — ненужного, не имеющего никакого отношения к работе ПО. Такое ПО было удалено. Рабочее ПО обновлено до актуальной версии. Это повысило безопасность и эффективность работы.

4.2. Серверы компании. С целью обеспечения легальности используемого на серверах программного обеспечения был рассмотрен вариант приобретения лицензий Microsoft Windows Server 2008 (при этом можно использовать имеющийся 2003). Стоимость составила 28 336.15 руб. за сервер и руководство заказчика остановилось на варианте II: установка серверной операционной системы Линукс, перенос всего функционала на неё. Плюсы данного решения:

  1. Не требуется лицензировать используемый MS Windows Server стоимостью 28 336 руб.
  2. Более высокая безопасность систем на базе Linux.

В ходе перевода серверов на Линукс были выполнены следующие этапы работ:

  1. Перенос баз 1С на сервер Линукс.
  2. Перенос папок общих документов на сервер Линукс.
  3. Перенос сетевых функций c Windows Server на сервер Linux (Debian CBS Enterprise Edition):
  • LDAP Server (Содержит список и описание пользователей, компьютеров и политики их сетевого взаимодействия. Реализует сетевой вход пользователей в систему).
  • DHCP (автоматическая выдача настроек компьютерам сети).
  • DNS (сервер инфраструктуры сети, ведение списка компьютеров, обеспечение взаимодействия компьютеров локальной сети компании между собой).
  • Print Server (сервер сетевой печати — единая точка управления и мониторинга очередей печати).
  • Backup Server (автоматическое резервное копирование по расписанию).

5. Обеспечение безопасности компьютеров пользователей, требующих повышенного уровня защиты.

Компьютер бухгалтера с платежными системами Клиент-Банк был виртуализирован. Говоря доступным языком, вместо обычного запуска Виндовс система каждый раз с нуля запускается из чистого образа (автоматически) и гарантированно свободна от ошибок, вирусов, троянских программ. Также было внедрено использование USB-ключей eToken в качестве носителей электронно-цифровых подписей ЭЦП. Таким образом, реализованный комплекс мер:

  • существенно поднял уровень информационной безопасности компании АПК,
  • обеспечил легальность используемого программного обеспечения при минимальных затратах на лицензирование,
  • повысил уровень управляемости, документированности и отказоустойчивости информационной системы,
  • обеспечил безопасность использования платежных систем типа «Клиент-Банк».