Организация службы безопасности. Беспроводная корпоративная сеть

                  1 Введение 

    Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и  доступность информации могут существенно  способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

    Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как  компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.

    Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

    При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

    Управление  информационной безопасностью нуждается, как минимум, в участии всех сотрудников  организации. Также может потребоваться  участие поставщиков, клиентов или  акционеров. Кроме того, могут потребоваться  консультации специалистов сторонних организаций.

    Мероприятия по управлению в области информационной безопасности обойдутся значительно  дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы. 

    2 Описание службы безопасности

    Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации.

    2.1 Структура службы безопасности

    Из  схемы, приведенной в приложении № 1 видно, что служба безопасности относится к категории крупных подразделений и сфера её деятельности весьма широка, от работы с коммерческой информацией и документами до транспортировки ценностей и защиты от прослушивания. Численный состав службы зависит от количества и размеров объектов фирмы и может составлять несколько десятков сотрудников, в обязательном порядке высококвалифицированных и имеющих практический опыт в аналогичных структурах государственного сектора.

    Теперь  рассмотрим каждую группу (сектор) по отдельности:

  1. Положение о группе режима.
    1. Общие положения.
      1. Сектор режима является подразделением отдела режима и охраны службы безопасности и подчиняется непосредственно начальнику отдела;
      2. В своей деятельности сектор руководствуется требованиями «Инструкции по режиму и охране» в части режима.
    2. Задачи.
      1. Организация пропускного и внутри объектного режима;
      2. Разработка разрешительной системы и обеспечение допуска сотрудников к документам, материалам и сведениям, составляющим коммерческую тайну;
      3. Контроль за соблюдением режима допуска к сведениям и документам;
      4. Совершенствование системы пропускного и внутри объектного режима;
      5. Участие в разработке «Перечня сведений, составляющих коммерческую тайну».
    3. Структура.
      1. Заведующий сектором режима;
      2. Старший инспектор по режиму — начальник бюро пропусков;
      3. Инспектор по режиму;
      4. Инспектор по работе с персоналом, допущенным к сведениям, составляющим коммерческую тайну.
    4. Функции.
      1. Права, обязанности и ответственность сотрудников, допущенных к работе с документами, содержащими коммерческую тайну;
      2. Схема выдачи разрешений на доступ сотрудников к сведениям, составляющим коммерческую тайну;
      3. Порядок доступа на совещания по вопросам, содержащим сведения, составляющие коммерческую тайну;
      4. Порядок и контроль доступа к сведениям, составляющим коммерческую тайну, представителей других предприятий и государственных органов;
      5. Ведение, уточнение и изменение «Перечня сведений, составляющих коммерческую тайну";
      6. Учет сотрудников, допущенных к работе с документами и материалами, содержащими сведения, составляющие коммерческую тайну;
      7. Учет и анализ нарушений режима работы с документами, содержащими коммерческую тайну, различного рода попыток несанкционированного доступа к конфиденциальным документам традиционного и автоматизированного исполнения (базы данных, персональные файлы и др.), случаев телефонных переговоров, содержащих конфиденциальную информацию;
      8. Организация и проведение деловых совещаний, переговоров и встреч с обсуждением вопросов, связанных с коммерческой тайной;
      9. Организация и обеспечение пропускного и внутри объектного режима: выдача пропусков (постоянных, временных, разовых), порядок посещения, учет посетителей;
      10. Определение выделенных помещений, проведение их паспортизации, обеспечение их защиты совместно с группой Инженерно-технической защиты информации;
      11. Беседы с поступающими на работу в подразделения, работа которых связанна с коммерческой тайной, с целью установления их пригодности для этой работы;
      12. Изучение поступающего на работу в части его прошлой трудовой деятельности;
      13. Оформление обязательств о неразглашении сведений, составляющих коммерческую тайну;
      14. Анализ служебной осведомленности сотрудников;
      15. Анализ и учет трудовой удовлетворенности с целью предупреждения увольнения сотрудников, допущенных к сведениям, составляющим коммерческую тайну;
      16. Ведение досье на сотрудников, допущенных к документам с коммерческой тайной;
      17. Организация обучения сотрудников по вопросам защиты коммерческой тайны;
      18. Беседы с увольняющимися и оформление контракта (обязательства) не разглашать коммерческие секреты;
      19. Разрабатывает планы комплектования кадрами;
      20. Оформляет прием, перевод и увольнение сотрудников, допущенных к коммерческой тайне;
      21. Готовит материалы для преставления сотрудников к поощрениям и должностным перемещениям.
    5. Права.
      1. Проводить беседы с поступающими на работу и увольняющимися и оформлять обязательства не разглашать коммерческие секреты;
      2. Требовать от сотрудников и клиентов строгого выполнения установленного пропускного и внутриобъектового режима;
      3. Проводить проверку состояния и организации работы по обеспечению режима работы с документами, составляющими коммерческую тайну;
      4. Требовать от сотрудников письменных объяснений по фактам нарушения пропускного и внутриобъектового режима;
      5. Возбуждать ходатайства перед руководством о привлечении к дисциплинарной ответственности лиц, допустивших нарушения режима;
      6. Представлять к поощрениям сотрудников, добросовестно выполняющих обязанности по сохранению в тайне охраняемых сведений.
    6. Ответственность.
      1. Всю полноту ответственности за выполнение задач и функций по режиму и работе с персоналом несет заведующий сектором режима;
      2. Степень ответственности других сотрудников сектора устанавливается должностными инструкциями.
  2. Положение о группе охраны.
    1. Общие положения.
      1. Сектор охраны является подразделением отдела режима и охраны службы безопасности и подчиняется непосредственно начальнику отдела;
      2. В своей деятельности сектор руководствуется требованиями «Инструкции по режиму и охране» в части охраны.
    2. Задачи.
      1. Обеспечение надежной защиты зданий, помещений, оборудования, валютных и материальных ценностей, а также личной охраны руководящего состава в обычных и экстремальных условиях.
    3. Структура.
      1. Комендантская служба (может состоять из коменданта здания, дежурного мастера по вневедомственной и объектовой технической охране и дежурного мастера по противопожарной охране);
      2. Группа личной охраны руководства.
    4. Функции.
      1. Сектор охраны осуществляет охрану зданий, помещений, оборудования, линий связи и перевозок, пожарную охрану, а также личную охрану руководящего состава;
      2. Сектор охраны обеспечивает необходимые условия, исключающие несанкционированный доступ в охраняемые здания, помещения, отдельные конфиденциальные участки и зоны территории и служебных помещений. Особое внимание уделяется критическим условиям, связанным со стихийными бедствиями, поломками, авариями;
      3. Реализует учет, контроль и наблюдение за охраняемыми зонами, помещениями, хранилищами;
      4. Обеспечивает установку и работу на местах технических средств охраны, охранной и пожарной сигнализации;
      5. Осуществляет прием под охрану и сдачу в эксплуатацию охраняемых помещений, проверяя при этом надежное срабатывание средств охраны, делая соответствующую запись в журнале приема и сдачи под охрану;
      6. Принимает меры по ликвидации возможных пожаров и других аварийных ситуаций.
      7. В части личной охраны руководящего состава сектор руководствуется отдельным положением, разрабатываемым службой безопасности с учетом конкретных условий ее деятельности.
    5. Права.
      1. Проверять наличие, состояние и функционирование технических средств охраны охранной и пожарной сигнализации;
      2. Требовать строгого соблюдения установленного внутриобъектового режима и правил трудового распорядка;
      3. Участвовать в разработке мероприятий по усилению безопасности и сохранности имущества, средств, зданий и помещений;
      4. Не допускать случаев использования неисправного оборудования, охранной и пожарной техники;
      5. Принимать меры воздействия к сотрудникам, допускающим порчу или неправильную эксплуатацию охранно-пожарной техники;
      6. Требовать своевременного ремонта и профилактики технических средств охраны и пожарной сигнализации.
    6. Ответственность.
      1. Всю полноту ответственности за качество и своевременное выполнение возложенных на сектор настоящим Положением задач и функций несет заведующий сектором.
  3. Положение о технической группе.
    1. Общие положения.
      1. Группа инженерно-технической защиты информации является структурным подразделением службы безопасности и подчиняется непосредственно начальнику службы;
      2. В своей деятельности группа руководствуется требованиями «Инструкции по Инженерно-технической защите».
    2. Задачи.
      1. Обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;
      2. Выявление и оценка степени опасности технических каналов утечки информации;
      3. Разработка мероприятий по ликвидации (локализации) установленных каналов утечки информации организационными, организационно-техническими или техническими мерами, используя для этого физические, аппаратные и программные средства и математические методы защиты;
      4. Организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий. Проведение обобщения и анализа результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;
      5. Обеспечение приобретения, установки, эксплуатации и контроля состояния технических средств защиты информации.
    3. Структура.
      1. Структура и штатный состав группы Инженерно-технической защиты информации разрабатывается и утверждается руководством службы безопасности исходя из конкретных условий и технической оснащенности подразделений предприятия;
      2. В состав группы могут входить руководитель группы (старший инженер) и Инженер (техник) группы по спец измерениям.
    4. Функции.
      1. Определение границ охраняемой (контролируемой) территории (зоны) с учетом возможностей технических средств, наблюдения злоумышленников;
      2. Определение технических средств, используемых для передачи, приема и обработки конфиденциальной информации в пределах охраняемой (контролируемой) территории (зоны);
      3. Определение опасных, с точки зрения возможности образования каналов утечки, технических средств;
      4. Локализация возможных каналов утечки информационно-организационными, организационно-техническими или техническими средствами и мероприятиями;
      5. Организация наблюдения за возможным неконтролируемым излучением за счет ПЭМИН (побочных электромагнитных излучений и наводок);
      6. Организация контроля наличия, проноса каких-либо предметов (устройств, средств, механизмов) в контролируемую зону, способных представлять собой технические средства несанкционированного получения конфиденциальной информации.
    5. Права.
      1. Проверять наличие технических средств обеспечения производственной деятельности в выделенных помещениях, измерять их параметры на соответствие требованиям безопасности;
      2. Устанавливать технические средства защиты каналов утечки информации через технические средства обеспечения производственной деятельности;
      3. Запрещать использование технических средств, не обеспечивающих требования безопасности.
    6. Ответственность.
      1. Всю полноту ответственности за инженерно-техническую защиту информации несет руководитель группы.
  4. Детективная группа.
    1. Общие положения.
      1. Детективная группа является самостоятельным структурным подразделением службы безопасности и подчиняется непосредственно начальнику службы;
      2. Группа организует работу в тесном взаимодействии с основными структурными подразделениями службы безопасности и предприятия.
    2. Задачи.
      1. Изучение и выявление предприятий и организаций, потенциально являющихся союзниками и конкурентами;
      2. Добывание, сбор и обработка сведений о деятельности потенциальных и реальных конкурентов для выявления возможных злонамеренных действий по добыванию охраняемых сведений;
      3. Учет и анализ попыток несанкционированного получения коммерческих секретов конкурентами;
      4. Оценка степени реальных конкурентных отношений между сотрудничающими (конкурирующими) организациями;
      5. Анализ возможных каналов утечки конфиденциальной информации.
    3. Структура.
      1. Структура и штатное расписание определяется с учетом объемов и особенностей обстановки.
    4. Функции.
      1. Изучение торгово-конъюнктурных ситуаций в пространстве деятельности учредителей, партнеров, клиентов и потенциально возможных конкурентов;
      2. Ситуационный анализ текущего состояния финансово-торговой деятельности с точки зрения прогнозирования возможных последствий, могущих привести к неправомерным действиям со стороны конкурирующих организаций и предприятий;
      3. Выявление платежеспособности юридических и физических лиц, их возможности по своевременному выполнению платежных обязательств;
      4. Установление антагонистических конкурентов, выявление их методов ведения конкурентной борьбы и способов достижения своих целей;
      5. Определение возможных направлений и характера злоумышленных действий со стороны специальных служб промышленного шпионажа против предприятия, его партнеров и клиентов.
    5. Права.
      1. Требовать от соответствующих служб и подразделений необходимые для анализа сведения о деятельности партнеров и клиентов;
      2. Осуществлять сбор и обработку необходимых сведений для выявления злоумышленных действий со стороны конкурирующих организаций.
    6. Ответственность.
      1. Вся полнота ответственности за полноту и своевременность оценки степени опасности действий со стороны конкурентов и злоумышленников по отношению к охраняемым сведениям и безопасности руководства и сотрудников лежит на детективной группе [3].

    2.2 Взаимодействие службы безопасности  с персоналом

    Целью взаимодействия службы безопасности с  персоналом является минимизация рисков от ошибок, связанных с человеческим фактором, воровства, мошенничества, кражи  или неправильного использования  средств обработки информации.

    Обязанности по соблюдению требований безопасности следует распределять на стадии подбора персонала, включать в трудовые договоры и проводить их мониторинг в течение всего периода работы сотрудника.

    Следует осуществлять соответствующую проверку кандидатов на работу, особенно это касается должностей, предполагающих доступ к важной информации.

    Проверки  сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:

      1. наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;
      2. проверка (на предмет полноты и точности) резюме претендента;
      3. подтверждение заявляемого образования и профессиональных квалификаций;
      4. независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).

    Условия трудового договора должны определять ответственность служащего в  отношении информационной безопасности. Там, где необходимо, эта ответственность  должна сохраняться и в течение  определенного срока после увольнения с работы. Необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.

    Ответственность и права сотрудников, вытекающие из действующего законодательства, например в части законов об авторском праве или законодательства о защите персональных данных, должны быть разъяснены персоналу и включены в условия трудового договора. Также должна быть указана ответственность в отношении категорирования и управления данными организации-работодателя. Всякий раз, при необходимости, в условиях трудового договора следует указывать, что эта ответственность распространяется и на работу вне помещений организации, и внерабочее время [1].

    Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы быть уверенным в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований политики безопасности организации при выполнении служебных обязанностей.

    Так же от пользователей информационных сервисов необходимо требовать, чтобы  они обращали внимание и сообщали о любых замеченных или предполагаемых недостатках и угрозах в области безопасности в системах или сервисах. Они должны немедленно сообщать об этих причинах для принятия решений своему руководству [1]. 

    3 Организационная модель управления информационной безопасностью. Сертификация

    3.1 Система менеджмента защиты информации

    Основу  организационной модели управления информационной безопасностью составляет подход, который характеризуется  применением системы процессов  взаимосвязанных в рамках модели PDCA в соответствии с рекомендациями стандарта BS ISO/IEC 27001:2005 и практиками по внедрению BS ISO/IEC 17799:2005.

    Эта модель объединяет четыре взаимосвязанных процесса: разработка, внедрение, мониторинг и развитие (приложение № 2). Все четыре перечисленных процесса являются критически важными. Исключение или недостаточная проработанность одного из них может существенным образом повлиять на защищенность информационных ресурсов компании.

    Фазы  PDCA определяют, как установить политику, цели, процессы и процедуры, существенные с точки зрения менеджмента рисков (фаза планирования - Plain), внедрить и использовать (фаза выполнения - Do), оценивать и, там где это возможно, измерять результаты процесса с точки зрения политики (фаза проверки - Check) и выполнять корректирующие и предупреждающие действия (фаза улучшения - Act). В дополнении к этому могут быть указаны иные концепции, которые могут быть полезными при построении системы менеджмента системы безопасности:

      1. Определение состояния «Как должно быть»;
      2. Определение состояния «Как есть»;
      3. План перехода.

    В контексте управления бизнес-рисками  состояние «Как должно быть» определяет желаемое состояние. Оно включает в себя вовлечение менеджмента, организационные структуры, область действия, политики, стандарты, процедуры и многое другое.

    В контексте менеджмента рисков состояние  «Как есть» это некий фотоснимок текущего состояния с безопасностью.

    Сравнение состояний «Как есть» и «Как должно быть» - это есть анализ упущений (GAP - анализ).

    Работы  по разработке системы управления информационной безопасностью (СУИБ) можно разбить  на следующие основные этапы:

      1. Определение области деятельности (рамок) проекта;
      2. Проведение обследования в рамках области деятельности с целью выявления несоответствий существующих организационных процедур и программно- технических средств защиты информации требованиям стандарта ISO 27001 (проведение GAP-анализа);
      3. Разработка методики инвентаризации информационных активов компании (в качестве активов могут выступать: информационные ресурсы, ПО, аппаратное и телекоммуникационное обеспечение, носители информации и т.д.);
      4. Проведение обследования с целью идентификации информационных активов;
      5. Проведение оценки и анализа рисков информационной безопасности;
      6. Разработка политики информационной безопасности организации;
      7. Подготовка плана обработки рисков, содержащего перечень защитных мер, направленных на минимизацию рисков;
      8. Разработка нормативно-методических документов, формализующих процессы СУИБ;
      9. Разработка положения о применимости механизмов контроля;
      10. Внедрение системы управления информационной безопасности;
      11. Подготовка к сертификации СУИБ компании на соответствие требованиям стандарта ISO 27001.

    3.2 Сертификация

      Получение сертификата на соответствие СУИБ требованиям ISO 27001 позволяет самой компании, а также ее партнерам убедиться в том, что система управления ИБ внедрена в общую систему управления бизнес-процессами компании, что она работает правильно и эффективно. Это особенно важно в том случае, если компания работает с большими объемами ценной информации или если компания обрабатывает или хранит ценную информацию своих клиентов.

    Систему управления ИБ, как правило, целесообразно разрабатывать для всей компании в целом, то есть процедуры системы управления, в большинстве случаев, необходимы для выполнения во всей компании. Однако внедрить систему управления сразу во все бизнес-процессы часто непросто, поэтому проще внедрять систему управления последовательно.

    Следовательно, при подготовке к сертификации требуется  определить область сертификации (описать, в какой конкретно подсистеме компании будет внедрена система  управления). Аудиторы сертификационных органов проверяют выполнение всех процедур системы управления только в рамках выбранной области сертификации.

    Важно иметь в виду, что описание области  сертификации необходимо выполнить  максимально подробно, то есть требуется  точно определить все активы, входящие в область сертификации.

    3.2.1 Инвентаризация активов компании

    Стандарт  ISO 17799 выделяет следующие виды активов:

      1. Информационные ресурсы (базы и файлы данных, контракты и соглашения, системная документация, научно-исследовательская информация, документация, обучающие материалы и пр.);
      2. Программное обеспечение;
      3. Материальные активы (компьютерное оборудование, средства телекоммуникации и пр.);
      4. Сервисы (сервисы телекоммуникации, системы обеспечения жизнедеятельности и др.);
      5. Сотрудники компании, их квалификация и опыт;
      6. Нематериальные ресурсы (репутация и имидж компании).

    3.2.2 Категорирование активов компании

    В процессе категорирования активов  необходимо оценить критичность  активов для бизнес-процессов  компании. Данный процесс вызывает наибольшую сложность, т.к. ценность активов определяется на основе экспертных оценок их владельцев. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности.

    3.2.3 Оценка защищенности информационной  системы компании

    В процессе оценки защищенности информационной системы определяются угрозы, действующие на активы, а также уязвимости информационной системы, в которой обрабатываются активы и которые могут привести к реализации угроз. Угрозы и уязвимости рассматриваются только вместе друг с другом.

    Угрозы, уязвимости, а также их вероятности  определяются в результате проведения технологического аудита защищенности информационной системы компании. Такой  аудит может быть выполнен как  специалистами компании (так называемый, внутренний аудит), так и сторонними консультантами (внешний аудит).

    3.2.4 Оценка информационных рисков

    Оценка  информационных рисков заключается  в расчете рисков, который выполняется  с учетом сведений о критичности  активов, а также вероятностей реализации уязвимостей.

    Классическая  формула оценки рисков , где

     - информационный риск;

     - критичность актива (ущерб);

     - вероятность реализации уязвимости.

    3.2.5 Обработка информационных рисков

    Обработка информационных рисков - это этап, в  процессе которого определяется, какие  действия по отношению к рискам требуется  выполнить в компании.

    Основными способами обработки рисков являются принятие рисков, уклонение от рисков, передача рисков, снижение рисков.

    3.2.6 Положение о применимости

    По  результатам оценки и обработки  рисков разрабатывается Положение  о применимости. Наличие этого  документа обязательно для прохождения  сертификации. Положение о применимости содержит все требования Приложения А к стандарту ISO 27001 с описанием, выполняются ли данные требования в компании. Если требования не выполняются, необходимо описать причину невыполнения (такой причиной могут быть результаты оценки рисков). Если требования выполняются, следует перечислить документы, которым должно соответствовать их выполнение.

    В Приложении А к стандарту ISO 27001 перечислены  все требования к обеспечению  безопасности, которые должны выполняться  в компании. Следовательно, Положение  о применимости является итоговым решением относительно снижения информационных рисков компании.

    Систему управления ИБ можно считать внедренной и эффективно функционирующей на практике тогда, когда все ее процедуры  хотя бы один раз пройдут этапы  модели PDCA, когда будут найдены  и решены проблемы, возникающие при внедрении процедур [2]. 

    4 Wi-Fi. Меры защиты. Организация корпоративной сети на основе технологии Wi-Fi

    Технологии  беспроводных сетей широко используется во всем мире, привлекая внимание пользователей  относительно невысокими экономическими затратами и простотой развертывания, удобством использования и гибкой архитектурой. Бесспорным лидером на рынке беспроводных сетей, является оборудование, отвечающее спецификациям семейства стандартов 802.11.

    Одним из основных сегментов рынка оборудования беспроводных сетей является решение для так называемых «офисных или корпоративных» сетей. Характерная особенность такого решения — создание непрерывной зоны покрытия в пределах офисного здания. Данное решение часто требует размещения достаточно большого количества точек доступа. И в таком случае, актуальной становится задача мониторинга и управления беспроводной сетью. Следовательно, уже на этапе проектирования необходимо заложить в решение использование средств централизованного управления и мониторинга состояния сети.

    Другим  основным вопросом при построении беспроводных сетей, безусловно, является вопрос обеспечения  требуемого уровня безопасности информации, циркулирующей в сети. И чтобы  подступиться к решению этого  вопроса, необходимо определить доступные нам меры и средства, позволяющие сделать беспроводную сеть как можно более безопасной. Итак, нам необходимо:

      1. Уменьшить зону радиопокрытия (разумеется, до минимально приемлемой). В идеале, зона радиопокрытия сети не должна выходить за пределы контролируемой территории;
      2. Изменить пароль администратора, установленный по умолчанию;
      3. Активизировать фильтрацию по MAC-адресам;
      4. Запретить широковещательную рассылку идентификатора сети (SSID), то есть использование режима скрытого идентификатора сети (ESSID);
      5. Изменить идентификатор сети (SSID), установленный по умолчанию;
      6. Активизировать функции WEP или WPA;
      7. Периодически изменять WEP/WPA-ключи;
      8. Использовать протокол аутентификации (802.1x, RADIUS, EAP)
      9. Выполнить соответствующие настройки фильтрации трафика на телекоммуникационном оборудовании и межсетевых экранах;
      10. Обеспечить резервирование оборудования, входящего в состав беспроводной сети;
      11. Осуществлять периодический мониторинг состояния защищенности беспроводной сети с помощью специализированных средств анализа защищенности для беспроводных сетей.

    Назовем комплекс вышеперечисленных мер  защиты «начальным» уровнем, ниже которого опускаться категорически нельзя при  проектировании корпоративной беспроводной сети.

     

    Допустим, весь комплекс мер реализован, но, увы, учитывая известные технические  и технологические проблемы протокола WEР, и как следствие, низкий уровень  сложности взлома подобной сети, беспроводную сеть с «начальным» уровнем безопасности лучше всего рассматривать как далеко небезопасную сеть.

    Итак, осознание проблем протокола WEP пришло не вчера, поэтому уже сегодня  на рынке есть решения, позволяющие  сделать использование протокола WEP более безопасным. Например:

      1. Использование некоторых протоколов стандарта 802.1х, позволяет решить проблему динамической смены ключей шифрования для беспроводных устройств;
      2. Протокол MIC (Message Integrity Check) позволяет защитить WEP-пакеты от их изменения и подделки, в процессе передачи (в реализации протокола WPA);
      3. Протокол TKIP (Temporal Key Integrity Protocol), также разработанный с целью улучшения ситуации с безопасностью протокола WEP (в реализации протокола WPA), предполагает использование уникальной ключевой последовательности для каждого устройства, а также обеспечивает динамическую схему ключа каждые 10 000 пакетов. Однако, также как и WEP, протокол TKIP использует для шифрования криптографический алгоритм RC4. Отметим, что для использования протокола TKIP нет необходимости отказываться от имеющегося оборудования 802.11, достаточно лишь обновить программное обеспечение.

    Теперь  обратимся к вопросам обеспечения  безопасного информационного взаимодействия пользователей беспроводной сети с  ресурсами корпоративной сети. Для  решения этой задачи, нам потребуются  реализовать авторизацию пользователей беспроводной сети (в протоколе WEP проверка аутентичности пользователя не реализована совсем), а также использовать более сильные методы защиты, способные обеспечить требуемый уровень конфиденциальности и целостности информации. Один из таких методов — установка сервера контроля доступа, использующего протоколы стандарта EAP/802.1х (LEAP; PEAP; EAP-TLS; EAP-TTLS), с целью усиленной аутентификации абонентов беспроводной сети.

    Наиболее популярные серверы доступа на сегодняшний день — Cisco Secure Access Control Server и Internet Authentication Service (IAS).

    Очевидно, что после аутентификации абонента беспроводной сети ему будет необходимо присвоить соответствующую его  категории политику безопасности. Одной  из возможных реализаций подобного подхода является использование технологии, определенной стандартом 802.1q и позволяющей поместить авторизованных абонентов беспроводной сети в различные VLAN с определенной ранее политикой безопасности для каждого из этих VLAN-ов.

    Оптимальное решение взаимодействия пользователей беспроводной сети с ресурсами корпоративной сети является использование технологии защищенных частных виртуальных сетей (VPN).

    Не  смотря на то, что сама по себе технология защищенных частных виртуальных  сетей способна обеспечить жесткую авторизацию пользователя по его цифровому сертификату формата Х.509, ее не следует рассматривать как альтернативу решениям на базе протокола 802.1х. Это взаимодополняющие решения. Поскольку средства VPN обеспечивают защиту на сетевом уровне, а использование решений на базе протокола 802.1х позволяет предотвратить несанкционированный доступ к беспроводной сети на более раннем этапе. Подобное решение позволяет построить многоэшелонированную защиту: авторизуя пользователей по протоколу 802.1х мы убеждаемся, что имеем дело с легальным пользователем нашей беспроводной сети, а реализуя дополнительную авторизацию средствами VPN мы убеждаемся, что допускаем к работе с конфиденциальными ресурсами пользователей, которые имеют на это право. Кроме этого, использование функций межсетевого экранирования на устройстве VPN-шлюз, позволит нам назначать различные права доступа внутри группы пользователей, имеющих доступ к конфиденциальной информации. Необходимо также заметить, что сам протокол 802.1х имеет ряд уязвимостей к атакам типа «человек по середине» и «перехват сеанса». Поэтому, не лишним будет повторить, что использование технологии VPN позволяет создать внешнюю защитную оболочку беспроводной сети передачи данных. Топология описанной выше сети показана в приложении № 3. 

    5 Заключение

    Использование новых разнообразных технологии передачи и обработки данных на предприятии  ведет к тому, что защиту активов  компании необходимо планировать на самых ранних этапах работы. Поэтому  при организации службы информационной безопасности необходимо учитывать модель PDCA, которая поможет в выявлении и предотвращении в будущем инцидентов связанных с информацией.

    Организационные меры по защите информации являются первоочередными  и предполагают более меньшие  затраты на безопасность. Но при разрастании информационной инфраструктуры предприятия необходимо вводить технические меры организации информационной безопасности, которые в свою очередь увеличат затраты на обслуживание данной системы. Технические и организационные меры должны работать вместе, что обеспечит более большую защищенность активов компании, чем их работа в отдельности. Как было сказано ранее, такие системы должны быть сертифицированными. Что дает компании и ее поставщикам и клиентам уверенность в защищенности их информации. Тем самым повышает репутацию компании и дает возможность выхода на рынок более высокого уровня, например, на государственный уровень (работа с государственными структурами) или выход на международный уровень.         

         
 

     

Организация службы безопасности. Беспроводная корпоративная сеть