Система защиты информации на предприятии |
|
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮЮЖНО-УРАЛЬСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ФАКУЛЬТЕТ «ЭКОНОМИКИ И ПРЕДПРИНИМАТЕЛЬСТВА» Кафедра «Информационной безопасности»КУРСОВАЯ РАБОТА По курсу: Комплексная система защиты информации на предприятии Тема: «РАЗРАБОТКА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ГРУППЫ КОМПАНИЙ «УМНИЦА»» Работу выполнил: студент гр. Работу проверил: Челябинск 2009 СОДЕРЖАНИЕ СОДЕРЖАНИЕ 2 ВВЕДЕНИЕ 3 ПАСПОРТ ПРЕДПРИЯТИЯ И МОДЕЛЬ ПРОИЗВОДСТВА 5 ОПИСАНИЕ ДЕЯТЕЛЬНОСТИ КОМПАНИИ «УМНИЦА» (МОДЕЛЬ BPwin) 9 ИНФОРМАЦИОННАЯ СИСТЕМА ПРЕДПРИЯТИЯ 11 ВЫЯВЛЕНИЕ ОБЪЕКТОВ ЗАЩИТЫ ИНФОРМАЦИИ 13 РАСЧЕТ РИСКОВ 14 ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА СОЗДАНИЕ КСЗИ НА ПРЕДПРИЯТИИ ГРУППЫ КОМПАНИЙ «УМНИЦА» 20 РАЗРАБОТКА ТЕХНИКО-ЭКОНОМИЧЕСКОГО ОБОСНОВАНИЯ 21 РАЗРАБОТКА ЭСКИЗНОГО ПРОЕКТИРОВАНИЯ 24 ЗАКЛЮЧЕНИЕ 31 СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 32 ПРИЛОЖЕНИЕ А. СТРУКТУРА ОРГАНИЗАЦИИ КОМПАНИИ «УМНИЦА» 34 ПРИЛОЖЕНИЕ Б. ИМЕЮЩИЕСЯ СРЕДСТВА ЗАЩИТЫ НА ПРЕДПРИЯТИИ 35 ПРИЛОЖЕНИЕ В. МОДЕЛЬ БИЗНЕС-ПРОЦЕССОВ КОМПАНИИ «УМНИЦА» 36 ПРИЛОЖЕНИЕ Г. ПЕРЕЧЕНЬ КОНФИДЕНЦИАЛЬНЫХ СВЕДЕНИЙ (ИНВЕНТАРИЗАЦИОННАЯ ВЕДОМОСТЬ) 37 ПРИЛОЖЕНИЕ Д. ПРОЕКТ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 41 ВВЕДЕНИЕ С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной, необходимо прорабатывать ее комплексно. Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря которой может повлечь большие изменения в самой организации и материальные потери. Поэтому мероприятия по защите информации в данное время очень актуальны и важны. Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию. Целью нашей курсовой работы является разработка проекта КСЗИ на примере группы компаний «Умница». Задачи: 1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»; 2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации; 3. Составить «Перечень сведений конфиденциального характера»; 4. Выявить объекты защиты, оформленные в виде «Списка объектов, подлежащих защите»; 5. Выявить угрозы, уязвимости и произвести расчет рисков для ключевых объектов защиты; 6. Разработать техническое задание на проектирование КСЗИ и его эскиз; 7. Разработать политику информационной безопасности. ПАСПОРТ ПРЕДПРИЯТИЯ И МОДЕЛЬ ПРОИЗВОДСТВАГруппа компаний «Умница» занимается разработкой и производством развивающих пособий для детей от 0 до 5-6 лет. Развивающие пособия помогают родителям научить маленьких детей читать, считать, рисовать, любить музыку, познавать мир, говорить на других языках.Адрес офиса: Челябинск, ул. Ворошилова, 10Почтовый адрес: 454016, Челябинск, а/я 3469 Телефоны: (351) 729-94-18, 8 800 200 08 07 Сайт: www.umnitsa.ruОрганизационная структура компании представлена в Приложении А. СТРУКТУРА ОРГАНИЗАЦИИ КОМПАНИИ «УМНИЦА» Функциональная схема работы организации: Адреса курьерских служб: Город Адрес Москва 1. м. Преображенская пл. Курьерская служба "Стрелсис" ул. Электрозаводская, 52. тел. 8-926-213-87-23 2. м. Новослободская. Официальное представительство компании "Умница" в Москве ул. Долгоруковская, д. 23а, оф. 305б. Тел: (495) 585-07-55, (499) 978-46-73 3. м. Таганская. Курьерская служба "Вестовой". ул. Нагорная, 12. тел. 638-52-38 Екатеринбург ул. Фурманова, 67 (вход с ул. Сурикова) 213-97-73 Новосибирск ул. Сибиряков-Гвардейцев, 23. тел.314-29 -88 Казань ул.Спартаковская, д.2В, тел. 8-917-22-18-117 Самара ул. Партизанская, 80Б, тел. 72-43-49, 372-43-31 Челябинск ул. Ворошилова, 10, оф. 320. тел. 729-94-18 Пермь ул. Мильчакова, 27, тел. 8-902-471-02-42 Кемерово Молодежный пр-кт, дом № 11а-77, тел. 33-63-15 Основные конкуренты: ООО «Вундеркинд с пеленок», Издательство «Дрофа», ООО «Я все могу», ООО «Корвет», НОУДО «Методики Н.Зайцева». Внешние информационные потоки и каналы передачи информации Информационный поток - это поток сообщений в речевой, документной (бумажной и электронной) и другой форме, генерируемый каким-либо бизнес-процессом, между самой организацией и внешней средой и предназначенный для реализации ее функций. Внешнее звено Форма взаимоотношений Вид носителя информации Способ передачи информации Типографии Договор и сопроводительные документы Телефонная связь Электронная почта ICQ Бумажный (договор и сопроводительные документы) На дисках (макеты) Электронный (переписка, FTP-сервер) Курьером, Почтой (в Китай), электронной почтой, факсом Исполнители (художники, дизайнеры, программисты, актеры) Договор Тех.задание Электронная почта ICQ Бумажный (договор, техзадание) Электронный (предварительные вариант выполненного заказа) На дисках, флеш-картах (готовые макеты) Лично Электронной почтой Оптовые клиенты Договор и сопроводительные документы Телефонная связь Электронная почта ICQ Бумажный (договор и сопроводительные документы) Электронный Лично Почтой Курьером Электронной почтой Факсом Почта России, Курьерские службы Договор и др. сопроводительные документы Телефонная связь Электронная почта ICQ Бумажный (договор и сопроводительные документы) Лично Курьером Электронной почтой Факсом Розничные клиенты Телефонная связь Электронная почта ICQ Сайт (форум) Электронный Лично Курьером Почтой России Экспресс-почтой Налоговая Налоговая документация Телефонная связь Бумажный Почта России Лично Страховые компании Договор и др. сопроводительные документы Телефонная связь Электронная почта Бумажный Лично К сожалению, на данный момент в организации нет отдельной службы безопасности. Однако в перспективе руководство намерено ее организовать. В штат службы безопасности планируется перевести менеджера по информационному обеспечению, который в данный момент является сотрудником административно-кадровой службы. Кроме того, на данный момент в организации не выделено отдельного помещения для хранения конфиденциальной информации и носителей информации. Более того, не определен перечень конфиденциальных сведений. В ПРИЛОЖЕНИИ Б. отражаются имеющиеся средства защиты на рассматриваемом предприятии.ОПИСАНИЕ ДЕЯТЕЛЬНОСТИ КОМПАНИИ «УМНИЦА» (МОДЕЛЬ BPwin) Модель бизнес-процесса предприятия максимально подробно описана с помощью построения модели BPwin в ПРИЛОЖЕНИИ В. МОДЕЛЬ БИЗНЕС-ПРОЦЕССОВ КОМПАНИИ «УМНИЦА». Проанализировав структуру предприятия с помощью Положения о коммерческой тайне и воспользовавшись им для определения перечня конфиденциальных сведений можно выделить, что предприятие имеет очень обширную сферу деятельности, состоит из множества отделов, в каждом из которых рассматриваются различные вопросы. Каждый отдел несет ответственность за свои действия. Генеральный директор получает информацию о заказе, эта информация проходит через директора по финансовой части, с которым обсуждают финансовую стоимость заказа, и через директора по производственной части, с которым обговаривают условия оформления заказа. Главный бухгалтер и бухгалтерия обрабатывают всю информацию путем подготовки необходимых документов. Финансовый директор обеспечивает контроль за сохранностью собственности, правильным расходованием средств и материальных ценностей, осуществляют экономический анализ финансово-хозяйственной деятельности, своевременно проводят ревизию документов. Ведет учет и контроль за расходованием фонда заработной платы, начислением и выдачей всех видов премий, вознаграждений и пособий, составляют отчеты и балансы, систематически инструктируют всех работников, занятых бухучетом и отчетностью. Отдел кадров занимается подбором, изучением и расстановкой кадров во всех структурных подразделениях. Отдел организует контроль за состоянием работы с кадрами во всех подразделениях с целью ликвидации имеющихся недостатков в работе с кадрами, составляет планы-заявки на организованный подбор рабочих, осуществляет учет движения кадров, анализирует и изучает причины их текучести, разрабатывает мероприятия по закреплению кадров, готовит материалы на работников на награждение, поощрение, взыскание; осуществляет по ним учет, ведет, хранит личные дела и трудовые книжки на работников. ИНФОРМАЦИОННАЯ СИСТЕМА ПРЕДПРИЯТИЯ Технические устройства на предприятии: № п/п Наименование Кол-во Примечание 1 Серверы 2 Файловый сервер (ОС: Windows Server 2003) Почтовый сервер (OC: Linux Debian) 2 Компьютеры 39 Модель: Pentium 3 OC: Windows XP 3 АТС 1 Модель: Panasonic KX-TDA100 4 Устройство бесперебойного питания 2 Установлены только на серверах. Производитель: АРС 5 Факс 1 Марка: Panasonic 6 Много функциональные устройства 1 Модель: HP 1232 7 Принтер 4 Программное обеспечение Отдел Программное обеспечение Руководство MS Office (Word, Excel, Outlook, PowerPoint), Internet, Opera, Bat, ICQ, Касперский Финансовая служба 1C: Предприятие 8.0, MS Office (Word, Excel), Internet, Opera, Bat, ICQ, Касперский Административно-кадровая служба 1C: Предприятие 8.0, MS Office (Word, Excel, PowerPoint, Visio), Internet, Opera, Bat, ICQ, Касперский Отдел производства и разработки MS Office (Word, Excel, PowerPoint, Visio), MS Project, Internet, Opera, Bat, ICQ, Касперский, Adobe Illustrator, Adobe Reader, CorelDraw, Photoshop ВЫЯВЛЕНИЕ ОБЪЕКТОВ ЗАЩИТЫ ИНФОРМАЦИИ МЕСТА ХРАНЕНИЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА 1. Кабинет Руководителя 2. Кабинет Финансовой службы 3. Кабинет Отдела по работе с клиентами 4. Кабинет Отдела дистрибьюции 5. Кабинет Отдела маркетинга 6. Кабинет Административно-кадровой службы 7. Кабинет Отдела производства и разработки 8. Автоматизированные рабочие места (АРМ) сотрудников АРМ РуководстваМЕСТА ОБРАБОТКИ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА 1. Система конфиденциального делопроизводства (учет, размножение и движение бумажных и прочих внешних носителей информации); 2. Система обработки информации в вычислительной сети (ввод, вычисления, хранение, вывод); Система обработки речевой информации в специально предназначенных (защищаемых) помещениях (переговоры, совещания);МЕСТА ПЕРЕДАЧИ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА 1. Средства и системы телефонной, внутренней телефонной, громкоговорящей связи; 2. Телефонная система 3. Средства и системы звукоусиления; 4. Автоматизированная система передачи информации между сетями по неконтролируемой территории (файлы, базы данных, факсы, телефонные разговоры). РАСЧЕТ РИСКОВ Критичность ресурса (D) - степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы. Критичность реализации угрозы (ER) - степень влияния реализации угрозы на ресурс. Задается в %. Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) - степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %. 1. Объект защиты - автоматизированное рабочее место (АРМ) сотрудника. Критерий критичности (D) равен 5000 рублей. Таблица угроз и уязвимостей. Угроза Уязвимости 1.Физический доступ нарушителя к АРМ 1. Отсутствие системы контроля доступа сотрудников к чужим АРМам 2.Отсутствие системы видеонаблюдения на предприятии 3. Несогласованность в системе охраны периметра задания 2.Разглашение КИ, хранящейся на АРМ 1.Отсутствие соглашения о неразглашении между руководством и работниками. 2.Нечеткое распределение ответственности между работниками 3.Разрушение КИ при помощи специальных программ и вирусов 1.Отсутствие или некорректная работа антивирусного ПО 2.Отсутствие ограничения доступа пользователей к внешней сети Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V)) и критичности реализации угрозы (ER). Угроза/уязвимость P(V), % ER,% 1/1 50 50 1/2 30 50 1/3 10 40 2/1 30 40 2/2 50 40 3/1 10 90 3/2 20 60 Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh). Угроза/уязвимость Th CTh 1/1 0,25 0,975 1/2 0,15 1/3 0,04 2/1 0,12 0,296 2/2 0,2 3/1 0,09 0,199 3/2 0,12 Th=P(V)/100*ER/100 CTh=1-П(1-Th)Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)=1-0,025*0,04*0,801=0,986 Рассчитаем риск по ресурсу: R= CThR*D=0,986*7500=7395 (руб). Объект защиты - сервер локальной сети. Критерий критичности (D) равен 15000 рублей. Таблица угроз и уязвимостей. Угроза Уязвимости 1.Физический доступ нарушителя к серверу 1.Неорганизованность контрольно-пропускного режима на предприятии 2.Отсутствие видеонаблюдения 2.Разглашение КИ, хранящейся на сервере 1.Отсутствие соглашения о нераспространении КИ 2. Нечеткое распределение ответственности между сотрудниками предприятия Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER). Угроза/уязвимость P(V), % ER,% 1/1 70 80 1/2 40 60 2/1 30 30 2/2 70 50 Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh). Угроза/уязвимость Th CTh 1/1 0,56 0,666 1/2 0,24 2/1 0,09 0,408 2/2 0,35 Th=P(V)/100*ER/100 CTh=1-П(1-Th)Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)=1-0,344*0,592=0,796 Рассчитаем риск по ресурсу: R=CTh*D=0,796*15000=11940 (руб). 2. Объект защиты - Сейф, где хранится конфиденциальная информация. Критерий критичности (D) равен 3000 рублей. Таблица угроз и уязвимостей. Угроза Уязвимости 1.Физический доступ нарушителя к документам 1.Неорганизованность контрольно-пропускного режима на предприятии 2.Отсутствие видеонаблюдения 2.Разглашение КИ, используемой в документах, вынос документов за пределы КЗ 1.Отсутствие соглашения о неразглашении КИ 2. Нечеткое распределение ответственности за документы между сотрудниками предприятия 3.Несанкционированное копирование, печать и размножение КД 1. Нечеткая организация конфиденциального документооборота 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER). Угроза/уязвимость P(V), % ER,% 1/1 70 80 1/2 40 60 2/1 30 30 2/2 70 50 3/1 70 50 3/2 90 80 Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh). Угроза/уязвимость Th CTh 1/1 0,56 0,666 1/2 0,24 2/1 0,09 0,408 2/2 0,35 3/1 0,35 0,818 3/2 0,72 h=P(V)/100*ER/100 CTh=1-П(1-Th)Рассчитаем общий уровень угроз по ресурсу: CThR=1-П(1-CTh)=1-0,334*0,592*0,182=0,964 Рассчитаем риск по ресурсу: R=CTh*D=0,964*3000=2892 (руб).Из оценки рисков можно подсчитать какой ущерб может понести предприятие. Так же мы можем оценить экономическую целесообразность построения КСЗИ. Если потери при реализации информационных угроз являются незначительными, то не имеет смысла строить дорогостоящую КСЗИ. ТЕХНИЧЕСКОЕ ЗАДАНИЕ НА СОЗДАНИЕ КСЗИ НА ПРЕДПРИЯТИИ ГРУППЫ КОМПАНИЙ «УМНИЦА» РАЗРАБОТКА ТЕХНИКО-ЭКОНОМИЧЕСКОГО ОБОСНОВАНИЯ Опыт применения систем защиты информации показывает, что эффективной может быть лишь комплексная система защиты информации (КСЗИ), сочетающая следующие меры. 1. Законодательные. Использование законодательных актов, регламентирующих права и обязанности физических и юридических лиц, а также государства в области защиты информации. 2. Морально-этические. Создание и поддержание на объекте такой моральной атмосферы, в которой нарушение регламентированных правил поведения оценивалось бы большинством сотрудников резко негативно. 3. Физические. Создание физических препятствий для доступа посторонних лиц к охраняемой информации. 4. Административные. Организация соответствующего режима секретности, пропускного и внутреннего режима. 5. Технические. Применение электронных и других устройств защиты информации. 6. Криптографические. Применение шифрования и кодирования для сокрытия обрабатываемой и передаваемой информации от несанкционированного доступа. 7. Программные. Применение программных средств разграничения доступа. Обоснованный выбор требуемого уровня защиты информации является системообразующей задачей, поскольку как занижение, так и завышение уровня неизбежно ведет к потерям. При этом в последнее время роль данного вопроса резко возросла в связи с тем, что, во-первых, теперь в число защищаемых помимо военных, государственных и ведомственных, включены также секреты промышленные, коммерческие и даже личные, а во-вторых, сама информация все больше становиться товаром. Таким образом, для оценки информации необходимы показатели двух видов: характеризующие информацию как ресурс, обеспечивающий деятельность общества; характеризующие информацию как объект труда. Показатели первого вида носят прагматический характер. К ним относят важность, значимость с точки зрения тех задач, для решения которых используется оцениваемая информация, полнота информации для информационного обеспечения решаемых задач, адекватность, то есть соответствие текущему состоянию соответствующих объектов или процессов, релевантность информации и ее толерантность. Показатели второго вида должны характеризовать информацию как объект труда, над которым осуществляются некоторые процедуры в процессе переработки ее с целью информационного обеспечения решаемых задач. К ним относятся эффективность кодирования информации и ее объем. Затраты на оборудование для комплексной защиты информации можно представить в виде таблицы.Затраты на оборудование для комплексной защиты информации № наименование оборудования кол-во шт. цена руб всего руб 1 Извещатель пассивный оптико-электронный объёмный Фотон-9 7 345 4550 2 Извещатель акустический Стекло-3 6 375 3300 3 Извещатель магнитоконтактный ИО 102-5 7 45 455 4 Тревожная кнопка Астра-321 1 210 210 5 Приемно-контрольный прибор Сигнал 20 2 3500 7000 6 Модуль защиты телефоной линии"SEL SP-17/D" 1 13100 13100 7 Генератор шума ГШ-К-1000М 1 5700 5700 8 Генератор шума ГШ-1000М 1 4900 4900 9 Генератор шума SEL SP 44 1 14000 14000 10 Виброакустический генератор Соната АВ 1М 1 24000 24000 11 Фильтр питания «ФСП-1Ф-7А» 2 13500 27000 12 Извещатель пожарный дымовой ИП-212-45 20 250 5000 13 ИПР-3СУ 2 200 400 14 Оповещатель световой Молния 2 300 600 15 Оповещатель речевой, звуковой Флейта 2 250 500 16 Камера уличная AV3130M 2 28000 56000 17 Камера офисная PVCD-0121C 3 5600 16800 18 ПО ISS+ "Securos" 1 25000 25000 19 Плата видеозахвата TVISS 1-4 HL4 1 8000 8000 20 Пленка бронированная 9 1100 9900 21 Электромагнитный замок 2 780 1560 ИТОГО: 227 975 Реализация любого проекта, связанного с защитой информации, требует определённых финансовых ресурсов. Для того, чтобы определить общую потребность в финансовых ресурсах (материальных, денежных, трудовых и др.), необходимо составить смету затрат на комплексную систему защиты объекта. В результате проведенных расчётов у собственника должна появиться возможность оценить в денежной форме затраты, связанные с обеспечением информационной безопасность объекта. РАЗРАБОТКА ЭСКИЗНОГО ПРОЕКТИРОВАНИЯ План 1-го этажа План 2-го этажа Возможные пути проникновения злоумышленника План охранно-пожарной сигнализации первого этажа План охранно-пожарной сигнализации второго этажа План охранно-пожарной сигнализации выделенного помещения План системы видеонаблюдения первого этажа План системы видеонаблюдения второго этажа ЗАКЛЮЧЕНИЕ Таким образом, поставив перед собой цель разработать проект КСЗИ на примере группы компаний «Умница» мною были проделаны следующие работы: 1. Я рассмотрел общую характеристику объекта защиты; 2. Построил модель бизнес-процессов с целью выявления конфиденциальной информации; 3. Составил «Перечень сведений конфиденциального характера»; 4. Выявил угрозы, уязвимости и произвел расчет рисков для ключевых объектов защиты; 5. Описал техническое задание 6. Рассмотрел политику безопасности. 7. Получил теоретические знания и практические навыки в создании эффективной системы защиты информации. 1. СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫБелов Е.Б., Лось В.П. и др. Основы информационной безопасности. Учебное пособие для вузов. -2006. - 546с. 2. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. 3. Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1. 4. Грибунин В.Г.. "Общие критерии": мифы и реалии//IT-Security. Системы и средства защиты информации, 2005. 5. Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии. 6. Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 с. 7. Корнюшин П.Н., Костерин А.С. Информационная безопасность: Учебное пособие. - Владивосток: ТИДОТ ДВГУ, 2003. - 154 с 8. Куприянов А.И., Сахаров А.В., Шевцов В.А.. Основы защиты информации. - 2006. - 256с. 9. Способы и средства предотвращения утечки информации по техническим каналам М: ЗАО НПЦ НЕЛК, 2003 г. 10. Торокин А. А. Инженерно- техническая защита информации: Учеб. пособие для вузов/А. А. Торокин. - М.: Гелиос АРВ, 2005. 11. Торокин А.А.. Инженерно-техническая защита информации: Гелиос АРВ. - 2005, - 960с. 12. Федеральный закон "О коммерческой тайне" (от 25.07.2004 г. № 98-ФЗ). М.: Эксмо, - 2005. 13. Федеральный закон "Об информации, информационных технологиях и защите информации" (от 20.02.95 г. № 24-ФЗ). М.: Эксмо, - 1995. 14. Цирлов В.Л. Основы информационной безопасности. Краткий курс: Феникс, 2008. - 253с. 15. Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996. 16. Щеглов А.Ю.Защита компьютерной информации от несанкционированного доступа. - Изд.: Наука и техника, 2004. - 384с. 17. Щеглов А.Ю.Защита компьютерной информации от несанкционированного доступа. Часть 1. Анализ уязвимостей ОС семейства Windows. Актуальность добавочных средств защиты информации//Information Security (Информационная безопасность). - 2004. - №4. - С.42-44. 18. Энциклопедия промышленного шпионажа / Каторин Ю.Ф., Куренков Е.В., Лысов А.В., Остапенко А.Н.; Под общ. ред. Е.В.Куренкова. - СПб.: Полигон, 2000. - 511 с. 19. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 с. ПРИЛОЖЕНИЕ А. СТРУКТУРА ОРГАНИЗАЦИИ КОМПАНИИ «УМНИЦА» ПРИЛОЖЕНИЕ Б. ИМЕЮЩИЕСЯ СРЕДСТВА ЗАЩИТЫ НА ПРЕДПРИЯТИИ Имеющиеся на предприятии средства защиты информации: 1. От пожара 1.1. Система охрана пожарной сигнализации. 1.2. Огнетушители (4 штуки). 2. От компьютерного посягательства. 2.1. Система авторизации, аутентификации пользователей. 2.2. Межсетевой экран (Kerio WinRoute). 2.3. Антивирусное ПО (Касперский) 3. Физическая охрана офиса. 3.1. Постоянное присутствие охранника. 3.2. Наличие датчиков движения. 3.3. Наличие тревожной кнопки. ПРИЛОЖЕНИЕ В. МОДЕЛЬ БИЗНЕС-ПРОЦЕССОВ КОМПАНИИ «УМНИЦА»ПРИЛОЖЕНИЕ Г. ПЕРЕЧЕНЬ КОНФИДЕНЦИАЛЬНЫХ СВЕДЕНИЙ (ИНВЕНТАРИЗАЦИОННАЯ ВЕДОМОСТЬ) 454016, Челябинск, а/я 3469 8-800-200-08-07 Тел./факс +7 (351) 729-94-18 www.umnitsa.ru ПРИКАЗ № от __________________ . ПРИКАЗЫВАЮ: Утвердить Перечень конфиденциальных сведений, действующий на предприятии группы компаний «Умница»ПЕРЕЧЕНЬ КОНФИДЕНЦИАЛЬНЫХ СВЕДЕНИЙ 1. Производство 1.1. Сведения о структуре Общества, типе и размещении оборудования, запасах товаров, материалов, комплектующих, готовой продукции и другого имущества Общества. 1.2. Сведения о коммерческих связях Общества. 2. Управление 2.1. Сведения о применяемых оригинальных методах управления Общества, системах планирования и контроля. 2.2. Сведения о подготовке, принятии и исполнении отдельных решений руководства Общества по производственным, коммерческим, организационным и другим вопросам. 2.3. Сведения о системе поощрения, аттестации, системе оплаты труда. 2.4. Сведения о размере и составе имущества Общества. 2.5. Сведения о размере денежных средств Общества, имеющихся на банковских счетах и в кассе, а также их движении. 2.6. Сведения о системе социальной поддержки работников Общества и ее размерах. 2.7. Сведения о размере прибыли Общества. 3. Планы 3.1. Сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономическое обоснование. 3.2. Сведения о планируемых инвестициях, закупках и продажах. 3.3. Сведения о бизнес-планах Общества, планах развития отдельных направлений, отраслей, подразделений. 4. Совещания 4.1. Сведения о целях, рассматриваемых вопросах, результатах, фактах проведения совещаний и заседаний в Обществе, принятых решениях, сотрудниках, принимавших участие в их подготовке, и работе. 5. Рынок сбыта (сектор рынка) 5.1. Сведения о применяемых оригинальных методах изучения рынка. 5.2. Сведения о направлениях маркетинговых исследований, результатах рыночной конъюнктуры. 5.3. Сведения о рыночной стратегии Общества. 5.4. Сведения о применяемых оригинальных методах осуществления продаж. 5.5. Сведения об эффективности коммерческой деятельности Общества. 5.6. Сведения о регионах сбыта готовой продукции. 5.7. Сведения о клиентах, партнерах. 5.8. Сведения об условиях работы с клиентами. 5.9. Сведения о товарообороте Общества, в т. ч. о размере ежегодной выручки и о размере продаж за отдельный период. 5.10. Сведения о наличии товарных запасов, об ассортименте товаров, пользующихся повышенным спросом. 6. Партнеры 6.1. Систематизированные сведения о внутренних и зарубежных партнерах, заказчиках, подрядчиках, поставщиках, клиентах, потребителях, компаньонах, спонсорах, посредниках, о других деловых отношениях предприятия, а также о его конкурентах, которые не содержатся в открытых каталогах, справочниках и т. п. 6.2. Сведения о планируемых встречах с потенциальными партнерами, поставщиками и т. п. 7. Переговоры 7.1. Сведения о целях, задачах и тактике переговоров с деловыми партнерами, а также о факте и содержании переговоров с потенциальными контрагентами. 7.2. Сведения о подготовке и результатах проведения переговоров с деловыми партнера ми предприятия. 7.3. Сведения, составляющие коммерческую тайну контрагентов Общества. 8. Контракты 8.1. Условия, тексты договоров о намерениях, коммерческих контрактов, платежей и услуг. 8.2. Сведения о кредитных, торговых, расчетных и иных обязательствах Общества, вытекающие из заключенных Обществом договоров и действующего законодательства РФ. 8.3. Сведения о содержании гражданско-правовых договоров, заключенных Обществом, о ходе их исполнения. 9. Цены 9.1. Сведения о методах расчета, о структуре, об уровне цен на продукцию и о размерах скидки. 9.2. Сведения о периодичности расчетов цен и их методике. 10. Инвестиции 10.1. Сведения о подготовке к участию в конкурсе, аукционе и их результатах. 10.2. Сведения о вложении средств в доходные активы (ценные бумаги), в процентные облигации и займы, а также о средствах, внесенных в качестве вкладов в уставный капитал других юридических лиц. 11. Техника и технология 11.1. Сведения об особенностях технологических решений, дающих экономический эффект. 11.2. Сведения о мерах защиты от всевозможных подделок. 11.3. Сведения о состоянии программного обеспечения. 11.4. Сведения об особенностях используемых и разрабатываемых технологий и специфике их применения. 12. Безопасность 12.1. Сведения о порядке и состоянии организации защиты коммерческой тайны. 12.2. Сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации, перевозках ценных грузов. 12.3. Сведения, составляющие коммерческую тайну предприятий-партнеров и переданные на доверительной основе Обществу. 12.4. Сведения о сотрудниках: домашние адреса, телефоны, места работы и телефоны родственников, состав семьи; о руководителях фирмы, прямые телефоны руководителей фирмы. 12.5. Сведения о персонале предприятия, в т. ч. о его моральных и деловых качествах. 12.6. Сведения о доходах работников Общества.Генеральный директор Маниченко А.А.ПРИЛОЖЕНИЕ Д. ПРОЕКТ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ Термины и определения ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПД) - конфиденциальная информация о частной жизни физического лица, которая получена в процессе производственной деятельности от любых контрагентов. Собственником данной информации ограниченного распространения является физическое лицо. От утечки данной информации могут пострадать интересы этого физического лица. НЕ СЕКРЕТНО (НС) - открытая информация, доступ к которой не ограничивается требованиями безопасности либо согласно производственной необходимости (общий доступ и т.п.), либо как не подлежащая засекречиванию в соответствии с законодательством (данные бухгалтерского учета и т.п.) КОНТРОЛИРУЕМАЯ ЗОНА (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ Организации является: периметр охраняемой территории Организации; ограждающие конструкции охраняемого здания или охраняемой части здания. ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. К ним относятся средства вычислительной техники, средства и системы передачи данных, отображения и размножения документов. ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС. К ним относятся: радио- и телефонные средства и системы; средства и системы охранной и пожарной сигнализации; контрольно-измерительная аппаратура; средства и системы кондиционирования; средства и системы проводной радиотрансляционной и телевизионной сети; средства электронной оргтехники; средства вычислительной техники, не предназначенные для передачи, обработки и хранения конфиденциальной информации. НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) - нарушение установленных правил доступа (организационных, технических и программных ограничений) к конфиденциальной информации, преднамеренное либо не преднамеренное, независимо от результата (получен фактический доступ к этой информации или нет). ПОБОЧНЫЕ ЭЛЕКТРОМАГНИТНЫЕ ИЗЛУЧЕНИЯ И НАВОДКИ (ПЭМИН) - распространение электромагнитного излучения, возникающего в результате обработки конфиденциальной информации, в окружающем пространстве (по эфиру), а также по металлическим проводникам (коммуникациям), и позволяющего интерпретировать данную информацию. КОНФИДЕНЦИАЛЬНАЯ ЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ (ЛВС) - комплекс средств вычислительной техники, соединенных каналами передачи данных, не выходящими за пределы КЗ, и предназначенных для обработки конфиденциальной информации. ЛВС функционально может являться частью вычислительной сети Организации (в остальных частях обрабатывается не конфиденциальная информация), а организационно - это часть АС, расположенная в пределах КЗ. Доступ к информации. Доступ на территорию предприятия группы компаний «Умница» и в помещения, где хранится конфиденциальная информация, осуществляется по служебному удостоверению. Допуск сотрудников к защищаемым информационным ресурсам осуществляется в соответствии с должностными обязанностями, утвержденными службой безопасности, и разграничивается штатными средствами ОС. Физический доступ к серверу и активному сетевому оборудованию ограничен, они размещены на втором этаже здания, в отдельном кабинете, в закрывающихся телекоммуникационных шкафах. Для передачи данных между пользователями АРМ используются автоматизированные системы документооборота (внутренняя электронная почта, средства передачи сообщений).Информационная характеристика.В технологическом процессе обработки конфиденциальной информации определены следующие компоненты: - субъекты доступа; - объекты доступа. К субъектам доступа относятся: - сотрудники, имеющие отношение к процессу функционирования Предприятия и которые имеют возможность доступа к ресурсам; - процедуры (процессы) обработки данных прикладного и системного ПО, а также СУБД, которые получают данные из файлов и баз данных на сервере. К объектам доступа относятся: - информационные ресурсы - отдельные файлы и массивы файлов, поля, записи и таблицы БД, документы, машинные носители информации (НЖМД, НГМД, CD-RW (CD-R), DVD-RW (DVD-R) диски), доступ к которым должен регламентироваться правилами разграничения доступа; - элементы системы - средства обработки и передачи информации (технические и программные средства, средства приема, отображения, перемещения информации, машинные накопители и носители на бумажной основе), доступ к которым необходимо регламентировать. На ПЭВМ пользователей и на сервере установлены операционные системы семейства Microsoft Windows (XP), но система управления пользователями и разграничения доступа к файловым ресурсам не является централизованной (доменная структура отсутствует). Каналы утечки информации.К возможным каналам утечки или нарушения целостности информации можно отнести: - НСД к информации, обрабатываемой на ПЭВМ и на сервере; - НСД к бумажным и машинным носителям информации; - выход из строя технических и программных средств, в т.ч. машинных носителей информации. Нарушение целостности информации возможно как путем физического разрушения носителей информации, так и путем искажения ее с помощью программных средств: - Аварии, стихийные бедствия (пожар, затопление); - Колебания в сети электропитания; - Старение магнитной поверхности носителей информации; - Ошибочное удаление информации пользователем; - Сбои прикладного программного обеспечения. Возможны следующие способы несанкционированного доступа к защищаемым ресурсам АС: - физический доступ к носителям информации (к серверу) и их резервным копиям с целью их хищения; - физический доступ к бумажным носителям информации, с целью их хищения, размножения, фотографирования; - непосредственный (вне рамок прикладного ПО) доступ к файлам хранилища информации, таблицам БД и исполняемым модулям ПО - удаленно или локально с целью их копирования и дальнейшей установки, а также с целью их уничтожения; - применение нештатных специальных программ, обеспечивающих восстановление удаленных данных с машинных носителей информации; - передача файлов по каналам связи между сотрудниками и за пределы станции с целью предоставления НСД лицам, не имеющим допуска к данной информации в обход штатных средств защиты; - доступ в рамках прикладного ПО локально или удаленно к базам данных и файлам с использованием недокументированных возможностей и режимов работы этого ПО, разработанных и установленных в качестве модификаций, в случае, когда разработчиком ПО является сторонняя организация; - любой доступ к ПО и данным с использованием технологий взлома средств защиты с целью получения или уничтожения данных (в т.ч. компьютерные вирусы); доступ с использованием чужого идентификатора, а также с чужого рабочего места во время отсутствия пользователя этого АРМ.Модель нарушителя В качестве возможного нарушителя рассматривается субъект, имеющий доступ к работе с программными и техническими средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им всеми доступными средствами (Таблица 1). Таблица 1. Уро-вень Возможности нарушителя по технологическому процессу Потенциальная группа нарушителей Возможный результат НСД 1 Нет Сотрудники, не имеющие доступа к информации, но имеющие доступ в помещения (обслуживающий персонал, посетители) Просмотр на экране монитора и хищение бумажных и машинных носителей. 2 Запуск задач (программ) из фикси¬ро¬ванного набора, реализующих заранее предусмотренные функции по обра¬ботке информации Большинство пользователей АС, имеющих непосредственный доступ в помещения, к АРМ, с полномо¬чиями, ограниченными на уровне системы защиты информации (СЗИ) Доступ пользователя к информации другого пользователя в его отсутствие, в т.ч. через сеть, просмотр информации на мониторе (несоблюдение организационных требований). Просмотр и хищение бумажных носителей. 3 Управление функционированием АС, т.е. воздействие на базовое программное обеспечение ОС и СУБД, на состав и конфигурацию оборудования АС, на настройки СЗИ. Работа с внешними носителями. Администраторы АС, наделенные неограниченными полномочиями по управлению ресурсами Доступ администратора АС к информации других пользователей и к средствам СЗИ, непреднамеренное разрушение информации (несоблюдение организационных требований) 4 Весь объем возможностей лиц, осуществляющих ремонт технических средств АС. Обслуживающий персонал АС. Специалисты сторонних организаций, осуществляющих поставку и монтаж оборудования для АС Доступ обслуживающего персонала АС к МН с информацией других пользователей, разрушение информации, установка закладных устройств (несоблюдение организационных требований при ремонте ОТСС) Фактическая защищенность Доступ сотрудников к ресурсам разграничивается штатными средствами ОС. Список сотрудников, имеющих доступ к ресурсам, документально определен. Доступ ограничивается в соответствии с должностными инструкциями. Документ, определяющий порядок конфиденциального документооборота существует и утвержден. Документально определена технология обработки информации (документ «Описание технологического процесса обработки информации»). На серверах и рабочих станциях применяются операционные системы MS Windows, что позволяет применить сертифицированные средства защиты от НСД. Но также осуществляется обработка информации в СУБД, что практически исключает применение на данных объектах сертифицированных средств защиты от НСД по причине отсутствия таких средств на рынке.Перечень мер по защите Разработка перечня защищаемой информации - Необходимо переработать перечень сведений конфиденциального характера в плане детализации обрабатываемых данных и отнесении сведений к той или иной степени конфиденциальности. Конфиденциальность информации С целью повышения степени защищенности информации в плане соблюдения конфиденциальности необходимо: - разделить ввод и вывод информации одного грифа на уровне АРМ или пользователей с целью разделения ответственности и усиления контроля за этими этапами технологического процесса; - ограничить (в т.ч. организационно) возможности несанкционированного вывода информации пользователями на внешние носители (дискеты, лазерные накопители CD-RW, USB-Flash) и на печать; - ограничить количество или исключить использование локальных принтеров на АРМ пользователей, назначить ответственных за печать документов на сетевых принтерах; - исключить доступ пользователей к ресурсам АРМ других пользователей, как на запись, так и на чтение, т.е. возможность создания пользователями общих сетевых ресурсов на своих АРМ. Обмен информацией между пользователями осуществлять через общие ресурсы на серверах; - если один служащий относится к нескольким категориям пользователей, то при совмещении обязанностей он должен пользоваться разными идентификаторами. Например, администратор может выполнять работу пользователя, но не имеет права делать это с идентификатором администратора. Целостность информации С целью повышения степени защищенности информации в плане соблюдения целостности необходимо: внедрение исправлений и добавлений централизованно распространяемых ведомственных программных средств на АРМ пользователей и на сервер должно осуществляться в виде уже откомпилированных исполняемых модулей и процедур, в состав которых не должны включаться средства отладки.Состав рабочей документации - Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы: • «Описание технологического процесса обработки конфиденциальной информации», в котором отражен порядок проведения всех операций ТП (ввод, вывод, обработка и хранение, резервирование и восстановление, управление доступом); • «Инструкция пользователя», в которой отражены порядок его работы с информацией, права, обязанности и ответственность; • «Инструкции администраторов ОС, БД»; • «Инструкция обслуживающего персонала»; • «Журнал регистрации бумажных носителей информации», в котором учитываются все операции распечатывания документов, графы журнала заполняются исполнителями работ; «Журнал учета резервного копирования», в котором учитываются все операции резервного копирования и восстановления информации, все графы журнала заполняют администраторы. |
| « Пред. | След. » |
|---|
