Обеспечение информационной безопасности на предприятии

Содержание

Оглавление

Введение

1. Характеристика объекта защиты

1.1. Общая характеристика

1.2. Функциональные обязанности персонала

2. Концепция информационной безопасности. Общие положения

2.1. Нормативно-правовое обеспечение информационной безопасности

2.2. Анализ угроз и рисков

2.3. Угрозы, реализуемые с использованием технических средств

2.4. Угрозы, реализуемые с использованием программных средств

2.5. Угрозы утечки информации по техническим каналам связи

2.6. Классификация информационных систем по безопасности

2.7. Концепция безопасности

2.7.1. Организационное обеспечение информационной безопасности

2.7.2. Требования к функциям по безопасности, реализуемых на различных уровнях информационного взаимодействия

3. Реализация мер безопасности на различных уровнях и информационного взаимодействия

3.1. Обеспечение мер безопасности на уровне операционных систем (ОС)

3.2. Обеспечение мер безопасности на уровне сетевых сервисов

3.3. Обеспечение мер безопасности на уровне баз данных (БД)

3.4. Обеспечение мер безопасности на уровне сетевого оборудования

3.5. Обеспечение мер безопасности на уровне приложений

3.6. Инженерно-технические мероприятия обеспечения информационной безопасности

Заключение

Список литературы

Приложение

Введение

Целью работы является обеспечение защиты информации в автоматизированных системах ООО "ГТЕ" филиал Карталинское ЛПУ МГ. Выполнение данной работы исследует следующие учебные цели, а именно: изучение и применение нормативно правовых актов в области информационной безопасности (далее по тексту ИБ), использование стандартов по реализации мер ИБ. Кроме того, изучение и применение ГОСТов по оформлению технической документации стандартов и единой конструкторской документации (ЕСКД).

Создание системы обеспечения информационной безопасности следует рассматривать, как комплексную задачу по обеспечению информациооной безопасности в следствии многообразия технологических и организационных решений. Безопасность информации может быть обеспечена при комплексном использовании всех имеющихся средств защиты во всех структурных элементах производственной системы и на всем протяжении технологического цикла обработки информации.

Комплексная система защиты информации объединяет в себе все используемые методы и средства и только тогда даёт наибольший эффект обеспечения сохранности информации. При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

При реализации мероприятий по инженерно-техническому обеспечению будут приобретены навыки работы в системе автоматизированного проектирования КОМПАС 3D, изучение функциональных обязанностей персонала и применение к ним нормативно правовых актов.

Характеристика объекта защиты

Общая характеристика

ООО "ГТЕ" филиал Карталинское ЛПУ МГ по адресу Ростовская. область Карталинский р-н ул .Сенной имеет общую площадь 2 этажа 600,6 квадратных метра. Расположен на втором этаже здания.

В корпусе установлены пеноблочные стены, что упрощает сверление отверстий в стене для установки розеток. Смонтированы фальшпотолки и фальшполы, упрощая тем самым установку датчиков противопожарной сигнализации и протяжку кабелей сетей Интернет. Также установлены пластиковые рамы со стеклопакетами, деревянные и железные двери.

Предприятие состоит из следующих помещений: 201, 202, 203, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 213Б, 214, 215, 216.

Согласно СанПиН 2.2.2/2.4.134003, площадь на одну ПЭВМ (Персональную Электронно-Вычислительную Машину) должна составлять не менее 6 квадратных метров для электронно-лучевого ВДТ (Видео-Дисплейный Терминал) и не менее 4,5 квадратных метров при использовании ВДТ на базе плоских дискретных экранов (жидкокристаллические, плазменные).

Все кабинеты должны иметь доступ к локальной сети здания и Интернету, а также розетки подключения к кабельному телевещанию и телефонной сети.

В кабинете 201 расположен сервер, шкаф монтажный с сетевым оборудованием камера видеонаблюдения и пожарная сигнализация.

В кабинете 202 расположены: 2 автоматизированных рабочих места, включающих в себя персональный компьютер и телефон, пожарная сигнализация.

В кабинете 203 расположено 2 автоматизированных рабочих места, компьютер, телефон, пожарная сигнализация.

В кабинете 204 расположено 5 автоматизированных рабочих места, телефон, компьютер, пожарная сигнализация, камера видеонаблюдения.

В кабинете 205 расположено 4 автоматизированных рабочих мест,

компьютер, телефон, пожарная сигнализация.

В кабинете 206 расположено 2 автоматизированных рабочих мест,

компьютер, телефон, камера видеонаблюдения, пожарная сигнализация.

В кабинете 207 расположено 4 автоматизированных рабочих мест, компьютер, телефон, камера видеонаблюдения, пожарная сигнализация.

В кабинете 208 расположено 5 автоматизированных рабочих мест, компьютер, телефон, камера видеонаблюдения, пожарная сигнализация.

В кабинете 209 расположена пожарная сигнализация.

В кабинете 210 расположено 2 автоматизированных рабочих мест, компьютер, телефон, пожарная сигнализация.

В кабинете 211 расположено 2 автоматизированных рабочих мест, компьютер, телефон, пожарная сигнализация.

В кабинете 212 расположено 2 автоматизированных рабочих мест, компьютер, телефон, пожарная сигнализация.

В кабинете 213 расположено 3 автоматизированных рабочих мест, компьютер, телефон, пожарная сигнализация.

В кабинете 213Б расположено 5 автоматизированных рабочих мест, компьютер, телефон, камера видеонаблюдения, пожарная сигнализация.

В кабинете 214 расположено 4 автоматизированных рабочих мест, компьютер, телефон, камера видеонаблюдения, пожарная сигнализация.

В кабинете 215 расположено 2 автоматизированных рабочих мест, компьютер, телефон, пожарная сигнализация.

В кабинете 216 расположено 2 автоматизированных рабочих мест, компьютер, телефон, пожарная сигнализация.

Функциональные обязанности персонала

Организация деятельности:

Директор - рассматривает вопросы, которые непосредственно касаются производственно-хозяйственной и финансово-экономической деятельности предприятия в пределах своих полномочий, возлагать ведение некоторых направлений деятельности на другие должностные лица – заместителей директора, руководителей филиалов и производственных единиц предприятий и подразделений. Организовывать эффективное взаимодействие и работу всех производственных единиц, цехов и структурных подразделений, а также направлять их деятельность на усовершенствование и развитие производства с учетом рыночных приоритетов и социальных; увеличение объемов сбываемой продукции и прибыли, рост эффективности работы предприятия, конкурентоспособности и качества производимой продукции, соответствие ее мировым стандартам с целью завоевания зарубежного и отечественного рынка и удовлетворения потребностей населения в продукции отечественного производства.

Оборудование, предоставляемое руководителю предприятия:

Компьютер;

Принтер, копировальный аппарат.

Сетевые средства телекоммуникации

Приложения, находящиеся в распоряжении руководителя предприятия:

Microsoft Office 2007

Браузер

Предоставляемый доступ к информации предприятия

Доступ к любым каталогам на своем компьютере, а так же к компьютерам подчиненных

Доступ к любым помещениям предприятия

Доступ к сведениям на электронных и бумажных носителях касающихся кадрового состава фирмы

Доступ в интернет и локальную сеть

Секретарь - Принимает корреспонденцию, которая поступает на рассмотрение руководителю предприятия и передает ее конкретным исполнителям, для использования в процессе работы или подготовки ответов.

Осуществляет работы по организационно-техническому обеспечению административно-распорядительной деятельности руководителя. Выполняет необходимые операции с использованием компьютерной техники, предназначенной для обработки информации при подготовке и принятии решений. Принимает заявления и документы на подпись руководителя. Ведет делопроизводство. Подготавливает для работы руководителя материалы и документы.

Следит за своевременностью рассмотрения и представления конкретными исполнителями и структурными подразделениями документов, передаваемых на подпись руководителю, обеспечивает их качественное редактирование. Оборудование, предоставляемое секретарю:

Компьютер;

Принтер, копировальный аппарат.

Сетевые средства телекоммуникации

Приложения, находящиеся в распоряжении руководителя инспекции:

Microsoft Office 2007

Браузер

Главный инженер - Руководствуясь утвержденными бизнес-планами предприятия на среднесрочную и долгосрочную перспективу руководить разработкой мероприятий по реконструкции и модернизации предприятия, предотвращению вредного воздействия производства на окружающую среду, бережному использованию природных ресурсов, созданию безопасных условий труда и повышению технической культуры производства.

Эффективно обеспечивать проектные решения, своевременную и качественную подготовку производства, ремонт и модернизацию оборудования, техническую эксплуатацию, достижение высокого качества продукции в процессе ее разработки и производства.

Начальник отдела - Выполняет сам и требует выполнения работы от специалистов отдела.

Монтажник - выполняет работы по прокладке кабельных линий связи, производит разбивку трассы прокладки кабелей, устанавливает детали и арматуру для крепления и про кладки кабелей в шахтах, колодцах и по стенам, оборудует кабельные опоры, подготавливает каналы для протягивания кабеля, кабельные колодцы к прокладке (устанавливает ограждения, открывает и закрывает колодцы и т.п.Осуществляет ввод кабеля в здание, устанавливает распределительные коробки, боксы, распре делительные шкафы, кабельные ящики и защитные полосы.

Техник - Под руководством более квалифицированного специалиста выполняет работу по проведению необходимых технических расчетов, разработке несложных проектов и простых схем, обеспечивая их соответствие техническим заданиям, действующим стандартам и нормативным документам. Осуществляет наладку, настройку, регулировку и опытную проверку оборудования и систем в лабораторных условиях и на объектах, следит за его исправным состоянием.

Системный администратор - Устанавливает на серверы и рабочие станции, операционные системы и необходимое для работы программное обеспечение. Осуществляет конфигурацию программного обеспечения на серверах и рабочих станциях. Поддерживает в работоспособном состоянии программное обеспечение серверов и рабочих станций.

Оборудование, предоставляемое Отделу информатизации: Всё оборудование на предприятии

Приложения, находящиеся в распоряжении Отдела информатизации: Абсолютно все программы предприятия.

Инженер по безоп.тех систем.комп - Своевременно обслуживает, ремонтирует и модернизирует компьютерный парк телевидения. Обеспечивает рабочие места работников телевидения новой компьютерной, копировально множительной техникой и расходными материалами.

Главный бухгалтер - Руководит формированием информационной системы бухгалтерского учета и отчетности в соответствии с требованиями бухгалтерского, налогового, статистического и управленческого учета, обеспечивает предоставление необходимой бухгалтерской информации внутренним и внешним пользователям. Обеспечивает сохранность бухгалтерских документов и сдачу их в установленном порядке в архив.

Бухгалтер - Выполняет работу по ведению бухгалтерского учета имущества, обязательств и хозяйственных операций (учет основных средств, товарно-материальных ценностей, затрат на производство, реализации продукции, результатов хозяйственно-финансовой деятельности; расчеты с поставщиками и заказчиками, за предоставленные услуги и т.п.). Участвует в разработке и осуществлении мероприятий, направленных на соблюдение финансовой дисциплины и рациональное использование ресурсов.

Экономист - Выполняет работу по осуществлению экономической деятельности предприятия, направленной на повышение эффективности и рентабельности производства, качества выпускаемой и освоение новых видов продукции, достижение высоких конечных результатов при оптимальном

использовании материальных, трудовых и финансовых ресурсов. Подготавливает исходные данные для составления проектов хозяйственнофинансовой, производственной и коммерческой деятельности (бизнес-планов) предприятия в целях обеспечения роста объемов сбыта продукции и увеличения прибыли.

Директор по безопасности - Организует и возглавляет работу по правовой и организационной защите предприятия. Разрабатывает и руководит мероприятиями по обеспечению безопасности охраняемых объектов. Вырабатывает адекватные угрозе средства защиты и виды режимов охраны.

Специалист по безопасности - Проводит работы по правовой и организационной защите предприятия, по защите коммерческой тайны. Организует работу по распределению дополнительных должностных обязанностей среди персонала с целью обеспечения режима безопасности.

Коммерческий директор - Осуществляет руководство финансовохозяйственной деятельностью предприятия в области материально- технического обеспечения, сбыта продукции (продажи товаров, оказания услуг).Координирует разработку и составление перспективных и текущих планов материально- технического обеспечения и сбыта продукции (продажи товаров, оказания услуг), финансовых планов.

Нач. Абонент, отдела - Руководит работами по заключению договоров с абонентами. Организует расчетно-кассовое обслуживание. Обеспечивает сбор платежей и производство расчетов с абонентами за оказанные жилищно- коммунальные услуги на основе действующих норм и правил, договоров и установленных графиков. Осуществляет надзор за правильностью снятия абонентами показаний измерений и представления ими сведений об объемах полученных услуг.

Специалист центра обслуживания клиентов - Осуществлять работу по поиску потенциальных клиентов-потребителей товаров (услуг) и работу с постоянными клиентами-потребителями товаров (услуг) направленную на максимальное удовлетворение их потребностей и поддержание долгосрочного сотрудничества. Осуществлять проведение анализа аудитории потенциальных клиентов, выявлять потребности клиентов, их уровень и направленность. Разрабатывать методики поиска клиентов, планировать работу с клиентами, составлять схемы обращения к клиентам.

Специалисты - Выполняет работу по комплектованию предприятия кадрами требуемых профессий, специальностей и квалификации. Принимает участие в работе по подбору, отбору, расстановке кадров. Проводит изучение и анализ должностной и профессионально-квалификационной структуры персонала предприятия и его подразделений.

Отдел кадров и безопасности:

Ведение личных дел сотрудников

Проведение собеседований при приёме на работу

Проведение конкурсов на повышение в должности

Осуществление контроля над служащими в вопросах информационной безопасности.

Проведение лекций повышающих уровень знаний по вопросам компьютерной безопасности

Ведение учёта бумажных и не бумажных носителей конфиденциальной информации

Концепция информационной безопасности. Общие положения

Нормативно-правовое обеспечение информационной безопасности

В проекте используются следующие нормативно - правовые документы призванные обеспечить доступность информации, целостность информации, конфиденциальность, безотказность, аутентичность:

РД 5068088 «Методические указания. Автоматизированные системы. Основные положения». Постановление Государственного комитета СССР по стандартам от 28.12.88 № 4622 [1].

ГОСТ 34.1094. «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма».

ГОСТ Р ИСО/МЭК 1540812002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель».

ГОСТ Р ИСО/МЭК 1540822002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности».

ГОСТ Р ИСО/МЭК 1540832002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности».

ГОСТ Р 515832000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении».

ГОСТ Р 5092296. «Защита информации. Основные термины и определения».

ГОСТ Р 5073995. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

ГОСТ Р 5127599. «Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения».

Закон Российской Федерации от 5 марта 1992 г. № 24461 «О безопасности».

Федеральный закон от 27 июля 2006 г.№149ФЗ «Об информации информационных технологиях и о защите и информацию».

Федеральный закон от 27 июля 2006 г. №152ФЗ «О персональных данных».

Федеральный закон от 27 декабря 2002 г. №184ФЗ «О техническом регулировании».

Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об Утверждении Перечня сведений конфиденциального характера».

Постановление Правительства Российской Федерации от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации».

Постановление Правительства Российской Федерации от 26 января 2006 г. №45 «Об организации лицензирования отдельных видов деятельности».

Постановление Правительства Российской Федерации от 15 августа 2006 г. №504 «О лицензировании деятельности по технической защите конфиденциальной информации».

Документы предприятия (организационное обеспечение ИБ) это собственно концепция ИБ, а также приказы, распоряжения, а также планы графики работ по обеспечению ИБ.

Концепция информационной безопасности;

Политика информационной безопасности;

Акт определения Класса безопасности информационной системы;

Модель нарушителя и угроз информационной безопасности.

Документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации. К таким документам относятся:

Сведения о коммерческой тайне;

Положение о персональных данных предприятия;

Положение об использовании сети Интернет на предприятии;

Положение об отделе.

Документы, содержащие положения ИБ, применяемые к процедурам, а именно, к порядку выполнения действий или операций обеспечения ИБ (документы третьего уровня). Таки документы содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции).

Инструкция по антивирусной защите ИСПДн;

Инструкция по модификации ПО и технических средств ИСПДн;

Инструкция по обработке ПДн посетителей;

Инструкция пользователю по действиям в нештатных ситуациях.

На основании нормативно-правовых актов используемых на предприятии и приказа №293 «О реструктуризации системы информационной безопасности» приняты к исполнению следующие распоряжения:

Произвести инвентаризацию и определить группы пользователей корпоративной сети.

Исключить хранение служебной информации на локальных устройствах хранения информации.

Регламентировать доступ отдельных пользователей и групп пользователей к внешним по отношению к корпоративной сети ресурсам.

Не допускать использования внешних аппаратных устройств хранения информации

Регламентировать установку и использование средств электронных коммуникаций.

Производить анализ проходящего трафика на корректность и наличие злонамеренного программного обеспечения.

Произвести аудит имеющегося программного обеспечения на предмет наличия необходимого количества лицензий.

На рабочих местах пользователей технически обеспечить возможность выполнения только, безусловно, необходимых для повседневной работы программ

Осуществлять постоянную антивирусную проверку программного обеспечения.

При разработке собственного программного обеспечения силами соответствующих отделов Предприятия предусматривать обязательную персонифицированную аутентификацию пользователей перед использованием программ, а также подробное протоколирование действий пользователя.

Разработать систему контроля приема на работу и увольнения сотрудников для своевременного создания и удаления данных.

В обязательном порядке довести под роспись до всех сотрудников Предприятия, должностную инструкцию по использованию информационных и технических систем Предприятия.

При обнаружении невыполнения сотрудниками Предприятия требований немедленно выполнять отключение персонального компьютера от корпоративной сети.

Разработать политику информационной безопасности предприятия, руководствуясь существующими отраслевыми стандартами (ISO 17799).

Не реже одного раза в квартал представлять высшему руководству отчет о состоянии информационной безопасности.

Незамедлительно ставить высшее руководство в известность об инцидентах.

2.2 Анализ угроз и рисков

В качестве объектов защиты, рассматриваемых в рамках настоящей концепции, выступают следующие виды информационных ресурсов предприятия: Информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи.

Информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.

Конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.

Исходя из перечисленных свойств, все угрозы информационным ресурсам системы можно отнести к одной из следующих категорий:

Угрозы доступности информации, хранимой и обрабатываемой в ИС и информации, передаваемой по каналам связи;

Угрозы целостности информации, хранимой и обрабатываемой в ИС и информации, передаваемой по каналам связи;

Угрозы конфиденциальности информации хранимой и обрабатываемой в ИС и информации, передаваемой по каналам связи.

Угрозы безопасности информационных ресурсов, с точки зрения реализации, можно разделить на следующие группы:

Угрозы, реализуемые с использованием технических средств;

Угрозы, реализуемые с использованием программных средств;

Угрозы, реализуемые путем использования технических каналов утечки информации.

Угрозы, реализуемые с использованием технических средств

Общее описание

Технические средства системы включают в себя приемопередающее и коммутирующее оборудование, оборудование серверов и рабочих станций, а также линии связи. К данному классу относятся угрозы доступности, целостности и, в некоторых случаях конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи системы, связанные с повреждениями и отказами технических средств ИС, приемопередающего и коммутирующего оборудования и повреждением линий связи.

Виды угроз

Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя: Вывод из строя (умышленный или неумышленный);

Несанкционированное либо ошибочное изменение конфигурации активного сетевого оборудования и приемопередающего оборудования;

Физическое повреждение технических средств, линий связи, сетевого и каналообразующего оборудования;

Перебои в системе электропитания;

Отказы технических средств;

Установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты;

Хищение технических средств и долговременных носителей конфиденциальной информации вследствие отсутствия контроля над их использованием и хранением.

Источники угроз

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, так и природные явления. Среди источников угроз для технических средств можно отметить: стихийные бедствия, пожар, кража оборудования, саботаж, ошибки обслуживающего персонала, терроризм и т. п.

Угрозы, реализуемые с использованием программных средств Общее описание

Это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением НСД к информации, хранимой и обрабатываемой в системе, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО ИС. Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение НСД к информации БД и файловых систем корпоративной сети, данным, хранящимся на АРМ операторов, конфигурации маршрутизаторов и другого активного сетевого оборудования.

Виды угроз

В этом классе рассматриваются следующие основные виды угроз:

Внедрение вирусов и других разрушающих программных воздействий;

Нарушение целостности исполняемых файлов;

Ошибки кода и конфигурации ПО, активного сетевого оборудования;

Анализ и модификация ПО;

Наличие в ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;

Наблюдение за работой системы путем использования программных средств анализа сетевого трафика и утилит ОС, позволяющих получать информацию о системе и о состоянии сетевых соединений;

Использование уязвимостей ПО для взлома программной защиты с целью получения НСД к информационным ресурсам или нарушения их доступности;

Выполнение одним пользователем несанкционированных действий от имени другого пользователя («маскарад»);

Раскрытие, перехват и хищение секретных кодов и паролей;

Чтение остаточной информации в ОП компьютеров и на внешних носителях; Ошибки ввода управляющей информации с АРМ операторов в БД;

Загрузка и установка в системе не лицензионного, непроверенного системного и прикладного ПО;

Блокирование работы пользователей системы программными средствами.

Отдельно следует рассмотреть угрозы, связанные с использованием сетей передачи данных. Данный класс угроз характеризуется получением внутренним или внешним нарушителем сетевого доступа к серверам БД и файловым серверам, маршрутизаторам и активному сетевому оборудованию. Здесь выделяются следующие виды угроз, характерные для КСПД предприятия:

перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика;

замена, вставка, удаление или изменение данных пользователей в информационном потоке;

перехват информации (например, пользовательских паролей), передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации;

статистический анализ сетевого трафика (например, наличие или отсутствие определенной информации, частота передачи, направление, типы данных и т. п.).

Источники угроз

В качестве источников угроз безопасности для программных средств системы выступают как внешние и внутренние нарушители.

Внешние угрозы:

Внедрение вирусов и других разрушающих программных воздействий;

Анализ и модификация/уничтожение установленного программного обеспечения;

Использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированных прав чтения, копирования, модификации или уничтожения информационных ресурсов, а также нарушения их доступности;

Чтение остаточной информации в памяти компьютеров и на внешних носителях;

Блокирование работы пользователей системы программными средствами и т.д.

Внутренние угрозы:

Нечистые на руку сотрудники, стремящиеся подзаработать за счёт компании-работодателя. Такими инсайдерами становятся сотрудники, использующие секретные информационные ресурсы компании для собственной выгоды. Базы данных клиентов, интеллектуальная собственность компании, состав коммерческой тайны - такая информация может использоваться инсайдером в личных интересах, либо продаваться конкурентам.

Внедрённые и завербованные инсайдеры. Самый опасный и самый трудно- идентифицируемый тип внутренних злоумышленников. Как правило, являются звеном преступной цепочки или членом организованной преступной группы. Такие сотрудники имеют достаточно высокий уровень доступа к конфиденциальной информации, ущерб от их действий может стать фатальным для компании.

Угрозы утечки информации по техническим каналам связи

Виды технических каналов утечки информации

При проведении работ с использованием конфиденциальной информации и эксплуатации технических средств ИС возможны следующие каналы утечки или нарушения целостности информации (работоспособности) технических средств:

побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;

акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации; несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;

хищение технических средств с хранящейся в них информацией или отдельных носителей информации;

просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств.

Так как объект не является режимным ( отсутствует информация связанная с государственной тайной), а интерес представляет только информация коммерческая , то для данного предприятия не рассматриваются угрозы связанные с использованием электромагнитных полей, акустических и ультразвуковых частот . А для реализации систем безопасности на инженерно техническом уровне достаточно обеспечить охраннопожарную сигнализацию и системы контроля допуска в специализированных помещениях. Например : в коммутационное отделение или помещение, где расположены серверы.

Источники угроз

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, оснащенные специализированными средствами технической разведки.

Классификация информационных систем по безопасности

Класс FOD: администрирование

-Должность директора - должна определять [назначение: обязательства руководства], включая ясное направление, видимую руководящую поддержку, консультации специалистов по безопасности, поддержку соответствующими ресурсами и интеграцию в процессы продвижения вопросов безопасности.»

Системный администратор - определяет администрирование персонала в контексте обеспечения безопасности автоматизированной системы.

Директор по безопасности - определяет управление инцидентами безопасности как объект администрирования.

Специалист по безопасности - должен определять [назначение: требования безопасности] к действиям по восстановлению нормального функционирования после нарушений безопасности или отказов системы.»

-Системный администратор - должен определять [назначение: требования безопасности] к способности поставщика сетевых услуг оказывать их безопасным образом и оговаривать право организации на проведение аудита.»

Класс FOS: системы ИТ

Главный инженер - должен определять [назначение: процедуры] по управлению изменениями программного обеспечения с целью гарантировать установку самых свежих одобренных корректирующих заплат и прикладных коррекций для всего авторизованного ПО.»

Системный администратор - должен определять [назначение: обязанности] по защите систем от вредоносного ПО, обучению использовать соответствующие защитные средства, докладывать об атаках вредоносного ПО и нейтрализовывать их последствия.

Системный администратор – должен предоставлять [назначение: регуляторы], чтобы все криптографические ключи, ассоциированные с

зашифрованными архивами или цифровыми подписями, были защищены и при необходимости доступны авторизованным лицам.

Специалист по безопасности - должен предоставлять [назначение:

регуляторы] для защиты программного обеспечения, данных и другой информации, требующей высокого уровня целостности, сделанных доступными на общедоступных системах.

Системный администратор – должен предоставлять [назначение: регуляторы] для ограничения доступа персонала ИТТ поддержки к библиотекам исходных текстов программ.

Системный администратор - должен предоставлять [назначение: меры] для увязывания прав сетевого доступа с определенными датами и временем суток.

Специалист по безопасности - должен определять [назначение: требования безопасности] к организации резервного копирования на отдельных системах, чтобы гарантировать выполнение требований планов непрерывности производственной деятельности.

Класс FOA: пользовательские активы

Системный администратор - должен определять [назначение: правила] не использовать эксплуатационные базы данных, содержащие персональную информацию, для целей тестирования.

Класс FOB: производственная деятельность

Отдел кадров - должен определять [назначение: роли и обязанности] и сведения для кандидатов на работу перед их зачислением.

Системный администратор - должен определять [назначение: правила] специального доступа к активам автоматизированной системы во время нарушений безопасности.

Класс FOP: инфраструктура и оборудование

Инженер активного оборудования - должен обеспечивать [назначение: меры] защиты от рисков, связанных с использованием мобильных вычислительных устройств.

-Инженер активного оборудования - должен определять [назначение: правила] хранения резервных оборудования и носителей на безопасном расстоянии от основной производственной площадки, чтобы избежать их повреждения в случае аварии на упомянутой площадке.»

Системный администратор - должен определять [назначение: требования безопасности] к использованию инфраструктуры обработки информации.»

Класс FOT: сторонние организации

Специалист по безопасности - должен определять [назначение: требования безопасности] к лицензионным соглашениям, правам собственности на программный код и правам интеллектуальной собственности, сертификацию качества и правильности выполненной работы, порядок урегулирования ситуации в случае провала сторонней организации, права, доступа для проведения аудита качества и правильности сделанной работы, контрактные требования к качеству кода и тестирования перед установкой с целью выявить троянский код, если сторонней организации поручается разработка программного обеспечения.»

- Системный администратор - должен определять [назначение: правила] не предоставлять сторонним организациям доступ к информации организации, если только не установлены соответствующие регуляторы и не подписано соглашение, определяющее границы и условия подключения или доступа и порядок выполнения работ.»