Файл: Инструкция по организации охраны и пропускного режима.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.11.2023
Просмотров: 9
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
В процессе цифровизации экономики и государственных институтов общество сталкивается с новыми вызовами и угрозами в области информационной безопасности, не исключением являются объекты топливно-энергетического комплекса Российской Федерации.
С целью соблюдения организационно-правовых норм, в части защиты информации на объектах топливно-энергетического комплекса необходимо разработать перечень организационно-распорядительных и эксплуатационно-распорядительных документов, которые в свою очередь необходимо периодически перерабатывать, в связи с внесениями правок в законодательство Российской Федерации, в части обеспечения информационной безопасности, исходя из чего, в соответствии с вышеуказанным определяется актуальность исследования курсового проекта.
Целью курсового проекта является: реализация методики по разработке организационно-распорядительных и эксплуатационно-распорядительных документов, в части информационной безопасности для объектов ООО «Газпром переработка Благовещенск».
Для достижения цели курсового проекта необходимо выполнить следующие задачи:
- проанализировать организационно-распорядительные и эксплуатационно-распорядительные документы, в части информационной безопасности, в соответствии с законодательством Российской Федерации;
- разработать методику для нижеследующего перечня организационно-распорядительных и эксплуатационно-распорядительных документов, в части информационной безопасности для объектов ООО «Газпром переработка Благовещенск»:
- перечень сведений конфиденциального характера;
- политика информационной безопасности;
- положение о коммерческой тайне;
- инструкция по организации охраны и пропускного режима;
- частная модель угроз информационной безопасности;
- модель нарушителя.
Методика разработки организационно-правовых документов будет согласована в области организационной, методической и технической совместимости. Для методики разработки документации будут использованы стандарты менеджмента информационной безопасности серии ISO 27000.
Объектом исследования настоящего курсового проекта является абстрактная, придуманная, в учебных целях организация – общество с ограниченной ответственностью «Газпром Газ» (далее – ООО «Газпром переработка Благовещенск»).
Предмет исследования – методика разработки организационно-распорядительных и эксплуатационно-распорядительных документов, в части информационной безопасности для нужд объектов ООО «Газпром переработка Благовещенск».
1 Анализ организационно-распорядительных и эксплуатационно-распорядительных документов, в части информационной безопасности, в соответствии с законодательством Российской Федерации
Состав внутренних документов по обеспечению информационной безопасности (далее – ИБ) можно разделить на четыре основные группы в виде иерархической структуры (см. рис. 1.1).
Рисунок 1.1 – Структура внутренней документации по обеспечению ИБ в организации
-
Документы, содержащие положения корпоративной политики ИБ организации (документы первого уровня), определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом. К таким документам относятся:
- концепция информационной безопасности;
- политика информационной безопасности;
- границы действия системы обеспечения информационной безопасности (включая перечень сведений конфиденциального характера);
- модель нарушителя и угроз информационной безопасности.
-
Документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации. К таким документам относятся:
- положение о коммерческой тайне;
- политика управления рисками;
- политика корпоративной сети;
- политика системы контроля и управления доступом и т.д.
-
Документы, содержащие положения ИБ, применяемые к процедурам, а именно, к порядку выполнения действий или операций обеспечения ИБ (документы третьего уровня). Такие документы содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции). -
Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации.
В данном курсовом проекте множество часть документов будет агрегировано, а часть не будет рассмотрена подробно. В качестве объекта для методики разработки будут использоваться документы первого, второго и третьего уровня, а именно:
- перечень сведений конфиденциального характера (1 уровень);
- политика информационной безопасности (1 уровень);
- частная модель угроз информационной безопасности (1 уровень);
- положение о коммерческой тайне (2 уровень);
- инструкция по организации охраны и пропускного режима
(3 уровень).
2 Реализация методики по разработке организационно-распорядительных и эксплуатационно-распорядительных документов, в части информационной безопасности для объектов ООО «Газпром переработка Благовещенск»
2.1 Метод разработки перечня сведений конфиденциального характера
В соответствии с ГОСТ Р ИСО 27001-2006 для обеспечения уверенности в том, что информация защищена на надлежащем уровне её необходимо классифицировать исходя из правовых требований, её конфиденциальности, а также ценности и критичности для организации. В соответствии с принятой в организации системой классификации должна быть разработана и реализована совокупность процедур маркировки и обработки информации1.
В организации ООО «Газпром переработка Благовещенск» информация классифицируется по требованиям СТР-К ФСТЭК, имеющим для данной организации рекомендательный характер. Основными классификационными признаками служат:
-
принадлежность информации к подразделению организации; -
содержание информации в определённых базах данных или на определённых бумажных носителях; -
по степени и природе конфиденциальности; -
по сотрудникам, имеющим доступ к информации; -
по организациям или физическим лицам, имеющим доступ к конфиденциальной информации, но не работающих в ООО «Газпром переработка Благовещенск».
Таким образом, для каждого отдела организации можно выделить информацию, с которой он работает:
- бухгалтерия – отдел, выполняющий функции финансового учёта и аудита, ведения бухгалтерской и налоговой отчётности, а также все функции по финансированию и управлению финансами организации. В бухгалтерии содержатся сведения о бухгалтерском балансе, налоговые и бухгалтерские отчётности, сведения о финансовом состоянии организации, её счёта;
- юридический отдел – ядро бизнес-процессов организации, так как организация занимается коллекторской деятельностью, юридический отдел выполняет большую часть функций по обеспечению основных процессов деятельности организации, занимается стратегическим и тактическим планированием, принимает участие во всех важных для предприятия событиях. Для данного отдела доступна вся информация за исключением бухгалтерской отчётности и информации о реализации СОИБ;
- отдел кадров – содержит только сведения о сотрудниках организации, основная функция отдела – управление человеческими ресурсами в организации;
- управление корпоративной защиты – ввиду своей деятельности допущена практически ко всем сведениям в организации, за некоторым незначительным исключением. Управление корпоративной защиты в ООО «Газпром переработка Благовещенск», помимо своей основной деятельности, включает в себя отдел информационной безопасности, отдел экономической безопасности, отдел инженерно-технических средств охраны, бюро пропусков и т.д.;
- генеральный директор и его заместители имеют допуск ко всей конфиденциальной информации, так как они являются учредителями ООО «Газпром переработка Благовещенск».
По перечню сведений конфиденциального характера возможно определить какой сотрудник допущен к определённому типу информации, каким грифом обладает эта информация и в какой базе данных она находится. В соответствии с ГОСТ Р ИСО 27001-2006, перечень информационных активов, подлежащих защите, является частью корпоративной политики информационной безопасности, т.е. стратегическим документом первого уровня (см. рис. 1.1).
В организации ООО «Газпром переработка Благовещенск» обрабатывается огромное количество персональных данных, как клиентов, так и сотрудников организации, всего 10 000 субъектов ПД. Для выполнения требований ФСТЭК, и упрощения построения системы защиты ИСПДн, доступ к ПД в перечне сведений конфиденциального характера разбит на 3 группы:
-
Доступ к персональным данным 3 и 4 категории сотрудников организации; -
Доступ к персональным данным 3 и 4 категории клиентов организации; -
Доступ к персональным данным всех категорий, любых субъектов.
Такое разделение позволяет ограничить доступ к персональным данным 2 категории сотрудников служб вспомогательных процессов, таких как служба отдела кадров и т.д.
Маркировка информации по типам необходима для соблюдения требований стандарта ГОСТ Р ИСО 27001.
В ООО «Газпром переработка Благовещенск» вся защищаемая информация разделяется на два уровня конфиденциальности:
-
Конфиденциально – к такой информации относится вся защищаемая информация, которая не имеет гриф строго конфиденциально; -
Строго конфиденциально – такая информация включает:
- персональные данные клиентов и сотрудников организации 2 категории;
- сведения о концепции развития предприятия, стратегические планы развития, функциональные, маркетинговые, финансовые и логистические модели ведения бизнеса;
- тактические планы развития, информация о текущих и плановых контрактах;
- сведения, раскрывающие систему, средства защиты информации, порядок обработки и передачи информационных активов.
1 см.: ГОСТ Р ИСО/МЭК 27001-2006