Файл: Описание системы безопасности Характеристика деятельности организации.pdf

Содержание
Введение ................................................................................................................... 4
Глава 1. Описание системы безопасности .............................................................. 6 1.1. Характеристика деятельности организации ............................................... 6 1.2. Анализ информационных ресурсов ............................................................ 6 1.3. Анализ информационной среды организации .......................................... 11 1.4. Модель угроз .............................................................................................. 12 1.5. Класс защищенности информационной системы .................................... 17
Глава 2. Правовые основы системы безопасности ............................................... 20 2.1. Законодательные меры защиты ................................................................. 20 2.2. Политика безопасности организации ООО «ВЕГАС» ............................. 22
Глава 3. Выбор оборудования для построения системы защиты информации .. 27 3.1. Обоснование физических средств для построения системы защиты информации ......................................................................................................... 27 3.2. Обоснование программно-аппаратных средств для построения системы защиты информации ........................................................................................... 27
Глава 4. Выбор программного обеспечения для построенной системы защиты информации ............................................................................................................ 30
Глава 5. Составление должностной инструкции .................................................. 32
Глава 6. Построение схемы разработанной системы защиты ............................. 34
Глава 7. Экономическое обоснование ................................................................... 36
Заключение ............................................................................................................. 38
Библиографический список ................................................................................... 39
Приложение 1 ......................................................................................................... 42
Изм
Лист
№ докум.
Подпись Дата
Лист
3
КП – 09.03.02 – 11 – 15 – ПЗ
Разраб.
Лапаев Е.А.
Провер.
Реценз.
Косолапова Е. В.
Н. Контр.
Утверд.
«Разработка
системы
защиты
информации ООО «ВЕГАС» (52 ПК,
используются серверные решения для
защиты информации)»
Лит.
Листов
42
НГИЭУ, 18ИО

Изм. Лист
№ докум.
Подпись Дата
Лист
4
КП – 09.03.02 – 11 – 15 – ПЗ
Введение
Похищение ценных бумаг всегда было одной из излюбленных задач злоумышленников. Для их защиты создавались сейфы, специальные помещения и на данный момент – вероятность похищения физических копий значительно снизилась. Но прогресс не стоит на месте, теперь данные хранятся в электронном виде и все больше систем стараются обеспечить защиту информационной безопасности своей организации. Делается это из-за того, что появляется большое количество злоумышленников, которые хотят получить какую-то выгоду с электронной информации той или иной организации. Злоумышленники не стоят на месте, они развиваются, создают новые средства для обхода защиты, всеми способами пытаются заполучить ценную информацию. На основе этого не стоят на месте и те, кто хочет эту информацию защитить, они также развиваются, создают все новые средства защиты для систем, средства для обнаружения угроз, направленных на информацию.
Актуальность данной работы обуславливается возрастающей угрозой конфиденциальности информации организации в рыночных условиях, особенно при недобросовестной конкуренции. Существует огромное количество возможных утечек информации и угроз, которые реализуются скрытно.
Цель проекта заключается в разработке системы защиты информации в организации ООО «ВЕГАС».
Задачи проекта:

Провести анализ сферы деятельности инфраструктуры ООО
«ВЕГАС»;

Разработать модель угроз информационной безопасности ООО
«ВЕГАС»;

Проанализировать нормативно-правовую базу в области защиты информации и разработать проект политики информационной безопасности;

Обосновать выбор оборудования и программных средств защиты информации;

Изм. Лист
№ докум.
Подпись Дата
Лист
5
КП – 09.03.02 – 11 – 15 – ПЗ

Обосновать выбор программного обеспечения для построенной системы защиты информации;

Разработать проект должностной инструкции;

Построить схему разработанной системы защиты информации в
ООО «ВЕГАС»;

Выполнить расчет техническо-экономических показателей проекта.
Объектом исследования данной работы является информационная среда организации ООО «ВЕГАС».
Предметом исследования является методы и средства защиты корпоративной информации ООО «ВЕГАС».
Практическая значимость данной работы обусловлена тем, что на основании анализа теоретических аспектов построения систем обеспечения информационной безопасности, классификации угроз и методов защиты будет разработана система информационной безопасности и защиты информации в организации ООО «ВЕГАС».

Изм. Лист
№ докум.
Подпись Дата
Лист
6
КП – 09.03.02 – 11 – 15 – ПЗ
Глава 1. Описание системы безопасности
1.1. Характеристика деятельности организации
Полное наименование организации: Общество с ограниченной ответственностью «ВЕГАС».
Юридический адрес: Нижегородская область, Княгининский район, улица
Октябрьская, 22а.
Область деятельности ООО «ВЕГАС» - рассчетно-кассовое обслуживание
(РКО) индивидуальных предприятий.
Основные функции организации:

Мобилизация временно свободных денежных средств населения и предприятий;

Размещение привлеченных средств в экономику и в операции с ценными бумагами;

Кредитно-расчетное обслуживание предприятий и организаций;

Кредитование потребительских нужд.
1.2. Анализ информационных ресурсов
Организационная структура организации ООО «ВЕГАС» представлена на рисунке 1.
Рисунок 1 – Организационная структура организации

Изм. Лист
№ докум.
Подпись Дата
Лист
7
КП – 09.03.02 – 11 – 15 – ПЗ
Функции сотрудников:
Управляющий отделением банка:

Общее руководство отделением банка;

Обеспечение законного и целесообразного использования денежных средств и имущества отделения банка, распорядителем которых он является;

Обеспечение сохранение коммерческой тайны банка.
Первый заместитель:

Руководство определенными отделами банка;

Замена, в особых случаях, управляющего отделением банка.
Второй заместитель:

Руководство определенными отделами банка;

Замена, в особых случаях, первого заместителя.
Начальник планово-экономического отдела:

Осуществление руководства работой по экономическому планированию на предприятии;

Руководство сотрудниками отдела;

Обеспечение доведения плановых заданий до подразделений предприятия.
Старший экономист:

Слежение за правильностью начисления оплаты труда;

Слежение за соблюдением законодательства о труде, выполнении норм выработки, условий труда.
Финансовый аналитик:

Анализ финансово-хозяйственной деятельности банка;

Бизнес-планирование;

Оценка финансовых рисков, разработка программ по управлению финансовыми рисками банка, по оптимизации финансирования;

Подготовка управленческой отчетности.

Изм. Лист
№ докум.
Подпись Дата
Лист
8
КП – 09.03.02 – 11 – 15 – ПЗ
Начальник юридического отдела:

Обеспечивает соблюдение законности в деятельности предприятия и защиту его правовых интересов.
Заместитель начальника юридического отдела:

Осуществляет правовую экспертизу проектов приказов, инструкций, положений, стандартов и других актов правового характера, подготавливаемых на предприятии;

Руководство сотрудниками отдела.
Ведущий юрисконсульт:

Правовое обеспечение работы с проблемными активами юридических лиц;

Судебная защита интересов банка.
Юрист-претензионист:

Подготовка, при участии заинтересованных подразделений, материалов о растратах, хищениях, недостачах и прочих правонарушениях с целью передачи их в суды специальной и общей юрисдикции и следственные органы.
Начальник отдела безопасности и защиты информации:

Обеспечивает исполнений решений руководства банка по сохранению коммерческой тайны, банковской тайны и соблюдение надлежащего режима конфиденциальности в деятельности отдела;

Руководство сотрудниками отдела.
Специалист по защите информации:

Разработка нормативной документации;

Работа с техническими средствами защиты (межсетевые экраны, антивирусное ПО и т.д.);

Расследование инцидентов информационной безопасности.

Изм. Лист
№ докум.
Подпись Дата
Лист
9
КП – 09.03.02 – 11 – 15 – ПЗ
Таблица 1 – Структурная модель защищаемой информации
Наименование элемента информации
Категория информации
Источник информации
Вид носителя информации
Место нахождения информации
Финансовые документы
Коммерческая тайна
Приходно- расходные ордеры, ведомости, счета
Бумажные и электронные носители
Сейф с документами в каб. 1
Электронный вариант находится в облаке компании
Данные о клиентах
Персональные данные
Паспорта клиентов, счета, карточки
Бумажные и электронные носители
Шкаф с документами в каб. 2
Электронный вариант находится в облаке компании
Личные данные сотрудников
Персональные данные
Данные сотрудников, трудовые книжки, трудовые договоры
Бумажные и электронные носители
Шкаф с документами в каб. 2
Электронный вариант находится в облаке компании
Данные об организации
Служебная тайна
Документация о деятельности организации, о составе организации
Бумажные и электронные носители
Сейф с документами в каб. 5
Электронный вариант находится в облаке компании
Приказы в организации
Служебная тайна
Документация о проведенных финансовых операциях
Бумажные и электронные носители
Сейф с документами в каб. 5
Электронный вариант находится в облаке компании

Изм. Лист
№ докум.
Подпись Дата
Лист
10
КП – 09.03.02 – 11 – 15 – ПЗ
План объекта организации и зонирование представлены на рисунке 2.
Рисунок 2 – План объекта
На рисунке 2 представлен план объекта организации с учетом защищаемых зон. В ту или иную зону можно попасть определенными способами.
В зону 2 можно попасть, используя пропуск, который необходимо предъявить на пункте “Охрана”, либо в сопровождении сотрудника банка.
В зону 3 можно попасть только в сопровождении сотрудника банка.
Для доступа в зону 4 нужно, либо быть сотрудником банка, либо иметь одноразовый допуск, подписанный либо заместителем управляющего отделением банка, либо самим управляющим.
Доступ в зону 6 имеют только управляющий отделением банка и его заместители.
На основе описанных зон составим таблицу 2.
Таблица 2 – Описание контролируемых зон объекта по уровню доступа
Категор ия (зона)
Наименование зоны
Функциональн ое назначение зоны объекта
Условия доступа сотруднико в
Условие доступа посетителей
Наличи е охраны
II
Наблюдаемая
Производствен ная зона
Свободный
Свободный
Есть
III
Регистрационная Производствен ная территория
Свободный
С сопровождающим
Есть
IV
Режимная
Производствен ная территория
По пропуску
Одноразовый пропуск
Усилен ная охрана
VI
Высшей защиты
Хранение важной информации
Нет доступа
Нет доступа
Усилен ная охрана

Изм. Лист
№ докум.
Подпись Дата
Лист
11
КП – 09.03.02 – 11 – 15 – ПЗ
1.3. Анализ информационной среды организации
Всего в организации 52 персональных компьютера. Используются серверные решения для защиты информации.
Информация хранится в электронном виде на сервере, который расположен в отделе по управлению безопасностью и защитой информации.
Также информация хранится в бумажном виде в кабинетах юридического отдела, планово-экономического отдела и в кабинете первого заместителя управляющего отделением банка.
Доступ к данным видам информации имеют работники отделения банка.
Используется локальная сеть, в которой и размещается информация. Для получения доступа к бумажным видам информации нужно обратиться к начальнику отделения, в котором эта информация находится.
Из-за того, что создана локальная сеть, злоумышленник может попасть в нее просто подключив свое устройство в сеть с помощью кабеля. Чтобы пресечь действия злоумышленников, используется программа Total Network Monitor, которая постоянно наблюдает за работой локальной сети, отдельных компьютеров. Если будет какая-либо утечка трафика, то с помощью этой программы можно будет легко это заметить.
Также у персональных компьютеров сотрудников имеется доступ к сети интернет. Для защиты ПК от вирусов и нежелательных проникновений в систему используется антивирусное ПО 360 Total Security.
Для обеспечения деятельности банка используется программное обеспечение – 1С Бухгалтерия.
1С Бухгалтерия – система, предназначенная для автоматизации бухгалтерского учета и налогового учета и подготовки регламентированной отчетности для различных типов организаций бизнеса и систем налогообложения.
Для доступа к системе используются средства простой аутентификации.
При устройстве на работу каждому сотруднику, который должен иметь доступ к информационной среде организации, выдается личный логин и пароль.

Изм. Лист
№ докум.
Подпись Дата
Лист
12
КП – 09.03.02 – 11 – 15 – ПЗ
Для фильтрации сообщений, приходящих на электронную почту, используется веб-служба HushMail.
HushMail является веб-службой электронной почты. Осуществляет PGP- шифрование сообщения. При пересылке другому пользователю HushMail письма данные не покидают защищённый сервер, что по мнению создателей должно сделать невозможным их перехват.
PGP – библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске.
1.4. Модель угроз
Разделяют две категории нарушителей и его тактические методы: внешние и внутренние.
Внешние нарушители – это лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы.

Клиенты (представители сторонних организаций);

Посетители;

Лица, случайно или умышленно нарушившие пропускной режим.
Внутренние нарушители – это физические лица, имеющие право пребывания на территории контролируемой зоны.

Пользователи и операторы системы, в том числе руководители различных уровней;

Администраторы информационной безопасности;

Вспомогательный персонал и временные работники.
Типовая модель нарушителя представлена в таблице 3.

Изм. Лист
№ докум.
Подпись Дата
Лист
13
КП – 09.03.02 – 11 – 15 – ПЗ
Таблица 3 – Типовая модель нарушителя
Вид
Подготовленность нарушителя
Категория
Психофизическая
Техническая
Осведомлённость
B
C
H
B
C
H
B
C
H
В
нутрен ни й
Сотрудники, имеющие доступ к ценным бумагам
+
+
+
2
Сотрудники, занимающиеся безопасностью
+
+
+
1
Сотрудники, занимающиеся охраной предприятия
+
+
+
2
Сотрудники, работающие с данными о клиентах
+
+
+
3
В
не ш
ни й
Конкуренты
+
+
+
2
Недовольные клиенты
+
+
+
3
Бывшие сотрудники
+
+
+
2
Компании - партнёры
+
+
+
2
Посетитель
+
+
+
4
Далее, в таблице 4, приведены основные угрозы физической безопасности для организации.
Таблица 4 – Основные угрозы физической безопасности
Угроза
Тип источника угрозы
Кража важных документов
Антропогенный
Уничтожение информации с помощью вируса
Техногенный
Пожар
Стихийный
Похищение данных клиентов (в электронном виде)
Техногенный
Отказы и сбои в работе технических средств охраны
Техногенный