Файл: Описание системы безопасности Характеристика деятельности организации.pdf
Добавлен: 09.01.2024
Просмотров: 22400
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Изм. Лист
№ докум.
Подпись Дата
Лист
14
КП – 09.03.02 – 11 – 15 – ПЗ
Угроза – Кража важных документов
Угроза осуществляется путем проникновения внешних и внутренних нарушителей в защищенные места здания, где расположены важные документы о деятельности организации.
В здании банка ведется круглосуточное наблюдение за защищенными помещениями. Доступ к этим помещениям производится только по специальным пропускам.
Вероятность реализации угрозы – низкая вероятность.
???????? = (????1 + ????2)/20
????1 = 0 (высокая степень исходной защищенности)
????2 = 2 (низкая вероятность угрозы)
???????? = (0 + 2)/20 = 0,1 0 < 0,1 < 0,3 – возможность реализации угрозы низкая.
Угроза – Уничтожение информации с помощью вируса
Угроза осуществляется путем заражения информационной системы банка вирусом, который уничтожит информацию.
В банке работает отдел по безопасности и защите информации, который обеспечивает защиту от проникновения вируса.
Вероятность реализации угрозы – низкая вероятность.
???????? = (????1 + ????2)/20
????1 = 5 (средняя степень исходной защищенности)
????2 = 2 (низкая вероятность угрозы)
???????? = (5 + 2)/20 = 0,35 0,3 < 0,35 < 0,6 – возможность реализации угрозы средняя.
Угроза – Пожар
Угроза осуществляется вследствие несоблюдения пожарной безопасности.
В здании банка установлена пожарная сигнализация, есть план выхода из здания в случае пожара и персонал проинструктирован о действиях в случае возникновения пожара.
Вероятность реализации угрозы – маловероятна.
Изм. Лист
№ докум.
Подпись Дата
Лист
15
КП – 09.03.02 – 11 – 15 – ПЗ
???????? = (????1 + ????2)/20
????1 = 0 (высокая степень исходной защищенности)
????2 = 0 (маловероятная угроза)
???????? = (0 + 0)/20 = 0
Возможность реализации угрозы низкая.
Угроза - Похищение данных клиентов (в электронном виде)
Угроза осуществляется путем проникновения злоумышленника в информационную среду и получение информации оттуда.
В отделе по безопасности и защите информации происходит постоянный мониторинг информационной среды.
Вероятность реализации угрозы – низкая вероятность.
???????? = (????1 + ????2)/20
????1 = 5 (средняя степень исходной защищенности)
????2 = 2 (низкая вероятность угрозы)
???????? = (5 + 2)/20 = 0,35 0,3 < 0,35 < 0,6 – возможность реализации угрозы средняя.
Угроза - Отказы и сбои в работе технических средств охраны
Угроза происходит путем блокировки каналов связи охраны с помощью технических средств.
Средства охраны проходят постоянный осмотр.
Вероятность реализации угрозы - низкая вероятность.
???????? = (????1 + ????2)/20
????1 = 10 (низкая степень исходной защищенности)
????2 = 2 (низкая вероятность угрозы)
???????? = (10 + 2)/20 = 0,6
Возможность реализации угрозы высокая.
На основе проверки на актуальность угроз была составлена таблица 5.
Изм. Лист
№ докум.
Подпись Дата
Лист
16
КП – 09.03.02 – 11 – 15 – ПЗ
Таблица 5 – Модель угроз защищаемого объекта
Угроза
Вероятность реализации угрозы
Возможность реализации угрозы
Показатель опасности угрозы
Актуальность угрозы
Кража важных документов
Низкая вероятность (2)
0,1
(низкая)
Средняя опасность
Неактуальная
Уничтожение информации с помощью вируса
Низкая вероятность (2)
0,35 (средняя)
Средняя опасность
Актуальная
Пожар
Маловероятна
(0)
0
(низкая)
Высокая опасность
Неактуальная
Похищение данных клиентов (в электронном виде)
Низкая вероятность (2)
0,35 (средняя)
Высокая опасность
Актуальная
Отказы и сбои в работе технических средств охраны
Низкая вероятность (2)
0,6
(высокая)
Средняя опасность
Актуальная
Рассматривая модель угроз защищаемого объекта, можно выделить следующие актуальные угрозы безопасности:
Уничтожение информации с помощью вируса;
Похищение данных клиентов (в электронном виде);
Отказы и сбои в работе технических средств охраны.
Исходя из угроз безопасности в организации необходимо внедрить межсетевой экран, чтобы решить такие актуальные угрозы как: уничтожение информации с помощью вируса и похищение данных клиента (в электронном виде). Межсетевой экран обеспечить защиту сети от внешних воздействий.
Также для угрозы похищение данных клиентов можно внедрить DLP- систему, чтобы контролировать утечки и в случае чего быстро устранить причину утечки.
Отказы и сбои в работе технических средств охраны можно решить с помощью установки резервных источников питания.
Изм. Лист
№ докум.
Подпись Дата
Лист
17
КП – 09.03.02 – 11 – 15 – ПЗ
1.5. Класс защищенности информационной системы
Основной информационной системой в организации является 1С
Бухгалтерия, она относится к распределенным, файл-серверным ИС.
По характеру обработки данных ИС относится к информационно- справочным, или информационно-поисковым ИС, в которых нет сложных алгоритмов обработки данных, а целью системы является поиск и выдача информации в удобном виде.
В ИС 1С Бухгалтерия, работа происходит с конфиденциальными данными, поэтому класс защиты должен быть максимальным.
Класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (в редакции
ФСТЭК России по 15.02.2017 № 27).
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности, целостности или доступности информации.
Различают такие степени ущерба:
Высокая степень ущерба – существенные негативные последствия;
Средняя степень ущерба – возможны умеренные негативные последствия;
Низкая степень ущерба – возможны незначительные негативные последствия.
Также различают уровни значимости информации:
Высокий уровень значимости (УЗ1) – высокая степень ущерба;
Средний уровень значимости (УЗ2) – средняя степень ущерба;
Низкий уровень значимости (УЗ3) – низкая степень ущерба.
На основе данных определены уровни значимости информации, циркулирующей в информационной системе, таблица 6.
Изм. Лист
№ докум.
Подпись Дата
Лист
18
КП – 09.03.02 – 11 – 15 – ПЗ
Таблица 6 – Уровни значимости информации в системе
Объект информации
Категория информацио нного ресурса
Конфиденциаль ность степень ущерба
Целостност ь, степень ущерба
Доступност ь, степень ущерба
Уровень значимости информаци и
Бухгалтерская отчетность
Коммерческ ая тайна
УЗ1
УЗ2
УЗ3
УЗ1
Сведения об
IP адресах вычислительн ой техники
Производств енная тайна
УЗ2
УЗ2
УЗ3
УЗ2
Организация ООО «ВЕГАС» имеет региональный масштаб системы.
Так как деятельность организации связана с финансами, то уровень значимости будет самый высокий, то есть УЗ1. Исходя из этого можно составить таблицу 7.
Таблица 7 – Определение класса защищенности
Уровень значимости информации в ИС
Масштаб системы
Класс защищенности ИС
УЗ1
Региональный
К1
Класс защищенности (К1) – это информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.
В соответствии с данным классом должна быть обеспечена защита от угроз информации, связанных с действиями нарушителей с высоким потенциалом.
Также в информационной системе должны применятся средства защиты не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса.
На основе класса защищенности строится таблица 8.
Изм. Лист
№ докум.
Подпись Дата
Лист
19
КП – 09.03.02 – 11 – 15 – ПЗ
Таблица 8 – Требования к средствам защиты информации
Средства защиты
Применяется в организации
Необходимо внедрить
Система аутентификации
+
-
Антивирусная защита
+
-
Межсетевые экраны
-
+
Средства фильтрации электронной почты
+
-
Средства криптографической защиты
-
+
Средства мониторинга работоспособности инфраструктуры
-
+
Средства борьбы с утечками информации
-
+
Изм. Лист
№ докум.
Подпись Дата
Лист
20
КП – 09.03.02 – 11 – 15 – ПЗ
Глава 2. Правовые основы системы безопасности
2.1. Законодательные меры защиты
Правовые основы безопасности предприятия определяют соответствующие положения Конституции Российской Федерации, Закон “О безопасности” и другие нормативные акты.
Защита обеспечивается на основе норм Уголовного и Уголовно- процессуального кодексов, законов Российской Федерации.
Для решения задач обеспечения безопасности предпринимательской деятельности также стоит опираться на следующие правовые нормативные акты:
Постановление Правительства РФСФР от 05.12.91 №35 “О перечне сведений, которые не могут составлять коммерческую тайну”;
“Положение о сертификации средств защиты информации”, утвержденное постановлением Правительства Российской Федерации от
26.06.95 №608 “О сертификации средств защиты информации”.
Далее, на рисунке 3, представлены угрозы правовой безопасности предприятия.
Рисунок 3 – Угрозы правовой безопасности предприятия
Изм. Лист
№ докум.
Подпись Дата
Лист
21
КП – 09.03.02 – 11 – 15 – ПЗ
ООО «ВЕГАС» представляется собой банк, для которого существуют свои положения в Конституции Российской Федерации.
Правовые основы безопасности банка определяют соответствующие положения, Закон “О безопасности”, федеральные законы “О Центральном банке
Российской Федерации”, “О банках и банковской деятельности”.
Обеспечение информационной безопасности в банковской системе регулируется законами Российской Федерации: “О банках и банковской деятельности”, “О государственной тайне”, “Об информации, информатизации и защите информации”.
Часть нормативных актов, регулирующих деятельность предприятия ООО
«ВЕГАС»:
Федеральный закон от 10 июля 2002 г. №86-ФЗ «О центральном банке Российской Федерации (банке России)»;
Федеральный закон от 2 декабря 1990 г. №395-1 «О банках и банковской деятельности»;
Федеральный закон №127-ФЗ от 26.10.2002 г. «О несостоятельности
(банкротстве)»;
Гражданский кодекс Российской Федерации;
Акты Банка России;
Статья 75 Конституции Российской Федерации;
Федеральный закон «О страховании вкладов физических лиц в банках Российской Федерации» от 23 декабря 2003 года №177-ФЗ;
Также используются нормативные документы, которые направлены на обеспечение информационной безопасности в предприятии:
ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»;
РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности»;
Изм. Лист
№ докум.
Подпись Дата
Лист
22
КП – 09.03.02 – 11 – 15 – ПЗ
РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности»;
СТО
БР
ИББС-1.0-2014
«Обеспечение информационной безопасности организации банковской системы РФ. Общие положения».
Типовые примеры
ГОСТов, направленных на обеспечение информационной безопасности данных информационной системы, представленные в организации:
ГОСТ Р ИСО/МЭК 15408-1-2008 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Часть 1»;
ГОСТ Р 50739-9 «Средства вычислительной техники. Защита от несанкционированного доступа к информации.
Общие технические требования»;
ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство».
Внутренним документом организации, который регламентирует обеспечение информационной безопасности ООО «ВЕГАС», является политика информационной безопасности.
2.2. Политика безопасности организации ООО «ВЕГАС»
Политика безопасности – это совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизация рисков ИБ.
Изм. Лист
№ докум.
Подпись Дата
Лист
23
КП – 09.03.02 – 11 – 15 – ПЗ
Разрабатываемая политика ИБ в ООО «ВЕГАС», должна включать в себя средства по своевременному обнаружению и устранению любых угроз, связанных с информационной безопасностью. Политика ИБ должна быть разработана на основании законодательства РФ и нормативно-правовых актов.
В рамках ИБ необходимо реализовать способы по предотвращению угроз, связанных с ИБ. Также необходимо выявить меры ответственности: уголовная, дисциплинарная и другие.
Содержание политики
Для организации и функционирования системы ИБ в ООО «ВЕГАС» функции обеспечения ИБ возложены на отдел по управлению безопасностью и защитой информации. Данное подразделение должно решать следующие задачи:
Проведение в жизнь политики ИБ;
Определение требований к защите информации;
Контроль выполнения требований по защите информации;
Своевременное обновление политики ИБ;
Оказание помощи сотрудникам других отделов в области защиты информации;
Выбор и внедрение средств защиты информации;
Обеспечение необходимого уровня отказоустойчивости ИТ- сервисов и доступности данных для подразделений.
Физическая безопасность
Защищенные области должны обеспечиваться соответствующими средствами контроля доступа.
Запрещается прием посетителей, когда проводится работа с информацией, которая представляет высокую ценность для организации.
Для защиты бумажных носителей информации, устанавливаются сейфы или шкафы, оборудованные замком.