ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 275
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
| информационных потоков и информации ограниченного доступа, циркулирующей на предприятии. В результате анализа организации ООО “Диджитер” была разработана модель деятельности, описывающая базовые бизнес – процессы предприятия (Приложение Б). В данной схеме отражены входные и выходные параметры, ресурсы, внешнее воздействие. 1.3. Выявление защищаемой информации В ходе анализа деятельности ООО “Диджитер” была выявлена информация ограниченного доступа, которая представляет собой сведения, составляющие коммерческую тайну (на основании Федерального закона от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне"). На предприятии отсутствует режим коммерческой тайны, соответственно для установления режима необходима разработка и реализация комплекса мер: - определение перечня информации, составляющей коммерческую тайну; - ограничение доступа к информации, составляющей коммерческую, тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; - учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана; - регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров; - нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации. | ||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист |
| 14 | ||
| Основываясь на данных, полученных в результате выявления защищаемой информации, в рамках данного пункта был разработан перечень сведений составляющих КТ (Приложение Г), положения о режиме КТ (Приложение В) и подготовлены соответствующие приказы об их утверждении (Приложение Е). 1.4. Описание информационной системы предприятия ООО “Диджитер” Для разработки комплексной системы защиты информации необходимо про- анализировать информационную систему ООО “Диджитер”. Данный анализ позволит выявить характеристики АРМ, сервера и программного обеспечения установленного на них, а так же ответить на вопросы касающиеся обновления ПО и готовности к установке новых программных средств. Таблица 1 – Аппаратное обеспечение | |||||||||
| | № | Наименование | Характеристики | Год выпуска | Количе- ство | | |||
| 1 | 2 | 3 | 4 | 5 | |||||
| АРМ | |||||||||
| 1 | Системный блок: HP ProDesk 490 G3 | Core i5-6500, 4x 3200 Гц, 4 Гб, 500 ГБ, NVIDIA AMD Radeon R5 310, Ethernet, DVD±RW | 2015 | 6 | |||||
| 2 | Монитор: Acer V226HQLAb | LED 21.5", 1920x1080 | 2015 | 6 | |||||
| 3 | Клавиатура: Genius KM- 122 | Тип — проводная; Интерфейс — USB; Количество клавиш — 116; | 2015 | 6 | |||||
| 4 | Мышь: Genius KM-122 | Оптическая светодиодная, 1200 dpi; | 2015 | 6 | |||||
| 5 | ИБП: Источ- ник питания | APC Back-Up CS 500VA | 2015 | 7 | |||||
| 6 | МФУ: лазер- ное Samsung SL-M2070 | A4 2400x600 dpi 18 стр/мин (А4) , 14 сек. | 2015 | 2 | |||||
| | |||||||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | |||||||
| 15 | |||||||||
| | | | | |
| | ||||
| | | | | |
| | | | | |
| | | | | |
| | | | | |
| | | | | |
Продолжение таблицы 1
| 1 | 2 | 3 | 4 | 5 |
| Дополнительные оборудование | ||||
| 1 | Телефон: Nokia 1100 | Монохромный дисплей, 96 x 65 px, телефонная книга на 50 но- меров. | 2003 | 1 |
| 2 | Сервер: Intel | Intel Xeon E 5410 x64, 4x2.33 ГГц, , 24 Гб, 2 ТБ | 2015 | 1 |
| 3 | MikroTik RB951G- 2HnD | 802.11n, частота 2.4 ГГц, 5 пор- тов, 1000 Мбит/сек | 2015 | 1 |
| 4 | Внешний же- сткий диск | 500ГБ | 2015 | 1 |
| 5 | Маршрутизат ор D-Link DIR- 640L/A2A | Количество LAN портов - 5; базовая скорость передачи дан- ных 1000 Мб/с | 2015 | 1 |
| | | | |
| | |||
| | | | |
| | | | |
| | | | |
| | | | |
| | | | |
| | | | |
| | | | |
| | | | |
| | | | |
Таблица 2 – Программное обеспечение
| № | Наименование | Описание | Версия |
| АРМ 1-6 | |||
| 1 | Windows 7 Professional | Операционная система уста- новленная на АРМ сотрудни- ков. | 6.1.7601.22616 |
| 2 | Microsoft Office 2013 | Офисный пакет для работы с документами | 15.0.4771.1001 SP1 |
| 3 | 1С Предприятие 8.3 | Ведение бухгалтерского и на- логового учёта | 8.3.4.437 |
| 4 | КриптоПро CSP v.4.0 R2 | Генерация электронной под- писи, работа с сертификатами. | 9842 |
| 5 | Skype | Служит для обмена текстовы- ми , голосовыми сообщениями и видеозвонками. | 7.34.66.103 |
| 6 | ICQ | Служит для мгновенного об- мена сообщениями. | 10.0.12161 |
| 7 | WinRAR | Предназначен для открытия, сжатия файлов и папок. | 5.40 |
| 8 | Adobe Acrobat | Предназначен для создания и просмотра электронных доку- ментов в формате PDF | 11.0.00 |
| 9 | ESET NOD32 Smart Security | Антивирусное программное обеспечение установленное на АРМ. | 10.0.369.1 |
1 2 3 4 5 6 7 8 9 ... 17
ЮУрГУ–10.05.05.2017.350.ПЗВКР
Лист
16
| 1.5. Выявление объектов защиты ООО “Диджитер” Объект защиты информации – это информация или носитель информации, или информационный процесс, которую(ый) необходимо защищать в соответствии с целью защиты информации. На основании предпроектного обследования ООО “Диджитер” составим перечень объектов, которые нуждаются в защите: - помещение для работы с защищаемой информацией; - сервер; - автоматизированные рабочие места сотрудников; - линии и средства связи; - устройства ввода-вывода и отображения информации; - системы дублирования и хранения информации; - носители информации; - информационная инфраструктура; - персонал. Подробный перечень объектов защиты представлен в (Приложение Д).
ООО “Диджитер” Модель угроз и уязвимостей представляет собой описание существующих угроз информационной безопасности и уязвимостей, через которые реализуется данная угроза. Перед тем, как выявить наиболее важные угрозы информационной безопасности, стоит выделить наиболее важные объекты, к которым относятся: - персонал; - сервер; - автоматизированные рабочие места сотрудников, на которых обрабатывается защищаемая информация. | ||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист |
| 17 | ||
| Так как утверждённой ФСТЭК модели угроз для внедрения режима коммерческой тайны нет, мы будем руководствоваться «Базовая модель угроз безопасности персональных данных при их обработки в информационных системах персональных данных» (утв. ФСТЭК РФ от 15 февраля 2008г)[1]. Таблица 3 – Модель угроз | ||||||||
| | Объект | Угроза | Уязвимость | Вероятность | | |||
| 1 | 2 | 3 | 4 | |||||
| Персонал | Угрозы связанные с нарушением свойства информации | |||||||
| Разглашение, копи- рование, хищение информации состав- ляющей коммерче- скую тайну | Нарушение со- глашения о нераз- глашении коммер- ческой тайны | Высокая вероят- ность | ||||||
| Несанкциониро- ванное проникно- вение в помеще- ние | ||||||||
| Отсутствие режи- ма коммерческой тайны | ||||||||
| Уничтожение, мо- дификация, блоки- ровка носителей ин- формации содержа- щих коммерческую тайну, АРМ сотруд- ников, серверного оборудования | Несанкциониро- ванное проникно- вение в помеще- ние | Средняя вероят- ность | ||||||
| Отсутствие меро- приятий по повы- шению информа- ционной грамот- ности | ||||||||
| Отсутствие инст- рукции по работе с АРМ и сервер- ным оборудовани- ем обрабатываю- щим коммерче- скую тайну | ||||||||
| Отсутствие плом- бирования корпу- са АРМ | ||||||||
| | ||||||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | ||||||
| 18 | ||||||||