Добавлен: 17.06.2023
Просмотров: 197
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1 Теоретические аспекты защиты информации
1.1 Технико-экономическая характеристика предметной области и предприятия
1.2. Оценка уязвимостей активов
ГЛАВА 2. РАЗРАБОТКА КОМПЛЕКСА МЕР ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
2.1 Комплекс организационных мер
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности
2) содержащаяся в документах, дающих право на осуществление предпринимательской деятельности;
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которой или недопустимость ограничения доступа к которой установлена иными федеральными законами.
Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» так же заключает в себя правила по охране конфиденциальности информации:
1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:
- определение перечня информации, составляющей коммерческую тайну;
- ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
- учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
- регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
- нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.
3. Индивидуальный предприниматель, являющийся обладателем информации, составляющей коммерческую тайну, и не имеющий работников, с которыми заключены трудовые договоры, принимает меры по охране конфиденциальности информации, указанные в части 1 настоящей статьи, за исключением пунктов 1 и 2, а также положений пункта 4, касающихся регулирования трудовых отношений.
4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.
5. Меры по охране конфиденциальности информации признаются разумно достаточными, если:
- исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;
- обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
6. Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.
Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:
- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;
- выделение специальных ЭВМ для обработки конфиденциальной информации;
- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;
- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;
- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;
- организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;
- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;
- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;
- постоянный контроль за соблюдением установленных требований по защите информации.
На основе анализа существующей системы безопасности было принято решение реализовать такие административные меры безопасности:
- Разработать и утвердить приказом по предприятию:
- положение о защите сведений, содержащих коммерческую тайну, и другой информации ограниченного пользования, определённые законодательством РФ;
- перечень сведений, содержащих коммерческую тайну;
- инструкцию по правилам работы со сведениями, содержащими коммерческую тайну;
- инструкцию по делопроизводству с документами ограниченного пользования.
- Издать приказ по предприятию, в котором:
- на руководителей подразделений возложить обязанность проведения мероприятий, направленных на обеспечение сохранности коммерческой тайны;
- определить меры административного наказания за нарушение правил работы с документами и сведениями, содержащими коммерческую тайну;
- на службу безопасности возложить обязанность по выявлению возможных нарушений, в результате которых возможна утечка охраняемых сведений.
- Ввести запрет на хранение личной информации на компьютере.
- Установить правила копирования документов, исключающих изготовление копий важных документов без санкции руководителя.
- От работников, по должности обладающих сведениями коммерческой тайны, при заключении трудового договора брать письменные обязательства о неразглашении. В случае увольнения работника, требовать от него передачи всех носителей информации, составляющих коммерческую тайну, которые находились в его распоряжении.
- Изготовить выписки, содержащие выдержки из положения о конфиденциальной информации для использования работниками в повседневной деятельности;
- Разработать журнал учета персональной информации;
- Разработать правила работы с электронной почтой.
- При включении компьютера перед вводом пароля программным способом выдавать пользователю сообщение, напоминающее пользователю о правилах работы с компьютером.
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности
Для решения задачи обеспечения информационной безопасности была выбрана системв КУБ, КУБ — уникальное кроссфункциональное решение для автоматизации и управления доступом к информационным ресурсам компании и контроля соблюдения политики безопасности. КУБ предназначен для крупных компаний с большой, разнородной КИС, с географически разветвленной структурой, имеющих большое количество ежедневных кадровых операций и/или высокую цену любых ошибок, связанных с неверно предоставленными правами доступа к информационным ресурсам. КУБ позволяет автоматизировать управление учетными записями, реализовать процесс согласования прав доступа, а также обеспечить непрерывный мониторинг их изменений.
КУБ — единственная на российском рынке система, которая решает задачи сразу трех основных групп пользователей:
1. Бизнес-подразделениям. Возможность самостоятельно в привычной терминологии запрашивать, согласовывать и получать доступ к необходимым информационным ресурсам через web-портал; в любой момент времени видеть текущий статус своей заявки.
2. Службе информационных технологий/автоматизации. Возможность получать четкие инструкции к выполнению в понятных исполнителю терминах; не тратить время на уточнение требований заявок; быть уверенным, что своими действиями инженер не нарушает политику информационной безопасности компании. Возможна полная автоматизация выполнения заявок.
3. Службе информационной безопасности. Возможность непрерывно контролировать все изменения прав доступа к информационным ресурсам компании и другие изменения значимых настроек; иметь всю необходимую информацию для оперативного расследования инцидентов, связанных с несоблюдением правил политики безопасности.
Возможности КУБ
1. Управление:
- Электронный документооборот заявок, электронная подпись и политики их согласования
- Ролевая модель управления
- Инструменты анализа и оптимизации ролей
- Гибкая система отчетов для разных категорий пользователей
2. Безопасность:
- Соответствие вносимых измений прав доступа установленной политике ИБ
- Непрерывный контроль несанкционированных изменений прав доступа
- Согласованное управление логическим и сетевым доступом
- Управление цифровыми сертификатами и контроль программно-аппаратных конфигураций.
3. Автоматизация:
- Динамическое построение маршрутов согласования заявок на изменение прав доступа
- Управление учетными данными и правами доступа пользователей на основе кадровых изменений
- Автоматическая генерация инструкций на изменение прав доступа, либо автоматическое исполнение инструкций
При использовании системы КУБ процесс управления доступом представлен на рисунке 2.1.
Рисунок 2.1. Процесс управления доступом
Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей. При этом роль КУБ заключается в формировании и согласовании заявок на доступ, а также реализации и контроле доступа. Именно эти задачи являются ключевыми для комплексного управления доступом.
Типовая архитектура решения задач управления доступом представлена на рисунке.
Рисунок 2.2. Типовая архитектура управления доступом
КУБ обладает следующими преимуществами:
1. Обеспечение безопасности. КУБ – единственная система, полностью решающая задачу обеспечения информационной безопасности компании в дополнение к функциональности типовой IDM. Помимо управления логическим доступом, КУБ обеспечивает управление сетевым доступом, цифровыми сертификатами и контроль программно-аппаратных конфигураций. КУБ осуществляет непрерывный контроль соответствия запрошенных и реализованных прав доступа.
2. Расследование инцидентов. Хранение полной истории всех изменений прав пользователей открывает перед службой безопасности широкие возможности по оперативному и эффективному расследованию инцидентов, связанных с нарушением политики безопасности компании. В КУБ реализована защита электронных заявок и выполняемых с ними операций (создание, согласование, отклонение) с помощью электронно-цифровой подписи.
3. Оптимизация технических ресурсов. Логика работы информационных систем в КУБ закладывается в процессе настройки, благодаря чему КУБ может оперативно выявлять несанкционированные изменения. Возможность автоматического выполнение заявок на изменение доступа, позволяет оптимизировать работу технических отделов и минимизировать ошибки, связанные с человеческим фактором.