МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА
ФГОУ ВПО ОРЕНБУРГСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ
Кафедра «Комплексное обеспечение
ОТЧЕТ
о прохождении производственной практики
студента 42 группы
Место практики: Трест «Оренбургмежрайгаз»
Начало и окончание практики: с 4 июля по 8 августа 2011 года
Руководители практики:
От университета:
Декан факультета
Информационных Технологий
От производства:
Начальник службы АСУП
ОРЕНБУРГ 2011 г.
Список сокращений
АРМ – Автоматизированное рабочее место
БД – База данных
ГТ – Государственная тайна
ЕЭС – Единая Энергетическая Система
ИБ – Информационная безопасность
ИСО/МЭК (ISO/IEC – International Organization for Standardization/ International Electrotechnical Commission) – Международная организация по стандартизации/ Международная электротехническая комиссия
МУП ЖКХ – Муниципальное Унитарное Предприятие Жилищно-коммунальное хозяйство
ОАО – Открытое Акционерное Общество
ООО – Общество с Ограниченной Ответственностью
ОП – Обособленное подразделение
ОС – Операционная система
ПДИТР – Противодействие иностранным техническим разведкам
ПК – Персональный компьютер
ПО – Программное обеспечение
РАО – Российское Авторское Общество
СБ – Сектор безопасности
ФЗ – Федеральный закон
PDTR – Preliminary Draft Technical Reports (предварительные технические сообщения)
IT – Information Technology (информационные технологии)
Содержание
Введение…………………………………………………………………………......4
1. Общие сведения о предприятии:…………………………………………………...5
1.1 Географическое положение;…………………………………………………...5
1.2 Краткая история треста…………………………………………………….......5
2. Нормативно-правовая основа информационной безопасности на предприятии;8
3. Анализ угроз и источников угроз безопасности информации предприятия:….10
3.1 Анализ каждой угрозы;………………………………………………………..11
3.2 Таблица угроз…………………………………………………………………..12
4. Методы и средства защиты информации:………………………………………..18
4.1 Отправная точка для внедрения информационной безопасности;………....19
4.2 Оценка рисков информационной безопасности;…………………………….19
4.3 Важнейшие факторы успеха;………………………………………………….20
4.4 Разработка защитных мер по обеспечению безопасности на предприятии.24
5. Вывод……………………………………………………………………………….27
Введение
Практика студентов является составной частью основной образовательной программы высшего профессионального образования, а также средством связи теоретического обучения с практической деятельностью, обеспечивающим прикладную направленность и специализацию обучения.
Местом прохождения моей производственной практики с 4.07.2011 по 8.08.2011 было подразделение информационной безопасности Треста «Оренбургмежрайгаза». Основной целью производственной практики является закрепление теоретических основ, полученных в университете, практическими навыками.
Для достижения цели необходимо:
· закрепление и углубление теоретических знаний, полученные при изучении дисциплин общепрофессионального цикла и дисциплин специализации;
· приобретение и развитие необходимых практических умений и навыков в соответствии с требованиями к уровню подготовки выпускников;
· изучение обязанностей должностных лиц предприятия, обеспечивающих решение проблем защиты информации;
· формирование общего представления об информационной безопасности объекта защиты, методов и средств её обеспечения;
· изучение комплексного применения методов и средств обеспечения информационной безопасности объекта защиты;
· изучение источников информации и системы оценок эффективности применяемы мер обеспечения защиты информации.
Глава 1. Общие сведения о предприятии
1.1. Географическое положение
Трест «Оренбургмежрайгаз» расположен в Российской Федерации, Приволжском федеральном округе, Оренбургской области, в г. Оренбурге. На территории Оренбургской области созданы одиннадцать отделений : Оренбургмежрайгаз, Орскмежрайгаз, Бузулукмежрайгаз, Бугурусланмежрайгаз, Медногорскмежрайгаз, Газснабсервис, Гаймежрайгаз, Оренбургйентрсельгаз, Соль-Илецкмежрайгаз, Сорочинскмежрайгаз, управление «Подземметаллзащиты», сформированные по территориальному признаку и обслуживающие абонентов, проживающих и зарегистрированных в населенных пунктах Восточной, Центральной, Западной и Северной зон.
1.2. Краткая история треста
1 января 1946 года образовано первое газовое хозяйство Оренбургской области. Начало газификации Оренбургской области было положено во время Великой Отечественной войны. Тогда, в годах, в Куйбышев были эвакуированы Совет Народных Комиссаров, многие наркоматы, дипломатический корпус, а также ряд крупных промышленных предприятий. Энергетических мощностей существовавшей тогда Куйбышевской угольной теплоэлектростанции не хватало. И тогда наркомат обороны принял историческое решение: проложить 165-километровый газопровод от широко разрабатываемых тогда Бугурусланских месторождений до остро нуждающегося в тепле и электричестве Куйбышева. Одними из первых в огромном Советском Союзе природный газ в дома получили жители Бугуруслана. 55 домов по улице Пролетарской были газифицированы в 1942 году попутным газом из нефтяной скважины №1, пробуренной мастером еще в 1937 году почти в самом конце улицы Пионерской. Газопровод Бугуруслан - Куйбышев был сдан в эксплуатацию в июне 1943 года. Приказ о начале его строительства за подписью И. Сталина был рассекречен усилиями управляющего трестом «Бугурусланмежрайгаз» Чилякова Владимира Анатольевича, только в 2008-м году. Постановление ГКО от 7 апреля 1942 года № ГОКО 1563с, предписывает службам и ведомствам СССР обеспечить все необходимое для прокладки стратегически важного объекта: от поставки и транспортировки строительных материалов и электроэнергии до продуктов питания и промтоваров для рабочих и служащих строительства. Документы тех лет свидетельствуют: на основную магистраль шли 300-миллиметровые трубы разобранного газопровода Баку-Батуми, который прокладывался еще в начале века. Стальных труб не хватало как для газопроводов, так и для нефтепроводов, а топливо было необходимо и на фронте, и в тылу. Тогда по предложению начальника «Главнефтегаза» и инженера было принято рискованное решение: использовать вместо металлических труб асбоцементные, которые специально изготовили на воскресенском заводе под Москвой. А испытывали их на двух опытных участках: по газу – недалеко от Бугуруслана, на базе скважины № 5, по нефти – в районе Журавлевки. Трубы прекрасно выдержали нагрузку, но и этих труб не хватило. И тогда для строительства газопровода использовали заготовки армейских минометов. Общая мощность стратегически важного газопровода достигала 200 миллионов кубометров в год. Первым промышленным предприятием, получившим газ, стал Толкайский мельничный завод. Первый в стране крупный газопровод вступил в строй, началась регулярная подача газа предприятиям, а затем и в жилые дома Куйбышева. Проложенная в годах подземная газовая магистраль действовала еше долго – обеспечивала дешевым топливом огромный город до конца войны и в послевоенные годы. Позднее Куйбышев, население которого превысило миллион человек, стал в достатке получать «голубое топливо» по новому газопроводу из Оренбурга. В послевоенные годы вслед за Бугурусланским трестом были образованы тресты «Оренбургмежрайгаз», «Орскмежрайгаз», «Новотроицкмежрайгаз». А в 1965 году тресты и конторы газовых хозяйств по распоряжению Оренбургского областного исполнительного комитета объединились в областное управление по газификации и эксплуатации газового хозяйства. Так был создан единой комплекс газотранспортной системы низкого давления области. Его основной задачей стало строительство газопроводов, газификация жилого фонда в городах, рабочих поселках и сельской местности, а также безопасная и безаварийная эксплуатация газового оборудования. К концу 1965 года было газифицировано 4 города, 5 сельских населенных пунктов, построено 189 километров газопроводов. В 27 тысяч квартир оренбуржцев пришел газ. Производственная база была еще слаба, ощущался дефицит технических и транспортных средств. Для развития газоснабжения потребителей не хватало квалифицированных кадров. В таких нелегких условиях областное объединение начало свою работу и получило название Оренбургоблгаз.
Глава 2. Нормативно-правовая основа информационной безопасности на предприятии
Введение в действие требований информационной безопасности поддерживается комплексом нормативных документов и процедур по защите информации. В этих документах содержится более подробная информация о конкретных процессах и процедурах, предназначенных для защиты информации Общества.
Данная политика разработана в соответствии с требованиями следующих документов:
· Федерального закона от 01.01.2001 «О коммерческой тайне»;
· Федерального закона от 01.01.2001 «Об информации, информационных технологиях и защите информации»;
· Гражданского кодекса Российской Федерации (Раздел VII);
· Национального стандарта РФ ГОСТ ИСО/МЭК 17799 – 2005 «Информационная технология. Практические правила управления информационной безопасностью»;
· «Перечень сведений, составляющих конфиденциальную информацию» (необходимо включить в перечень и персональные данные подлежащие защите согласно требованиям закона РФ );
· «Положение об организации работы по обеспечению защиты конфиденциальной информации»;
· «Положение о постоянной действующей комиссии по вопросам защиты конфиденциальной информации»;
· «Положение о постоянной экспертной комиссии»;
· «Положение о пропускном и внутриобъектовом режиме»;
· «Положение об организации документооборота»;
· «Положение об организации электронного документооборота»;
· «Инструкции по резервному копированию информационных массивов»;
· «Инструкция по антивирусной и парольной защите»;
· Трудовой договор, различного рода обязательства не противоречащие Российскому законодательству;
· «Положение о проведении дисциплинарного расследования».
Глава 3. Анализ угроз и источников угроз безопасности информации предприятия
Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.
Для обеспечения информационной безопасности Треста «Оренбургмежрайгаз» необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности предприятия. Описание каждой угрозы необходимо анализировать с помощью модели угроз, включающую:
· нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
· объекты нападений;
· тип потери (конфиденциальность, целостность, доступность и т. д.);
· масштаб ущерба;
· источники угрозы. Для источников угроз – людей модель нарушителя должна включать:
1. указание их опыта,
2. указание знаний,
3. указание доступных ресурсов, необходимых для реализации угрозы,
4. возможную мотивацию их действий.
Список угроз из части № 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом: землетрясение, наводнение, ураган, молния, промышленная деятельность, бомбовая атака, использование оружия, пожар (огонь), преднамеренное повреждение, авария источника мощности, авария в подаче воды, авария воздушного кондиционирования, неисправности аппаратных средств, колебание мощности, экстремальные значения температуры и влажности, пыль, электромагнитное излучение, кража, неавторизованное использование среды хранения, износ среды хранения, операционная ошибка персонала, ошибка технического обслуживания, авария программного обеспечения, использование программного обеспечения неавторизованными пользователями, использование программного обеспечения неавторизованным способом, подделка идентификатора пользователя, нелегальное использование программного обеспечения, вредоносное программное обеспечение, нелегальный импорт/экспорт программного обеспечения, доступ к сети неавторизованных пользователей, ошибка операционного персонала, ошибка технического обслуживания, техническая неисправность компонентов сети, ошибки при передаче, повреждения в линиях связи, перегрузка трафика, перехват, проникновение в коммуникации, ошибочная маршрутизация сообщений, повторная маршрутизация сообщений, отрицание, неисправность услуг связи (услуг сети), ошибки пользователя, неправильное использование ресурсов, дефицит персонала.
3.1. Анализ каждой угрозы.
Возможность появления землетрясения, наводнения, урагана и молнии мало-вероятная. Тем не менее, в случае наводнения предприятие не пострадает, так как находится на возвышенной местности, относительно центра города и других спальных районов. Географическое положение города Оренбурга исключает возможность землетрясения. Ураган особых последствий за собой не повлечет, если окна будут закрыты. В случае удара молнии возникнет пожар. Для избежания подобной катастрофической ситуации необходимо устанавливать громоотвод. Угроза пожара будет рассмотрена ниже. Промышленная деятельность, бомбовая атака и использование оружия являются маловероятными угрозами, поэтому не требует подробного анализа. В случае реализации промышленной деятельности как угрозы может произойти случайный обрыв каналов связи с филиалами . При этом будет потеряна часть информационного ресурса. При бомбовой атаке появится возможность потери информации, жизни людей, оборудования. Все это связано с огромными денежными потерями. При использовании оружия возникнет вероятность нарушения конфиденциальности информационного ресурса.
Подробный анализ возможных угроз указан в таблице №1.
3.2 Таблица №1. Анализ угроз безопасности предприятия Трест «Оренбургмежрайгаз»
Угроза | Нападения пригодные для реализации угрозы (уязвимость, методы, возможность) | Объект нападения | Тип потери | Масштаб ущерба | Источник угроз | Опыт | Знания | Доступные ресурсы | Возможная мотивация действий |
Пожар | Незащищенность электропроводки ; случайное замыкание; высоковероятная | Провода | Затруднение деятельности, денежные потери | Высокий | Случайность | ||||
Преднамеренное повреждение | Отсутствие контроля за работниками предприятия; намеренно совершив ошибку или удалив необходимый системный файл; высоковероятная | ПО, оборудование | Затруднение деятельности, денежные потери | Высокий | Работники предприятия | Не обязателен | Присутствуют | Вычислительные, аппаратные, информационные | В личных корыстных целях |
Авария источника мощности | Незащищенность электропроводки; случайное замыкание; вероятная | Информация, сетевые и аппаратные средства | Компьютерные данные | Высокий | Рабочий персонал, стихия | Не обязателен | Присутствуют | Физические, аппаратные, информационные | Преднамеренно и непреднамеренно |
Неисправности аппаратных средств | Износ; длительное использование; вероятная | Аппаратные средства | Денежные потери | Средний | Отсутствие периодический проверки работоспособности аппаратных средств | ||||
Колебания мощности | Незащищенность компьютеров от колебания мощности (отсутствие сетевых фильтров); неисправная работа персонала; вероятная | Информация, сетевые и аппаратные средства | Компьютерные данные | Высокий | Рабочий персонал | Не обязателен | Не обязательны | Физические, аппаратные | Преднамеренно и непреднамеренно |
Пыль | Накопление пыли; несоблюдение влажной уборки; маловероятная | Компьютеры | Аппаратные средства, затруднение в деятельности | Средний | Обслуживающий персонал | Начальный уровень | Обязательны | Технические | Невыполнение полномочий |
Электромагнитное излучение | Оборудование; воздействие электромагнитного излучателя; вероятная | Носитель информации и персонал | Потеря времени, здоровья сотрудников предприятия, информации и оборудования | Высокий | Электромагнитный излучатель | ||||
Кража | Слабая защищенность информации; несанкционированное умышленное действие; высоковероятная | Критическая информация | Целостность, конфиденциальность, затруднения в деятельности | Высокий | Злоумышленники | Высокий уровень | Обязательны | Информационные, телекоммуникационные | В личных интересах |
Неавторизованное использование среды хранения | Незащищенность среды хранения; вход под чужим логином и паролем; вероятная | Чувствительная информация | Конфиденциальность, целостность, денежные затраты, затруднение в деятельности | Высокий | Неавторизованное лицо, авторизованное лицо под чужим именем | Начальный уровень | Присутствуют | Информационные | Умысел |
Износ среды хранения | Отсутствие обновления среды хранения (гибких и жестких дисков, бумаги); длительное использование, нагромождение сведениями БД; вероятная | БД | Целостность | Высокий | Администраторы | Высокий | Обязательны | Информационные | Недобросовестное выполнение обязанностей |
Операционная ошибка персонала | Невнимательность; случайное незапланированное выполнение операций, подсчетов; вероятная | Информация | Целостность | Средний | Персонал | Как наличие, так и отсутствие | Не обязательны | Информационные, вычислительные | Неосторожность |
Ошибка технического обслуживания | Невнимательность техника; неэффективная установка компьютерных компонентов, устройств сети; вероятная | Аппаратные и сетевые средства | Затруднение в деятельности | Средний | Техническое обслуживание | Высокий | Обязательны | Аппаратные | Небрежность |
Авария программного обеспечения | Внутренний дефект ПО; удаление файла; вероятная | ПО | Целостности информации, затруднения в деятельности | Высокий | Работники предприятия | Минимальный | Необходимы | ПО | Неосторожность |
Использование программного обеспечения неавторизованным пользователями | Возможность неавторизованного входа; использование программы для взлома сетей; вероятная | БД | Конфиденциальность информации, затруднения в деятельности | Высокий | Пользователь АРМ | Не обязателен | Не обязательны | Информационные | Самоутверждение |
Использование программного обеспечения неавторизованными способом | Отсутствие проверки прав и возможностей пользователя; использование программы для взлома сетей; вероятная | Сервер | Конфиденциальность информации, материальные потери | Высокий | Хакер | Высокий уровень | Отличные | Информационные | Осуществление несанкционированного доступа |
Подделка идентификатора пользователя | Несовершенство защиты ПО; применение чужого пароля; вероятная | Информация | Конфиденциальность | Высокий | Персонал | Высокий уровень | Необходимы | Информационные | Умысел |
Нелегальное использование программного обеспечения | Вредоносные подпрограммы встроенные в программы; закачивание вируса; вероятная | Системы, ОС, ПО | Доступность | Средний | Нелегальное ПО | ||||
Вредоносное программное обеспечение | Нарушение работы ОС; внедрение вредоносной программы; высоковероятная | ПО и информация | Целостность, доступность, затруднение в деятельности, денежные затраты | Высокий | Вредоносное ПО, постороннее лицо | Наличие опыта | Обязательны | Сетевые | Умысел |
Доступ к сети неавторизованных пользователей | Сетевые данные, проникновение в сеть неавторизованных пользователей; вероятная | Сеть, данные | Целостность, доступность | Средний | Для глобальной сети – внешние источники, для локальной – внутренние (рабочие предприятия) | Присутствует | Обязательны | Информационные, сетевые | Умысел |
Ошибка при передаче | Коллизии; неправильное вычисление контрольной суммы; вероятная | Информация | Целостность, затруднение в деятельности | Средний | Сеть, внешние воздействия | ||||
Перегрузка трафика | Сети, сетевые устройства; одновременная посылка (запрос) сообщений с разных станций; вероятная | Сеть | Доступность, затруднение в деятельности | Средний | Пользователь АРМ | Отсутствие | Не обязательны | Сетевые | |
Перехват информации | Незащищенность канала связи при передачи; перехват информации; вероятная | Информация | Целостность, правильность передачи | Высокий | Постороннее лицо | Высокий уровень | Необходимы | Информационные, программные | Умысел |
Ошибочная маршрутизация сообщений | Неисправность работы маршрутизатора; ошибочная адресация; вероятная | Информация | Доступность, конфиденциальность, целостность, затруднения в деятельности | Средний | Периферийное устройство (маршрутизатор) | ||||
Неправильное использование ресурсов | Неквалифицированный персонал; использование не по назначению; вероятная | ПО | Временные | Низкий | Неквалифицированный персонал | Начальный уровень | Минимальные | Информационные | Отсутствие опыта работы, знаний в данной области |
Дефицит персонала | Накопление работы; массовое увольнение; маловероятная | Работники предприятия | Потеря производительности | Средний | Руководитель | Не обязателен | Присутствуют | Любые | Некомпетентность, жесткие условия труда |
Главным объектом нападения является конфиденциальная информация, а опасными угрозами – преднамеренное незаконное действие (постороннее лицо, злоумышленник), вредоносное программное обеспечение и ошибки работников предприятия. В результате основными потерями являются информационные ресурсы, их конфиденциальность, денежные потери и затруднения в деятельности.
Глава 4. Методы и средства защиты информации
Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами предприятия Трест «Оренбургмежрайгаз». Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.
Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.
При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.
Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников Треста «Оренбургмежрайгаз». Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.
Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.
4.1. Отправная точка для внедрения информационной безопасности
Ключевыми мерами контроля с точки зрения законодательства являются:
· обеспечение конфиденциальности персональных данных;
· защита учетных данных организации;
· права на интеллектуальную собственность.
Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:
· наличие документа, описывающего политику информационной безопасности;
· распределение обязанностей по обеспечению информационной безопасности;
· обучение вопросам информационной безопасности;
· информирование об инцидентах, связанных с информационной безопасностью;
· управление непрерывностью бизнеса.
4.2. Оценка рисков информационной безопасности
Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятии по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.
Оценка риска – это систематический анализ:
· вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;
· вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.
Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков. Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.
Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:
· изменения требований и приоритетов бизнеса;
· появление новых угроз и уязвимостей;
· снижение эффективности существующих мероприятий по управлению информационной безопасностью.
Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски
4.3. Важнейшие факторы успеха
Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:
· соответствие целей, политик и процедур информационной безопасности целям бизнеса;
· согласованность подхода к внедрению системы безопасности с корпоративной культурой;
· видимая поддержка и заинтересованность со стороны руководства;
· четкое понимание требований безопасности, оценка рисков и управление рисками;
· обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;
· передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;
· обеспечение необходимого обучения и подготовки;
· всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.
Основными угрозами бизнесу для сбытовых компаний можно определить утрату либо искажение как внешним, так и внутренним врагом информационных массивов (баз данных используемых для работы).
При рассмотрении вопроса возложения обязанностей по информационной защите необходимо руководствоваться следующим:
1. При возложении обязанностей по защите информации на IT подразделения во главу угла встанут системные администраторы, а не безопасность, а значит, будет отсутствовать система их контроля и комплексность подхода по защите информационных ресурсов в их многообразии. Также главной задачей IT подразделений является бесперебойная работа IT технологий, а их защита накладывает для них дополнительные проблемы к системе передачи данных.
2. Наряду с этим хотелось отметить, что под защитой информации необходимо понимать не только защиту электронного документооборота, но и документооборот на бумажных носителях, и защиту речевой информации и т. д., где специалисты IT не обладают необходимым уровнем подготовки.
Для эффективного контура ИБ необходимо его документальное оформление:
1. «Политика корпоративной безопасности»,
2. «Политика информационной безопасности».
Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:
· определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
· изложение целей и принципов информационной безопасности, сформулированных руководством;
· краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:
· соответствие законодательным требованиям и договорным обязательствам;
· требования в отношении обучения вопросам безопасности;
· предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
· управление непрерывностью бизнеса;
· ответственность за нарушения политики безопасности;
· определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;
· ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.
Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.
3. «Стандарт информационной безопасности», «Стандарт классифицирования активов (объектов), на основе которых формируется системный подход к защите информации. Также в блок информационной безопасности необходимо введение вопросов ПДИТР и защиты ГТ.
Могут быть иные документы, исходя из приоритетов производственной деятельности организации.
Все документы разрабатываются подразделениями по своим направлениям деятельности. При разработке указанных и иных документов другими подразделениями (IT, Канцелярия, кадры и т. д.), имеющих отношение к регламентам оборота предмета защиты, они в обязательном отношении должны согласовываться с подразделениями безопасности, чтобы не нарушались создаваемая система и регламенты проверок.
Абсолютно не эффективной в развитии станет организованная работа и функционирование системы без комплексного обучения персонала компании соблюдению регламентов по ИБ. В этой связи необходимо проведение учебы персонала по направлению деятельности отдела кадров, с формированием групп и потоков, исходя из уровня обучаемых.
Контроль эффективности действия контура ИБ необходимо осуществлять внутренними аудитами как по линии ИБ, так и по режиму. Проверки должны проходить планово, внезапно, в том числе с мониторингом технических каналов и охватывать технологии всего документооборота и информационных потоков.
Результаты устранения выявленных недостатков, в том числе вскрытые недоработки, дефекты созданных технологических процессов оборота информационных массивов заслушиваются на совещаниях у руководства организации и на Постоянной действующей комиссии, заместителем председателя которой является руководитель СБ.
Не малую роль в поддержании на необходимом уровне контура ИБ играет группа технического контроля при постоянно действующей комиссии по защите КИ. Основными функциями данной группы являются:
· Проведение внутренних аудитов технологии обработки конфиденциальной информации;
· Контроль состояния информационной безопасности при обработки конфиденциальной информации на бумажных и электронных носителях;
· Выработка рекомендаций по данному направлению деятельности.
Вскрытые нарушения квалифицируются как несоответствия и подлежат дисциплинарному расследованию.
При создании системы ИБ необходимо увязывать ее со стратегией деятельности компании и иметь поддержку в реализации со стороны высшего руководства компании.
4.4 Разработка защитных мер по обеспечению безопасности на предприятии.
Помимо организационных мер по защите информации требуется отлаженный механизм технических мер. Для того чтобы избежать потери информации необходимо обеспечивать защиту и выполнять общие требования (см. Таблицу №2).
Таблица №2. Требования по обеспечению защиты информации
Зона уязвимости: | Виды защитных мер |
Пожар | Оборудовать пожарную сигнализацию; установить необходимое количество огнетушителей; назначить ответственного за пожарную безопасность; провести инструктаж по пожарной безопасности с работниками предприятия; выполнять плановые и внеплановые проверки исправности проводки. |
Преднамеренное повреждение | Создать затруднительный доступ к проводами другим каналам связи, обеспечить отделение камерами видеонаблюдения и дополнительной сигнализацией. |
Неисправности аппаратных средств | Своевременная замена и ремонт оборудования; изолировать от посторонних лиц важные аппаратные средства, чтобы исключить умышленное и случайное повреждение; проводить периодические проверки исправности аппаратных средств. |
Износ среды хранения | Осуществление обновления БД и аппаратной части; хранение копий БД на отдельном компьютере. |
Авария ПО | Создавать резервные копии; постоянно обновлять ПО; ограничить пользование нелицензионными копиями ПО. |
Подделка идентификатора пользователя | Обеспечить каждый ПК уникальным паролем. Пароли должны соответствовать следующим требованиям: 1) длина пароля должна быть не менее 8 символов; 2) в числе символов пароля обязательно должны присутствовать буквы, цифры и специальные символы; 3) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т. д.); 4) при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; 5) смена паролей должна проводиться регулярно не реже одного раза в месяц; 6) одинаковых паролей не должно быть. |
Вредоносное программное обеспечение | Защита ПО с помощью антивирусных программ; никогда не копировать на свой винчестер/дискету программы, не проверенные на наличие вируса; не копировать программы с ненадежных источников; вести внимательное наблюдение за новой программой (желательно эксплуатировать ее на специальном компьютере); иметь копии всех ценных программ и хранить их на защищенных дисках; установить по возможности системным файлам атрибут «только для чтения»; иметь системный диск с антивирусными программами. |
Нелегальный импорт/экспорт программного обеспечения | Запретить копирование ПО с сервера и других ПК; отслеживать трафик. |
Доступ к сети неавторизованных пользователей | Контролировать действия неавторизованного пользователя; возложить ответственность за какие-либо неисправности; сообщать администратору об известных входах в сеть неавторизованным способом. |
Ошибка операционного персонала | Ограничить уровень допуска в соответствии с необходимостью; набор только квалифицированного персонала; проведение семинаров по обучению работы с новым ПО. |
Техническая неисправность компонентов сети | Постоянно следить за компонентами сети; своевременный ремонт и замена оборудования; запретить доступ к компонентам сети, кроме технического обслуживания. |
Ошибки при передаче | Использование различных алгоритмов разделения файлов при передачи; проверка контрольных сумм. |
Повреждения в линиях связи | Обеспечить затруднительный доступ к линиям связи; расположить провода ближе к потолку и убрать их в коробки. |
Перехват | Сделать невозможным прямой доступ к сети; кодировать всю информацию при передачи; анализировать трафик. |
Ошибочная маршрутизация сообщений | Исключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы. |
Повторная маршрутизация сообщений | Исключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы. |
Неправильное использование ресурсов | Установить приоритет на запросы; ограничить доступ к ним для всех на определенной время; использовать многоканальный доступ. |
Вывод
В данном отчете по производственной практике были рассмотрены и проанализированы возможные угрозы нападения на информационные ресурсы Треста «Оренбургмежрайгаз», разработаны методы и средства защиты конфиденциальной информации. В процессе прохождения практики были выявлены опасные угрозы для информации, разработаны правила и защитные меры при самых критических ситуациях, получены такие навыки, как:
· проверки, настройки и использования технических и программных средств подразделения по защите информации;
· выполнения основных функциональных обязанностей в соответствии с должностью;
· работы с технической и эксплуатационной документацией;
· в реализации системы защиты информации в автоматизированных системах в соответствии со стандартами по оценке защищенных систем.
Можно подвести итог, что политика ИБ должна существовать во всех организациях и госучреждениях, где имеются компьютеры для необходимой защиты, применение которой должно быть целесообразно.
