Средства и методы защиты информации от несанкционированного доступа на примере организации ТЭК

Введение 3
1. Организационные аспекты обеспечения защиты информации 8
1.1. Организационные и технические мероприятия по защите информации 8
1.2. Обязанности и права должностных лиц 17
2. Организация защиты информации 28
2.1. Планирование работ по защите информации и порядок отчетности 28
2.2. Контроль состояния защиты информации 31
2.3. Взаимодействие с учреждениями по вопросам защиты информации 41
Заключение 46
Список литературы 47
Приложение 1 55
Приложение 2 56

После утверждения документа необходимо внедрить его в организации, а это обычно встречает сопротивление со стороны сотрудников организации, поскольку налагает на них дополнительные обязанности, усложняет работу. Поэтому система безопасности документов должна быть тщательно продумана и целесообразна, не должна создавать значительные трудности в работе. По итогам проведенного исследования можно сделать следующие выводы:Наиболее опасные угрозы информационной безопасности: сбой информационной системы, утечка информации, искажение данных.Документы, представляющие наибольший интерес для злоумышленников – договоры, документы, содержащие персональные данные.Наиболее действенными средствами защиты электронных документов является резервное копирование и организационные меры защиты.Организация характеризуется высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения принимаемых мер недостаточно.2.3. Взаимодействие с учреждениями по вопросам защиты информацииВ данной организации разработана Политика информационной безопасности (ПИБ), направленная на решение проблемы комплексной защиты информации. Под политикой информационной безопасности понимают «формальноеизложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе». Корректно разработанные и остающиеся актуальными, они отражают мнение руководства по вопросу информационной безопасности, связывают воедино все методы защиты информации, позволяют разработать единые стандарты в области защиты информации, регламентируют работу сотрудников. Политики информационной безопасности являются основой для дальнейшей разработки документов по обеспечению безопасности: стандартов, процедур, регламентов, должностных инструкций и т.д.Актуальность разработки политик информационной безопасности для компаний объясняется необходимостью создания механизма управления и планирования информационной безопасности. Также политики ИБ позволяют совершенствовать следующие направления деятельности компании:– поддержка непрерывности бизнеса;– повышение уровня доверия к компании;– привлечение инвестиций;– минимизация рисков бизнеса с помощью защиты своих интересов в информационной сфере;– обеспечение безопасного и адекватного управления компании;– снижение издержек;– повышение качества деятельности по обеспечению ИБ.Естественно, что совершенствование направлений деятельности организации зависит от грамотности составления политики информационной безопасности.Политики информационной безопасности определяют стратегию и тактику построения системы защиты информации. Стратегическая часть связана со стратегией развития бизнеса компании и развитием ее IT-стратегии. Тактическая часть, в свою очередь, подробно описывает правила безопасности. В соответствии с определением политики информационной безопасности и рекомендациями международных стандартов в области планирования и управления ПИБ, политики должны содержать:определение предмета, задач и целей;условия применения и их ограничения;отражение позиции руководства в отношении выполнения политики ИБ и создания комплексной системы ИБ;определение прав и обязанностей сотрудников;определение границ ответственности сотрудников за выполнение политики ИБ;порядок действий в случае нарушения политики ИБ.Как правило, основная ошибка заключается в отсутствии в компании формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора средств защиты, текущее состояние ИБ (уровень зрелости компании с точки зрения обеспечения информационной безопасности) и планы развития компании.Основные положения информационной безопасности и позиция руководства компании прописываются в концепции информационной безопасности (КИБ). Концепция информационной безопасности реализуется в частных политиках информационной безопасности, процедурах, руководствах и стандартах, обеспечивающих детальную интерпретацию положений КИБ для сотрудников, партнеров и клиентов компании и организации. Эта структура руководящих документов и называется политикой информационной безопасности.Частные политики информационной безопасности определяют «почему» компания защищает свою информацию. Стандарты обозначают «что» компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают «как» компания будет выполнять требования, описанные в высокоуровневых документах (частной политике и руководствах).При разработке каждой новой частной политики информационной безопасности составляются свои руководства, стандарты и процедуры. У нескольких разработанных частных политик могут быть одинаковые, пересекающиеся или дополняющие друг друга стандарты и процедуры.Таким образом, политика информационной безопасности является неотъемлемой частью систем установления режима информационной безопасности и контроля за ним: систем информационной безопасности (СИБ) и систем управления информационной безопасности (СУИБ) соответственно.Несмотря на огромное количество публикаций в российской и зарубежной прессе по проблемам защиты информации, лишь немногие компании «созревают» до внедрения СИБ. Уже существующие системы, за редким исключением, построены по принципу «латания дыр»: средства защиты информации (СЗИ) внедряются бессистемно, в основном с учетом мнения местных специалистов, либо наличия на рынке недорогих решений.Основными же аргументами в пользу внедрения тех или иных СЗИ, как правило, являются положения руководящих документов, международных или отраслевых требований, соответствующих стандартов. Задачу построения системы информационной безопасности каждое ведомство решает своими подходами, на основе имеющихся специалистов и ограниченного выбора решений. И разными темпами: где-то все упирается в нехватку денег, где-то в недостаток внимания руководства.Ограниченное число компаний предоставляют СМИ информацию о том, как производится оценка защищенности ИС и есть ли на это регламенты. Практически невозможно узнать, проводится ли аудит системы управления информационной безопасностью (СУИБ). Тем не менее, в большинстве отраслей существуют внутренние административные документы по ИБ (инструкции, регламенты, разделы в трудовых соглашениях).Доводы о важности анализа рисков лишь недавно начали завоевывать своих сторонников среди руководства и сотрудников отечественных компаний.Анализ рисков ИБ, как поиск бизнес-процессов, уязвимых с точки зрения связанности с ИТ-инфраструктурой, в российских компаниях пока не прижился. Сыграло свою роль отсутствие в большинстве компаний культуры управления рисками, а, кроме того, специализированные организации изначально оказывали эту услугу непрофессионально. Анализ опрометчиво сводился лишь к определению степени защищенности/уязвимости серверов без учета остальной ИТ-инфраструктуры и бизнеса компании в целом. Негативно сказалась и неопределенность критериев оценки рисков. В итоге анализ рисков стал инструментом обоснования внедрения СИБ, выгодного компании-подрядчику.Таким образом, большинство отраслевых компаний и ведомств не желают раскрывать вопросы, описывающие архитектуру, схемы и детали построения существующей СИБ:есть ли концепция и политика ИБ;как оценивается защищенность;регулярно ли проводится аудит ИБ;и т.д.Исключения составляют лишь отечественные лучшие практики («best practice») реализации СИБ, например, РАО «ЕЭС России», Федеральная таможенная служба и т.д.ЗаключениеПроцесс обеспечения экономической безопасности предприятия, несомненно, творческий. В этом выражается вечная борьба с преступностью, которая, как известно неискоренима. Естественно, творчество здесь не является самоцелью. Основной задачей является защита документа. По итогам проведенного исследования можно сделать следующие выводы: наиболее подвержены атакам злоумышленников документы, содержащие условия отдельных сделок и персональную информацию.Наиболее опасные угрозы информационной безопасности:сбой информационной системы;утечка информации;саботаж;заражение вредоносными программами;атаки злоумышленников;перлюстрация почты;искажение данных.Наиболее действенными средствами защиты электронных документов является:резервное копирование;организационные меры защиты.ОАО «Газпромнефть-Урал» характеризуются высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения делается сравнительно немного. С целью совершенствования информационной защиты предприятия было предложено разработать инструкцию специалиста по информационной безопасности, разделами которой будет являться:Общие положения;Должностные обязанности;Права;Ответственность.Список литературыКонституция (Основной Закон) Российской Федерации – России: принята Государственной Думой 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ) // Российская газета - № 7 - 21.01.2009.«Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (ред. от 05.04.2013) // Российская газета - № 256 - 31.12.2001. УК РФ от 13.06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.03.2011) // Собрание законодательства РФ. - 17.06.1996. - № 25. - ст. 2954.ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года (в редакции от 06.04.2011) // Российская газета. - № 165. - 29.07.2006.ФЗ от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.07.2007) // Парламентская газета. - № 144. - 05.08.2004.ФЗ от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года (в редакции от 08.11.2007) // Парламентская газета. - № 17. - 08-14.04.2011.Федеральный закон от 25.06.2002 N 73-ФЗ «Об объектах культурного наследия (памятниках истории и культуры) народов Российской Федерации» (в редакции от 30.11.2010) // Парламентская газета. - № 120-121. - 29.06.2002.Федеральный закон от 08.08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности» (принят ГД ФС РФ 13.07.2001) (в редакции от 29.12.2010) // Российская газета. - № 97. - 06.05.2011.Закон РСФСР от 15.12.1978 «Об охране и использовании памятников истории и культуры» (в редакции от 25.06.2002) // Свод законов РСФСР», т. 3, с. 498.Постановление Совмина СССР от 16.09.1982 № 865 «Об утверждении положения об охране и использовании памятников истории и культуры» (в редакции от 29.12.1989, с изменениями от 25.06.2002) // Документ опубликован не был. Информационная система «Консультантплюс».Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» (в редакции от 21.04.2010) // Российская газета. - № 145. - 28.06.1995.Квалификационный справочник должностей руководителей, специалистов и других служащих (утвержден постановлением Минтруда РФ от 21 августа 1998 г. N 37) // Минтруд РФ, М., 1998.ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. М.: Госстандарт России, 1998 // ГОСТ Р 51141-98. Делопроизводство и архивное.ГОСТ Р ИСО 15489-1-2007. Управление документами. Общие требования // М., Стандартинформ, 2007.ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения // Документ опубликован не был. Информационная система «Консультантплюс».ИСО/МЭК 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования // ИСО/МЭК 27001. Информационные технологии. Методы защиты.Авдеев В.В. Должностные инструкции работников организации // Бухгалтерский учет в издательстве и полиграфии. 2009. № 1. С. 42-47.Безруков, Н.Н. Компьютерная вирусология / Н.Н. Безруков. – Киев: Книга, 1990. – 28 с.Бехтер Л.А. Методический подход для получения интегральной оценки экономической безопасности сельскохозяйственных предприятий на основе метода энтропии // Бизнес информ. 2013. № 2. С. 83-87.Богатко А.Н. Основы экономического анализа хозяйствующего субъекта. М.: Финансы и статистика. 2008.Ваганова Л.В. Оценка интерфейсной составляющей экономической безопасности машиностроительных предприятий // Экономика развития. 2013. № 2. С. 81-85.Вестник Кузбасского государственного технического университета. 2006. № 2. С. 97-101.Вестник Саратовского госагроуниверситета им. Н.И. Вавилова. 2012. № 02. С. 80-82.Власенко И.В. Информационное обеспечение эколого-экономической безопасности в аграрном секторе // Экономика и предпринимательство. 2013. № 10. С. 480-484.Воротынская А.М. Особенности оценки уровня экономической безопасности на современном предприятии // Известия Санкт-Петербургского университета экономики и финансов. 2013. № 2. С. 98-100.Гознак [Электронный ресурс]: Официальный сайт. URL: http://www.goznak.ru/.Гончаренко, Л. Экономическая безопасность предприятия [Электронный ресурс]. Режим доступа: http://psj.ru/saver_magazins/detail.php?ID=8445&PAGEN_1=1&ID=8445&saver_magazins=235#review_anchor.Гришко Н.Е., Маслак М.В. Механизм управления экономической безопасностью машиностроительного предприятия в контексте развития трансфера технологий // Современные проблемы науки и образования. 2013. № 2. С. 388-388.Демьянов, Б.С. Современный электронный документооборот (достоинства и недостатки) / Б.С. Демьянов // Вестник Тверского государственного университета. Сер.: Управление. – 2005. – № 3 (9). С. 42-47.Довбня С.Б., Гулик Т.В. К вопросу о диагностике перспективной экономической безопасности предприятия // Крымский экономический вестник. 2013. Т. 1. № 2. С. 136-139.Ерошкин С.Ю., Михалко Е.Р. Обоснование методологии анализа инновационного потенциала и экономической безопасности промышленных предприятий // Автоматизация и современные технологии. 2011. № 09. С. 40-46.Зиновьев, П.В. К вопросу повышения защищенности существующих и перспективных автоматизированных систем электронного документооборота / П.В. Зиновьев // Вестник Воронежского государственного технического университета. – 2010. Т. 6. – № 12. – С. 174.Калугин, Е. Создание электронного государства России / Е. Калугин // Проблемы теории и практики управления: Междунар. журн/Междунар. науч.–иссл. ин–т проблем упр. – М. – 2007. – № 1. – С. 63-74.Киви Берд Конфликт криптографии и бюрократии [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 09 июля 2010 г. – Режим доступа: http://www.computerra.ru/own/kiwi/546005/.Киви Берд Паспорт в дивный новый мир [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» №16 от 28 апреля 2005 года Режим доступа: http://offline.computerra.ru/2005/588/38750/.Киви Берд Простые истины [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 07 марта 2008г. – Режим доступа: http://www.computerra.ru/think/kiwi/350683/.Климова Н.В. Ресурсообеспеченность сельского хозяйства - квинтэссенция экономической безопасности и конкурентоспособности АПК России // Национальные интересы: приоритеты и безопасность. 2012. № 28. С. 56-60.Ковалева, Н.Н. Информационное право России: учеб. Пособие / Н.Н. Ковалева. – М.: Дашков и К, 2007. – 360 с.Котлер, Ф. Основы маркетинга: Краткий курс. М., 2007. С. 327.Крупин А. Тонкости анонимного серфинга в Сети [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 17 ноября 2008г. – Режим доступа: http://www.computerra.ru/381931/?phrase_id=10718681.Лукацкий А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 28 января 2009г. – Режим доступа: http://www.computerra.ru/397075/?phrase_id=10718682.Лукацкий, А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 28 января 2009 г. – Режим доступа: http://www.computerra.ru/397075/?phrase_id=10718682.Майстрович, Т.В. Электронный документ в библиотеке: науч.–метод. Пособие / Т.В. Майстрович. – М.: Либерея–бибинформ, 2007. – 144 с.Максимович, Г.Ю. Комплексный подход к внедрению информационных технологий во все сферы документационного обеспечения управления / Г.Ю. Максимович В.И. Берестова // Секретарское дело. 2006. № 11. С. 50–56.Михалева Е.П., Алампиев А.В. Критерий обоснования управленческих решений при обеспечении экономической безопасности предприятия // Известия Тульского государственного университета. Экономические и юридические науки. 2013. № 2-1. С. 197-202.0Навроцкая Н.А., Сопилко Н.Ю. Трансформация инвестиционно-производственного пространства как условие экономической интеграции // Вопросы региональной экономики. 2013. Т. 2. № 15. С. 63-69.Нечаев Д.Ю. Критерии и показатели экономической безопасности предприятий. Правовая и финансовая составляющие // Вестник Российского государственного торгово-экономического университета (РГТЭУ). 2010. № 2. С. 111-117.Нечта, И.В., Фионов, А.Н. Цифровые водяные знаки в программах на С/С++ / И.В. Нечта, А.Н. Фионов А.Н. // Известия Южного федерального университета. Технические науки. – 2010. – Т. 112. – № 11. С. 175.Никитина А.В. Методический инструментарий оценки уровня экономической безопасности предприятий на основе использования методов факторного анализа // Бизнес информ. 2013. № 8. С. 139-144.Показатели оценки эффективности внедрения мероприятий по улучшению условий и охраны труда на предприятиях АПКПрактика сферы ИТ [Электронный ресурс]: Электронное издание от 7 апреля 2011. URL: http://ithappens.ru/story/5896.Предотвращение сетевых атак: технологии и решения [Электронный ресурс]: Электронное издание. – HackZoneLtd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5962/.Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. – № 12. – С. 25.Соловяненко, Н. Заключение договоров с использованием электронных документов в системах электронной торговли / Н. Соловяненко // Хозяйство и право. 2005. № 3. С. 50–58.Способы авторизации [Электронный ресурс]: Электронное издание. – HackZoneLtd 07.01.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/4078/.Стародымов, А. Пелепец, М. Стираем память. Быстро, дистанционно [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 23 июля 2009г. – Режим доступа: http://www.computerra.ru/443845/?phrase_id=10718685.Теория информационной безопасности [Электронный ресурс]: Электронное издание. – HackZoneLtd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5961/.Федосеева, Н.Н. Сущность и проблемы электронного документооборота / Н.Н. Федосеева // Юрист: Научн.–практ. Журн / Изд. гр. «Юрист». – М. 2008. № 6 С. 61–64.Федотов, Н.Н. Защита информации [Электронный ресурс]: Учебный курс (HTML–версия). / «ФИЗИКОН», 2001–2004. – Режим доступа: http://www.college.ru/UDP/texts/index.html#ogl.Фриман И.М. Оценка уровня устойчивости развития человеческого капитала как фактор повышения экономической безопасности промышленного предприятия // Бизнес информ. 2012. № 6. С. 219-222.«Google’s Gatekeepers» by Jeffrey Rosen // The NYT Magazine, November 28, 2008, «Googling Security: How Much Does Google Know About You?» by Gregory Conti, Addison–Wesley Professional, 2008.Приложение1ШифровкасоткрытымключомЭлектроннаяцифроваяподписьПриложение2Анкета«Оценкаобеспечения защиты электронного документа в ОАО «Газпромнефть-Урал»Данный тест является частью исследовательской работы. Цель исследования – оценить ситуацию в области обеспечения безопасности электронного документа в ОАО «Газпромнефть-Урал». Полученные данные будут подвергнуты статанализу.Сферадеятельностивашейорганизации:_______________________________________________________________________________________________________________________________________________________________________________________Организацонно-правоваяформа:__________________________________________Масштаборганизации:а)малый;б)средний;в)крупный.Численностьсотрудниковорганизации:_____________________________________________________________КакВыоцениваетеуровенькомпьютернойбезопасностиввашейорганизации:а)Достаточен,носуществуетрискутечкиинформации;б)Слишкомвысок(нетнеобходимостистольстрогихограничений);в)недостаточен;г)какаябынибылазащита–ктозахочет,тотнайдетспособеенарушить.6.Состороныкого,поВашемумнению,наиболеереальнаугрозаинформационнойбезопасности:а)состороныработников;б)внешниеатаки.Наиболееопасные,наВашвзгляд,угрозывнутреннейинформационнойбезопасности:а)утечкаданных;б)искажениеданных;в)кражаоборудования;г)саботаж;д)утратаинформации;е)сбоивработеинформационныхсистем;ж)hack-атаки;з)вредоносноеПО(вирусы,черви);и)Спам;к)другие(указатькакие)_________________________________________________________________________________________________________________________________________________________________________________________________Наиболееподверженаутечкеинформация:а)персональныеданные;б)финансовыеотчеты;в)деталиконкретныхсделок;г)интеллектуальнаясобственность;д)бизнес-планы;е)другая(указать)_________________________________________________________________________________________________________________________________________________________________________________________________Укажитенаиболеедейственные,наВашвзгляд,средствазащитыинформации:а)антивирус;б)межсетевойэкран;в)контрольдоступа;г)IDS/IPS;д)VPN;е)шифрованиеданныхприхранении;ж)другое_________________________________________________________________________________________________________________________________________________________________________________________________Планыорганизациипонаращиваниюсистеминформационнойбезопасностивближайшие3года:а)системазащитыотутечек;б)шифрованиеданныхприхранении;в)системыконтроляидентификацииидоступа;г)ИТ-системыфизическойбезопасности;д)защитаотвнешнихвторжений(IDS/IPS);е)системарезервногокопирования;ж)другое_________________________________________________________________________________________________________________________________________________________________________________________________11.Можетеливыпользоватьсясработыэлектроннойпочтой?а)толькокорпоративнойпочтой(внутриорганизации);б)толькокорпоративнойпочтой(втомчислепереписыватьсясвнешнимиабонентами);в)почтовымиящикамилюбыхсайтов;г)внутрикорпоративныйящикивнешняяпочтаразделены,доступквнешнейпочтесотдельногорабочегоместа.12.Перлюстрацияэлектроннойпочты–это:а)Нормальнаяпрактика;б)Нарушениеправчеловека;в)Бесполезноезанятие.13.ДоступвИнтернетввашейорганизации:а)свободныйдлявсехбезограниченийпоресурсам;б)свободныйзаисключениемнекоторыхсайтов;в)разрешентолькоруководителяминекоторымспециалистам.14.Телефонныеразговорыполичнымвопросамнаработе:а)запрещеныиконтролируются;б)запрещеныинеконтролируются;в)неограничены.15.Братьработунадом:а)невозможно;б)обычнаяпрактика;в)запрещеноформально.16.ЛичнодляВасограничения,связанныесобеспечениеминформационнойбезопасности:а)несущественны;б)неприятно,нотерпимо;в)причиняютзначительныенеудобства,иприэтомчастобессмысленны;г)причиняютзначительныенеудобства,нобезэтогонеобойтись;д)уменянетникакихограничений.