Совершенствование системы физической защиты информационных объектов служебного кабинета ООО «Тех ЗИ»

Оглавление
Введение 3
1. Общая характеристика служебного кабинета ООО «Тех ЗИ» 5
1.1. Особенности функционирования предприятия 5
1.2. Особенности функционирования информационной системы служебного кабинета 9
1.3. Акт обследования защищаемого помещения 11
1.4 Выявление каналов утечки информации 12
1.4.1 Классификация каналов акустической утечки информации 12
1.4.2 Выявленные каналы утечки информации в служебном кабинете 17
1.5 ТЗ на разработку системы защиты режимного помещения 19
2. Проектный раздел 23
2.1 Разработка комплекса мер по защите информации, циркулирующей в служебном кабинете 23
2.1.1 Защита от Воздушных технических каналов утечки информации 23
2.1.2 Защита от Оптико-электронных технических каналов утечки 26
2.1.3 Защита Электроакустического канала утечки информации 30
2.1.4 Защита от ПЭМИН 32
2.1.5 Размещение инженерно-технических средств защиты в служебном кабинете 34
2.2 Внедрение СКУД 35
2.3 Организационные мероприятия по информационной безопасности 39
2.4 Система защиты информационной сети 41
Заключение 50
Список литературы 51
Приложение 1 – Инструкция сотрудника службы безопасности 52
Приложение 2 – Инструкция администратора сети 56
Приложение 3 – Инструкция специалиста по ИБ 61

- СПб.: Издательство «Юридический центр Пресс», 2009.Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: 2009.Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2009. – 192с.Диева С.А., Шаеаева А.О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2008.Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2008. – 368с.Мельников В.В., Клейменов С.А., Петраков А.М. Информационная безопасность. – М.: Академия, 2009. – 336с.Назаров С.В. Локальные вычислительные сети. Книга 1. Москва «Финансы и статистика» 2008, с. 24Хореев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2009.Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2008. – 544с.Приложение 1 – Инструкция сотрудника службы безопасностиУТВЕРЖДАЮГенеральный директорООО «Тех ЗИ»(подпись)(и.о. фамилия)«____» ______________ 20__ г.ДОЛЖНОСТНАЯ ИНСТРУКЦИЯсотрудника службы безопасности1. Общие положения1.1. Относится к категории технических исполнителей.1.2. Назначение и увольнение с должности охранника производится по приказу генерального директора организации по представлению начальника службы безопасности.1.3. Охранник подчиняется непосредственно начальнику службы безопасности и его заместителю.1.4. Во время вынужденного отсутствия должностные обязанности делегируются другому охраннику или сторожу по приказу генерального директора организации.1.5. Охранник должен знать:действующее законодательство РФ, относящееся к деятельности охранных служб;инструкции пропускного режима, виды и внешние признаки различных пропусков, товарных накладных, способы отличить поддельный документ от подлинного;знать внешние отличия подписей должностных лиц, в компетенции которых давать разрешения на въезд, выезд, вход и выход с территории охраняемого объекта;правила проверок грузов, провозимых на автотранспорте;порядок задержания подозрительных лиц и правонарушителей, порядок их передачи милицейскому патрулю;методы использования пожарно-охранных систем, виды противопожарной защиты;порядок инвентаризации помещений, сдачи и принятия охранного караула;порядок действия при возникновении чрезвычайных ситуаций.1.6. Охранник руководствуется в своей деятельности:действующим законодательством Российской Федерации;Правилами внутреннего рабочего распорядка и трудовой дисциплины, а также иными актами, принятыми внутри компании, и регулирующими деятельность охранной службы;приказами и распоряжениями начальников;данной Инструкцией.2. Функциональные обязанности охранникаОхранник обязан:2.1. Охранять объекты материальной собственности и ценности организации.2.2. Проверять документы у лиц, проникающих на территорию предприятия и покидающих ее. Проводить осмотр подозрительных грузов, ввозимых и вывозимых с территории предприятия. Проверять путевые листы, товарные накладные и другие сопроводительные документы. Давать разрешения на въезд или выезд только после того, как удостоверился в подлинности пропускных документов.2.3. Контролировать исправность и наличие средств пожаротушения, сигнализаций, замков и т.д. Незамедлительно сообщать начальнику службы безопасности о выявленных нарушениях. 2.4. Реагировать на сигналы тревожных сирен, принимать меры по выяснению причин срабатывания сигнализации и систем оповещения.2.5. Участвовать в задержании преступников и правонарушителей.2.6. При получении сигнала тревоги блокировать подъездные пути к территории предприятия, перекрыть выходы и входы и дожидаться наряда охраны или милиции.2.7. Применять табельное оружие при возникновении угрозы жизни и здоровья охранника или иных лиц, а также при незаконном проникновении третьих лиц на территорию охраняемого объекта.3. Права охранникаОхранник имеет право:3.1. Запрашивать и получать документацию, которая регулирует деятельность охранника на данном объекте.3.2. Предлагать руководителю меры по усилению безопасности на объекте и повышению эффективности работы охранных служб в рамках своей компетенции. 3.3. Требовать официального оформления в соответствии с положениями действующего трудового законодательства и создания нормальных условий труда.4. Ответственность охранникаОхранник несет ответственность:4.1. За уклонение от выполнения или халатное выполнение функциональных обязанностей охранника.4.2. За несоблюдение указов, инструкций и поручений руководства.4.3. За нарушение правил внутреннего трудового распорядка, трудовой дисциплины, правил техники безопасности, охраны труда и противопожарной безопасности. При превышении должностных полномочий и неправомерном использовании табельного оружия в рамках мер, предусмотренных гражданским и уголовным Кодексом РФ.СОГЛАСОВАНО:Руководительструктурного подразделения: ______________________________________________________(подпись)__________________________________(ФИО)Начальникюридического отдела: _____________________________________________________________(подпись) __________________________________(ФИО)С инструкцией ознакомлен: ________________________________________________________(подпись) __________________________________ (ФИО)Приложение 2 – ИнструкцияадминистраторасетиУТВЕРЖДАЮГенеральный директорООО «Тех ЗИ»(подпись)(и.о. фамилия)«____» ______________ 20__ г.ДОЛЖНОСТНАЯ ИНСТРУКЦИЯАдминистратора сетиI. Общие положения1. Системный администратор относится к категории специалистов.2. На должность системного администратора назначается лицо, имеющее профильное профессиональное образование, опыт технического обслуживания и ремонта персональных компьютеров и оргтехники, знающее основы локальных сетей (стек протоколов TCP/IP, сетевое оборудование, принципы построения локальных вычислительных сетей).3. Системный администратор должен знать:3.1.Технические характеристики, назначение, режимы работы, конструктивные особенности, правила технической эксплуатации оборудования локальных вычислительных сетей, оргтехники, серверов и персональных компьютеров.3.2. Аппаратное и программное обеспечение локальных вычислительных сетей.3.3. Принципы ремонта персональных компьютеров и оргтехники.3.4. Языки и методы программирования.3.5. Основы информационной безопасности, способы защиты информации от несанкционированного доступа, повреждения или умышленного искажения.3.6. Порядок оформления технической документации.3.7. Правила внутреннего трудового распорядка.3.8. Основы трудового законодательства.3.9. Правила и нормы охраны труда, техники безопасности и противопожарной защиты.4. Назначение на должность системного администратора и освобождение от должности производится приказом директора по представлению руководителя отдела IT.5. Системный администратор подчиняется непосредственно руководителю отдела IT.II. Должностные обязанности системного администратораСистемный администратор:1. Устанавливает на серверы и рабочие станции операционные системы и необходимое для работы программное обеспечение.2.Осуществляет конфигурацию программного обеспечения на серверах и рабочих станциях.3.Поддерживает в работоспособном состоянии программное обеспечение серверов и рабочих станций.4.Регистрирует пользователей локальной сети и почтового сервера, назначает идентификаторы и пароли.5.Осуществляет техническую и программную поддержку пользователей, консультирует пользователей по вопросам работы локальной сети и программ, составляет инструкции по работе с программным обеспечением и доводит их до сведения пользователей.6.Устанавливает права доступа и контролирует использование сетевых ресурсов.7.Обеспечивает своевременное копирование, архивирование и резервирование данных.8.Принимает меры по восстановлению работоспособности локальной сети при сбоях или выходе из строя сетевого оборудования.9.Выявляет ошибки пользователей и программного обеспечения и принимает меры по их исправлению.10.Проводит мониторинг сети, разрабатывает предложения по развитию инфраструктуры сети.11.Обеспечивает сетевую безопасность (защиту от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных), безопасность межсетевого взаимодействия.12.Осущестляет антивирусную защиту локальной вычислительной сети, серверов и рабочих станций.13.Готовит предложения по модернизации и приобретению сетевого оборудования.14.Осуществляет контроль за монтажом оборудования локальной сети специалистами сторонних организаций.15.Сообщает своему непосредственному руководителю о случаях нарушения правил пользования локальной вычислительной сетью и принятых мерах. III. Права системного администратораСистемный администратор имеет право:1.Устанавливать и изменять правила пользования локальной вычислительной сетью.2.Знакомиться с документами, определяющими его права и обязанности по занимаемой должности, критерии оценки качества исполнения должностных обязанностей.3.Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей должностной инструкцией обязанностями.4.Требовать от руководства обеспечения организационно - технических условий, необходимых для исполнения должностных обязанностей. IV. Ответственность системного администратора1. Системный администратор несет ответственность за:1.1. Нарушение функционирования локальной вычислительной сети, серверов и персональных компьютеров вследствие ненадлежащего исполнения своих должностных обязанностей.1.2. Несвоевременную регистрацию пользователей локальной вычислительной сети и почтового сервера.1.3. Несвоевременное уведомление руководства о случаях нарушения правил пользования локальной вычислительной сетью.2. Системный администратор привлекается к ответственности:2.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией - в пределах, установленных действующим трудовым законодательством Российской Федерации.2.2. За правонарушения, совершенные в процессе своей деятельности - в пределах, установленных действующим административным, уголовным и гражданским законодательством Российской Федерации.2.3. За причинение материального ущерба компании - в пределах, установленных действующим законодательством Российской Федерации.Приложение 3 – Инструкцияспециалистапо ИБУТВЕРЖДАЮГенеральный директорООО «Тех ЗИ»(подпись)(и.о. фамилия)«____» ______________ 20__ г.ДОЛЖНОСТНАЯ ИНСТРУКЦИЯСпециалиста по информационной безопасностиI. Общие положения1. На должность:- специалиста по защите информации назначается лицо, имеющее высшее профессиональное (техническое) образование без предъявления требований к стажу работы;- специалиста по защите информации II категории - лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации или других должностях, замещаемых специалистами с высшим профессиональным образованием не менее 3 лет;- специалиста по защите информации I категории - лицо, имеющее высшее профессиональное (техническое) образование и стаж работы в должности специалиста по защите информации II категории не менее 3 лет.2. Назначение на должность специалиста по защите информации и освобождение от нее производится приказом директора предприятия по представлению начальника отдела по защите информации.3. Специалист по защите информации должен знать:3.1. Законодательные акты, нормативные и методические материалы по вопросам, связанным с обеспечением защиты информации.3.2. Специализацию предприятия и особенности его деятельности.3.3. Технологию производства в отрасли.3.4. Оснащенность вычислительных центров техническими средствами, перспективы их развития и модернизации.3.5. Систему организации комплексной защиты информации, действующей в отрасли.3.6. Методы и средства контроля охраняемых сведений, выявления каналов утечки информации, организацию технической разведки.3.7. Методы планирования и организации проведения работ по защите информации и обеспечению государственной тайны.3.8. Технические средства контроля и защиты информации, перспективы и направления их совершенствования.3.9. Методы проведения специальных исследований и проверок, работ по защите технических средств передачи, обработки, отображения и хранения информации.3.10. Порядок пользования реферативными и справочно-информационными изданиями, а также другими источниками научно-технической информации.3.11. Достижения науки и техники в стране и за рубежом в области технической разведки и защиты информации.3.12. Методы и средства выполнения расчетов и вычислительных работ.3.13. Основы экономики, организации производства, труда и управления.3.14. Основы трудового законодательства.3.15. Правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты.4. Специалист по защите информации подчиняется непосредственно начальнику отдела по защите информации.5. На время отсутствия специалиста по защите информации (отпуск, болезнь, пр.) его обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащее исполнение возложенных на него обязанностей. II. Должностные обязанности специалиста по защите информацииСпециалист по защите информации:1. Выполняет сложные работы, связанные с обеспечением комплексной защиты информации на основе разработанных программ и методик, соблюдения государственной тайны.2. Проводит сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью выработки и принятия решений и мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.3. Анализирует существующие методы и средства, применяемые для контроля и защиты информации, и разрабатывает предложения по их совершенствованию и повышению эффективности этой защиты.4. Участвует в обследовании объектов защиты, их аттестации и категорировании.5. Разрабатывает и подготавливает к утверждению проекты нормативных и методических материалов, регламентирующих работу по защите информации, а также положений, инструкций и других организационно-распорядительных документов.6. Организует разработку и своевременное представление предложений для включения в соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и защите информации.7. Дает отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и сооружений и другие разработки по вопросам обеспечения защиты информации.8. Участвует в рассмотрении технических заданий на проектирование, эскизных, технических и рабочих проектов, обеспечивает их соответствие действующим нормативным и методическим документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений.9. Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование.10. Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.III. Права специалиста по защите информацииСпециалист по защите информации имеет право:1. Знакомиться с проектами решений руководства предприятия, касающихся его деятельности.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с предусмотренными настоящей инструкцией обязанностями.3. В пределах своей компетенции сообщать своему непосредственному руководителю о всех выявленных в процессе осуществления должностных обязанностей недостатках в деятельности предприятия (его структурных подразделениях) и вносить предложения по их устранению.4. Запрашивать лично или по поручению своего непосредственного руководителя от специалистов подразделений информацию и документы, необходимые для выполнения его должностных обязанностей.5. Привлекать специалистов всех (отдельных) структурных подразделений к решению задач, возложенных на него (если это предусмотрено положениями о структурных подразделениях, если нет - то с разрешения их руководителей).6. Требовать от своего непосредственного руководителя, руководства предприятия оказания содействия в исполнении им своих должностных обязанностей и прав. IV. Ответственность специалиста по защите информацииСпециалист по защите информации несет ответственность:1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией - в пределах, определенных действующим трудовым законодательством Российской Федерации.2. За правонарушения, совершенные в процессе осуществления своей деятельности - в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.3. За причинение материального ущерба - в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.