Разработка политики безопасности производственного предприятия

Курсовая работа Разработка политики безопасности производственного предприятия ...

Введение 3
1. Аналитическая часть 5
1.1. Понятие информационной безопасности 5
1.2. Понятие политики безопасности 6
1.3. Современные средства физической, аппаратной и программной защиты информации 9
1.4. Постановка задачи 12
2. Проектная часть 15
2.1. Выбор и обоснование модели защиты информации 15
2.2. Выбор и обоснование физических (некомпьютерных) мер защиты информации 21
2.3. Выбор и обоснование аппаратных (компьютерных) мер защиты информации 23
2.4. Выбор и обоснование программных мер защиты информации 26
2.5. Организационное обеспечение 31
Заключение 34
Библиографический список 35

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и д ругие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.
Во-вторых разработать политику безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:
- обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
- выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
- определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
- разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
- обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.
Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.
Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться соответствующими положениями Трудового кодекса.

вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров и т.д.); - персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).- персональные данные клиентов (фамилия, имя, отчество, дата рождения, телефон, данные о заказа и о персональных скидках)· защищаемая от утраты общедоступная информация:- документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)· средства защиты информации (антивирусные программы, система сигнализации и видеонаблюдения, система противопожарной охраны.)· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников)Предметом защиты информации в ателье являются носители информации, на которых зафиксированы, отображены защищаемые сведения:· Личные дела клиентов в бумажном и электронном (база данных клиентов и работников) виде;· Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.КП-2068280-0808-06-2014Изм.Лист№ докум.Подп.ДатаРазработалИванов И.ИЛит.Лист ЛистовПроверилАлексеев В.В.У2333КонсультантПроектная частьТвГТУ ПИ-13.08УтвердилПалюх Б.В. 2.0 Проектная частьЭффективность современной организации сегодня всё больше определяется степенью использования информационных технологий в процессе его функционирования. Происходит непрерывное увеличение как объема информации, обрабатываемой в электронном виде, так и количества различных информационных систем. В связи с этим на передний план в задаче обеспечения безопасности предприятия выходит разработка политики безопасности и защита информации на предприятии. Обеспечение защиты информации предусматривает необходимость защиты нескольких видов тайн: коммерческой и персональных данных. Наиболее важной представляется защита персональных данных, так как доверие клиентов в первую очередь основывается на предоставлении своих личных данных, и соответственно, сохранением их сотрудниками организации. Поэтому целью обеспечения безопасности в ателье является разработка политики безопасности и обеспечение надежной защиты информации на предприятии для его нормального функционирования.2.1. Выбор и обоснование модели защиты информацииОсновными объектами защиты в ателье являются:· персонал (так как эти лица допущены к работе с охраняемой законом информацией (коммерческая тайна, персональные данные) либо имеют доступ в помещения, где эта информация обрабатывается)· объекты информатизации - средства и системы информатизации, технические средства приема, передачи и обработки информации, помещения, в которых они установлены, · информация ограниченного доступа: - коммерческая тайна (сведения о применяемых оригинальных методах управления предприятием, сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным и др. вопросам; сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления организации (управляющих партнеров и т.д.); - персональные данные работников (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, уровень квалификации, доход, наличие судимостей и некоторая другая информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника).- персональные данные клиентов (фамилия, имя, отчество, дата рождения, телефон, данные о заказа и о персональных скидках)· защищаемая от утраты общедоступная информация:- документированная информация, регламентирующая статус предприятия, права, обязанности и ответственность его работников (Устав, журнал регистрации, учредительный договор, положение о деятельности, положения о структурных подразделениях, должностные инструкции работников)· материальные носители охраняемой законом информации (личные дела работников, личные дела клиентов, электронные базы данных работников и клиентов, бумажные носители и электронные варианты приказов, постановлений, планов, договоров, отчетов, составляющих коммерческую тайну)· средства защиты информации (антивирусные программы, система сигнализации и видеонаблюдения, система противопожарной охраны.)· технологические отходы (мусор), образовавшиеся в результате обработки охраняемой законом информации (личные дела бывших клиентов и сотрудников)Предметом защиты информации в ателье являются носители информации, на которых зафиксированы, отображены защищаемые сведения:· Личные дела клиентов в бумажном и электронном (база данных клиентов и работников) виде;· Приказы, постановления, положения, инструкции, соглашения и обязательства о неразглашении, распоряжения, договоры, планы, отчеты, ведомость ознакомления с Положением о конфиденциальной информации и другие документы, составляющие коммерческую тайну, в бумажном и электронном виде.Угрозы защищаемой информации.Внешние угрозы:· Конкуренты (частные ателье, являющиеся конкурентами ателье «Vilden»);· Административные органы (органы государственной власти);· Преступники.Внутренние угрозы:· Персонал;· Администрация предприятия.Классификация угроз:1. По объектам:1.1. Персонал;1.2. Материальные ценности;1.3. Финансовые ценности.2. По ущербу:2.1. Материальный;2.2. Моральный.3. По величине ущерба:3.1. Предельный (полное разорение);3.2. Значительный (некоторая валового дохода);3.3. Незначительный (потеря прибыли).4. По отношению к объекту:4.1. Внутренние;4.2. Внешние.5. По вероятности возникновения:5.1. Весьма вероятные;5.2. Вероятные;5.3. Маловероятные.6. По характеру воздействия:6.1. Активные;6.2. Пассивные.7. По причине проявления:7.1. Стихийные;7.2. Преднамеренные.К источникам дестабилизирующего воздействия на информацию относятся :-люди;-технические средства отображения (фиксации), хранения, обработки, воспроизведения, передачи информации, средства связи и системы обеспечения их функционирования; -природные явления.Виды и способы дестабилизирующего воздействия на защищаемую информацию дифференцируются по источникам воздействия. Самое большее количество видов и способов дестабилизирующего воздействия имеет отношение к людям. Со стороны людей возможны следующие виды воздействия, приводящие к уничтожению, искажению и блокированию:1. Непосредственное воздействие на носители защищаемой информации.2. Несанкционированное распространение конфиденциальной информации.3. Вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи.4. Нарушение режима работы перечисленных средств и технологии обработки информации.5. Вывод из строя и нарушение режима работы систем обеспечения функционирования названных средств.Несанкционированное распространение конфиденциальной информации может осуществляться путем:-словесной передачи (сообщения) информации;-передачи копий (снимков) носителей информации;-показа носителей информации;-ввода информации в вычислительные сети;-опубликования информации в открытой печати;-использования информации в открытых публичных выступлениях, в т.ч. по радио, телевидению;-потеря носителей информации.Способами нарушения режима работы технических средств отображения, хранения, обработки, воспроизведения, передача информации, средств связи и технологии обработки информации, приводящими к уничтожению, искажению и блокированию информации, могут быть:-повреждение отдельных элементов средств;-нарушение правил эксплуатации средств;-внесение изменений в порядок обработки информации; - заражение программ обработки информации вредоносными программами;-выдача неправильных программных команд;-превышение расчетного числа запросов;-создание помех в радио эфире с помощью дополнительного звукового или шумового фона, изменения (наложения) частот передачи информации;- передача ложных сигналов - подключение подавляющих фильтров в информационные цепи, цепи питания и заземления;-нарушение (изменение) режима работы систем обеспечения функционирования средств. К видам дестабилизирующего воздействия на защищаемую информацию со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи и систем обеспечения их функционирования относятся выход средств из строя; сбои в работе средств и создание электромагнитных излучений. К числу наиболее вероятных каналов утечки информации можно отнести: · визуальное наблюдение; · подслушивание; · техническое наблюдение; · прямой опрос, выведывание; · ознакомление с материалами, документами, изделиями и т.д.; · сбор открытых документов и других источников информации; · хищение документов и других источников информации; · изучение множества источников информации, содержащих по частям необходимые сведения. Направления защиты информацииПравовая защита - специальные правовые правила, процедуры и мероприятия, создаваемые в целях обеспечения информационной безопасности предприятия. Организационная защита - регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, использующей нанесение ущерба. Организационную защиту обеспечивает:- Организация режима охраны, работы с кадрами, документами;- Использование технических средств безопасности;-Использование информационно-аналитической работы по выявлению угроз.Инженерно-техническая защита - использование различных технических средств для обеспечения защиты конфиденциальной информации. Инженерно-техническая защита использует такие средства как:- Физические - устройства, инженерные сооружения, организационные меры, исключающие или затрудняющие проникновение к источникам конфиденциальной информации (системы ограждения, системы контроля доступа, запирающие устройства и хранилища);- Аппаратные - устройства, защищающие от утечки, разглашения и от технических средств промышленного шпионажа-Программные средства.Методы защиты информацииОсновными методами, используемыми в защите информации являются следующие: · реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;· резервирование технических средств, дублирование массивов и носителей информации;· использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;· организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;· предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.Принципы учета засекреченной информации:- обязательность регистрации всех носителей защищаемой информации;- однократность регистрации конкретного носителя такой информации;- указание в учетах адреса, где находится в данное время данный носитель засекреченной информации ;- единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.Средства защиты информацииСредства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.В качестве основания классификации средств защиты информации используются основные группы задач, решаемые с помощью технических средств:-создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.);-выявление попыток проникновения на объект охраны, к местам сосредоточения носителей защищаемой информации (электронные и электронно-оптические сигнализаторы);-предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения и т.д.);-поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны;-нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения и т.п.);-комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам;-комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.Знание возможностей методов и средств защиты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации.Модель политики безопасностиВ настоящее время лучше всего изучены два вида политики безопасности: дискреционная и мандатная, основанные, соответственно на избирательном и полномочном способах управления доступом.Следует отметить, что средства защиты, предназначенные для реализации какого-либо из названных способа управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компетенцию администрации системы.Мандатный контроль над доступом (Mandatory Access Control, MAC) в систему означает независимость доступности информации от её владельца. Как правило, в подобных случаях контроль за доступом реализуется исходя из свойств самой информации и свойств желающего получить к ней доступ согласно независимым от них обоих правилам. Характерен для моделей, предназначенных для реализации в военных и государственных системах защиты.Строго говоря, критерии определения того, к какому классу относится тот или иной метод контроля над доступом, далеко не всегда дают определенный результат, но являются весьма точными для большинства классических моделей политики безопасности.Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control -DAC), которое определяется двумя свойствами:· права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила;· все субъекты и объекты должны быть идентифицированы.В данной курсовой работе рассмотрена модель дискреционной политики безопасности предприятия.Дискреционное управление доступом - это метод ограничения доступа к объектам, который основан на том, что некоторый субъект (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.Данная модель реализует дискреционное (произвольное) управление доступом субъектов к объектам и контроль за распространением прав доступа.2.2. Выбор и обоснование физических (некомпьютерных) мер защиты информацииК мерам физической защиты информации относятся:-защита от огня;-защита от воды;-защита от коррозийных газов;-защита от электромагнитного излучения;-защита от воровства и кражи;-защита от взрыва;-защита от падающих обломков;-защита от пыли;-защита от несанкционированного доступа в помещение.В первую очередь надо подготовить помещение, где будет стоять компьютер. Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов компьютера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.Другая характерная ошибка связана с резервным копированием. О его необходимости знают все, так же как и о том, что на случай возгорания нужно иметь огнетушитель. А вот о том, что резервные копии нельзя хранить в одном помещении с компьютером, почему-то забывают. В результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с компьютером.Часто, даже защитив компьютеры, забывают, что в защите нуждаются и всевозможные провода - кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей. Лучший вариант защиты кабеля - это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм.Помимо Интернета, компьютеры включены еще в одну сеть - обычную электрическую. Именно с ней связана другая группа проблем, относящихся к физической безопасности компьютеров. Ни для кого не секрет, что качество современных силовых сетей далеко от идеального. Даже если нет никаких внешних признаков аномалий, очень часто напряжение в электросети выше или ниже нормы. При этом большинство людей даже не подозревают, что в их доме или офисе существуют какие-то проблемы с электропитанием.Пониженное напряжение является наиболее распространенной аномалией и составляет около 85% от общего числа различных неполадок с электропитанием. Его обычная причина - дефицит электроэнергии, который особенно характерен для зимних месяцев. Повышенное напряжение почти всегда является следствием какой-либо аварии или повреждения проводки в помещении. Часто в результате отсоединения общего нулевого провода соседние фазы оказываются под напряжением 380 В. Бывает также, что высокое напряжение возникает в сети из-за неправильной коммутации проводов.Источниками импульсных и высокочастотных помех могут стать разряды молний, включение или отключение мощных потребителей электроэнергии, аварии на подстанциях, а также работа некоторых бытовых электроприборов. Чаще всего такие помехи возникают в крупных городах и в промышленных зонах. Импульсы напряжения при длительности от наносекунд (10~9 с) до микросекунд (10~6 с) могут по амплитуде достигать нескольких тысяч вольт.