Защита информации в ростелеком.

Дипломный проект написанный в июне 2013 года. Был сдан на ОТЛ в МФПА. Уникальность 70%. ...

ВВЕДЕНИЕ 3
1 АНАЛИТИЧЕСКАЯ ЧАСТЬ 6
1.1 Технико-экономическая характеристика предметной области и ОАО «Ростелеком» 6
1.1.1 Общая характеристика предметной области 6
1.1.2 Организационно-функциональная структура предприятия 7
1.2 Анализ рисков информационной безопасности ОАО «Ростелеком» 12
1.2.1 Идентификация и оценка информационных активов 12
1.2.2 Оценка уязвимостей активов 21
1.2.3 Оценка угроз активам 26
1.2.4 Оценка существующих и планируемых средств защиты 33
1.2.5 Оценка рисков 45
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации в ОАО «Ростелеком» 49
1.3.1 Выбор комплекса задач обеспечения информационной безопасности 49
1.3.2 Определение места проектируемого комплекса задач вкомплексе задач предприятия, детализация задач информационной безопасности и защиты информации 54
1.4 Выбор защитных мер 57
1.4.1 Выбор организационных мер 57
1.4.2 Выбор инженерно-технических мер 59
2 ПРОЕКТНАЯ ЧАСТЬ 62
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации ОАО «Ростелеком» 62
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации ОАО «Ростелеком» 62
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 70
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации ОАО «Ростелеком» 72
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации ОАО «Ростелеком» 72
2.2.2 Контрольный пример реализации проекта и его описание 75
3 Обоснование экономической эффективности проекта 83
3.1 Выбор и обоснование методики расчёта экономической эффективности 83
3.2 Расчёт показателей экономической эффективности проекта 87
ЗАКЛЮЧЕНИЕ 94
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 96
Приложение. Общие положения политики информационной безопасности 99

В условиях современного бизнеса руководители крупных организаций все чаще склоняются к радикальным мерам по защите информации, которая может в будущем привести фирму к краху. Основной причиной такого поведения директоров является появление большого количества рейдеров, которые так и норовят оторвать себе кусок от «большого» бизнеса.
Сложно поспорить с тем, что любая крупная организация, по сути, является живым организмом, в котором отказ одной из его систем приводит к полному краху. Кабинет руководителя, являясь мозгом сложного организма, нуждается в защите, поэтому главной, но не единственной задачей, которая ставиться перед персоналом организации, является защита от прослушивания кабинета руководителя.
Порой защита информации является единственным способом для руководителя защитить свой бизнес от вторжения и насильственного поглощения. Необходимо отметить, что чаще всего защититься от нападения рейдеров, если те совершенно точно для себя решили поглотить интересующий их бизнес, практически невозможно.
Рейдеры, будучи хорошо подкованными с юридической стороны, поглощают компании совершенно законно, поэтому доказать незаконность сделки невозможно. Чаще всего первое к чему прибегают рейдеры – это прослушивание телефона и запись телефонного разговора руководителя, что дает им возможность узнать слабые места в организации и действовать в заданном направлении.
Главным секретом большого бизнеса сегодня является умение сохранить недоступность информации для постороннего человека, именно поэтому многие руководители, прекрасно понимая, что рейдеры используют методы далекие от моральных норм и этики, делают все возможное, чтобы исключить прослушивание телефона и запись телефонного разговора в кабинете.
Информационная безопасность – одно из популярнейших сегодня понятий. Наша жизнь уже неразрывно связана с информационными технологиями в современном их понятии, и поэтому защищать свои данные уже приходится каждому из нас. Одно из основных направлений в обеспечении информационной безопасности – это безопасность при пользовании удаленными сервисами, что особенно актуально при совершении финансовых транзакций.
Безопасность в сфере информационных технологий — это комплекс мер, и она должна восприниматься как система. Компьютерная безопасность имеет различные аспекты, среди которых нельзя выделить более значимые или менее. Здесь важно все. Нельзя отказаться от какой-либо части этих мер, иначе система не будет работать.
Компьютерная безопасность мало отличается от безопасности в общем смысле. В обычной жизни никто не будет ставить железную дверь с хорошим замком на деревянный амбар с дыркой в стене. Точно так же и автомобиль с хорошей резиной, но неисправными тормозами будет небезопасен. Аналогично и при обеспечении компьютерной безопасности важно соблюдать меры защиты во всех точках соприкосновения с агрессивной средой. Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т.д. Доступ к данным тоже должен быть безопасным, и люди, работающие с информацией, могут рассматриваться как звено в цепочке механизма, который обеспечивает работоспособность и безопасность всей системы.
В нашей работе будут рассмотрены вопросы, касающиеся построения системы комплексной системы защиты информации в ОАО «Ростелеком», в том числе формирования политики безопасности компании.
Целью настоящей работы является рассмотрение существующего положения с обеспечением информационной безопасности в данной организации, принятие решение о модернизации существующей системы информационной безопасности, обоснование решений по организационным, правовым, программным и инженерно-техническим составляющим системы, обоснование экономической эффективности предлагаемых мероприятий.
В соответствии с целями работы в ней поставлены следующие задачи:
• анализ предприятия и информационных потоков, функционирующих между отделами в ходе повседневной деятельности;
• выбор комплекса задач обеспечения информационной безопасности;
• обоснование организационно-административных мер по модернизации существующей системы защиты информации;
• выбор программных и инженерно-технических мер по защите информации;
• выбор и обоснование методички расчета экономической эффективности предлагаемых мер.

д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»);15) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;16) вскрытие шифров криптозащиты информации.Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.В связи с этим назрела необходимость в создании комплексной системе обеспечении информационной безопасностиКомплексная система информационной безопасности включает в себя следующие элементы и складывается путем реализации вопросов ИБ:в корпоративной культуре и этике сотрудников;в работе кадровойслужбы и службы безопасности по кандидатам на работу;в работе службы ИБ с персоналом по вопросам инструктажа, консультирования и обучения персонала;в усилиях хозяйственной службы и службы безопасности по физической защите территории предприятия и помещений, в которых циркулирует критичная информация;в деятельности по созданию и поддержанию работоспособности информационных систем (питание, климат-контроль; пожаротушение; охранно-пожарная сигнализация; система ограничения и контроля доступа);в основных регламентирующих эти вопросы документах, созданных службой ИБ (концепции ИБ предприятия и политик ее реализации во всех направлениях деятельности предприятия, где присутствует информационное взаимодействие);в технических методах (схемах, планах), внедренных IT-службой при создании, модификации корпоративной информационной системы, обслуживающей бизнес-процессы и бизнес-задачи предприятия;в созданных юридической службой и службой ИБ документах и процедурах, позволяющих в рамках федерального законодательства:проводить необходимые действия с персоналом и кандидатами на работу;заключать предусматривающие информационное взаимодействие договоры с внешними организациями;предоставлять защищенную в соответствии с федеральным законодательством информацию внешним структурам и лицам;осуществлять на предприятии деятельность по защите информации.то есть разрабатываемая система должна обеспечивать безопасность обработки информации со всех сторон. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информацииНа рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым затруднениям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее, она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.Основной проблемой реализации систем защиты является: с одной стороны, обеспечение надежной защиты, находящейся в системе информации (исключение случайного и преднамеренного получения информации посторонними лицами), с другой стороны, системы защиты не должны создавать заметных неудобств авторизированным пользователям в ходе их работы с ресурсами системы.Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов защиты информации (ЗИ).На основе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации. Под системностью как основной частью системно-концептуального похода понимается:системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информациисистемность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятиясистемность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планамсистемность организационная, означающая единство организации всех работ по ЗИ и управления имиКонцептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех производимых работ. Комплексный (системный) подход к построению любой системы включает в себя:изучение объекта внедряемой системы;оценку угроз безопасности объекта;анализ средств, которыми будем оперировать при построении системы;оценку экономической целесообразности;изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности;соотношение всех внутренних и внешних факторов;возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца. Комплексный (системный) подход — это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречий требований и характеристик. Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты:Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте;Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.);Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности. Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты;Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стремится. Эта цель может быть описана как назначение системы, как ее функция;Критерий эффективности. Необходимо всегда рассматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечивающей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инструмент сравнения — критерий эффективности. Он должен: характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах создания системы.Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода. Выбор защитных мер Выбор организационных мерВ качестве основных организационных мер предполагается модернизация существующей политик безопасности путем разработки дополняющих ее документов, которые бы конкретизировали выполнение мер обеспечения информационной безопасности по отдельным вопросам и угрозам.Политика информационной безопасности — самый важный документ в системе управления информационной безопасностью (СУИБ) организации, выступающий в качестве одного из ключевых механизмов безопасности.Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа — политики СУИБ, включающей в себя основные положения для определения целей СУИБ и устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливающей критерии для оценивания рисков и т.д.Политика информационной безопасности и политика СУИБ организации могут быть описаны в одном документе. Разработка такого документа — задача непростая и очень ответственная. С одной стороны политика информационной безопасности должна быть достаточно емкой и понятной для всех сотрудников организации. С другой стороны, на основе этого документа строится вся система мер по обеспечению информационной безопасности, поэтому он должен быть достаточно полным и всеохватывающим. Любые упущения и неоднозначности могут серьезным образом отразиться на функционировании СУИБ организации. Политика информационной безопасности должна полностью соответствовать требованиям международных стандартов ISO 27001/17799. Это необходимое условие для успешного прохождения сертификации.Определить политику СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, которая:включает в себя основу для определения ее целей и устанавливает общее направление и принципы деятельности по отношению к информационной безопасности;учитывает требования бизнеса и требования законодательной или нормативной базы, а также контрактные обязательства в области безопасности;объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение СУИБ;устанавливает критерии для оценивания рисков ;утверждена руководством.Документированная политика информационной безопасности должна быть утверждена руководством, опубликована и доведена до сведения всех сотрудников организации и внешних сторон, к которым она относится.Документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью в организации. Документированная политика должна содержать следующие заявления:определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации (см. Введение);заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса;основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками;краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая:соответствие требованиям законодательства, нормативной базы и договоров;требования к повышению осведомленности, обучению и тренингам в области безопасности;управление непрерывностью бизнеса;последствия нарушений политики информационной безопасности;определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности;ссылки на документы, которые могут поддерживать политику, например, более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи.Эта политика информационной безопасности должна быть доведена до сведения всех пользователей организации в форме, являющейся актуальной, доступной и понятной для читателей, которым она предназначена.Политика информационной безопасности должна быть частью более общей документированной политики. Выбор инженерно-технических мерВ состав инженерно-технических обеспечения информационной безопасности входят система охранного видеонаблюдения, система контроля и управления доступом, а также системы охранной и пожарной сигнализации. Инженерно-техническая защита информации - одна из основных составляющих комплекса мер по защите информации, составляющей государственную, коммерческую и личную тайну. Этот комплекс включает нормативно-правовые документы, организационные и технические меры, направленные на обеспечение безопасности секретной и конфиденциальной информации.Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению информационной безопасности техническими средствами и решает следующие задачи:Предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения.Защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении.Предотвращение утечки информации по различным техническим каналам.Инженерно-техническая защита информации представляет собой достаточно быстро развивающуюся область науки и техники на стыке теории систем, физики, оптики, акустики, радиоэлектроники, радиотехники, электро- и радиоизмерений и других дисциплин. Круг вопросов, которыми вынуждена заниматься инженерно-техническая защита, широк и обусловлен многообразием источников и носителей информации, способов и средств её добывания, а, следовательно, и защиты. Для обеспечения эффективной инженерно-технической защиты информации необходимо определить:что защищать техническими средствами в данной организации, здании, помещениикаким угрозам подвергается защищаемая информация со стороны злоумышленников и их технических средствкакие способы и средства целесообразно применять для обеспечения информационной безопасности с учётом как величины угрозы, так и затрат на её предотвращениекак организовать и реализовать техническую защиту информации в организации.Кроме того, необходимо применять шифрование данных, хранящихся на ПК пользователей и серверах. Для этого будем использовать программный продукт той же компании - Secret Disk 4 . Система защиты конфиденциальной информации и персональных данных Secret Disk 4 защищает конфиденциальную информацию на персональном компьютере. С её помощью можно создавать на компьютере зашифрованные диски (секретные диски) — диски с зашифрованным содержимым, работать с которыми может только пользователь-владелец и его доверенные лица. Любой другой пользователь, пусть даже наделённый административными полномочиями на данном компьютере, не может получить доступ к зашифрованным дискам.ПРОЕКТНАЯ ЧАСТЬКомплекс организационных мер обеспечения информационной безопасности и защиты информации ОАО «Ростелеком»Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации ОАО «Ростелеком»Правовую основу обеспечения информационной безопасности в Российской Федерации составляют Конституция Российской Федерации, Гражданский Кодекс Российской Федерации, Уголовный Кодекс Российской Федерации, Федеральные законы Российской Федерации «О безопасности», «О государственной тайне», «Об информации, информатизации и защите информации», «О связи», «Об участии в международном информационном обмене», «О техническом регулировании». А также другие нормативные правовые акты Российской Федерации, Доктрина информационной безопасности Российской Федерации, международные договоры и соглашения, заключенные или признанные Российской Федерацией.Основные положения государственной политики в сфере обеспечения информационной безопасности изложены в Концепции национальной безопасности Российской Федерации и Доктрине информационной безопасности Российской Федерации.Согласно Доктрине информационной безопасности Российской Федерации выделены четыре основные составляющие национальных интересов РФ в информационной сфере:обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности, создание условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;защита информационных ресурсов от несанкционированного доступа (НСД), обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.Конституцией Российской Федерации определено, что мероприятия по защите информации не должны прямо или косвенно влиять на частную жизнь сотрудников, вне рамок, определенных служебными обязанностями. Не допускается сбор сведений о частной жизни сотрудников, ознакомление с их перепиской. Гражданский кодекс Российской Федерации определяет, что объектом права являются (ст. 128) — «...информация, результаты интеллектуальной деятельности, в том числе исключительные права на них (интеллектуальная собственность)». Кроме этого определяются понятия служебной и коммерческой тайны (ст. 139), определяются характерные признаки, присущие сведениям, составляющим служебную и коммерческую тайну. Кроме этого устанавливается, что «лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну, вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору». Статьей 727 устанавливается, что сторона, которая получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна, не вправе сообщать ее третьим лицам без согласия другой стороны. Уголовным Кодексом Российской Федерации предусматривается уголовная ответственность, которая может, в том числе, распространяться на сотрудников Компании при:сборе или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (ст.137);нарушении тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, в том числе, совершенное лицами с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации (ст.138);нарушении авторских и смежных прав, нарушении изобретательских и патентных прав (ст.146, ст.