комплексная система защиты информации в условиях ООО (название типографии)

В рамках данной работы был проведено изучение системы информационной безопасности на примере структуры ООО «Альтграфик», проведена оценка рисков, угроз активам.
В рамках работы над теоретической частью работы проведено рассмотрение теоретических основ и нормативной базы систем защиты информации. Было проведено определение перечня информации, отнесенной к разряду конфиденциальных данных, перечня документов, образующихся в работе типографии ООО «Альтрафик», в которых фигурирует конфиденциальная информация. Проведен анализ классификации типов конфиденциальных данных с использованием методики ФСТЭК, оценки степеней защищенности автоматизированных информационных систем, документационного и организационного обеспечения исполнения требований законодательных актов относительно класса конфиденци ...

Введение 4
I Аналитическая часть 6
1.1. Технико-экономическая характеристика предметной области и предприятия 6
1.2. Анализ рисков информационной безопасности 11
1.2.1. Идентификация и оценка информационных активов 11
1.2.2. Оценка уязвимостей активов 19
1.2.3 Оценка угроз активам 20
1.2.4.Оценка существующих и планируемых средств защиты 27
1.2.5.Оценка рисков 37
1.3.Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 40
1.3.1.Выбор комплекса задач обеспечения информационной безопасности 40
1.3.2.Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 42
1.4.Выбор защитных мер 43
1.4.1.Выбор организационных мер 43
1.4.2.Выбор инженерно-технических мер 46
II Проектная часть 52
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 52
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 52
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 59
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 65
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 65
2.2.2. Контрольный пример реализации проекта 65
III Выбор и обоснование методики расчёта экономической эффективности 87
3.1 Выбор и обоснование методики расчёта экономической эффективности 87
3.2 Анализ структуры затрат на обеспечение информационной безопасности ООО «Альтграфик» 90
Заключение 98
Список источников и литературы 100
Приложение 1 102
Приложение 2 105
Приложение 3 109

 

В настоящее время с развитием информационных технологий появляются возможности обработки больших массивов информации. Общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. Объектом обработки данных становится финансовая информация, информация, составляющая коммерческую тайну, а также данные о личной жизни и состоянии здоровья людей. Утечка информации, содержащей коммерческую тайну, может привести к прямым убыткам, а в некоторых случаях поставить под угрозу само существование организации. Все чаще становятся известными случаи, когда утечка персональной информации приводила к совершениям неправомерных операций злоумышленниками (выдача кредитов, снятие наличных средств). Недостаточная защищенность элек тронных учетных записей также зачастую приводит к утечкам денежных средств со счетов граждан. Все вышесказанное показывает актуальность внедрения технологий защиты информации во все сферы, связанные с работой в автоматизированных системах [1].
Цель дипломной работы заключается в разработке системы мероприятий по совершенствованию комплексной системы информационной безопасности на примере общества с ограниченной ответственностью «Альтиграфика».
Объект исследования: ООО «АЛЬТИГРАФИКА».
Предмет исследования: система информационной безопасности ООО «АЛЬТИГРАФИКА».
ООО «АЛЬТИГРАФИКА» работает в области типографского бизнеса. Основными направлениями деятельности типографии являются: производство полиграфической продукции, печать на промо-одежде, сувенирной продукции, создание портфолио. Технология ООО «АЛЬТИГРАФИКА» предполагает работу с информацией, содержащей компоненты коммерческой тайны. Кроме того, в работе организации используются системы электронного документооборота, что предполагает необходимость построения комплексной системы защиты информации.
В рамках выполнения дипломной работы мной были выполнены следующие задачи:
- анализ системы информационной безопасности ООО «АЛЬТИГРАФИКА»;
- анализ исполнения требований федерального законодательства в области информационной безопасности специалистами ООО «АЛЬТИГРАФИКА»;
- анализ локальных нормативных актов ООО «Альтиграфика» в области защиты информации»;
- анализ структуры информационной системы предприятия;
- анализ технологических компонент защиты информации;
- рекомендации по совершенствованию системы информационной безопасности;
- оценка экономической эффективности мер по совершенствованию системы информационной безопасности.
Проведена разработка организационных мероприятий по обеспечению информационной безопасности, сформулированы предложения по совершенствованию технологии защиты информации.
Потребность предприятия в аудите системы информационной безопасности обусловлена требованиями законодательства в области информационной безопасности, ростом числа угроз информационной безопасности, необходимостью выработки политики информационной безопасности на предприятии [2].
Методы исследования: изучение литературных источников, нормативно-правовой базы, изучение технической документации средств защиты информации, анализ состояния работы в области защиты информации, сравнения, включенного наблюдения.
 

Пентаплекс.11400Выходы мониторов:1 TV, BNC, 1 VGA;Аудио: 4/1;Тревожные вх.: 16;Релейные вых.: 3 канала, 30VDC, 1A, NO/NCTCP/IP; DHCP; Email; UDP; DNS; FTP; IP Filter; PPPOE; DDNS; Alarm ServerD1/4CIF(704Ч576/704Ч480) - 6 кадр/с (25 кадр/с - первый и девятый канал);2CIF(704Ч288/704Ч240) , CIF(352Ч288/352Ч240) , QCIF(176Ч144/176Ч120) - 25 кадр/с/H.264/6 выбираемых уровней (6 наивысшый)Прочее:Жесткий диск HDD: 1 x 3.5” SATA (объемом до 2 ТБ);Форматы отображения: 1, 4, 8, 9, 16 окон;Режимы воспроизведения: одновременно 4 канала, функции воспроизведения, паузы, остановки, быстрого просмотра, медленного просмотра, следующих файлов, предыдущих файлов, следующей камеры, предыдущей камеры, полноэкранного режима, повтора, выборочного резервного копированияAi-D365 16-канальный регистратор в корпусеиз сплава алюминия14435Видео: 16 BNC/ 2 BNC, 1 D-Sub VGAАудио: 2/1;TCP/IP; HTTP; PPPoE; DHCP; FTP; DDNS; TSM60 кадр/сек. (720x480), 120 кадр/сек. (720x240), 240 кадр/сек. (360x240) (NTSС); 50 кадр/сек. (720x576), 100 кадр/сек. (720x288), 200 кадр/сек. (360x288) (PAL)/H.264Прочее:Поддержка жёстких дисков: Поддержка одного жесткого диска типа 3,5" SATA до 2 Тб каждый и более;Режим записи: Ручной режим/постоянная/ по расписанию/ по тревоге;Режим воспроизведения: По кадрам. Ускоренное воспроизведение вперед и назад (до 64х);Функции тревоги:1. Детекция движения (с конфигурируемой областью и чувствительностью) 2. Потеря изображения 3. Вход датчика 4. 8 контактов на датчики или сигнал TTL/CMOS, выбираемая полярность 5. Отправка e-mail сообщения на стационарDVR3116. 16-ти канальный цифровой видеорегистратор.8900Видео: 16 BNC/ 1 TV BNC, 1 VGAАудио: 4/1TCP/IP; UDP; DHCP; DNS; IP Filter; PPPoE; DDNS; FTP; Email; Alarm Server(D1 - 704x576; CIF -352x288)6 кад/с (D1)25 кад/с (CIF)/H.264Прочее:Жесткий диск: 1 порт SATA, максимальный объем жесткого диска 2TB;Форматы отображения: 1, 4, 8, 9, 16 окон;Режим записи: Вручную, По расписанию (Постоянная, По детекции (видео детекция: определение движения, пустой экран, потеря видеосигнала), Тревога), Стоп;Приоритет записи: Ручная > Тревога > Детекция движения > Постоянная;Функции воспроизведения: Воспроизведение, пауза, стоп, быстрый просмотр, медленный просмотр, следующий файл, предыдущий файл, следующая камера, предыдущая камера, полноэкранный режим, повтор, выборочное резервное копирование, изменение масштаба изображения до любого размера.Приведение данных мер в исполнение повысит как уровень охранной безопасности компании, так и уровень сохранности информации, находящейся на компьютерах сотрудников. II Проектная часть2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятияРассмотрим нормативную базу систем защиты информации применительно к объектам информатизации. Объектами защиты в автоматизированных системах могут являться [2]:- персональные данные граждан;- криптографические системы, ключи ЭЦП;- объекты, связанные с коммерческой тайной;- автоматизированные системы, связанные с денежными транзакциями.С развитием автоматизированных средств обработки данных становится возможной утечка больших массивов информации по определенной тематике, в том числе и содержащей информацию персонифицированного характера. Современные носители информации малогабаритны, и при этом позволяют хранить региональные или даже федеральные базы данных. Распространены случаи продаж баз данных, содержащих большие объемы информации, в том числе через сеть Интернет. Известны прецеденты, когда утечка информации приводила к прямым материальным потерям их обладателя. Нормативной базой технологии информационной безопасности являются: федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы безопасности Российской Федерации (ФСБ), Ростехнадзора, ФСТЭК, регулирующие вопросы безопасности информации.В настоящее время основными нормативными актами, регулирующими вопросы защиты информации, являются:- Конституция Российской Федерации;- Федеральный закон о персональных данных (152-ФЗ от 27.07.2006);- Федеральный закон об информации информационных технологиях и о защите информации (149-ФЗ от 27.07.2006);- Федеральный закон об электронной подписи (63-ФЗ от 06.04.2011);- регламентирующие документы ФСТЭК, ФСБ.Определение понятия «защита информации» дается в ст. 16 ФЗ «Об информации, информационных технологиях и защите информации» (149-ФЗ от 27.07.2006):Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;2) соблюдение конфиденциальности информации ограниченного доступа;3) реализацию права на доступ к информации». Статья 1 указанного Закона показывает, что:- деятельность по защите информации применима ко всем категориям информации, описанной в ст. 5 Закона. Для различных категорий информации содержание защиты (выбираемые способы защиты информации) будет различаться;- выбираемые способы защиты информации применимы ко всем описанным ранее объектам информационного права;- государственное регулирование отношений в сфере защиты информации осуществляется в двух формах: установление требований о защите информации и установление ответственности за ответственности за нарушение информационного законодательства;- основным субъектом информационного права, на которого возложена обязанность защиты информации, является обладатель информации;- для защиты государственных информационных ресурсов и технологий федеральные органы исполнительной власти устанавливают обязательные для исполнения требования на обеспечение информационной безопасности этих ресурсов и технологий;- федеральное законодательство может ограничивать использование в РФ определенных средств защиты информации и осуществление отдельных видов деятельности по защите информации для всех субъектов информационного права. Ограничения могут выражаться в форме прямых запретов или государственного контроля [например, лицензирование деятельности).Информационная безопасность включает в себя все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, неотказуемости, доступности, аутентичности, подотчетности и достоверности информации и средств ее обработки [2].Согласно 149-ФЗ, информацию можно разделить на:- общедоступную;- конфиденциальную;- информацию, относимую к государственной тайне. Конфиденциальная информация - это информация, не относящаяся к государственной тайне, доступ к которой ограничен согласно федеральным нормативно-правовым актам. Группы конфиденциальной информации [2]:1) информация для служебного использования;2) информация, относимая к коммерческой тайне;3) информация, содержащая персональные данные;4) информация, относимая к профессиональной тайне.Таблица 1. Международные стандарты, направленные на обеспечение технологической безопасностиВ таблице 2.1 приведен перечень международных стандартов в области информационной безопасности, используемых в условиях ООО «Альтграфик»Таблица 2.1Перечень международных стандартов в области информационной безопасности, используемых в условиях ООО «Альтграфик»ISO 09126:1991. ИТ.Оценка программного продукта. Характеристики качества и руководство по их применению.ISO 09000-3:1991.Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения.ISO 12207:1995.Процессы жизненного цикла программных средств.ANSI/IEEE 829 - 1983.Документация при тестировании программ.ANSI/IEEE 1008 - 1986.Тестирование программных модулей и компонент ПС.ANSI/IEEE 1012 - 1986.Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.В таблице 2.2 приведен перечень российских стандартов информационной безопасности, используемых в работе ООО «АльтГрафик»Таблица 2.2Перечень стандартов в области ООО «Альтиграфика» информационной безопасностьюНаименование ГОСТНазначение ОписаниеГОСТ Р 34.10-2012Технология шифрования и работы с ЭЦПОпределяет криптографический алгоритм для шифрования и функционирования технологии ЭЦПГОСТ Р ИСО/МЭК 13335-1-2006Управление информационными системами в области информационной безопасности Организация ООО «Альтиграфика» разработкой информационных систем в части обеспечения выполнения требований информационной безопасностиГОСТ Р ИСО/МЭК ТО 13335-3-2007Менеджмент безопасности информационных технологийОпределяет порядок ООО «Альтиграфика» ИТ-подразделениями предприятий в части обеспечения информационной безопасности, документационное обеспечение систем информационной безопасностиГОСТ Р ИСО/МЭК ТО 13335-4-2007Определение защитных мер в области информационной безопасностиВыбор технологических мер защиты информацииГОСТ Р ИСО/МЭК ТО 13335-5-2006Управление безопасностью при использовании сетевых технологийОпределяет требования к обеспечению информационной безопасности при использовании сетевых технологийГОСТ Р ИСО/МЭК 17799-2005Стандарт проектирования систем информационной безопасностиОпределяет требования для разработчиков при проектировании системы информационной безопасностиГОСТ Р ИСО/МЭК 15408-1-2008Оценка прикладного ПО с точки зрения информационной безопасностиОпределяет порядок тестирования стороннего прикладного программного обеспечения на предмет соблюдения требований информационной безопасностиГОСТ Р 51583-2000Использование систем защиты информации для организаций различного профиля деятельностиОпределяет перечень мер информационной безопасности при использовании отраслевых решенийГОСТ Р 50.1.053- 2005Технологические меры защиты информацииОпределяет порядок использования технических средств защиты информации (аппаратных ключей, средств аутентификации и др.)ГОСТ Р 51188-98Стандарт антивирусной защитыОпределяет порядок использования антивирусных программных средств: цели использования, методы настройки, организационные аспекты использованияГОСТ Р 51275-2006Угрозы информационной безопасностиОпределение факторов угроз информационной безопасностиСТО БР ИББС-1.0-2014Стандарт безопасности банковской системыОпределяет порядок организационных и технологических мер по реализации требований информационной безопасности в банковской системе РоссииISO 27001:2005Стандарт проектирования систем информационной безопасностиОпределяет порядок проектирования систем информационной безопасности на предприятиях различного рода деятельностиГОСТ 18044-2007Управление системой информационной безопасностиОрганизация менеджмента систем информационной безопасностиГОСТ Р 51558-2000Система охранного телевиденияОпределяет порядок использования видеотерминалов в системах видеонаблюденияГОСТ 26342-84Средства охранной, пожарной и охранно-пожарной сигнализации. Типы, основные параметры и размерыОпределяет порядок использования систем охранной и пожарной сигнализацииГОСТ Р 53113.2-2009Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналовПроектирование модели злоумышленника, системы защиты от утечек информации по скрытым каналам связиКаждая из перечисленных категорий информации определяется и защищается правовыми нормами, источники которых можно рассматривать отдельно.К деятельности по обеспечению информационной безопасности относят также защиту интеллектуальной собственности.С вопросами обеспечения информационной безопасности тесно связанная проблемы юридические аспекты, регулирующие деятельность в области ИТ-технологий, которые можно разделить по сферам деятельности:1) телекоммуникационные технологии;2) криптографические системы, в т.ч. электронный документооборот;3) сертификация, лицензирование и аттестация инфраструктуры информационной безопасности.Кроме этого, к деятельности по защите информации относят механизмы применения мер ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Эта деятельность регулируется на государственном уровне.Таким образом, при обзоре нормативно-правовых актов РФ предлагается отдельно рассматривать направления, регламентирующие деятельность в сфере обработки и защиты [7]:1) общедоступной информации;2) информации, относимой к коммерческой тайне;3) служебной информации ограниченного распространения;4) информации, относимой к профессиональной тайне;5) информации, содержащей персональные данные;6) информации, относимой к гостайне;7) объектов интеллектуальной собственности;8) информации с использованием объектов связи и коммуникаций;9) информации с использованием криптографических средств;10) информации и объектов информатизации при необходимости лицензирования, сертификации и аттестации объектов и средств защиты информации;11) в случаях нарушения законодательства РФ об информации, информационных технологиях и о защите информации. Таким образом, основная нормативная база федеральных законов определяет общие принципы аттестации объектов информатизации по безопасности информации. Детализация требований к объектам информатизации содержится в нормативных актах ФАПСИ, ФСБ, ФСТЭК.Согласно нормативным документам в области информационной безопасности проведена классификация автоматизированных систем по типам обрабатываемой информации, к каждому из которых сопоставлены соответствующие организационно-технологические меры по защите информации.Согласно проведенному исследованию, по результатам аудита информационной системы ООО «Альтграфик» класс информационной системы отнесен к типу К3, соответственно требования к информационной безопасности должны быть сопоставлены данному классу.2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятияОрганизационные меры защиты информации в ООО «Альтграфик» включают в себя:- документационное оформление процессов защиты информации;- организацию пропускного и внутриобъектового режима;- определение ответственности специалистов в рамках нормативных документов в области защиты информации;- организацию защиты от несанкционированного доступа.В целях обеспечения безопасности информации ООО «Альтграфик» принимаются меры правового, организационного, технического и морально-этического характера.Создание нормативно-правовой базы защиты информации осуществляется путем принятия на основе действующего законодательства нормативных актов, регламентирующих правила обращения (выполнения операций) с информацией. Данные акты закрепляют права и обязанности участников информационных отношений, правила предоставления, порядок обработки информации, использования средств защиты, а также ответственность работников за нарушение установленных правил, определяют требования по мерам защиты информации организационного и технического характера.Организационные меры защиты – это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).Техническая защита информации АИС ООО «Альтграфик» представляет собой процесс комплексного применения технических мер защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к ней, от непредусмотренных технологией обработки, в том числе умышленных, воздействий. В качестве средств технической защиты применяются также средства контроля эффективности защиты информации, средств и систем ООО «Альтиграфика», предназначенных для обеспечения защиты информации.В целях обеспечения безопасности информации АИС принимаются меры по предотвращению проникновения нарушителей на объекты защиты, по предотвращению потери информации и функциональности средств АИС в различных ситуациях.В соответствии со сформулированными угрозами, в подразделениях ООО «Альтграфик» необходимо принятие организационных мер, определенных в локальных документах, перечень которых приведен в таблице 2.3. Каждому из типов угроз, определенных в п.2.2, сопоставлено технологическое решение, подкрепленное документационным обеспечением.Таблица 2.3. Документационное обеспечение защиты конфиденциальной информацииУгрозаТехнология защитыДокументационное обеспечениеВизуальный съём отображаемой информации (присутствие посторонних лиц при обработке данных специалистом)Блокировка экрана с помощью электронного ключа«Инструкция о пропускном и внутриобъектовом режиме»Вредоносная программа;Антивирусное программное обеспечение«Положение об антивирусной защите»Вторжение в ИСПД по информационно-телекоммуникационным сетямТехнология VipNet«Аппаратный журнал VipNet Coordinator»Закладка аппаратнаяТестирование аппаратных средств«Акт ввода в эксплуатацию средств вычислительной техники»Закладка программнаяТестирование программных средств«Положение о Фонде Алгоритмов и Программ»Произвольное копирование баз данныхРазграничение доступа«Таблицы разграничения доступа к информационным ресурсам»,«Инструкция о резервном копировании информационных ресурсов»Накопление данных пользователем ИСПДОграничение прав доступа«Обязательство о неразглашении информации конфиденциального характера»Программные ошибкиИнформирование разработчиков«Акт ввода в промышленную эксплуатацию»Ошибочные действия персоналаПрограммные средства защиты«Лист ознакомления пользователя с инструкцией по работе с программой»Стихийное бедствие, катастрофаРезервное копирование«Инструкция о порядке хранения, обращения МНИ»Компрометация ЭЦПГенерация новых ключей, расследование причин компрометации«Инструкция по работе с криптографическими средствами»Компрометация пароляСмена пароля, расследование причин компрометации«Инструкция по парольной защите»Таким образом, в подразделениях ООО «Альтграфик» проведено документационное обеспечение противодействию угрозам конфиденциальности информации при её обработке в автоматизированный информационной системе. В таблице 2.4 приведено распределение обязанностей по специалистам в области информационной безопасности в подразделениях ООО «Альтграфик». Для ознакомления пользователей с требованиями защиты информации под роспись предлагаются следующие документы:Временная инструкция по авторизации пользователей регионального сегмента АИС Памятка пользователям информационной системы по вопросам информационной безопасности.Памятка руководителям структурных подразделений по вопросам информационной безопасности.Инструкция о порядке учёта, хранения и обращения машинных носителей информации.Положение о порядке работы с документами, содержащими информацию конфиденциального характера.Инструкция о пропускном и внутриобъектовом режиме охраны здания и внутренних помещений.Положение о работе с персональными данными работников ООО «Альтграфик».Положение о порядке отнесения информации в подразделениях ООО «Альтграфик» к конфиденциальной.Реестр документов, образующихся в деятельности в подразделениях ООО «Альтграфик», относящихся к утвержденному перечню сведений конфиденциального характера.Таблица 2.