проект комплексной системы защиты информации

ВВЕДЕНИЕ

Новые информационные технологии и мощные компьютерные системы обработки и хранения информации, которые продолжают быстрое развитие, требуют современного подхода к эффективной защите информации от сбоев и посягательств третьих лиц на неё. Вместе с ростом сложности архитектуры хранения, обработки и передачи информации растёт и сложность систем защиты и безопасного хранения данных. Защита экономической информации и личных данных постепенно становится обязательной. Для этого разрабатываются документы и рекомендации по защите информации. Одними из таких документов, например, являются ряд ФЗ об информационной безопасности, которые рассматривают проблемы, ставят задачи и решают некоторые уникальные вопросы, связанные с защитой информации.

На сегодняшнее время роль информационной безопасность очень важна, из-за участившихся случаев кражи информации.

Таким образом, средства обеспечения информационной безопасности, для защиты от угроз, стали обязательной характеристикой информационных систем.

В процессе проектирования широкого круга систем хранения и обработки информации, на сегодняшний день, фактор защиты конфиденциальной информации имеет особое значение. К таким системам, например, относятся банковские и корпоративные системы, а также системы электронного документооборота, для них информационная безопасность является жизненно важной для защиты информации.

Объектом исследования, в данной курсовой работе, выступает информационная безопасность предприятия ООО «Домашний компьютер».

Предмет исследования – состояние, методы обеспечения информационной безопасности, а также разработка системы комплексной защиты информации предприятия.

Целью курсовой работы является разработка проекта комплексной системы защиты информации в ООО «Домашний компьютер». Для достижения данной цели необходимы комплексное изучение и определение особенностей обеспечения информационной безопасности в информационной системе предприятия. Цепь исследования предполагает решение следующих задач:

– выявить источники угрозы информационной безопасности;

– рассмотреть способы защиты информации;

– рассмотреть правовую сторону информационной безопасности;

– определить необходимость разработки проекта;

– обосновать экономическую эффективность проекта.

При решении поставленных задач использовались следующие методы исследования: диалектический и логический, функциональный метод, методы системного анализа, экономический подход и эмпирические методы.

Для разработки проекта необходимо применение теоретических положений, вытекающие из общей теории безопасности. При выполнении данной работы необходимо руководствоваться Конституцией Российской Федерации, а также положениями, содержащихся в федеральных законах, указах Президента РФ, постановлениях Правительства РФ и других государственных правовых актах. Также необходим анализ трудов отечественных и зарубежных исследователей в данной области.

ГЛАВА 1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ 1.1.  Характеристика предприятия

Основная деятельность предприятия ООО «Домашний компьютер» заключается в продаже компьютерной техники и комплектующих для нее, а также предоставление следующих услуг:

–   сборка компьютеров;

–   ремонт и обслуживание компьютерной техники и оргтехники;

– выезд специалиста на место (в черте города) для проведения ремонтных работ и консультации пользователя ПК;

–   установка операционных систем Windows и Linux;

– установка дополнительного ПО для работы с документами, интернетом, записи дисков, просмотра фильмов, прослушивания музыки;

–   установка антивирусного ПО;

–   очистка компьютерной техники от вредоносных программ;

– чистка компьютерной техники от загрязнений, смазка вентиляторов и замена термопасты радиаторов охлаждения;

–   обучение пользователей работе с компьютером и сетью Интернет;

–   восстановление данных с различных типов носителей.

Основными потребителями данных услуг являются рядовые пользователи компьютерной техники. Однако крупнейшими с финансовой стороны являются юридические лица и муниципальные предприятия, заказывающие компьютеры и их комплектующие, а также оргтехнику и ее дальнейшее техническое сопровождение.

ООО «Домашний компьютер» является крупнейшим игроком, предоставляющий данный спектр услуг, на рынке города. Об этом свидетельствуют финансовая отчетность за прошлый год и количество заключенных договоров с юридическими лицами.

1.2.    Значение системы обеспечения информационной безопасности для предприятия

На стадии принятия решения для запуска системы обеспечения информационной безопасности (СОИБ) требуется одобрение руководящего состава предприятия. Из этого следует, что первостепенной задачей, которую необходимо выполнить, сбор информации, которая в полной мере покажет значение СОИБ для предприятия.

Целью разработки данного проекта, является построение системы комплексной защиты хранимой и передаваемой информации. В результате проектирования определятся слабые места в существующей системе защиты информации, которые могут повлечь серьезные экономические последствия для организации.

В ходе проектирования будут выявлены возможные пути проникновения в систему, а также разработаны меры минимизации последствий аварий, сбоев, отказов, ошибок эксплуатации и стихийных бедствий.

В связи с тем, что организация является лидирующей на рынке города и высоким спросом в данном сегменте, возможным риском является проявление незаконной конкурентной борьбы.

Важнейшей для предприятия является информация о поставщиках и клиентах компании. Также согласно Федерального закона [Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ] необходимо обеспечить надлежащее хранение персональных данных сотрудников и клиентов.

1.3. Идентификация и оценка информационных активов предприятия

Информационный актив – это информация, находящаяся в распоряжении организации и имеющая ценность для неё, в независимости от вида её представления. Они могут относится к тому или иному типу, при этом каждая организация имеет свой набор активов.

Одной из проблем, при формировании перечня активов, является выделение из всего массива информации, используемой в бизнес-процессах организации, именно ценных сведений. Формируя такой перечень необходимо обратить внимание на тот факт, что не все сведения могут составлять коммерческую тайну, данные ограничения регулируются статьей 5 Федерального закона от 29.07.2004 N 98-ФЗ (ред. от 11.07.2011) «О коммерческой тайне».

Информационные активы ООО «Домашний компьютер» по категориям:

– информационные активы (базы данных компании, содержащие информацию о сотрудниках и клиентах, а также о финансовых операциях и транзакциях);

– программные ресурсы (программные продукты, корпоративные сервисы);

– физические ресурсы (рабочие станции, сервера, сетевое и телекоммуникационное оборудование);

– сервисные ресурсы (электронная почта, веб ресурсы, онлайн-хранилища, каналы передачи данных и т.п.).

На основе функциональной модели были выявлены следующие потоки информации [16, стр. 84]:

−    заказы клиентов;

−    цены на товары и услуги;

−    информация об услугах (полный перечень услуг с указанием примерных сроков и стоимости);

−    скидки клиентам;

−    бухгалтерская и управленческая отчетность.

Оценка информационных активов компании представлена в таблице 1.

Таблица 1 – Оценка информационных активов компании

Вид деятельности	Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
Количественная оценка (ед. изм.)	Качественная
1	2	3	4	5	6	7
Информационные активы
Реализация услуг	Заказы клиентов	Устная информация	Менеджер	Утрата доступности	6	средняя
Реализация услуг	Переписка внутри компании	Текстовая информация	Менеджер, специалист	Потери в результате перехвата данных	9	критическое значение
Реализация услуг	Скидки клиентов	Документ	Менеджер	Утрата доступности	0,5	очень малая
Реализация услуг	Цены на товары и материалы	Прайс-лист	Менеджер	Утрата доступности	7	высокая
Реализация услуг	Расходные накладные	Документ	Менеджер	Утрата доступности	6	средняя
Реализация услуг	Наряд на выполнение работ	Документ	Менеджер	Утрата доступности	6	средняя
Реализация услуг	Инвентаризационная ведомость	Документ	Администратор	Утрата доступности	9	критическое значение
Закупка расходных материалов	Приходные накладные	Документ	Заведующий складом	Утрата доступности	8	высокая
Бухгалтерский и налоговый учет	Бухгалтерская и налоговая отчетность	Документ	Бухгалтер	Утрата доступности	1,5	малая

Продолжение таблицы 1

1	2	3	4	5	6	7
Активы программного обеспечения
Реализация услуг	Программное обеспечение	Информация на электронном носителе	Специалист тех. поддержки	Первоначальная стоимость актива	32	средняя
Физические активы
Реализация услуг	Персонал компании	Материальный объект	Специалист тех. поддержки	Первоначальная стоимость	17	малая
Реализация услуг	Компьютерные средства	Материальный объект	Специалист тех. поддержки	Первоначальная стоимость	23	средняя
Услуги
Реализация услуг	Информационные услуги	Устная информация	Менеджер	Утрата доступности	6	средняя

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведены в таблицу 2.

Таблица 2 – Перечень сведений конфиденциального характера

№ пп	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.	Коммерческая тайна	Устав компании «Домашний компьютер»
2	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.	Коммерческая тайна	Гражданский кодекс РФ ст. 1465
3	Персональные данные сотрудников	Коммерческая тайна	Федеральный закон 152-ФЗ
4	Персональные данные клиентов	Коммерческая тайна	Федеральный закон 152-ФЗ

Результат ранжирования активов представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и представленную в таблице 3.

Таблица 3 – Результаты ранжирования активов

Наименование актива	Ценность актива (ранг)
Заказы клиентов	4
Скидки клиентов	1
Цены на товары и материалы	5
Расходные накладные	4
Наряд н выполнение работ	4
Инвентаризационная ведомость	5
Приходные накладные	5
Бухгалтерская и налоговая отчетность	4
Программное обеспечение	3
Персонал компании	1
Компьютерные средства	2
Информационные услуги	4
Текстовые сообщения	6

Таким образом, были выделены активы, имеющие наибольшую ценность: внутренняя переписка, цены на товары и материалы, инвентаризационная ведомость, приходные накладные, заказы клиентов, расходные накладные, наряд на выполнение работ, бухгалтерская и налоговая отчетность, информационные услуги, программное обеспечение.

1.2.2 Оценка уязвимостей активов

Оценка уязвимости активов проведена на основании требований стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 [4].

Уязвимость – это событие, которое возникает как результат некоторого стечения обстоятельств, когда в силу каких-то причин используемые в системах обработки данных средства защиты информации не в состоянии оказать достаточного сопротивления различным дестабилизирующим факторам и нежелательного их воздействия на информацию, подлежащую защите.

В информационной безопасности, термин уязвимость используется для обозначения такого недостатка в информационной системе, используя который, можно нарушить её целостность и обусловить неправильную работу. Уязвимость может стать результатом ошибок разработки программного обеспечения, недостатков, допущенных при проектировании информационной системы, ненадежных паролей, вредоносных программ. Можно сказать – уязвимость – это возможное место проявления угрозы безопасности информационного ресурса.

Уязвимости информационной системы организации можно выявить несколькими способами. Их может описать сотрудник компании (инженер, системный администратор или специалист службы информационной безопасности) на основании собственного опыта. Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Чаще всего именно приглашенные специалисты могут независимым взглядом «посмотреть» на существующую систему защиты информации и выявить все (или большинство) существующие уязвимости.

Показателем уязвимости некоторого актива является степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

Перечень уязвимостей, с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, сведены в таблицу 1.5.

Таблица 1.5

Оценка уязвимости активов

Группа уязвимостей

внутр. переписка

Цены на товары

Инвентари-зационная ведомость

Приходные накладные

Заказы клиентов

Расходные накладные

Наряд на выполнение работ

Бух. и налоговая отчетность

Инф-я о продукции

ПО

1. Среда и инфраструктура

Нестабильная работа электросети

низкая

2. Аппаратное обеспечение

Недостаточное обслуживание/неправильная инсталляция

высокая

средняя

средняя

средняя

средняя

средняя

средняя

средняя

низкая

средняя

Отсутствие контроля изменения конфигурации

высокая

высокая

высокая

высокая

высокая

высокая

высокая

низкая

низкая

высокая

3. Программное обеспечение

Отсутствие механизмов идентификации и аутентификации

высокая

высокая

высокая

высокая

высокая

высокая

высокая

низкая

низкая

высокая

Незащищенные таблицы паролей

высокая

высокая

высокая

высокая

низкая

высокая

низкая

низкая

низкая

высокая

Плохое управление паролями

высокая

высокая

высокая

высокая

высокая

высокая

низкая

низкая

низкая

высокая

Неправильное присвоение прав доступа

высокая

высокая

средняя

средняя

низкая

средняя

низкая

низкая

низкая

средняя

Отсутствие регистрации конца сеанса при выходе

высокая

высокая

высокая

высокая

низкая

высокая

низкая

низкая

низкая

средняя

Отсутствие эффективного контроля внесения изменений

высокая

высокая

средняя

средняя

средняя

средняя

низкая

низкая

низкая

высокая

Отсутствие резервных копий

высокая

высокая

средняя

средняя

высокая

средняя

средняя

низкая

низкая

средняя

4. Коммуникации

Неадекватное управление сетью

высокая

низкая

низкая

низкая

низкая

низкая

низкая

низкая

низкая

низкая

Незащищенные подключения к сетям

высокая

средняя

средняя

средняя

средняя

средняя

средняя

средняя

средняя

средняя

5. Документы (документооборот)

Хранение в незащищенных местах

низкая

высокая

высокая

высокая

высокая

высокая

средняя

низкая

низкая

Недостаточная внимательность при уничтожении

низкая

высокая

высокая

высокая

высокая

высокая

средняя

низкая

низкая

Бесконтрольное копирование

низкая

высокая

высокая

высокая

высокая

высокая

средняя

низкая

низкая

6.Персонал

Неправильное использование программно-аппаратного обеспечения

высокая

средняя

средняя

средняя

средняя

средняя

средняя

низкая

средняя

средняя

7. Общие уязвимые места

Неадекватные результаты проведения тех. обслуживания

высокая

низкая

низкая

низкая

низкая

низкая

низкая

низкая

низкая

низкая

1.2.3 Оценка угроз активам

Угроза – это потенциальная причина инцидента, который может нанести ущерб системе или организации. Инцидент информационной безопасности – это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.

Существуют пассивные и активные угрозы. Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на саму информацию, не вызывая искажений и нарушений информации. К пассивной угрозе можно, например, отнести прослушивание каналов связи, просмотр данных из базы данных..

Цель активных угроз - нарушение нормальной работы информационной системы путем целенаправленного воздействия на ее составляющие. Активные угрозы портят информацию, воздействуют на саму информационную систему. Так, к активным угрозам можно отнести искажение информации, вывод из строя компьютерной техники, воздействие вирусов.

Умышленные угрозы бывают также двух видов: внутренние (возникающие внутри управляемой организации) и внешние (вызванные воздействием внешней среды). Внутренние угрозы чаще всего определяются недовольством сотрудников, неблагоприятным климатом внутри коллектива. Также внутренние угрозы могут быть вызваны непрофессионализмом работником или экономией на средствах защиты информации. Внешние угрозы часто осуществляются конкурентами, зависят от экономических условий и других причин.

По данным зарубежных источников, получил широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

Оценка угроз активам проведена на основании требований стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 [4]. Перечень угроз, с указанием оценки, сведены в таблицу 1.6.

Таблица 1.6

Оценка угроз активам

Группа уязвимостей	внутр. переписка	Цены на товары и материалы	Инвентари-зационная ведомость	Приходные накладные	Заказы клиентов	Расходные накладные	Наряд на выполнение работ	Бухгалтерская и налоговая отчетность	Информация о продукции	ПО
1. Угрозы, обусловленные преднамеренными действиями
Вредоносное программное обеспечение	высокая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая
Доступ несанкционированных пользователей к сети	высокая	средняя	средняя	средняя	средняя	средняя	средняя	средняя	средняя	средняя
Использование ПО несанкционированными пользователями	высокая	высокая	высокая	высокая	высокая	высокая	высокая	низкая	высокая	высокая
2. Угрозы, обусловленные случайными действиями
Ошибка операторов	высокая	высокая	высокая	высокая	высокая	высокая	высокая	средняя	средняя	низкая
Ненадлежащее использование ресурсов	средняя	высокая	высокая	высокая	средняя	высокая	средняя	низкая	средняя	высокая
Ошибка при обслуживании	высокая	средняя	средняя	средняя	низкая	средняя	средняя	средняя	средняя	средняя
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Ухудшение состояния носителей данных	низкая	высокая	высокая	высокая	средняя	высокая	высокая	средняя	средняя	высокая
Колебания напряжения	низкая	высокая	высокая	высокая	высокая	высокая	низкая	средняя	средняя	высокая

1.2.4 Оценка существующих и планируемых средств защиты

Задачи по защите информации возложены на сотрудников IT-отдела компании, а также на руководителей подразделений.

Компания оснащена необходимыми техническими средствами, характеристики которых отражены на схеме технической архитектуры ИС компании на рисунке 1.5.

Рис. 1.5. Техническая архитектура ИС компании « Домашний компьютер»

Сервер 1С установлен на персональном компьютере, который имеет следующие параметры: Intel Сore i3 2100 3.1GHz/3MB/NoTurbo Макс. объем памяти: 32 ГБ. Типы памяти: DDR3-1066/1333. Количество каналов памяти: 2. Макс. пропускная способность памяти: 21 Гб/с.

Все отделы компании оснащены рабочими станциями со следующими параметрами: Intel Atom D525 (1.8 ГГц) / RAM 2 ГБ / HDD 1000 ГБ / nVidia ION 2, 512 МБ / DVD+/-RW Slim.

Для печати документов в отделах компании установлены принтеры, со следующими параметрами: SamsungSCX-4600+USB cable/360 МГц/256Мб/ Технология печати: Лазерная печать (ч/б) / Скорость печати составляет 22 стр./мин. при разрешении до 1200x600 тчк./дюйм.

Офисы компании оснащены многофункциональными устройствами со следующими параметрами: SamsungCLX-6220FX+USB cable/360 МГц/256Мб / Технология печати: Лазерная печать (цветная) / Встроенный факс / Сетевые интерфейсы: Ethernet / Скорость печати составляет 20 стр./мин.

Директор компании для работы использует ноутбук, который имеет следующие параметры: IntelAtomD525 (1.8 ГГц) / RAM 2 ГБ / HDD 250 ГБ / NVIDIA ION 2 / без ОДД / LAN / Wi-Fi / Bluetooth / веб-камера.

Все рабочие станции офиса соединены в локальную сеть каналами связи, с помощью технологии передачи данных Ethernetc использованием маршрутизаторов большой мощности – AirLive A.Duo. Данный маршрутизатор поддерживает одновременно два диапазона частот – 5 ГГц и 2,4 ГГц и обеспечивает высокую скорость передачи данных до 108 Мбит/с в режиме Turbo.

На сегодняшний день бухгалтерский и налоговый учет в компании осуществляется бухгалтерией с помощью программного продукта «1C: Бухгалтерия 8.0», который обеспечивает высокий уровень автоматизации ведения бухгалтерского и налогового учета и подготовки обязательной (регламентированной) отчетности в хозрасчетных организациях. Программная архитектура ИС компании представлена схемой на рисунке 1.4.

Сервер 1С – это программа и компьютер, на котором установлена и работает данная программа. Сервер 1С не является одной программой, а состоит из несколько процессов [5]:

- Агент сервера (ragent.exe) – собственно и является сервером 1С. Он ничего не делает кроме хранения и идентификации одного или группы кластеров 1С.

- Кластер 1С (rmngr.exe) – группа рабочих процессов 1С, которые осуществляют собственно обработку данных. Сам по себе кластер ничего не обрабатывает, а осуществляет менеджмент рабочих процессов.

- Рабочий процесс 1С (rphost.exe) – программа, которая обрабатывает сеанс работы пользователя.

Система 1С: Бухгалтерия 8.0 обеспечивает решение всех задач стоящих перед бухгалтерской службой.

Рис. 1.6. Программная архитектура ИС компании « Домашний компьютер»

Подготовка внутренней и внешней отчетности менеджерами по продажам и администраторами, а также необходимой сопроводительной документации в компании производится с помощью программных продуктов пакета прикладных программ Microsoft Office 2007:

- Microsoft Office Word позволяет создавать и редактировать профессионально оформленные отчеты, а так же документы строгой отчетности.

- Microsoft Office Excel позволяет выполнять вычисления, а также анализировать и визуализировать данные в электронных таблицах.

- Microsoft Office Outlook позволяет получать и отправлять почту, работать с расписаниями, контактами и задачами, а так же вести запись своих действий.

- Microsoft Office InfoPath позволяет разрабатывать и заполнять динамические формы для сбора и повторного использования данных в организации.

- Microsoft Office PowerPoint позволяет готовить презентации для демонстрации, собраний и веб-страниц.

Веб-браузер Google Chrome используется всеми отделами компании для работы в интернете (поиска, работа с электронной почтой, банковских операций и чтение новостей).

Также в компании используются различные графические пакеты, такие как Adobe Photoshp, Adobe Indesign.

Для защиты от внешних угроз операционная система предприятия «Домашний компьютер» защищена лицензионным программным продуктом «Kaspersky Internet Security 2010».Данное программное обеспечение функционирует в рамках операционной системы Microsoft Windows 7 (Корпоративная версия), установленной на всех компьютерах, имеющихся в компании.

На данный момент каждый пользователь информационной системы «1С: Бухгалтерия 8.0» имеет свой логин и пароль для входа в систему. Благодаря, чему в любой момент времени можно проследить за действиями пользователей в системе, определить, кто и когда производил те или иные операции над накладными.

Результаты оценки действующей системы безопасности информации, отражают, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации (таблица 1.7).

Таблица 1.7

Анализ выполнения задач по обеспечению информационной безопасности

№ п/п	Основные задачи по обеспечению информационной безопасности	Степень выполнения
1.	обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;	средняя
2.	организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;	средняя
3.	организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;	низкая
4.	предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;	средняя
5.	выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;	средняя
6.	обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;	высокая
7.	обеспечение охраны территории, зданий помещений, с защищаемой информацией.	высокая

1.2.5 Оценка рисков

Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. Для оценки рисков выбран метод, который предлагает использование таблицы «штрафных баллов» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 1.8).

Таблица 1.8

Таблица «штрафных баллов»

Ценность актива	Уровень угрозы
Низкий	Средний	Высокий
Уровень уязвимости	Уровень уязвимости	Уровень уязвимости
Н	С	В	Н	С	В	Н	С	В
0	0	1	2	1	2	3	2	3	4
1	1	2	3	2	3	4	3	4	5
2	2	3	4	3	4	5	4	5	6
3	3	4	5	4	5	6	5	6	7
4	4	5	6	5	6	7	6	7	8
Обозначение: Н - низкий, С - средний, В - высокий.

Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8. Значения величин размещают в матрице в структурированной форме в соответствии с таблицей 1.8.

Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует. Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку – по степени угрозы и уязвимости. Ценность настоящего метода состоит в ранжировании соответствующих рисков (таблица 1.9).

Таблица 1.9

Результаты оценки рисков информационным активам организации

Риск	Актив	Ранг риска
Утрата доступности	Цены на товары и материалы	64
Утрата доступности	Информационные услуги	59
Утрата конфиденциальности	Внутренняя переписка	56
Утрата конфиденциальности	Приходные накладные	53
Утрата конфиденциальности	Расходные накладные	48
Утрата конфиденциальности	Инвентаризационная ведомость	35
Утрата конфиденциальности	Заказы клиентов	27
Утрата доступности	Скидки клиентов	22
Нарушение целостности	Программное обеспечение	22
Утрата доступности	Наряд на выполнение работ	21
Утрата доступности	Бухгалтерская и налоговая отчетность	6

Данная таблица содержит содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания. Результаты оценки рисков являются основанием для выбора и формулировки задач по обеспечению информационной безопасности предприятия, и выбора защитных мер.

Еще одним методом оценки угроз информационной безопасности является оценка защищенности отдельных объектов защиты. К ним на предприятии относятся:

- АРМ сотрудников;

- сервер локальной сети;

- конфиденциальная информация (документы);

- кабельные линии;

- кабинеты с конфиденциальной документацией;

- базы данных предприятия.

Для каждого объекта необходимо рассчитать информационные риски. При расчетах используются следующие понятия.

Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы. Определяется на основе экспертных оценок специалистов предприятия.

Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс, задается в %. Определяется на основе статистических данных, доступных на порталах фирм – интеграторов.

Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.

1. Объект защиты – автоматизированное рабочее место (АРМ) сотрудника.

В организации имеется 170 автоматизированных рабочих мест сотрудников. Доступ в помещение посторонним лицам запрещен (система именных пластиковых карт), на каждом компьютере имеется свой пароль, однако пользователи могут оставить свой компьютер включенным, если им необходимо отойти от рабочего места, и информация будет доступна другим сотрудникам. Пароли практически никогда не меняются, случаются ситуации, что пользователи записывают их на листочках и оставляют у компьютера. Антивирус установлен только на сервере, т.к. вся информация проходит через него, однако usb-порты не отключены, и у пользователей есть возможность подключать флеш-устройства. Кроме того, у пользователей имеется выход в Интернет. Запрещен выход на сайты социальных сетей, однако другие пути почти не контролируются и размер трафика не ограничивается, что является причиной заражения вирусами.

Отправка и получение электронной почты производится через сервер, где отслеживаются все входящие и исходящие письма, поэтому отправка писем по личным вопросам или на неразрешенные адреса невозможна. Все бланки документов хранятся на сервере, а сами документы – на рабочих компьютерах пользователя. Критерий критичности (D) равен 48 337 рублей.

Проведем анализ основных угроз, характерныых для выбранного объекта и уязвимостей, через которые эти угрозы могут быть реализованы (таблица 1.10).

Таблица 1.10.

Таблица угроз и уязвимостей.

Угроза	Уязвимости
1.Физический доступ нарушителя к АРМ	1. Отсутствие системы контроля доступа служащих к чужим АРМам (пользователи могут оставить свой компьютер без присмотра с введенным паролем)
2.Отсутствие системы видеонаблюдения в кабинетах (имеются только в производственных цехах)
3.Отсутствие политики паролей
2.Сбои в работе АРМ	1. Отсутствие антивирусного ПО на самих АРМ
2.Человеческий фактор
3.Разрушение конф. информации при помощи специальных программ и вирусов	1.Отсутствие антивирусного ПО на самих АРМ
2.Отсутствие ограничения доступа пользователей к внешней сети

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V)) и критичности реализации угрозы (ER).

Таблица 1.11.

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	10	50
1/2	10	50
1/3	20	90
2/1	40	80
2/2	10	20
3/1	50	80
3/2	20	60

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 1.12.

Таблица уровня угрозы

Угроза/уязвимость	Th	CTh
1/1	0,05	0,260
1/2	0,05
	0,18
2/1	0,32	0,334
2/2	0,02
3/1	0,4	0,472
3/2	0,12

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)=0,740

Рассчитаем риск по ресурсу:

R= CThR*D=0,740*48 337 = 35 750, 36 (руб.),

с одного автоматизированного рабочего места => 170*35 750, 36 = 6 077 561 91

Таким образом, уровень риска, связанного с использованием АРМ служащего, достаточно велик – 74% и потери в денежном эквиваленте составляют 35 750, 36 руб. Причем основными проблемами являются:

- отсутствие антивируса на локальных компьютерах

- отсутствие политики паролей

- халатность пользователей

2. Объект защиты – сервер локальной сети.

Критерий критичности (D) равен 1 030 400 рублей.

Выделенный сервер находится в специальном помещении, доступ к которому запрещен посторонним лицам. На сервере хранятся общие ресурсы, которые доступны работникам с их пользовательских мест. Это всевозможные бланки документов, которые периодически обновляются, чтобы все пользователи работали с утвержденными формами документов. Доступ организован так, что все документы доступны всем пользователям сети. Это и определяет наличие таких угроз, как угрозы разглашения и изменения конфиденциальной информации, однако вероятность возникновения таких угроз достаточно мала, т.к. все сотрудники заинтересованы в нормальном функционировании предприятия. В своем большинстве, это непреднамеренные угрозы (по невнимательности или незнанию). Также возникают сбои в работе сервера, но достаточно редко.

На сервере установлен сервер электронной почты, который осуществляет прием и отправку всех почтовых сообщений, что позволяет отслеживать адресатов и отправителей сообщений. Также установлен прокси-сервер, контролирующий выход в Интернет. Политика работы в Интернете такова – запрещен выход на определенные сайты, однако размер трафика практически не контролируется, что вызывает иногда перегрузку сети и выход сервера из строя.

Кроме того, для некоторых категорий работников имеется удаленный доступ к документам, что дает возможность утечки и порчи информации на сервере.

Проведем анализ основных угроз, характерныых для выбранного объекта и уязвимостей, через которые эти угрозы могут быть реализованы (таблица 1.13).

Таблица 1.13.

Таблица угроз и уязвимостей.

Угроза	Уязвимости
1.Разглашение, уничтожение или разглашение КИ, хранящейся на сервере	1. Доступ к информации с АРМ
2. Наличие удаленного доступа
2.Выход сервера из строя	1.Большое количество подключений
2.Сбои электричества

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).

Таблица 1.14

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	10	60
1/2	10	20
2/1	20	20
2/2	10	40

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 1.15

Таблица уровня угрозы по определённой уязвимости

Угроза/уязвимость	Th	CTh
1/1	0,06	0,079
1/2	0,02
2/1	0,04	0,078
2/2	0,04

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,151

Рассчитаем риск по ресурсу:

R=CTh*D=0,151*1 030 400=155 613, 15 (руб.).

Можно сделать вывод, что риск по этому ресурсу достаточно невелик по сравнению с АРМ – всего 15,1 % и потери – 155 613,15 руб. Однако следует обратить внимание на такие угрозы, как наличие удаленного доступа, отсутствие разграничений действий пользователя.

3. Объект защиты – Конфиденциальная документация.

Конфиденциальная документация хранится, как в электронном, так и в бумажном виде. Большая часть конфиденциальных документов хранится в сейфах, хотя часть информации хранится прямо на рабочих столах компьютера. Из-за того, что сотрудникам приходится работать с большим количеством бумаг, иногда возникают ситуации потери отдельных документов.

Сами сотрудники предупреждены об ответственности за разглашение конфиденциальной информации, однако из-за нечеткой организации конфиденциального документооборота и большого объема работы, имеется возможность кражи документов другими сотрудниками.

Таблица 1.16

Таблица угроз и уязвимостей.

Угроза	Уязвимости
1.Физический доступ нарушителя к документам	1.Беспорядок на рабочем месте
2.Отсутствие видеонаблюдения
2.Несанкционированное копирование, печать и размножение КД	1. Нечеткая организация конфиденциального документооборота
2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

Конфиденциальная информация предприятия оценена службой безопасности 300 000 р., эта сумма не точная и может колебаться в большую и меньшую стороны.

Критерий критичности (D) равен 300 000 рублей.

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).

Таблица 1.17

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	20	10
1/2	20	10
2/1	20	30
2/2	10	20

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 1.18

Таблица уровня угрозы по определённой уязвимости

Угроза/уязвимость	Th	CTh
1/1	0,04	0,050
1/2	0,01
2/1	0,06	0,079
2/2	0,02

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,124

Рассчитаем риск по ресурсу:

R=CTh*D=0,124*300 000=37 347, 46 (руб.).

Риск по этому ресурсу также невелик – всего 12,4 % и потери – 37 347,46 руб. Главной проблемой является неорганизованность служащих.

4. Объект защиты – кабинеты с конфиденциальной информацией и кабельные системы.

Так как доступ на предприятие ограничен и по пропускам, и по именным картам, то проникнуть на территорию предприятия, а также в офисные помещения посторонним лицам невозможно.

1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 1.3.1 Выбор комплекса задач обеспечения информационной безопасности

На основании оценки рисков наиболее ценным информационным активам были выбраны основные задачи по совершенствованию информационной безопасности.

Можно выделить 3 группы задач разрабатываемой системы информационной безопасности:

1. Обеспечение доступности следующих активов: Цены на товары и материалы, Информационные услуги, Скидки клиентов, Наряд на выполнение работ, Бухгалтерская и налоговая отчетность.

2. Обеспечение конфиденциальности следующих активов: Приходные накладные, Расходные накладные, Инвентаризационная ведомость, Заказы клиентов, Внутренняя переписка сотрудников.

3. Обеспечение целостности следующих активов: Программное обеспечение.

Основная цель разработки системы информационной безопасности – это снижение уровня риска по каждому активу и по всем информационным объектам в совокупности. Таким образом, необходимо решить следующий комплекс задач:

1. Возможность самостоятельно в привычной терминологии запрашивать, согласовывать и получать доступ к необходимым информационным ресурсам через web-портал.

2. Возможность работать с документами без нарушения уровня конфиденциальности.

3. Возможность непрерывно контролировать все изменения правдоступа к информационным ресурсам компании и другие изменения значимых настроек; иметь всю необходимую информацию для оперативного расследования инцидентов, связанных с несоблюдением правил политики безопасности.

Основной задачей предприятия является завоевание новых рынков, привлечение покупателей за счет внедрения новинок, обеспечение доступности для клиентов информации по продукции и обслуживанию. Все это возможно только за счет обеспечения информационной безопасности на предприятии.

Внедрением системы защиты на предприятии будет заниматься системный администратор (подбор, установка, настройка и обслуживание технических и программных средств защиты), а также начальник службы безопасности и руководитель предприятия (разработка положений, приказов, распоряжений).

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

Решение задачи обеспечения информационной безопасности является очень важной для функционирования предприятия. Потеря информации приведет к выходу всей системы из строя, потере прибыли, потере постоянных клиентов.

Учитывая система мер для обеспечения информационной безопасности предприятия:

I.    Технические

1. Аппаратные:

1) Приобрести источник бесперебойного питания для сервера.

2) Установить видеокамеры.

3) Приобрести сейфы и другие устройства для хранения документации.

2. Программные:

1) Установить систему КУБ.

2) Установить программное средство Secret Net 5.1.

3) Установить на рабочие места пользователей антивирусы. Наиболее удобной будет такая система: на сервере устанавливается антивирус-сервер, а на рабочих местах – клиентские приложения, работой которых управляет сервер. Это сравнительно недорогое решение, а главное, что администратор сможет управлять проверкой всех компьютеров с сервера.

4) Усовершенствовать политику паролей. Предлагать пользователю смену пароля раз в месяц, рекомендовать использование сложного пароля.

5) Выполнить разграничение доступа к документам на сервере;

6) Выделять разное количество трафика разным группам пользователей интернета, а также определить некоторый набор ресурсов, к которым можно получить доступ.

При введении этих мер нужно взять с работников письменное соглашение о соблюдении правил работы с информацией и техникой, которые могут быть изложены в трудовом договоре или отдельным документом.

1.4 Выбор защитных мер 1.4.1 Выбор организационных мер

Защитные меры для физической безопасности включают в себя обеспечение прочности внутренних стен зданий, использование кодовых дверных замков, систем пожаротушения и охранных служб. Обеспечение безопасности персонала включает в себя проверку лиц при приеме на работу (особенно лиц, нанимающихся на важные с точки зрения обеспечения безопасности должности), контроль работы персонала и реализацию программ знания и понимания мер защиты.

Административная безопасность включает в себя безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности.

Существуют три стратегии обеспечения информационной безопасности:

- оборонительная;

- наступательная;

- упреждающая.

В рамках данного предприятия выбрана наступательная стратегия информационной безопасности. Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

В основном режиме функционирования система учета заказов компания должна обеспечивать работу пользователей в режиме «24х7» (24 часа в день, 7 дней в неделю).

В состав персонала, необходимого для обеспечения эксплуатации ИС в рамках соответствующего подразделения входят менеджеры по продажам и заведующий складом. Техническая поддержка и администрирование осуществляется штатным программистом.

К квалификации персонала, эксплуатирующего разрабатываемую систему, предъявляются следующие требования:

- Менеджер по продажам – знание принципов работы с клиентами при регистрации заказов и подборе мебели; изучение инструкции по эксплуатации ИС (руководство пользователя).

- Заведующий складом – знание принципов работы с клиентами при приеме материалов на склад; изучение инструкции по эксплуатации ИС (руководство пользователя).

- Администратор ИС – знание методологии проектирования хранилищ данных; знание 1С; опыт администрирования 1С; знание и навыки операций архивирования и восстановления данных; знание и навыки оптимизации работы 1С; знание и навыки администрирования приложения; знание инструментов разработки.

Уровень надежности должен достигаться согласованным применением организационных, организационно-технических мероприятий и программно-аппаратных средств. Надежность должна обеспечиваться за счет:

- применения технических средств, системного и базового программного обеспечения, соответствующих классу решаемых задач;

- своевременного выполнения процессов администрирования системы;

- соблюдения правил эксплуатации и технического обслуживания программно-аппаратных средств;

- предварительного обучения пользователей и обслуживающего персонала.

Для обеспечения безопасности при использовании ИС пользователям требуется соблюдать стандартные требования по технике безопасности при работе с ПК. Комплекс технических средств, необходимый для нормального функционирования ИС, должен отвечать требованиям СанПин 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы», утв. Главным государственным санитарным врачом РФ 30 мая 2003 г.

В части диалога с пользователем:

- для наиболее частых операций должны быть предусмотрены «горячие» клавиши;

- при возникновении ошибок в работе подсистемы, на экран монитора должно выводиться сообщение с наименованием ошибки и с рекомендациями по её устранению на русском языке.

Для обеспечения сохранности при авариях и сбоях необходимо предусмотреть следующие меры по восстановлению работоспособности системы:

- Резервное копирование базы данных – операция создания резервных архивных копий должна производиться автоматически ежедневно в конце рабочего дня при завершении работы ИС, либо в любой момент времени администратором системы по его инициативе.

- Восстановление из резервной копии – операция должна проводиться только администратором системы.

Предполагается, что единая база данных для работы с информационной системой будет находиться на выделенном сервере с установленной СУБД «1С: Предприятие».

Пользователи смогут подсоединяться и работать с системой посредством клиентского приложения. Для этого на сервере должно быть установлено следующее системное ПО:

- Операционная система Windows 7;

- СУБД «1С: Предприятие»;

На клиентской машине должны быть установлены:

- Операционная система Windows 7;

- Офисный пакет Microsoft Office;

- Почтовый клиент;

- СУБД «1С: Предприятие»;

Для того чтобы сотрудники компании использовали ресурсы проектируемой системы квалифицированно, эффективно и по назначению, придерживаясь норм этики и соблюдая законы, определены две категории пользователей системы, описание которых представлено в таблице 1.18.

Таблица 1.19

Разграничение прав пользователей

Пользователи	Справочники	Документы	Отчеты
Администратор	Полный доступ	Полный доступ	Полный доступ
Менеджер по продажам	Чтение Добавление Редактирование	Формирование Предварительный просмотр Печать	Формирование Предварительный просмотр Печать
Дизайнеры	Чтение Добавление Редактирование	Формирование Предварительный просмотр Печать	Формирование Предварительный просмотр Печать

План содержит подробные сведения о важнейших функциях и приоритетах, подлежащих восстановлению, необходимых условиях обработки информации и способах организации, которые необходимо осуществлять в случае аварии или временного прекращения работы системы.

К числу разрабатываемых планов можно отнести:

- положение о пропускном режиме предприятия;

- регламент защищенного (конфиденциального) документооборота;

- порядок реагирования на инциденты;

- техническое задание на разработку информационной системы;

- руководство пользователя;

- руководство администратора;

- руководство программиста.

1.4.2 Выбор инженерно-технических мер

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую — генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства. Зачастую в программно-аппаратных средствах реализуется целый комплекс мер по защите информации например, это может быть крипто-маршрутизатор с функциями межсетевого экрана.

Программные средства защиты информации Программные средства являются наиболее распространенными средствами защиты информации (особенно это касается корпоративных сетей). Их можно классифицировать следующим образом:

Встроенные средства защиты информации в сетевых ОС. При современном развитии информационных технологий и растущем уровне угроз безопасности информации, обязательным элементом операционной системы является подсистема обеспечения безопасности, в зависимости от операционной системы, уровень сложности, надежности и эффективности этих подсистем может сильно меняться, но, тем не менее, они почти всегда присутствуют. Приведем несколько примеров таких средств:

Сетевые ОС позволяют осуществить надежную "эшелонированную" защиту данных от аппаратных сбоев и повреждений с помощью системы SFT (System Fault Tolerance – система устойчивости к отказам) компании Novell. В сетевой ОС предусмотрена возможность кодирования данных по принципу "открытого ключа" (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов. В Linux системах стандартом де-факто является система межсетевого экранирования netfilter/iptables, дающая мощные возможности по управлению сетевым трафиком. Так же существует механизм chroot, который изменяет корневой каталог для программы или пользователя и позволяет запереть их там, таким образом, что остальная файловая система будет для них не доступна. Сhroot может использоваться как упреждающий способ защиты от бреши в безопасности, предотвращая возможного атакующего от нанесения любых повреждений или зондирования системы с помощью скомпрометированной программы. В Windows системах, также имеются встроенные СЗИ, например межсетевой экран – Брандмауэр Windows, или Защитник Windows - программный продукт компании Microsoft, созданный для того, чтобы удалять, помещать в карантин или предотвращать появление spyware-модулей в операционных системах Microsoft Windows.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Из наиболее распространенных решений следует отметить следующие средства защиты информации:

Программы шифрования и криптографические системы защиты информации. Шифрование представляет собой сокрытие информации от неавторизованных лиц с предоставлением в этоже время авторизованным пользователям доступа к ней. Пользователи называются авторизованными, если у них есть соответствующий ключ для дешифрования информации. Еще одной важной концепцией, является то, что цель любой системы шифрования максимальное усложнение получения доступа к информации неавторизованными лицами, даже если у них есть зашифрованный текст и известен алгоритм, использованный для шифрования. Пока неавторизованный пользователь не обладает ключом, секретность и целостность информации не нарушается.

Firewalls – брандмауэры. Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy – доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях – например, на уровне приложения (вирусы, код Java и javascript).

VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Виртуальные частные сети обладают несколькими характеристиками: трафик шифруется для обеспечения защиты от прослушивания, осуществляется аутентификация удаленного сайта, виртуальные частные сети обеспечивают поддержку множества протоколов (используемые технологии: PPTP, PPPoE, IPSec.), соединение обеспечивает связь только между двумя конкретными абонентами.

Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Обнаружение вторжений - это активный процесс, при котором происходит обнаружение злоумышленника при его попытках проникнуть в систему. При обнаружении несанкционированных действий такая система выдаст сигнал тревоги о попытке проникновения. Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки. Системы предотвращения вторжений помимо обнаружения запрещенных действий в сети могут также принимать активные меры по их предотвращению. Основными недостатками таких систем можно назвать невозможность обнаружить все атаки, осуществляемые на сеть и ложные срабатывания.

информация защита безопасность актив

2. Разработка комплекса мер по обеспечению защиты информации 2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 2.1.1 Нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

−    Конституция РФ;

−    Законы федерального уровня (включая федеральные конституционные законы, кодексы);

−    Указы Президента РФ;

−    Постановления правительства РФ;

−    Нормативные правовые акты федеральных министерств и ведомств;

−    Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести

1. Методические документы государственных органов России:

−    Доктрина информационной безопасности РФ;

−    Руководящие документы ФСТЭК (Гостехкомиссии России);

−    Приказы ФСБ;

2. Стандарты информационной безопасности, из которых выделяют:

−    Международные стандарты;

−    Государственные (национальные) стандарты РФ;

−    Рекомендации по стандартизации;

−    Методические указания.

Основным документом, в соответствии с которым фирмы выстраивают структуру защиты данных, не предназначенных для посторонних глаз, является Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне». Согласно представленному в нем определению, коммерческая тайна – это режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (п. 1 ст. 3 Закона № 98-ФЗ).

Под разглашением коммерческой тайны в законе понимается передача третьим лицам сведений, составляющих коммерческую тайну при условии, что сведения содержались хозяйствующим субъектом в тайне, что они были в установленном порядке вверены разгласившему их лицу без согласия на разглашение и что разглашением был причинен ущерб [1, п.1 ст.3].

К информации, которая требует «скрытого режима», относятся имеющие коммерческую ценность сведения не только экономического, но также организационного и производственного характера. Секретная информация может храниться в организации на совершенно разных носителях – от простой бумаги до жестких дисков компьютеров.

Существуют сведенья, которые ни при каких условиях не могут быть «засекречены» компанией. Их перечень закреплен в статье 5 Закона № 98-ФЗ. В соответствии с законом общедоступной является информация:

1) содержащаяся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащаяся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которой или недопустимость ограничения доступа к которой установлена иными федеральными законами.

Закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» так же заключает в себя правила по охране конфиденциальности информации:

1. Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

- определение перечня информации, составляющей коммерческую тайну;

- ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

- учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

- регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

- нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

2. Режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 настоящей статьи.

3. Индивидуальный предприниматель, являющийся обладателем информации, составляющей коммерческую тайну, и не имеющий работников, с которыми заключены трудовые договоры, принимает меры по охране конфиденциальности информации, указанные в части 1 настоящей статьи, за исключением пунктов 1 и 2, а также положений пункта 4, касающихся регулирования трудовых отношений.

4. Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.

5. Меры по охране конфиденциальности информации признаются разумно достаточными, если:

- исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

- обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

6. Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

- выделение специальных ЭВМ для обработки конфиденциальной информации;

- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

- организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;

- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

- постоянный контроль за соблюдением установленных требований по защите информации.

На основе анализа существующей системы безопасности было принято решение реализовать такие административные меры безопасности:

1) Разработать и утвердить приказом по предприятию:

- положение о защите сведений, содержащих коммерческую тайну, и другой информации ограниченного пользования, определённые законодательством РФ;

- перечень сведений, содержащих коммерческую тайну;

- инструкцию по правилам работы со сведениями, содержащими коммерческую тайну;

- инструкцию по делопроизводству с документами ограниченного пользования.

2) Издать приказ по предприятию, в котором:

- на руководителей подразделений возложить обязанность проведения мероприятий, направленных на обеспечение сохранности коммерческой тайны;

- определить меры административного наказания за нарушение правил работы с документами и сведениями, содержащими коммерческую тайну;

- на службу безопасности возложить обязанность по выявлению возможных нарушений, в результате которых возможна утечка охраняемых сведений.

3) Ввести запрет на хранение личной информации на компьютере.

4) Установить правила копирования документов, исключающих изготовление копий важных документов без санкции руководителя.

5) От работников, по должности обладающих сведениями коммерческой тайны, при заключении трудового договора брать письменные обязательства о неразглашении. В случае увольнения работника, требовать от него передачи всех носителей информации, составляющих коммерческую тайну, которые находились в его распоряжении.

6) Изготовить выписки, содержащие выдержки из положения о конфиденциальной информации для использования работниками в повседневной деятельности;

7) Разработать журнал учета персональной информации;

8) Разработать правила работы с электронной почтой.

9) При включении компьютера перед вводом пароля программным способом выдавать пользователю сообщение, напоминающее пользователю о правилах работы с компьютером.

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия

Для решения задачи обеспечения информационной безопасности была выбрана системв КУБ, КУБ – решение для автоматизации и управления доступом к информационным ресурсам компании и контроля соблюдения политики безопасности. КУБ предназначен для крупных компаний с большой, разнородной КИС, с географически разветвленной структурой, имеющих большое количество ежедневных кадровых операций и/или высокую цену любых ошибок, связанных с неверно предоставленными правами доступа к информационным ресурсам. КУБ позволяет автоматизировать управление учетными записями, реализовать процесс согласования прав доступа, а также обеспечить непрерывный мониторинг их изменений.

КУБ — единственная на российском рынке система, которая решает задачи сразу трех основных групп пользователей:

1. Бизнес-подразделениям. Возможность самостоятельно в привычной терминологии запрашивать, согласовывать и получать доступ к необходимым информационным ресурсам через web-портал; в любой момент времени видеть текущий статус своей заявки.

2. Службе информационных технологий/автоматизации. Возможность получать четкие инструкции к выполнению в понятных исполнителю терминах; не тратить время на уточнение требований заявок; быть уверенным, что своими действиями инженер не нарушает политику информационной безопасности компании. Возможна полная автоматизация выполнения заявок.

3. Службе информационной безопасности. Возможность непрерывно контролировать все изменения прав доступа к информационным ресурсам компании и другие изменения значимых настроек; иметь всю необходимую информацию для оперативного расследования инцидентов, связанных с несоблюдением правил политики безопасности.

Возможности КУБ

1. Управление:

−    Электронный документооборот заявок, электронная подпись и политики их согласования

−    Ролевая модель управления

−    Инструменты анализа и оптимизации ролей

−    Гибкая система отчетов для разных категорий пользователей

2. Безопасность:

−    Соответствие вносимых измений прав доступа установленной политике ИБ

−    Непрерывный контроль несанкционированных изменений прав доступа

−    Согласованное управление логическим и сетевым доступом

−    Управление цифровыми сертификатами и контроль программно-аппаратных конфигураций.

3. Автоматизация:

−    Динамическое построение маршрутов согласования заявок на изменение прав доступа

−    Управление учетными данными и правами доступа пользователей на основе кадровых изменений

−    Автоматическая генерация инструкций на изменение прав доступа, либо автоматическое исполнение инструкций

При использовании системы КУБ процесс управления доступом представлен на рисунке 2.1.

Рисунок 2.1. Процесс управления доступом

Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей. При этом роль КУБ заключается в формировании и согласовании заявок на доступ, а также реализации и контроле доступа. Именно эти задачи являются ключевыми для комплексного управления доступом.

Типовая архитектура решения задач управления доступом представлена на рисунке.

Рисунок 2.2. Типовая архитектура управления доступом

КУБ обладает следующими преимуществами:

1. Обеспечение безопасности. КУБ – единственная система, полностью решающая задачу обеспечения информационной безопасности компании в дополнение к функциональности типовой IDM. Помимо управления логическим доступом, КУБ обеспечивает управление сетевым доступом, цифровыми сертификатами и контроль программно-аппаратных конфигураций. КУБ осуществляет непрерывный контроль соответствия запрошенных и реализованных прав доступа.

2. Расследование инцидентов. Хранение полной истории всех изменений прав пользователей открывает перед службой безопасности широкие возможности по оперативному и эффективному расследованию инцидентов, связанных с нарушением политики безопасности компании. В КУБ реализована защита электронных заявок и выполняемых с ними операций (создание, согласование, отклонение) с помощью электронно-цифровой подписи.

3. Оптимизация технических ресурсов. Логика работы информационных систем в КУБ закладывается в процессе настройки, благодаря чему КУБ может оперативно выявлять несанкционированные изменения. Возможность автоматического выполнение заявок на изменение доступа, позволяет оптимизировать работу технических отделов и минимизировать ошибки, связанные с человеческим фактором.

4. Обучение и поддержка клиентов. В поставку КУБ входит подробная документация на русском языке. Для клиентов работает горячая линия поддержки. Мы обучаем наших клиентов в специализированных учебных центрах.

5. Развитие. Гибкая архитектура системы КУБ обеспечивает широкие возможности по расширению функциональности и интеграции с внешними системами. Система стремительно развивается навстречу требованиям рынка. В каждой версии КУБ появляются новые уникальные возможности.

В результате аудита информационной безопасности предприятия, были выявлены основные проблемы системы видеонаблюдения. Учитывая вышеизложенное, разработаны меры для повышения эффективности функционирования системы видеонаблюдения организации:

1. Замена устаревших видеокамер.

2. Установка камер в помещениях и на прилегающей территории.

3. Замена монитора видеооператора.

4. Установка сервера в отдельном помещении.

5. Установка видеомонитора у проходной.

6. Замена программного обеспечения вывода видеосигнала.

7. Замена соединительного кабеля.

Благодаря предложенным мероприятиям будет построена эффективная система видеонаблюдения в организации. Рассмотрим более подробно, что будут включать в себя предложенные мероприятия.

1. Замена устаревших камер.

Срок службы электронных компонентов системы охранного телевидения составляет порядка 7 лет. В кабинете директора и на проходной используются камеры производителя mintron. На основании документации о монтаже системы видеонаблюдения, закупленные камеры были не новыми. Уже использовались ранее, т.е. срок их службы может быть более 7 лет.

Для замены этих видеокамер выбраны камеры серии KPC-190. Видеокамеры серии KPC-190 обладают повышенной чувствительностью и разрешением.

2. Установка камер в помещениях.

Принято решение выбрать телекамеру KPC-S20. Видеокамеры серии KPC-S20 обладают повышенной чувствительностью и разрешением. Эта модель видеокамеры зарекомендовала себя как очень надежная и неприхотливая. Она способна дать четкое и контрастное изображение и обладает очень малыми габаритами. Производитель фирма KT&C (Корея). Камера близка по своим характеристикам камерам серии KPC-400. Основное отличие - это меньшие размеры, но несколько более высокая цена. Между собой видеокамеры серии KPC-S20 отличаются объективами и чувствительностью. В комплекте с камерой входит П-образный кронштейн

3. Выбор видеокамер для охраны периметра.

При модернизации системы видеонаблюдения периметра нужно устранить учесть проблемы.

- Ненадлежащая защита камер от условий внешней среды.

- Повышение информативности изображения камер наблюдающих за въездом на территорию школы.

Для защиты камеры от мороза, осадков и прочих неблагоприятных условий. Возможно использование кожухов для стандартных бескорпусных камер или использование готовых уличных камер уже укомплектованных термокожухом.

Для этого были выбраны камеры AS-1 и A-4. Черно-белая видеокамера для уличной установки AS-1, уличная камера вмдеонаблюдения, с автоподогревом; CCD Sharp 1/3"; 420 ТВЛ; 0,1 люкс; диапазон рабочих температур -50...+50°С, DC12V/0,27А. Угол обзора, град.: 21, 28, 56, 78, 90, 110 на выбор.

Уличные видеокамеры наблюдения были разработаны на основе термокожуха Модельный ряд уличных камер видеонаблюдения AS-1 включает в себя модели с углами обзора от 21 до 110 градусов, что позволяет решать большинство задач, связанных с обеспечением уличного видеонаблюдения на любом объекте.

Камеры видеонаблюдения AS-1 имеют высокую чувствительность в инфракрасном диапазоне и могут использоваться совместно с ИК-прожектором. Благодаря использованию дополнительного фильтра по питанию возможно подключение нескольких камер к одному источнику питания. Приятный дизайн и цветовое решение видеокамер с использованием эпоксиполиэфирной краски, способствует отражению солнечных лучей, что защищает камеры от перегрева.

Для точек видеонаблюдение, в которых призвано обеспечивать высокое качество изображения и идентификацию некоторых деталей. Принято решение использовать видеокамеру того же модельного ряда, но с более высоким разрешением AS-4.

Черно-белая уличная камера наблюдения высокого разрешения для уличной установки с автоподогревом; CCD SONY SUPER HEAD 1/3"; 600 твл; 0,05 люкс; объектив f=от 2,9 мм до 16 мм; диапазон рабочих температур -50...+50°С, DC 12V/0,27А. Угол обзора град.: 21, 28, 56, 78, 90, 110 на выбор. Данная камера позволяет получить четкое изображение объекта, обладает высокой степенью надежности и небольшими габаритами. Использование ее позволяет распознавать номера автомобилей подъезжающих к зданию.

4. Замена монитора видеооператоров.

Для более комфортного видеонаблюдения в системе видеонаблюдения следует заменить старый монитор.

Выбирая тип монитора следует отдать предпочтение ЖК-монитору. В основе того, что ЖК-монитор более приятен для глаз лежит следующее:

- Отсутствует мерцание, присущее ЭЛТ в связи с постоянным перерисовыванием экрана. На ЖК-дисплее пиксели занимают строго определенное, фиксированное положение, и цвет их менятся только в том месте экрана, где на `картинке` происходит движение.

- Никаких проблем связанных со сведением лучей. У цветного ЭЛТ-монитора не одна, а три пушки, каждая на свой цвет, и которые посылают каждая по лучу, возникает проблема настроек по сведению и фокусировке лучей, идеально ничего не бывает, а потому опять страдает качество изображения. В ЖК-мониторе каждый пиксель расположен в фиксированной матрице и `знает свое место`

- Бликов на экране ЖК монитора в несколько раз меньше. Коэффициент отражения света от поверхности ЖК монитора в три и более раз меньше, чем от поверхности кинескопа с самым совершенным на сегодняшний момент антибликовым покрытием (Sony FD Trinitron, Mitsubishi Diamondtron NF).

Другие важные преимущества ЖК перед ЭЛТ:

- ЖК-монитор не создает вокруг себя очень вредного для здоровья человека постоянного электростатического потенциала, так как имеет нулевой постоянный потенциал дисплея потому, что не обстреливается из электронной пушки.

- Малый вес ЖК-монитора. ЖК-монитор это тонкая пластина со стойкой, которая нужна, чтбы зафиксировать ЖК-пластину в удобном положении.

- ЖК-монитор потребляет раза в три-четыре меньше электроэнергии, чем ЭЛТ, что может оказться важным показателем в ряде случаев, например для тесных офисов.

5. Замена соединительного кабеля.

Состояние кабеля соединяющего элементы системы видеонаблюдения можно оценить, как неудовлетворительное. Поэтому высок риск искажений и потерь в качестве изображения. Принято решение использовать для передачи стандартный коаксиальный кабель с волновым сопротивлением 75 Ом. В зависимости от качества кабеля (вносимого им затухания), как правило, приемлемое качество изображения может быть достигнуто, если видеокамера удалена от поста наблюдения на расстояние не более 200…400 м. При больших расстояниях для компенсации потерь в кабеле рекомендуется использовать магистральные видеоусилители. Будучи вспомогательными приборами, они могут быть размещены в отдалении от оператора, причем, для повышения отношения сигнал/шум магистральные видеоусилители желательно располагать как можно ближе к видеокамере.

Видеокамеры KPC-190 имеют цилиндрическую форму, что значительно упрощает монтаж при скрытой установке камер. Между собой видеокамеры серии KPC-190 отличаются формой объектива и, соответственно, чувствительностью. В комплекте с камерой входит удобный металлический кронштейн. Видеокамера KPC-190SВ1 имеет обычный объектив со стеклянной (не пластмассовой) оптикой и самую высокую чувствительность из камер этой серии. Видеокамера KPC 190SР-120 имеет точечный объектив "pin-hole" с диаметром наружной линзы около 2 мм, что наряду с маленькими габаритными размерами камеры позволяет использовать ее для скрытой установки. Также эта камера имеет самый большой угол обзора 90 градусов по горизонтали из всех камер этой серии в стандартной комплектации. Данная камера показывает высокие характеристики разрешения 420 ТВЛ, что совпадает с разрешением KPC-500 и больше, чем у камер SK. Среди данных камер стандартной комплектации KPC-190 обладает самой высокой чувствительностью, что делает ее оптимальной для темных участков здания.

Видеокамера KPC-S20B имеет обычный объектив со стеклянной (не пластмассовой) оптикой и самую высокую чувствительность из камер этой серии. С помощью камеры KPC-S20B и специальной оптической насадки "СОН-170", "СОН-120" можно сделать простой, но качественный видеоглазок, предназначенный для установки внутри двери.

Видеокамеры KPC-S20PH4, KPC-S20P4 имеют точечный объектив "pin-hole" с диаметром наружной линзы около 1 мм, что наряду с маленькими габаритными размерами камер позволяет использовать их для скрытой установки.

Так же, как и в кассовом помещении в зоне банкоматов производится работа с деньгами. Но как было сказано ранее использование цветной камеры нецелесообразно. Поэтому для зоны банкоматов также выбрана камера повышенного разрешения KPC-S20. Но в данном помещении постоянно находится достаточно большое количество людей, которые постоянно в пределах него перемещаются. В такой ситуации многие важные детали могут быть скрыты от камеры видеонаблюдения.

В связи с этим принято решение использовать в данном помещении вместо одной камеры две расположенных в противоположных углах комнаты. Четкой идентификации, такой как в кассовых помещениях не требуется, поэтому угол обзора в 90° вполне соответствует целям видеонаблюдения в данном помещении. Схема расположения камер приведена на рисунке 2.3.

Рис. 2.3. Встречное расположение камер

Преимуществом такого расположения видеокамер, кроме дублирования является то, что с помощью противоположной камеры имеется возможность просмотра ближней зона данной видеокамеры, что еще более минимизирует потерю видеоданных.

Кроме размещения видеокамер будет выполнен перенос видеосервера в специальное помещение, там же будет заменен монитор.

Для защиты компьютеров организации от несанкционированного доступа целесообразно использовать средство защиты информации Secret Net 5.1. Наличие необходимых сертификатов ФСТЭК обеспечивает возможность использования Secret Net 5.1 для защиты автоматизированных систем до уровня 1Б включительно и информационных систем обработки персональных данных до 1 класса включительно.

Система Secret Net 5.1 совместно с ОС Windows обеспечивает идентификацию и аутентификацию пользователя с помощью программно-аппаратных средств при его входе в систему. В качестве устройств для ввода в нее идентификационных признаков могут использоваться:

-   iButton;

-   eToken Pro.

Функция управления доступом пользователей к конфиденциальной информации работает следующем образом, каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: "Не конфиденциально”, "Конфиденциально”, "Строго конфиденциально”, а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.

С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. В качестве аппаратной поддержки система Secret Net 5.1 использует программно-аппаратный комплекс Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.

Контроль целостности используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:

-   регистрация события в журнале Secret Net;

-   блокировка компьютера;

-   восстановление повреждённой/модифицированной информации;

-   отклонение или принятие изменений.

Самоконтроль подсистем СКЗИ производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.1 загружены и функционируют.

Шифрование файлов предназначено для усиления защищенности информационных ресурсов компьютера. В системе Secret Net 5.1 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им не только индивидуально, но и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147–89.

Система Secret Net 5.1 регистрирует все события, происходящие на компьютере: включениевыключение компьютера, входвыход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители.

В организации необходимо использование межсетевого экрана, который разделяет сегменты, сети в которых обрабатывается конфиденциальная информация, персональные данные сотрудников, а также информация открытого характера.

Межсетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Для решения этой задачи подойдёт программно-аппаратный межсетевой экран Cisco ASA 5505, который соответствует требованиям к 3 классу защищённости в соответствии с руководящим документом «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации»

Межсетевой экран Cisco Systems серии ASA (Adaptive Security Appliances) — выскопроизводительные устройства для фильтрации трафика, защиты от вирусов, червей и различных видов интернет-атак, охраны периметра корпоративных сетей, организации шифрованных каналов через интернет для связи офиса и филиалов, а также для удаленного подключения сотрудников и организации extranet-доступа.

Cisco ASA 5505 - многофункциональное устройство защиты ресурсов сети от внутренних и внешних атак. В инфраструктуре предприятия ASA 5505 занимает место классического межсетевого экрана (firewall), позволяющего защитить сеть предприятия или отдельные сегменты, но функционал данного решения намного шире.

ASA 5505 объединяет в себе множество технологий и решений по обеспечению информационной безопасности.

Контроль соединений между узлами сети обеспечивает встроенный межсетевой экран с механизмами инспекции пакетов с учетом состояния протокола (stateful inspection firewall) на уровнях 2-7, который позволяет следить за состоянием всех сетевых коммуникаций и помогает предотвратить несанкционированный доступ к сети. Механизмы анализа протоколов на прикладном уровне позволяют обеспечить защиту от нелегального использования разрешенных портов, к примеру HTTP – TCP порт 80 для ICQ и других приложений.

ASA 5505 может функционировать в «бесшумном» режиме, при этом она не будет является видимым узлом сети, будет прозрачно для пользователя пропускать трафик, обеспечивая необходимый уровень защиты.

ASA 5505 реализует часть функций современного маршрутизатора, такие как протоколы динамической маршрутизации RIP и OSPF, резервирование каналов доступа в сеть Интернет, механизмы обеспечения качества обслуживания (QoS).

Для обеспечения возможности восстановления всех критически важных данных и программ после выхода из строя автоматизированной рабочей станции, сервера или порчи цифрового носителя информации, необходимо иметь надлежащие средства резервного копирования.

Резервное копирование – процесс создания копии данных на цифровом носителе, предназначенной для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения.

Для решения задачи резервного копирования рекомендуется использовать программный продукт Drive Backup 10 Workstation, который необходимо установить на каждую рабочую станцию, на которой планируется резервное копирование данных. Для удаленного администрирования программы можно установить на любом из компьютере, входящем в состав локальной вычислительной сети предприятия Paragon Remote Manager 2.0.

Целесообразно использовать две независимые консоли удаленного администрирования: одна в сегменте сети с информацией, доступ к которой не ограничен, другая в сегменте с конфиденциальной информацией. В сегмент ИСПДн устанавливать консоль удаленного администрирования нет необходимости в связи с небольшим количеством компьютеров.

Для хранения резервных копий используется сервер в сегменте сети с открытой информацией, в другие сегменты добавлены компьютеры, на эти компьютеры также предлагается установить средства защиты информации он несанкционированного доступа, а также консоль удалённого администрирования Paragon Remote Manager 2.0.

От компьютеров, предназначенных для хранения резервных копий, не требуется высокой производительности, основное требование – относительно большой объем дискового пространства. Рекомендуется использовать ПК с объемом дискового пространства больше 1 ТБ.

Администратор безопасности настраивает расписание задач резервного копирования для каждой машины с помощью консоли управления, или создает расписания задач для отдельных рабочих групп. Управление контрольными точками резервирования и дисковым пространством, выделенным под резервные копии, происходит автоматически.

Администратор безопасности должен регулярно просматривать отчеты задач, которые формируются удалёнными клиентами, и следить за состоянием резервных архивов.

2.2 Контрольный пример реализации проекта и его описание

В результате аудита информационной безопасности предприятия, были выявлены основные проблемы и рассчитан средний риск по всем объектам защиты, который составил 34 %. При этом наибольший показатель риска уязвимости определён у рабочего места сотрудника – 74%. Все это потребовало проведения определенных мероприятий по обеспечению информационной безопасности.

Учитывая вышеизложенное, в ходе выполнения дипломной работы была разработана определенная система мер для обеспечения информационной безопасности предприятия:

II.    Технические

3. Аппаратные:

1) Приобрести источник бесперебойного питания для сервера.

2) Установить видеокамеры.

3) Приобрести сейфы и другие устройства для хранения документации.

4. Программные:

1) Установить систему КУБ.

2) Установить программное средство Secret Net 5.1.

3) Установить на рабочие места пользователей антивирусы. Наиболее удобной будет такая система: на сервере устанавливается антивирус-сервер, а на рабочих местах – клиентские приложения, работой которых управляет сервер. Это сравнительно недорогое решение, а главное, что администратор сможет управлять проверкой всех компьютеров с сервера.

4) Усовершенствовать политику паролей. Предлагать пользователю смену пароля раз в месяц, рекомендовать использование сложного пароля.

5) Выполнить разграничение доступа к документам на сервере;

6) Выделять разное количество трафика разным группам пользователей интернета, а также определить некоторый набор ресурсов, к которым можно получить доступ.

При введении этих мер нужно взять с работников письменное соглашение о соблюдении правил работы с информацией и техникой, которые могут быть изложены в трудовом договоре или отдельным документом.

Выполним пересчет рисков информационной безопасности после внедрения приведенных выше мер.

1. Объект защиты – автоматизированное рабочее место (АРМ) сотрудника. Критерий критичности (D) равен 48 337 рублей.

Стоит учитывать, что для защиты рабочего места сотрудников были предприняты такие меры:

−    Установка автоматического блокирования компьютеров в режиме ожидания.

−    Покупка камер видео наблюдения, монтаж и подключение к сети.

−    Установка сложных паролей

−    Докупка антивирусных программ.

−    Инструкции по работе с АРМ и отключение usb-портов.

−    Докупка антивирусных программ.

−    Создание ограничений пользованием сети

Применение этих контрмер для снятия угроз представлено в таблице 2.1.

Таблица 2.1

Таблица угроз и уязвимостей после принятия контрмер.

Угроза	Уязвимости	Контрмеры
1.Физический доступ нарушителя к АРМ	1. Отсутствие системы контроля доступа служащих к чужим АРМам (пользователи могут оставить свой компьютер без присмотра с введенным паролем)	Установка автоматического блокирования компьютеров в режиме ожидания.
2.Отсутствие системы видеонаблюдения в кабинетах (имеются только в производственных цехах)	Покупка камер видео наблюдения, монтаж и подключение к сети.
3.Отсутствие политики паролей	Установка сложных паролей
2.Сбои в работе АРМ	1. Отсутствие антивирусного ПО на самих АРМ	Докупка антивирусных программ.
2. Человеческий фактор	Инструкции по работе с АРМ и отключение usb-портов.
3.Разрушение конфиденциальной информации при помощи специальных программ и вирусов	1.Отсутствие антивирусного ПО на самих АРМ	Докупка антивирусных программ.
2.Отсутствие ограничения доступа пользователей к внешней сети	Создание ограничений пользованием сети

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V)) и критичности реализации угрозы (ER). В резуьате применения мер по обеспечению информационной безопасности снизится вероятность возникновения угроз (таблица 2.2).

Таблица 2.2

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	0	50
1/2	0	50
1/3	0	90
2/1	1	80
2/2	5	20
3/1	1	80
3/2	0	60

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

На основе данной таблицы необходимо рассчитать уровень угроз по каждой уязвимости. Эти значения помогут оценить, какие уязвимости наиболее вероятны, а также рассчитать общее значение уязвимости ресурса.

Таблица 2.3

Таблица уровня угрозы

Угроза/уязвимость	Th	CTh
1/1	-	0
1/2	-
1/3	-
2/1	0,01	0,018
2/2	0,01
3/1	0,01	0,008
3/2	-

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)=0,026

Рассчитаем риск по ресурсу:

R= CThR*D=0,026*48 337=1 245, 97 (руб.).

Таким образом, уровень риска будет всего 2,6% и потери в год снизятся на 34 504, 39 руб.

Эффективность применения контрмер рассчитывается по формуле:

В нашем случает она равна 97%.

2. Объект защиты – сервер локальной сети.

Таблица угроз и уязвимостей после принятия контрмер.

Таблица 2.4

Таблица угроз и уязвимостей

Угроза	Уязвимости	Контрмеры
1.Разглашение, уничтожение или разглашение КИ, хранящейся на сервере	1. Доступ к информации с АРМ	Создание ограничений пользованием сети
2. Наличие удаленного доступа	Создание ограничений пользованием сети
2.Выход сервера из строя	1.Большое количество подключений	Обновление опций сервера.
2.Сбои электричества	Покупка источника бесперебойного питания

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).

Таблица 2.5

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	0	60
1/2	5	20
2/1	0	20
2/2	0	40

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 2.6

Таблица уровня угрозы по определённой уязвимости

Угроза/уязвимость	Th	CTh
1/1	-	0,01
1/2	0,01
2/1	-	0
2/2	-

Th=P(V)/100*ER/100 CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,01

Рассчитаем риск по ресурсу:

R=CTh*D=0,01*1 030 400 = 10 304 (руб.).

Общий риск принимает значение 1%, экономия в год на 145 309, 15 руб., эффективность контрмер – 93%.

3. Объект защиты – Конфиденциальная документация.

Таблица 2.7

Таблица угроз и уязвимостей после введения контрмер.

Угроза	Уязвимости	Контрмеры
1.Физический доступ нарушителя к документам	1.Беспорядок на рабочем месте	Покупка сейфов и других устройств для хранения документации, создание инструкций рабочего места.
2.Отсутствие видеонаблюдения	Докупка камер видеонаблюдения, монтаж и подключение в сеть.
2.Несанкционированное копирование, печать и размножение КД	1.Нечеткая организация конфиденциального документооборота	Разработка правил работы с конфиденциальной информацией и доведение к сведенью сотрудников имеющих к ней доступ.
2. Неконтролируемый доступ сотрудников к копировальной и множительной технике	Ограничение доступности, ведение учёта.

Критерий критичности (D) равен 300 000 рублей. Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).

Таблица 2.8

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	5	10
1/2	0	10
2/1	0	30
2/2	5	20

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 2.9

Таблица уровня угрозы

Угроза/уязвимость	Th	CTh
1/1	0,01	0,001
1/2	-
Угроза/уязвимость	Th	CTh
2/1	-	0,001
2/2	0,01

Th=P(V)/100*ER/100 CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,02

Рассчитаем риск по ресурсу:

R=CTh*D=0,02*300 000=5 970 (руб).

Общий риск принимает значение 2%, экономия в год на 31 377, 46 руб., эффективность контрмер – 84%. Можно сделать вывод, что все предложенные меры очень эффективны, средняя эффективность мер – 91%, экономия в результате их применения – 211 191, 01 руб. в год.

3. Обоснование экономической эффективности проекта 3.1 Выбор и обоснование методики расчёта экономической эффективности

Экономическая эффективность – базовая категория теории и практики принятия управленческих решений об инвестировании средств в развитие производства.

«Результаты» и «затраты» являются важнейшими понятиями, связанными с измерением экономической эффективности инвестиционных проектов.

Результаты отображают те глобальные задачи, которые должны быть решены в инвестиционном проекте для достижения главной цели экономического развития. Результаты напрямую связаны с преследуемыми инвесторами целями. В инвестиционном проектировании приходится иметь дело как с экономическими, так и внеэкономическими результатами.

Достижение намеченных в проекте целей и соответствующих результатов предполагает осуществление определенных единовременных и текущих затрат. Единовременные затраты, направляемые на закупку оборудования, транспортных средств, строительство зданий и сооружений и т.п., в конечном счете аккумулируются в основном капитале, а направляемые на создание запасов сырья, материалов, незавершенного производства и т.п. – в составе оборотного капитала.

Текущие затраты формируют себестоимость продукции (услуг).

Разность оценок результатов и затрат формируют эффект, позволяющий судить о том, что получит инвестор в результате реализации проекта.

Эффект можно представить в двух выражениях:

1)   Разность совокупного результата и совокупных затрат.

2)   Разность совокупных результатов и только текущих издержек.

Эффективность – синтетическая категория. Она позволяет судить о том, какой ценой достигается поставленная в проекте цель. Чаще всего ее трактуют как выражение соотношения результатов затрат, но можно трактовать и как соотношение эффекта и единовременных затрат.

Эффективность инвестиционного проекта определяется для решения ряда задач:

1)   оценки потенциальной целесообразности реализации проекта, т.е. проверки условия, согласно которому совокупные результаты превышают затраты всех видов в приемлемых для инвесторов размерах;

2)   оценки преимуществ рассматриваемого проекта в сравнении с альтернативными;

3)   ранжирование проектов по принятой системе показателей эффективности с целью их последующего включения в инвестиционную программу в условиях ограниченных финансовых и других ресурсов.

Срок окупаемости (англ. Pay-Back Period) – период времени, необходимый для того, чтобы доходы, генерируемые инвестициями, покрыли затраты на инвестиции. Этот показатель определяют последовательным расчетом чистого дохода (англ. Present Value) для каждого периода проекта. Точка, в которой PV примет положительное значение, будет являться точкой окупаемости.

Для обозначения дисконтированного срока окупаемости проекта могут использоваться сокращения DPBP (англ. Discounted Pay-Back Period) или DPB (англ. Discounted Pay-Back).

PBP рассчитывается по формуле:

Окупаемость капитальных вложений, один из показателей эффективности капитальных вложений, отношение капитальных вложений к экономическому эффекту, получаемому благодаря этим вложениям.

Период окупаемости рассчитывается по формуле:

                                          (1)

где T_ОК – период окупаемости (месяцев);

КЗ_А – капитальные затраты автоматизации;

Э_М – месячная экономия.

Капитальные затраты автоматизации рассчитываются следующим образом:

        (2)

где Ц_ПО – капитальные затраты на покупку программного обеспечения;

К_ТЕХ – капитальные затраты на покупку технического обеспечения;

К_РМ – капитальные затраты на создание рабочего места пользователя;

К_ПР – капитальные затраты на приобретение и установку программы;

К_Н – капитальные затраты на настройку программы.

                      (3)

3.2    Предварительный расчет экономической эффективности и окупаемости

Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.

Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.

Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.

Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять),

- во-первых, ожидаемые потери при нарушении защищенности информации;

- во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:

- во-первых, полный перечень угроз информации;

- во-вторых, потенциальную опасность для информации для каждой из угроз;

- в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. Уровень потерь по каждому объекту защиты был оценен в пункте 1.2. Сведем имеющиеся данные в таблицу.

Таблица 3.1.

Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)
Утрата конфиденциальности	Персональные данные учеников	50
Утрата конфиденциальности	Данные об успеваемости	100
Утрата доступности, целостности	Документы школы (Устав, Положения, Локальные акты)	20
Утрата доступности, целостности	Перечень дополнительных образовательных услуг	10
Утрата доступности, целостности	Электронные пособия	250
Утрата целостности	Бухгалтерская и налоговая отчетность	500
Нарушение целостности	Программное обеспечение	300
Утрата доступности	Компьютерные средства	450
Итого:	1680

Таким образом, общий прогнозируемый объем потерь от реализации угроз информационной безопасности составляет 1680 тыс. руб.

Рассчитаем затраты на внедрение системы защиты. Не все мероприятия по защите требуют вложений, так как часть их входит в обязанности работников предприятия. Служба безопасности, отдел автоматизации и технического обеспечения выполнят такие работы как:

- подключение к системе камер видеонаблюдения;

- разграничение прав пользователей;

- разработка политику доступа в интернет;

- разработка правила работы с конфиденциальной информацией.

Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.

Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.

Наиболее общей формой представления ресурса является денежная мера.

Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.

Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.

Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.

Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):

- расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;

- величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;

Таблица 3.2

Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия
№ пп	Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел.час)	Стоимость, всего (тыс.руб.)
1	Доставка технических средств	120	10	1,2
2	Установка технических средств	130	120	15,6
Стоимость проведения организационных мероприятий, всего	16,8
Мероприятия инженерно-технической защиты
№ п/п	Номенклатура ПиАСИБ, расходных материалов	Стоимость, единицы (тыс.руб)	Кол-во (ед.измерения)	Стоимость, всего (тыс.руб.)
1	ЖК-монитор	5,64	2	11,28
2	Видеокамера AS-1	2,15	7	15,05
3	Видеокамера AS-4	2,74	2	5,48
4	Видеокамера KPC-500	1,36	4	5,44
5	Видеоглазок KPC-190DV	1,539	2	3,078
6	Видеокамера KPC-S20	1,49	21	31,29
7	Коаксиальный кабель (м)	0,02	400	8
Стоимость проведения мероприятий	79,618
Объем разового ресурса, выделяемого на защиту информации	96,418

Постоянный ресурс на внедрение новых средств защиты информации не требуется, т.к. в компании уже имеются сотрудники, обеспечивающие информационную безопасность, поэтому выделения дополнительных средств не требуется.

Суммарное значение ресурса выделяемого на защиту информации составляет 96418 руб.

Внедряемая система защита экономически эффективна, т.к. затраты на ее внедрение существенно ниже, чем потери от угроз информационной безопасности. Расчет прогнозируемых данных о величине потерь (рисков) для критичных информационных ресурсов после модернизации системы защиты информации приведены в таблице 3.3.

Таблица 3.3

Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (тыс.руб.)
Утрата конфиденциальности	Персональные данные учеников	40
Утрата конфиденциальности	Данные об успеваемости	85
Утрата доступности, целостности	Документы школы (Устав, Положения, Локальные акты)	5
Утрата доступности, целостности	Перечень дополнительных образовательных услуг	5
Утрата доступности, целостности	Электронные пособия	210
Утрата целостности	Бухгалтерская и налоговая отчетность	450
Нарушение целостности	Программное обеспечение	250
Утрата доступности	Компьютерные средства	410
Итого:	1455

После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Т_ок). Это выполняется аналитическим способом, с использованием формулы:

Т_ок = R_∑ / (R_ср – R_прогн)

 

Это также выполняется графическим способом, как это представлено на рис. 3.1.

Рис. 3.1. Динамика потерь

Срок окупаемости проекта составит менее полугода (около 5 месяцев). Таким образом, предложенные средства защиты очень эффективны.

Заключение

Внедрение системы информационной безопасности (СИБ) окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности. Этапы построения политики безопасности – это внесение в описание объекта автоматизации структуры ценности и проведение анализа риска, а также определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим определённую степень ценности.

Правовые меры обеспечения сохранности коммерческой тайны являются первоочередными, т.к. они призваны обеспечить эффективное функционирование остальных мер обеспечения конфиденциальности информации. С этой точки зрения правовые меры являются первичными по отношению к остальным мерам.

Все документы должны пройти согласование с юридической службой предприятия, утверждены руководством и введены в действие приказомпо предприятию. При этом необходимо также учитывать, что документы должны соответствовать законам и другим правовым документам РФ в этой области, так как на работников накладываются определённые ограничения и ответственность, вплоть до уголовной, за нарушения правил работы с коммерческой тайной.

На предприятии предлагается внедрить программный комплекс КУБ. Использование системы КУБ позволяет комплексно решить все задачи, связанные с управлением доступом и учетными данными пользователей. При этом роль КУБ заключается в формировании и согласовании заявок на доступ, а также реализации и контроле доступа. Именно эти задачи являются ключевыми для комплексного управления доступом.

По результатам анализа объекта защиты и обзора технических средств разработаны проект модернизации существующей системы видеонаблюдения. Модернизированная система обеспечивает надежную защиту объекта от несанкционированного проникновения и полностью отвечает требованиям банка в сфере видеонаблюдения. При выборе технических средств особое внимание уделялось их функциональным характеристикам и технической совместимости устройств друг с другом. Разработанная система полностью отвечает требованиям технического задания и готова к внедрению на данном объекте.

Таким образом, в дипломной работе были предложены меры по защите информации, которые позволят избежать рисков и потерь. Затраты на реализацию мер составляют 1 455 000 рублей. Разработанная система принятия мер по обеспечению информационной безопасности оправдает себя через 5 лет.

Список литературы

1. Искусство управления информационными рисками. [Электронный ресурс] – Режим доступа: http://анализ-риска.рф/

2. Анализ рисков в управлении информационной безопасностью. [Электронный ресурс] – Режим доступа: http://www.iso27000.ru/

3. Гражданский кодекс РФ. [Электронный ресурс] – Режим доступа: http://www.grazkodeks.ru/

4. ГОСТ Р ИСО/МЭК ТО 13335-3-2007. [Электронный ресурс] – Режим доступа:http://www.opengost.ru/iso/13_gosty_iso/13110_gost_iso/4958-gost-r-iso_mek-to-13335-3-2007-it.-metody-i-sredstva-obespecheniya-bezopasnosti.-chast-3.-metody-menedzhmenta-bezopasnosti-informacionnyh-tehnologiy.html

5. Функции Сервера 1С. [Электронный ресурс] – Режим доступа: http://howknow1c.ru/nastroika-1c/1s-server.html.

6. Система «Ареал CRM». [Электронный ресурс] – Режим доступа: http://www.arealcrm.ru/features#part1

7. Система «CRM клиенты и продажи». [Электронный ресурс] – Режим доступа: http://www.megaplan.ru/products/crm.html

8. 1С: Предприятие 8. Управление торговлей и взаимоотношениями с клиентами (CRM). [Электронный ресурс] – Режим доступа: http://www.1service.com.ua/price/sale.php

9. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности. Основные термины и определения. [Электронный ресурс] – Режим доступа: http://www.opengost.ru/iso/35_gosty_iso/35020_gost_iso/11522-gost-r-53114-2008-zaschita-informacii.-obespechenie-informacionnoy-bezopasnosti.-osnovnye-terminy-i-opredeleniya.html

10.   Кустов Г.А. Управление информационными рисками организации на основе логико-вероятностного метода: автореф. дис. канд. тех. наук. – Уфа, 2008. – 18 с.

11.   Симонов С. Технологии и инструментарий для управления рисками // Jet Info. – 2003. – № 2 (117). – С. 3–32.

12.   Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002).

13.   Информационная безопасность (2-я книга социально-политического проекта "Актуальные проблемы безопасности социума"). М.: "Оружие и технологии", 2009.

14.   Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006).

15.   Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799-2005).

16.   Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 - 2006).

17.   Рекомендации по стандартизации "Информационные технологии. Основные термины и определения в области технической защиты информации" (Р 50.1.053-2005).

18.   Рекомендации по стандартизации "Техническая защита информации. Основные термины и определения" (Р 50.1.056-2005).

19.   Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи

20.   Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. М.: 2001.

21.   Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. - М.: ПЕР СЭ-Пресс, 2005.

22.   Доктрина информационной безопасности Российской Федерации / Чернов А.А. Становление глобального информационного общества: проблемы и перспективы. Приложение 2. М.: "Дашков и К", 2003.

23.   Домарев В. В. Безопасность информационных технологий. Системный подход - К.: ООО ТИД Диа Софт, 2004. - 992 с.

24.   Ильюшенко В.Н. Информационная безопасность общества. Учебное пособие. - Томск, 1998.

25.   Кулаков В.Г. Региональная система информационной безопасности: угрозы, управление, обеспечение. - Автореф. дисс. … д-ра техн. наук. - Воронеж, 2005.

26.   Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.

27.   Уткин А.И. Глобализация: процесс осмысления. М.: "Логос", 2001.

28.   Фролов Д.Б. Государственная информационная политика в условиях информационно-психологической войны. - М.: Горячая линия - Телеком, 2003.

Приложение 1

Положение о коммерческой тайне и режиме ее обеспечения

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.    Целью настоящего Положения является защита законных прав и интересов ООО «Домашний компьютер» (далее - Общество) как субъекта предпринимательской деятельности, а также организация мероприятий по недопущению распространения среди третьих лиц информации, составляющей коммерческую тайну Общества.

1.2.    Настоящее Положение о коммерческой тайне и режиме её обеспечения (далее - «Положение») разработано и принято в соответствии со ст. 139 Гражданского кодекса РФ, Федеральным законом от 29.07. 2004 г. №98-ФЗ «О коммерческой тайне» с изм. и доп., иными нормативно-правовыми актами РФ.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1.    Под коммерческой тайной понимается конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

2.2.    Под информацией, составляющей коммерческую тайну, понимается научно-техническая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании, и в отношении которой Обществом введен режим коммерческой тайны.

2.3.    Режим коммерческой тайны - правовые, организационные, технические и иные принимаемые Обществом как обладателем информации, составляющей коммерческую тайну, меры по охране ее конфиденциальности.

2.4.    Обладатель информации, составляющей коммерческую тайну, - лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.

2.5.    Доступ к информации, составляющей коммерческую тайну - ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.

2.6.    Разглашение информации, составляющей коммерческую тайну, - действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору.

2.6.1. Сведения, составляющие коммерческую тайну Общества, могут быть представлены работниками Общества согласно выполняемых ими функциональных обязанностей только по требованию правоохранительных, государственных надзорных и контролирующих органов, иных органов государственной власти, иных государственных органов, органов местного самоуправления в соответствии с действующим законодательством Российской Федерации.

2.6.2. Работник Общества имеет право разглашать коммерческую тайну Общества только с предварительного письменного согласия генерального директора Общества, в объемах, предварительно согласованных данным работником с генеральным директором Общества в письменной форме, и только тем лицам, с которыми работник Общества уполномочен общаться в своем официальном качестве (во исполнение своих непосредственных служебных обязанностей).

3. ИНФОРМАЦИЯ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ ОБЩЕСТВА

3.1.    Коммерческой тайной Общества является следующая информация:

3.1.1. сведения о структуре производства, производственных мощностях, типе и размещении оборудования, запасах сырья, материалов, готовой продукции;

3.1.2. объекты интеллектуальной деятельности и научно-технической разработки (открытия, изобретения, рационализаторские предложения, полезные модели, конструкции, промышленные образцы, не запатентованные по каким-либо причинам; программы ЭВМ, базы данных; секреты производства (ноу-хау);

3.1.3. конструкционные характеристики продукции Общества;

3.1.4. сведения, содержащиеся в нормативно-технологической и конструкторской документации;

3.1.5. сведения об особенностях конструкторско-технологического, художественно-технического решения изделия, дающих положительный экономический эффект;

3.1.6. сведения о материалах, из которых изготовлены отдельные детали, части изделий;

3.1.7. сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономических обоснованиях, планируемых изменениях номенклатуры продукции;

3.1.8. сведения о планах внедрения новых технологий;

3.1.9. сведения о подготовке, принятии и исполнении отдельных решений руководства Общества по производственным, коммерческим, организационным и иным вопросам;

3.1.10.   сведения о составе поставщиков и покупателей продукции Общества;

3.1.11.   ведения о планах инвестиций, закупок и продаж;

3.1.12.   сведения о методах расчета, структуре, уровне цен на продукцию и размерах скидок;

3.1.13.   сведения о маркетинговых проектах, о применяемых оригинальных методах изучения рынка;

3.1.14.   сведения о направлениях маркетинговых исследований, результатах изучения рыночной конъюнктуры;

3.1.15.   сведения о рыночной стратегии Общества;

3.1.16.   сведения о рынках сбыта продукции;

3.1.17.   сведения о применяемых оригинальных методах осуществления продаж;

3.1.18.   сведения об условиях работы с клиентами;

3.1.19.   сведения о товарообороте Общества, в т. ч. о размере ежегодной выручки и о размере продаж за отдельный период;

3.1.20.   сведения о наличии товарных запасов, об ассортименте товаров, пользующихся повышенным спросом.

3.1.21.   сведения о структуре цен на выпускаемую продукцию;

3.1.22.   нормативы, используемые в составлении бухгалтерских отчетов;

3.1.23.   содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности;

3.1.24.   материалы анализа финансово-хозяйственной деятельности Общества за любой период времени;

3.1.25.   сведения о фонде развития Общества;

3.1.26.   рабочие документы органов управления Обществом;

3.1.27.   сведения об источниках финансирования, финансовой устойчивости Общества;

3.1.28.   сведения о размерах и составе имущества Общества, ее денежных средствах и прочих активах, об открытии и закрытии счетов Общества, о наличии и движении средств на этих счетах, о каких-либо операциях по этим счетам;

3.1.29.   сведения о вложении средств Общества в доходные активы, банковские депозиты, уставной капитал других предприятий, ценные бумаги, процентные облигации и займы, фонды совместной деятельности без образования юридического лица по договорам о совместной деятельности, любое движимое и недвижимое имущество;

3.1.30.   сведения о размерах, расположении, техническом состоянии движимого и недвижимого имущества, находящегося в собственности, аренде, владении, доверительном управлении, коммерческой или технической эксплуатации, временном пользовании Общества или иным образом принадлежащего Обществу либо переданного Обществом другим организациям в аренду/субаренду, временное пользование, владение, доверительное управление, коммерческую или техническую эксплуатацию или иным образом, а также какие-либо сведения об арендаторах, субарендаторах и иных организациях, занимающих, использующих или эксплуатирующих указанное имущество, в том числе о тех организациях, которым соответствующие помещения предоставлены исключительно в качестве юридического адреса;

3.1.31.   сведения о переговорах и коммерческой корреспонденции (деловой переписке), ведущихся Обществом со страховыми организациями на предмет страхования Обществом имущества, строительно-монтажных работ, доходов от предпринимательской деятельности, иных видов страхования, о заключении Обществом договоров и соглашений со страховыми организациями, о страховых суммах и ставках страховых премий по этим договорам, а также о каких-либо выплатах страховых премий или страхового возмещения по этим договорам;

3.1.32.   сведения о заказчиках, подрядчиках, поставщиках, покупателях, компаньонах, спонсорах, посредниках и других партнерах деловых отношений Общества, а также о его конкурентах, которые не содержатся в открытых источниках (справочниках, каталогах и т.п.);

3.1.33.   сведения о целях, задачах, тактике переговоров с деловыми партнерами Общества; о подготовке и результатах проведения переговоров с деловыми партнерами Общества; обо всех переговорах и коммерческой корреспонденции (деловой переписке), ведущихся Обществом на предмет заключения договоров (контрактов) касательно реализации товаров, работ и услуг, аренды, пользования имуществом, привлечения инвестиций в форме денежных и иных материальных средств, создания совместных предприятий, организации совместной деятельности без создания юридического лица, залога прав и имущества, выселения арендаторов, оказания финансовой помощи, обмена денежными средствами, получения, выдачи и возврата кредитов и ссуд, выплаты процентов и комиссии по кредитам/ссудам, и так далее;

3.1.34.   сведения о договорах (контрактах) Общества с другими предприятиями, организациями, индивидуальными предпринимателями, а также отдельными физическими лицами, об их условиях, а также о местонахождении оригиналов, ксерокопий и текстов этих договоров и контрактов и доступе к ним, в том числе в виде записей на магнитных носителях информации и в электронных (компьютерных) базах данных Общества (здесь и далее понятие «договоры (контракты)» включает не только сами договоры и контракты, но также любые изменения, дополнения, поправки, акты, протоколы, приложения, корреспонденцию, платежные поручения и требования, относящиеся к этим договорам, контрактам);

3.1.35.   сведения о состоянии компьютерного и программного обеспечения деятельности Общества;

3.1.36.   сведения о паролях, кодах доступа к сведениям, составляющим коммерческую тайну Общества, на электронных носителях;

3.1.37.   сведения о местонахождении печатей, чистых бланков, бланков платежных поручений Общества и доступе к ним, а также о порядке подписания платежных и иных официальных документов Общества, включая договоры (контракты), а также любые изменения, дополнения, поправки, акты, протоколы, приложения, корреспонденцию, платежные поручения и требования, относящиеся к этим договорам и контрактам;

3.1.38.   сведения о порядке и состоянии организации защиты коммерческой тайны;

3.1.39.   сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации;

3.1.40.   сведения, составляющие коммерческую тайну фирм-партнеров и переданные на доверительной основе Обществу.

3.2.    В соответствии с положениями ст. 5 Федерального закона «О коммерческой тайне» не могут составлять коммерческую тайну следующие сведения:

3.2.1. содержащиеся в учредительных документах юридического лица, документах, подтверждающие факт внесения записей о юридическом лице в соответствующие государственные реестры;

3.2.2. содержащиеся в документах, дающих право на осуществление предпринимательской деятельности;

3.2.3. о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

3.2.4. о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

3.2.5. о задолженности по выплате заработной платы и по иным социальным выплатам;

3.2.6. о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

3.2.7. об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

3.2.8. о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

3.2.9. обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

3.3.    Общество предоставляет информацию, составляющую коммерческую тайну, по мотивированному требованию органа государственной власти, иного государственного органа, органа местного самоуправления на безвозмездной основе. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, составляющей коммерческую тайну, и срок предоставления этой информации, если иное не установлено федеральными законами.

3.4.    Обладатель информации, составляющей коммерческую тайну, а также органы государственной власти, иные государственные органы, органы местного самоуправления, получившие такую информацию, обязаны предоставить эту информацию по запросу судов, органов прокуратуры, органов предварительного следствия, органов дознания по делам, находящимся в их производстве, в порядке и на основаниях, которые предусмотрены законодательством Российской Федерации.

3.5.    На документах, предоставляемых указанным в п.п. 3.3. и 3.4. органам и содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф «Коммерческая тайна» с указанием ее обладателя (Общества) (полное наименование и юридический адрес Общества).

3.6.    Внесение любых изменений и дополнений в настоящее Положение возможно в следующих случаях:

3.6.1. если какая-либо информация может иметь действительную или потенциальную коммерческую ценность в силу неизвестности её посторонним (третьим) лицам, но по любым причинам оказалась вне сферы охвата настоящего Положения;

3.6.2. в законодательство Российской Федерации о коммерческой тайне будут внесены изменения и дополнения.

4. ПОРЯДОК ОТНЕСЕНИЯ СВЕДЕНИЙ К КОММЕРЧЕСКОЙ ТАЙНЕ ОБЩЕСТВА

4.1.    Отнесение сведений к коммерческой тайне осуществляется путем внесения их в перечень информации, составляющей коммерческую тайну Общества, и установления ограничений на разглашение и доступ к ее носителям.

4.2.    Отнесение сведений к коммерческой тайне осуществляется генеральным директором Общества в соответствии с принципами обоснованности и своевременности. Обоснованность заключается в установлении целесообразности отнесения конкретных сведений к коммерческой тайне. Своевременность заключается в установлении ограничений на разглашение этих сведений с момента их получения (разработки) или заблаговременно до указанного момента.

4.3.    В исключительных случаях, не терпящих отлагательства, отнесение сведений к коммерческой тайне осуществляется путем проставления генеральным директором Общества грифа «Коммерческая тайна», с последующим оформлением этих сведений в порядке, предусмотренном настоящим Положением. В данном случае указанные сведения приобретают статус коммерческой тайны с момента проставления указанного грифа.

5. НОСИТЕЛИ КОММЕРЧЕСКОЙ ИНФОРМАЦИИ

5.1.    Носителями коммерческой тайны являются следующие документы:

5.1.1. заключенные Обществом договоры, контракты, соглашения и т.п.;

5.1.2. проекты договоров, контрактов, соглашений и т.п.;

5.1.3. аналитические записки руководителей структурных подразделений о деятельности возглавляемых ими структурных подразделений;

5.1.4. расчеты, справки, иные документы бухгалтерии Общества о калькуляции издержек производства Общества, о себестоимости выпускаемой продукции, структуре цен на продукцию, а также об уровне прибыли Общества, материалы анализа финансово-хозяйственной деятельности;

5.1.5. иные носители, содержащие информацию, отнесенную пунктом 3.1. настоящего Положения к коммерческой тайне;

а также:

a   рукописи, черновики указанных документов;

a   чертежи;

a   диски, дискеты и т.п.;

a   модели, материалы, изделия и пр.,

содержащие в себе информацию, составляющую коммерческую тайну Общества.

5.2.    Носителями коммерческой тайны являются также следующие работники Общества:

5.2.1. генеральный директор Общества;

5.2.2. главный бухгалтер Общества;

5.2.3. заместитель главного бухгалтера Общества;

5.2.4. финансовый директор Общества;

5.2.5. коммерческий директор Общества;

5.2.6. директор по маркетингу Общества;

5.2.7. директор отдела сбыта Общества;

5.2.8. руководители структурных подразделений Общества, которые в порядке исполнения трудовых обязанностей организуют либо непосредственно создают носители коммерческой тайны;

5.2.9. специалисты Общества, которые в порядке исполнения трудовых обязанностей создают носители коммерческой тайны;

5.2.10.   иные работники Общества, которые в порядке исполнения трудовых обязанностей осуществляют технические и организационные функции по созданию носителей коммерческой тайны.

5.3.    Перечень должностей работников Общества, которым доступ к сведениям, составляющим коммерческую тайну Общества, необходим для исполнения ими своих трудовых обязанностей, установлен в Приложении № 1 к настоящему Положению.

6. ОХРАНА КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ В РАМКАХ ТРУДОВЫХ ОТНОШЕНИЙ

6.1.    Обладателем сведений, составляющих коммерческую тайну, полученных в рамках трудовых отношений, является работодатель - Общество.

6.2.    В случае получения работником Общества в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя результата, способного к правовой охране в качестве изобретения, полезной модели, промышленного образца, программы для электронных вычислительных машин или базы данных, отношения между работником и работодателем регулируются в соответствии с законодательством Российской Федерации об интеллектуальной собственности.

6.3.    В целях охраны конфиденциальности информации Общество обязано:

6.3.1. ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;

6.3.2. ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;

6.3.3. создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

6.4.    Доступ работника к информации, составляющей коммерческую тайну Общества, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.

6.5.    В целях охраны конфиденциальности информации работник обязан:

6.5.1. выполнять установленный Обществом режим коммерческой тайны;

6.5.2. выполнять относящиеся к нему требования приказов, инструкций и настоящего Положения по обеспечению сохранности сведений, составляющих коммерческую тайну Общества, и ее носителей, соблюдать порядок работы и хранения в отношении документов, содержащих коммерческую тайну, порядок сдачи помещений под охрану и приема из-под охраны, порядок доступа и работы с персональными компьютерами и иной электронной техникой;

6.5.3. сохранять коммерческую тайну контрагентов Общества;

6.5.4. не использовать коммерческую тайну Общества для занятий другой деятельностью, а также в процессе работы для другой организации, предприятия, учреждения, по заданию физического лица или в ходе осуществления предпринимательской деятельности без образования юридического лица, которая в качестве конкурентного действия может нанести ущерб Обществу;

6.5.5. не использовать сведения, составляющие коммерческую тайну Общества, в научной и педагогической деятельности, в ходе публичных выступлений, интервью;

6.5.6. не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются Общество и его контрагенты, после прекращения трудового договора в течение срока, предусмотренного соглашением между работником и Обществом, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось;

6.5.7. возместить причиненный Обществу ущерб, если работник виновен в разглашении информации, составляющей коммерческую тайну, ставшей ему известной в связи с исполнением им трудовых обязанностей;

6.5.8. передать Обществу при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.

6.6.    Общество вправе потребовать возмещения причиненных убытков лицом, прекратившим с ним трудовые отношения, в случае, если это лицо виновно в разглашении информации, составляющей коммерческую тайну, доступ к которой это лицо получило в связи с исполнением им трудовых обязанностей, если разглашение такой информации последовало в течение срока, предусмотренного соглашением между этим лицом и Обществом, заключенным в период срока действия трудового договора, или в течение трех лет после прекращения трудового договора, если указанное соглашение не заключалось.

6.7.    Работник, который в связи с исполнением трудовых обязанностей получил доступ к сведениям, составляющим коммерческую тайну, обладателями которой являются Общество и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.

7. ПОРЯДОК ДОПУСКА К ДОКУМЕНТАЛЬНЫМ НОСИТЕЛЯМ КОММЕРЧЕСКОЙ ТАЙНЫ

7.1.    К носителям коммерческой тайны имеют свободный (несанкционированный) доступ следующие работники Общества:

7.1.1. генеральный директор Общества;

7.1.2. главный бухгалтер Общества;

7.1.3. заместитель главного бухгалтера Общества;

7.1.4. финансовый директор Общества;

7.1.5. коммерческий директор Общества;

7.1.6. директор отдела сбыта Общества;

7.1.7. руководители структурных подразделений Общества (к документальным носителям, подготовленным работниками этого подразделения).

7.2.    Работники Общества, которым доступ к сведениям, составляющим коммерческую тайну Общества, необходим для исполнения ими своих трудовых обязанностей (перечень должностей установлен в Приложении № 1 к настоящему Положению) имеют доступ к носителям информации только после заключения письменного соглашения о неразглашении сведений, составляющих коммерческую тайну Общества.

7.3.    Все иные лица допускаются к носителям информации только с письменного разрешения генерального директора Общества.

8. ОБЯЗАННОСТИ РАБОТНИКОВ, ЯВЛЯЮЩИХСЯ НОСИТЕЛЯМИ КОММЕРЧЕСКОЙ ТАЙНЫ

8.1.    Работники Общества, указанные в пункте 5 настоящего Положения, обязаны не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель (Общество) и его контрагенты в какой бы то ни было форме, не использовать без их согласия эту информацию в личных целях.

8.2.    Разглашение информации, составляющей коммерческую тайну, работниками возможно только в порядке, установленном настоящим Положением.

8.3.    Работник обязан работать только с той информацией и носителями, содержащими коммерческую тайну, к которым он получил доступ в силу своих трудовых отношений с Обществом или в ином порядке, установленном настоящим Положением, знать какие конкретно сведения подлежат защите, а также строго соблюдать правила пользования ими.

8.4.    Работник должен знать также, кому из работников Общества разрешено работать с информацией, составляющей коммерческую тайну, к которым он сам допущен, и в каком объеме эта информация может быть доведена до этих работников.

8.5.    Об утрате или недостаче носителей, содержащих коммерческую тайну Общества, удостоверений, пропусков, ключей от помещений, хранилищ, сейфов, металлических шкафов, печатей, а также о причинах и условиях возможной утечки такой информации работник обязан немедленно сообщить руководителю структурного подразделения, начальнику отдела безопасности и генеральному директору Общества.

8.6.    В случае попытки посторонних физических или юридических лиц получить информацию, составляющую коммерческую тайну, работник обязан сообщить об этом руководителю структурного подразделения, начальнику отдела безопасности и генеральному директору Общества.

8.7.    Работник обязан передать работодателю (Обществу) при прекращении или расторжении трудового договора имеющиеся в его распоряжении материальные носители сведений, составляющих коммерческую тайну Общества.

9. ОТВЕТСТВЕННОСТЬ ЗА НЕСАНКЦИОНИРОВАННОЕ РАЗГЛАШЕНИЕ КОММЕРЧЕСКОЙ ТАЙНЫ

9.1.         Нарушение настоящего Положения влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

9.2.         Работник, который в связи с исполнением трудовых обязанностей получил доступ к информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты, в случае умышленного или неосторожного разглашения этой информации при отсутствии в действиях такого работника состава преступления несет дисциплинарную ответственность в соответствии с законодательством Российской Федерации.

9.3.         Органы государственной власти, иные государственные органы, органы местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну Общества, несут перед Обществом гражданско-правовую ответственность за разглашение или незаконное использование этой информации их должностными лицами, государственными или муниципальными служащими указанных органов, которым она стала известна в связи с выполнением ими должностных (служебных) обязанностей.

По требованию Общества должностные лица органов государственной власти, иных государственных органов, органов местного самоуправления, получившие доступ к информации, составляющей коммерческую тайну Общества, обязаны принять меры по охране конфиденциальности информации. При отказе такого лица принять указанные меры Общество вправе требовать в судебном порядке защиты своих прав.

Приложение 2

Обязательство о неразглашении персональных данных

Я, _________________________________________________________,

(Фамилия, имя, отчество работника)

____________________________________________________________,

(структурное подразделение, должность, профессия, специальность, квалификация)

с Положением о защите персональных данных работника ознакомлен(а).

Обязуюсь:

­   не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом РФ и иными федеральными законами;

­   не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

­   предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами;

­   осуществлять передачу персональных данных работника в пределах предприятия в соответствии с Положением о защите персональных данных;

­   разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

­   не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

­   передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;

­   в случае попытки кого-либо получить от меня сведения, являющиеся персональными данными работников, немедленно сообщать об этом директору по персоналу, начальнику отдела безопасности, начальнику отдела кадров, начальнику юридического отдела;

­   обо всех фактах, которые могут привести к разглашению сведений, являющихся персональными данными работников, а также о причинах и условиях возможной утечки этих данных сообщать директору по персоналу, начальнику отдела безопасности, начальнику отдела кадров, начальнику юридического отдела;

­   В случае моего увольнения все носители персональных данных работников (рукописи, черновики, диски, дискеты, распечатки на принтерах, материалы и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы у данного работодателя, передать начальнику отдела кадров.

До моего сведения доведены с разъяснениями Положение о защите персональных данных работников. Мне известно, что нарушение этого Положения может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством РФ.

___________________                            ___________________

подпись работника                                  И.О. Фамилия работника

«___» ________________ 200__ г. ___ ч. ___ мин.

Один экземпляр обязательств о неразглашении персональных данных получил.(а):

___________________                            ___________________

подпись работника                                  И.О. Фамилия работника

«___» ________________ 200__ г.

Приложение 3

Лист ознакомления работников с Положением о защите персональных данных работников ООО « Домашний компьютер»

№ п/п	Ф.И.О. работника	Структурное подразделение, должность	Дата и время ознакомления	Отметка об ознакомлении

Приложение 4

Журнал учета персональных данных, согласия сотрудника, запросов и обработки информации

N п/п	Дата, N и реквизиты запроса	Дата и форма (письмо, факс и т.д.) выдачи информации	Кому выдана (Ф.И.О.)	Основание выдачи (заявление, запрос, иное)	Содержание информации	Кол-во экз.	Роспись В получении	Согласие сотрудника, в отношении которого поступил запрос	(Ф.И.О.) и адрес работодателя- оператора, получающего согласие сотрудника	Цель обработки персональных данных	Перечень персональных данных, на обработку которых дается согласие сотрудника, и срок, в течение которого действует согласие, а также порядок его отзыва	Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных	(Ф.И.О.), Адрес сотрудника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе
1	2	3	4	5	6	7	8	9	10	11	12	13	14

Приложение 5

Правила работы с электронной почтой внутри ООО « Домашний компьютер»

Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от неё.

Электронная почта является собственностью компании и может быть использована ТОЛЬКО в служебных целях. Использование электронной почты в других целях категорически запрещено.

Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.

При работе с корпоративной системой электронной почты сотрудникам компании запрещается:

- использовать адрес корпоративной почты для оформления подписок, без предварительного согласования с сотрудниками ДИТ;

- публиковать свой адрес, либо адреса других сотрудников компании на общедоступных Интернет ресурсах (формулы, конференции и т.п.);

- отправлять сообщения с вложенными файлами, общий объём которых превышает 5 мегабайт.

- открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен;

- осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам без их на то согласия. Данные действия квалифицируются как СПАМ и являются незаконными;

- осуществлять массовую рассылку почтовых сообщений рекламного характера без предварительного согласования с сотрудниками ДИТ;

- рассылка через электронную почту материалы, содержащие вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а так же серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернет, а так же ссылки на вышеуказанную информацию;

- распространения защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;

- распространять информацию содержание и направленность которой запрещены международным и Российским законодательством, включая непристойную информацию, а так же информацию, оскорбляющую разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.;

- распространять информацию ограниченного доступа, представляющую коммерческую тайну;

- предоставлять, кому бы - то ни было пароль доступа к своему почтовому ящику.

Размещено на Allbest.ru