6.7. Оформление курсовой работы
Текстовый документ должен быть подготовлен с помощью текстового процессора Microsoft Word. Текст оформляется с соблюдением следующих размеров полей: левое – 30 мм, правое – 10 мм, верхнее – 20 мм, нижнее – 25 мм. Размер шрифта основного текста - 14 пунктов. Тип шрифта - Times New Roman. Величина абзацного отступа должна быть 10 мм. Межстрочный интервал - полуторный.
Разделы текстового документа начинаются с новой страницы. Заголовки и подзаголовки разделов текстового документа отделяются от основного текста сверху и снизу одним дополнительным интервалом. Шрифт и регистр заголовков и подзаголовков выделяется полужирным начертанием. Ненумерованные заголовки и заголовки разделов первого уровня выполняются жирными прописными, второго уровня - жирным строчным регистром. Нумерованные заголовки и подзаголовки выравниваются по левому краю с красной строки, ненумерованные - по центру страницы. Точка в конце заголовков не ставится.
Все страницы текста должны быть пронумерованы, номер страницы располагается внизу страницы по центру. Первой страницей является титульный лист. На титульном листе номер страницы не ставят.
Титульный лист оформляется в соответствии с приведенным образцом. Перенос слов на титульном листе и в заголовках по тексту не разрешается. Сокращения и аббревиатуры на титульном листе не допускаются.
Все рисунки и таблицы нумеруются последовательно арабскими цифрами. Подписи к рисункам и таблицам не нужны, если в тексте есть их расшифровка.
Пример выполнения курсовой работы*
Федеральное агентство по образованию
Государственное образовательное учреждение высшего профессионального образования
«Н-ский государственный технический университет»
Кафедра «Прикладной математики и информационных систем»
Курсовая работа
по дисциплине
«Информационная безопасность»
Тема: «Разработка концепции информационной безопасности ОАО «Н-ский аэропорт»
Выполнил : ст. гр. ПИ
Проверил: А. Н. Силаенков
Омск 2008
СОДЕРЖАНИЕ
Введение
Характеристика предприятия
2. Производственно-экономическая деятельность предприятия
3. Основные цели защиты информации на предприятии
4. Обязанности должностных лиц предприятия по обеспечению защиты информации
5. Ввод в эксплуатацию и сопровождение программного обеспечения
6. Каналы утечки информации и способы защиты
7. Защита ПО и информационного обеспечения (ИО) от программ-вирусов.
8. Учет, хранение и обращение с машинными носителями информации и документами
9. Порядок размещения и установки СВТ по обработке конфиденциальной информации
10. Организация противопожарной защиты
11. Допуск к конфиденциальной информации
12. Анализ рисков
13. Уровни обеспечения режима информационной безопасности
14. Структура системы информационной безопасности
Заключение
Список литературы
Введение
Актуальность темы курсовой работы определяется обострением проблем информационной безопасности (ИБ) даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 100%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 3-4 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится. 93% компаний, лишившихся доступа к собственной информации на срок более 10 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.
Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению. Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.
Все это предопределяет необходимость разработки научно обоснованных методов обеспечения информационной безопасности предприятий, учитывающих позитивный практический опыт российских и зарубежных предприятий в этой области. Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов: Лукацкого А.В., Баутова А., Симонова С, Кононова А., Ловцова Д., Васильева А., Волоткина А., Давлетханова М., Конева И., Беляева А., Манош-кина А., Мельникова В., Трайнева В., Петренко С, Садердинова А., Уфимцева Ю., Шпака В., а также иностранных авторов Р. Уитти, A.M. Уилхайт, С. Норткатт, Ж. Брассар и др.
Вместе с тем проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов. Все это и предопределило цели и задачи курсовой работы.
Цель курсовой работы состоит в разработке концепции обеспечения информационной безопасности ОАО «Н-ский аэропорт», позволяющих снизить его информационные риски.
Поставленная цель обусловила следующие задачи курсовой работы:
выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба ОАО «Н-ский аэропорт»; идентифицировать наиболее значимые модели нарушителей и угроз информационным ресурсам предприятия;
систематизировать информационные риски, разработать методы оценки и подходы к управлению ими;
разработать алгоритм оценки остаточных информационных рисков на предприятии;
разработать концепцию информационной безопасности ОАО «Н-ский аэропорт»;
Объектом исследования выступает система информационной безопасности предприятия.
Предметом исследования в курсовой работе являются инструментальные и экономические методы обеспечения информационной безопасности, направленные на снижение информационных рисков и оптимизацию затрат предприятия на защиту информации.
1. Характеристика предприятия
ОБЩИЕ ПОЛОЖЕНИЯ
Открытое акционерное общество «Н-ский аэропорт », в дальнейшем именуемое «общество» создано в результате преобразования Омского государственного авиапредприятия является его правопреемником в соответствующей части. Общество является юридическим лицом, действует на основании устава и законодательства Российской Федерации. Общество создано без ограничения срока его деятельности. Учредителем общества является Российская Федерация в лице Комитета по управлению имуществом Омской области (территориального агентства Госкомимущества РФ)
ФИРМЕННОЕ НАИМЕНОВАНИЕ И МЕСТО НАХОЖДЕНИЯ ОБЩЕСТВА
Фирменное наименование общества Полное:
на русском языке: Открытое акционерное общество «Н-ский аэропорт»
на английском языке: Public Joint Stock Company “Omsk airport”
Сокращенное:
на русском языке: ОАО «Н-ский аэропорт»
на английском языке: PJSC ”Omsk airport”
Место нахождения общества: г.Омск, ул. Инженерная ,1
Почтовый адрес общества: 644103 г. Омск-103 , ул. Инженерная , 1
ЦЕЛИ ОБЩЕСТВА
Целью общества является извлечение прибыли. Общество имеет гражданские права, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами. Отдельными видами деятельности, перечень которых определяется федеральными законами, общество может заниматься только на основании специального разрешения (лицензии).
ПРАВОВОЕ ПОЛОЖЕНИЕ ОБЩЕСТВА
Общество является юридическим лицом и имеет в собственности обособленное имущество, учитываемое на его самостоятельном балансе. Общество может от своего имени приобретать и осуществлять имущественные и личные неимущественные права, нести обязанности, быть истцом и ответчиком в суде.
Общество вправе в установленном порядке открывать банковские счета на территории Российской Федерации и за ее пределами.
Общество имеет круглую печать , содержащую его полное фирменное наименование на русском языке и указание на место его нахождения. В печати может быть также указано фирменное наименование общества на любом иностранном языке или языке народов Российской Федерации.
Общество вправе иметь штампы и бланки со своим наименованием, собственную эмблему, а также зарегистрированный в установленном порядке товарный знак и другие средства визуальной идентификации.
Общество осуществляет все виды внешнеэкономической деятельности.
Общество может участвовать и создавать на территории Российской Федерации и за ее пределами коммерческие организации.
Общество может на добровольных началах объединяться в союзы, ассоциации, а также быть членом других некоммерческих организаций, как на территории Российской Федерации, так и за ее пределами.
Общество обязано обеспечить ведение и хранение реестра акционеров общества в соответствии с правовыми актами Российской Федерации с момента государственной регистрации общества.
Вмешательство в административную и хозяйственную деятельность общества со стороны государственных, общественных и других организаций не допускается, если это не обусловлено их правами по осуществлению контроля и ревизии согласно действующему законодательству.
Общество выполняет государственные мероприятия по мобилизационной подготовке в соответствии с действующим законодательством и нормативными актами правительства РФ.
Аэропорт обладает исключительным правом контроля за строительством, реконструкцией и эксплуатационным содержанием всех зданий, сооружений и объектов на его территории.
ОТВЕТСТВЕННОСТЬ ОБЩЕСТВА
Общество несет ответственность по своим обязательствам всем принадлежащим ему имуществом.
Общество не отвечает по обязательствам своих акционеров.
Государство и его органы не несут ответственности по обязательствам общества, равно как и общество не отвечает по обязательствам государства и его органов.
2. Производственно-экономическая деятельность предприятия
Общество осуществляет следующие основные виды деятельности:
- организация и техническое обслуживание воздушных судов, пассажиров, багажа, грузов и почты на аэродромах и в аэропортах, в том числе международных;
- аэродромное обеспечение полетов гражданских воздушных судов на внутренних и международных воздушных линиях РФ;
- обеспечение аэродромными спецмашинами и механизмами работ по эксплуатационному содержанию аэродрома;
- штурманское обеспечение и аэронавигационная информация;
- подготовка специалистов, согласно перечням должностей авиационного персонала;
- осуществление внешнеэкономической деятельности;
- бронирование мест (емкостей воздушных судов), оформление и продажа пассажирских и грузовых перевозок;
- обеспечение безопасности жизни и здоровья пассажиров, членов экипажей воздушных судов, наземного персонала авиапредприятий, охраны воздушных судов и средств аэропорта путем осуществления мер по защите от актов незаконного вмешательства в деятельность Общества в соответствии с Нормами, правилами и процедурами по авиационной безопасности;
- обеспечение необходимого уровня безопасности воздушных судов, авиационной безопасности полетов, выполнения в зоне аэропорта требований, установленных действующим законодательством и нормативными актами в области безопасности полетов, обслуживания воздушных судов, пассажиров, багажа, почты, грузов;
- проведение работ, связанных с использованием сведений, составляющих государственную и коммерческую тайну, оказанием услуг по её защите;
- организация и проведение аварийно-спасательных и противопожарных работ, ведомственный контроль за обеспечением пожарной безопасности, обучение мерам пожарной безопасности, монтаж, наладка, ремонт и техническое обслуживание оборудования и систем противопожарной защиты;
- организация местной телефонной связи для обеспечения основной производственной деятельности аэропорта и других организаций наземными средствами авиационной электросвязи и предоставление услуг связи юридическим и физическим лицам;
- проведение работ, связанных с приемом опасных грузов, (в т.ч. обеспечение безопасности при их выполнении) проведение лабораторных анализов по контролю качества авиационных горюче-смазочных материалов и спецжидкостей;
- электросветотехническое обеспечение и электроснабжение объектов;
- развитие материальной базы социальной сферы, в целях более полного социально-экономического обеспечения трудового коллектива;
- изготовление, оптовая и розничная реализация (с организацией потребления или без неё) продукции собственного производства, а также продовольственных товаров и продукции приобретенных у других производителей ,как на предприятиях общественного питания, так и через павильоны, палатки, киоски, торговые автоматы и другие объекты;
- оптовая и розничная продажа продукции (в т.ч. алкогольной продукции табачных изделий, пива);
- осуществление медицинской деятельности, связанной с основными видами деятельности, оказание медицинских услуг населению;
- осуществление строительной и эксплуатационной деятельности (в т.ч. выполнение СМР, проектных работ, производство строительных материалов, конструкций и изделий, выполнение функций заказчика) на объектах, зданиях, сооружениях производственной, жилой и социально-культурной сферы;
- участие в организации и проведении расследований производственных происшествий и инцидентов, разработка и реализация мероприятий по их предупреждению;
- ведение образовательной деятельности, а сфере дополнительного профессионального образования;
- лицензирование аэропортовой и агентской деятельности определяется нормативными актами, регламентирующими деятельность воздушного транспорта;
- коммерческая, рекламная, информационная и иная деятельность, не противоречащая действующему законодательству РФ и направленная на осуществление целей деятельности Общества.
Дополнительные условия, отражающие отраслевые особенности общества в соответствии с распоряжением Госкомитета РФ по управлению государственным имуществом от 16.09.92 г. № 444-р «Об особенностях преобразования в акционерные общества» и приватизации предприятий авиационного, морского, речного, автомобильного транспорта и дорожного хозяйства» определяют обязательства Общества в части сохранения статуса общественного перевозчика и выполнения общественно-необходимых функций в производственной и социальной инфраструктуре, включая деятельность по обеспечению транспортной и экологической безопасности, в том числе, в необходимых случаях, за счет собственных средств.
Общество обязано:
-выполнять в полном объеме требования, связанные с безопасностью полетов;
-сохранять и развивать соответствующие системы по обеспечению безопасности (поддерживать функционирование системы обеспечения перевозок, в соответствии с действующими отраслевыми нормами), включая сохранение штатной численности, служебных помещений, транспортных средств и оборудования, закрепленных за службами обеспечения безопасности;
- выполнять в полном объеме требования экологической безопасности транспортных средств, а также технологических процессов их хранения, ремонта и технического обслуживания;
-обеспечивать подготовку (переподготовку) и сертификацию персонала в объемах, предусмотренных квалификационными требованиями, действующими на воздушном транспорте, сохранять и развивать соответствующие системы подготовки кадров;
- страховать транспортные средства и персонал в порядке, предусмотренном требованиями на действующими на воздушном транспорте;
- сохранять профиль деятельности;
-осуществлять производство работ, услуг и выпуск продукции в соответствии с Уставами (кодексами) воздушного транспорта, лицензионными условиями, а также правилами перевозок , грузов и багажа , другими нормативными актами;
-обеспечивать равноправный доступ перевозчикам к инфраструктурным терминальным объектам, находящимся в его собственности или ведении;
-обеспечивать единую технологию перевозок и перевалки грузов смежными транспортными предприятиями, в том числе в стыковых пунктах и прямом смешанном сообщении;
-применять цены и тарифы в соответствии с действующими в РФ прейскурантами по работам и услугам, на которые устанавливаются регулируемые и фиксированные цены и тарифы;
-для иных видов перевозок, работ и услуг соблюдать установленные правила.
Дополнительные условия, отражающие отраслевые особенности общества в части выполнения постоянных мобилизационных заданий в соответствии с Федеральным законом « О мобилизационной подготовке и мобилизации в Российской Федерации « № 31-ФЗ от 26.02.97г.
Общество обязано:
- выполнять обязанности по мобилизационной подготовке и мобилизационными заданиями в соответствии с действующим законодательством и утвержденными мобилизационными планами, являющимися заказом для республиканских и государственных нужд;
- использовать объекты гражданской обороны и мобилизационного назначения, мобилизационные запасы, не подлежащие приватизации (в дальнейшем - имущество), на условиях договоров, заключаемых обществом с федеральным органом по управлению государственным имуществом или на иных, установленных действующим законодательством основаниях;
- заключать в установленном порядке договоры о выполнении установленного мобилизационного задания.
Общество не вправе отказываться от заключения договоров о выполнении мобилизационных заданий (заказов) в целях, обеспечения обороны страны и безопасности государства, если с учетом мобилизационного развертывания производства их возможности позволяют выполнить эти мобилизационные задания (заказы).
Возмещение государством убытков, понесенных обществом в связи с выполнением им мобилизационных заданий (заказов), осуществляются в порядке, определяемом: Правительствам Российской федерации.
Реорганизация и ликвидация предприятия осуществляется при участии представителей органов устанавливающих и контролирующих мобилизационные задания на условиях, сохраняющих мобилизационную подготовку и обеспечивающих выполнение мобилизационных заданий, установленных для этого предприятия.
На рис. 1 представлена схема организационной структуры ОАО «Н-ский аэропорт».
Рис. 1. Схема организационной структуры ОАО «Н-ский аэропорт»
3. Основные цели защиты информации на предприятии
Защита информации на предприятии - это система организационных и технических мер, призванных исключить причинение ущерба предприятию, как организации, в соответствии со своими полномочиями, владеющей конфиденциальной информацией о гражданах и предприятиях и совершающей на основе этой информации финансовые операции.
Термин “Несанкционированный доступ к информации” (НСД) означает доступ к защищаемой информации нарушающий правила разграничения доступа к ней с целью ознакомления с информацией, её похищения, копирования, модификации (искажения, подмены), уничтожения.
Основными целями защиты информации на предприятии являются:
1. Предотвращение или существенное затруднение добывания сведений, составляющих конфиденциальную информацию, или создание у нарушителя искаженного (ложного) представления об истинной информации.
2. Предотвращение искажения, модификации или уничтожения информации, которые могут быть произведены в корыстных целях, для сокрытия неправомерных действий, из хулиганских побуждений, из-за неумелого обращения с вычислительной техникой.
3. Предотвращение хищения или нарушения работы средств вычислительной техники (СВТ), на которых производится обработка и хранение информации.
4. Предотвращение физического разрушения или уничтожения информации, которое может произойти в результате несчастного случая, стихийного бедствия или поломки оборудования.
Защите подлежат:
1. Информационные ресурсы, содержащие сведения, отнесенные к конфиденциальной информации, представленные в электронном виде (на дискетах, жестких дисках, других долговременных носителях информации на магнитной и оптической основе, данные в оперативных запоминающих устройствах ЭВМ), в виде информативных физических полей (электромагнитное излучение от средств визуального воспроизведения информации и др. подобных устройств), в виде информационных массивов и баз данных.
2. Информационное содержание банка, персональные данные.
3. Автоматизированная информационная система (АИС), в том числе автоматизированное рабочее место и т.д., АИС, другое общесистемное и прикладное обеспечение, а также операционные системы.
4. Средства и системы автоматизации, средства вычислительной техники (СВТ), локальные вычислительные сети (ЛВС), включая кабельные системы, сетевое оборудование, системы электроснабжения и заземления), а также любые технические средства, используемые для обработки информации, содержащей сведения, отнесенные к конфиденциальной информации.
5. Технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается конфиденциальная информация, а также сами помещения.
Защита информации на предприятии достигается комплексным применением следующих организационно - технических мер и программно - аппаратных средств защиты и контроля:
Организацией работы по выполнению требований нормативных документов по защите информации.
Организацией порядка обеспечения резервного копирования, восстановления и архивирования данных.
Установлением ответственности должностных лиц предприятия за обеспечение безопасности информации.
Внесением дополнений в должностные инструкции отдельных специалистов для непосредственного выполнения задач, обеспечивающих защиту информации.
Организацией разграничения допуска в помещения в зонах усиленного режима (ЗУР).
Подготовкой должностных лиц и персонала по выполнению требований нормативных актов и нормативно - методических документов по обеспечению защиты информации.
Контролем за применением средств копирования, хранения и стирания информации, функционированием средств защиты, применяемых на СВТ.
Контролем за соблюдением требований по обеспечению защиты информации сотрудниками предприятия.
Установлением технических средств охраны для ограничения доступа в помещения.
Установлением технических средств охраны, наблюдения, регистрации и разграничения доступа в помещении в зонах усиленного режима.
Организацией противопожарной защиты и установлением технических средств противопожарной защиты.
Проведением постоянного анализа эффективности средств защиты информации.
Осуществляемые меры защиты информации должны учитывать, что лица, посягающие на конфиденциальную информацию могут обладать высокой квалификацией как специалисты в области программного и аппаратного обеспечения СВТ, а также групповой характер таких действий.
К техническим средствам защиты информации относятся изделия и устройства, реализующие программно - аппаратные и криптографические методы обеспечения ее безопасности.
К зонам усиленного режима относятся следующие помещения:
- серверная комната;
- комната для печати конфиденциальной информации;
- телекоммуникационный узел;
- архивохранилище;
- кабинеты для работы специалиста по защите информации, системного оператора, администраторов локальной вычислительной сети (ЛВС) и базы данных (БД).
Для хранения информации, ввода и вывода результатов ее обработки на СВТ используются магнитные носители информации и машинные документы.
К машинным носителям информации относятся:
- магнитные диски (МД);
- гибкие магнитные диски (ГМД), именуемые дискетами;
- оптические диски (ОД);
- постоянные запоминающие устройства (ПЗУ);
- оперативные запоминающие устройства (ОЗУ);
- устройства буферной и регистровой памяти.
К бумажным машинным носителям информации относятся бланки информации, бумажные ленты, рулоны, сфальцованная бумага.
К машинным (выходным) документам относятся:
- распечатки с печатающих устройств вычислительного комплекса, включая протоколы взаимодействия операторов с СВТ, регистрационные материалы, заполненные информационные бланки;
- графические материалы, полученные с помощью графопостроителей, и другие документы на бумажных лентах, рулонах, сфальцованной бумаге или отдельных листах, на ГМД или МЛ.
Защита информации на предприятии является обязанностью каждого сотрудника не зависимо от занимаемой должности. Ответственный подход каждого сотрудника к выполнению требований, рекомендаций и своих обязанностей по защите информации обеспечивает высокий уровень информационной безопасности.
4. Обязанности должностных лиц предприятия по обеспечению защиты информации
Практическая реализация мероприятий по защите информации и контроль за соблюдением безопасности информации на предприятии возлагается на специалиста по защите информации.
На специалиста по защите информации (СПЗИ) возлагается:
1. Организация работ по выполнению требований законодательных актов РФ и нормативно - распорядительных документов предприятия в части обеспечения безопасности и защиты информации.
2. Разработка проектов приказов, распоряжений, руководств и инструкций по обеспечению защиты информации на предприятии и ее безопасности, осуществление контроля за выполнением требований указанных документов.
3. Анализ состояния работ по обеспечению защиты информации на предприятии, оценка эффективности защиты информации и разработка предложений по ее совершенствованию.
4. Участие в работе комиссии по аттестации выделенных помещений и размещенных в них технических средств.
5. Контроль за выполнением специальных требований по размещению технических средств, прокладкой кабельных трасс и инженерных систем.
6. Составление списков пользователей, допущенных к конфиденциальной информации на СВТ. Инструктирование вновь принимаемых работников о соблюдении правил обращения с конфиденциальной информацией и ознакомление их с инструктивными материалами по защите информации с оформлением “Обязательства”.
7. Разграничение доступа среди пользователей и оперативно - диспетчерского персонала к информации на СВТ и ЛВС.
8. Контроль за созданием и ведением базы эталонных копий программного обеспечения автоматизированных информационных систем и разрешенного программного обеспечения.
9. Контроль за применением разрешенного программного обеспечения.
10. Осуществление контроля за передачей сторонним организациям конфиденциальной информации в соответствии с заключёнными договорами.
11. Обеспечение установки и контроля за работой технических средств охраны, наблюдения, регистрации и разграничения доступа в помещениях в зонах усиленного режима.
12. Обучение, инструктажи и консультации сотрудников по вопросам обеспечения сохранности информации на СВТ и использованию средств защиты информации.
13. Участие в проведении расследований по фактам нарушения безопасности информации.
14. Участие в работе всех служб по подготовке документов и осуществлению практических мероприятий, затрагивающих вопросы защиты информации.
На административно - хозяйственный отдел (АХО) возлагается:
Организация совместно с СПЗИ (специалист по защите информации) установки и эксплуатации охранной, пожарной сигнализации, организация пропускного режима в зоны усиленного режима.
Согласование с СПЗИ проектов и планов проведения работ в зонах усиленного режима.
Создание совместно со СПЗИ надлежащих условий, обеспечивающих: сохранность СВТ, машинных и бумажных носителей информации; уничтожение отслуживших срок носителей информации; сохранение резервных копий баз данных;
Оборудование помещений: хранилища для хранения документов на бумажных носителях; хранилища для хранения документов на машиночитаемых носителях; помещения для приема документов; помещения для сотрудников архива.
Помещения оборудуются в соответствии с "Требованиями по обеспечению сохранности документов в архивах" и другими руководящими документами.
На спецчасть возлагается:
Хранение запасных экземпляров ключей от входных дверей помещений ЗУР (зона усиленного режима) здания, находящихся в них сейфов и металлических шкафов, распашных металлических решеток с замками.
Ведение “Журнала учёта представления конфиденциальной информации” сторонним организациям.
На отдел кадров возлагается:
Организация совместно с СПЗИ подготовки и обучения сотрудников по вопросам защиты информации.
Согласование с СПЗИ начальниками или руководителями служб, отделов кандидатур на должности администраторов БД.
На юридический отдел предприятия возлагается:
Заключение договоров со сторонними организациями о передаче и получении конфиденциальной информации с соблюдением требований закона РФ от 20 февраля 1995 г. № 24-Ф3 “Об информации, информатизации и защите информации” и “Перечня сведений конфиденциального характера” и других руководящих документов.
На отдел автоматизации возлагается:
Обязательное согласование с ГСПЗИ всех работ по размещению СВТ, подключению СВТ и ЛВС к линиям связи.
Сдача в базу эталонных копий централизованно поступающих версий программного обеспечения АИС и разрешенного программного обеспечения, а также любого программного обеспечения.
Учет у ГСПЗИ применяемых технических и программных средств защиты информации.
Регулярное проведение ремонтно-профилактических работ с целью предотвращения утраты информации в результате поломок СВТ.
Планирование и реализация разработанных мероприятий по защите ПО и ИО от воздействия программ-вирусов.
Администраторами БД и АИС еженедельно проводить профилактические работы на серверах для выявления и уничтожения программ-вирусов.
Проверка ГМД (гибкие магнитные диски), поступающих от других сторонних организаций на наличие на них программ-вирусов.
Защита учтенных дискет от записи при копировании с них информации.
Информирование СПЗИ о всех сбоях и необычных ситуациях возникающих при эксплуатации СВТ и ЛВС.
Организация резервного копирования баз банных, разработка и контроль за соблюдением регламента резервного копирования данных. Включение в инструкции для персонала по работе с программным обеспечением разделов, связанных с защитой информации.
Учет требований защиты информации при организации разработки и сопровождения программного обеспечения (ПО).
Согласование с СПЗИ технических заданий на разработку ПО и на внесение изменений в рабочие программы и массивы постоянной информации для задач, принятых в эксплуатацию.
На отдел учета поступления и расходования средств и экономический отдел возлагается:
Определение, совместно с СПЗИ, уровня конфиденциальности информации функционирующей в отделах, и принятие мер по защите информации на СВТ в соответствии с данной инструкцией, другими нормативно - распорядительными документами по защите информации.
Начальники служб обязаны:
Совместно с АХО провести мероприятия по установке охранной и противопожарной сигнализации в помещениях, где размещены СВТ, вводится, хранится и обрабатывается конфиденциальная информация.
Совместно с отделом автоматизации организовать сохранение и осуществлять контроль за сохранностью БД и программного обеспечения АИС.
Совместно с СПЗИ составлять список разграничения доступа пользователей к информационным ресурсам в своих подразделениях.
Организовать порядок приема сведений от плательщиков, исключающий возможность случайного разглашения конфиденциальной информации, НСД к БД.
Определение функциональных обязанностей работников СУ с учетом их персональной ответственности, определение кандидатур на возложение обязанностей:
- администратора базы данных (один человек на локальную сеть);
- координаторов по информационной безопасности (один человек на комнату, если в ней три и более рабочих места);
- ответственного лица за ведение журнала учета машинных носителей информации и машинных документов.
Администратор базы данных обязан:
Не реже одного раза в месяц производить смену паролей в соответствии с процедурой, определяемой ГСПЗИ;
Осуществлять резервное копирование БД АИС согласно установленного регламента с соблюдением требований;
Перераспределять по ЛВС доступ к группам плательщиков между уполномоченными в соответствии с указаниями главного (старшего) уполномоченного;
Своевременно информировать СПЗИ о возникновении угрозы и свершившихся случаях утраты, искажения информации, несанкционированного доступа к информации. В необходимых случаях принимать меры к восстановлению БД с использованием МНИ резервного копирования;
Проведение еженедельных профилактических работ на серверах для выявления программ - вирусов, в случае обнаружения сообщать об этом ГСПЗИ и в отдел автоматизации.
Порядок работы, исключающий возможность случайного разглашения конфиденциальной информации:
Размещение и установка СВТ должны предотвращать визуальный просмотр обрабатываемых сведений лицами, не имеющими к ним отношения.
В комнате, где производится прием граждан, должно находиться не более одного посетителя на одного ведущего прием сотрудника.
При работе с посетителем на столе и на мониторе компьютера должна находиться информация, касающаяся только этого посетителя.
При оставлении сотрудником рабочего места необходимо убрать все бумажные и магнитные носители из поля зрения посетителей (желательно запереть на замок в шкаф или ящик стола).
Служебное помещение (комната) в течение рабочего дня не должно оставаться без присмотра, последний выходящий из помещения сотрудник должен попросить выйти из него посетителей и закрыть дверь на замок.
Двери помещений ЗУР в течение рабочего дня должны сразу же закрываться на замок при входе и выходе.
Каждый сотрудник, использующий в работе СВТ (пользователь), несет персональную ответственность за выполнение правил и требований по обеспечению защиты информации.
Допуск к конфиденциальной информации работникам разрешается после подписания работником соответствующих обязательств, изучения им требований инструкции и других нормативных документов по защите информации.
Пользователь обязан:
Соблюдать требования распорядительных, нормативно - методических документов, регламентирующих защиту информации при работе на СВТ.
Строго хранить конфиденциальную информацию, не допускать возможность просмотра или прослушивания сторонними лицами информации о плательщиках при ее получении, передаче и обработке.
При работе на СВТ применять МНИ, учтенные в подразделении.
Производить обработку информации служебного характера только после полной перезагрузки операционной системы, если перед этим на компьютере работал другой пользователь, или выполнялись программы, не связанные с обработкой служебной информации (обучение и т.п.).
При обнаружении сбоев при работе СВТ или программного обеспечения прекратить работу на компьютере и сообщить о случившемся руководителю или лицу, ответственному за защиту информации.
При эксплуатации СВТ ЗАПРЕЩАЕТСЯ:
1. Обрабатывать информацию и решать задачи с грифом выше "ДСП" без применения сертифицированных средств защиты.
2. Допускать к защищенной информации лиц, не имеющих к ней отношения.
3. Работать на СВТ с неучтенными МНИ.
4. Записывать программы, не предназначенные для обработки служебной информации, на машинные носители с программным обеспечением служебного пользования и базами данных (данными), без согласования с лицом, ответственным за защиту информации.
5. Производить копирование информации с учтенных МНИ на неучтенные.
6. Уничтожать, копировать, модифицировать или производить какие-либо другие действия над программами, данными других пользователей, без согласования с руководителем подразделения и лицом, ответственным за защиту информации.
7. Работать с программами не служебного пользования на компьютерах, где хранится и обрабатывается служебная информация, без согласования с руководителем подразделения и лицом, ответственным за защиту информации.
8. Работать с программами и данными служебного пользования при обнаружении неисправностей СВТ.
9. Открывать, разбирать, ремонтировать СВТ и отстыковывать соединительные кабели без разрешения ответственного за ее эксплуатацию лица.
10. Выносить учтенные МНИ за пределы помещений.
5. Ввод в эксплуатацию и сопровождение программного обеспечения
Основанием для ввода в эксплуатацию программных средств является решение управляющего. Проверка и тестирование средств программного обеспечения (ПО) должны проводиться только на учебных исходных данных (условной информации). Прием и ввод в эксплуатацию общего программного обеспечения (ОПО) и средств защиты информации (СЗИ) в ОАО «Н-ский Аэропорт» осуществляется комиссией, в состав которой входит СПЗИ, и оформляется актом. Второй экземпляр акта хранится у СПЗИ.
Внесение изменений в рабочие программы и массивы постоянной информации для ПО, принятого в эксплуатацию, производится отделом автоматизации на основании технического задания в соответствии с методическими указаниями. Техническое задание согласовывается с СПЗИ.
6. Каналы утечки информации и способы защиты.
1. Утечка информации может происходить как через несанкционированный доступ к носителям информации СВТ и ЛВС, так и без непосредственного доступа к ним, путем снятия акустического и электромагнитного информативных сигналов. Преобразование акустического и электромагнитного излучения СВТ в текстовую и другую доступную для восприятия информацию производится с использованием современных методов обработки информации, которые основаны на математическом моделировании. Алгоритмы преобразования различных видов информативных сигналов в доступную для восприятия человеком форму реализованы в виде программ для компьютеров и программно - аппаратных комплексов.
2. Утечка информации способом перехвата акустического информативного сигнала возможна при работе телетайпов, матричных принтеров, пишущих машинок и т.п. Способом перехвата является установка подслушивающих устройств внутри помещений, на внешних стенах помещений, специальных устройств расположенных на расстоянии в пределах прямой видимости помещений. Аналогично осуществляется перехват речевого сигнала.
3. Утечка информации способом перехвата электромагнитного излучения наблюдается при работе мониторов (информация на экране), лазерных принтеров и т.п. При этом возможны следующие каналы утечки информации:
Перехват информативного сигнала излучаемого устройствами СВТ, находящимися в неэкранированных помещениях, на специальные устройства, которые могут располагаться в радиусе нескольких сотен метров от здания штаба.
Снятие информативного сигнала с проводов и линий выходящих за пределы контролируемой зоны (цепи заземления, электропитания и т.п.).
Снятие неравномерности тока потребления, которая обусловлена работой технических средств.
Прием радиоизлучения внедряемых в технические средства и помещения специальных устройств для передачи во вне электромагнитного информативного сигнала.
4. Утечка информации возможна при передаче данных по каналам связи (радиосвязь, телефонные сети, кабельные системы ЛВС и т.п.). При этом возможны следующие каналы утечки информации:
Подключение устройств перехвата информации к кабелям и коммуникационным узлам соответствующих систем.
Несанкционированный доступ к информации функционирующей в ЛВС путем непосредственного использования злоумышленником подсоединенного в сеть компьютера, или через самостоятельно произведенное подсоединение своего компьютера к ЛВС, или через подсоединение удаленного компьютера к ЛВС по телефонной сети (при наличии подключения в сети через модем).
Установка под предлогом демонстрации работы программы или инсталляции программного обеспечения программы типа компьютерного вируса ("троянский конь"), которая осуществляет автоматическую несанкционированную передачу конфиденциальных сведений через модем на специально оборудованный пункт приема информации, или на компьютер в ЛВС, на который злоумышленники имеют доступ.
Установка в СВТ специальных технических средств съема и несанкционированной передачи информации по линиям связи под предлогом ремонта СВТ или поставок нового оборудования.
5. Утечка информации может быть произведена через хищение компьютеров, хищение или подмену МНИ, в том числе жестких дисков (под предлогом ремонта, осмотра СВТ и т.д.).
6. Через указанные каналы утечки информации возможно воздействие на информацию с целью ее искажения или уничтожения.
Поломки и сбои СВТ могут быть специально спровоцированы с целью уничтожения информации для ее последующего искажения или установки программных или аппаратных средств несанкционированного доступа
7. Утечка информации может происходить при передаче по незащищенным каналам связи несекретной служебной информации, по совокупности которой можно получить конфиденциальную информацию.
8. Способы защиты и обеспечения безопасности информации представляют собой применение следующего комплекса мер:
Предотвращение утечки информации за счет перехвата электромагнитного и акустического сигнала достигается путем применения специальных технических средств, экранированием и звукоизоляцией зданий, применением специальных технических решений при установке сетей электропитания и контуров заземления, организационными мероприятиями.
Исключение несанкционированного доступа посторонних лиц к информационным ресурсам СВТ достигается установкой автоматической системы ограничения доступа в ЗУР, организацией пропускной системы.
Исключить несанкционированный доступ к информации по ЛВС позволяет организация разграничения доступа через настройку файловой системы, ведение системы логических имен и личных кодов пользователей АИС, установка специальных программно - аппаратных средств контроля доступа к информационным ресурсам, использование криптографических методов защиты, соблюдение правил данной инструкции в части работы пользователей СВТ.
Выявление внедрения в СВТ технических средств съема или разрушения информации, а также предотвращение указанных действий достигается регулярным проведением профилактических осмотров и ремонта СВТ работниками отдела автоматизации ОАО «Н-ский аэропорт». Профилактика внедрения аналогичных программных средств достигается специальными организационными мероприятиями описанными в п.5.
7. Защита ПО и информационного обеспечения (ИО) от программ-вирусов.
Довольно часто в печати появляются сообщения о нападениях на информационные и вычислительные центры компьютерных вирусов. Некоторые из них, например «Микеланджело», уничтожают информацию, другие – такие, как «Червяк Моррисона», проникают сквозь систему сетевых паролей. Но борьба даже со сравнительно безопасными вирусами требует значительных материальных затрат. По оценкам специалистов инженерного корпуса США, при обнаружении и уничтожении в вычислительных сетях военного ведомства вируса «Сатанинский жук» затраты составляли более 12000 долларов в час. Наиболее часто для борьбы с компьютерными вирусами применяются антивирусные программы, реже – аппаратные средства защиты.
Под термином "компьютерные вирусы" понимаются специально разработанные, программы, программные модули, блоки, группы команд, умышленно включаемые в программное обеспечение с целью дезорганизации процесса обработки информации на СВТ, осуществления разрушения или модификации хранящихся на МНИ программ и данных. К ним относятся программы типа "троянский конь", распространяющиеся аналогично программам - вирусам и предназначенные осуществлять автоматический несанкционированный доступ к конфиденциальной информации.
Для защиты информации от воздействия программ-вирусов необходимо соблюдение следующих требований:
1. Разграничение через систему паролей доступа пользователей к привилегированным функциям ЛВС и БД (например, администрирование).
2. Разграничение допуска пользователей в помещения операторов, телекоммуникационный узел, помещение специалиста по защите информации, другие помещения ЗУР (зона усиленного режима).
3. Проверка ранее не использовавшегося программного обеспечения на специально выделенном компьютере у СПЗИ (специалист по защите информации).
4. Соблюдение правил ввода в эксплуатацию и сопровождения программного обеспечения. Планирование и реализация мероприятий СПЗИ по защите ПО и ИО от воздействия программ-вирусов.
5. Проведение администраторами БД и АИС еженедельных профилактических работ на серверах для выявления и уничтожения программ-вирусов.
6. Проверка магнитных носителей информации, поступающих от других сторонних организаций на наличие на них программ-вирусов.
7. Защита учтенных дискет от записи при копировании с них информации.
8. Информирование специалиста по защите информации о всех сбоях и необычных ситуациях возникающих при эксплуатации СВТ и ЛВС.
Для защиты ПО и информационного обеспечения (ИО) от программ-вирусов в ОАО «Н-ский аэропорт» используется антивирусная база Dr.Web. Dr.Web устроен по модульному принципу: сканированием диска занимается базовая программа, а контролем запускаемых программ и документов – модуль Spider. Проверяются все категории файлов, которые могут быть заражены: исполняемые файлы, документы Microsoft Word, архивы всех популярных форматов (ARJ, ZIP, RAR, TAR и так далее), скрипты VBS и многие другие.
8. Учет, хранение и обращение с машинными носителями информации и документами
На учет, хранение и обращение с машинными носителями информации и документами возлагаются следующие требования:
1. ППО (прикладное программное обеспечение) поступившее в любое структурное подразделение ОАО «Н-ский аэропорт» подлежит сдаче в базу эталонных копий у СПЗИ.
2. Разрабатываемые и поступившие в ОПФР СЗИ подлежат учету у СПЗИ в "Журнале учета эталонных копий программного обеспечения".
3. Подлинники ППО и СЗИ хранятся соответственно в отделе автоматизации и у СПЗИ на маркированных МНИ.
4. Маркировка МНИ осуществляется проставлением регистрационного штампа и нанесением учетного номера, даты и росписи лица, проводившего учет и маркировку. Учетный номер состоит из индекса структурного подразделения, через дробь порядковый номер по единой нумерации, которая ведется с начала до окончания журнала (или перерегистрации), а через дефис - буквенный индекс. Буквенный индекс проставляется только для ППО и СЗИ (средства защиты информации). Регистрационный штамп проставляется на бумажной этикетке МНИ.
5. В ОАО «Н-ский аэропорт» учет и хранение машинных носителей с общим программным обеспечением возлагается на СПЗИ. Поступившие ППО и СЗИ подлежит учету в "Журнале учета эталонных копий программного обеспечения".
6. Рабочие МНИ пользователей подлежат учету в "Журнале учета МНИ", который ведется в отделом защиты информации, а в СУ назначенным ответственным лицом. Выдача рабочих МНИ производится по данному журналу. Пользователи учитывают в описи получаемые для работы МНИ. Журналы учета включаются в номенклатуру дел. Их листы нумеруются, прошиваются и опечатываются.
7. Машинные документы, составленные для временного пользования (справки, планы, графики, расписания и т.п.) не подлежат регистрации.
8. Выходные машинные документы, содержащие конфиденциальную информацию, а также справочные документы длительного пользования учитываются в "Журнале учёта конфиденциальной информации". Аналогично учитываются документы, содержащие конфиденциальную информацию, полученные путем копирования на множительной технике, копирование таких документов допускается только по распоряжению руководителя подразделения или лица, ответственного за защиту информации.
Порядок Ведения делопроизводства в системе ПУ установлен в “Инструкции по делопроизводству в системе персонифицированного учёта ПФР” и возлагается на должностных лиц приказом Управляющего.
9. Документы ПУ на бумажных и машиночитаемых носителях, архивируются и хранятся в помещениях архива в ЗУР (зона усиленного режима). Помещения оборудуются в соответствии с “Требованиями по обеспечению сохранности документов в архивах”.
10. Передача МНИ с конфиденциальной информацией из одного структурного подразделения в другое производится с разрешения руководителя структурного подразделения с обязательной отметкой в месте регистрации в "Журнале учета МНИ".
11. Передача МНИ с конфиденциальной информацией сторонним организациям производится с разрешения Генерального директора или лица его заменяющего на основании договора или письменного запроса этих организаций с обязательной отметкой в месте регистрации МНИ в "Журнале учета МНИ" и в “Журнале учёта представления конфиденциальной информации сторонним организациям и лицам”.
12. МНИ с конфиденциальной информацией необходимо хранить в сейфах, закрывающихся шкафах или в ящиках рабочих столов, которые имеют замки.
13. Полученные при формировании МНИ и документов бракованные листы бумаги в разорванном виде складываются в металлические ящики, а затем сжигаются в специальных местах или сразу уничтожаются на бумагорезательной машине. С этой целью на предприятии должны находиться металлические ящики или бумагорезательные машины. Выбрасывать материалы выходных машинных документов содержащих конфиденциальную информацию в урны и на улицу категорически запрещено.
14. Уничтожение рабочих МНИ, пришедших в негодность, производится в отделе автоматизации по акту или под две росписи в журнале учета.
15. Уничтожение ППО, СЗИ и рабочих МНИ с конфиденциальной информацией, утративших свое практическое назначение и не имеющих исторической ценности, также пришедших в негодность, производится по акту.
16. Уничтожение ненужных файлов производится в соответствии с возможностями прикладных программ и должно исключать восстановление удаленных файлов.
17. Проверка ППО, СЗИ и рабочих МНИ производится не реже одного раза в год комиссией, назначаемой Генеральным директором . В состав комиссий включаются работники, ответственные за учет и хранение этих материалов.
Результаты проверки оформляются актом, оригинал которого хранится в структурном подразделении, а второй экземпляр у СПЗИ.
9. Порядок размещения и установки СВТ по обработке конфиденциальной информации.
1. Размещение и установка СВТ в помещениях, где обрабатывается конфиденциальная информация, должны исключать возможность хищения устройств (блоков) СВТ.
2. Размещение и установка СВТ должны предотвращать бесконтрольное использование и визуальный просмотр обрабатываемых сведений лицами, не имеющими к ним отношения.
3. Двери помещений должны быть оборудованы внутренними замками, гарантирующими надежное их закрытие. Окна помещений на первом этаже должны иметь прочные металлические решетки.
4. Помещения в зонах усиленного режима должны быть оборудованы системой разграничения доступа (кодовыми замками), охранно-пожарной сигнализацией.
5. По окончании рабочего дня работники, отвечающие за эксплуатацию СВТ, должны осмотреть, запереть и опечатать помещения. При наличии постов охраны сдать им под наблюдение помещения и ключи от них в опечатанных коробках под роспись в книге приема и сдачи служебных помещений.
6. Допуск в помещения зон усиленного режима организуется по списку.
7. Допуск в помещения, где размещены СВТ, представителей для ремонта и уборки помещений осуществляется в присутствии ответственного за эксплуатацию СВТ.
8. Запасные входные двери в здание должны быть постоянно заперты изнутри.
9. Организация противопожарной защиты.
Противопожарная защита организована следующим образом:
1. Все помещения, независимо от их назначения и хозяйственной принадлежности оборудуются средствами пожарной сигнализации с обеспечением круглосуточного режима работы извещателей. В качестве пожарных извещателей рекомендуется применять извещатели, реагирующие как на дым, так и на тепловое излучение. В каждом помещении устанавливается не менее двух пожарных датчиков.
2. С целью предотвращения и ликвидации пожара в помещениях разрабатывается "Инструкция по противопожарной защите", все сотрудники обучаются правилам пользования средствами пожаротушения.
В зонах усиленного режима устанавливаются средства пожаротушения (огнетушители типа ОУ-8 или ОП-5)
3. Для повышения эффективности противопожарной безопасности необходимо проводить регулярные испытания пожарного оборудования и тренировки персонала.
10. Допуск к конфиденциальной информации
1. Работники, допущенные к конфиденциальной информации, несут личную ответственность за соблюдение ими установленного режима защиты информации и обязаны строго соблюдать сохранность конфиденциальной информации и коммерческой тайны, не допускать действий, подрывающих или дискредитирующих авторитет организации.
2. Допуск к конфиденциальной информации работников служб и подразделений разрешается после подписания работником соответствующих обязательств, изучения им требований настоящей инструкции и других нормативных документов по защите информации.
3. За разглашение сведений, составляющих конфиденциальную информацию, утрату машинных носителей информации, содержащих такие сведения, либо за иные нарушения режима защиты информации виновные привлекаются к ответственности в соответствии с действующим законодательством.
11. Анализ рисков
Изучение и систематизация угроз ИБ
Под угрозой понимается событие (воздействие), которое в случае своей реализации становится причиной нарушения целостности информации, ее потери или замены. Угрозы могут быть как случайными, так и умышленными (преднамеренно создаваемыми).
К случайным угрозам относятся:
ошибки обслуживающего персонала и пользователей:
потеря информации, обусловленная неправильным хранением архивных данных;
случайное уничтожение или изменение данных;
сбои оборудования и электропитания:
сбои кабельной системы;
перебои электропитания;
сбои дисковых систем;
сбои систем архивирования данных;
сбои работы серверов, рабочих станций, сетевых карт и т. д.
некорректная работа программного обеспечения:
изменение данных при ошибках в программном обеспечении;
заражение системы компьютерными вирусами.
несанкционированный доступ:
случайное ознакомление с конфиденциальной информацией посторонних лиц.
Необходимо отметить, что зачастую ущерб наносится не из-за чьего-то злого умысла, а просто по причине элементарных ошибок пользователей, которые случайно портят или удаляют данные, жизненно важные для системы. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей. Кроме того, вероятность ошибок обслуживающего персонала и пользователей сети может быть значительно уменьшена, если их правильно обучать и, кроме того, периодически контролировать их действия со стороны, например, администратора безопасности сети.
Трудно предсказуемыми источниками угроз информации являются аварии и стихийные бедствия. Но и в этих случаях для сохранения информации могут использоваться различные средства.
Наиболее надежное средство предотвращения потерь информации при кратковременном отключении электроэнергии - установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитных носителях. Большинство UPS выполняют функции еще и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства (серверы, концентраторы, мосты и др.) оснащены собственными дублированными системами электропитания.
Основной, наиболее распространенный, метод защиты информации и оборудования от стихийных бедствий (пожаров, землетрясений, наводнений и т. п.) состоит в создании и хранении архивных копий данных, в том числе, в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях, либо, реже, в другом районе города или в даже другом городе.
Особенностью компьютерной неосторожности является то, что безошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с огромным запасом надежности, то в области программирования такая надежность весьма условна, а иногда почти не достижима. И это касается не только отдельных программ, но и целого ряда программных продуктов фирм, известных во всем мире.
Как считают эксперты по безопасности, из-за недостатков в программных продуктах Microsoft, связанных с обеспечением безопасности данных в сети Internet, хакеры могут захватывать личные ключи шифров пользователей и действовать от их лица. Поскольку существуют дефекты в некоторых программах Microsoft, включая браузер Internet Explorer и пакет Internet Information Server, ключи шифров можно легко скопировать с жестких дисков компьютеров, подключенных к WWW.
Проблема состоит в том, что форматы файлов, применяемые для защиты личных ключей шифров, до конца не проработаны. Используя лазейки в системе защиты, можно с помощью вирусного программного кода, скрытого на Web-страницах, читать содержимое жестких дисков пользователей во время посещения ими данной страницы. А из-за дефекта в программных интерфейсах криптографии, используемых многими средствами Microsoft, множество ключей могут быть считаны с жесткого диска пользователя по простому запросу. Легкость, с которой это можно выполнить, ставит под угрозу все остальные средства шифрования, применяемые на Web-страницах и в браузерах.
Уровень указанных угроз в значительной мере снижается за счет повышения квалификации обслуживающего персонала и пользователей, а также надежности аппаратно-программных и технических средств.
Однако наиболее опасным источником угроз информации являются преднамеренные действия злоумышленников. Спектр их противоправных действий достаточно широк, а итогом их вмешательства в процесс взаимодействия пользователей сети является разглашение, фальсификация, незаконное тиражирование или уничтожение конфиденциальной информации.
Стандартность архитектурных принципов построения оборудования и программ обеспечивает сравнительно легкий доступ профессионала к информации, находящейся в персональном компьютере. Ограничение доступа к ПК путем введения кодов не гарантирует стопроцентную защиту информации.
Угрозы, преднамеренно создаваемые злоумышленником или группой лиц (умышленные угрозы), заслуживают более детального анализа, так как часто носят изощренный характер и приводят к тяжелым последствиям
К умышленным угрозам относятся:
несанкционированный доступ к информации и сетевым ресурсам;
раскрытие и модификация данных и программ, их копирование;
раскрытие, модификация или подмена трафика вычислительной сети;
разработка и распространение компьютерных вирусов, ввод в программное обеспечение логических бомб;
кража магнитных носителей и расчетных документов;
разрушение архивной информации или умышленное ее уничтожение;
фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема;
перехват и ознакомление с информацией, передаваемой по каналам связи, и т. п.
Обычно выделяют три основных вида угроз безопасности: угрозы раскрытия, целостности и отказа в обслуживании. Угроза раскрытия заключается в том, что информация становится известной тому, кому не следует ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всегда, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой.
Нарушение конфиденциальности (раскрытие) информации - это не только несанкционированное чтение документов или электронной почты. Прежде всего, это перехват и расшифровка сетевых пакетов (как известно, информация в сети передается пакетами), другими словами, анализ трафика.
Оценка рисков нарушения безопасности
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.
Для оценки рисков необходимо систематически рассматривать следующие аспекты:
а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;
б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.
Ущерб и затраты на восстановление от повреждения, модификации и уничтожения информации напрямую зависит от временного периода, за который были уничтожены, повреждены или модифицированы данные. Чем больше временной период, тем больше ущерб и затраты на восстановление данных. Для минимизации ущерба и затрат на восстановление необходимо осуществлять резервное копирование базы данных.
13. Уровни обеспечения режима информационной безопасности
Административный уровень ИБ
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство компании должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов, а также назначить ответственных за разработку, внедрение и сопровождение системы безопасности. Служба информационной безопасности ОАО «Н-ский аэропорт» состоит из 3 человек, которые отвечают за разработку, внедрение и совершенствование системы безопасности.
С практической точки зрения политику безопасности рассматривается на трех уровнях детализации. К верхнему уровню отнесутся решения, затрагивающие организацию в целом. Они носят весьма общий характер и исходят от руководства организации. Список решений этого уровня включает в себя следующие элементы:
решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
обеспечение базы для соблюдения законов и правил;
формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Так как компания отвечает за поддержание критически важной информации отделов ОАО «Н-ский аэропорт», то на первом плане стоит задача уменьшения числа потерь, повреждений или искажений данных.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Для обеспечения определенной степени исполнительности персонала выработана система поощрений и наказаний.
Организационный уровень ИБ
К организационным средствам защиты относятся организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой – обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.
Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они охватывают все основные пути сохранения информационных ресурсов и включают:
ограничение физического доступа к объектам ИС и реализацию режимных мер;
ограничение возможности перехвата информации вследствие существования физических полей;
ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа;
создание твердых копий важных с точки зрения утраты массивов данных;
проведение профилактических и других мер от внедрения вирусов.
По содержанию все множество организационных мероприятий можно условно разделить на следующие группы.
Мероприятия, осуществляемые при создании ИС: учет требований защиты при разработке общего проекта системы и ее структурных элементов, при строительстве или переоборудовании помещений, при разработке математического, программного, информационного или лингвистического обеспечений, монтаже и наладке оборудования, испытаниях и приемке системы.
Мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах ВЦ, распределение реквизитов разграничения доступа (паролей, полномочий и т.д.), организация ведения протоколов, контроль выполнения требований служебных инструкций.
Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование всех мероприятий по защите информации, обучение персонала, проведение занятий с привлечением ведущих организаций страны, участие в семинарах и конференциях по проблемам безопасности информации и т.п.
Технический уровень ИБ
Технический уровень ИБ делится на аппаратный и программный.
Аппаратными средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.
Аппаратные средства защиты
К настоящему времени применяется значительное число различных аппаратных средств, причем они могут включаться практически во все устройства ИС: терминалы пользователей, устройства группового ввода-вывода данных, центральные процессоры, внешние запоминающие устройства, другое периферийное оборудование. Так, например, в терминалах пользователей наибольшее распространение получили устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (различного рода замки и блокираторы), обеспечения идентификации терминала (схемы генерирования идентифицирующего кода) и идентификации пользователя (магнитные индивидуальные карточки, дактилоскопические и акустические устройства опознавания и т.п.).
Самостоятельную группу составляют аппаратные средства шифрования данных. Современные устройства шифрования могут сопрягаться с помощью стандартных интерфейсов практически с любым устройством ИС, обеспечивая как шифрование, так и дешифрование данных. Программные средства защиты
Программными средствами защиты называются специальные программы, которые включаются в состав программного обеспечения АСОД специально для осуществления функций защиты. Программные средства являются важнейшей и непременной частью механизма защиты современных АСОД, что обусловлено такими их достоинствами, как универсальность, простота реализации, гибкость, практически неограниченные возможности изменения и развития. К недостаткам программных средств относится необходимость расходования ресурсов процессора на их функционирование и возможность несанкционированного (злоумышленного) изменения, а также тот факт, что программные средства защиты можно реализовать только в тех структурных элементах АСОД, в составе которых имеется процессор, хотя функции защиты программными средствами могут осуществляться и в интересах других структурных элементов. Поэтому программные средства защиты применяются в центральных процессорах, устройствах группового управления вводом-выводом данных, а также в аппаратуре связи в тех случаях, когда в их составе имеются процессоры.
Известные на сегодняшний день программы защиты в соответствии с выполняемыми ими функциями, можно разделить на следующие группы:
программы идентификации;
программы регулирования работы (технических средств, пользователей, функциональных задач, элементов баз данных и т.д.);
программы шифрования защищаемых данных;
программы защиты программ (операционных систем, систем управления базами данных, программ пользователей и др.);
вспомогательные программы (уничтожение остаточной информации, формирование грифа секретности выдаваемых документов, ведение регистрационных журналов, имитация работы с нарушителем, тестовый контроль механизма защиты и некоторые другие).