СТЕПАНОВ А.Д. КЗИ-109 / Kursovaya_rabota_Stepanov_A_D_zashita
.pdf
ПК 2 с помощью приложения MS Excel и в последствие ведомость, через локальную сетевую папку, была перенаправлена на ПК-1 директору магазина ОАО “INTECH” на утверждение. После копию ведомости сохраняют на сервере, в ручную, т.к. автоматизированное копирование критичных файлов не реализовано в рамках данной организации. Операционная система (далее ОС) – Windows 8 Professional.
Информационные процессы (ИП): ПК-2 ПК-1; ПК-1 Сервер; Сервер ПК 1; Сервер ПК 2 МФУ-5.
Визуализация информационных процессов представлена на рисунке 6:
Рисунок 6 – Ведомости показателей рентабельности
5) Информационный ресурс - договоры с поставщиками (контрактные цены товаров).
Договоры с поставщиками хранятся в сейфе на бумажном носителе, помещения № 1, кабинета
директора.
Информационные процессы (ИП): ЮристБухгалтер 
ДиректорСейф-2.
Визуализация информационных процессов представлена на рисунке 7:
21
Рисунок 7 – Договоры с поставщиками
6) Информационный ресурс - конкурсная документация на участие в будущих торгах.
Конкурсная документация находится в сейфе на бумажном носителе, помещения № 1, кабинета директора. Данные документы, находясь на бумажных носителях, могут быть отправлены третьим лицам, а в частности инициатору проведения торгов.
Информационные процессы (ИП): ЮристБухгалтер ДиректорСейф-2.
Визуализация информационных процессов представлена на рисунке 8:
22
Рисунок 8 – Конкурсная документация
7) Информационный ресурс - порядок стимулирования сотрудников.
Приказ находится в сейфе на бумажном носителе, помещения № 2, кабинета бухгалтерии. ИП: Бухгалтерия Юрист Директор; Бухгалтерия Сейф-2;
Визуализация информационных процессов представлена на рисунке 9:
Рисунок 9 – Порядок стимулирования сотрудников
23
Описание файлового сервера. На сервере установлена операционная система ОС Windows Server. На Windows развернуты Word, Excel, Adobe Reader, СОА «Форпост . Все файлы загружаются по локальной сети в каталог, являющейся общей папкой для Windows. Таким образом, загруженная информация может быть просмотрено при подключении к “расшаренному” каталогу Windows. Права на загрузку файлов с сервера есть только у учетной записи «авторизованных пользователей».
Любая процедура скачивания файла с сервера связана с возникновением инцидента,
приведшего к необходимости скачивания указанного документа. В соответствии с этим данная процедура осуществляется специалистами по ИБ, которые фиксируют соответствующий инцидент,
если пользователь сообщает им об инциденте.
24
2ГЛАВА
2.1ПЕРВЫЙ ТУР ОПРОСА ЭКСПЕРТА
На первом этапе данной работы было произведено описание объекта исследования. По полученным данным в рамках второго этапа были разработаны три документа: приказ «Об организации работ по формированию перечня защищаемых ИР ОАО “INTECH”, положение «О
порядке формирования перечня защищаемых ИР ОАО “INTECH” и приказ «О введение в действия перечня защищаемых ИР ОАО “INTECH”. Положение было сформировано на основании п. [2], [3], [4], [5].
Также перед первым турам опроса были проанализированы БП, представленные в Приложении Д, на предмет задействования в них рассматриваемых ИР. Результат представлен в Приложении Д.
В рамках 1-го тура опроса экспертов формировался предварительный перечень защищаемых ИР. В первую очередь изданного перечня были исключены сведения, составляющие государственную тайну (ГТ), а также сведения, доступ к которым не может быть ограничен в соответствии в законодательством РФ. Таким образом, в предварительный перечень были включены: коммерческая тайна предприятия (КТ), персональные данные сотрудников (ПДн) и служебная тайна (СТ).
Под ПДн понимают любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). ПДн были включены в перечень защищаемых ИР на основании требований законодательства РФ о защите персональных данных.
Под КТ понимают режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Данная информация напрямую связана с выгодой или возможными потерями организации,
вследствие чего ее необходимо защищать.
Под СТ понимают служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами. Поскольку помимо федеральных органов исполнительной власти,
служебную тайну могут обрабатывать подведомственные им предприятия, учреждения, организации,
можно считать, что на любом коммерческом предприятии возможно существование служебной тайны.
В таблице 2.1 представлен предварительный перечень ИР, полученный по прошествии 1-го тура опроса экспертов. После таблицы 2.1 даны комментарии к ней.
Таблица 2.1 – Результаты 1-го тура опроса экспертов.
25
Таблица 2.1 Предварительный Перечень защищаемых информационных ресурсов – 1 тур опроса экспертов
Обозначение ИР |
Не является |
Не относится к государственной тайне |
Ограничения на основании |
Включение в перечень |
|
общеизвестным |
закона |
||||
|
|
|
|||
Договоры |
ДА |
ДА |
ДА |
Включено |
|
(с поставщиками) |
|
|
|
|
|
Проектная документация |
ДА |
ДА |
ДА |
Включено |
|
(внедрение системы охранной |
|
|
|
|
|
сигнализации) |
|
|
|
|
|
Ведомости |
ДА |
ДА |
ДА |
Включено |
|
(наличие оборудования на |
|
|
|
|
|
складе) |
|
|
|
|
|
Свободные ведомости |
ДА |
ДА |
ДА |
Включено |
|
(показатели рентабельности по |
|
|
|
|
|
годам) |
|
|
|
|
|
Конкурсная документация |
ДА |
ДА |
ДА |
Включено |
|
(участия в будущих торгах) |
|
|
|
|
|
Порядок стимулирования |
ДА |
ДА |
ДА |
Включено |
|
сотрудников и мотивация к |
|
|
|
|
|
эффективной работе |
|
|
|
|
|
Скан-Копии паспортов |
ДА |
ДА |
ДА |
Включено |
|
физических лиц (получателей |
|
|
|
|
|
кредитов) |
|
|
|
|
|
Прайс-листы |
НЕТ |
ДА |
НЕТ |
Не Включено |
26
Далее произведем аналитические обоснования выявленных ИР в компании “INTECH”.
Ресурсы:
•Прайс-листы - информация общедоступная или публичная может передаваться за пределы компании, в том числе в СМИ. Ее разглашение не дает преимущества конкурентам, не может иметь нежелательных последствий для компании, не нарушает требований законодательства и имеющихся договорных обязательств компании. Соответственно, данная информация не требует специальных мер защиты. Тем не менее, она является собственностью компании, которая должна контролировать пути ее разглашения и/или использования. При этом все сотрудники, независимо от наличия производственной потребности, могут иметь к ней доступ.
•Ведомости о наличие оборудования на складе - в группу для внутреннего использования попадает информация, доступ к которой предоставляется только при производственной необходимости. Несанкционированное разглашение этой информации может иметь несущественные отрицательные воздействия на имидж компании или финансовые последствия (Коммерческая тайна).
•Скан-копии паспортов физических лиц – получателей кредитов - информация, относящаяся к определенному физическому лицу (субъекту персональных данных) Защищается согласно законодательству о ПДн. (ФЗ от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) «О персональных данных») (Персональные данные).
•Проектная документация на внедренную систему охранной сигнализации - к строго конфиденциальной относится информация, разглашение которой может привести к огромным финансовым потерям, потери конкурентного преимущества и/или серьезно скомпрометировать компанию в глазах общественности. К данной информации имеет доступ узкий круг сотрудников, причем каждый случай доступа должен быть зафиксирован. Эта информация не может быть передана за пределы компании без разрешения высшего руководства компании.
•Договоры с поставщиками (контрактные цены товаров) - информация, разглашение которой может привести к снижению конкурентоспособности компании, существенным финансовым потерям, возникновению претензий к компании третьих лиц, нарушению законодательства, а так же оказать заметное отрицательное воздействие на имидж компании. Доступ к этой информации предоставляется только при производственной необходимости, при этом она не может быть передана за пределы компании без разрешения владельца или высшего руководства компании.
27
•Сводные ведомости показателей рентабельности по годам - информация, разглашение которой
(до опубликования) может привести к снижению конкурентоспособности компании,
существенным финансовым потерям, возникновению претензий к компании третьих лиц,
нарушению законодательства, а также оказать заметное отрицательное воздействие на имидж компании.
•Конкурсная документация на участие в будущих торгах - называется набор документов, в
котором содержатся условия конкурса и будущего контракта. При проведении торгов и заказчики, и соискатели должны действовать строго в соответствии данной документации.
Сведения о предполагаемом конкурсе или торгах до их опубликования (конфиденциальная инф.)
•Порядок стимулирования сотрудников и мотивации к эффективной работе – коммерческая тайна, т.к. разглашение подобной информации, может нанести ущерб организации.
2.2 ВТОРОЙ ТУР ОПРОСА ЭКСПЕРТОВ В рамках 2-го тура опроса экспертов была составлена таблица, представленная в Приложении
Е. Для составления таблицы ранжирование основных характеристик информации (представлена в таблице 2.2) и разграничение уровней доступа к ИР. Рассматриваемые права доступа представлены в таблице 2.3. После таблиц приведены комментарии к Приложению Е.
Таблица 2.2 – Ранжирование (грифы) конфиденциальности, целостности и доступности
Характеристика |
Гриф |
Обозначение |
|
|
|
|
низкая |
3 |
|
|
|
Конфиденциальность |
средняя |
2 |
|
|
|
|
высокая |
1 |
|
|
|
|
низкая |
3 |
|
|
|
Целостность |
средняя |
2 |
|
|
|
|
высокая |
1 |
|
|
|
|
низкая |
3 |
|
|
|
Доступность |
средняя |
2 |
|
|
|
|
высокая |
1 |
|
|
|
Таблица 2.3 – Уровни доступа персонала к ИР
28
Наименование уровня доступа |
Условное обозначение |
|
|
чтение |
r |
|
|
запись |
w |
|
|
удаление |
d |
|
|
загрузить на сервер (копия) |
g |
|
|
скачать с сервера |
t |
|
|
Если в столбце название ИР четко отражает содержание ИР, то вместо дублирования информации ставился знак « ».
Наиболее важной характеристикой всех информационных ресурсов выделяется целостность информации. Целостность договоров, заключенных с поставщиками, для поставок товара, а также конкурсная документация (на участия в будущих торгах), определяет его юридическую силу, поэтому договору необходима высокая целостность, а в частности коэффициент 1. Также высокая целостность выставлена проектной документации в виду важности данной информации для организации, т.к на прямую от этих документов зависит безопасность магазина ОАО “INTECH”, а также компании в целом. При нарушения целостности данных документов, могут быть допущены ошибки при реализации системы охраны, что в свою очередь с большой долей вероятности, вызовет некорректную работы системы охраны, соответственно организация будет под угрозой и может понести огромные финансовые, материальные потери. Ввиду указанной важности ИР им необходимо поставить гриф
«строго конфиденциально». Также им ставится высокий уровень доступности.
Целостность скан-копий паспортов физических лиц, необходимы для эффективного взаимодействия с клиентами, и потеря подобной информации о них может привести к значительным финансовым потерям, так как подобные данные будем подразделять к ПДн, и соответственно при разглашение подобных данных, будет наступать ответственность, в соответствие с законодательством РФ, а в частности штрафов для организации ОАО “INTECH”.
Для СТ, наиболее приоритетными являются характеристики целостности и доступности информации. Они напрямую влияют на эффективность конкурсной документации (на участия в будущих торгах), вследствие чего им поставлен высший приоритет по указанным характеристикам.
Конкурсная документация (на участия в будущих торгах), договоры, заключенные с поставщиками, для поставок товара и проектной документации, данные ИР необходимо защищать наиболее усиленно, т.к. в случае разглашения, утери, утечки подобной информации, может быть нанесен огромный ущерб всем составляющим компании, в следствие, финансовые потери, и ущерб интересам, что особенно Важно в коммерческой среде, а в частности среди магазинов, супермаркетов,
и т. д. Поэтому выставляем гриф «Строго конфиденциально».
29
Касаемо оставшихся информационных ресурсов, а это приказ и ведомости рентабельности за прошедшие года, то на мой взгляд они не являются критически важными и обращения к нему происходит достаточно редко, поэтому выставлены минимальные характеристики по защите информации.
2.3 ВЫБОР МЕТОДИКИ ОЦЕНКИ ТЕКУЩЕЙ ПОЛЕЗНОСТИ ЗАЩИЩАЕМЫХ ИР После проведения 2-го тура опроса экспертов каждому из защищаемых ИР была указана
соответствующая методика оценки полезности ИР. На рисунке 2.1 представлен принцип выбора методики оценки полезности ИР, а в таблице 2.4 – выбранные методики оценки полезности ИР для каждого из ИР.
Рисунок 2.1 – Принцип выбора методики оценки полезности ИР Представим таблицу 2.4 – выбранные методики оценки полезности ИР для каждого из ИР: по следующим признакам: N, Описание ИР, Обозначение, Вид защищаемой информации:
30