2. Используемые сокращения

УИС – управление информатизации и связи

СБ – служба безопасности

СИБ – подразделение СБ – служба информационно безопасности

ГО и ЧС – гражданская оборона и чрезвычайные ситуации

ЦПУ – центральный пост управления

АТС – автоматическая телефонная станция

ЧОП – частное охранное предприятие

ИБП - источник бесперебойного питания

ПК – персональный компьютер

ПО – программное обеспечение

3. Производственные системы и процессы подлежащие защите

3. Классы информационных объектов, подлежащих защите

• Персональный компьютер

• Сервер и серверная комната

• Бухгалтерские документы

• Контракт с поставщиком/покупателем

• Учетная карточка сотрудника предприятия

• Внутренняя накладная на ремонт/модернизацию.

• Наряд-допуск на работу

• Карта памяти usb flash

• Чертеж химического аппарата

• Технологическая схема химического процесса

• Пропуск на предприятие

• Документ о химическом реактиве/инвентаре

• Автоматизированная система допуска на предприятие

• Телефонный абонент

• Официальная переписка предприятия

4. Производственные системы и процессы подлежащие защите

• Химический процесс (обобщенно)

• Автоматизированное управление химическим производством

• Система ГО и ЧС

• Пропускная система предприятия

• Система видеонаблюдения

• Аварийная система (аварийная блокировка)

• АТС предприятия

• Локальная сеть предприятия

4. Предполагаемые угрозы и нарушители информационной безопасности предприятия

1. Внешние угрозы

• Воздействия конкурентов.

• Утечка конфиденциальной информации

• Попытка украсть собственные технологические наработки предприятия, изобретения

• Несанкционированный доступ к носителям информации

• Несанкционированное проникновение на объект

• Стихийные бедствия

• Попытка нарушения химического производства (например, терроризм)

• преднамеренные  и  непреднамеренные  действия  поставщиков  услуг  по  обеспечению  безопасности и поставщиков технических и программных продуктов.

• Отключение электричества

• Вандализм со стороны местных жителей

5. Внутренние угрозы

• Неквалифицированные или халатные действия персонала при работе с информацией

• Предательство персонала

• Возможность появления на предприятии засланного агента конкурентов, недоброжелателей.

• Химическая авария на предприятии

• Пожар

• Отказ оборудования

6. Угрозы для химического производства

Химическое производство на КОАО «Азот» разделяется на цеха и производства. Каждое производство имеет свое ЦПУ. На ЦПУ аппаратно-программные комплексы под контролем операторов-инженеров управляют химическим процессом (аппараты работают без непосредственного участия человека).

Отсюда вытекают следующие возможные угрозы: физические – нарушения работы аппаратной инфраструктуры и программные – установка зловредных программ, искажающих химический процесс со всеми вытекающими последствиями.

Кроме того в памяти данных комплексов хранятся технологические наработки, данные о сырье/продукте и прочая конфиденциальная, т.е. возможна ее утечка, нарушение ее целостности и ввод ложных данных.

Еще возможен вариант, когда вместо оператора-инженера решения может принимать злоумышленник (удаленно либо каким-либо образом находясь физически на ЦПУ).

7. Угрозы системе ГО и ЧС

Выше перечисленные внешние и внутренние угрозы могут вызвать сбои в работе системе предупреждения об опасности. Здесь может быть как и ложное срабатывание системы, так и вывод ее из строя террористами, либо по неосторожности, что может привести к материальным и людским потерям, в случае реальной аварии.

8. Угрозы локальной системе предприятия

В данном контексте рассматриваются угрозы утечки конфиденциальной информации, несанкционированный доступ. Возможна угроза подмены данных или нарушения их целостности, что может повлиять на производственные процессы.

9. Угроза нарушения работы связи

На предприятии работает своя АТС. Здесь может возникнуть угроза установки прослушки (особенно это касается управленческих подразделений). Также злоумышленники, либо неосторожные действия персонала могут привести к отказу телефонной сети, что будет мешать принятию экстренных и плановых решений в управлении производством.

10. Нарушение охранной системы видеонаблюдения.

Неосторожные действия либо злой умысел могут привести к нарушению, либо полному отказу систем видеонаблюдения. В этом случае вероятность успеха у злоумышленников возрастет в разы.

5. Политика информационной безопасности

Данный документ является обязательным к изучению и исполнению всеми сотрудниками предприятия. Главным ответственным за исполнение перечисленных правил назначить начальника СБ. Техническую поддержку должен осуществлять УИС.

Документ построен в следующем формате: цель информационной безопасности, соответствующее ей правило, указания и пояснения к выполнению для данного правила сотрудниками.

1. Защита от несанкционированного доступа на предприятие

1. Вокруг территории предприятия должен быть бетонный забор высотой 3 метра. На верхней части забора необходимо установить колючую проволоку. Установить сигнализацию, на случай обрыва колючей проволоки и использования лестниц

2. В тех местах, где над забором проходят производственные коммуникации (эстакады с различными трубопроводами) установить камеры видеонаблюдения. В ночное время должны работать мощные осветительные прожекторы. Патрулирование.

3. Использовать ЧОП «Азот-К» в качестве охранного подразделения. Сотрудники должны быть вооружены резиновыми дубинками, использовать автомобильные транспорт.

4. Организовать проходную систему для сотрудников предприятия. На проходных организовать автоматические турникеты.

5. На проходных организовать вахту из числа сотрудников ЧОП «Азот-К» (по 2 охранника на проходную)

6. На проходных должно вестись видеонаблюдение

7. Каждый сотрудник предприятия должен иметь пропуск установленного образца. Пропуск на территорию предприятия может выдавать только бюро пропусков.

8. Пропуски на территорию предприятия должны быть двух видов: однодневный и многолетний. Многолетние пропуска менять каждые 5 лет.

9. В случае утраты или повреждения пропуска работник обращается в СБ и пишет заявление установленного образца. Далее происходит процедура выдачи нового пропуска.

10. При выдаче пропуска сотрудник бюро пропусков проверяет паспорт работника, и наличие других документов согласно установленных правил.

11. На территории предприятия сотрудник обязан носить с собой пропуск.

12. Запрещается оставлять свой пропуск на рабочем месте и в других местах.

13. Сотрудники охраны проводят периодическое патрулирование территории. Производится выборочная проверка персонала на предмет наличия пропуска.

14. Если сотрудник предприятия находит чужой пропуск, он сдает его в бюро пропусков.

15. Каждая проходная предприятия оборудуется автоматической системой проверки пропуска (турникет).