- •Содержание
- •Введение
- •Производственные системы и процессы подлежащие защите.
- •Цели политики информационной безопасности.
- •Правила информационной безопасности.
- •Физическая безопасность.
- •Защита по периметру
- •Внутри центра данных
- •Аутентификация и безопасность сети.
- •Реализация политики безопасности
- •Межсетевой обмен
- •Обмен данными
- •Аутентификация
- •Сервер аутентификации
- •Доступ к Интернету
- •4.1. Разрешенные службы
- •Антивирусная защита.
- •Шифрование.
- •Заключение.
- •Список используемой литературы.
Содержание
Y
Содержание 1
1. Введение 2
2. Производственные системы и процессы подлежащие защите. 3
3. Цели политики информационной безопасности. 12
4. Правила информационной безопасности. 15
4.1. Физическая безопасность. 15
4.2. Аутентификация и безопасность сети. 18
4.3. Реализация политики безопасности 19
4.4. Антивирусная защита. 27
4.5. Шифрование. 28
5. Заключение. 30
6. Список используемой литературы. 31
Введение
В данной работе будет разработан проект информационной безопасности на предприятии ООО «ЭкоТрансСервис».
Информационная безопасность компании – это состояние защищенности информационных ресурсов компании, она достигается деятельностью руководства и СБ по защите информации.
Данная работа нацелена на разработку защиты внутренних информационных ресурсов предприятия, как на бумажных, так и на электронных носителях, в том числе внутренней локально-вычислительной сети.
В процессе написания данной политики ИБ будут использоваться абстрактные правила, не затрагивая точной технической стороны вопроса. Это сделано для того, чтобы изменения в структуре информационной системы или в политики самого предприятия, не приводили к необходимости изменять политику информационной безопасности, также для того чтобы можно было использовать различные механизмы в зависимости от текущей ситуации. При разработке будут учитываться действующее законодательство и нормативные акты.
В данной работе будут рассмотрены такие вопросы ИБ:
физическая безопасность;
аутентификация и безопасность сети;
правила безопасности интернет;
правила безопасности электронной почты;
вирусы;
шифрование.
Вопросы аутентификация и безопасность сети, правила безопасности интернет, правила безопасности электронной почты будут объедены в один раздел, так как они имеют общие аспекты, которые нет необходимости рассматривать повторно.
Производственные системы и процессы подлежащие защите.
Источниками конфиденциальной информации считаются:
- люди (сотрудники, клиенты, посетители, обслуживающий персонал);
- документы материальные и представленные в электронном виде;
- технические средства носителей информации и их обработки;
- выпускаемая продукция;
- производственные и промышленные отходы и т.д.
Защита конфиденциальной информации направлена на предотвращение:
несанкционированного доступа к информации;
искажения информации;
утери информации.
Наиболее опасные последствия для компании возникают при получении несанкционированного доступа к конфиденциальной информации, которые могут проявляться в следующем:
разрыв деловых отношений с партнерами;
срыв переговоров при заключении выгодного контракта;
отказ от коммерческих решений, ставших неэффективными в результате получения информации конкурентами;
создание трудностей в снабжении, производстве и сбыте продукции;
необходимость проведения новых маркетинговых исследований.
К числу наиболее вероятных сценариев получения несанкционированного доступа к конфиденциальной информации относятся следующие:
совместная деятельность с другими компаниями;
проведение переговоров;
посещение компании;
реклама, публикация в печати, интервью для прессы;
консультация специалистов со стороны, получающих доступ к документации и производственной деятельности компании;
фиктивные запросы о возможности работы с компанией, заключение с ней сделок;
рассылка отдельным сотрудникам компании различных анкет и вопросников под маркой научных или маркетинговых исследований;
частные беседы с сотрудниками компании, навязывание им незапланированных дискуссий по тем или иным проблемам.
Защита конфиденциальной информации предполагает применение следующего комплекса мер:
правовые меры;
меры, связанные с кадровой работой;
меры, направленные на создание конфиденциального делопроизводства;
режимные мероприятия;
организационные мероприятия;
мероприятия по инженерно-технической защите;
мероприятия по применению технических средств защиты информации.
Согласно действующему законодательству Российской Федерации можно применить следующее разграничение информации по грифу конфиденциальности:
открытая информация (ОИ);
для внутреннего использования (ДВИ);
конфиденциальная информация (КИ).
При этом необходимо отметить, что право на отнесение информации к какому-либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит ее обладателю.
Базовыми принципами защиты информации являются конфиденциальность, целостность и доступность, соблюдение которых есть необходимое условие обеспечения безопасности различных категорий информации.
Открытая информация.
К открытой информации относится:
• информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т. п.);
• информация, полученная из внешних открытых источников;
• информация, находящаяся на внешнем web-сайте компании.
Для ОИ важно соблюдение принципов целостности и доступности.
Многие считают, что защищать открытую информацию не имеет смысла. Однако это не так. Подмена первой страницы на web-сайте компании, в зависимости от того, чем именно она будет заменена, может привести к тем или иным нежелательным последствиям различной тяжести.
Информация для внутреннего использования.
К информации ДВИ относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп, которая:
• циркулирует между подразделениями и необходима для нормального их функционирования;
• является результатом работ с информацией из открытых источников (например, дайджест новостей по телекоммуникационному рынку для руководства);
• не относится к информации конфиденциального характера;
• не относится к открытой информации.
То есть к ДВИ можно отнести всю внутреннюю информацию, циркулирующую в сети компании, потеря которой не влечет губительных последствий для ее деятельности.
Для ДВИ необходимо соблюдение следующих принципов: целостности, доступности и конфиденциальности (при выходе ее за пределы ЛВС компании).
Конфиденциальная информация
Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной информацией и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица.
Документированная информация (документ) – это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
Для защиты КИ необходимо соблюдение принципов конфиденциальности, целостности и доступности.
К конфиденциальной информации относится:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- сведения, составляющие тайну следствия и судопроизводства;
- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др.);
- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна);
- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Современное законодательство РФ содержит следующие термины, характеризующие разновидности конфиденциальной информации:
- тайна следствия;
- тайна судопроизводства;
- тайна мер безопасности участников уголовного процесса;
- тайна мер безопасности, применяемых в отношении должностных лиц правоохранительных или контролирующих органов;
- тайна частной жизни граждан;
- семейная и личная тайна;
- налоговая тайна;
- профессиональная тайна;
- адвокатская тайна;
- нотариальная тайна;
- медицинская тайна;
- тайна усыновления (удочерения);
- тайна связи (тайна переписки, тайна телефонных переговоров, тайна почтовых сообщений, тайна телеграфных сообщений);
- журналистская тайна;
- тайна записей актов гражданского состояния;
- тайна завещания;
- врачебная тайна;
- служебная тайна;
- коммерческая тайна;
- тайна изобретения, полезной модели, промышленного образца;
- тайна селекционного достижения;
- тайна научного опыта и тайна торгового процесса;
- банковская тайна, тайна банковского счета, тайна операций по счету и тайна сведений о клиенте;
- тайна сведений о выгодоприобретателях, тайна сведений о состоянии здоровья выгодоприобретателей, тайна об имущественном положении выгодоприобретателей;
- тайна страхования (тайна сведений о страхователе, тайна сведений о состоянии здоровья страхователя, тайна сведений об имущественном положении страхователя, тайна сведений о застрахованном лице, тайна сведений о состоянии здоровья застрахованного лица, тайна сведений об имущественном положении застрахованного лица);
- инсайдерская тайна;
- тайна исповеди.
ФЗ "Об информации, информационных технологиях и защите информации", принятый 27 июля 2006 года установил:
- что такое информация – это сведения (сообщения, данные) независимо от формы их представления (нет привязки к материальным носителям);
- свободу поиска, получения, передачи, производства и распространения информации любым законным способом т.е. граждане (физические лица) и организации (юридические лица) вправе осуществлять поиск и получение любой информации в любых фор-мах и из любых источников при условии соблюдения требований федеральных законов;
- ограничения доступа к информации только федеральными законами, а так же обязательность соблюдения конфиденциальности информации, доступ к которой ограничен федеральными законами;
- какая информация предоставляется бесплатно (о деятельности госорганов, затрагивающая права и обязанности заинтересованного лица и т.д.);
- к какой информации не может быть ограничен доступ (нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления, информации о состоянии окружающей среды, информации, накапливаемой в открытых фондах и т.д.);
- неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица);
- информация может являться объектом публичных, гражданских и иных правовых отношений;
- информация в зависимости от порядка ее предоставления или распространения под-разделяется на:
- информацию, свободно распространяемую;
- информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
- информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
- информацию, распространение которой в Российской Федерации ограничивается или запрещается.
- обладателем информации (лицо, самостоятельно создавшее информацию либо получившее право разрешать или ограничивать доступ к информации) может быть физическое лицо, юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование;
- обладатель информации вправе:
- разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
- использовать информацию, в том числе распространять ее, по своему усмотрению;
- передавать информацию другим лицам по договору или на ином установленном законом основании;
- защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
- осуществлять иные действия с информацией или разрешать осуществление таких действий.
- обладатель информации при осуществлении своих прав обязан:
- соблюдать права и законные интересы иных лиц;
- принимать меры по защите информации;
- ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
- в случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством;
- электронное сообщение, подписанное электронной цифровой подписью, признается электронным документом, равнозначным документу, подписанному собственноручной подписью;
- в целях заключения гражданско-правовых договоров обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, рассматривается как обмен документами;
- возможность формировать информационные системы, при этом оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств. Права обладателя информации, со-держащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных;
- защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа,
- реализацию права на доступ к информации.
- обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны обеспечить:
- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- своевременное обнаружение фактов несанкционированного доступа к информации;
- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- возможность незамедлительного восстановления информации, модифицирован-ной или уничтоженной вследствие несанкционированного доступа к ней;
- постоянный контроль за обеспечением уровня защищенности информации.
- лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством РФ требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обя-занностями данного лица.
Сведения КИ предприятия можно условно разделить на два крупных блока:
- научно-техническая (технологическая) информация;
- деловая информация.
Научно-техническая информация включает:
- сведения о конструкциях машин и оборудования; чертежи; схемы;
- используемые материалы;
- рецептуры;
- методы и способы производства (особенно о вновь разрабатываемых изделиях);
- новые технологии, направления модернизации известных технологий, процессов и оборудования;
- программное обеспечение ПК, пароли, ключи, коды и процедуры доступа к информации;
- организация системы безопасности предприятия.
Деловая информация включает:
- сведения о финансовой стороне деятельности предприятия (промежуточные финансовые отчеты, первичные бухгалтерские документы, задолженность, кредиты и т. п.);
- сведения о наиболее выгодных формах использования денежных средств, ценных бумаг, акций;
- сведения о размере прибыли, себестоимости произведенной продукции;
- планы развития предприятия;
- планы и объемы реализации продукции (планы маркетинга, данные о характере и объеме торговых операций, уровнях цен, наличии товаров);
- анализ конкурентоспособности производимой продукции, эффективность экспорта и импорта, предполагаемое время выхода на рынок;
- планы рекламной деятельности;
- списки торговых и других клиентов, представителей, посредников, конкурентов, сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих и заключаемых контрактов;
- структура и методы управления, связи внутри фирмы и вне ее, распределение обязанностей и их содержание;
- кадровый состав и его формирование;
- сведения из деловой переписки.
Сведения, которые не могут являться коммерческой тайной:
- информация, содержащаяся в учредительных документах и документах, дающих право заниматься коммерческой деятельностью;
- информация, содержащаяся в годовых отчетах, бухгалтерских балансах и других формах бухгалтерской отчетности;
- информация, связанная с исчислением и уплатой налогов и других платежей в бюджет;
- информация по задолженности работодателей по зарплате и другим социальным выплатам;
- информация о наличии свободных рабочих мест;
- информация, связанная с соблюдением экологического и антимонопольного законодательства;
- информация по обеспечению безопасных условий труда.
В итоге можно выделить объекты, которые будут рассматриваться в рамках политики информационной безопасности:
Территория предприятия;
Локальная вычислительная сеть;
Документация предприятия (на бумажном или электронном носителе), не относящиеся к открытой информации и находящиеся непосредственно в обороте или в архиве;
Сервер БД, оборудование и доступ к ним системамы спутникового контроля движения спецтранспорта СКАУТ (Спутниковый Контроль Автотранспорта и Учет Топлива);
Различные разработки предприятия (чертежи, схемы, прототипы экспериментальных устройств, программы на ПК и т.д.);
Сайт предприятия;
База данных предприятия(http:\transmusor.ru);
Различные носители информации (бумажные, электронные).