Содержание

Y

Содержание 1

1. Введение 2

2. Производственные системы и процессы подлежащие защите. 3

3. Цели политики информационной безопасности. 12

4. Правила информационной безопасности. 15

4.1. Физическая безопасность. 15

4.2. Аутентификация и безопасность сети. 18

4.3. Реализация политики безопасности 19

4.4. Антивирусная защита. 27

4.5. Шифрование. 28

5. Заключение. 30

6. Список используемой литературы. 31

1. Введение

В данной работе будет разработан проект информационной безопасности на предприятии ООО «ЭкоТрансСервис».

Информационная безопасность компании – это состояние защищенности информационных ресурсов компании, она достигается деятельностью руководства и СБ по защите информации.

Данная работа нацелена на разработку защиты внутренних информационных ресурсов предприятия, как на бумажных, так и на электронных носителях, в том числе внутренней локально-вычислительной сети.

В процессе написания данной политики ИБ будут использоваться абстрактные правила, не затрагивая точной технической стороны вопроса. Это сделано для того, чтобы изменения в структуре информационной системы или в политики самого предприятия, не приводили к необходимости изменять политику информационной безопасности, также для того чтобы можно было использовать различные механизмы в зависимости от текущей ситуации. При разработке будут учитываться действующее законодательство и нормативные акты.

В данной работе будут рассмотрены такие вопросы ИБ:

• физическая безопасность;

• аутентификация и безопасность сети;

• правила безопасности интернет;

• правила безопасности электронной почты;

• вирусы;

• шифрование.

Вопросы аутентификация и безопасность сети, правила безопасности интернет, правила безопасности электронной почты будут объедены в один раздел, так как они имеют общие аспекты, которые нет необходимости рассматривать повторно.

2. Производственные системы и процессы подлежащие защите.

Источниками конфиденциальной информации считаются:

- люди (сотрудники, клиенты, посетители, обслуживающий персонал);

- документы материальные и представленные в электронном виде;

- технические средства носителей информации и их обработки;

- выпускаемая продукция;

- производственные и промышленные отходы и т.д.

Защита конфиденциальной информации направлена на предотвращение:

• несанкционированного доступа к информации;

• искажения информации;

• утери информации.

Наиболее опасные последствия для компании возникают при получении несанкционированного доступа к конфиденциальной информации, которые могут проявляться в следующем:

• разрыв деловых отношений с партнерами;

• срыв переговоров при заключении выгодного контракта;

• отказ от коммерческих решений, ставших неэффективными в результате получения информации конкурентами;

• создание трудностей в снабжении, производстве и сбыте продукции;

• необходимость проведения новых маркетинговых исследований.

К числу наиболее вероятных сценариев получения несанкционированного доступа к конфиденциальной информации относятся следующие:

• совместная деятельность с другими компаниями;

• проведение переговоров;

• посещение компании;

• реклама, публикация в печати, интервью для прессы;

• консультация специалистов со стороны, получающих доступ к документации и производственной деятельности компании;

• фиктивные запросы о возможности работы с компанией, заключение с ней сделок;

• рассылка отдельным сотрудникам компании различных анкет и вопросников под маркой научных или маркетинговых исследований;

• частные беседы с сотрудниками компании, навязывание им незапланированных дискуссий по тем или иным проблемам.

Защита конфиденциальной информации предполагает применение следующего комплекса мер:

• правовые меры;

• меры, связанные с кадровой работой;

• меры, направленные на создание конфиденциального делопроизводства;

• режимные мероприятия;

• организационные мероприятия;

• мероприятия по инженерно-технической защите;

• мероприятия по применению технических средств защиты информации.

Согласно действующему законодательству Российской Федерации можно применить следующее разграничение информации по грифу конфиденциальности:

• открытая информация (ОИ);

• для внутреннего использования (ДВИ);

• конфиденциальная информация (КИ).

При этом необходимо отметить, что право на отнесение информации к какому-либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит ее обладателю.

Базовыми принципами защиты информации являются конфиденциальность, целостность и доступность, соблюдение которых есть необходимое условие обеспечения безопасности различных категорий информации.

Открытая информация.

К открытой информации относится:

• информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т. п.);

• информация, полученная из внешних открытых источников;

• информация, находящаяся на внешнем web-сайте компании.

Для ОИ важно соблюдение принципов целостности и доступности.

Многие считают, что защищать открытую информацию не имеет смысла. Однако это не так. Подмена первой страницы на web-сайте компании, в зависимости от того, чем именно она будет заменена, может привести к тем или иным нежелательным последствиям различной тяжести.

Информация для внутреннего использования.

К информации ДВИ относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп, которая:

• циркулирует между подразделениями и необходима для нормального их функционирования;

• является результатом работ с информацией из открытых источников (например, дайджест новостей по телекоммуникационному рынку для руководства);

• не относится к информации конфиденциального характера;

• не относится к открытой информации.

То есть к ДВИ можно отнести всю внутреннюю информацию, циркулирующую в сети компании, потеря которой не влечет губительных последствий для ее деятельности.

Для ДВИ необходимо соблюдение следующих принципов: целостности, доступности и конфиденциальности (при выходе ее за пределы ЛВС компании).

Конфиденциальная информация

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной информацией и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица.

Документированная информация (документ) – это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Для защиты КИ необходимо соблюдение принципов конфиденциальности, целостности и доступности.

К конфиденциальной информации относится:

- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

- сведения, составляющие тайну следствия и судопроизводства;

- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ и федеральными законами (служебная тайна);

- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др.);

- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна);

- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Современное законодательство РФ содержит следующие термины, характеризующие разновидности конфиденциальной информации:

- тайна следствия;

- тайна судопроизводства;

- тайна мер безопасности участников уголовного процесса;

- тайна мер безопасности, применяемых в отношении должностных лиц правоохранительных или контролирующих органов;

- тайна частной жизни граждан;

- семейная и личная тайна;

- налоговая тайна;

- профессиональная тайна;

- адвокатская тайна;

- нотариальная тайна;

- медицинская тайна;

- тайна усыновления (удочерения);

- тайна связи (тайна переписки, тайна телефонных переговоров, тайна почтовых сообщений, тайна телеграфных сообщений);

- журналистская тайна;

- тайна записей актов гражданского состояния;

- тайна завещания;

- врачебная тайна;

- служебная тайна;

- коммерческая тайна;

- тайна изобретения, полезной модели, промышленного образца;

- тайна селекционного достижения;

- тайна научного опыта и тайна торгового процесса;

- банковская тайна, тайна банковского счета, тайна операций по счету и тайна сведений о клиенте;

- тайна сведений о выгодоприобретателях, тайна сведений о состоянии здоровья выгодоприобретателей, тайна об имущественном положении выгодоприобретателей;

- тайна страхования (тайна сведений о страхователе, тайна сведений о состоянии здоровья страхователя, тайна сведений об имущественном положении страхователя, тайна сведений о застрахованном лице, тайна сведений о состоянии здоровья застрахованного лица, тайна сведений об имущественном положении застрахованного лица);

- инсайдерская тайна;

- тайна исповеди.

ФЗ "Об информации, информационных технологиях и защите информации", принятый 27 июля 2006 года установил:

- что такое информация – это сведения (сообщения, данные) независимо от формы их представления (нет привязки к материальным носителям);

- свободу поиска, получения, передачи, производства и распространения информации любым законным способом т.е. граждане (физические лица) и организации (юридические лица) вправе осуществлять поиск и получение любой информации в любых фор-мах и из любых источников при условии соблюдения требований федеральных законов;

- ограничения доступа к информации только федеральными законами, а так же обязательность соблюдения конфиденциальности информации, доступ к которой ограничен федеральными законами;

- какая информация предоставляется бесплатно (о деятельности госорганов, затрагивающая права и обязанности заинтересованного лица и т.д.);

- к какой информации не может быть ограничен доступ (нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления, информации о состоянии окружающей среды, информации, накапливаемой в открытых фондах и т.д.);

- неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица);

- информация может являться объектом публичных, гражданских и иных правовых отношений;

- информация в зависимости от порядка ее предоставления или распространения под-разделяется на:

- информацию, свободно распространяемую;

- информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

- информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

- информацию, распространение которой в Российской Федерации ограничивается или запрещается.

- обладателем информации (лицо, самостоятельно создавшее информацию либо получившее право разрешать или ограничивать доступ к информации) может быть физическое лицо, юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование;

- обладатель информации вправе:

- разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

- использовать информацию, в том числе распространять ее, по своему усмотрению;

- передавать информацию другим лицам по договору или на ином установленном законом основании;

- защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

- осуществлять иные действия с информацией или разрешать осуществление таких действий.

- обладатель информации при осуществлении своих прав обязан:

- соблюдать права и законные интересы иных лиц;

- принимать меры по защите информации;

- ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

- в случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством;

- электронное сообщение, подписанное электронной цифровой подписью, признается электронным документом, равнозначным документу, подписанному собственноручной подписью;

- в целях заключения гражданско-правовых договоров обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, рассматривается как обмен документами;

- возможность формировать информационные системы, при этом оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств. Права обладателя информации, со-держащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных;

- защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

- соблюдение конфиденциальности информации ограниченного доступа,

- реализацию права на доступ к информации.

- обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны обеспечить:

- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

- своевременное обнаружение фактов несанкционированного доступа к информации;

- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

- возможность незамедлительного восстановления информации, модифицирован-ной или уничтоженной вследствие несанкционированного доступа к ней;

- постоянный контроль за обеспечением уровня защищенности информации.

- лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством РФ требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обя-занностями данного лица.

Сведения КИ предприятия можно условно разделить на два крупных блока:

- научно-техническая (технологическая) информация;

- деловая информация.

Научно-техническая информация включает:

- сведения о конструкциях машин и оборудования; чертежи; схемы;

- используемые материалы;

- рецептуры;

- методы и способы производства (особенно о вновь разрабатываемых изделиях);

- новые технологии, направления модернизации известных технологий, процессов и оборудования;

- программное обеспечение ПК, пароли, ключи, коды и процедуры доступа к информации;

- организация системы безопасности предприятия.

Деловая информация включает:

- сведения о финансовой стороне деятельности предприятия (промежуточные финансовые отчеты, первичные бухгалтерские документы, задолженность, кредиты и т. п.);

- сведения о наиболее выгодных формах использования денежных средств, ценных бумаг, акций;

- сведения о размере прибыли, себестоимости произведенной продукции;

- планы развития предприятия;

- планы и объемы реализации продукции (планы маркетинга, данные о характере и объеме торговых операций, уровнях цен, наличии товаров);

- анализ конкурентоспособности производимой продукции, эффективность экспорта и импорта, предполагаемое время выхода на рынок;

- планы рекламной деятельности;

- списки торговых и других клиентов, представителей, посредников, конкурентов, сведения о взаимоотношениях с ними, их финансовом положении, проводимых операциях и объемах, условиях действующих и заключаемых контрактов;

- структура и методы управления, связи внутри фирмы и вне ее, распределение обязанностей и их содержание;

- кадровый состав и его формирование;

- сведения из деловой переписки.

Сведения, которые не могут являться коммерческой тайной:

- информация, содержащаяся в учредительных документах и документах, дающих право заниматься коммерческой деятельностью;

- информация, содержащаяся в годовых отчетах, бухгалтерских балансах и других формах бухгалтерской отчетности;

- информация, связанная с исчислением и уплатой налогов и других платежей в бюджет;

- информация по задолженности работодателей по зарплате и другим социальным выплатам;

- информация о наличии свободных рабочих мест;

- информация, связанная с соблюдением экологического и антимонопольного законодательства;

- информация по обеспечению безопасных условий труда.

В итоге можно выделить объекты, которые будут рассматриваться в рамках политики информационной безопасности:

1. Территория предприятия;

2. Локальная вычислительная сеть;

3. Документация предприятия (на бумажном или электронном носителе), не относящиеся к открытой информации и находящиеся непосредственно в обороте или в архиве;

4. Сервер БД, оборудование и доступ к ним системамы спутникового контроля движения спецтранспорта СКАУТ (Спутниковый Контроль Автотранспорта и Учет Топлива);

5. Различные разработки предприятия (чертежи, схемы, прототипы экспериментальных устройств, программы на ПК и т.д.);

6. Сайт предприятия;

7. База данных предприятия(http:\transmusor.ru);

8. Различные носители информации (бумажные, электронные).