close

Вход

Забыли?

вход по аккаунту

?

сам отчет

код для вставкиСкачать
МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА
ФГОУ ВПО ОРЕНБУРГСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ
Кафедра "Комплексное обеспечение информационной безопасности автоматизированных систем"
ОТЧЕТ
о прохождении производственной практики
студента 42 группы
Трипкош Алексея Владимировича
Место практики: Трест "Оренбургмежрайгаз"
Начало и окончание практики: с 4 июля по 8 августа 2011 года
Руководители практики:
От университета:
Декан факультета Информационных Технологий Аверкиев А.А.
От производства:
Начальник службы АСУП
Тучин А.А.
ОРЕНБУРГ 2011 г.
Список сокращений
АРМ - Автоматизированное рабочее место
БД - База данных
ГТ - Государственная тайна
ЕЭС - Единая Энергетическая Система
ИБ - Информационная безопасность ИСО/МЭК (ISO/IEC - International Organization for Standardization/ International Electrotechnical Commission) - Международная организация по стандартизации/ Международная электротехническая комиссия МУП ЖКХ - Муниципальное Унитарное Предприятие Жилищно-коммунальное хозяйство
ОАО - Открытое Акционерное Общество
ООО - Общество с Ограниченной Ответственностью
ОП - Обособленное подразделение
ОС - Операционная система ПДИТР - Противодействие иностранным техническим разведкам
ПК - Персональный компьютер
ПО - Программное обеспечение
РАО - Российское Авторское Общество
СБ - Сектор безопасности
ФЗ - Федеральный закон
PDTR - Preliminary Draft Technical Reports (предварительные технические сообщения)
IT - Information Technology (информационные технологии)
Содержание
Введение..........................................................................................4
1. Общие сведения о предприятии:............................................................5
1.1 Географическое положение;............................................................5
1.2 Краткая история треста...................................................................5
2. Нормативно-правовая основа информационной безопасности на предприятии;8
3. Анализ угроз и источников угроз безопасности информации предприятия:....10
3.1 Анализ каждой угрозы;.................................................................11
3.2 Таблица угроз.............................................................................12
4. Методы и средства защиты информации:...............................................18
4.1 Отправная точка для внедрения информационной безопасности;.............19
4.2 Оценка рисков информационной безопасности;..................................19
4.3 Важнейшие факторы успеха;..........................................................20
4.4 Разработка защитных мер по обеспечению безопасности на предприятии.24
5. Вывод...........................................................................................27
Введение
Практика студентов является составной частью основной образовательной программы высшего профессионального образования, а также средством связи теоретического обучения с практической деятельностью, обеспечивающим прикладную направленность и специализацию обучения.
Местом прохождения моей производственной практики с 4.07.2011 по 8.08.2011 было подразделение информационной безопасности Треста "Оренбургмежрайгаза". Основной целью производственной практики является закрепление теоретических основ, полученных в университете, практическими навыками. Для достижения цели необходимо:
* закрепление и углубление теоретических знаний, полученные при изучении дисциплин общепрофессионального цикла и дисциплин специализации;
* приобретение и развитие необходимых практических умений и навыков в соответствии с требованиями к уровню подготовки выпускников;
* изучение обязанностей должностных лиц предприятия, обеспечивающих решение проблем защиты информации;
* формирование общего представления об информационной безопасности объекта защиты, методов и средств её обеспечения;
* изучение комплексного применения методов и средств обеспечения информационной безопасности объекта защиты;
* изучение источников информации и системы оценок эффективности применяемы мер обеспечения защиты информации.
Глава 1. Общие сведения о предприятии
1.1. Географическое положение
Трест "Оренбургмежрайгаз" расположен в Российской Федерации, Приволжском федеральном округе, Оренбургской области, в г. Оренбурге. На территории Оренбургской области созданы одиннадцать отделений ОАО "Оренбургоблгаз": Оренбургмежрайгаз, Орскмежрайгаз, Бузулукмежрайгаз, Бугурусланмежрайгаз, Медногорскмежрайгаз, Газснабсервис, Гаймежрайгаз, Оренбургйентрсельгаз, Соль-Илецкмежрайгаз, Сорочинскмежрайгаз, управление "Подземметаллзащиты", сформированные по территориальному признаку и обслуживающие абонентов, проживающих и зарегистрированных в населенных пунктах Восточной, Центральной, Западной и Северной зон.
1.2. Краткая история треста 1 января 1946 года образовано первое газовое хозяйство Оренбургской области. Начало газификации Оренбургской области было положено во время Великой Отечественной войны. Тогда, в 1941-1942 годах, в Куйбышев были эвакуированы Совет Народных Комиссаров, многие наркоматы, дипломатический корпус, а также ряд крупных промышленных предприятий. Энергетических мощностей существовавшей тогда Куйбышевской угольной теплоэлектростанции не хватало. И тогда наркомат обороны принял историческое решение: проложить 165-километровый газопровод от широко разрабатываемых тогда Бугурусланских месторождений до остро нуждающегося в тепле и электричестве Куйбышева. Одними из первых в огромном Советском Союзе природный газ в дома получили жители Бугуруслана. 55 домов по улице Пролетарской были газифицированы в 1942 году попутным газом из нефтяной скважины №1, пробуренной мастером В.П. Волковым еще в 1937 году почти в самом конце улицы Пионерской. Газопровод Бугуруслан- Куйбышев был сдан в эксплуатацию в июне 1943 года. Приказ о начале его строительства за подписью И. Сталина был рассекречен усилиями управляющего трестом "Бугурусланмежрайгаз" Чилякова Владимира Анатольевича, только в 2008-м году. Постановление ГКО от 7 апреля 1942 года № ГОКО 1563с, предписывает службам и ведомствам СССР обеспечить все необходимое для прокладки стратегически важного объекта: от поставки и транспортировки строительных материалов и электроэнергии до продуктов питания и промтоваров для рабочих и служащих строительства. Документы тех лет свидетельствуют: на основную магистраль шли 300-миллиметровые трубы разобранного газопровода Баку-Батуми, который прокладывался еще в начале века. Стальных труб не хватало как для газопроводов, так и для нефтепроводов, а топливо было необходимо и на фронте, и в тылу. Тогда по предложению начальника "Главнефтегаза" Ю. И. Боксермана и инженера И. В. Бородина было принято рискованное решение: использовать вместо металлических труб асбоцементные, которые специально изготовили на воскресенском заводе под Москвой. А испытывали их на двух опытных участках: по газу - недалеко от Бугуруслана, на базе скважины № 5, по нефти - в районе Журавлевки. Трубы прекрасно выдержали нагрузку, но и этих труб не хватило. И тогда для строительства газопровода использовали заготовки армейских минометов. Общая мощность стратегически важного газопровода достигала 200 миллионов кубометров в год. Первым промышленным предприятием, получившим газ, стал Толкайский мельничный завод. Первый в стране крупный газопровод вступил в строй, началась регулярная подача газа предприятиям, а затем и в жилые дома Куйбышева. Проложенная в 1942-1943 годах подземная газовая магистраль действовала еше долго - обеспечивала дешевым топливом огромный город до конца войны и в послевоенные годы. Позднее Куйбышев, население которого превысило миллион человек, стал в достатке получать "голубое топливо" по новому газопроводу из Оренбурга. В послевоенные годы вслед за Бугурусланским трестом были образованы тресты "Оренбургмежрайгаз", "Орскмежрайгаз", "Новотроицкмежрайгаз". А в 1965 году тресты и конторы газовых хозяйств по распоряжению Оренбургского областного исполнительного комитета объединились в областное управление по газификации и эксплуатации газового хозяйства. Так был создан единой комплекс газотранспортной системы низкого давления области. Его основной задачей стало строительство газопроводов, газификация жилого фонда в городах, рабочих поселках и сельской местности, а также безопасная и безаварийная эксплуатация газового оборудования. К концу 1965 года было газифицировано 4 города, 5 сельских населенных пунктов, построено 189 километров газопроводов. В 27 тысяч квартир оренбуржцев пришел газ. Производственная база была еще слаба, ощущался дефицит технических и транспортных средств. Для развития газоснабжения потребителей не хватало квалифицированных кадров. В таких нелегких условиях областное объединение начало свою работу и получило название Оренбургоблгаз.
Глава 2. Нормативно-правовая основа информационной безопасности на предприятии
Введение в действие требований информационной безопасности поддерживается комплексом нормативных документов и процедур по защите информации. В этих документах содержится более подробная информация о конкретных процессах и процедурах, предназначенных для защиты информации Общества.
Данная политика разработана в соответствии с требованиями следующих документов:
* Федерального закона от 29.07.2004 № 98-ФЗ "О коммерческой тайне";
* Федерального закона от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и защите информации";
* Гражданского кодекса Российской Федерации (Раздел VII);
* Национального стандарта РФ ГОСТ ИСО/МЭК 17799 - 2005 "Информационная технология. Практические правила управления информационной безопасностью";
* "Перечень сведений, составляющих конфиденциальную информацию" (необходимо включить в перечень и персональные данные подлежащие защите согласно требованиям закона РФ № 152-ФЗ); * "Положение об организации работы по обеспечению защиты конфиденциальной информации";
* "Положение о постоянной действующей комиссии по вопросам защиты конфиденциальной информации";
* "Положение о постоянной экспертной комиссии";
* "Положение о пропускном и внутриобъектовом режиме";
* "Положение об организации документооборота";
* "Положение об организации электронного документооборота";
* "Инструкции по резервному копированию информационных массивов";
* "Инструкция по антивирусной и парольной защите";
* Трудовой договор, различного рода обязательства не противоречащие Российскому законодательству;
* "Положение о проведении дисциплинарного расследования".
Глава 3. Анализ угроз и источников угроз безопасности информации предприятия
Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.
Для обеспечения информационной безопасности Треста "Оренбургмежрайгаз" необходимо рассмотреть перечень угроз ISO/IEC PDTR 13335, проанализировать ситуации, в случае их возникновения, выявить, на сколько опасны угрозы и последствия для деятельности предприятия. Описание каждой угрозы необходимо анализировать с помощью модели угроз, включающую:
* нападения пригодные для реализации угрозы (возможность, методы, уязвимости);
* объекты нападений;
* тип потери (конфиденциальность, целостность, доступность и т.д.);
* масштаб ущерба;
* источники угрозы. Для источников угроз - людей модель нарушителя должна включать:
1. указание их опыта,
2. указание знаний,
3. указание доступных ресурсов, необходимых для реализации угрозы,
4. возможную мотивацию их действий.
Список угроз из части № 3 технического отчета Международной организации стандартизации ISO/IEC PDTR 13335. Этот перечень выглядит следующим образом: землетрясение, наводнение, ураган, молния, промышленная деятельность, бомбовая атака, использование оружия, пожар (огонь), преднамеренное повреждение, авария источника мощности, авария в подаче воды, авария воздушного кондиционирования, неисправности аппаратных средств, колебание мощности, экстремальные значения температуры и влажности, пыль, электромагнитное излучение, кража, неавторизованное использование среды хранения, износ среды хранения, операционная ошибка персонала, ошибка технического обслуживания, авария программного обеспечения, использование программного обеспечения неавторизованными пользователями, использование программного обеспечения неавторизованным способом, подделка идентификатора пользователя, нелегальное использование программного обеспечения, вредоносное программное обеспечение, нелегальный импорт/экспорт программного обеспечения, доступ к сети неавторизованных пользователей, ошибка операционного персонала, ошибка технического обслуживания, техническая неисправность компонентов сети, ошибки при передаче, повреждения в линиях связи, перегрузка трафика, перехват, проникновение в коммуникации, ошибочная маршрутизация сообщений, повторная маршрутизация сообщений, отрицание, неисправность услуг связи (услуг сети), ошибки пользователя, неправильное использование ресурсов, дефицит персонала.
3.1. Анализ каждой угрозы.
Возможность появления землетрясения, наводнения, урагана и молнии мало-вероятная. Тем не менее, в случае наводнения предприятие не пострадает, так как находится на возвышенной местности, относительно центра города и других спальных районов. Географическое положение города Оренбурга исключает возможность землетрясения. Ураган особых последствий за собой не повлечет, если окна будут закрыты. В случае удара молнии возникнет пожар. Для избежания подобной катастрофической ситуации необходимо устанавливать громоотвод. Угроза пожара будет рассмотрена ниже. Промышленная деятельность, бомбовая атака и использование оружия являются маловероятными угрозами, поэтому не требует подробного анализа. В случае реализации промышленной деятельности как угрозы может произойти случайный обрыв каналов связи с филиалами ОАО "ОренбургОблгаз". При этом будет потеряна часть информационного ресурса. При бомбовой атаке появится возможность потери информации, жизни людей, оборудования. Все это связано с огромными денежными потерями. При использовании оружия возникнет вероятность нарушения конфиденциальности информационного ресурса. Подробный анализ возможных угроз указан в таблице №1.
3.2 Таблица №1. Анализ угроз безопасности предприятия Трест "Оренбургмежрайгаз"
УгрозаНападения пригодные для реализации угрозы (уязвимость, методы, возможность)Объект нападенияТип потериМасштаб ущербаИсточник угрозОпытЗнанияДоступные ресурсыВозможная мотивация действийПожарНезащищенность электропроводки ; случайное замыкание; высоковероятнаяПроводаЗатруднение деятельности, денежные потериВысокийСлучайностьПреднамеренное повреждениеОтсутствие контроля за работниками предприятия; намеренно совершив ошибку или удалив необходимый системный файл; высоковероятнаяПО, оборудованиеЗатруднение деятельности, денежные потериВысокийРаботники предприятияНе обязателенПрисутствуютВычислительные, аппаратные, информационныеВ личных корыстных целяхАвария источника мощностиНезащищенность электропроводки; случайное замыкание; вероятнаяИнформация, сетевые и аппаратные средстваКомпьютерные данныеВысокийРабочий персонал, стихияНе обязателенПрисутствуютФизические, аппаратные, информационныеПреднамеренно и непреднамеренноНеисправности аппаратных средствИзнос; длительное использование; вероятнаяАппаратные средстваДенежные потериСреднийОтсутствие периодический проверки работоспособности аппаратных средствКолебания мощностиНезащищенность компьютеров от колебания мощности (отсутствие сетевых фильтров); неисправная работа персонала; вероятнаяИнформация, сетевые и аппаратные средстваКомпьютерные данныеВысокийРабочий персоналНе обязателенНе обязательныФизические, аппаратныеПреднамеренно и непреднамеренноПыльНакопление пыли; несоблюдение влажной уборки; маловероятнаяКомпьютерыАппаратные средства, затруднение в деятельностиСреднийОбслуживающий персоналНачальный уровеньОбязательныТехническиеНевыполнение полномочийЭлектромагнитное излучениеОборудование; воздействие электромагнитного излучателя; вероятнаяНоситель информации и персоналПотеря времени, здоровья сотрудников предприятия, информации и оборудования
ВысокийЭлектромагнитный излучательКражаСлабая защищенность информации; несанкционированное умышленное действие; высоковероятнаяКритическая информацияЦелостность, конфиденциальность, затруднения в деятельностиВысокийЗлоумышленникиВысокий уровеньОбязательныИнформационные, телекоммуникационныеВ личных интересахНеавторизованное использование среды храненияНезащищенность среды хранения; вход под чужим логином и паролем; вероятнаяЧувствительная информацияКонфиденциальность, целостность, денежные затраты, затруднение в деятельности
ВысокийНеавторизованное лицо, авторизованное лицо под чужим именемНачальный уровеньПрисутствуютИнформационныеУмыселИзнос среды храненияОтсутствие обновления среды хранения (гибких и жестких дисков, бумаги); длительное использование, нагромождение сведениями БД; вероятнаяБДЦелостностьВысокийАдминистраторыВысокийОбязательныИнформационныеНедобросовестное выполнение обязанностейОперационная ошибка персоналаНевнимательность; случайное незапланированное выполнение операций, подсчетов; вероятнаяИнформацияЦелостностьСреднийПерсоналКак наличие, так и отсутствиеНе обязательныИнформационные, вычислительныеНеосторожностьОшибка технического обслуживанияНевнимательность техника; неэффективная установка компьютерных компонентов, устройств сети; вероятнаяАппаратные и сетевые средстваЗатруднение в деятельностиСреднийТехническое обслуживаниеВысокийОбязательныАппаратныеНебрежностьАвария программного обеспеченияВнутренний дефект ПО; удаление файла; вероятнаяПОЦелостности информации, затруднения в деятельностиВысокийРаботники предприятияМинимальныйНеобходимыПОНеосторожностьИспользование программного обеспечения неавторизованным пользователямиВозможность неавторизованного входа; использование программы для взлома сетей; вероятнаяБДКонфиденциальность информации, затруднения в деятельностиВысокийПользователь АРМНе обязателенНе обязательныИнформационныеСамоутверждениеИспользование программного обеспечения неавторизованными способомОтсутствие проверки прав и возможностей пользователя; использование программы для взлома сетей; вероятнаяСерверКонфиденциальность информации, материальные потериВысокийХакерВысокий уровеньОтличныеИнформационныеОсуществление несанкционированного доступаПодделка идентификатора пользователяНесовершенство защиты ПО; применение чужого пароля; вероятнаяИнформацияКонфиденциальностьВысокийПерсоналВысокий уровеньНеобходимыИнформационныеУмыселНелегальное использование программного обеспеченияВредоносные подпрограммы встроенные в программы; закачивание вируса; вероятнаяСистемы, ОС, ПОДоступностьСреднийНелегальное ПОВредоносное программное обеспечениеНарушение работы ОС; внедрение вредоносной программы; высоковероятнаяПО и информацияЦелостность, доступность, затруднение в деятельности, денежные затратыВысокийВредоносное ПО, постороннее лицоНаличие опытаОбязательныСетевыеУмыселДоступ к сети неавторизованных пользователейСетевые данные, проникновение в сеть неавторизованных пользователей; вероятнаяСеть, данныеЦелостность, доступностьСреднийДля глобальной сети - внешние источники, для локальной - внутренние (рабочие предприятия)ПрисутствуетОбязательныИнформационные, сетевыеУмыселОшибка при передачеКоллизии; неправильное вычисление контрольной суммы; вероятнаяИнформацияЦелостность, затруднение в деятельностиСреднийСеть, внешние воздействияПерегрузка трафикаСети, сетевые устройства; одновременная посылка (запрос) сообщений с разных станций; вероятнаяСетьДоступность, затруднение в деятельности
СреднийПользователь АРМОтсутствиеНе обязательныСетевыеПерехват информацииНезащищенность канала связи при передачи; перехват информации; вероятнаяИнформацияЦелостность, правильность передачиВысокийПостороннее лицоВысокий уровеньНеобходимыИнформационные, программныеУмыселОшибочная маршрутизация сообщенийНеисправность работы маршрутизатора; ошибочная адресация; вероятнаяИнформацияДоступность, конфиденциальность, целостность, затруднения в деятельностиСреднийПериферийное устройство (маршрутизатор)Неправильное использование ресурсовНеквалифицированный персонал; использование не по назначению; вероятнаяПОВременныеНизкийНеквалифицированный персоналНачальный уровеньМинимальныеИнформационныеОтсутствие опыта работы, знаний в данной областиДефицит персоналаНакопление работы; массовое увольнение; маловероятнаяРаботники предприятияПотеря производительностиСреднийРуководительНе обязателенПрисутствуютЛюбыеНекомпетентность, жесткие условия труда Главным объектом нападения является конфиденциальная информация, а опасными угрозами - преднамеренное незаконное действие (постороннее лицо, злоумышленник), вредоносное программное обеспечение и ошибки работников предприятия. В результате основными потерями являются информационные ресурсы, их конфиденциальность, денежные потери и затруднения в деятельности.
Глава 4. Методы и средства защиты информации
Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами предприятия Трест "Оренбургмежрайгаз". Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.
Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.
При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.
Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников Треста "Оренбургмежрайгаз". Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.
Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.
4.1. Отправная точка для внедрения информационной безопасности
Ключевыми мерами контроля с точки зрения законодательства являются:
* обеспечение конфиденциальности персональных данных;
* защита учетных данных организации;
* права на интеллектуальную собственность.
Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:
* наличие документа, описывающего политику информационной безопасности;
* распределение обязанностей по обеспечению информационной безопасности;
* обучение вопросам информационной безопасности;
* информирование об инцидентах, связанных с информационной безопасностью;
* управление непрерывностью бизнеса. 4.2. Оценка рисков информационной безопасности
Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятии по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.
Оценка риска - это систематический анализ:
* вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;
* вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.
Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков. Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.
Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:
* изменения требований и приоритетов бизнеса;
* появление новых угроз и уязвимостей;
* снижение эффективности существующих мероприятий по управлению информационной безопасностью.
Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски
4.3. Важнейшие факторы успеха
Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:
* соответствие целей, политик и процедур информационной безопасности целям бизнеса;
* согласованность подхода к внедрению системы безопасности с корпоративной культурой;
* видимая поддержка и заинтересованность со стороны руководства;
* четкое понимание требований безопасности, оценка рисков и управление рисками;
* обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;
* передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;
* обеспечение необходимого обучения и подготовки;
* всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.
Основными угрозами бизнесу для сбытовых компаний можно определить утрату либо искажение как внешним, так и внутренним врагом информационных массивов (баз данных используемых для работы). При рассмотрении вопроса возложения обязанностей по информационной защите необходимо руководствоваться следующим:
1. При возложении обязанностей по защите информации на IT подразделения во главу угла встанут системные администраторы, а не безопасность, а значит, будет отсутствовать система их контроля и комплексность подхода по защите информационных ресурсов в их многообразии. Также главной задачей IT подразделений является бесперебойная работа IT технологий, а их защита накладывает для них дополнительные проблемы к системе передачи данных. 2. Наряду с этим хотелось отметить, что под защитой информации необходимо понимать не только защиту электронного документооборота, но и документооборот на бумажных носителях, и защиту речевой информации и т. д., где специалисты IT не обладают необходимым уровнем подготовки. Для эффективного контура ИБ необходимо его документальное оформление:
1. "Политика корпоративной безопасности",
2. "Политика информационной безопасности".
Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:
* определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
* изложение целей и принципов информационной безопасности, сформулированных руководством;
* краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:
* соответствие законодательным требованиям и договорным обязательствам;
* требования в отношении обучения вопросам безопасности;
* предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
* управление непрерывностью бизнеса;
* ответственность за нарушения политики безопасности;
* определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;
* ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.
Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.
3. "Стандарт информационной безопасности", "Стандарт классифицирования активов (объектов), на основе которых формируется системный подход к защите информации. Также в блок информационной безопасности необходимо введение вопросов ПДИТР и защиты ГТ. Могут быть иные документы, исходя из приоритетов производственной деятельности организации.
Все документы разрабатываются подразделениями по своим направлениям деятельности. При разработке указанных и иных документов другими подразделениями (IT, Канцелярия, кадры и т.д.), имеющих отношение к регламентам оборота предмета защиты, они в обязательном отношении должны согласовываться с подразделениями безопасности, чтобы не нарушались создаваемая система и регламенты проверок.
Абсолютно не эффективной в развитии станет организованная работа и функционирование системы без комплексного обучения персонала компании соблюдению регламентов по ИБ. В этой связи необходимо проведение учебы персонала по направлению деятельности отдела кадров, с формированием групп и потоков, исходя из уровня обучаемых.
Контроль эффективности действия контура ИБ необходимо осуществлять внутренними аудитами как по линии ИБ, так и по режиму. Проверки должны проходить планово, внезапно, в том числе с мониторингом технических каналов и охватывать технологии всего документооборота и информационных потоков.
Результаты устранения выявленных недостатков, в том числе вскрытые недоработки, дефекты созданных технологических процессов оборота информационных массивов заслушиваются на совещаниях у руководства организации и на Постоянной действующей комиссии, заместителем председателя которой является руководитель СБ.
Не малую роль в поддержании на необходимом уровне контура ИБ играет группа технического контроля при постоянно действующей комиссии по защите КИ. Основными функциями данной группы являются:
* Проведение внутренних аудитов технологии обработки конфиденциальной информации;
* Контроль состояния информационной безопасности при обработки конфиденциальной информации на бумажных и электронных носителях;
* Выработка рекомендаций по данному направлению деятельности.
Вскрытые нарушения квалифицируются как несоответствия и подлежат дисциплинарному расследованию. При создании системы ИБ необходимо увязывать ее со стратегией деятельности компании и иметь поддержку в реализации со стороны высшего руководства компании. 4.4 Разработка защитных мер по обеспечению безопасности на предприятии.
Помимо организационных мер по защите информации требуется отлаженный механизм технических мер. Для того чтобы избежать потери информации необходимо обеспечивать защиту и выполнять общие требования (см. Таблицу №2).
Таблица №2. Требования по обеспечению защиты информации
Зона уязвимости: Виды защитных мерПожарОборудовать пожарную сигнализацию; установить необходимое количество огнетушителей; назначить ответственного за пожарную безопасность; провести инструктаж по пожарной безопасности с работниками предприятия; выполнять плановые и внеплановые проверки исправности проводки.Преднамеренное повреждениеСоздать затруднительный доступ к проводами другим каналам связи, обеспечить отделение камерами видеонаблюдения и дополнительной сигнализацией.Неисправности аппаратных средств
Своевременная замена и ремонт оборудования; изолировать от посторонних лиц важные аппаратные средства, чтобы исключить умышленное и случайное повреждение; проводить периодические проверки исправности аппаратных средств.Износ среды храненияОсуществление обновления БД и аппаратной части; хранение копий БД на отдельном компьютере.Авария ПОСоздавать резервные копии; постоянно обновлять ПО; ограничить пользование нелицензионными копиями ПО.Подделка идентификатора пользователяОбеспечить каждый ПК уникальным паролем. Пароли должны соответствовать следующим требованиям: 1) длина пароля должна быть не менее 8 символов; 2) в числе символов пароля обязательно должны присутствовать буквы, цифры и специальные символы; 3) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.); 4) при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; 5) смена паролей должна проводиться регулярно не реже одного раза в месяц; 6) одинаковых паролей не должно быть.Вредоносное программное обеспечениеЗащита ПО с помощью антивирусных программ; никогда не копировать на свой винчестер/дискету программы, не проверенные на наличие вируса; не копировать программы с ненадежных источников; вести внимательное наблюдение за новой программой (желательно эксплуатировать ее на специальном компьютере); иметь копии всех ценных программ и хранить их на защищенных дисках; установить по возможности системным файлам атрибут "только для чтения"; иметь системный диск с антивирусными программами.Нелегальный импорт/экспорт программного обеспеченияЗапретить копирование ПО с сервера и других ПК; отслеживать трафик.Доступ к сети неавторизованных пользователейКонтролировать действия неавторизованного пользователя; возложить ответственность за какие-либо неисправности; сообщать администратору об известных входах в сеть неавторизованным способом.Ошибка операционного персоналаОграничить уровень допуска в соответствии с необходимостью; набор только квалифицированного персонала; проведение семинаров по обучению работы с новым ПО.Техническая неисправность компонентов сетиПостоянно следить за компонентами сети; своевременный ремонт и замена оборудования; запретить доступ к компонентам сети, кроме технического обслуживания.
Ошибки при передачеИспользование различных алгоритмов разделения файлов при передачи; проверка контрольных сумм.Повреждения в линиях связиОбеспечить затруднительный доступ к линиям связи; расположить провода ближе к потолку и убрать их в коробки.ПерехватСделать невозможным прямой доступ к сети; кодировать всю информацию при передачи; анализировать трафик.Ошибочная маршрутизация сообщенийИсключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы.Повторная маршрутизация сообщенийИсключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы.Неправильное использование ресурсовУстановить приоритет на запросы; ограничить доступ к ним для всех на определенной время; использовать многоканальный доступ.
Вывод
В данном отчете по производственной практике были рассмотрены и проанализированы возможные угрозы нападения на информационные ресурсы Треста "Оренбургмежрайгаз", разработаны методы и средства защиты конфиденциальной информации. В процессе прохождения практики были выявлены опасные угрозы для информации, разработаны правила и защитные меры при самых критических ситуациях, получены такие навыки, как: * проверки, настройки и использования технических и программных средств подразделения по защите информации;
* выполнения основных функциональных обязанностей в соответствии с должностью;
* работы с технической и эксплуатационной документацией;
* в реализации системы защиты информации в автоматизированных системах в соответствии со стандартами по оценке защищенных систем.
Можно подвести итог, что политика ИБ должна существовать во всех организациях и госучреждениях, где имеются компьютеры для необходимой защиты, применение которой должно быть целесообразно.
2
Документ
Категория
Разное
Просмотров
139
Размер файла
218 Кб
Теги
преддипломная практика, производственная практика, сам, отчет, практика
1/--страниц
Пожаловаться на содержимое документа