Информационная безопасность. 2

CОДЕРЖАНИЕ

 

ВВЕДЕНИЕ 9

I. АНАЛИТИЧЕСКАЯ ЧАСТЬ 11

1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 11

1.1.1. Общая характеристика предметной области. 11

1.1.2. Организационно-функциональная структура предприятия. 12

1.2.1. Идентификация и оценка информационных активов. 16

1.2.2. Оценка уязвимостей активов. 23

1.2.3. Оценка угроз активам. 29

1.2.4. Оценка существующих и планируемых средств защиты. 32

1.2.5. Оценка рисков. 47

1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. 50

1.3.1. Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков. 50

1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 55

1.4. Выбор защитных мер. 61

1.4.1. Выбор организационных мер. 61

1.4.2. Выбор инженерно-технических мер. 65

II. ПРОЕКТНАЯ ЧАСТЬ 78

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 78

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 78

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. 90

2.2. Комплекс проектируемых программно-аппартных средств обеспечения информационной безопасности и защиты информации предприятия. 100

2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности.. 100

2.2.2. Контрольный пример реализации проекта и его описание. 110

III. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА. 128

3.1. Выбор и обоснование методики расчета экономической эффективности. 128

3.2. Расчёт экономической эффективности 131

ЗАКЛЮЧЕНИЕ 135

СПИСОК ЛИТЕРАТУРЫ 137

Приложения 138

 

Введение

 

Обеспечение информационной безопасности – одна из важнейших задач любого предприятия, работающего с информацией, разглашение которой может повредить  его деятельности. Примечательным в  данной работе является то, что каждый человек понимает необходимость  защиты информации, но на практике лишь малая доля из них действительно  представляет себе возможные последствия  и методы их предотвращения. В сознании большинства людей представление  о информационной угрозе складывается в основном из художественных фильмов и телесериалов о «хакерах». На практике же работа по обеспечению информационной безопасности должна учитывать множество факторов, связанных с каждым конкретным защищаемым объектом.

С каждым годом скорость появления новых  научных открытий неуклонно растет, особенно в сфере информационных технологий. Появляются новые технологии обработки информации, ее хранения, передачи, благодаря чему растут и  вычислительные мощности, которые можно  направить на преодоление даже самых  сложных систем защиты. Развитие физики волн, увеличение чувствительности оборудования, фиксирующего электромагнитные волны, радиоволны порождает все более  изощренные методы получения информации, даже не получая непосредственного  доступа к компьютеру жертвы.

В российском обществе, где еще со времен начала 90х практика использования противоправных средств при ведении бизнеса стала скорее нормой, чем отклонением от нее, угроза информационной безопасности стоит особо актуально. Поэтому администратору необходимо постоянно следить за появлением новых методов в области взлома, прослушивания каналов связи и защитного программного обеспечения.

Первым  делом необходимо подробно разобрать  все бизнес и информационные процессы, протекающие в компании. Если упустить из виду хотя бы небольшие нюансы работы, то они могут послужить основой  для дальнейшей деятельности злоумышленника. Однако стоит учитывать и возможность  препятствия работе предприятия  чрезмерными мерами по защите данных.

Следующим шагом должна быть полная инвентаризация имеющегося в компании технического оборудования, обрабатывающего информацию. Если этого не сделать, то использование  защитного программного обеспечения  может тормозить работу компьютеров  сильнее, чем любые вирусные атаки. Так же это необходимо для обеспечения  в дальнейшем стабильной работы информационной системы.

Затем необходимо определить приоритеты защиты, какую  информацию необходимо защищать в первую очередь и сколько на это можно  потратить средств, а какую можно  оставить вовсе без защиты, если ее потеря или разглашение не несет  никакого ущерба.

Далее идет непосредственно планирование разрабатываемой  системы безопасности. При ее разработке необходимо учесть все возможные  угрозы, методы их предотвращения и  целесообразность их реализации возможным  злоумышленником, ведь не только стоимость  обеспечения защиты информации, но и затраты на ее обход должны соответствовать  ценности данной информации. Таким  образом, администратор должен думать как злоумышленник, но всегда на один шаг вперед.

Информационная безопасность состоит  из множества взаимосвязанных и  последовательных мер, которые в  совокупности позволяют достигнуть необходимого уровня безопасности. Однако даже если система продумана достаточно тщательно, но в отдельных ее узлах  наблюдаются сбои, такие как недостаточная  мощность технических средств или  пренебрежение правилами безопасности персоналом, то вся ее деятельность может оказаться напрасной. 

1. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).

2. Общая характеристика предметной области.

 

История этой Компании берет  свое начало с той поры, когда  в 1928 году в г.Алматы была пущена первая дизельная электростанция с тремя генераторами мощностью по 170 кВт каждый. С тех времен в связи с бурным развитием промышленности и сельского хозяйства страны были введены множество энергетических мощностей, сооружены линии электропередач, построены теплоэлектростанции.

АО "Алматы Пауэр Консолидейтед» (в составе департаментов ТЭЦ-1,2,3, ЗТК, Капчагайской ГЭС, Каскада ГЭС, АРЭК, ГЭРС, ПРП, ЦПВТ и Головного офиса) являлось главным преемником государственной компании "Алматыэнерго", которая была приватизирована в августе 1996 года бельгийской компанией "Трактебель C.A." (Бельгия, Брюссель, 1000, Пляс-дю-Трон 1).

18.05.1999 г. и 30.06.2003 г. компания, в соответствии с действующим  законодательством РК, была перерегистрирована  в ЗАО "АПК" и в последующем  в АО "АПК" соответственно. В  мае 2000 года 60 % доля "Трактебель" в "Пауэрфин Холдинг" была продана ЗАО "КазТрансГаз". Оставшиеся 40 % акций «Пауэрфин Холдинг» приобретались у «Иктус Интернешнл Н.В.» (Нидерландские Антильские Острова, Кюрасао, Чучубивег 17) были приобретены позднее в несколько этапов.

В 2001 году Акимат города Алматы выкупил 100 % акций «Пауэрфин Холдинг», став единственным владельцем АО "АПК". В связи с невозможностью погашения АО «АПК» своих финансовых обязательств перед АО "Народный банк Казахстана" Правительство Казахстана приняло постановление от 30 июня 2005 года № 653 «О мерах по обеспечению надлежащего функционирования энергетического комплекса города Алматы» о выкупе имущественного комплекса АО «АПК» компанией "Казтрансгаз".

30 июня 2005 года между АО  «КазТрансГаз» (Преемник), АО «Народный Банк Казахстана» (Кредитор) и АО «Алматы Пауэр Консолидэйтед» (Должник) подписано Соглашение об уступке прав требования (цессия), согласно которому Преемник выполнил все обязательства перед Кредитором. 17 августа 2005 года «Пауэрфин Холдинг» предоставляет в собственность АО «КазТрансГаз» 100 % акций АО «АПК»

С 2007 года АО «АПК» находится  под управлением АО «Самрук-Энерго»

Позднее, на основании решения  Совета директоров АО «КазТрансГаз» от 14 июля 2009 года АО «АЖК» передан в структуру АО "Самрук-Энерго".

В январе-марте 2007 года основные процедуры по реструктуризации АО «Алматы Пауэр Консолидэйтед» были завершены и проведена реструктуризация деятельности АПК на:

производство теплоэнергии и электроэнергии выведено в АО «Алматинские электрические станции» (далее - АлЭС);

передача и распределение  тепла и горячей воды выведено в АО «Алматинские тепловые сети» (далее - АлТС) – в настоящее время ТОО «АлТС»;

производство электроэнергии, теплоэнергии и горячей воды в Актобе выведено в АО «Актобе ТЭЦ» (далее - АТЭЦ).

При этом АПК принадлежали 100% пакетов указанных дочерних организаций, за исключением ТОО «АлТС», которое в октябре 2007 года передано в коммунальную собственность г. Алматы. На настоящий момент владельцем ТОО «АлТС» является Акимат г. Алматы.

В марте 2009 года АО "АПК" было переименовано в АО "АЖК" (АО "Алатау Жарык Компаниясы")

АО "Алатау Жарык Компаниясы" - крупная энергетическая система на юге республики по передаче и распределению электрической энергии для населения, промышленных и сельскохозяйственных предприятий в зоне своей деятельности - городе Алматы и Алматинской области. Радиус обслуживания Компании территориально простирается от берегов озера Балхаш до границ с Китаем.

АО "АЖК" включено в  Республиканский раздел Государственного регистра субъектов естественных монополий.

Балансовая принадлежность АО "АЖК" включает электрические  сети классов напряжения: 220-110-35-10-6-0,4 кВ.

В состав компании входят:

воздушные линии электропередач напряжением 220 кВ протяженностью 306,41 км;

воздушные линии 110 кВ протяженностью 2769,013 км;

электрические сети напряжением 35 кВ – воздушные и кабельные  линии общей протяженностью 2673,572 км;

линии электропередач напряжением 0,4кВ протяженностью 10256,775 км;

Подстанций 35-220кВ и трансформаторных подстанций 6-10/0,4кВ;

207 электрических подстанции  напряжением 35кВ и выше, с количеством  трансформаторов 357 шт. и установленной  мощностью 5 993,52 МВт;

6897 трансформаторных подстанции  напряжением 6-10/0,4кВ, с количеством  трансформаторов 8 161 шт. и установленной  мощностью 2 203,591 МВт;

Площадь территории обслуживания - 102032 кв./км

Казахстанская энергосистема  – в состав, которой входит АО «АЖК», совместно с энергетическими  компаниями Узбекистана, Кыргызстана  образуют объединенную Энергетическую Систему Центральной Азии (ОЭС  ЦА), которая работают в параллельном режиме с Россией.

За последние 5 лет компания реализовала ряд масштабных проектов. Построено более 20 новых подстанций, реконструирована и модернизирована часть электрических сетей. В результате мощность энергетической компании выросла до 779 МегаваттАмпер. Все новые и реконструированные подстанции и линии электропередач были оборудованы самыми передовыми технологиями, отвечающие всем критериям мировых стандартов качества. Компания впервые в Казахстане начала применять композитный провод на линиях 110кВ (производитель компания Меркур, США).

1.1.2. Организационная структура управления предприятием

 

 

- Генеральный директор – руководитель предприятия, организация работы всего предприятия и эффективное взаимодействие всех структурных подразделений. Выбор стратегии развития предприятия, несет ответственность за работу предприятия как внутреннюю, так и внешнюю.

 

- Главный бухгалтер – организует оборот всех бухгалтерских документов, обеспечивает своевременную оплату налогов, формирует учетную политику.

Отвечает  за работу бухгалтерского отдела, своевременную сдачу налоговой отчетности и точности в отчетных документах.

 

- Бухгалтер – отвечает за оборот денежных средств в компании, а также с клиентом, его учет и предоставление всех соответствующих документов главному бухгалтеру, ответственен за расчет с сотрудниками фирмы и оплату труда персонала находящегося в штате компании.

 

- Дизайнер  - занимается графическим оформлением web-проектов компании, контролирует размещение проекта в сети интернет, анализирует опыт конкурентов, принимает к исполнению все пожелания и требования клиента.

 

- Программисты – занимаются поддержкой базы данных 1С, разрабатывают максимально удобную среду работы в данной программе для сотрудников компании, учитывая их индивидуальные пожелания.

Так же занимаются разработкой  отдельных блоков web-сайта, такие как flash объекты,  javascript,  php & mysql.

• Менеджеры отдела продаж – занимаются поиском потенциальных клиентов, ведение переговоров с клиентами а так же партнерами, оперативное реагирование на информацию поступающую от клиентов, выявление потребностей клиента и мотивация его на работу с компанией.
• Менеджер по спецпроектам – принимает заказы от клиентов, учитывая их индивидуальные пожелания.

- Техническая поддержка – Обеспечивает функционирование локальной сети, функционирование программно-технических средств, функционирования серверов компании, систем пожарно-охранной сигнализации и устранение неполадок связанных с ними. Формирование и ведение информационных массивов и баз данных, защита информации от несанкционированного доступа, формирование архивов резервных копий (бекапов).

        Отвечает за безотказную работу системы и обеспечения ее всем необходимым (хранение и закупка запасных частей, программного обеспечения и т.д)

Полная  структура организации представлена на схеме №3

 

2. Анализ рисков информационной безопасности.

1. Идентификация и оценка информационных активов.

 

На данном этапе мы должны идентифицировать информационные активы, входящие в область оценки.

 

1. Определить ценность этих активов
2. Определить перечень угроз и вероятность их реализации
3. Произвести оценивание и ранжирование рисков

Информационный  актив – это любая информация, независимо от вида её представления, имеющая ценность для организации  и находящаяся в её распоряжении. 

Типы  активов АО "Алатау Жарык Компаниясы":

 

• Информация (база данных бухгалтерии – содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе)
• Документы (договора, контракты, служебные записки)
• Программное обеспечение, включая прикладные программы
• Аппаратные средства (персональные компьютеры – необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

АО "Алатау Жарык Компаниясы" - является коммерческой организацией основной ее целью является получение прибыли за счет предоставляемых ею услуг.

Данные  по оценке информационных активов сведена в таблицу 1.2.1.1. Результаты ранжирования активов представлены в таблице 1.2.1.3.

 

 

 

Таблица 1.2.1.1

Оценка  информационных активов АО "Алатау Жарык Компаниясы"

Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Информационные активы
База данных бухгалтерии	Электронная	Бухгалтерия	Степень важности	-	Имеющая критическое значение
База данных  поставщиков	Электронная	Директор	Степень важности	-	Имеющая критическое значение
Персональные данные о сотрудниках	Электронная	Кадровый отдел	Степень важности	-	Высокая
Штатное расписание и кадровый учет	Бумажный документ, электронный документ	Кадровый отдел	стоимость  обновления или воссоздания	-	критически высокая

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Продолжение Таблицы 1.2.1.1

 

Наименование актива	Форма представления	Владелец актива	Критерии определения  стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Активы аппаратных средств
Принтеры	Материальный объект	IT-отдел	Первоначальная стоимость	-	Малая
Оборудование для обеспечения связи	Материальный объект	IT-отдел	Первоначальная стоимость	-	Средняя
Сервер баз данных	Материальный объект	IT-отдел	Первоначальная стоимость	-	Имеющая критическое значение
Почтовый сервер	Материальный объект	IT-отдел	Первоначальная стоимость	-	Имеющая критическое значение
Персональный компьютер	Материальный объект	Консультанты, товароведы, администрация.	Первоначальная стоимость	-	Средняя
База данных заказав (MySQL)	Материальный объект	IT-отдел	Первоначальная стоимость		Высокая

 

 

Продолжение Таблицы 1.2.1.1

Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
				Количественная оценка (ед.изм.)	Качественная
Активы программного обеспечения
Учетная Система	Электронная	Дирекция технического сопровождения	Обновление и воссоздание	-	Высокое
Программы целевого назначения	Электронная	Дирекция программного сопровождения  и разработки	Обновление и воссоздание	-	Высокое
Windows 7 Ultimate	Электронная	Дирекция технического сопровождения	Первоначальная стоимость	-	Малая
MS Office 2010	Электронная	Дирекция технического сопровождения	Первоначальная стоимость	-	Малая

 

 

Результат ранжирования представляет собой интегрированную оценку степени  важности актива для предприятия, взятую по пятибалльной шкале (Таблица 1.2.1.1). Самый ценный информационный актив имеет ранг 5, наименее ценный – ранг 1.

Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются  в качестве объекта защиты. Количество таких активов, как правило, зависит  от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности по защите персональных данных выделим наиболее ценные информационные активы (имеющие максимальный ранг).

 

Таблица 1.2.1.3

Результаты  ранжирования активов АО "Алатау Жарык Компаниясы"

Наименование актива	Ценность актива (ранг)
База данных бухгалтерии	5
Почтовый сервер	5
База данных поставщиков	5
Персональные данные о сотрудниках	5
Кадровый учет	5
Учетная Система	4
База данных заказов (MySQL)	4
Программы целевого назначения	4
Windows 7 Ultimate	4
MS Office 2010	2
Принтеры	2
Оборудование для обеспечения связи	4

 

 

По результатам ранжирования (Таблица1.2.1.3) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):

 

1. База данных бухгалтерии;

2. Почтовый сервер;

3. База данных поставщиков;

4. Сервер баз данных;

5. Персональные данные о сотрудниках;

6. Оборудование для обеспечения связи;

7. Учетная Система;

8. Windows 7.

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим  законодательством РФ, представлены в таблице 1.2.1.2.

Таблица 1.2.1.2

Перечень  сведений конфиденциального характера  АО "Алатау Жарык Компаниясы"

№ п/п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1.	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия  от несанкционированного доступа	Информация ограниченного доступа	–
2.	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия	Информация ограниченного доступа	ст. 139, 857 ГК РФ
3.	Персональные данные сотрудников	Информация ограниченного доступа; подлежат разглашению  с согласия сотрудника	Закон №152-ФЗ; Глава 14 Трудового кодекса  РФ
4.	Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая  имеет действительную или потенциальную  коммерческую ценность в силу неизвестности  ее третьим лицам).	подлежит разглашению только по решению  предприятия	Закон РФ от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

 

 

 

2. Оценка уязвимостей активов.

 

Уязвимость  информационных активов — тот или иной недостаток, из-за которого становится возможным нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (например, вирусов или программ-шпионов).

Уязвимость  – есть событие, возникающее как  результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В компьютерной безопасности, термин уязвимость используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Уязвимости  информационной системы компании можно  определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы информационной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Основанием  для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.

 

Показателями  уязвимости актива и его особо  важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким.                            

Результаты  оценки уязвимости активов представлены в таблице 3.

 

Группа уязвимостей           Содержание  уязвимости	Персональные данные о сотрудниках	Кадровый учет	Персональные компьютеры	Сервера баз данных	Почтовый сервер	Коммуникационное оборудование	Учетная Система	Windows 7
1. Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон	Средняя	Средняя		Средняя	Средняя
Нестабильная работа электросети			Средняя	Низкая	Низкая	Низкая
2. Аппаратное обеспечение
Отсутствие схем периодической замены			Средняя	Средняя	Средняя	Средняя
Подверженности воздействию  влаги, пыли, загрязнения			Высокая	Высокая	Высокая	Средняя
Отсутствие контроля за эффективным изменением конфигурации			Средняя	Низкая	Низкая
3. Программное обеспечение
Отсутствие тестирования или недостаточное тестирование программного обеспечения							Высокая	Высокая
Сложный пользовательский интерфейс							Средняя	Средняя
Плохое управление паролями			Среднее	Среднее	Среднее		Высокая	Высокая