Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Кафедра "Информационные технологии и системы"

К ЗАЩИТЕ ДОПУСТИТЬ

Заведующий кафедрой

М.А. Попов,

" " июня 2017 г.

Определение норм и правил менеджмента информационной безопасности В ГОСУДРСТВЕННОМ ОРГАНЕ ВЛАСТИ

Пояснительная записка к дипломному проекту

ДП 10.05.03 25К 00 ПЗ

Студент гр. 25К	Е.Н. Шевченко
Руководитель доцент	В. Н. Никитин
Консультант по БЖД доцент, д.т.н., доцент	А.А. Балюк
Консультант по экономике ст. преподаватель	С.Н. Курякина
Нормоконтроль доцент, к.п.н., доцент	В. И. Шестухина

Хабаровск – 2017

Содержание

Введение 3

1 Описание объекта исследования 8

1.1 Характеристика учреждения и его деятельности 8

1.2 Сведения о структуре учреждения 9

1.3 Сведения об информационной системе учреждения 10

1.4 Категории информационных ресурсов, подлежащих защите 12

1.5 Угрозы информационной безопасности 13

1.6 Существующие меры по обеспечению информационной безопасности учреждения 16

2 Определение норм и правил управления информационной безопасностью 17

2.1 Управление информационной безопасностью 17

2.2 Политика информационной безопасности 21

2.3 Организационные вопросы информационной безопасности 23

2.4 Определение ценных активов организации 26

2.5 Процедуры при трудоустройстве, выполнении трудовых обязанностей и прекращении деятельности 27

2.6 Управление инцидентами информационной безопасности 29

2.7 Физическая безопасность 32

2.8 Управление доступом 35

2.9 Управление эксплуатацией технических средств 45

2.10 Предотвращение остановки деятельности организации в случае сбоев или стихийных бедствий 55

2.11 Соответствие законодательству Российской Федерации 56

2.12 Приобретение, разработка и эксплуатация информационных систем 60

3 Экономическая часть. Оценка экономической эффективности внедрения норм и правил менеджмента информационной безопасности 66

3.1 Расчет затрат на создание норм и правил менеджмента информационной безопасности 67

3.2 Расчет выгоды 70

3.3 Расчет нормы дисконта 71

3.4 Расчет чистого дисконтированного дохода и индекса доходности 72

4 Безопасность жизнедеятельности. Разработка мероприятий по пожарной безопасности в учреждении среднего профессионального образования 75

4.1 Пожар, фазы развития пожара 75

4.2 Разработка мероприятий по пожарной безопасности 77

4.3 Обеспечение учреждения первичными средствами пожаротушения. Действия персонала при возникновении пожара 82

Заключение 85

Список использованных источников 86

Приложение А 89

Приложение Б 91

Введение

Из-за продолжающейся информатизации всех сфер деятельности, увеличивается и опасность для информационных ресурсов. Следовательно, возникает необходимость в защите информационных ресурсов, это достигается использованием технических средств защиты информации и созданием организационных мер. Однако, несмотря на это, все равно случаются успешные атаки на информационные инфраструктуры организаций.

В соответствии с исследованием [1], проведенным Positive Technologies 62% атак в 2016 году являлись целевыми, то есть были направлены на организации. Самое опасное в таких атаках то, что популярным способом для проникновения к корпоративным ресурсам является социальная инженерия, поскольку от такого способа атаки не существует технических средств защиты, так как социальная инженерия подразумевает использование человеческого фактора и является очень разрушительным методом. Существует множество вариантов социальной инженерии, например, фишинг.

На основании того же исследования самая распространенная техника социальной инженерии – фишинг в виде делового письма. Опасность такого способа заключается в том, что пользователь, увидев письмо якобы от банка, платежной системы, налоговой инспекции и так далее, не подумает о том, что такое письмо может быть поддельным и перейдет по ссылке. В лучшем случае, будут украдена идентификационная информация, в худшем – заражение персонального компьютера пользователя трояном и его распространении по сети организации. Аналогичная ситуация и с вложениями в электронное письмо. Типичный пример, когда письмо создает иллюзию срочности и важности и при открытии вложения происходит заражение персонального компьютера и сети.

Кроме использования в качестве жертвы человека, не стоит забывать о защите технических средств. Технические средства (как защиты, так и обрабатывающие информацию) должны быть настроены в соответствии с законодательством и необходимостью использования нужных средств (например, ограничения соединений с неиспользуемыми портами). Недавняя атака шифровальщика WannaCry показала, что дела с администрированием технических средств обстоят не очень хорошо. Были заражены, по меньшей мере, 200 тысяч компьютеров, из которых большая часть являлась средствами организаций. При атаке использовалась уязвимость, для устранения которой был выпущен патч за два месяца до атаки, но при этом большое количество компьютеров было заражено.

Кроме того, в связи с возросшей производительностью персональных компьютеров все чаще стали использоваться программы-шифровальщики, которые шифруют файлы с распространенными расширениями и требуют деньги за возможность дешифрования и в случае невыплаты в срок, программа уничтожает файлы.

Все вышесказанное говорит о том, что в организациях должны разрабатываться правила по обеспечению информационной безопасности, которые должны включать в себя правила как для обычных пользователей, так и для администраторов информационных систем. Помимо возможных убытков (репутации, финансы) от отсутствия или несоблюдения правил, разрабатывать и внедрять требуют нормативные правовые акты Российской Федерации и документы федеральных органов исполнительной власти.

Одним из федеральных законов, требующих создание документов по обеспечению безопасности является ФЗ-152 «О персональных данных» [2], приказ ФСБ №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [3] и методический документ «Меры защиты информации в государственных информационных системах» [4] также требуют создание политики безопасности.

Таким образом, разработка правил по обеспечению информационной безопасности позволит внедрить информационную безопасность в организацию и обеспечит поддержку руководителей организации, что доказывает актуальность рассматриваемой темы выпускной квалификационной работы.

Существуют стандарты в области разработки правил информационной безопасности. Первым таким стандартом по системе управления информационной безопасностью являлся британский BS 7799-1, вышедший в 1995 году. Этот стандарт описывал 10 областей и 127 механизмов контроля, необходимых для построения систем управления информационной безопасности. Первоначально, стандарт состоял из одного документа «Практические правила управления информационной безопасностью», но в 1998 году был выпущен вторая часть «Системы управления информационной безопасностью. Спецификация и руководство по применению». Через год оба документа были пересмотрены в соответствии с международными стандартами систем управления, а ещё через год, в качестве международного была принята первая часть этого стандарта, получившая название: «Информационные технологии – Технологии безопасности – Практические правила управления информационной безопасности».

В 2002 году была пересмотрена вторая часть BS 7799-2, а в 2005 году принята как международный стандарт: ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования». С выходом этого стандарта системы управления информационной безопасностью приобрели международный статус.

В Российской Федерации существует национальный стандарт, который идентичен стандарту «ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования». В данном стандарте перечислены нормы и правила, которые можно внедрить для информационной безопасности.

Разработанные нормы и правила управления информационной безопасностью должна быть описаны в политике информационной безопасности, поскольку политика описывает подход к информационной безопасности и является главным документом в области информационной безопасности в организации.

Объектом исследования данной выпускной квалификационной работы является Управление Федеральной службы государственной статистики по Хабаровскому краю.

Предметом исследования является создание норм и правил управления информационной безопасностью.

Созданные нормы и правила должны удовлетворять законодательству Российской Федерации в области защиты информации, а также нормативным правовым документам федеральных органов исполнительной власти.

В ходе работы были поставлены и решены следующие задачи:

• исследование объекта защиты;

• анализ возможных норм и правил информационной безопасности;

• определение норм и правил для объекта защиты.

Первый раздел настоящей ВКР посвящен исследованию объекта защиты и содержит следующие подразделы:

• характеристика учреждения и его деятельности;

• сведения о структуре учреждения;

• сведения о ИС учреждения;

• категории информационных ресурсов, подлежащих защите;

• угрозы ИБ;

• существующие меры по обеспечению информационной безопасности учреждения.

Второй раздел ВКР включает определение возможных правил по обеспечению ИБ.

Третий раздел содержит экономическую часть, где оценивается экономическая эффективность внедрения правил по обеспечению информационной безопасности.

Четвертый раздел содержит мероприятия по обеспечению пожарной безопасности учреждения.

В списке использованной литературы приводятся используемые документы, Интернет-сайты и иные источники информации.

1. Описание объекта исследования

1. Характеристика учреждения и его деятельности

Основной деятельностью Учреждения является обеспечение информационных потребностей государства и общества в полной, достоверной, научно обоснованной и своевременно предоставляемой официальной статистической информации о социальных, экономических, демографических, экологических и других общественных процессах в Российской Федерации.

Учреждение осуществляет сбор и обработку официальной статистической информации на территории Хабаровского края, а также:

• реализует полномочия по предоставлению официальной статистической информации заинтересованным пользователям;

• осуществляет подготовку и проведение общенациональных статистических работ и статистических обследований на территории Хабаровского края;

• участвует в разработке и ведении общероссийских классификаторов технико-экономической и социальной информации;

• организует прием граждан, обеспечивает своевременное рассмотрение устных и письменных обращений граждан;

• проводит конкурсы и заключает государственные контракты на размещение заказов на поставку товаров, выполнение работ и оказание услуг;

• обеспечивает соответствующий режим хранения и защиты полученной конфиденциальной информации.

1. Сведения о структуре учреждения

Учреждение находится на территории Хабаровского края и является сегментом главного офиса, находящегося в Москве.

Учреждение имеет следующие отделы:

• отдел ведения Статистического регистра и общероссийских классификаторов;

• отдел сводных статистических работ;

• отдел статистики труда, науки, образования и культуры;

• отдел статистики уровня жизни и обследований домашних хозяйств;

• отдел статистики населения и здравоохранения;

• отдел статистики торговли и услуг;

• отдел статистики предприятий;

• отдел статистики строительства, инвестиций и жилищно-коммунального хозяйства;

• отдел статистики цен и финансов;

• отдел статистики сельского хозяйства и окружающей природной среды;

• отдел информации;

• финансово-экономический отдел;

• административный отдел;

• отдел информационных ресурсов;

• технологический отдел;

• отдел маркетинга;

• хозяйственный отдел.

1. Сведения об информационной системе учреждения

Информационная система учреждения является локальной, не имеющей удаленных рабочих мест.

Информация, обрабатываемая в учреждении, может находиться в бумажном и электронном виде.

Обработка персональных данных в Учреждении осуществляется в целях:

• статистического учета при условии обязательного обезличивания персональных данных, для формирования официальной статистической информации по Хабаровскому краю в результате сбора первичных статистических и административных данных в ходе проведения федеральных статистических наблюдений;

• ведения кадровой работы в Учреждении (исполнения служебного контракта или трудового договора, одной из сторон которого является субъект персональных данных, ведения и хранения личных дел, учетных карточек и трудовых книжек государственных гражданских служащих, содействия гражданским служащим в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, учета результатов исполнения должностных обязанностей, в целях обеспечения личной безопасности гражданских служащих и членов их семей, организации рассмотрения документов кандидатов на замещение вакантных должностей государственной гражданской службы);

• обеспечения пропускного режима и сохранности имущества Учреждении;

• обеспечения соблюдения законных прав и интересов физических лиц,

• обращающихся в Учреждении в качестве заявителей;

• обеспечения соблюдения требований действующего законодательства о противодействии коррупции;

• обеспечения соблюдения законных прав и интересов физических лиц, с которыми в Учреждении заключены договора гражданско-правового характера;

• передачи персональных данных, подлежащих опубликованию, в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы.

Таким образом, это попадает под действие Федерального закона № 152-ФЗ «О персональных данных» [2] и Федерального закона № 282-ФЗ «Об официальном статистическом учете и системе государственной статистики в Российской Федерации» [5].