48087 (Политика информационной безопасности для ИС "Учет и графическое представление основных объектов и устройств МГ и ГРС"), страница 2

АО: - промышленный сервер

• объем оперативной пaмяти – 2 Gb;

• винчестер (HDD) – 1000 Gb;

• сетевой интерфейс

ПО: - операционная система - Microsoft Advansed Server 2000;

• СУБД – SQL Server 2000;

Клиент:

АО: - компьютер на базе Intel Pentium-IV 2000 Mhz;

• объем оперативной памяти – 512 Мb;

• винчестер (HDD) - 60 Gb;

• монитор SVGA с разрешением не ниже 1024х768;

• сетевой интерфейс

ПО: - операционная система - Windows XP;

• офисный пакет программ - Microsoft Office XP;

• программный продукт «AutoCAD 2000»;

• антивирусная программа «DrWeb 4.32b».

3. Управление рисками. Экономический аспект.

Как правило, представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к времени простоя информационной системы, а точнее к времени ее восстановления. При этом ему приходится учитывать все возможные причины сбоев. В результате, явно или неявно, расходы предприятий на информационные технологии всегда включают и расходы на обеспечение их безопасности. Следует отметить, что применяемые в каждом конкретном случае средства (и соответствующие расходы) адекватны риску: чем больше предполагаемые потери предприятия от простоя той или иной информационной системы, тем дороже обходятся превентивные меры безопасности.

Поэтому необходимо количественно оценить риски простоев при потере (полной/частичной) информации и при сбоях работы системы.

Сотрудники ОДС ООО «КРГ» осуществляют оперативное управление газоснабжением потребителей, осуществляя ежеминутную непрерывную работу по сбору и обработке информации по реализации газа. У ООО «КРГ» заключено порядка 500 договоров на подачу газа другим промышленным и частным предприятиям, а также договора с населением. Соответственно, простой в работе предприятия из-за сбоев в системе может принести ущерб около 100 тыс. руб. в день, начиная со второго дня простоя, а процесс восстановления работоспособного состояния порядка 5 тыс. руб. в день.

Следует учесть информацию конфиденциального характера (данные по объектам газопровода, их технические характеристики, персональные данные потребителей и т. д.), разглашение которой может в еще большей степени увеличить ущерб в связи с возможными последствиями. В лучшем случае будут предъявлены иски от предприятий-потребителей на суммы в среднем 10 тыс. руб. о разглашении данных, являющихся их коммерческой тайной, а отсюда ущерб репутации и негативное общественное мнение. Потеря доверия клиентов является очень серьезным убытком для любого предприятия. Но нельзя исключить и самые глобальные последствия, возможные при разглашении данных ввиду неспокойного положения в стране, связанного с террористическими актами. В результате ущерб может вылиться в очень большую сумму из учета восстановления последствий.

Будем рассматривать только затраты, связанные со сбоями в работе системы и её восстановлении, а также возможные предъявленные иски от предприятий-потребителей.

Для обеспечения защиты системы от сбоев необходимо выявить возможные точи отказа:

1. Рабочая станция диспетчера (поскольку отказ в работе машин начальника ОДС, администратора системы и генерального директора не так критичны относительно выполнения основного бизнес-процесса);

2. Сервер;

3. Коммуникации.

Утечка информации может произойти:

1. Использование съемных носителей.

2. Вирусы.

3. Выход в Интернет без поддержания требуемого уровня безопасности.

4. Использование нелицензионного ПО.

Примерная сумма ущерба при простоях за 2 дня может составить:

100 тыс. руб. (упущенная выгода) + 10 тыс. руб. (работа по восстановление системы) = 110 тыс. руб.

Примерная сумма ущерба при предъявлении исков на разглашение информации от 50 предприятий потребителей:

10 тыс. руб.*50 = 500 тыс. руб.

4. Процедуры информационной безопасности.

4.1 Законодательные меры (ЗМ);

При создании политики безопасности необходимо учитывать положения Конституции, Уголовного, Процессуального, Гражданского и Трудового кодексов и других законов. Поэтому целесообразно выделить те государственные законы, указы и постановления, под которые попадает разрабатываемая система.

1. Конфиденциальность информации.

   • Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11;

   • Перечень сведений конфиденциального характера [2];

   • Уголовный кодекс РФ [3], Статья138, Статья183;

2. Создание и защита программ и БД.

• Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья16, Статья17, Статья19;

• Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» [4].

1. Защита информации и информационных ресурсов.

• Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья3, Статья4, Статья8, Статья20, Статья21, Статья22.

1. Разграничение прав доступа к информации.

• Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья12, Статья15.

1. Защита от несанкционированного доступа.

• Уголовный кодекс РФ [3], Статья272;

• Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья6, Статья10;

• Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [5];

• Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [6];

• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [7].

1. Персональные данные.

• Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11, Статья14;

• Уголовный кодекс РФ [3], Статья137, Статья155;

• Конституция РФ [8], Глава 2.

• Трудовой кодекс РФ [9], Глава 14.

1. Вирусы. Их создание, использование и распространение.

• Уголовный кодекс РФ [3], Статья273.

1. Документирование информации.

• Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья5.

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

• Уголовный кодекс РФ [3], Статья274.

4.2 Административные меры (АМ), принятые на ООО «КРГ».

Ниже приведены уже предпринятые меры обеспечения информационной безопасности в организации ОО «КРГ»:

1. Физическая защита здания организации (охрана, видеонаблюдение).

2. Учет основных технических средств (СВТ) и систем:

   1. Наличие схемы размещения СВТ с привязкой к границам контролируемой зоны;

   2. Описание состава и размещения вспомогательных технических средств и систем;

   3. Наличие схем электропитания и заземления основных технических средств и систем, вспомогательных технических средств и систем, схем прокладки кабельных линий передачи данных;

   4. Наличие предписания на эксплуатацию СВТ и систем;

   5. Контроль требований эксплуатационной документации на сертифицированные средства защиты, требований других нормативных документов (не реже одного раза в год).

3. Учет программного обеспечения, наличие соответствующих лицензий/сертификатов.

4. Контроль:

   1. при вводе объекта защиты в эксплуатацию,

   2. после проведения ремонта СВТ и средств защиты информации,

   3. при изменениях условий расположения или эксплуатации СВТ.

5. Основные технические средства и системы необходимо размещать в помещениях, расположенных в пределах контролируемой зоны. Помещения, предназначенные для размещения активного сетевого оборудования и систем, должны отвечать следующим требованиям: отдельное закрытое помещение, ограниченный доступ в помещение, наличие сигнализации, средств охлаждения и средств пожаротушения.

6. Размещение и монтаж основных технических средств и систем, предназначенных для вывода конфиденциальной информации (печатающих устройств, видеотерминалов, графопостроителей и т.п.) необходимо проводить с учетом максимального затруднения визуального просмотра информации посторонними лицами, а также принимая дополнительные меры, исключающие подобный просмотр (шторы на окнах, непрозрачные экраны и т.п.).

7. Запрещается в пределах помещений объекта СВТ, где располагаются основные технические средства и системы, прокладывать незадействованные линии, имеющие выход за пределы контролируемой зоны.

8. Защита от несанкционированного доступа обеспечивается разграничением доступа субъектов к объектам, а именно:

   1. Реализация правил разграничения доступа субъектов и их процессов к данным;

   2. Реализация правил обмена данными между субъектами для АС и СРВ, построенных по сетевым принципам;

   3. Идентификация/аутентификация субъектов в сети и поддержание привязки субъекта к процессу, выполняемому для субъекта.

   4. Использование «хранителей экрана»

9. Осуществление мониторинга сети.

10. Использование антивирусного комплекта.

При создании ИС необходимо учесть все требования принятых административных мер организации относительно информационной безопасности, но и целесообразно предпринять дополнительные административные меры относительно системы и её функционирования в сети.

Дополнение к пункту 2 по учету основных технических средств (СВТ) и систем:

2.6 Убрать из конфигурации системного блока диспетчеров наличие дисковода и CD-ROMа. Использовать только при необходимости инсталляции программных продуктов.

Дополнение к пункту 8 по защите от несанкционированного доступа:

1. Реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;

2. Регистрация действий субъекта и его процесса - аудит;

3. Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов (регистрация нового пользователя, временные изменения в статусе пользователя, перемещения сотрудника);

4. Реакция на попытки НСД (блокировка, восстановление после НСД);

5. Тестирование;

6. Очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;

7. Учет выходных печатных и графических форм и твердых копий в АС (маркировка документов);

8. Контроль целостности программной и информационной части как средств разграничения доступа, так и обеспечивающих ее средств.

11. Пакет нормативных документов по порядку обработки и хранения конфиденциальной информации в сети.

4.3 Процедурные меры.

4.3.1 Управление персоналом. ОРМ

Под управлением персоналом понимается непосредственно индивидуальная работа с каждым сотрудником организации и со всем коллективом организации в целом. То есть у каждого сотрудника в производственном процессе имеются свои права и обязанности, с которыми он должен быть ознакомлен и согласен с ними. Это могут быть должностные инструкции, перечень информации, СВТ и программных продуктов, с которыми он имеет право работать.

В рамках данного курсового проекта необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой. Создание такого пакета документов во многом обусловлено проведенными законодательными и административными мерами и, как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации.

Для защиты ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» рекомендуется утвердить следующие организационные мероприятия:

1. Регламент об осуществлении охраны помещения оперативно-диспетчерской службы, в которой находятся СВТ и работы с ними.

1.1. Сотрудники ОДС организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.