48087 (Политика информационной безопасности для ИС "Учет и графическое представление основных объектов и устройств МГ и ГРС"), страница 2
Описание файла
Документ из архива "Политика информационной безопасности для ИС "Учет и графическое представление основных объектов и устройств МГ и ГРС"", который расположен в категории "". Всё это находится в предмете "информатика" из 1 семестр, которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "курсовые/домашние работы", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "48087"
Текст 2 страницы из документа "48087"
АО: - промышленный сервер
-
объем оперативной пaмяти – 2 Gb;
-
винчестер (HDD) – 1000 Gb;
-
сетевой интерфейс
ПО: - операционная система - Microsoft Advansed Server 2000;
-
СУБД – SQL Server 2000;
Клиент:
АО: - компьютер на базе Intel Pentium-IV 2000 Mhz;
-
объем оперативной памяти – 512 Мb;
-
винчестер (HDD) - 60 Gb;
-
монитор SVGA с разрешением не ниже 1024х768;
-
сетевой интерфейс
ПО: - операционная система - Windows XP;
-
офисный пакет программ - Microsoft Office XP;
-
программный продукт «AutoCAD 2000»;
-
антивирусная программа «DrWeb 4.32b».
3. Управление рисками. Экономический аспект.
Как правило, представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к времени простоя информационной системы, а точнее к времени ее восстановления. При этом ему приходится учитывать все возможные причины сбоев. В результате, явно или неявно, расходы предприятий на информационные технологии всегда включают и расходы на обеспечение их безопасности. Следует отметить, что применяемые в каждом конкретном случае средства (и соответствующие расходы) адекватны риску: чем больше предполагаемые потери предприятия от простоя той или иной информационной системы, тем дороже обходятся превентивные меры безопасности.
Поэтому необходимо количественно оценить риски простоев при потере (полной/частичной) информации и при сбоях работы системы.
Сотрудники ОДС ООО «КРГ» осуществляют оперативное управление газоснабжением потребителей, осуществляя ежеминутную непрерывную работу по сбору и обработке информации по реализации газа. У ООО «КРГ» заключено порядка 500 договоров на подачу газа другим промышленным и частным предприятиям, а также договора с населением. Соответственно, простой в работе предприятия из-за сбоев в системе может принести ущерб около 100 тыс. руб. в день, начиная со второго дня простоя, а процесс восстановления работоспособного состояния порядка 5 тыс. руб. в день.
Следует учесть информацию конфиденциального характера (данные по объектам газопровода, их технические характеристики, персональные данные потребителей и т. д.), разглашение которой может в еще большей степени увеличить ущерб в связи с возможными последствиями. В лучшем случае будут предъявлены иски от предприятий-потребителей на суммы в среднем 10 тыс. руб. о разглашении данных, являющихся их коммерческой тайной, а отсюда ущерб репутации и негативное общественное мнение. Потеря доверия клиентов является очень серьезным убытком для любого предприятия. Но нельзя исключить и самые глобальные последствия, возможные при разглашении данных ввиду неспокойного положения в стране, связанного с террористическими актами. В результате ущерб может вылиться в очень большую сумму из учета восстановления последствий.
Будем рассматривать только затраты, связанные со сбоями в работе системы и её восстановлении, а также возможные предъявленные иски от предприятий-потребителей.
Для обеспечения защиты системы от сбоев необходимо выявить возможные точи отказа:
-
Рабочая станция диспетчера (поскольку отказ в работе машин начальника ОДС, администратора системы и генерального директора не так критичны относительно выполнения основного бизнес-процесса);
-
Сервер;
-
Коммуникации.
Утечка информации может произойти:
-
Использование съемных носителей.
-
Вирусы.
-
Выход в Интернет без поддержания требуемого уровня безопасности.
-
Использование нелицензионного ПО.
Примерная сумма ущерба при простоях за 2 дня может составить:
100 тыс. руб. (упущенная выгода) + 10 тыс. руб. (работа по восстановление системы) = 110 тыс. руб.
Примерная сумма ущерба при предъявлении исков на разглашение информации от 50 предприятий потребителей:
10 тыс. руб.*50 = 500 тыс. руб.
4. Процедуры информационной безопасности.
4.1 Законодательные меры (ЗМ);
При создании политики безопасности необходимо учитывать положения Конституции, Уголовного, Процессуального, Гражданского и Трудового кодексов и других законов. Поэтому целесообразно выделить те государственные законы, указы и постановления, под которые попадает разрабатываемая система.
-
Конфиденциальность информации.
-
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11;
-
Перечень сведений конфиденциального характера [2];
-
Уголовный кодекс РФ [3], Статья138, Статья183;
-
-
Создание и защита программ и БД.
-
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья16, Статья17, Статья19;
-
Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» [4].
-
Защита информации и информационных ресурсов.
-
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья3, Статья4, Статья8, Статья20, Статья21, Статья22.
-
Разграничение прав доступа к информации.
-
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья12, Статья15.
-
Защита от несанкционированного доступа.
-
Уголовный кодекс РФ [3], Статья272;
-
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья6, Статья10;
-
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [5];
-
Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [6];
-
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [7].
-
Персональные данные.
-
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11, Статья14;
-
Уголовный кодекс РФ [3], Статья137, Статья155;
-
Конституция РФ [8], Глава 2.
-
Трудовой кодекс РФ [9], Глава 14.
-
Вирусы. Их создание, использование и распространение.
-
Уголовный кодекс РФ [3], Статья273.
-
Документирование информации.
-
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья5.
-
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
-
Уголовный кодекс РФ [3], Статья274.
4.2 Административные меры (АМ), принятые на ООО «КРГ».
Ниже приведены уже предпринятые меры обеспечения информационной безопасности в организации ОО «КРГ»:
-
Физическая защита здания организации (охрана, видеонаблюдение).
-
Учет основных технических средств (СВТ) и систем:
-
Наличие схемы размещения СВТ с привязкой к границам контролируемой зоны;
-
Описание состава и размещения вспомогательных технических средств и систем;
-
Наличие схем электропитания и заземления основных технических средств и систем, вспомогательных технических средств и систем, схем прокладки кабельных линий передачи данных;
-
Наличие предписания на эксплуатацию СВТ и систем;
-
Контроль требований эксплуатационной документации на сертифицированные средства защиты, требований других нормативных документов (не реже одного раза в год).
-
Учет программного обеспечения, наличие соответствующих лицензий/сертификатов.
Контроль:
-
при вводе объекта защиты в эксплуатацию,
-
после проведения ремонта СВТ и средств защиты информации,
-
при изменениях условий расположения или эксплуатации СВТ.
Основные технические средства и системы необходимо размещать в помещениях, расположенных в пределах контролируемой зоны. Помещения, предназначенные для размещения активного сетевого оборудования и систем, должны отвечать следующим требованиям: отдельное закрытое помещение, ограниченный доступ в помещение, наличие сигнализации, средств охлаждения и средств пожаротушения.
Размещение и монтаж основных технических средств и систем, предназначенных для вывода конфиденциальной информации (печатающих устройств, видеотерминалов, графопостроителей и т.п.) необходимо проводить с учетом максимального затруднения визуального просмотра информации посторонними лицами, а также принимая дополнительные меры, исключающие подобный просмотр (шторы на окнах, непрозрачные экраны и т.п.).
Запрещается в пределах помещений объекта СВТ, где располагаются основные технические средства и системы, прокладывать незадействованные линии, имеющие выход за пределы контролируемой зоны.
Защита от несанкционированного доступа обеспечивается разграничением доступа субъектов к объектам, а именно:
-
Реализация правил разграничения доступа субъектов и их процессов к данным;
-
Реализация правил обмена данными между субъектами для АС и СРВ, построенных по сетевым принципам;
-
Идентификация/аутентификация субъектов в сети и поддержание привязки субъекта к процессу, выполняемому для субъекта.
-
Использование «хранителей экрана»
Осуществление мониторинга сети.
Использование антивирусного комплекта.
При создании ИС необходимо учесть все требования принятых административных мер организации относительно информационной безопасности, но и целесообразно предпринять дополнительные административные меры относительно системы и её функционирования в сети.
Дополнение к пункту 2 по учету основных технических средств (СВТ) и систем:
2.6 Убрать из конфигурации системного блока диспетчеров наличие дисковода и CD-ROMа. Использовать только при необходимости инсталляции программных продуктов.
Дополнение к пункту 8 по защите от несанкционированного доступа:
-
Реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;
-
Регистрация действий субъекта и его процесса - аудит;
-
Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов (регистрация нового пользователя, временные изменения в статусе пользователя, перемещения сотрудника);
-
Реакция на попытки НСД (блокировка, восстановление после НСД);
-
Тестирование;
-
Очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
-
Учет выходных печатных и графических форм и твердых копий в АС (маркировка документов);
-
Контроль целостности программной и информационной части как средств разграничения доступа, так и обеспечивающих ее средств.
11. Пакет нормативных документов по порядку обработки и хранения конфиденциальной информации в сети.
4.3 Процедурные меры.
4.3.1 Управление персоналом. ОРМ
Под управлением персоналом понимается непосредственно индивидуальная работа с каждым сотрудником организации и со всем коллективом организации в целом. То есть у каждого сотрудника в производственном процессе имеются свои права и обязанности, с которыми он должен быть ознакомлен и согласен с ними. Это могут быть должностные инструкции, перечень информации, СВТ и программных продуктов, с которыми он имеет право работать.
В рамках данного курсового проекта необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой. Создание такого пакета документов во многом обусловлено проведенными законодательными и административными мерами и, как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации.
Для защиты ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» рекомендуется утвердить следующие организационные мероприятия:
-
Регламент об осуществлении охраны помещения оперативно-диспетчерской службы, в которой находятся СВТ и работы с ними.
1.1. Сотрудники ОДС организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.