ДИПЛОМ 2 (1198240), страница 11
Текст из файла (страница 11)
Криптография – шифрование информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи).
Противодействие атакам вредоносных программ (англ. «malware») – предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т.д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т.п.).
Регламентация – создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т.д.).
Принуждение – установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т.п.).
Побуждение – призыв к персоналу не нарушать установленные порядки по работе с информацией, т.к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).
Средства защиты информации:
Технические (аппаратные) средства – сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, электронные ключи и т.д.
Программные средства – программы-шифровальщики данных, антивирусы, системы аутентификации пользователей и т.п.
Смешанные средства – комбинация аппаратных и программных средств.
Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.
Что можно отнести к организационным мероприятиям по защите ценной информации?
1. Чёткое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга.
2. Ограничение доступа в помещения посторонних лиц или сотрудников других подразделений. Совершенно необходимо запирать и опечатывать помещения при сдаче их под охрану после окончания работы.
3. Жёсткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным, поскольку довольно часто нет средств на покупку ПК для каждого сотрудника.
4. Требование от сотрудников в перерывах выключать компьютер или использовать специальные программы – хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана [44].
4.2 Информационная безопасность ПАО «Мегафон»
Нормативный уровень.
Правовая защита информации - это специальные правовые акты, процедуры, мероприятия и правила, обеспечивающие защиту информации на правовой основе. Правовая защита информации, признана на международном, государственном уровне, определяется межгосударственными декларациями, договорами, конвенциями и реализуется авторскими лицензиями, патентами и правом [45].
Следовательно, в фирме организуется защита следующих типов данных:
1) в отношении сведений, отнесенных к коммерческой тайне, уполномоченными органами на основании Закона Российской Федерации "О коммерческой тайне";
2) в отношении персональных данных клиентов и сотрудников компании - федеральным законом Российской Федерации от 27 июля 2006 г. №149 - ФЗ "Об информации, информационных технологиях и о защите информации"
В сфере защиты информации ПАО "МегаФон" руководствуется следующими нормативно-правовыми актами:
1) Конституция Российской Федерации.
2) Федеральный закон от 19.12.2005 №160-ФЗ "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
3) Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".
4) Постановление Правительства Российской Федерации от 17.11.2007 №781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
5) Постановление Правительства Российской Федерации от 15.09.2008 №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
6) Постановление Правительства Российской Федерации от 06.07.08 №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
7) Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 №55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".
8) Приказ Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных".
9) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2010 г.
10) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
11) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144
12) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.
13) Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации"
14) Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.1995 года, №334.
15) Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных", принят Верховным Советом РФ 23.09.1992 года, №3523-1.
16) Закон Российской Федерации "О правовой охране топологий интегральных микросхем", принят Верховным Советом РФ 23.09.1992 года, №3526-1.
17) Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" №188 от 06.03.1997 года.
18) Постановление Правительства Российской Федерации "О сертификации средств защиты информации" (с изменениями от 23 апреля 1996 года) №608 от 26.06.1995 года.
На основе всех перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ПАО "МегаФон". Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации включает в себя комплекс внутренней нормативно-организационной документации, в которую входят такие документы организации,такие как:
- Устав;
- коллективный трудовой договор;
- трудовые договоры с сотрудниками компании-оператора;
- правила внутреннего распорядка персонала компании;
- должностные обязанности руководителей, специалистов и служащих компании;
- инструкции пользователей информационно-вычислительных сетей и баз данных;
- инструкции администраторов БД и ИВС;
- положение о подразделении по защите информации, в составе службы безопасности;
- инструкции сотрудников, допущенных к защищаемым сведениям;
- инструкции сотрудников, ответственных за защиту информации;
- памятка сотрудника о сохранении коммерческой тайны;
- договорные обязательства [46].
Административный уровень.
Обмен данными разных типов внутри компании производятся в форме потоков информации. Принимая в расчет масштабы предприятия, целесообразно организовать оптимизированное и рациональное перемещение информационных потоков в системе. Оперативность выполнения каждым отделом, возложенных на него функций, а это говорит о том, что эффективность деятельности организации в целом, прямо зависит от хранения и обработки информации, а так же правильно налаженной работы систем передачи и регистрации.
Служба безопасности взаимодействует со всеми отделами ПАО «Мегафон».
В первую очередь осуществляется анализ, сбор и регулирование доступа к данным, необходимым в защите. В этом направлении особое внимание нужно обратить на связи с такими отделами как:
- отдел администрирования и коммутации информационных потоков, основное направление – работа с системами скремблирования полезного трафика в сети.
- отдел биллинговых систем – контроль доступа к персональным данным клиентов; контроль над транзакциями внутри системы биллинга.
- отдел бухгалтерского учета и аудита – работа с информацией о финансовой стороне деятельности компании;
- отдел кадров – проверка сведений, предоставляемых вновь прибывшими сотрудниками, разграничение прав доступа персонала на различных уровнях функционирования компании;
Административный отдел организации поддерживает двусторонний обмен информационными потоками с каждым направлением компании, для выполнения своих прямых функций по координированию работы между направлениями в составе единой инфраструктуры. Передаваемые данные, в своем большинстве носят характер директив, отчетов и протоколов о проведенных мероприятиях и возникших внештатных ситуациях, работа с персональными данными в данном случае сведена к минимуму. Наиболее плотное взаимодействие осуществляется с отделом маркетинга и рекламы и отделом планирования [47].
Дополнительно, осуществляется обмен данными с управляющим аппаратом компании, в лице исполнительного директора по области или его заместителя. По запросу, административный отдел передает информацию о своей деятельности или деятельности других отделов, в форме отчетов, службе безопасности, о чем было упомянуто ранее.
Отдел администрирования и коммутации информационных потоков обрабатывает и генерирует два типа данных по функциям:
- статистическая информация – направляется в отдел мониторинга, представляет собой данные об объемах предоставленных клиентам фирмы сервисов;
- данные и команды управления – обрабатываются и принимаются из отдела биллинговых систем, являют собой информацию о состоянии персональных счетов абонентов, и разрешение на предоставление телекоммуникационного ресурса для оказания тех или иных услуг.
Отдел биллинговых систем в результате своей основной деятельности задействует информационные потоки со следующими отделами: отдел администрирования и коммутации информационных потоков; отдел бухгалтерского учета и аудита.
Основной поток информации, нужный для эффективной работы подразделения, поступает из отдела мониторинга. Данные носят исключительно статистический характер, без привязки к персональному идентификатору абонента, и его персональным данным [48].
Отдел бухгалтерского учета и аудита обрабатывает сведения о финансовой стороне деятельности компании, сведения о размере прибыли и себестоимости предоставленных услуг связи, и другие сведения экономического аспекта фирмы. Активное взаимодействие ведется со следующими структурными единицами:
- отдел биллинговых систем – учет количества и стоимости затраченных телекоммуникационных ресурсов по типам предоставляемых сервисов, сбор информации об объемах предоставленных услуг, количестве выведенных и введенных из системы средств;
- отдел кадров – получение информации о штате сотрудников фирмы, занимаемых должностях, рабочем времени, для проведения расчетов с персоналом за объем выполненной работы;
- служба безопасности – предоставление данных о результатах проведенных аудитов средств и материально-технической базы предприятия;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
