Исследование процессов защиты информации на предприятии ОАО «Мобильные ТелеСистемы»

 

Посторонние лица, которые могут быть нарушителями:

• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения);
• клиенты (представители организаций, граждане);
• посетители (приглашенные по какому-либо поводу);
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность предприятия);
• любые лица за пределами контролируемой территории.

 

Можно выделить несколько основных мотивов нарушений:

• безответственность;
• самоутверждение;
• вандализм;
• принуждение;
• месть;
• корыстный интерес;
• идейные соображения

 

При нарушениях, вызванных безответственностью, пользователь производит какие-либо разрушающие  действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев  это следствие некомпетентности или небрежности.

Некоторые пользователи считают получение  доступа к системным наборам  данных крупным успехом, затевая  своего рода игру "пользователь - против системы" ради самоутверждения либо в собственных глазах, либо в глазах коллег.

Нарушение безопасности организации может быть связано с принуждением (шантаж), местью, идейными соображениями или корыстными интересами пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему зашиты для доступа к хранимой, передаваемой и обрабатываемой информации и другим ресурсам организации.

По уровню знаний об автоматизированной системе нарушителей можно классифицировать следующим образом:

• знает функциональные особенности автоматизированной системы, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
• обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
• знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.

По уровню возможностей (используемым методам  и средствам):

• применяющий только агентурные методы получения сведений;
• применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);
• использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

 

По времени  действия:

• в процессе функционирования автоматизированной системы (во время работы компонентов системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
• как в процессе функционирования автоматизированной системы, так и в период неактивности компонентов системы.

 

По месту  действия:

• без доступа на контролируемую территорию организации;
• с контролируемой территории без доступа в здания и сооружения;
• внутри помещений, но без доступа к техническим средствам автоматизированной системы;
• с рабочих мест конечных пользователей (операторов) автоматизированной системы;
• с доступом в зону данных (серверов баз данных, архивов и т.п.);
• с доступом в зону управления средствами обеспечения безопасности автоматизированной системы.

 

Могут учитываться  следующие ограничения и предположения  о характере действий возможных  нарушителей:

• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
• нарушитель, планируя попытки несанкционированного доступа, скрывает свои несанкционированные действия от других сотрудников.

 

Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические  возможности, априорные знания, время  и место действия и т.п. характеристики – важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.

 

 

 

 

 

 

 

 

 

 

2 ИССЛЕДОВАНИЕ ПРОЦЕССОВ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ОАО «МОБИЛЬНЫЕ ТЕЛЕСИСТЕМЫ».

 

 

2.1 Исследование политики безопасности предприятия.

 

Политика  безопасности — это документ "верхнего" уровня, в котором должно быть указано:

• ответственные лица за безопасность функционирования фирмы;
• полномочия и ответственность отделов и служб в отношении безопасности;
• организация допуска новых сотрудников и их увольнения;
• правила разграничения доступа сотрудников к информационным ресурсам;
• организация пропускного режима, регистрации сотрудников и посетителей;
• использование программно-технических средств защиты;
• другие требования общего характера.

 

Таким образом, политика безопасности – это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.

Например, в политике может быть указано, что  все прибывающие на территорию фирмы  сдают мобильные телефоны вахтеру (такие требования встречаются в  некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконтролировать? К  чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что  можно запретить использование  на территории мобильных телефонов  сотрудникам фирмы, при условии достаточного количества стационарных телефонов.

Особое  внимание в политике безопасности надо уделить разграничению зоны ответственности  между службой безопасности и IT-службой  предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической  грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь "творческими" личностями, как правило, стараются  игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников. Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

Для защиты информации на предприятии ОАО «Мобильные ТелеСистемы» разработана система  защиты информации (СЗИ). Выделяют следующие элементы СЗИ:

• Нормативно-правовой элемент ЗИ – это специальные законы, другие нормативные акты, правила, процедуры и мероприятия. Обеспечивающие защиту информации на правовой основе. На данном предприятии существуют: ветеринарно-санитарные правила, правила пожарной безопасности, правила внутреннего распорядка;
• Организационный элемент ЗИ – включает регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающую или ослабляющую нанесение, какого – либо ущерба исполнителям. На данном предприятии имеется шлагбаум при въезде на территорию, въезд осуществляется только по пропускам, на окнах первого этажа имеются решетки, ведется видеонаблюдение за всей территорией предприятия;
• Инженерно-технический элемент ЗИ – это использование различных инженерно-технических средств, препятствующих нанесению ущерба защищаемой информации;
• Программно-аппаратный элемент ЗИ – это все программные и автоматизированные системы обработки данных обеспечивающие сохранность и конфиденциальность информации.

 

 

2.2 Нормативно-правовой элемент  защиты информации на предприятии  ОАО «Мобильные ТелеСистемы».

 

Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных  государством в отношении определенных сфер жизни и деятельности.

Правовой  элемент системы организации  защиты информации на предприятии ОАО «Мобильные ТелеСистемы» основывается на нормах информационного права и имеет юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации.

Этот  элемент включает:

• наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;
• формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
• разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

 

В числе  основных подсистем защиты информации в правовом плане можно считать:

• установление на объекте режима конфиденциальности;
• разграничение доступа к информации;
• правовое обеспечение процесса защиты информации;
• четкое выделение конфиденциальной информации как основного объекта защиты.

 

Опираясь  на государственные правовые акты на уровне ОАО «Мобильные ТелеСистемы», разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности.

К таким  документам относятся:

1. Политика Информационной безопасности;
2. Положение о коммерческой тайне;
3. Положение о защите персональных данных;
4. Перечень сведений, составляющих конфиденциальную информацию;
5. Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
6. Положение о специальном делопроизводстве и документообороте;
7. Обязательство сотрудника о сохранении конфиденциальной информации;
8. Памятка сотруднику о сохранении коммерческой тайны.

 

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.

 

 

2.3 Организационный элемент защиты информации на

  ОАО «Мобильные ТелеСистемы».

 

Организационная защита информации на предприятии —  регламентация производственной деятельности и взаимоотношений субъектов (сотрудников  предприятия) на нормативно-правовой основе, исключающая или ослабляющая  нанесение ущерба данному предприятию.

Организационная защита информации:

• Организация работы с персоналом;
• Организация внутриобъектового и пропускного режимов и охраны;
• Организация работы с носителями сведений;
• Комплексное планирование мероприятий по защите информации;
• Организация аналитической работы и контроля.