В ходе проведения работы была проанализирована организационная структура предприятия, идентифицированы активы, подлежащие защите, составлены перечни угроз и уязвимостей. С помощью детальной стратегии анализа рисков были выявлены наиболее существенные уязвимости для дальнейшей разработки мер по их устранению.
В итоге был разработан ряд рекомендаций и предложений, включающих организационные и технические мероприятия по защите информации, в том числе разработана политика информационной безопасности и сопутствующий пакет нормативно-методической документации, спроектированы системы контроля и управления доступом, система видеонаблюдения и также была предложена к внедрению система предотвращения утечек конфиденциальной информации.
Введение 6
1 Обеспечение информационной безопасности 8
2 Цели, стратегия и политика безопасности информационных технологий 9
3 Основные варианты стратегии анализа риска организации 11
3.1 Базовый подход 12
3.2 Неформальный подход 13
3.3 Детальный анализ риска 14
3.4 Комбинированный подход 15
3.4.1 Установление границ рассмотрения 16
3.4.2 Идентификация активов 17
3.4.3 Оценка активов и установление зависимости между активами 18
3.4.4 Оценка угроз 20
3.4.5 Оценка уязвимости 22
3.4.6 Идентификация существующих/планируемых защитных мер 23
3.4.7 Оценка рисков 24
4 Общие сведения и характеристика предприятия 26
4.1 Цели, задачи и виды деятельности предприятия 26
4.2 Организационная структура и функционал должностных лиц предприятия
.............................................................................................................................. 26
4.3 Информационно-вычислительная система предприятия 28
5 Определение информационных ресурсов, нуждающихся в защите 33
5.1 Классификация информационных ресурсов 33
5.2 Перечни ресурсов организации, подлежащих защите 34
5.3 Оценка активов 35
6 Оценка угроз 37
6.1 Угрозы утечки информации по техническим каналам 37
6.2 Угрозы несанкционированного доступа к информации 38
6.2.1 Угрозы уничтожения, хищения аппаратных средств, носителей информации путем физического доступа к элементам информационной
системы 39
6.2.2 Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа с
применением программно-аппаратных и программных средств (в том числе программно-математических воздействий) 41
6.2.3 Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИС и СЗ в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного и
стихийного характера 43
6.2.4 Угрозы преднамеренных действий внутренних и внешних
нарушителей 45
6.2.5 Угрозы несанкционированного доступа по каналам связи 45
7 Оценка уязвимостей 54
7.1 Среда и инфраструктура 54
7.2 Аппаратное обеспечение 54
7.3 Программное обеспечение 55
7.4 Коммуникации 58
7.5 Документы 59
7.6 Персонал 60
8 Оценка рисков 62
9 Разработка организационных мероприятий по защите информации 63
9.1 Разработка Перечня сведений, составляющих коммерческую тайну и Положения о коммерческой тайне 64
9.2 Разработка Политики информационной безопасности предприятия 64
9.3 Разработка Соглашения о неразглашении коммерческой тайны 66
9.4 Разработка Положения о разрешительной системе доступа к
конфиденциальным документам 68
9.5 Разработка технологических регламентов и инструкций 72
9.6 Разработка Положения об обучении и проверке знаний по вопросам информационной безопасности 73
10 Разработка технических мер по защите информации 74
10.1 Система управления и контроля доступом 76
10.2 Система видеонаблюдения 77
10.3 Система предотвращения утечек конфиденциальной информации 79
10.4 Доработка групповых политик ActiveDirectory 81
11 Результаты проведенной работы 83
Заключение 85
Список сокращений 86
Список использованных источников 87
ПРИЛОЖЕНИЯ 89-135
1. Федеральный закон «Об информации, информационных технологиях и о защите информации» [Электронный ресурс] : федер. закон от 27.07.2006 г. № 149-ФЗ // Справочная правовая система «КонсультантПлюс». – Режим доступа: http://www.consultant.ru
2. Федеральный закон «О коммерческой тайне» [Электронный ресурс]
: федер. закон от 29.07.2004 г. N 98-ФЗ // Справочная правовая система
«КонсультантПлюс». – Режим доступа: http://www.consultant.ru
3. Федеральный закон «О персональных данных» [Электронный ресурс] : федер. закон от 27.07.2006 N 152-ФЗ // Справочная правовая система
«КонсультантПлюс». – Режим доступа: http://www.consultant.ru
4. Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» [Электронный ресурс] : указ президента РФ от 06.03.1997 г. № 188 // Справочная правовая система
«КонсультантПлюс». – Режим доступа: http://www.consultant.ru
5. ГОСТ Р ИСО/МЭК 13335-3-2007 Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий [Электронный ресурс] : Интернет-ресурс компании «АльтЭль». – Режим доступа: http://www.altell.ru/legislation/standards/13335-3.pdf
6. ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью [Электронный ресурс] : Интернет-ресурс «Информационная безопасность». – Режим доступа: http://info-ispdn.ru/zakon/GOST/3_Gost%2053152%20-17799- 2005.pdf
7. ГОСТ Р ИСО/МЭК 27001-2006 Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности [Электронный ресурс] : Интернет-сайт компании «АльтЭль». – Режим доступа: http://www.altell.ru/legislation/standards/27001-2006.pdf
8. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) [Электронный ресурс] : Решение Коллегии Гостехкомиссии России № 7.2/02.03.2001 г. – Режим доступа: http://www.rfcmd.ru/sphider/docs/InfoSec/RD_FSTEK_requirements.htm
9. Информация о продукте компании Смарт Лайн Инк DeviceLock DLP Suite [Электронный ресурс] : Интернет ресурс компании «Смарт Лайн Инк». – Режим доступа: http://www.devicelock.com