Описание системы информационной безопасности фирмы

Рассмотрим основные направления деятельности подразделений Службы корпоративной защиты ОАО "Газпром":

- разработка целевых программ по развитию систем и комплексов инженерно-технических средств охраны (ИТСО), систем обеспечения информационной безопасности (ИБ) ОАО "Газпром" и его дочерних обществ и организаций, участие в формировании инвестиционной программы, направленной на обеспечение информационно-технической безопасности;

- реализация полномочий заказчика работ по развитию систем обеспечения ИБ, а также систем и комплексов ИТСО;

- рассмотрение и согласование бюджетных заявок и бюджетов на осуществление мероприятий по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также на создание ИТ в части систем защиты информации;

- рассмотрение и согласование проектной и предпроектной документации по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также технических заданий на создание (модернизацию) информационных систем, систем связи и телекоммуникаций в части требований по обеспечению информационной безопасности;

- организация работ по оценке соответствия систем и комплексов ИТСО, систем обеспечения И Б (а также работ и услуг по их созданию) установленным требованиям;

- координация и контроль выполнения работ по технической защите информации.

В "Газпроме" создана система, обеспечивающая защиту персональных данных. Однако принятие федеральными органами исполнительной власти ряда нормативных правовых актов в развитие действующих законов и постановлений правительства обуславливает необходимость совершенствования действующей системы защиты ПД. В интересах решения указанной задачи в рамках научно-исследовательских работ разработан и проходит согласование целый ряд документов. Прежде всего, это проекты стандартов организации Развития Газпром:

- "Методика проведения классификации информационных систем персональных данных ОАО "Газпром", его дочерних обществ и организаций";

- "Модель угроз персональным данным при их обработке в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций".

Данные документы разработаны с учетом требований Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" применительно к классу специальных систем, к которым относится большая часть ИСПДн ОАО "Газпром".

Кроме того, в настоящее время ведется разработка "Положения по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций".

Следует отметить, что в рамках системы стандартизации ОАО «Газпром» разработаны стандарты системы обеспечения информационной безопасности, которые также позволят решать задачи защиты ПД, обрабатываемых в информационных системах ОАО «Газпром».

Семь стандартов, относящихся к системе обеспечения информационной безопасности, утверждены и вводятся в действие в текущем году.

В стандартах определены основные требования по построению систем обеспечения информационной безопасности ОАО «Газпром» и его дочерних организаций.

Результаты проделанной работы позволят более рационально использовать материальные, финансовые и интеллектуальные ресурсы, сформировать необходимое нормативно-методическое обеспечение, внедрить эффективные средства защиты и, как следствие, обеспечить защищенность персональных данных, обрабатываемых в информационных системах ОАО «Газпром».

В результате проведения анализа информационной безопасности ОАО «Газпром» были выявлены следующие недостатки в обеспечении безопасности информации:

- в организации отсутствует единый документ, регулирующий комплексную политику безопасности;

- учитывая размеры сети и количество пользователей (более 100), следует отметить, что системным администрированием, обеспечением информационной безопасности и технической поддержки занимается один человек;

- отсутствует классификация информационных активов по степени важности;

- роли и обязанности по информационной безопасности не включены в должностные инструкции;

- в заключаемом с сотрудником трудовом договоре отсутствует пункт об обязанностях по информационной безопасности как трудоустраивающихся, так и самой организации;

- обучение персонала в области защиты информации не проводится;

- с точки зрения защиты от внешних угроз: не разработано типичных процедур поведения для восстановления данных после несчастных случаев, произошедших в результате внешних и экологических угроз;

- серверная не является отдельным помещением, за помещением закреплен статус двух отделов (в серверную, кроме системного администратора, имеет доступ еще один человек);

- не проводится техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям;

- несмотря на то, что вход осуществляется по электронным пропускам и вся информация поступает в специальную базу данных, ее анализ не проводится;

- не ведутся записи о предполагаемых и фактических сбоях оборудования;

- с точки зрения защиты от вредоносных программ: отсутствует формальная политика по защите от рисков, связанных с получением файлов как из внешних сетей или посредством них, так и содержащихся на сменных носителях;

- с точки зрения защиты от вредоносных программ: отсутствуют руководящие процедуры по защите локальной сети от вредоносного кода;

- отсутствует контроль трафика, имеется доступ к почтовым серверам внешних сетей;

- все резервные копии хранятся в серверной;

- используются небезопасные, легко запоминающиеся пароли;

- получение паролей пользователями никак не подтверждается;

- пароли в открытом виде хранятся у администратора;

- пароли не меняются;

-не существует порядка сообщения о событиях информационной безопасности.

Таким образом, на основании этих недостатков, был разработан набор регламентов в отношении политики информационной безопасности, включающий:

- политику в отношении приема на работу (увольнению) и наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;

- политику в отношении работы пользователей сети в процессе её эксплуатации;

- политику по организации парольной защиты;

- политику по организации физической защиты;

- политику по работе с сетью Интернет;

- а также административные меры по обеспечению безопасности.

Документы, содержащие указанные регламенты, находятся на стадии рассмотрения руководством организации.