Описание объекта защиты информации

Введение

программный угроза информационный безопасность

Информационные ресурсы в современном обществе являются наиболее значимыми, но при этом, очень уязвимыми т.к. механизм их распространения становится все более гибким и количество возможностей их передачи растет. В связи с этим информационная безопасность - одно из важнейших условий функционирования любой структуры, будь то государственное учреждение или частное предприятие.

Целями преддипломной практики являются:

·   сбор материала, необходимого для выполнения ВКР;

·   приобретение профессионального опыта;

·   овладение производственными навыками, необходимыми в экспериментально-исследовательской, проектной, организационно-управленческой и эксплуатационной деятельности;

·   проверка готовности будущих специалистов к самостоятельной трудовой деятельности.

Задачами преддипломной практики является практическое применение:

·   методов количественного анализа процессов обработки, поиска и передачи информации;

·   методов моделирования с учетом их иерархической структуры и оценки пределов применимости полученных результатов;

·   методов обработки и анализа экспериментальных данных;

·   методики отнесения информации к государственной и другим видам тайны и ее засекречивания;

·   методики выявления и анализа потенциально существующих угроз безопасности информации, составляющей государственную и другие виды тайны;

·   методов анализа и оценки риска, методов определения размеров возможного ущерба вследствие разглашения сведений, составляющих государственную и другие виды тайны;

·   методов организации и моделирования комплексной системы защиты информации, составляющей государственную и другие виды тайны;

·   методов управления комплексной системой защиты информации, составляющей государственную или другие виды тайны;

·   методов организации и управления службами защиты информации.

 

 

Описание объекта защиты информации

Территориальное расположение, режим функционирования объекта защиты информации

 

Предприятие представляет собой 3-этажное панельно-кирпичное здание с подвалом, находящееся по адресу ул. Пролетарская, 12 (Рисунок А1). В здании имеются арендаторы: ОАО «Промсвязьбанк», расчетно-кассовый центр системы «Город», ООО «Телекомсервис». С северо-запада прилегает 4-этажное административное здание, в котором расположено представительство компании «Delphi» - американский производитель автокомплектующих. С юго-востока прилегает 5-этажное административное здание, в котором расположены следующие организации: Иркутский областной радиотелевизионный передающий центр, Иркутский центр восстановительной медицины ООО «Байкал-Сигнал», расчетно-кассовый центр системы «Город». С запада находится внутренний охраняемый двор, в 60 метрах находится 4-этажное здание Управления Федеральной почтовой связи Иркутской области. С северо-востока в 160 метрах расположено здание цирка.

Пропускной режим: по служебным удостоверениям. Внутриобъектовый режим: рабочий день с 8.00 до 17.00.

Основным подразделением, ответственным за информационную безопасность на предприятии является отдел информационной безопасности.

 

Основные угрозы ИБ

 

В организации имеется Политика информационной безопасности [2], в которой определены основные угрозы защищаемых ресурсов:

Внешние угрозы:

·   Атаки из внешних информационных сред на аппаратно-программные и технические комплексы и информационные активы Общества, в том числе компьютерные вирусы;

·   Катастрофы и неблагоприятные события природного и техногенного характера;

·   Террористические акты;

·   Зависимость от монопольных поставщиков аппаратно-программных и технических средств, расходных материалов, услуг и т.п.

Внутренние угрозы:

·   Невыполнение (или неполное выполнение) сотрудниками Общества и привлеченным персоналом, в т.ч. консультантами и специалистами фирм, привлекаемых в рамках аутсорсинга, установленных технических и/или технологических регламентов;

·   Несанкционированная деятельность (включая ошибки) персонала и пользователей информационных систем, приводящая к уменьшению уровня защищенности, т.е. снижению количества (или изменению состава) выполненных требований по защите информационных систем, необходимого для отнесения данных систем к тому или иному классу защищенности информационных систем;

·   Нецелевое использование информационных активов, средств вычислительной техники и сетей передачи данных Общества;

·   Несанкционированный доступ к информационным активам (чтение, копирование, публикация, искажение, частичное или полное уничтожение, ввод ложной информации и т.п.);

·   Сбои, отказы.

 

Правовая защита информации

 

Защита информации в РФ осуществляется на основании федеральных законодательных нормативных актов (Приложение В).

В организации также имеются следующие основные документы:

·   Политика информационной безопасности ОАО «Ростелеком»;

·   Политика использования корпоративной электронной почты;

·   Политика использования паролей;

·   Политика использования ресурсов сети Интернет;

·   Политика использования съемных носителей информации;

·   Политика мониторинга использования информационных систем;

·   Политика управления доступом к информационным активам ОАО «Ростелеком»;

·   Положение о режиме коммерческой тайны в ОАО «Ростелеком»;

·   Положение об обработке и защите персональных данных работников ОАО «Ростелеком»;

·   Положение об Экспертной комиссии по отнесению информации к информации, составляющей коммерческую тайну;

·   Процедура инвентаризации учетных записей в информационных системах ОАО «Ростелеком»;

·   Процедура по обращению с информацией, составляющей коммерческую тайну;

·   Инструкция о порядке учёта материальных носителей информации с ограничительными грифами «Для служебного пользования», «Конфиденциально» и «Коммерческая тайна».

 

Заключение

 

С точки зрения правовой защиты информации, объект защищен в соответствии с обрабатываемой информацией. В организации имеются нормативные документы, регулирующие отношения в сфере обработки, передачи и хранения конфиденциальной информации и персональных данных, а также по мере необходимости разрабатываются новые и вносятся поправки в устаревшие документы в соответствии с современными требованиями.

С точки зрения технической защиты, в целом, объект защищен в соответствии с характером используемой информации, но необходима установка пропускной и внутриобъектовой систем на базе приборов НПО «Болид», АРМ «Орион», а также установка видеорегистратора, дополнительных видеокамер для усовершенствования СКУД (Система контроля и управления доступом) и СОТН (Система охранного теленаблюдения).

С точки зрения криптографической защиты объект защищен в соответствии с характером используемой информации.

В целом, СЗИ на предприятии налажена и соответствует характеру обрабатываемой информации и требованиям стандартов. Режимы, установленные на предприятии, соблюдаются.

Главной выявленной проблемой является отсутствие защищенного электронного документооборота как такового, а именно ЭП. Необходимо внедрить ЭП для упрощения процедуры документационного взаимодействия между филиалами предприятия, а также со сторонними организациями.

 

 

Библиографический список

 

1. Иркутский филиал [Электронный ресурс] / Официальный сайт ОАО «Ростелеком» // http://www.rostelecom.ru/about/branches/siberia/about/branches/irkutsk/.

2. Политика информационной безопасности ОАО «Ростелеком» от 31.10. 2008 г. № 426 (редакция 1).

.   Перечень информации, составляющей КТ № 07 от 30.05.2012.

.   Илья Евсеев. Электронное издание «Lotus Notes для пользователя» [Электронный ресурс] // http://ilya-evseev.narod.ru/lotus/book/00_lnotes.html.

.   Руководство пользователя ЕСЭД «Ростелеком» от 22.09.2012г.

.   Инструкция по ведению внутреннего и входящего электронного документооборота в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 2) от «19» апреля 2011г. № 39.

.   Инструкция по ведению исходящего электронного документооборота в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 2) 2013г.

.   Инструкция по контролю исполнения документов с использованием ЕСЭД в Макрорегионе «Сибирь» ОАО «Ростелеком» (Редакция 1) от 19.02.2013г. № 01/07/92-13.

.   Политика использования корпоративной электронной почты в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 1) от 30.09.2011г. №459.1.

Введение

программный угроза информационный безопасность

Информационные ресурсы в современном обществе являются наиболее значимыми, но при этом, очень уязвимыми т.к. механизм их распространения становится все более гибким и количество возможностей их передачи растет. В связи с этим информационная безопасность - одно из важнейших условий функционирования любой структуры, будь то государственное учреждение или частное предприятие.

Целями преддипломной практики являются:

·   сбор материала, необходимого для выполнения ВКР;

·   приобретение профессионального опыта;

·   овладение производственными навыками, необходимыми в экспериментально-исследовательской, проектной, организационно-управленческой и эксплуатационной деятельности;

·   проверка готовности будущих специалистов к самостоятельной трудовой деятельности.

Задачами преддипломной практики является практическое применение:

·   методов количественного анализа процессов обработки, поиска и передачи информации;

·   методов моделирования с учетом их иерархической структуры и оценки пределов применимости полученных результатов;

·   методов обработки и анализа экспериментальных данных;

·   методики отнесения информации к государственной и другим видам тайны и ее засекречивания;

·   методики выявления и анализа потенциально существующих угроз безопасности информации, составляющей государственную и другие виды тайны;

·   методов анализа и оценки риска, методов определения размеров возможного ущерба вследствие разглашения сведений, составляющих государственную и другие виды тайны;

·   методов организации и моделирования комплексной системы защиты информации, составляющей государственную и другие виды тайны;

·   методов управления комплексной системой защиты информации, составляющей государственную или другие виды тайны;

·   методов организации и управления службами защиты информации.

 

 

Описание объекта защиты информации