Система информационной безопасности

Чистая выручка от продажи газа в Российской Федерации выросла на 64 861 млн. руб., или на 15%., по сравнению с аналогичным периодом прошлого года, и составила 502 271 млн. руб. В основном, это объясняется ростом средней цены на газ на 13% по сравнению с аналогичным периодом прошлого года, что связано с ростом тарифов, устанавливаемых Федеральной службой по тарифам (ФСТ).

Чистая выручка от продажи продуктов нефтегазопереработки (за вычетом акциза, НДС и таможенных пошлин) выросла на 213 012 млн. руб., или на 42%, и составила 717 723 млн. руб. по сравнению с аналогичным периодом прошлого года. В основном, данное увеличение объясняется ростом мировых цен на продукты нефтегазопереработки и увеличением реализованных объемов по сравнению с аналогичным периодом прошлого года. Выручка Группы Газпром нефть составила 85% и 84% в общей сумме чистой выручки от продажи продуктов нефтегазопереработки, соответственно.

Чистая выручка от продажи электрической и тепловой энергии (за вычетом НДС) выросла на 38 097 млн. руб., или на 19% и составила 237 545 млн. руб. Увеличение выручки от продажи электрической и тепловой энергии, в основном, объясняется ростом тарифов на электрическую и тепловую энергию, а также увеличением объемом реализации электрической и тепловой энергии.

Чистая выручка от продажи сырой нефти и газового конденсата (за вычетом акциза, НДС и таможенных пошлин) выросла на 23 072 млн. руб., или на 16%, и составила 164 438 млн. руб. по сравнению с 141 366 млн. руб. за аналогичный период прошлого года. В основном, изменение вызвано ростом цены на нефть и газовый конденсат. Кроме этого, изменение было вызвано увеличением объема продажи газового конденсата. Выручка от продажи сырой нефти составила 133 368 млн. руб. и 121 675 млн. руб. в чистой выручке от продажи сырой нефти и газового конденсата (за вычетом акциза, НДС и таможенных пошлин) 2011 и 2010 гг., соответственно.

Чистая выручка от продажи услуг по транспортировке газа (за вычетом НДС) выросла на 15 306 млн. руб., или на 23%, и составила 82 501 млн. руб., по сравнению с 67 195 млн. руб. за аналогичный период прошлого года. Такой рост объясняется, главным образом, увеличением тарифов на транспортировку газа для независимых поставщиков, а также увеличением объ?мов транспортировки газа для независимых поставщиков по сравнению с аналогичным периодом прошлого года.

Прочая выручка выросла на 19 617 млн. руб., или на 22%, и составила 107 119 млн. руб. по сравнению с 87 502 млн. руб. за аналогичный период прошлого года.

Расход по торговым операциям без фактической поставки составил 837 млн. руб. по сравнению с доходом в размере 5 786 млн. руб. за аналогичный период прошлого года.

Что касается операционных расходов, они увеличились на 23% и составили 2 119 289 млн. руб. по сравнению с 1 726 604 млн. руб. за аналогичный период прошлого года. Доля операционных расходов в выручке от продаж уменьшилась с 69% до 64% .

Расходы на оплату труда увеличились на 18% и составили 267 377 млн. руб. по сравнению с 227 500 млн. руб. за аналогичный период прошлого года. Увеличение, в основном, объясняется ростом средней заработной платы.

Амортизация за анализируемый период увеличилась на 9% или на 17 026 млн. руб., и составила 201 636 млн. руб., по сравнению с 184 610 млн. руб. за аналогичный период прошлого года. Увеличение, в основном, было связано с расширением базы основных средств.

В результате указанных выше факторов прибыль от продаж выросла на 401 791 млн. руб., или на 52%, и составила 1 176 530 млн. руб. по сравнению с 774 739 млн. руб. за аналогичный период прошлого года. Маржа прибыли от продаж увеличилась с 31% до 36% за девять месяцев, закончившихся 30 сентября 2011 г.

Таким образом, ОАО «Газпром» -- глобальная энергетическая компания. Основные направления деятельности -- геологоразведка, добыча, транспортировка, хранение, переработка и реализация газа, газового конденсата и нефти, а также производство и сбыт тепло- и электроэнергии. Финансовое состояние компании стабильно. Показатели деятельности имеют положительную динамику.

2.2 Описание системы информационной безопасности фирмы

Рассмотрим основные направления деятельности подразделений Службы корпоративной защиты ОАО "Газпром":

- разработка целевых программ по развитию систем и комплексов инженерно-технических средств охраны (ИТСО), систем обеспечения информационной безопасности (ИБ) ОАО "Газпром" и его дочерних обществ и организаций, участие в формировании инвестиционной программы, направленной на обеспечение информационно-технической безопасности;

- реализация полномочий заказчика работ по развитию систем обеспечения ИБ, а также систем и комплексов ИТСО;

- рассмотрение и согласование бюджетных заявок и бюджетов на осуществление мероприятий по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также на создание ИТ в части систем защиты информации;

- рассмотрение и согласование проектной и предпроектной документации по развитию систем обеспечения ИБ, систем и комплексов ИТСО, а также технических заданий на создание (модернизацию) информационных систем, систем связи и телекоммуникаций в части требований по обеспечению информационной безопасности;

- организация работ по оценке соответствия систем и комплексов ИТСО, систем обеспечения И.Б (а также работ и услуг по их созданию) установленным требованиям;

- координация и контроль выполнения работ по технической защите информации.

В "Газпроме" создана система, обеспечивающая защиту персональных данных. Однако принятие федеральными органами исполнительной власти ряда нормативных правовых актов в развитие действующих законов и постановлений правительства обуславливает необходимость совершенствования действующей системы защиты ПД. В интересах решения указанной задачи в рамках научно-исследовательских работ разработан и проходит согласование целый ряд документов. Прежде всего, это проекты стандартов организации Развития Газпром:

- "Методика проведения классификации информационных систем персональных данных ОАО "Газпром", его дочерних обществ и организаций";

- "Модель угроз персональным данным при их обработке в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций".

Данные документы разработаны с учетом требований Постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" применительно к классу специальных систем, к которым относится большая часть ИСПДн ОАО "Газпром".

Кроме того, в настоящее время ведется разработка "Положения по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных ОАО "Газпром", его дочерних обществ и организаций".

Следует отметить, что в рамках системы стандартизации ОАО «Газпром» разработаны стандарты системы обеспечения информационной безопасности, которые также позволят решать задачи защиты ПД, обрабатываемых в информационных системах ОАО «Газпром».

Семь стандартов, относящихся к системе обеспечения информационной безопасности, утверждены и вводятся в действие в текущем году.

В стандартах определены основные требования по построению систем обеспечения информационной безопасности ОАО «Газпром» и его дочерних организаций.

Результаты проделанной работы позволят более рационально использовать материальные, финансовые и интеллектуальные ресурсы, сформировать необходимое нормативно-методическое обеспечение, внедрить эффективные средства защиты и, как следствие, обеспечить защищенность персональных данных, обрабатываемых в информационных системах ОАО «Газпром».

В результате проведения анализа информационной безопасности ОАО «Газпром» были выявлены следующие недостатки в обеспечении безопасности информации:

- в организации отсутствует единый документ, регулирующий комплексную политику безопасности;

- учитывая размеры сети и количество пользователей (более 100), следует отметить, что системным администрированием, обеспечением информационной безопасности и технической поддержки занимается один человек;

- отсутствует классификация информационных активов по степени важности;

- роли и обязанности по информационной безопасности не включены в должностные инструкции;

- в заключаемом с сотрудником трудовом договоре отсутствует пункт об обязанностях по информационной безопасности как трудоустраивающихся, так и самой организации;

- обучение персонала в области защиты информации не проводится;

- с точки зрения защиты от внешних угроз: не разработано типичных процедур поведения для восстановления данных после несчастных случаев, произошедших в результате внешних и экологических угроз;

- серверная не является отдельным помещением, за помещением закреплен статус двух отделов (в серверную, кроме системного администратора, имеет доступ еще один человек);

- не проводится техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям;

- несмотря на то, что вход осуществляется по электронным пропускам и вся информация поступает в специальную базу данных, ее анализ не проводится;

- не ведутся записи о предполагаемых и фактических сбоях оборудования;

- с точки зрения защиты от вредоносных программ: отсутствует формальная политика по защите от рисков, связанных с получением файлов как из внешних сетей или посредством них, так и содержащихся на сменных носителях;

- с точки зрения защиты от вредоносных программ: отсутствуют руководящие процедуры по защите локальной сети от вредоносного кода;

- отсутствует контроль трафика, имеется доступ к почтовым серверам внешних сетей;

- все резервные копии хранятся в серверной;

- используются небезопасные, легко запоминающиеся пароли;

- получение паролей пользователями никак не подтверждается;

- пароли в открытом виде хранятся у администратора;

- пароли не меняются;

-не существует порядка сообщения о событиях информационной безопасности.

Таким образом, на основании этих недостатков, был разработан набор регламентов в отношении политики информационной безопасности, включающий:

- политику в отношении приема на работу (увольнению) и наделению (лишению) сотрудников необходимыми полномочиями по доступу к ресурсам системы;

- политику в отношении работы пользователей сети в процессе её эксплуатации;

- политику по организации парольной защиты;

- политику по организации физической защиты;

- политику по работе с сетью Интернет;

- а также административные меры по обеспечению безопасности.

Документы, содержащие указанные регламенты, находятся на стадии рассмотрения руководством организации.

2.3 Разработка комплекса мероприятий по модернизации существующей системы информационной безопасности

В результате анализа системы информационной безопасности ОАО «Газпром» были выявлены существенные уязвимости системы. Для разработки мероприятий с целью устранения выявленных недочетов системы безопасности выделим следующие группы сведений, которые подлежат защите:

- сведения о частной жизни сотрудников, позволяющие идентифицировать их личность (персональные данные);

- сведения, связанные с профессиональной деятельностью и составляющие банковскую, аудиторскую и тайну связи;

- сведения, связанные с профессиональной деятельностью и отмеченные как сведения «для служебного пользования»;

- информация, уничтожение или изменение которой отрицательно скажутся на эффективности работы, а восстановление потребует дополнительных затрат.

С точки зрения административных мер были разработы следующие рекомендации:

- система защиты информации должна соответствовать законодательству Российской Федерации и государственным стандартам;

- классификация и категорирование защищаемых информационных ресурсов и установление порядка доступа к ним должны быть закреплены в документах предприятия;

- здания и помещения, где установлены или хранятся средства обработки информации, производятся работы с защищаемой информацией, должны охраняться и быть защищены средствами сигнализации и пропускного контроля;

- проведение обучения персонала по вопросам информационной безопасности (объяснять важность парольной защиты и предъявляемых к паролю требований, проводить инструктаж по антивирусному ПО и т.п.) следует организовывать при приеме сотрудника на работу;

- каждые 6-12 месяцев проводить тренинги, направленные на повышение грамотности сотрудников в сфере информационной безопасности;

- аудит системы и корректировка разработанных регламентов должна проводиться ежегодно, 1 октября, или незамедлительно после внедрения серьезных изменений в структуру предприятия;

- права доступа каждого пользователя к информационным ресурсам должны оформляться документально (при необходимости доступ запрашивается у руководителя письменным заявлением);

-обеспечение политики информационной безопасности должны обеспечивать администратор по программному обеспечению и администратор по аппаратному обеспечению, их действия координируются начальником группы.

Сформулируем политику в отношении паролей:

- не хранить их в незашифрованном виде (не записывать их на бумагу, в обычный текстовый файл и т.п.);

- менять пароль в случае его разглашения или подозрения на разглашение;

- длина должна быть не менее 8 символов;

- в числе символов пароля должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы, пароль не должен включать в себя легко вычисляемые последовательности символов (имена, клички животных, даты);

- менять один раз в 6 месяцев (внеплановая замена пароля должна производиться немедленно после получения уведомления о происшествии, инициировавшем замену);

- при смене пароля нельзя выбирать те, которые использовались ранее (пароли должны отличаться, по меньшей мере, на 6 позиций).

Сформулируем политику в отношении антивирусных программ и обнаружения вирусов:

- на каждой рабочей станции должно быть установлено лицензионное антивирусное ПО;

- обновление антивирусных баз на рабочих станциях с выходом в Интернет - 1 раз в сутки, без выхода в Интернет - не реже 1 раза в неделю;

- установить автоматическую проверку рабочих станций на обнаружение вирусов (частота проверок - 1 раз в неделю: пятница, 12:00);

- прервать обновление антивирусных баз или проверку на вирусы может только администратор (следует установить на указанное действие пользователя парольную защиту).

Сформулируем политику в отношении физической защиты:

- техническое зондирование и физическое обследование на предмет несанкционированных устройств, подключенных к кабелям, проводить каждые 1-2 месяца;

- сетевые кабели должны быть защищены от несанкционированного перехвата данных;

- записи обо всех предполагаемых и действительных сбоях, произошедших с оборудованием должны сохраняться в журнале

- каждая рабочая станция должна быть снабжена источником бесперебойного питания.

Определим политику в отношении резервирования информации:

- для резервных копий следует отвести отдельное помещение, находящееся за пределами административного здания (помещение должно быть оборудовано электронным замком и сигнализацией);

- резервирование информации следует проводить каждую пятницу, в 16:00.

Политика в отношении приема/увольнения сотрудников должна иметь следующий вид:

- о любых кадровых изменениях (прием, повышение, увольнение сотрудника и т.п.) должно в течение 24 часов сообщаться администратору, который, в свою очередь, в срок, равный половине рабочего дня должен внести соответствующие изменения в систему разграничения прав доступа к ресурсам предприятия;

- новый сотрудник должен проходить инструктаж у администратора, включающий ознакомление с политикой безопасности и всеми необходимыми инструкциями, уровень доступа к информации новому сотруднику назначается руководителем;

- при увольнении сотрудника из системы удаляются его идентификатор и пароль, проводится проверка рабочей станции на наличие вирусов, анализ целостности данных, к которым у сотрудника имелся доступ.

Политика в отношении работы с локальной внутренней сетью (ЛВС) и базами данных (БД):

- при работе на своей рабочей станции и в ЛВС сотрудник должен выполнять только задания, непосредственно касающиеся его служебной деятельности;

- о сообщениях антивирусных программ о появлении вирусов сотрудник должен ставить в известность администратора;

- никому, кроме администраторов, не разрешается вносить изменения в конструкцию или конфигурацию рабочих станций и другие узлы ЛВС, производить установку любого программного обеспечения, оставлять без контроля рабочую станцию или допускать к ней посторонних лиц;

- администраторам рекомендуется постоянно держать запущенными две программы: утилиту обнаружения атаки ARP-spoofing и сниффер, использование которого позволит увидеть сеть глазами потенциального нарушителя, выявить нарушителей политики безопасности;

- следует установить ПО, препятствующее запуску других программ, кроме назначенных администратором, исходя из принципа: «Любому лицу предоставляются привилегии, необходимые для выполнения конкретных задач». Все неиспользуемые порты компьютера должны быть аппаратно или программно дезактивированы;

- ПО следует регулярно обновлять.

Политика в отношении работы с Интернет:

- за администраторами закрепляется право ограничивать доступ к ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а так же к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством;

- сотруднику запрещается загружать и открывать файлы без предварительной проверки на наличие вирусов;

- вся информация о ресурсах, посещаемых сотрудниками компании, должна сохраняться в журнале и, при необходимости, может быть предоставлена руководителям отделов, а также руководству

- конфиденциальность и целостность электронной корреспонденции и офисных документов обеспечивается за счёт использования ЭЦП.

Помимо этого, сформулируем основные требования к составлению паролей для сотрудников компании ОАО «Газпром».

Пароль - все равно что ключи от дома, только является ключом к информации. Для обычных ключей крайне нежелательно быть потерянными, украденными, переданными в руки незнакомого человека. То же самое и с паролем. Конечно, сохранность информации зависит не только от пароля, для ее обеспечения требуется установить целый ряд специальных настроек и, быть может, даже написать программу, защищающую от взлома. Но выбор пароля - это именно то действие, где только от пользователя зависит, насколько сильным будет это звено в цепи мер, направленных на защиту информации.

При выборе пароля следует руководствоваться следующими правилами:

1) пароль должен быть длинный (8-12-15 символов);

2) содержать как ЗАГЛАВНЫЕ, так и прописные латинские буквы;

3) содержать цифры;

4) не должен являться словом из словаря (любого, даже словаря специальных терминов и сленга), именем собственным или словом кириллицей, набранным в латинской раскладке (латынь - kfnsym);

5) его нельзя связать с владельцем;

6) он меняется периодически или по мере надобности;

7) не используется в этом качестве на различных ресурсах (т.е. для каждого ресурса - для входа в почтовый ящик, операционную систему или базу данных - должен использоваться свой, отличающийся от других, пароль);

8) его возможно запомнить.

Выбирать слова из словаря нежелательно, поскольку злоумышленник, проводя атаку «по словарю», будет пользоваться программами, способными перебирать до сотен тысяч слов в секунду.

Любая информация, связанная с владельцем (будь то дата рождения, кличка собаки, девичья фамилия матери и тому подобные «пароли»), может быть легко узнана и угадана.

Использование заглавных и прописных букв, а также цифр значительно усложняет задачу злоумышленника по подбору пароля.

Пароль следует хранить в секрете, а если вы заподозрите, что пароль стал кому-то известен, смените его. Также очень полезно менять их время от времени.

Заключение

Проведенное исследование позволило сделать следующие выводы и сформулировать рекомендации.

Установлено, что основной причиной проблем предприятия в области защиты информации является отсутствие политики обеспечения информационной безопасности, которая включала бы организационные, технические, финансовые решения с последующим контролем их реализации и оценкой эффективности.

Сформулировано определение политики информационной безопасности как совокупности закрепленных документально решений, целью которых является обеспечение защиты информации и связанных с ней информационных рисков.

Проведенный анализ системы информационной безопасности выявил существенные недостатки, в числе которых:

- хранение резервных копий в серверной, резервный сервер находится в одном помещении с основными серверами;

- отсутствие надлежащих правил в отношении парольной защиты (длина пароля, правила его выбора и хранения);

- администрированием сети занимается один человек.

Обобщение международной и российской практики в области управления информационной безопасностью предприятий позволило заключить, что для ее обеспечения необходимы:

- категорирование информации (на служебную или коммерческую тайну);

- прогнозирование и своевременное выявление угроз безопасности, причин и условий, способствующих нанесению финансового, материального и морального ущерба;

- создание условий деятельности с наименьшим риском реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий для эффективного реагирования на угрозы информационной безопасности на основе правовых, организационных и технических средств.

В первой главе работы рассмотрены основные теоретические аспекты. Дан обзор нескольких стандартов в области информационной безопасности. Сделаны выводы по каждому и в целом, и выбран наиболее подходящий стандарт для формирования политики ИБ.

Во второй главе рассмотрена структура организации, проанализированы основные проблемы связанные с информационной безопасностью. Как результат сформированы рекомендации по обеспечению должного уровня информационной безопасности. Так же рассмотрены меры для предотвращения дальнейших инцидентов, связанных с нарушением информационной безопасности.

Конечно, обеспечение информационной безопасности организации - это непрерывный процесс, требующий постоянного контроля. И естественно сформированная политика не является железным гарантом защиты. Помимо внедрения политики нужен постоянный контроль за ее качественным исполнением, а так же совершенствованием в случае каких-либо изменений в компании или прецедентов. Для организации рекомендовано было взять в штат так же сотрудника, деятельность которого будет напрямую связана с этими функциями (администратор защиты).

Список литературы

информационная безопасность финансовый вред

1. Белов Е.Б. Основы информационной безопасности. Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. -М.: Горячая линия - Телеком, 2006. - 544с

2. Галатенко В.А. Стандарты информационной безопасности: курс лекций. Учебное

пособие. - 2-ое издание. М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2009. - 264 с.

3. Глатенко В.А. Стандарты информационной безопасности / Открытые системы 2006.- 264с

4. Долженко А.И. Управление информационными системами: Учебный курс. - Ростов-на-Дону: РГЭУ, 2008.-125 с

5. Калашников А. Формирование корпоративной политики внутренней информационной безопасности http://www.bytemag.ru/?ID=612637

6. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации/ М.2009- 280с

7. Мэйволд Э., Безопасность сетей. Самоучитель // Эком, 2009.-528 с

8. Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И., Основы организационного обеспечения информационной безопасности объектов информатизации // Гелиос АРВ, 2008 г., 192 с

9. Тихонов В.А., Райх В.В., Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты // Гелиос АРВ, 2009г., 528 с

10. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. :М - ДМК Пресс, 2008. - 544 с

11. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с

12. Ярочкин В.И., Информационная безопасность: учебник для студентов вузов// -М.: Академический проект; Гаудеамус, 2-е изд., 2009 г., 544 с

Приложение 1. Бухгалтерский баланс за 2010г

Приложение 2. Бухгалтерский баланс за 2011г.

Размещено на Allbest.ru