Главная
База знаний "Allbest"
Программирование, компьютеры и кибернетика
Исследование процессов защиты информации в ОАО "Мегафон"
Исследование процессов защиты информации в ОАО "Мегафон"
Анализ организационной структуры ОАО "МегаФон". Информационные потоки отделов. Исследование процессов защиты информации отделов. Классификация информации по видам тайн. Модель нарушителя, каналы утечки информации. Исследование политики безопасности.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 07.08.2013 |
| Размер файла | 778,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ
ОРЕНБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ИНСТИТУТ МЕНЕДЖМНТА
Кафедра информационной безопасности
КУРСОВАЯ РАБОТА
по дисциплине "Теория информационной безопасности и методология защиты информации"
на тему: Исследование процессов защиты информации в ОАО "Мегафон"
Выполнила студентка
специальности "Организация и технология защиты информации”
М.Е. Белова
Руководитель работы
преподаватель кафедры информационной безопасности
Е.В. Заворитько
Оренбург 2012
Оглавление
- Введение
- Перечень сокращений и условных обозначений
- 1. Краткая характеристика ОАО "МегаФон"
- 1.1 Организационная структура ОАО "МегаФон"
- 1.2 Информационные потоки отделов ОАО "МегаФон"
- 2. Исследование процессов защиты информации отделов ОАО "мегаФон"
- 2.1 Классификация информации по видам тайн
- 2.2 Карта актуальных угроз для ИСПДн
- 2.3 Модель нарушителя
- 2.4 Каналы утечки информации
- 2.5 Политика безопасности
- 2.6 Исследование политики безопасности
- Исследование правового направления защиты информации
- Исследование организационного направления защиты информации
- Исследование инженерно-технического направления защиты информации
- Исследование программного направления защиты информации
- Заключение
- Библиографический список
Введение
Информация, в том или ином проявлении, является основой жизни и деятельности человека и общества. В случае же, когда речь об информации заходит в контексте рыночных отношений, те или иные данные представляют собой уже товар, цена которого превышает стоимость самых дорогих образцов продукции. Защита ее от изменения, уничтожения и кражи представляет собой все более сложную проблему. Сложность ее, прежде всего, обусловлена тем, что в условиях рынка и информационной открытости размывается граница между свободно распространяемой и закрытой информацией. Например, даже предприятия, выпускающие военную технику, вынуждены по законам рынка ее рекламировать, тем самым приоткрывая завесу секретности. Следовательно, защита информации представляет собой многоцелевую проблему, часть которой, порой даже не имеет четкой постановки.
Задача потенциального злоумышленника особенно упрощается в условиях повсеместного внедрения средств автоматизированной обработки информации. Степень автоматизации предприятия во многом определяет уровень его конкурентоспособности, однако, вместе с этим, является источником многочисленных угроз безопасности. Совершенно очевидно, что надежное обеспечение безопасности информации абсолютно немыслимо без реализации комплексного подхода к решению этой задачи.
Целью данной курсовой работы является исследование процессов защиты информации на предприятии, методов и подходов, используемых для обеспечения безопасного хранения, обработки и доступа к данным.
В качестве объекта исследования была выбрана компания ОАО "МегаФон". Основным видом деятельности организации является предоставление доступа к сервисам подвижной радиосвязи.
Объектом исследования является организация защиты информации в ОАО "МегаФон".
Предметом исследования являются процессы и средства защиты информации в ОАО "МегаФон".
В ходе выполнения курсовой работе были пройдены следующие этапы:
описание организационной структуры компании;
выявление потенциальных нарушителей;
определение каналов утечки информации;
анализ возможных угроз защиты информации;
исследование средств и методов защиты информации.
Наибольшее внимание уделено вопросам защиты информации, содержащей персональные данные, а также данные, относящиеся к коммерческой тайне. Среди направлений собственно практической реализации механизмов защиты информации, отдельно были выделены элементы организационно-правовой, инженерно-технической и программно-аппаратной защиты данных. Для каждого из перечисленных методов раскрыта суть, и техническая база для реализации на защищаемом объекте.
При проведении исследования использовались монографические, методологические, статистические методы.
В качестве информационной основы исследования были использованы законодательные акты и нормативно-правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения о коммерческой тайне и об обработке персональных данных в ОАО "МегаФон".
защита информация информационный поток
Перечень сокращений и условных обозначений
DLP - Data Loss Prevention
GSM - Groupe Special Mobile
АРМ - автоматизированное рабочее место
ВОЛС - волоконно-оптическая линия связи
ВТСС - вспомогательные технические средства и системы
ЗЭ - закладной элемент
ИСПДн - информационная система персональных данных
КТ - коммерческая тайна
ОАО - открытое акционерное общество
ОВУ - оптоволоконный узел
ПЭМИН - побочное электромагнитное излучение и наводки
СЗИ - система защиты информации
1. Краткая характеристика ОАО "МегаФон"
ОАО "МегаФон" - один из трех крупнейших сотовых операторов России. Это единственная компания, развернувшая собственную сеть и оказывающая весь спектр услуг мобильной связи на всей территории России. Помимо этого, дочерние компании "МегаФона" работают в Таджикистане, Абхазии и Южной Осетии. Точкой отсчета в истории "МегаФона" можно считать 17 июня 1993 года, когда в мэрии Санкт-Петербурга было зарегистрировано акционерное общество закрытого типа "Северо-Западный GSM".
В коммерческую эксплуатацию сеть GSM в Санкт-Петербурге была запущена в январе 1995 года. За первые 12 месяцев работы компания подключила 8 тысяч абонентов. С 1997 года компания начала экспансию в регионы северо-западной части России. В 1999 году "Северо-Западный GSM" первым среди российских операторов заключил роуминговые соглашения со всеми без исключения странами Европы. А к концу 2000 года абонентская база "Северо-Западного GSM" насчитывала больше 250 тысяч человек. В 2001 году у компании появилась первая зарубежная дочерняя компания - оператор "ТТ-мобайл" в Таджикистане. В том же году был дан зеленый свет и всероссийской экспансии: на базе "Северо-Западного GSM" было принято решение создать единый общероссийский сотовый оператор. В начале 2002 года компания отпраздновала подключение миллионного абонента, после чего акционеры решили дать компании новое имя - ОАО "МегаФон", а уже к концу 2002 года число пользователей выросло почти в три раза и достигло 2,8 млн человек. В последующие годы продолжается интенсивное развитие компании.
В 2007 году сеть "МегаФона" охватила всю территорию страны, и компания стала первым федеральным оператором сотовой связи. Кроме того, была получена лицензия на предоставление услуг связи третьего поколения в стандарте GSM и запущена первая в России коммерческая сеть 3G в Санкт-Петербурге. В рамках ее тестирования был совершен первый в Восточной Европе видеозвонок. В декабре 2008 года собрание акционеров ОАО "МегаФон" приняло решение о реорганизации компании путем присоединения дочерних обществ. Число абонентов превысило 43,2 миллиона.
Интернет-трафик в сетях "МегаФон" в 2009 году насчитывал 5 825 457 482 Mb, а в первом квартале 2010 года - уже 6 173 449 597 Mb. В общей сложности на долю абонентов "МегаФона" пришлось 39% всего интернет-трафика, сгенерированного российскими пользователями. Голосовой трафик абонентов "МегаФона" в 2009 году составил 151 944 601 тысяч минут, в первом квартале 2010 года - 42 046 959 тысяч минут.
В 2009 году было продано 964 тысяч 519 фирменных 3G-модемов, работающих в сети "МегаФон", а только за первые семь месяцев 2010 года продажи составили 1 миллион 225 тысяч 222 модема. У компании заключены роуминговые соглашения с 479 GSM-операторами из 209 стран. В то же время насчитывалось 1470 фирменных салонов "МегаФон", к концу 2010 года их количество составляло 2500, а 31 декабря 2011 года - 3000.
По итогам первого квартала 2010 года сеть "МегаФон" насчитывает 7200 базовых станций, поддерживающих 3G. Общее количество 2G/3G базовых станций составляет 16000. Базовые станции 3G есть во всех регионах Российской Федерации, на данный момент - это крупнейшая сеть третьего поколения в стране. Компания предоставляет услуги связи третьего поколения (3G) более чем в шестистах из 1099 российских городов: это 54,5% всех крупных населенных пунктов нашей страны. Протяженность волоконно-оптических линий связи (ВОЛС)"МегаФона" насчитывает 43,47 тысяч километров.
В июне 2010 года "МегаФон" приобрел 100% акций компании "Синтерра", что позволило укрепить собственную сетевую инфраструктуру и усилить позиции на рынках дальней связи, фиксированного и мобильного широкополосного доступа в интернет, а также конвергентных услуг. Число активных абонентов компании превышает 62 миллиона. В этом же году "МегаФон" открыл крупнейший в России центр обработки данных, который соответствует самым высоким мировым стандартам и позволяет предоставлять самые современные информационные услуги своим клиентам во всем мире. Новый Центр обработки данных в Самаре стал самым крупным DATA-центром в России. На сегодняшний день количество сотрудников компании превышает 30 тысяч человек.
Деятельность компании разрешена рядом лицензий, основная из которых № 14404 от 09.03.2000 на оказание услуг подвижной радиотелефонной связи, выданная Федеральной службой по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия Российской Федерации.
1.1 Организационная структура ОАО "МегаФон"
Организационная структура ОАО "МегаФон" является сложной системой с множеством ветвлений, и схематически изображена на рисунке в приложении А.
Оренбургское отделение компании возглавляет исполнительный директор по области, у которого в подчинении находятся начальники 12-ти функционально разделенных отделов. В ситуации, когда исполнительный директор отсутствует или неспособен выполнять свои обязанности, его место занимает назначенный заместитель.
Все отделы, из которых состоит структурная модель предприятия, размещены на одном уровне, кроме того, некоторые из них являются составными и включают в себя определенное количество секторов, образованных в соответствии со спецификой направлений в рамках деятельности одного отдела.
Отдел бухгалтерского учета и отчетности решает следующие задачи:
· расчет заработной платы сотрудников компании;
· работа по расчетам с подотчетными лицами;
· учет товарно-материальных ценностей (в том числе внутреннего оборудования компании), учет правильности начисления и уплаты налогов;
· составление отчетности для руководства компании.
Служба удаленной технической поддержки клиентов (call-center) занимается обеспечением обратной связи между пользователями услуг связи и соответствующими каждому виду предоставляемых сервисов, отделами компании. Основные функции данного отдела:
· предоставление актуальной информации о разнообразных услугах компании в автоматическом режиме;
· предоставление информации по запросу пользователя;
· решение проблем, возникших у подписчиков, при использовании тех или иных сервисов в автоматическом и индивидуальном порядке;
· предоставление доступа к управлению персональными настройками профилей пользователей.
Отдел биллинговых систем занимается начислением платы клиентам за пользование предоставляемыми услугами связи, путем ведения учета использованного объема сервисов и применения соответствующей тарификации на каждый тип услуги. Для эффективного обслуживания клиентов, подразделение поделено на два сектора:
· по работе с физическими лицами;
· по работе с юридическими лицами;
в общем случае в обоих секторах отделом реализуется одинаковый набор функций:
· осуществляет привязку паспортных данных клиентов к персональному номеру в системе;
· операции внесения денежных средств на персональный счет клиента;
· учет использованного объема предоставляемых сервисов;
· управление персональными системами тарификации (тарифными планами);
· операции по расчету и списанию необходимого количества денежных средств с персонального счета клиента, исходя из закрепленной индивидуальной системы тарификации;
· начисление и списание неоплачиваемых объемов пользования услугами в рамках программ лояльности.
Отдел администрирования и коммутации информационных потоков занимается собственно обеспечением правильного функционирования всего управляющего телекоммуникационного оборудования оператора сотовой связи. Исходя из того, что все операции происходят в автоматическом режиме, основным заданием персонала данного отдела является мониторинг состояния систем связи и своевременное реагирование на возникновение внештатных ситуаций. Например, по необходимости запуск узлов резервирования, ручное изменение таблиц маршрутизации, корректировка работы системы коммутации.
Отдел маркетинга и рекламы компании-оператора не имеет непосредственного отношения к реализации технической составляющей процесса предоставления услуг, однако в значительной степени определяет положение компании на рынке связи, обеспечивает продвижение тех или иных сервисов среди существующих и потенциальных абонентов. Подразделение состоит из двух взаимосвязанных секторов:
· сектор исследования и развития, на который возложены функции мониторинга потребительского рынка, анализа предпочтений пользователей услуг и формирования соответствующего вектора деятельности, на основе собранных данных;
· сектор распространения продукции, занимается организацией поставок необходимой продукции для фирменных салонов связи (скретч-карт, стартовых пакетов), приобретением телефонов, аксессуаров, реализацией готовых комплектов, управлением системой продвижения товара в местах продаж.
Кроме того, данный отдел, занимается организацией рекламных кампаний в средствах массовой информации, наружной рекламой, проведением рекламных акций.
Технический отдел сотового оператора решает проблемы развертывания, внедрения, поддержания в работоспособном состоянии и устранения неисправностей аппаратно-программной базы телекоммуникационных сервисов. Исходя из пространственной структуры технического обеспечения, отдел состоит из двух направлений:
· внутреннего технического оснащения, персонал которого занимается обслуживанием систем, размещенных непосредственно на территории комплекса;
· внешних телекоммуникационных систем, работники которого поддерживают работоспособность внешней части оборудования оператора, среди которого волокно-оптические линии связи (ВОЛС), опто-волоконные узлы и коммутаторы (ОВУ), базовые станции ретрансляции. Кроме того, данное направление отдела технической поддержки занимается расширением и модернизацией уже существующей сотовой сети.
Административный отдел выполняет функции координирования и построения взаимосвязей между разнородными по направлениям деятельности подразделениями компании. Персоналом собирается актуальная информация о текущей деятельности других отделов, в том числе сроках выполнения различных работ, на основе полученной информации составляются отчеты для предоставления руководству.
Отдел снабжения и обеспечения занимается оформлением, закупкой, хранением материальной базы, необходимой для функционирования других подразделений компании, например отдела продаж или технического отдела. По требованию организуются поставки необходимого оборудования, расходных материалов, вспомогательных принадлежностей.
Отдел мониторинга компании ведет целенаправленный сбор, хранение и анализ статистической информации о работе систем оператора. В соответствии с классификацией предоставляемых сервисов по типам, существует три специализированных рабочих направления отдела и одно общее:
· сбор статистики голосовых сервисов - занимается накоплением, систематизацией и хранением информации об основных характеристиках пользовательских голосовых звонков и почты в сети;
· сервисов коротких сообщений - направление собирает техническую информацию о работе служб коротких сообщений, в том числе и сервисов мультимедийных сообщений;
· сервисов доступа к сети Интернет - сектором ведется сбор и накопление информации о функционировании и объемах пользования услугами доступа к глобальной сети посредством коммуникаций оператора сотовой связи;
· аналитический сектор занимается исследованием полученной статистической информации по ранее описанным направлениям, проведением выборок исходя из заданных критериев, формированием и созданием периодических отчетов и подготовкой отчетов по запросу для предоставления ответственным представителям, как других отделов компании, так и непосредственно руководящему составу.
Отдел безопасности реализует функцию защиты на всех уровнях работы компании-оператора. Данный отдел представляет собой комплексную структуру, в общем виде разделенную по территориальному признаку обеспечения безопасности на две составляющих:
· сектор обеспечения внешней безопасности инфраструктуры, в первую очередь обеспечивает охрану материально-технического оснащения компании, размещенного за пределами контролируемой оператором связи территории. Речь идет о магистральных линиях связи и станциях-ретрансляторах. С целью обеспечения эффективной защиты в данном направлении развито тесное сотрудничество между собственной службой безопасности и внешними государственными охранными структурами;
· сектор обеспечения внутренней безопасности компании решает задачи, как обеспечения физической безопасности, так и обеспечения защиты информации: защита персональных данных клиентов организации, защита персональных данных сотрудников, защита в пределах контролируемой зоны бумажных документов, организация конфиденциального делопроизводства, защита коммерческой и служебной тайн.
По каждому направлению деятельности службы безопасности создаются периодические отчеты, а также внепериодические протоколы по происшествиям.
Отдел кадров компании занимается учетом, обработкой информации о сотрудниках, непосредственными контактами с персоналом. Кроме своей основной функции, дополнительно ведет обучение и начальную подготовку вновь прибывших сотрудников, для чего организовано соответствующее направление:
· сектор учета кадров - занимается приемом и увольнением работником, ведением соответствующей документации о всех изменениях среди штата, ведет учет рабочего времени.
· сектор обучения и подготовки кадров - проводит предварительный узкоспециализированный курс дополнительного обучения новых сотрудников.
Результаты деятельности всего отдела сводятся в отчеты, для предоставления руководству компании.
Отдел планирования занимается разработкой долгосрочной модели поведения компании, определяя, таким образом, вектор ее развития в перспективе. Для решения основной задачи отдела выполняется некоторый ряд дополнительных функций:
· сбор отчетности о работе других отделов компании;
· анализ собранных данных;
· разработка стратегии поведения компании в целом, и каждого отдела по отдельности;
· моделирование разработанного плана при текущей ситуации на рынке, а также с учетом прогнозов поведения отрасли в будущем;
· составление отчетов о разработанных мерах для предоставления непосредственному руководству компании или ее подразделения.
Таким образом, были выделены основные отделы компании по их функциональному признаку, для каждого из которых проведена формализация задач поставленных к решению.
1.2 Информационные потоки отделов ОАО "МегаФон"
Обмен данными различных типов внутри компании осуществляется в форме потоков информации. Учитывая масштабы предприятия, необходимо организовать максимально оптимизированное и рациональное перемещение информационных потоков в системе. Оперативность выполнения каждым отделом, возложенных на него функций, а значит и эффективность деятельности компании в целом, напрямую зависит от правильно налаженной работы систем регистрации, передачи, хранения и обработки информации.
Информационные потоки основных отделов компании схематически изображены на рисунке 1 в приложении Б. Рассмотрим потоки информации, возникающие между данными отделами, с точки зрения функциональных обязанностей каждого подразделения.
Служба безопасности взаимодействует со всеми отделами компании, не имея при этом обратных информационных потоков, что объясняется спецификой работы данного подразделения. В первую очередь осуществляется сбор, анализ и регулирование доступа к данным, подлежащим защите. В этом направлении особое внимание следует обратить на связи со следующими отделами:
· отдел администрирования и коммутации информационных потоков, основное направление - работа с системами скремблирования полезного трафика в сети GSM; контроль разграничения доступа к различным уровням системы;
· отдел биллинговых систем - контроль доступа к персональным данным клиентов (база данных подписчиков услуг оператора); контроль над транзакциями внутри системы биллинга (анализ операций внесения и списания денежных средств);
· отдел бухгалтерского учета и аудита - работа с информацией о финансовой стороне деятельности компании; анализ результатов аудита деятельности предприятия;
· отдел кадров - проверка сведений, предоставляемых вновь прибывшими сотрудниками; разграничение прав доступа персонала на различных уровнях функционирования компании.
Кроме того, взаимодействие данного подразделения со всеми отделами компании предполагает контроль состояния и обеспечение функционирования защиты информационной системы предприятия; особое внимание уделяется организации защиты информации, относящейся к коммерческой тайне и к персональным данным; сбор и анализ отчетов обо всех возникших инцидентах безопасности, для принятия соответствующих мер, в случае необходимости.
Административный отдел компании поддерживает двусторонний обмен информационными потоками с каждым направлением предприятия, для выполнения своих прямых функций по координированию работы между направлениями в составе единой инфраструктуры. Передаваемые данные, в своем большинстве носят характер директив, протоколов и отчетов о проведенных мероприятиях и возникших внештатных ситуациях, работа с персональными данными в данном случае сведена к минимуму. Наиболее плотное взаимодействие осуществляется с отделом планирования и отделом маркетинга и рекламы.
Дополнительно, осуществляется обмен данными с управляющим аппаратом компании, в лице исполнительного директора по области или его заместителя. По запросу, административный отдел передает информацию о своей деятельности или деятельности других отделов, в форме отчетов, службе безопасности, о чем было упомянуто ранее.
Отдел администрирования и коммутации информационных потоков обрабатывает и генерирует два типа данных по функциям:
· статистическая информация - направляется в отдел мониторинга, представляет собой данные об объемах предоставленных клиентам компании сервисов, например длительность голосовых соединений, интенсивность использования сервисов коротких сообщений, и др.;
· данные и команды управления - принимаются и обрабатываются из отдела биллинговых систем, являют собой информацию о состоянии персональных счетов абонентов, и, соответственно, разрешение на предоставление телекоммуникационного ресурса для оказания тех или иных услуг.
Дополнительно, подразделением осуществляется обмен информацией с административным отделом и службой безопасности компании. Характер передаваемых данных указан в описании информационных потоков соответствующих отделов.
Отдел биллинговых систем в результате своей основной деятельности задействует информационные потоки со следующими отделами:
· отдел администрирования и коммутации информационных потоков - данные о состоянии персонального счета клиента;
· отдел бухгалтерского учета и аудита - передаются данные о совокупных объемах вырученных и затраченных средств по предоставлению телекоммуникационных услуг.
Кроме вышеперечисленного, направлением ведется обмен данными со службой безопасности и административным отделом компании. Следует обратить внимание на то, что по роду деятельности данного отдела, может произойти раскрытие персональных данных подписчиков услуг оператора сотовой связи.
Отдел планирования предприятия с точки зрения обмена информацией, работает по двум основным направлениям: сбор разнородных специфических данных, образующихся в результате деятельности различных подразделений компании; и предоставление результатов собственной работы по каждой структурной единице оператора. Отделом осуществляется непосредственная связь с аппаратом управления компании. В этом случае передаваемая информация может быть отнесена к "коммерческой тайне", так как ей присущи все черты деловой информации компании.
Основной поток информации, необходимый для эффективной работы подразделения, поступает из отдела мониторинга. Данные носят исключительно статистический характер, без привязки к персональному идентификатору абонента, и, следовательно, его персональным данным. При этом сохраняются все упомянутые ранее связи.
Отдел маркетинга и рекламы ведет непосредственную работу с информацией о планах и объемах реализации продукции (услуг связи), анализу конкурентоспособности предоставляемых сервисов, и др., для осуществления своей деятельности. Данные информационные потоки относятся к коммерческой тайне предприятия, и могут представлять потенциальный интерес для злоумышленников. Сам по себе отдел имеет связи с направлениями:
· отдел планирования - деловая информация о направлениях развития компании, предстоящих рекламных кампаниях и акциях, ценовой политике в предоставлении услуг;
· служба безопасности - разграничение доступа к конфиденциальной информации, направление отчетности о работе с защищенными информационными потоками по требованию;
· руководящее звено компании - отчетность о функционировании отдела, получение непосредственных директив.
Как отмечалось ранее, деятельность данного отдела во многом определяет успешность компании на рынке предоставляемых услуг, а значит необходимо сделать циркуляцию информационных потоков направления максимально эффективной и в то же время безопасной.
Отдел бухгалтерского учета и аудита обрабатывает сведения о финансовой стороне деятельности предприятия, сведения о размере прибыли и себестоимости предоставленных услуг связи, и другие сведения экономического аспекта компании. Активное взаимодействие ведется со следующими структурными единицами:
· отдел биллинговых систем - сбор информации об объемах предоставленных услуг, количестве введенных и выведенных из системы средств; учет количества и стоимости затраченных телекоммуникационных ресурсов по типам предоставляемых сервисов;
· отдел кадров - получение информации о штате сотрудников компании, занимаемых должностях, рабочем времени, для проведения расчетов с персоналом за объем выполненной работы;
· служба безопасности - предоставление данных о результатах проведенных аудитов средств и материально-технической базы компании;
· административный отдел - получение указаний по координации действий с другими структурами оператора.
Таким образом, данные, передаваемые в некоторых информационных потоках этого отдела, также подпадают под категорию конфиденциальных.
Отдел кадров преимущественно обрабатывает персональные данные сотрудников компании, притом, по большей части, информация данного типа не выходит за пределы самого отдела. Исключением является отдел кадров, в который направляются сведения о персонале компании. С остальных позиций, подобно другим отделам компании, направлением установлены информационные связи со службой безопасности, куда по требованию передаются сведения о сотрудниках для проведения внешних и внутренних проверок актуальности поставленной информации; а также административным отделом, для получения указаний по взаимодействию совместно с другими структурными единицами предприятия.
Отдел мониторинга занимается сбором и обработкой исключительно статистической информации о предоставленных услугах, для предоставления остальным подразделениям по требованию. Данные носят информационный характер и в большинстве своем предназначены исключительно для использования внутри компании. Тем не менее, работа отдела не предполагает обработку конфиденциальной информации, таким образом исключая ее случайное или умышленное раскрытие.
Информационные связи с отделом безопасности и административным отделом сохраняются.
Анализ информационных потоков внутри компании позволил исследовать передаваемые данные по типам, для выявления потенциально подверженных атакам мест в системе. На основе полученной информации можно сформулировать политики работы с теми или иными видами информационных потоков для каждого подразделения компании, а также предложить ко внедрению общие политики безопасности внутриструктурного и межструктурного взаимодействия.
2. Исследование процессов защиты информации отделов ОАО "мегаФон"
Анализ отделов компании, проведенный в предыдущем разделе, позволил выделить несколько подразделений, отвечающих за реализацию основных функций оператора сотовой связи. Кроме того, исследование информационных потоков, возникающих в результате деятельности этих структур, показало потенциальные мишени для несанкционированного вмешательства в работу информационной системы с целью повредить или скомпрометировать данные, относящиеся к разряду конфиденциальных.
Таким образом, выделено три отдела предприятия:
· отдел планирования;
· отдел биллинговых систем;
· отдел кадров.
Перед началом разработки политик безопасности, необходимо провести несколько подготовительных этапов, в частности, необходимо выполнить классификацию обрабатываемой информации по видам тайн.
2.1 Классификация информации по видам тайн
Отдел планирования по роду своей деятельности обрабатывает чрезвычайно большие объемы разнотипной информации, большинство из которой подпадает под определение коммерческой тайны. Эта информация носит преимущественно деловой характер и включает в себя следующие данные:
· сведения об оборотах денежных средств внутри компании, в частности, объемы затраченных средств на предоставление телекоммуникационного ресурса и выручки от продаж сервисов, в том числе планы по выпуску скретч-карт;
· сведения о наиболее выгодных формах использования денежных средств, а также ценных бумаг компании и акций, поступающие в результате информационного обмена с руководящим звеном предприятия;
· данные о предполагаемых и готовящихся ко внедрению векторах развития компании, включающие детальную информацию о этапах практической реализации;
· из предыдущего подпункта отдельно можно выделить сведения о предполагаемых объемах реализации продукции (услуг связи), и средствах, готовящихся для выделения под обеспечение необходимого количества сервисов;
· данные о сроках вывода на рынок новых услуг, тарифных планов, проведения акций, изменения условий программ лояльности;
· сведения, необходимые для взаимодействия с отделом маркетинга и рекламы - списки официальных дилеров компании на смежных рынках предоставления услуг связи; в эту же категорию относятся сведения об уровне надежности и эффективности сотрудничества с теми или иными торговыми представителями;
· данные о структуре и функциональной роли каждого подразделения компании, задействованного в реализации конкретной части плана по развитию предприятия;
· вспомогательные данные, порождаемые деятельностью отдела - деловая переписка сотрудников.
Допуск работника к КТ осуществляется с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто не хочет брать на себя обязательства по сохранению КТ.
Отдел биллинговых систем при выполнении своих функциональных обязанностей имеет дело как с информацией, классифицирующейся, как персональные данные (абонентов компании-оператора), так и с некоторыми аспектами данных, относящихся к коммерческой тайне. Под данными, относящимися к коммерческой тайне, а данном случае подразумевается информация о оборотах вырученных и затраченных денежных средств по предоставленным услугам связи, а также объемы предоставленного телекоммуникационного ресурса для оказания той или иной услуги.
Отдельно следует конкретизировать информацию относящуюся к персональным данным - это данные о подписчиках услуг компании, привязанные к индивидуальным абонентским номерам в системе. Физические лица, при заключении с компанией договора о предоставлении им комплекса сервисов подвижной радиосвязи предоставляют следующую информацию, которая заносится в базы данных систем биллинга:
· фамилия, имя, отчество клиента;
· место жительства;
· реквизиты основных документов, удостоверяющих личность.
Юридическими лицами предоставляется следующий перечень информации:
· фирменное наименование юридического лица;
· местонахождение юридического лица;
· список лиц, использующих оконечное оборудование клиента; для каждого в данном списке предоставляется информация, аналогичная той, которую сообщают физические лица при заключении договора.
Так как перечисленная выше информация составляет категорию персональных данных, и не может быть разглашена посторонним лицам, клиент подписывает бумаги о том, что он не возражает против использования и проверки этих данных в рамках компетентности компании - оператора телекоммуникационных услуг. Следует отметить, что, несмотря на организованный распределенный доступ к базе данных клиентов компании, она является глобальной для всех территориально разнесенных представительств оператора, и таким образом каждое отделение имеет возможность работать со всеми записями базы. Исходя из того, что на данный момент число активных абонентов составляет 62 миллиона, необходимо подчеркнуть особую важность обеспечения контролированного, исключительно санкционированного и безопасного доступа к этой информации. Отдел кадров предприятия занимается непосредственной обработкой персональных данных сотрудников. Подразделение имеет доступ, как к локальной региональной базе данных, так и к глобальной базе всей компании, для актуализации информации посредством синхронизации имеющихся в наличии сведений. Кроме того, отдел работает с бумажными документами, также содержащими персональные данные. Среди информации о персонале можно выделить следующие ее составляющие:
· пол;
· дата рождения;
· семейное положение;
· отношение к воинской обязанности;
· место жительства и домашний телефон;
· образование, специальность;
· предыдущее (-ие) место (-а) работы;
· заболевание, затрудняющие выполнение работником трудовых функций;
· иные дополнительные сведения, с которыми работник считает нужным ознакомить работодателя;
· фотография работника (для электронной базы данных используется цифровое изображение).
Приведенная информация обеспечивается защитой от несанкционированного раскрытия, как применительно к информационной системе обработки персональных данных, так и ее бумажному эквиваленту.
Задача по организации доступа к перечисленным видам данных, реализации комплекса мер по обеспечению их сохранности и конфиденциальности решается отделом службы безопасности компании, с применением комплекса специализированных средств защиты, контроля и аудита.
2.2 Карта актуальных угроз для ИСПДн
Угроза безопасности информации - потенциально возможное нарушение безопасности, событие или обстоятельство, которое приводит к последствиям нарушения целостности, доступности и конфиденциальности информации, и может явиться причиной нанесения ущерба защищаемому ресурсу оператора телекоммуникационных услуг (рис. 2.1).
Рисунок 2.1 - Классификация угроз по аспектам информационной безопасности
ОАО "МегаФон" является одной из крупнейших компаний в своем роде, в работе которой задействовано около 30 тысяч сотрудников, а база абонентов составляет 62 миллиона. Как отмечалось ранее, персональные данные клиентов и сотрудников компании собраны в распределенные базы данных, которые обрабатываются в составе специальных информационных систем, так называемых ИСПДн. Отдельной обработке в составе специализированных информационных подсистем подвергаются данные, классифицированные выше как коммерческая тайна. Для обеих информационных систем, как обработки персональных данных, так и информации, относящейся к непосредственному функционированию предприятия, необходимо организовать комплекс мер по высокоэффективной защите.
Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных", утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России, и рассчитан в приложении В. Таким образом, ИСПДн имеет низкий () уровень исходной защищенности.
Анализ актуальности данных угроз для ИСПДн отделов ОАО "МегаФон" производится в приложении Г. Общее количество возможных угроз равно 47. Актуальных угроз выявлено 29.
Угрозы для отделов в общем случае можно подвергнуть следующей классификации, исходя из различных оснований:
· экономические;
· социальные;
· правовые;
· организационные;
· информационные;
· экологические;
· технические;
· природные;
· криминальные.
Следующий этап перед разработкой комплекса мер по защите вверенной информационной системы предполагает составление и анализ модели потенциального нарушителя безопасности.
2.3 Модель нарушителя
Нарушитель - лицо, предпринявшее попытки выполнения запрещенных операций по ошибке, незнанию или осознанно, со злым умыслом (из корыстных интересов или без таковых, ради игры или удовольствия, с целью самоутверждения) и использующее для этого различные возможности, методы и средства.
Проведя анализ статистических данных, можно сделать вывод, что около 70% всех нарушений, связанных с безопасностью информации, совершаются именно сотрудниками предприятия. Человек, кроме всего прочего, является первым по значимости носителем информации. Он обеспечивает функционирование системы, ее охрану и защиту. В то же время он, при определенных обстоятельствах, может стать главным источником угрозы защищаемой информации.
Поэтому целесообразно рассмотреть модель нарушителя, которая отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п.
Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно, если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений. В каждом конкретном случае, исходя из конкретной технологии обработки информации, может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной системы.
При разработке модели нарушителя определяются:
· предположения о категориях лиц, к которым может принадлежать нарушитель;
· предположения о мотивах действий нарушителя (преследуемых нарушителем целях);
· предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);
· ограничения и предположения о характере возможных действий нарушителей.
По отношению к исследуемой системе нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами).
Внутренним нарушителем может быть лицо из следующих категорий персонала:
· пользователи системы;
· персонал, обслуживающий технические средства (инженеры, техники);
· сотрудники отделов;
· технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения);
· сотрудники службы безопасности;
· руководители различных уровней должностной иерархии.
К посторонним лицам, которые могут быть нарушителями, относятся:
· клиенты (представители организаций, граждане);
· посетители (приглашенные по какому-либо поводу);
· представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
· представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
· лица, случайно или умышленно нарушившие пропускной режим;
· любые лица за пределами контролируемой территории.
Действия злоумышленника могут быть вызваны следующими причинами:
· при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит какие-либо действия по компрометации информации, не связанные со злым умыслом;
· бывает, что сотрудник предприятия ради самоутверждения (для себя или коллег) затевает своего рода игру "пользователь - против системы". И хотя намерения могут быть безвредными, будет нарушена сама политика безопасности.
Такой вид нарушений называется зондированием системы:
· нарушение безопасности может быть вызвано и корыстным интересом. В этом случае сотрудник будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой на предприятии информации;
· желание найти более перспективную работу. Известна практика переманивания специалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Таким образом, не обеспечив закрепление лиц, осведомленных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров необходимо уделять особое внимание. Если рассматривать компанию как совокупность различных ресурсов, то люди должны стоять на первом месте, т.к. именно они воплощают технологию и в них в первую очередь заключается конкурентоспособная сила фирмы;
· специалист, работающий с конфиденциальной информацией, испытывает отрицательное психологическое воздействие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информацией, сотрудник постоянно боится возможной угрозы утрать документов, содержащих секреты. Выполняя требования режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам и, как следствие, к нарушению статуса информации.
Всех нарушителей можно классифицировать следующим образом.
1. По уровню знаний о системе:
· знает функциональные особенности, основные закономерности формирования в ней массивов данных, умеет пользоваться штатными средствами;
· обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
· обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
· знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
2. По уровню возможностей (используемым методам средствам):
· "Эксперт" - индивид, чьи профессиональные знания и контакты (как работа, так и хобби) обеспечивают первоклассную ориентацию в разрабатываемом вопросе. Он может помочь по-новому взглянуть на существующую проблему, выдать базовые материалы, вывести на неизвестные источники информации. Общая надежность получаемых при этом данных чаще всего высшая.
· "Внутренний информатор (осведомитель)" - человек из группировки противника (конкурента), завербованный и поставляющий информацию по материальным, моральным и другим причинам. Ценность представляемых им данных существенно зависит от его возможностей и мотивов выдавать нужные сведения, достоверность которых при соответствующем контроле может быть довольно высокой.
· "Горячий информатор" - любой знающий человек из сторонников противника или его контактеров, проговаривающий информацию под влиянием активных методов воздействия в стиле жесткого форсированного допроса, пытки, гипноза, шантажа и т.д. Так как истинность сообщения в данном случае не гарантирована, такая импровизация приемлема лишь в период острой необходимости, когда нет времени, желания или возможностей использовать другие источники. В отличие от завербованного информатора личностный контакт здесь главным образом одномоментен.
· "Внедренный источник" - свой человек, тем или иным манером просочившийся в окружение объекта (человека, группы, организации). Ценность поставляемых им данных зависит от его индивидуальных качеств и достигнутого уровня внедрения.
· "Легкомысленный информатор" - человек противника, контактер или любое информированное лицо, проговаривающее интересные факты в деловой, дружеской, компанейской либо интимной беседе.
· "Контактеры" - люди, когда-либо контактировавшие с изучаемым человеком (группой, организацией). Это могут быть стабильные или случайные деловые партнеры, родственники и приятели, служащие сервиса и т.д. Наряду с сообщением определенных фактов, они могут содействовать в подходе к изучаемому человеку или же участвовать в прямом изъятии у него интересующей злоумышленника информации.
· "Союзник" - человек либо общественная, государственная или криминальная структура, выступающая как противник или "надзиратель" объекта. Уровень и надежность отдаваемых материалов зависят от насущных интересов, личных взаимоотношений и познаний источника. Кроме совершенно новой, он способен передать и подтверждающую информацию.
· "Случайный источник" - человек, совершенно не рассматриваемый как потенциальный информатор, вдруг оказывающийся носителем уникальной информации. Ввиду явной непредсказуемости на такого человека не особенно рассчитывают, но, случайно обнаружив, разрабатывают до конца.
3. По времени действия:
· в процессе функционирования системы (во время работы компонентов системы);
· в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерыве для обслуживания и ремонта и т.п.);
· как в процессе функционирования, так и в период неактивности компонентов системы.
4. По месту действия:
· без доступа на контролируемую территорию организации;
· с контролируемой территории без доступа в здания и сооружения;
· внутри помещений, но без доступа к техническим средствам;
· с рабочих мест конечных пользователей (операторов);
· с доступом в зону данных (баз данных, архивов и т.п.);
· с доступом в зону управления средствами обеспечения безопасности.
Таким образом, рассмотрев модель потенциального нарушителя, можно сделать вывод, что человек является важным звеном системы и главным источником информации.
2.4 Каналы утечки информации
На локальном уровне угроз информационной безопасности (например, для помещений, занимаемых учреждением, организацией, предприятием, и размещенных в них средств компьютерной техники) выделяют каналы утечки информации, под которыми понимают совокупность источников информации, материальных носителей или среды распространения несущих эту информацию сигналов и средств выделения информации из сигналов или носителей.
Традиционные каналы утечки информации изображены на рисунке 2.2.
Для каждого из рассматриваемых отделов актуальны перечисленные ниже каналы утечки информации. В приложении Д (рис. 1, рис. 2, рис. 3) приведены планы помещений отделов систем биллинга, планирования, и отдела кадров, соответственно, со сносками на типы представленных актуальных каналов и способов утечки информации.
Контактное подключение к электронным устройствам является простейшим способом съема информации. Чаще всего реализуется непосредственным подключением к линиям связи, входящим в СКС здания.
|
Традиционные каналы утечки аудио - и видеоинформации |
Контактное или бесконтактное подключение к электронным устройствам. Встроенные микрофоны, видео - и радиозакладки в стенах, мебели предметах. |
||||||
|
Съем акустической информации при помощи лазерных устройств с отражающих поверхностей. |
|||||||
|
Оптический дистанционный съем видеоинформации. |
|||||||
|
Применение узконаправленных микрофонов и диктофонов. |
|||||||
|
Утечки информации по цепям заземления, сетям громкоговорящей связи, охранно-пожарной сигнализации, линиям коммуникаций и сетям электропитания. |
|||||||
|
Высокочастотные каналы утечки информации бытовой и иной технике. |
|||||||
|
Утечка за счет плохой звукоизоляции стен и перекрытий. |
|||||||
|
Исследование злоумышленником производственных и технологических отходов. |
|||||||
|
Утечка информации через телефонные и факсимильные аппараты. |
|||||||
|
Оборудование виброканалов утечки информации на сетях отопления газо - и водоснабжения. |
|||||||
|
Утечка информации через персонал. |
|||||||
|
Утечка акустических сигналов (речевая информация) |
Утечка электромагнитных сигналов (в т. ч. оптического диапазона) |
Утечка информации с носителей (либо с носителями) |
Рисунок 2.2 - Типичные каналы утечки информации
Бесконтактное подключение может осуществляться за счет электромагнитных наводок или с помощью сосредоточенной индуктивности.
1. Встроенные микрофоны, видео - и радиозакладки в стенах, мебели, предметах. Могут быть установлены в элементы интерьера, строительные конструкции и т.д.
2. Съем акустической информации при помощи лазерных устройств с отражающих поверхностей. Принцип действия основан на моделировании по амплитуде и фазе отраженного лазерного луча от окон, зеркал и т.д. Отраженный сигнал принимается специальным приемником. Дальность действия - до нескольких сотен метров. На эффективность применения подобных устройств сильное влияние оказывают условия внешней среды (погодные условия).
Применение узконаправленных микрофонов и диктофонов. Применяются высокочувствительные микрофоны с очень узкой диаграммой направленности. Узкая диаграмма направленности позволяет указанным устройствам избежать влияния посторонних шумов. Узконаправленные микрофоны могут быть использованы совместно с магнитофонами и диктофонами.
3. Оптический дистанционный съем видеоинформации. Может осуществляться через окна помещений с использованием длиннофокусного оптического оборудования в автоматическом или в ручном режиме работы.
4. Утечки информации по цепям заземления, сетям громкоговорящей связи, охранно-пожарной сигнализации, линиям коммуникаций и сетям электропитания. Утечка информации по цепям заземления возможна за счет существования гальванической связи проводников электрического тока с землей.
5. Утечка за счет плохой звукоизоляции стен и перекрытий. Съем информации может происходить с применением как простейших приспособлений (фонендоскоп), так и достаточно сложных технических устройств, например специализированных микрофонов.
6. Оборудование виброканалов утечки информации на дверях защищаемого помещения. Акустическая информация может, например, восприниматься при помощи пьезоэлектрических датчиков, затем усиливаться и фиксироваться при помощи магнитофонов либо передаваться в эфир.
7. Преобразование акустического сигнала в электрический, на основе "микрофонного эффекта", например в аппаратах телефонной и факсимильной связи.
Подобные документы
Пути несанкционированного доступа, классификация угроз и объектов защиты. Методы защиты информации в системах управления производством. Основные каналы утечки информации при обработке ее на компьютере. Информационные потоки организации ООО "ТД Искра".
курсовая работа [198,0 K], добавлен 15.03.2016Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
дипломная работа [225,1 K], добавлен 16.06.2012Информационная безопасность, её цели и задачи. Каналы утечки информации. Программно-технические методы и средства защиты информации от несанкционированного доступа. Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники.
дипломная работа [839,2 K], добавлен 19.02.2017Варианты управления компьютером при автономном режиме. Классификация угроз безопасности, каналов утечки информации. Программно-аппаратные комплексы и криптографические методы защиты информации на ПЭВМ. Программная система "Кобра", утилиты наблюдения.
контрольная работа [23,8 K], добавлен 20.11.2011История развития ОАО "Мобильные ТелеСистемы", характер и направления реализации информационных процессов на нем. Возможные угрозы и их анализ. Неформальная модель нарушителя. Нормативно-правовой, организационный и инженерно-технический элемент защиты.
курсовая работа [39,8 K], добавлен 23.12.2013Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011- Построение многоуровневой системы защиты информации, отвечающей современным требованиям и стандартам
Политика защиты информации. Возможные угрозы, каналы утечки информации. Разграничение прав доступа и установление подлинности пользователей. Обзор принципов проектирования системы обеспечения безопасности информации. Межсетевой экран. Антивирусная защита.
дипломная работа [1,9 M], добавлен 05.11.2016 Возможные каналы утечки информации. Особенности и организация технических средств защиты от нее. Основные методы обеспечения безопасности: абонентское и пакетное шифрование, криптографическая аутентификация абонентов, электронная цифровая подпись.
курсовая работа [897,9 K], добавлен 27.04.2013
