Для обеспечения информационной безопасности в отделах оператора сотовой связи разрабатывается и реализуется система защиты информации (СЗИ). Создание СЗИ является одной из основных задач компании, в решении которой принимают участие все структурные подразделения.

Как показал ранее проведенный анализ информационных потоков внутри предприятия, практически вся информация, за небольшим исключением, нуждается в соответствующей защите. Это обусловлено следующим:

· оператор является социально-значимой организацией, деятельность и устойчивость которой связана с жизненными интересами значительного числа клиентов (как юридических, так и физических лиц);

· в процессе деятельности оператору становится доступна конфиденциальная информация: сведения о транзакциях на персональных счетах клиента, сведения о самих клиентах (персональные данные), сведения о сотрудниках компании.

· компания-оператор сотовой связи является коммерческой организацией, прибыльность, конкурентоспособность и жизнеустойчивость которой в условиях рыночной экономики обеспечивается, в значительной степени конфиденциальностью коммерчески ценной и критичной служебной информации (деловая информация о деятельности учреждения - финансовая, технологическая и методическая документация, перспективные планы развития, бизнес-планы, аналитические материалы об эффективности работы по изучению партнеров и конкурентов, состоянию рынков услуг и др.), которая, являясь коммерческой тайной, нуждается в соответствующей охране.

В связи с этим компания реализует меры по защите значимой информации в соответствии с действующими на территории Российской Федерации Законами, нормативными документами, установленными требованиями руководящих документов и норм эффективности защиты информации, а также в соответствии с разработанными на их основе требованиями оператора сотовой связи.

Наряду с этим, информационная безопасность рассматривается не только по отношению к конфиденциальным и другим ценным сведениям, но и по отношению к способности информационных систем выполнять функции по ее обеспечению. Объектом защиты СЗИ является циркулирующая, обрабатываемая, хранимая и передаваемая в компании служебная и конфиденциальная, ценная и значимая информация, и поддерживающая ее инфраструктура. СЗИ реализуется на основе так называемых политик безопасности.

Политика безопасности - это совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.

В то же время сама СЗИ представляет собой организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства, от внутренних и вешних угроз.

Система мер по обеспечению информационной безопасности направлена на:

· на предупреждение угроз - превентивные меры по обеспечению информационной безопасности в интересах учреждения возможности их возникновения;

· на выявление угроз, которое выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

· на обнаружение угроз, которое имеет целью определение реальных угроз и конкретных преступных действий;

· на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий:

· на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Целью защиты информации представлены на рисунке ниже (рис. 2.3).

Рисунок 2.3 - Цели защиты информации

Выделяют направления обеспечения информационной безопасности, к которым относятся:

· правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

· организационная защита - это регламентация производственной деятельности и взаимоотношений на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям;

· инженерно-техническая защита - это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности;

· программно-аппаратная защита - программные и автоматизированные системы обработки данных, обеспечивающие сохранность и конфиденциальность информации.

Каждый элемент обеспечения информационной безопасности будет исследован в развернутой форме ниже, а также будут представлены комплексы средств, которыми он реализован.

Исследование правового направления защиты информации

Правовая защита информации - это специальные правовые акты, процедуры, правила и мероприятия, обеспечивающие защиту информации на правовой основе. Правовая защита информации, как ресурса, признана на международном, государственном уровне, определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторскими правом и лицензиями на их защиту.

На государственном уровне правовая защита регулируется государственными и ведомственными актами. Действия по защите информации от утечки по техническим каналам регламентируются правовыми документами.

Для защиты информации государственной системой обеспечения информационной безопасности должны осуществляться следующие функции:

1. оценка состояния информационной безопасности в стране, определение приоритетов по интересам в информационной сфере и установление их баланса в конкретных условиях;

2. выявление и учет источников внутренних и внешних угроз, проведение мониторинга и классификации;

3. определение основных направлений предотвращения угроз или минимизации ущерба;

4. организация исследований в сфере обеспечения информационной безопасности;

5. разработка и принятие законов и иных нормативных правовых актов;

6. разработка Федеральных целевых и ведомственных программ обеспечения информационной безопасности, координация работ по их реализации;

7. организация единой системы лицензирования, сертификации, экспертизы и контроля в этой сфере;

8. страхование информационных рисков;

9. подготовка специалистов по обеспечению информационной безопасности, в том числе из работников правоохранительных и судебных органов;

10. информирование общественности о реальной ситуации в сфере обеспечения информационной безопасности и работе государственной

безопасности и работе государственных органов в этой сфере;

11. изучение практики обеспечения информационной безопасности.

12. обобщение и пропаганда передового опыта такой работы в регионах;

13. правовая защита прав и интересов граждан, интересов общества и

государства в сфере информационной безопасности;

14. организация обучения способам и методам самозащиты физических

лиц от основных угроз в информационной сфере;

15. содействие разработке и принятию норм международного права в сфере обеспечения информационной безопасности;

16. установление стандартов и нормативов в сфере обеспечения информационной безопасности.

Таким образом, в компании организуется защита следующих типов данных:

в отношении сведений, отнесенных к коммерческой тайне, уполномоченными органами на основании Закона Российской Федерации "О коммерческой тайне";

в отношении персональных данных клиентов и сотрудников компании - федеральным законом Российской Федерации от 27 июля 2006 г. №149 - ФЗ "Об информации, информационных технологиях и о защите информации"

В сфере защиты информации ОАО "МегаФон" руководствуется следующими нормативно-правовыми актами:

Конституция Российской Федерации.

Федеральный закон от 19.12.2005 №160-ФЗ "О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных".

Постановление Правительства Российской Федерации от 17.11.2007 №781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Постановление Правительства Российской Федерации от 15.09.2008 №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Постановление Правительства Российской Федерации от 06.07.08 №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 №55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных".

Приказ Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных".

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных. Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6-622.

Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации"

Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.1995 года, №334.

Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных", принят Верховным Советом РФ 23.09.1992 года, №3523-1.

Закон Российской Федерации "О правовой охране топологий интегральных микросхем", принят Верховным Советом РФ 23.09.1992 года, №3526-1.

Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" №188 от 06.03.1997 года.

Постановление Правительства Российской Федерации "О сертификации средств защиты информации" (с изменениями от 23 апреля 1996 года) №608 от 26.06.1995 года.

На основе всех перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ОАО "МегаФон". Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации включает в себя комплекс внутренней нормативно-организационной документации, в которую входят такие документы организации, как:

Устав;

коллективный трудовой договор;

трудовые договоры с сотрудниками компании-оператора;

правила внутреннего распорядка персонала компании;

должностные обязанности руководителей, специалистов и служащих компании;

инструкции пользователей информационно-вычислительных сетей и баз данных;

инструкции администраторов ИВС и БД;

положение о подразделении по защите информации, в составе службы безопасности;

концепция системы защиты информации в ОАО "МегаФон";

инструкции сотрудников, допущенных к защищаемым сведениям;

инструкции сотрудников, ответственных за защиту информации;

памятка сотрудника о сохранении коммерческой или иной тайны;

договорные обязательства.

Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя регламентацию некоторого количества или всех перечисленных ниже пунктов:

· формирования и организации деятельности службы безопасности или службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по организации и технологии защиты информации;

· составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;

· разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;

· методов отбора персонала для работы с защищаемой информацией,

· методики обучения и инструктирования сотрудников;

· направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

· технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий);

· внемашинной технологии защиты электронных документов;

· порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;

· ведения всех видов аналитической работы;

· порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации; оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

· пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей; системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;

· действий персонала в экстремальных ситуациях;

· организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны; организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей; работы по управлению системой защиты информации;

· критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, основной частью рассматриваемой системы. Меры организационной защиты информации составляют 50-60% в структуре системы защиты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной защиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой технически совершенной системы защиты информации. Организационные меры защиты отражаются в нормативно-методических документах, документах службы безопасности компании.

Служба безопасности ОАО "МегаФон" является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю компании. Такая структура управления системой безопасности, имеющая четкую вертикаль, характерна для области обеспечения безопасности на подобного рода предприятиях, где требуется определенность, четкие границы, регламентация отношений на всех уровнях - от рядового сотрудника до менеджеров высшего звена. Как показывает практика, только на предприятиях, где проблемы безопасности находятся под постоянным контролем руководителя предприятия, достигаются наиболее высокие результаты.

Возглавляет службу безопасности оператора сотовой связи ОАО "МегаФон" начальник службы в должности заместителя исполнительного директора Оренбургского отделения компании по безопасности. При этом руководитель службы безопасности наделен максимально возможным кругом полномочий, позволяющим ему влиять на другие подразделения и различные области деятельности предприятия, в интересах обеспечения безопасности.

Основными задачами, решаемыми службой безопасности компании являются:

· обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;

· организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

· организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

· предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;

· выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;

· обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством как на национальном, так и на международном уровне;

· обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;

· обеспечение личной безопасности руководства и ведущих сотрудников и специалистов.

В тоже время служба безопасности предприятия компании выполняет функции организации пропускного и внутриобъектного режима в зданиях и помещениях, порядка несения службы охраны, контроля соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями. Отдельно следует обратить внимание на участие данного подразделения в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности, Устава, Коллективного договора, Правил внутреннего трудового распорядка, Положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих.

Службой разработаны и внедрены совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ организованно и установлен контроль над выполнением требований "Инструкции по защите коммерческой тайны". Служба безопасности ОАО "МегаФон" организует и регулярно проводит учебу сотрудников предприятия по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был осознанный подход.

При формировании и организации службы безопасности, компания руководствовалась следующим подходом:

· были определены жизненно важные интересы предприятия на момент создания службы безопасности;

· выявлены угрозы безопасности для данного объекта;

· проведен анализ угроз и выявлена степень риска при их реализации;

· намечены пути локализации каждой из угроз и просчитаны затраты на проведение соответствующих мероприятий;

· исходя из полученных данных, финансовых и трудовых возможностей, была разработана текущая структура службы безопасности, обеспечивающая комплексную защиту на всех сферах деятельности оператора связи.

Проведение кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Режим конфиденциальности проводимых компанией работ представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем, виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд, в пограничную зону, на посещение воинской части.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей. Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Разрешение на допуск сотрудника в ОАО "МегаФон" оформляется соответствующим пунктом в контракте (трудовом договоре) с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Кроме этого, предусмотрена возможность предоставления временного допуска на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Вся конфиденциальная информацию компании доступна только первому руководителю. А конфиденциальную информацию по конкретной работе в полном объеме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденному первым руководителем. Такой подход дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Также, дробление информации не позволяет конкурентам использовать ее за счет приема на работу уволенного из фирмы сотрудника.

Руководители структурных подразделений компании-оператора имеют право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчиненным ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.

При непосредственном приеме на работу сотрудников важную роль играют рекомендательные письма, разнообразные методы проверки на соответствие должности, на которую претендует работник, различного род тестирования, которые осуществляются силами кадрового подразделениями компании-оператора, а также отделом службы безопасности. Существуют строго разработанные структуры и функции управления каждым подразделением компании, что позволяет предельно ясно указать, какой из сотрудников задействован на определенном секторе работ, какой уровень квалификации для выполнения его непосредственных функций необходим, и каким уровнем доступа он должен обладать. Данные, предоставленные каждым вновь прибывшим сотрудником, подвергается тщательной проверке в рамках компетенции ответственных отделов компании. С целью выявления личных и деловых качеств, проверки профессиональных навыков, вводится некоторый испытательный срок, позволяющий обнаружить нежелательные факторы, препятствующие назначению сотрудника на вакантную должность. Проводятся регулярные проверки персонала, а также краткие курсы по повышению квалификации сотрудников.

Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение. Инженерно-техническому элементу системы защиты информации необходимо уделять должное внимание. Приобретение, установка и эксплуатация средств технической защиты и охраны требует значительных финансовых средств, так как стоимость средств технической защиты и охраны велика. Элемент включает в себя:

· сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

· средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;

· средства защиты помещений от визуальных способов технической разведки;

· средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации):

· средства противопожарной охраны;

· средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.):

· технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.

Принимаемые меры инженерно-технической защиты информации ОАО "МегаФон", в первую очередь направлены на организацию эффективного использования технических средств регламентации и управления доступом к защищаемой информации, а так же режимов работы технических средств защиты информации.

Регламентация состоит в установлении ряда ограничений в деятельности сотрудников, их взаимодействии с программно-аппаратным комплексом компании, с основной преследуемой целью - защитой информации. В общем случае регламентация заключается в определении границ охраняемых зон, присвоении каждой зоне определенного уровня защиты, в соответствии с которым строятся политики безопасности, определяющие специфику работы в данных периметрах. Как правило, речь идет о регламентации деятельности сотрудников и посетителей компании, а также режимов обработки и хранения защищаемой информации.

Управление доступом подразумевает под собой следующие этапы:

· идентификация лица и (или) устройства, от которой поступил запрос на доступ;

· получение заранее сформированного списка разрешений, для данного лица;

· протоколирование запроса на доступ;

· генерирование события, про результатам проведенных проверок, например, предоставление доступа, отказ в действии, блокировка учетной записи, и др.

Идентификация лиц в ОАО "МегаФон" выполняется одним из двух способов или их комбинированием:

· с использованием носимых средств идентификации, таких как ключ-карты с магнитным и чиповым носителем, RFID-ключи;

· с использованием знаний - кодов доступа, паролей.

И первый, и второй вид идентификации может быть использован равно как для непосредственного доступа к информации, так и для доступа на охраняемые подконтрольные территории. Проверка разрешений на доступ заключается в ассоциации лица, от которого исходит запрос с его персональным набором полномочий при работе с затребованным видом информации или доступом в ту или иную охраняемую зону. По результатам проверки предоставляется или отказывается в удовлетворении выполнения запроса. Весь ход события протоколируется и вносится в периодические отчеты о работе системы защиты информации.

В процессе эксплуатации объектов информатизации возможно изменение самих условий эксплуатации, образование новых каналов утечки информации, изменение технических характеристик, состава, количества и взаимного расположения основных и вспомогательных технических средств и систем, средств защиты информации, а также программных средств объектов информатизации. Указанные факторы ведут к понижению уровня защищенности информации и как следствие к утечке, хищению и искажению этой информации.

В соответствии с требованиями законодательства РФ в сфере информационной безопасности, не реже одного раза в год должен осуществляться контроль состояния и эффективности защиты информации на аттестованных объектах.

Контроль состояния и эффективности защиты информации на объектах заключается в оценке выполнения требований законодательства РФ, обоснованности принятых мер защиты информации, проверке выполнения норм и требований эффективности защиты информации по действующим методикам с применением соответствующей контрольно-измерительной аппаратуры и программных средств тестирования и контроля.

Применяют следующие виды контроля:

· предварительный;

· периодический;

· постоянный.

Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

· после установки нового технического средства защиты или изменения организационных мер;

· после проведения профилактических и ремонтных работ средств защиты;

· после устранения выявленных нарушений в системе защиты.

Периодический контроль осуществляется с целью обеспечения систематического наблюдения за уровнем защиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или всей организации) по планам, утвержденным руководителем организации, а также вышестоящими органами.

Постоянный контроль осуществляется выборочно силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня защиты информации и, прежде всего, выявления слабых мест в системе защиты организации. Так как объекты и время такого контроля сотрудникам не известны, то такой контроль, кроме того, оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно и постоянно выполнять требования по обеспечению защиты информации.

Для ОАО "МегаФон" с технологической точки зрения можно выделить два типа контроля: контроль защищенности объекта вычислительной техники, и контроль защищенности выделенного помещения.

Контроль защищенности объекта вычислительной техники включает следующие этапы:

· Анализ организационной структуры объекта, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации.

· Контрольные испытания объекта вычислительной техники путем проверки фактического выполнения установленных требований, объектовые контрольные исследования на соответствие требованиям по защите информации от утечки по каналам ПЭМИН.

· Контрольные испытания автоматизированной системы на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД.

· Проверка эффективности применяемых на объектах средств и систем защиты информации.

· Определение необходимости применения дополнительных технических средств защиты информации.

· Выдача рекомендаций по устранению выявленных недостатков и применению необходимых технических средств защиты (при необходимости).

· Оформление протоколов проверок и заключения по результатам контроля защищенности объектов вычислительной техники.

Контроль защищенности выделенного помещения включает следующие этапы:

· Проверка порядка организации и обеспечения режима доступа в помещение, выполнения организационно-режимных требований.

· Инструментальные измерения и оценка уровня защищенности выделенного помещения от утечки по акустическому речевому каналу (исследование звукоизоляционных свойств строительных конструкций и коммуникаций).

· Инструментальные измерения и оценка уровня защищенности выделенного помещения от утечки по виброакустическому каналу (исследование звукоизоляционных свойств строительных конструкций и коммуникаций).

· Специальные исследования ВТСС (слаботочных линий) по защищенности от утечки речевой информации.

· Выдача рекомендаций по устранению выявленных недостатков и применению необходимых технических средств защиты (при необходимости).

· Проведение расчетов, подготовка и оформление отчетной документации: протоколов испытаний (проверок) и заключения по результатам контроля защищенности с выводом о соответствии выделенного помещения требованиям по безопасности информации.

Все виды контроля выполняются силами сотрудников безопасности компании ОАО "МегаФон" с привлечением внешних аудиторов. По результатам проверок составляются отчеты, устраняются выявленные недостатки в системе защиты, составляются протоколы о проделанной работе, сводятся результаты повторных испытаний работы систем защиты.

Основу инженерно-технического комплекса защиты в ОАО "МегаФон" составляет система "VINCI". Использование системы разрешено на территории Российской Федерации, система прошла экспертную оценку и признана такой, которая удовлетворяет действующему законодательству и требованиям, выдвигаемым к комплексам обеспечения безопасности подобного класса.

Система "VINCI" обладает более высоким уровнем контроля охраняемых зон по сравнению с другими системами аналогичной направленности. Большим ее преимуществом является то, что эта система может работать как в автоматическом, так и в полуавтоматическом режимах, защищена от вызова фальшивых сигналов тревоги, ее можно сконфигурировать так, чтобы функционирование системы изменялось автоматически вследствие изменения окружающих условий.

Одно из преимуществ "VINCI" - это цифровая система видеонаблюдения, которая содержит многоканальный детектор движения TSH, что позволяет осуществлять:

· одновременный контроль 8 цветных или черно-белых каналов;

· возможность подключения 16 сигнальных входов;

· запись видеокадров предшествующих событию, вызвавшему тревогу;

· запуск запрограммированных тревожных процедур в случае срабатывания датчиков системы;

· подключение, в любой комбинации, до 16 пунктов управления для каждой тревожной ситуации.

Эта система, в отличие от некоторых других, может без сбоев работать в экстремальных условиях окружающей среды. Данный детектор очень чувствителен, т.к. имеет многоуровневую цифровую фильтрацию. Кроме того, он защищен от вызова фальшивых сигналов тревоги, которые происходят из-за изменения освещения, движения от ветра и т.п., что почти не учитывается в других системах.

Оператор этой системы может произвольно назначить 32 так называемые зоны обнаружения нуждающиеся в первоочередной защите от проникновения (двери, окна и т.п.), которые в свою очередь делятся на 1200 пунктов обнаружения. Причем, при использовании этой системы возможно программирование на детекцию формы, размеров, запаздывания и т.п. Иными словами, комплекс при необходимости может различать представляющий собой угрозу объект попавший в поле зрения камеры, что спровоцирует запуск тревожных процедур и запустит механизм запись события вызвавшего тревогу. Также имеется возможность расширить данную систему используя внешние датчики (дверные контрактроны, пассивные датчики и т.д.), что способствует более высокому уровню охраны объекта.

Просмотр изображений с камер может проходить как непосредственно (на месте) так и через Интернет. Предполагается одновременный показ изображения с 4, 8 или 16 камер, что позволяет получать сведения об охраняемой зоне с нескольких ракурсов одномоментно. Данная система предусматривает добавление и исключение пользователей в случаях изменения уровня доступа. Кроме того система защищена тремя уровнями паролей.

Необходимо заметить, что все функции в "VINCI" реализуются автономно, т.е. просмотр изображений от камер, их регистрация и просмотр записей могут происходить одновременно. Большим преимуществом "VINCI" перед другими цифровыми системами является принцип обнаружения движения, который основывается на восьми различных параметрах, а также позволяет использовать камеры в качестве чрезвычайно чувствительных, интеллектуальных датчиков, действующих совместно с другими системами (охранная сигнализация, противопожарная сигнализация, контроль доступа).

Большое значение в подобных системах играет возможность регулирования параметров изображения. В системе "VINCI" имеется возможность независимой регулировки каждого видеоканала. Дополнительным преимуществом является возможность выбрать разные параметры изображения для дневных и ночных установок, переключая их детекторами освещения.

Каждый из модулей видеодетекции оснащен соответствующим контроллером, способным принимать сигналы от датчиков и управлять исполнительными устройствами (например: включать освещение, индикаторы и т.п.).

Все вышеперечисленные функции позволяют вовремя отреагировать службе охраняющей вверенные ей зоны ОАО "МегаФон" и предотвратить проникновение злоумышленников в охраняемые периметры.

Для качественного визуального мониторинга "VINCI" использует систему "DigiNet". "DigiNet" представляет собой комплекс устройств, функционирующих автономно или в сети, который позволяет осуществлять визуальный мониторинг (текущий контроль), регистрацию и архивацию изображений от подключенных камер, а также прием сигналов тревоги.

Цифровой рекордер "DigiNet" заменяет собой аналоговый видеомагнитофон, мультиплексор или видеоделитель, а благодаря своим дополнительным функциям обеспечивает высокий уровень безопасности и качества контроля объекта. Мониторинг (локальный и удаленный) производится в режиме реального времени. Регистрация выполняется при обнаружении движения или в непрерывном режиме.

Система снабжена дополнительными функциями:

· мониторинг через Интернет;

· удаленное конфигурирование (настройка конфигурации);

· синхронная запись звука;

· удаленное включение подвижных камер;

· управление подвижной камерой для слежения за обнаруженным объектом;

· многоканальный мониторинг, реализуемый благодаря возможности разделения экрана на 1, 4, 6, 9, 10, 13 и 16 частей.

Помимо этого в системе предусмотрена возможность запрограммировать: полосы детекции (5 для каждой камеры), уровни чувствительности, разрешающую способность, яркость, цвет и качество изображений, функции оповещения. Доступ в систему посторонних лиц предотвращают три уровня паролей, а от изменений зарегистрированных изображений предохраняет маркировка watermark ("водяной знак").

Как отмечалось ранее, данная система работает в комплексе с подсистемами контроля доступа (электронные замки), а также пожарной сигнализации. Защитный комплекс развернут, как непосредственно на территории Оренбургского отделения ОАО "МегаФон", так и на дополнительных подконтрольных зонах, расположения базовых наземных станций ретрансляции.

Программными средствами защиты информации называются специальные программы, которые включают в состав программного обеспечения систем обработки данных для решения в них (самостоятельно или в комплексе с другими средствами) задач защиты.

Программные средства являются важнейшей и непременной частью механизма защиты современных систем обработки данных. Такая роль определяется следующими их достоинствами: универсальностью, гибкостью, надежностью, простотой реализации, возможностью модификации и развития. При этом под универсальностью понимается возможность решения программными средствами большого числа задач защиты.

Инструментарий, позволяющий комплексно противодействовать нарушителю информационной безопасности в рамках системы ЗИ, включает в себя следующие программные средства:

· Средство для оценки рисков.

· Сканер безопасности.

· Антивирус.

· Брандмауэр.

· Средство резервного копирования.

· Анализатор лог-файлов.

· Система обнаружения вторжений.

· Система криптографической защиты информации.

· Система обнаружения и предотвращения утечек информации.

Гибкость программных средств защиты заключается в двух характерных особенностях этого класса средств защиты: при параметрической реализации программ защиты они могут автоматически адаптироваться к конкретным условиям функционирования: программные средства защиты могут быть адаптированы в системе различным образом (могут быть включены в состав ОС и СУБД, могут функционировать как самостоятельные пакеты программ защиты, их можно распределить между отдельными элементами системы и т.д.).

Под надежностью понимается высокая программная устойчивость при большой продолжительности непрерывной работы и удовлетворение высоким требованиям к достоверности управляющих воздействий при наличии различных дестабилизирующих факторов. Простота реализации программных средств защиты очевидна по сравнению с возможностью реализации любых других средств защиты.

Аналогично техническим средствам в классификационной структуре программных средств определяющей является классификация по функциональному признаку, т.е. по классу задач защиты, для решения которых предназначаются программы.

Конкретный перечень программных средств защиты может быть самым различным; общее представление об их составе и содержании можно получить по следующему списку:

· проверка прав доступа: по простому паролю, по сложному паролю, по разовым паролям;

· опознавание пользователей по различным идентификаторам;

· опознавание компонентов программного обеспечения;

· опознавание элементов баз данных;

· разграничение доступа к защищаемым данным по матрице полномочий, уровню секретности и другим признакам;

· управление доступом к задачам, программам и элементам баз данных по специальным мандатам;

· регистрация обращений к системе, задачам, программам и элементам защищаемых данных;

· подготовка к выдаче конфиденциальных документов: формирование и нумерация страниц, определение и присвоение грифа конфиденциальности, регистрация выданных документов;

· проверка адресата перед выдачей защищаемых данных в каналы связи;

· управление выдачей данных в каналы связи;

· криптографическое преобразование данных;

· контроль процессов обработки и выдачи защищаемых данных;

· уничтожение остаточной информации в ОЗУ после выполнения запросов пользователей;

· сигнализация при попытках несанкционированных действий;

· блокировка работы пользователей, нарушающих правила защиты информации;

· организация псевдоработы с нарушителем в целях отвлечения его внимания.

В качестве системы обнаружения и предотвращения утечки данных в ОАО "МегаФон" используется программное обеспечение Symantec DLP.

Система Symantec DLP выполняет 3 основные функции:

Мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам связи (email, web, ftp, интернет-пейджеры);

Контроль действий пользователей на своих локальных рабочих станциях (применительно только к операциям, связанным с отторжением конфиденциального содержимого - на USB-накопитель, запись на диски, через локальные сетевые соединения или печать);

Сканирование корпоративной сети предприятия (в том числе файловые сервера, порталы, системы документооборота и конечные рабочие станции) на предмет неупорядоченного хранения сведений конфиденциального характера.

Таков же и модульный состав продукта Symantec DLP.

Перед началом использования программного продукта потребуется предварительно выделить и классифицировать конфиденциальные сведения, которые планируется защищать. Документы в электронном виде необходимо сгруппировать по категориям (финансовые отчеты, персональные данные, и так далее), разложить по файловым папкам или сложить каждую группу в отдельный архив zip. Альтернативно, можно указать системе место хранения документов на сервере, например SharePoint. После этого, технические специалисты компании-интегратора внедряют систему. Внедренная система обратится к хранилищу защищаемых документов, снимет цифровые отпечатки подготовленных документов.

Администратор безопасности компании настраивает правила реагирования на перемещение секретных документов. Система будет обнаруживать похожие документы в потоке трафика (электронная почта, web, ICQ, попытки записи на флешки). Если попадается конфиденциальный документ в потоке, то система Vontu DLP создаст инцидент безопасности, в котором будет указано, кто отправлял, по какому каналу и из какого источника взят этот защищаемый документ. Системе требуется, чтобы хотя бы 10% документа совпало с первоисточником.

Информация о нарушении передаётся ответственному лицу, которое может ознакомиться с письмом, отправленным его подчиненным, принять решение о возбуждении расследования, либо (если действие легитимно) - об изменении правила реагирования. Решение Vontu встраивается в существующую инфраструктуру заказчиков. В случае с системой, развернутой в ОАО "МегаФон": "прозрачный режим" мониторинга почтового и web трафика (рис.2.4):

Рисунок 2.4 - Структурная схема интеграции системы предотвращения утечки данных

Дополнительно выполняется добавление функции перехвата не разрешенной к отправке корреспонденции, сканирования корпоративной сети, контроля устройств на рабочих станциях требует добавления по одному аппаратному модулю на каждый перехватчик (рис. 2.5).

Таким образом, развернутая система обеспечивает:

· автоматизированный аудит мест расположения конфиденциальной информации;

· автоматизированный контроль соответствия установленным в компании процедурам перемещений конфиденциальной информации (создание и обработка инцидентов при неправомерном разглашении секретных сведений, с возможностью их предотвращения);

· отслеживание общего уровня рисков (на основе отчетов по инцидентам);

· контроль утечек информации в режиме немедленного реагирования и в рамках ретроспективного анализа;

· приведение уровня информационной безопасности организации в соответствие с рядом требований стандарта PCI DSS.

Рисунок 2.5 - Схема работы функции сканирования хранимой информации в сети

Сетевые политики безопасности реализованы средствами программного комплекса Symantec Network Access Control.

Symantec Network Access Control (SNAC) - современное решение контроля доступа, которое защищает корпоративную сеть от вторжений неизвестных пользователей, подключения к сети незарегистрированных посторонних устройств и распространения угроз, содержащихся на компьютерах легитимных пользователей. Кроме того, SNAC позволяет обеспечить соблюдение политик безопасности на конечных устройствах.

Решение прекрасно интегрируется с другим продуктом Symantec для защиты конечных устройств сети - Symantec Endpoint Protection (SEP). В сочетании SEP и SNAC предоставляют мощный функционал, обеспечивающий комплексную защиту корпоративной сети любого масштаба. Очень важно что SNAC может работать как дополнительный полностью интегрированный модуль к SEP, так и отдельно - работая совместно с большинством сторонних продуктов по безопасности.