Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Пермский национальный исследовательский политехнический университет

Кафедра автоматики и телемеханики

КУРСОВОЙ ПРОЕКТ

На тему

Комплексная система защиты информации на предприятии

Пермь 2011г.



ВВЕДЕНИЕ

Объектом исследования настоящего курсового проекта является вымышленная, в учебных целях организация - общество с ограниченной ответственностью «Кредит Коллектор».

Предмет исследования - комплексная система защиты информации на ООО «Кредит Коллектор». Построение комплексной системы защиты информации на предприятии сложный процесс, во многом зависящий от правильного понимания деятельности организации, формы собственности, внутренних процессов, размеров и тд. Исходными данными для курсового проектирования служит некоторый вариант задания отражающий в себе характеристики исследуемого объекта.

Цели курсового проекта:

1. Спроектировать комплексную систему защиты информации на конкретном предприятии, отвечающую требованиям надзирающих органов и обладающую свойствами комплексности, системности и достаточности;

2. Оценить эффективность спроектированной системы.

Для достижения целей проекта необходимо выполнить следующие задачи:

1. Провести анализ объекта информатизации, т.е. определить входные данные для построения комплексной системы защиты информации;

Основными категориями входных данных для построения КСЗИ являются:

· правовая информация об объекте;

· организационное устройство объекта, включая систему менеджмента и внутренних процессов;

· информация о местонахождении объекта, его физических особенностях;

· информация о человеческих ресурсах на предприятии;

· информация об исходной защищённости объекта.

2. На базе проведённого анализа разработать следующую документацию:

· перечень сведений конфиденциального характера;

· политика информационной безопасности;

· положение о коммерческой тайне;

· инструкция по организации охраны и пропускного режима;

· частная модель угроз информационной безопасности;

· неформальная модель нарушителя.

3. Спроектировать следующие подсистемы технической защиты информации:

· подсистему контроля и управления доступом;

· подсистему видеонаблюдения;

· подсистему охранной и пожарной сигнализаций;

· подсистему противодействия утечки по техническим каналам;

· подсистему защиты корпоративной сети;

4. Провести анализ эффективности спроектированной системы и сделать выводы по необходимости её внедрения.

Для выполнения изложенных выше задач будет использован комплексный подход. Разработка каждой подсистемы, технической и организационной систем будут согласованы в области организационной, методической и технической совместимости. Для разработки документации будут использованы стандарты менеджмента информационной безопасности серии ISO 27000.



1. АНАЛИЗ И ОПИСАНИЕ ОБЪЕКТА ИНФОРМАТИЗАЦИИ

Описание организации как объекта информатизации первый этап при разработке комплексной системы обеспечения информационной безопасности на предприятии. В соответствии с общей структурой СКЗИ как подсистемы организации в целом, должна строиться на основе функционирования двух подсистем:

1. Функциональной - подсистема, цель функционирования которой обеспечение непрерывности бизнес-процессов, стабильной деятельности организации с помощью технических средств защиты, средств охраны предприятия, нормативной и правовой документации и системы персонала.

2. Обеспечивающей (управляющей) - подсистема, организующая процесс управления функциональным блоком, на основе выполнения функций планирования, организации, мотивации, координации и контроля.

Требования к функциональной подсистеме определяются Федеральными законами РФ, руководящими документами ФСБ и ФСТЭК, государственными стандартами и пр.

Требования к организации управляющей подсистемы в настоящем курсовом проекте определены в рамках ГОСТ Р ИСО 27001-2006, в соответствии с ФЗ «О техническом регулировании» организация обязана выполнять требования государственного стандарта при письменном закреплении такого решения в стратегической документации организации.

1.1 Описание организации как хозяйствующего субъекта

Организация ООО «Кредит Коллектор». Ведет коллекторскую деятельность на предсудебном и судебном этапах. Занимается возвратом долгов юридических лиц в несудебном порядке, взыскиванием долгов в арбитражном суде, покупкой долгов.

Форма собственности: «Кредит Коллектор» коммерческая организация, зарегистрированая как общество с ограниченной ответственностью, на основе частной собственности Уставной капитал 50000 рублей.

Деятельность организации связана с взаимодействием с юридическими и физическими лицами на основе контракта оказания услуг, связанных с коллекторской деятельностью. Клиенты организации предоставляют сведения о своих должниках, и дебиторах. ООО «Кредит Коллектор» имеет дело с коммерческой тайной и персональными данными. Высший гриф конфиденциальности определён как - строго конфиденциально.

1.2 Структура и территориальное расположение предприятия

Объект находится на 5 этаже двенадцатиэтажного офисного здания, в левом крыле. Объект расположен в деловой части города. С трех сторон окружен различными постройками, четвертая сторона выходит на автомобильную дорогу. С запада, на расстоянии 25 метров, расположено высотное офисное здание с парковочной площадкой. С южной стороны, на расстоянии 30 метров, расположено многоэтажное жилое здание. С востока, на расстоянии 25 метров, расположено административное здание. С севера расположена автомобильная дорога.

Защищаемыми помещениями являются кабинет руководителя и помещение для проведения конфиденциальных переговоров. Объект оборудован помещением для ведения конфиденциальных переговоров. Предприятие функционирует 5 дней в неделю. График работы с 8:00 до 17:00, с перерывом на обед с 12:00 до 13:00. В период обеденного перерыва организация не занимается основной деятельностью, служба охраны и в частности сотрудник бюро пропусков в соответствии с инструкцией по охране и пропускному режиму обедают на месте.

Предприятие состоит из следующих структурных подразделений:

· Служба информационной безопасности - служба, выполняющая функции вспомогательных процессов организации, она выполняет функции по информационной безопасности организации, пропускному режиму, организации физической охраны активов. Служба информационной безопасности расположена в служебном помещении (см. рисунок 1);

· Юридический отдел - отдел основных бизнес-процессов предприятия, он занимается работой с делами клиентов, организует деятельность представителей организации в арбитражных судах и исследует финансовую активность должников. Также юридический отдел отвечает за правовое обеспечение деятельности организации как хозяйствующего субъекта, включая правовое обеспечение информационной безопасности. Юридический отдел находится в служебном помещении (см. рисунок 1);

· Бухгалтерия - служба, которая занимается ведением бухгалтерской и налоговой отчётности, по совместительству выполняющая функции финансового отдела, тем самым, распределяя финансовые потоки внутренней и внешней среды организации, в том числе, бухгалтерия финансирует деятельность службы безопасности предприятия;

· Служба охраны - часть службы информационной безопасности, отвечающая за организацию и ведение пропускного режима на предприятии и охранной деятельности. Служба расположена в отдельном помещении. (см. рисунок 1);

· Клиентский отдел - отдел, организующий взаимодействие организации с клиентами. В клиентском отделе заключаются бизнес-контракты организации, предоставляются отчёты о проделанной работе клиентам. Клиентский отдел ведёт кассовые операции по расчёту с клиентами;

· Отдел кадров - выполняет функции по обеспечению вакансий на предприятии, управлению человеческими ресурсами, ведению личных дел сотрудников и организацией развития корпоративной культуры, спортивных и других мероприятий;

· Серверная - хранилище основных баз данных, включая персональные данные 2 категории, и другую информацию с грифом строго конфиденциально. Доступ к серверной имеют только сотрудники отдела безопасности.

Рисунок 1. Структурный состав организации

1.3 Организационная структура предприятия

Организационная структура ООО «Кредит Коллектор» бюрократического типа, классифицируется как линейно-функциональная. В соответствии с такой структурой каждый сотрудник организации подчиняется начальству своего функционального блока, а начальники отделов и служб - генеральному директору и его непосредственному заместителю (см. рисунок 2).



Рисунок 2. Организационная структура ООО «Кредит Коллектор»

В соответствии со стандартом ИСО 27001 организация должна определить область и границы действия СМИБ (организационные, физические, коммуникативные и границы ответственности) с учётом характеристик бизнеса, организации, её размещения, активов и технологий См.: ГОСТ Р ИСО/МЭК 27001-2006 п. 4.2.1 а. СМИБ организации включает в себя генерального директора организации, его заместителя и службы безопасности организации, включая всех её сотрудников. Физические рамки действия СМИБ - границы функционирования объекта, т.е., весь 5 этаж здания. Организационные границы функционирования СМИБ - все подразделения организации обязаны выполнять требования СМИБ, в рамках предоставленных ей полномочий, также требования СМИБ должны выполняться организациями-клиентами, государственными надзирающими органами и учреждениями, непосредственно взаимодействующими с ООО «Кредит Коллектор», в рамках полномочий СМИБ. В области действия СМИБ находятся все основные и вспомогательные процессы функционирования организации, их контроль, в том числе регистрация и координация. Основным документом, регламентирующим деятельность СМИБ, устанавливающим ответственность за нарушение требований, цели и режим функционирования СМИБ является политика информационной безопасности ООО «Кредит Коллектор».



2. РАЗРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ И НОРМАТИВНОЙ ДОКУМЕНТАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ОРГАНИЗАЦИИ

Состав внутренних документов по обеспечению ИБ можно разделить на четыре группы в виде иерархической структуры (см. рисунок 3)

Рисунок 3. Структура внутренней документации по обеспечению ИБ в организации

1. Документы, содержащие положения корпоративной политики ИБ организации (документы первого уровня), определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом. К таким документам должна относятся:

· концепция информационной безопасности;

· политика информационной безопасности;

· границы действия системы обеспечения информационной безопасности (включая перечень сведений конфиденциального характера);

· модель нарушителя и угроз информационной безопасности.

2. Документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации. К таким документам относятся:

· положение о коммерческой тайне;

· политика управления рисками;

· политика корпоративной сети;

· политика системы контроля и управления доступом и тд..

3. Документы, содержащие положения ИБ, применяемые к процедурам, а именно, к порядку выполнения действий или операций обеспечения ИБ (документы третьего уровня). Таки документы содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);

4. Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации.

В данном курсовом проекте множество часть документов будет агрегировано, а часть не будет рассмотрена подробно. В качестве объекта для разработки будут использоваться документы первого, второго и третьего уровня, а именно:

· Перечень сведений конфиденциального характера (1 уровень);

· Политика информационной безопасности (1 уровень);

· Частная модель угроз информационной безопасности (1 уровень);

· Положение о коммерческой тайне (2 уровень);

· Инструкция по организации охраны и пропускного режима (3 уровень).

2.1 Разработка перечня сведений конфиденциального характера

В соответствии с ГОСТ Р ИСО 27001-2006 для обеспечения уверенности в том, что информация защищена на надлежащем уровне её необходимо классифицировать исходя из правовых требований, её конфиденциальности, а также ценности и критичности для организации. В соответствии с принятой в организации системой классификации должна быть разработана и реализована совокупность процедур маркировки и обработки информации См.: ГОСТ Р ИСО/МЭК 27001-2006; Приложение А; п. А 7.2.1, А 7.2.2.

В организации ООО «Кредит Коллектор» информация классифицируется по требованиям СТР-К ФСТЭК, имеющим для данной организации рекомендательный характер. Основными классификационными признаками служат:

1. Принадлежность информации к подразделению организации;

2. Содержание информации в определённых базах данных или на определённых бумажных носителях;

3. По степени и природе конфиденциальности;

4. По сотрудникам, имеющим доступ к информации;

5. По организациям или физическим лицам, имеющим доступ к конфиденциальной информации, но не работающих в ООО «Кредит Коллектор».

Таким образом, для каждого отдела организации можно выделить информацию с которой он работает:

· бухгалтерия - отдел, выполняющий функции финансового учёта и аудита, ведения бухгалтерской и налоговой отчётности, а также все функции по финансированию и управлению финансами организации. В бухгалтерии содержатся сведения о бухгалтерском балансе, налоговые и бухгалтерские отчётности, сведения о финансовом состоянии организации, её счёта (см. приложение 1 п. 3,4,5);

· отдел по работе с клиентами - содержит все сведения, полученные от клиентов организации, сведения о проводимых переговорах и совещаниях, а также, тактические планы и модели развития организации (см. приложение 1 п 6,8,9,10,14);

· юридический отдел - ядро бизнес-процессов организации, так как организация занимается коллекторской деятельностью, юридический отдел выполняет большую часть функций по обеспечению основных процессов деятельности организации, занимается стратегическим и тактическим планированием, принимает участие во всех важных для предприятия событиях. Для данного отдела доступна вся информация за исключением бухгалтерской отчётности и информации о реализации СОИБ;

· отдел кадров - содержит только сведения о сотрудниках организации, основная функция отдела - управление человеческими ресурсами в организации;

· служба безопасности - ввиду своей деятельности допущена практически ко всем сведениям в организации, за некоторым незначительным исключением. Служба безопасности в ООО «Кредит Коллектор», помимо своей основной деятельности, включает в себя службу охраны и системного администратора организации, выполняющего по совместительству функции администратора информационной безопасности. Начальник охраны допускается к сведениям об организации охраны на предприятии и к персональным данным позволяющим идентифицировать сотрудников и клиентов организации. Системный администратор допущен ко всем сведениям электронных баз данных ввиду своей деятельности по их настройке и защите;

· генеральный директор и его заместители имеют допуск ко всей конфиденциальной информации, так как они являются учредителями ООО «Кредит Коллектор».

Для определения связи классов информационных активов, допущенных лиц, внутреннего грифа конфиденциальности и баз данных в которых содержаться активы, в перечень сведений конфиденциального характера включено «приложение А» (см. приложение 1). Таким образом с помощью перечня сведений конфиденциального характера можно определить какой сотрудник допущен к определённому типу информации, каким грифом обладает эта информация и в какой базе данных она находится. В соответствии с ГОСТ Р ИСО 27001-2006, перечень информационных активов, подлежащих защите, является частью корпоративной политики информационной безопасности, т.е. стратегическим документом первого уровня (см. рисунок 3).

В организации ООО «Кредит Коллектор» обрабатывается огромное количество персональных данных, как клиентов, так и сотрудников организации, всего 50 000 субъектов ПД. Для выполнения требований ФСТЭК, и упрощения построения системы защиты ИСПДн, доступ к ПД в перечне сведений конфиденциального характера разбит на 3 группы:

1. Доступ к персональным данным 3 и 4 категории сотрудников организации;

2. Доступ к персональным данным 3 и 4 категории клиентов организации;

3. Доступ к персональным данным всех категорий, любых субъектов.

Такое разделение позволяет ограничить доступ к персональным данным 2 категории сотрудников служб вспомогательных процессов, таких как служба охраны, служба отдела кадров и тд.

Маркировка информации по типам необходима для соблюдения требований стандарта ГОСТ Р ИСО 27001.

В организации ООО «Кредит Коллектор» вся защищаемая информация разделяется на два уровня конфиденциальности:

1. Конфиденциально - к такой информации относится вся защищаемая информация, которая не имеет гриф строго конфиденциально;

2. Строго конфиденциально - такая информация включает:

· персональные данные клиентов и сотрудников организации 2 категории;

· сведения о концепции развития предприятия, стратегические планы развития, функциональные, маркетинговые, финансовые и логистические модели ведения бизнеса;

· тактические планы развития, информация о текущих и плановых контрактах;

· сведения, раскрывающие систему, средства защиты информации, порядок обработки и передачи информационных активов.

2.2 Разработка политики информационной безопасности

В соответствии со стандартом ГОСТ Р ИСО 27001-2006 организация должна определить политику информационной безопасности на основе характеристик бизнеса, организации, её размещения, активов и технологий См.: ГОСТ Р ИСО/МЭК 27001-2006 п. 4.2.1 b.В общем, политика - это общие намерения и указания, официально выраженные руководством. Содержание политики управляет действиями и решениями, касающимися предмета политики. Организация может иметь несколько политик, по одной для каждой сферы деятельности, важной для организации. Некоторые политики независимы одна от другой, в то время как другие политики находятся в иерархическом соотношении. В области безопасности, политики, как правило, иерархически организованы. Обычно политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными политиками, включая политику информационной безопасности и политику системы менеджмента информационной безопасности. В свою очередь, политика информационной безопасности может подкрепляться более детальными политиками по конкретным предметам, относящимся к аспектам информационной безопасности. Многие из этих политик описываются в стандарте ISO/IEC 27002, например, политика информационной безопасности подкрепляется политиками, касающимися контроля доступа, политики "чистого стола" и "чистого экрана", использования сетевых служб и криптографического контроля. В некоторых случаях возможно добавление дополнительных уровней политики.

Рисунок 4. Иерархия политик в организации См.: ГОСТ Р ИСО/МЭК 13335-1-2006 п. 4.3



Таким образом, комплекс верхних политик представляет собой стратегическую документацию организации (см. рисунок 4). В ООО «Кредит Коллектор» из-за небольшого размера организации и относительно небольшой величины защищаемых информационных активов, политика информационной безопасности включает в себя также требования, цели и другие положения политики безопасности и политики системы менеджмента информационной безопасности. Агрегации политик также способствует и то, что в ООО «Кредит Коллектор» служба охраны является подразделением отдела по информационной безопасности, а СМИБ объединяет несколько структурных подразделений организации.

В общем случае Содержание политики основано на контексте, в котором работает организация. В частности, при разработке любой политики в рамках основ нужно принять во внимание следующее (см. рисунок 5):

· цели и задачи организации - представляет собой цели и задачи изложенные в корпоративной политике организации, т.е. цели и задачи политики стоящей на более высоком уровне иерархии (см. рисунок 4). Политика информационной безопасности не должна противоречить основным целям бизнеса организации, и должна играть не ключевую роль, а обеспечивающую в развитии бизнеса;

· стратегии, адаптированные для достижения этих целей - стратегия изложенная в корпоративной политике организации как комплекс стратегических планов, средств и методов для обеспечения выполнения целей организации в долгосрочном периоде;;

· структура и процессы, адаптированные организацией - политика ИБ должна строится таким образом, чтобы не нарушать основную деятельность организации, для этого необходимо провести анализ основных бизнес процессов и сделать соответствие их процессам ИБ. Политика ИБ в случае ООО «Кредит Коллектор» в организации регламентирует вспомогательные и управляющие процессы на предприятии;

· цели и задачи, связанные с предметом политики - политика ИБ должна чётко выразить цели и задачи ИБ, основные аспекты обеспечения ИБ, методы и средства, используемые для этого и требования к организации системы в целом;

· требования связанных политик более высокого уровня - политика ИБ организации должна определять состав и направление мер для обеспечения ЗИ, перечень необходимых для реализации в организации частных политик ИБ, цели и задачи, функции, предъявляемые к связанным политикам ИБ. Также могут определяться документы более низкого уровня, требования к процедурам и инструкции.

Рисунок 5. Исходные данные для разработки политики См.: ГОСТ Р ИСО/МЭК 27003-2011 (проект) приложение D

Состав политики СМИБ и политики ИБ в кратком виде изложен в стандартах ISO 27001 См.: ISO 27001-2005 п. 4.2.1 b и ISO 27002 См.: ISO 27002-2005 п. 5. Объединяя требования стандарта ГОСТ Р ИСО 27001-2006 и рекомендации стандарта ISO 27002, составим политику ООО «Кредит Коллектор», содержащую следующие разделы:

1. Краткое положение политики - основание для разработки политики, место в иерархии политик в организации, соответствие требований каким-либо стандартам В случае ООО «Кредит Коллектор», политика была разработана руководством организации и службой информационной безопасности на основе учредительного документа организации и общей политики бизнеса. В шапке указано что организация берёт на себя обязательства соблюдать требования стандарта ГОСТ Р ИСО 27001-2006;

2. Общие положения - предмет политики, краткое определение ключевых понятий, краткое описание направления действия;

3. Область действия - описание места политики в общей системе стратегической документации, подразделений, отделов, сотрудников на которых направлена данная политика;

4. Цели и задачи - основные цели которые выполняет предмет политики и задачи позволяющие обеспечить данный набор целей, в случае ООО «Кредит Коллектор» цели и задачи политики строятся на всю организацию безопасности в организации, включая СМИБ;

5. Состав СОИБ - в политике ИБ ООО «Кредит Коллектор» определён состав основных систем обеспечивающих безопасность на предприятии, а также детализация до подсистем СОИБ. Такой пункт в политике ИБ необходим из-за соединения в ней регламента как для физической защиты, так и для систем менеджмента защиты информации и информационной безопасности предприятия. (см. приложение 2). Перечень частных политик рекомендуемых для создания в организации определяется стандартом ISO 27003. Политика ООО «Кредит Коллектор» предпологает наличие в организации следующих частных политик:

· положение о коммерческой тайне;

· политика контроля доступа;

· политика управления рисками;

· политика резервного копирования;

· политика использования корпоративной сети;

· политика обмена информацией между организациями;

· политика ведения записей;

· политика использования мобильных средств связи.

Разработка и представление таких политик в отчёте не представляется возможным ввиду их общего объёма.

6. Принципы - описание правил, касающихся действий и решений для достижения целей, ключевые процессы, связанные с выполнением политики и правила организации таких процессов. В политике ООО «Кредит Коллектор» определяются требования к общей структуре ИБ, к менеджменту ИБ, к управлению рисками ИБ, к физической охране ИБ, к разграничению полномочий и ответственности в сфере ИБ и др.;

7. Сферы ответственности - раздел рассматривает сотрудников которые отвечают за действия по выполнению данной политике в области её действия, роли менеджеров в обеспечении выполнения политики всеми сотрудниками организации;

8. Политики в области безопасности - описание других политик которые существуют в организации для выполнения целей данной политики (см. рисунок 4). По классификации, изложенной в начале торой главы курсового проекта, этот раздел представляет номенклатуру внутренних документов второго уровня в организации (см. рисунок 3).

Политика информационной безопасности ООО «Кредит Коллектор» составлена начальником юридического отдела, как представителем основной деятельности организации, знающим интересы предприятия тактические и стратегические планы его развития, начальником службы охраны и начальником службы безопасности.

2.3 Разработка положения о коммерческой тайне

Положение о коммерческой тайне является локальным нормативным актом, регламентирующим отношения между работником и работодателем, связанных с обеспечением конфиденциальности сведений, составляющих КТ. Данный документ содержит сущность коммерческой тайны, её общий состав, порядок допуска к таким сведениям, положения, разъясняющие работнику особенности режима коммерческой тайны и ответственность за ее разглашение. Положение о коммерческой тайне компании утверждается ее руководителем. Факт ознакомления работников компании необходимо оформлять документально «под роспись». Для чего необходимо оформить журнал ознакомления с положением о коммерческой тайне в электронном или бумажном исполнении. Однозначно, положение о коммерческой тайне относится к стратегической документации организации второго уровня (см. рисунок 3) и составляется на основе политики информационной безопасности и перечня сведений конфиденциального характера. Альтернативой положения о коммерческой тайне в организации может служить политика режима коммерческой тайны.

Допуск к коммерческой тайне в ООО «Кредит Коллектор» осуществляется в пять этапов:

1. Ознакомление и согласие с пунктом трудового договора о согласии работать с конфиденциальной информацией и о неразглашении такой информации;

2. Направление, по необходимости допуска сотрудника исходя из должностной инструкции или по собственной инициативе, уведомления о желании работать с указанным видом коммерческой тайны на имя генерального директора или руководителя службы безопасности предприятия;

3. Приказ руководителя службы безопасности или генерального директора о включении работника в перечень лиц, имеющих допуск к КТ;

4. Ознакомление с положением о КТ;

5. Подпись и отметка об ознакомлении с положением о КТ в соответствующем журнале (см. форму в таблице 1);

Таблица 1

Форма журнала ознакомления сотрудников с коммерческой тайной

№	Ф.И.О. работника	Должность	Структурное подразделение	Дата и номер приказа о допуске сотрудника	С положением ознакомлен (подпись, дата)
1	Голицын Г.Г.	бухгалтер	бухгалтерия	02.03.2011 №5	Голицыннн 02.05.2011
2	Павлов Ф.Ф.	Начальник отдела	Отдел по работе с клиентами	02.03.2011 №7	Павловввв 02.05.2011
3	Хорьков Ф.В.	Вертухай	Бюро пропусков	05.04.2011 №11	Хорьков 04.06.2011
…	…	…	…	…	…

Состав положения о коммерческой тайне. Для организации ООО «Кредит Коллектор» было разработано положение о коммерческой тайне как документ регламентирующий режим допуска и порядок отнесения информации к КТ.

Рассмотрим состав разработанного приложения (см. приложение 3):

1. Преамбула. Располагается под наименованием документа и определяет краткое содержание, направленность документа, либо ссылки на правовые источники. В положении о КТ ООО «Кредит Коллектор» в преамбуле указано что положение составлено на основе Федеральных законом регламентирующих вопросы, связанные с коммерческой тайной.

2. Общие положения. В таком разделе указываются цели и задачи положения, кому оно адресовано, какой смысл положение имеет в системе прочей организационной документации. В положении о коммерческой тайне ООО «Кредит Коллектор» определен тип сотрудников, ознакомление с положением которых необходимо, также указано, что лица работающих на контрактной основе с организацией и лица, работающие на договорных основаниях в организации, но не являющиеся её сотрудниками обязаны ознакомиться и сделать соответствующую отметку в журнале.

3. Полномочия службы безопасности, отдельных сотрудников по отношению к режиму этого положения. В ООО «Кредит Коллектор» ответственным за составление, корректировку и за контроль выполнения настоящего положения является руководитель службы безопасности предприятия.

4. Порядок отнесения сведений к коммерческой тайне. В данном разделе могут указываться любые требования руководства по порядку отнесения сведений к коммерческой тайне, в частности это относится к порядку изменения всего перечня конфиденциального характера.

5. Информация, составляющая коммерческую тайну. В зависимости от исполнения организационной документации, в положение о коммерческой тайне могут включать перечень сведений отнесённых к коммерческой тайне, выделенный из общего перечня защищаемой информации, либо составленный на его основании. Также в этом разделе могут указываться признаки, группы, страты позволяющие отнести информацию к сведениям, составляющим коммерческую тайну. В ООО «Кредит Коллектор» было решено создать единый перечень сведений составляющих конфиденциальную информацию, и тем самым работать с общим перечнем для коммерческой тайны и персональных данных.

6. Обязательства сотрудников. Один из основных разделов документа, в котором должны определяться требования, предъявляемые к сотрудникам организации по отношению режима конфиденциальности коммерческой тайны.

7. Порядок допуска к коммерческой тайне. В разделе указывается режим допуска к коммерческой тайне, и его расторжения. Процедура допуска в ООО «Кредит Коллектор» описана в начале главы.

8. Ответственность за разглашение коммерческой тайны. Классифицируется ответственность сотрудников за правонарушение. В соответствии с законодательством предусмотрено три вида ответственности при разглашении коммерческой тайны:

· уголовная ответственность по статье 183 УК РФ - умышленное незаконное получение и распространение сведений, составляющих коммерческую тайну;

· гражданско-правовая ответственность 2 часть ГК РФ - ответственность, связанная с нарушением договорных обязательств субъектов;

· дисциплинарная ответственность См.: Трудовой кодекс РФ Статья 192 - ответственность, связанная с нарушением трудового договора сотрудниками организации, крайней мерой дисциплинарной ответственности за разглашение коммерческой тайны может быть увольнение по инициативе работодателя. В соответствии с Трудовым кодексом РФ, работодатель может принять решение о увольнении сотрудника при неоднократном и (или) грубом нарушении режима конфиденциальности КТ См.: Трудовой кодекс РФ Статья 81 п. 6 в ;

· материальная ответственность - никак не связана с другими видами ответственности, и заключается в возмещении прямых и косвенных убытков от разглашения коммерческой тайны организации. Режим и случаи ответственности установлены Гражданским кодексом, Федеральными законами и тп., а мера, порядок взыскания, обстоятельства, не позволяющие работодателю применять материальную ответственность, указаны в трудовом кодексе РФ См.: Трудовой кодекс РФ Статьи 238-248;

В положении о коммерческой тайне ООО «Кредит Коллектор» указана общая ссылка на законодательство РФ при нарушении КТ, назначена высшая мера дисциплинарной ответственности и сказано что при грубом нарушении режима КТ и при составе преступления в этом работодатель обращается в правоохранительные органы;

9. Заключительные положения. В разделе указываются порядок действия руководителя при несогласии с положением.

В положение о КТ могут включаться и другие разделы, так как состав и содержание положения о коммерческой тайне не регламентируется законодательством РФ и стандартами в области информационной безопасности. Множество организаций считает, что в создании положения о КТ нет необходимости вследствие отсутствия его практического применения, но в небольших организациях такое положение может стать одним из основных организационных документов по защите информации. В организации ООО «Кредит Коллектор» из-за небольших размеров организации и отсутствия детализации в этом направлении документации, создание положения о КТ сочли необходимым в системе документации СОИБ.

Меры управления по ГОСТ Р ИСО 27001-2006 См.: ГОСТ Р ИСО/МЭК 27001-2006 приложение А, осуществляемые по отношению к режиму КТ в положении о КТ ООО «Кредит Коллектор»:

1. А 6.1.5 Соглашение о соблюдении конфиденциальности;

2. А 6.2.2 Рассмотрение вопросов безопасности при работе с клиентами;

3. А 6.2.3 Требования безопасности в соглашениях со сторонними организациями;

4. А 7.1.3 Приемлемое использование активов;

5. А 7.2.1 Основные принципы классификации информационных активов;

6. А 7.2.2 Маркировка и обработка информации;

7. А 8.1.1 Функции и обязанности персонала по обеспечению безопасности;

8. А 8.1.3 Условия трудового договора;

9. А 8.2.1 Обязанности руководства;

10. А 8.2.3 Дисциплинарная практика;

11. А 8.3.1 Ответственность по окончанию трудового договора;

12. А 8.3.3 Аннулирование прав доступа;

13. А 10.2.1 Безопасность при оказание услуг;

14. А 13.2.1 Ответственность и процедуры;

15. А 15.1.1 Определение применимых норм;

16. А 15.1.3 Защита учётных записей организации;

17. А 15.1.4 Защита данных и конфиденциальность персональной информации;

18. А 15.2.1 Соответствие политикам и стандартам безопасности;

19. А 15.2.2 Проверка технического соответствия требованиям безопасности.

Использование таких мер управления, позволяет создать СОИБ соответствующую стандарту ГОСТ Р ИСО 27001.

Для полного соответствия системы стандарту, необходимо создать такой же режим конфиденциальности по отношению к другой защищаемой информации, т.е. к персональным данным. В организации ООО «Кредит Коллектор» имеется положение о ПД, содержание которого примерно совпадает с положением о КТ, разница заключается в алгоритме получения допуска и в грифах конфиденциальности персональных данных. Обеспечение безопасности ПД и КТ в соответствующих положениях составляют целостную систему режимной документации защищаемой информации в ООО «Кредит Коллектор».

2.4 Разработка инструкции по организации охраны и пропускного режима

Инструкция по организацию охраны и пропускного режима в ООО «Кредит Коллектор» является основным документом по организации физической защиты активов. Так как организация имеет достаточно небольшие размеры, было принято решение объединить инструкцию по охране, инструкцию по режиму и некоторые положения должностных инструкций сотрудников службы охраны и бюро пропусков.

Основные характеристики необходимые для написания инструкции:

1. Количество сотрудников в организации - 20 человек. Организация состоит из 20 человек, из этого можно сделать ряд выводов: система защиты не должна быть громоздкой, должна быть эффективной в рамках микро организации, окупаться в небольшие сроки 3-5 лет, необходимо сделать систему документации таким образом, чтобы она не была избыточной. Для такой организации документации необходимо агрегировать общие и частные горизонтальные инструкции. С целью упрощения охраны объекта, в помещениях установлено видеонаблюдение, у охранников при себе нет табельного оружия, а в случае ЧС используются силы группы быстрого реагирования, ценные объекты застрахованы;

2. Структура службы охраны - структура службы охраны включает в себя минимум сотрудников, и их предназначение не силовой контроль и защита, а регистрация событий и в случае ЧС вызов группы быстрого реагирования. Таким образом, служба охраны делегирует свои функции сторонним организациям, что позволяет сделать систему эффективной для микро предприятия:

· Начальник службы охраны, подотчётен руководителю службы безопасности;

· Два охранника сменной работы, сутки через двое;

· Сотрудник бюро пропусков.

3. Виды пропусков - система пропусков сделана таким образом, что сотрудники организации имеют постоянные пропуски, с помощью которых осуществляется вход через КПП, и доступ к конкретным помещениям, таким как :серверная, бухгалтерия и тп. Такая организация позволяет ограничить пребывание сотрудников в отделах чужих функциональных подразделений. Временные пропуска - механизм осуществления допуска на объекты лиц, работающих на временных договорных отношениях. Особенности временных пропусков таковы, что допуск осуществляется только через центральный КПП, допуск в отдельные помещения устанавливается тем, кто выдаёт такой пропуск, в соответствии с целями пребывания лица, получающего такой пропуск. Разовый пропуск служит путёвкой в организацию, их выдают клиентам либо сотрудникам государственных надзирающих органов. За лицами, имеющими разовый пропуск, охранник с помощью видеонаблюдения обязан вести усиленный контроль:

· постоянный;

· временный;

· разовый.

Таким образом, исходя из особенностей организации, была сформирована инструкция по организации охраны и пропускного режима (см. приложение 4), включающая в себя следующие положения:

· цели и задачи охраны;

· перечень основных объектов охраны;

· состав службы охраны и распределение обязанностей;

· основные положения организации пропускного режима, включая особенности защиты конкретных помещений, организацию пропускного режима на КПП, виды пропусков и тп.

2.5 Оценка рисков и разработка частной модели угроз

Систему защиты информации на предприятии можно представить как непрерывное противодействие владельца активов и нарушителя, пытающегося за счёт создания угроз информационной безопасности, при помощи воздействия на уязвимости активов создать риск безопасности активов. Владелец для противодействия нарушителю принимает контрмеры по уменьшению риска за счёт воздействия на уязвимости (см. рисунок 6). Такое представление системы защиты позволяет строить модели информационной безопасности на основе теории игр. В таком случае участниками будут соответственно владелец активов и нарушитель, а в качестве матрицы сценариев для каждого участника будут использованы возможные действия над элементами (угрозы, уязвимости, активы, риски, контрмеры). Таким образом, будет матричная, некорпоративная игра с ненулевой суммой: выигрышем для злоумышленника будет количественная величина нанесённого ущерба, а для владельца - величина упущенного выигрыша злоумышленника, в оптимальном решении игры - сохранение полной стоимости активов и предотвращение ущерба.

Рисунок 6. Процессный подход к защите информации См.: ГОСТ Р ИСО/МЭК 15408-2008 п. 5.1.1

Таким образом, исходя из процессного подхода к защите информации, деятельность по защите должна строиться на последовательном решении следующих задач:

1. Идентификации активов;

2. Идентификации и построения модели нарушителя;

3. Идентификация и построение модели угроз информационной безопасности;

4. Идентификация уязвимостей активов и системы защиты;

5. Оценка комплексного показателя возможности нанесения ущерба владельцу активов - риска;

6. Принятие решения о защите информации от имеющихся рисков информационной безопасности.

Комплекс мер по планированию, организации, координации и контроля выполнения указанных задач, документированию процессов, регламентированию действий процесса защиты - есть организационная составляющая защиты информации.

Техническая составляющая - сущность самих контрмер в техническом обличии, это может быть специальное оборудование и средства защиты, средства непосредственной физической охраны активов и тд.

Рассмотрим систему информационной безопасности ООО «Кредит Коллектор» в соответствии с процессным подходом к защите информации. Решение проблемы по идентификации активов представлено в разделе 2.1, результатом такой оценки является документально оформленный перечень сведений конфиденциального характера.

Идентификация нарушителя - комплексная задача организационной и технической защиты информации, такая задача решается при создании всего комплекса документов по защите информации, всех уровней (см. рисунок 3). Построение модели нарушителя - сложная и многоаспектная стратегическая задача высшего управляющего звена службы информационной безопасности. В рамках данного отчёта ограничимся тем, что в организации ООО «Кредит Коллектор» такая модель существует и отлично выполняет свои функции, в виде документа высшего уровня на ряду с политикой информационной безопасности.

Цель настоящего раздела - построение модели угроз ИБ. Так как организация ООО «Кредит Коллектор» небольшого размера, но содержит огромное количество персональных данных и коммерческой тайны, модель угроз будет объединять в себе уязвимости организации, угрозы ИБ и риски ИБ как результативный комплексный показатель. Оценка рисков будет производиться экспертными методами, включая метод многомерного шкалирования. За основу для построения модели угроз использованы рекомендации ISO 27005, ISO 13335-3.

Частная модель угроз включает в себе пять блоков, на основе которых выполняется оценка рисков и вывод об их актуальности, зафиксированный в приложениях к частной модели угроз:

1. Основные уязвимости, оцененные экспертами как актуальные для ООО «Кредит Коллектор» - позволяют идентифицировать угрозы безопасности (см. рисунок 6). Перечень уязвимостей активов есть отправная точка для деятельности комиссии по анализу рисков. Изменение такого перечня в частной модели угроз в ООО «Кредит Коллектор» не рекомендуется;

2. Уровни информационной инфраструктуры - позволяют оценить уровень угрозы ИБ с точки зрения распределения информационных потоков. Идентификация таких уровней в модели угроз позволяет направлять использовать деятельность по защите от конкретных угроз в конкретные подразделения. Например, угроза на физическом уровне, скорее всего, будет адресована подразделению занимающемуся физической охраной активов.;

3. Источники угроз ИБ - основа для построения модели нарушителя, позволяет идентифицировать источник угрозы при построении системы защиты от конкретных угроз. Эксперты используют этот показатель для составления перечня актуальных угроз;

4. Критерии оценки безопасности информационных активов такие критерии в частной модели угроз ООО «Кредит Коллектор» установлены исходя из законодательства РФ См.: Федеральный закон №149 «Об информации, информационных технологиях и о защите информации»;

5. Метод оценки рисков угроз ИБ - в частной модели угроз ООО «Кредит Коллектор» описана методика обработки и оценки рисков, Основой служит экспертные методы. Риск состоит из двух показателей:

· Вероятность реализации угрозы - определяется экспертами на основе статистических данных, собственного опыта и опыта других организаций. Экспертная комиссия в количестве 5 человек присваивает каждой угрозе показатель от 1 до 1000, значение которого совпадает с долями от вероятности реализации угрозы.

· Ущерб от реализации угрозы - определяется таким же образом, как и вероятность, эксперты присваивают в зависимости от своих предположений оценку по каждой угрозе. 1 балл соответствует ущербу в одну тысячу рублей.

На основе этих двух показателей рассчитывается мера риска равная их произведению. Таким образом, с помощью этого показателя можно дать оценку важности угрозы, и строить методику оценки эффективности системы защиты (см. раздел 3.6).

Исходя из деятельности организации, её особенностей, модели нарушителя, перечня сведений конфиденциального характера и политики информационной безопасности были произведены следующие действия для создания частной модели угроз:

1. Была создана экспертная комиссия по анализу имеющейся системы защиты информации в организации, и на основании этого был сформулирован перечень уязвимостей информационных активов с помощью последовательно применённого метода мозгового штурма и метода многокритериальной оценки;

2. С помощью той же экспертной комиссии был оформлен предварительный перечень угроз ИБ;

3. На основании имеющихся уязвимостей активов и текущей системы безопасности, экспертной комиссией по каждой угрозе ИБ была проведена оценка вероятностной составляющей оценки риска и оценка возможного ущерба от реализации такой угрозы. Общая схема деятельности По результатам оценки рисков по каждой угрозе ИБ могут быть приняты следующие типы решений:

· Сохранение риска - для тех угроз, вероятность реализации которых ничтожна, либо ущерб от реализации которой считается приемлемым. Критерии для отсева таких рисков определяются в задании на обработку рисков. Угрозы с таким риском не представлены в частной модели угроз и отсеяны на этапе обработки рисков.

· Снижение риска - действия направленные на: исправление, устранение, предотвращение, минимизацию воздействия, сдерживание, обнаружение, восстановление, контроль и понимание риска. В общем случае деятельность по снижению риска показана на рисунке 7. Перечень угроз, риск реализации которых требует снижения, является основной частью модели угроз. Требования по снижению уровня риска определяются на основании модели угроз частными политиками информационной безопасности и другой документацией.

· Предотвращение риска - Когда идентифицированные риски считаются слишком высокими или стоимость осуществления других вариантов обработки риска превышает выгоду, может быть принято решение, чтобы избежать риска полностью, уходя из запланированной или существующей деятельности, совокупности видов деятельности или изменяя условия при которых управляют деятельностью. Например, вызванные природные риски могут быть более эффективно решены в стоимостном эквиваленте по сравнению с альтернативой, если физически переместить средства обработки информации в место, где риск не существует или находится под контролем. В случае ООО «Кредит Коллектор» использует методы предотвращения риска путём регламентации видов деятельности организации в уставе, например, организация не занимается вопросами, связанными с государственной тайной и с обработкой персональных данных 1 категории;

· Перенос риска - Перенос риска затрагивает решение разделить определ?нные риски с внешними сторонами. Перенос риска может создать новые риски или изменить существующие идентифицированные риски. Поэтому может быть необходимой дополнительная обработка риска. Перенос может быть сделан страхованием, которое поддержит последствия или, заключая субподрядный договор на партн?ра, роль которого будет должна контролировать информационную систему и предпринять непосредственные действия, чтобы остановить атаку прежде, чем она сделает определ?нный уровень повреждений. Деятельность ООО «Кредит Коллектор» заключается в приёме рисков сторонних организаций, снижении их и получении на этом прибыли. Что касается рисков ИБ, организация использует страхование оборудования, включая сервера и СВТ.

Рисунок 7. Деятельность СИБ по снижению риска реализации угрозы ИБ См.: ГОСТ Р ИСО/МЭК 13335-1-2006 п. 3.9

После описанной выше оценки рисков, эксперты по ИБ составили частную модель угроз включающие как угрозы коммерческой тайне, так и угрозы персональным данным. Для выполнения требований ФСТЭК оценка рисков осуществления угроз ПД была проведена с помощью методики ФСТЭК, а частная модель угроз была разработана на основании базовой модели угроз ФСТЭК.

4. После составления частной модели угроз предпринимаются организационные и технические меры по противодействию угрозам ИБ. В ООО «Кредит Коллектор» такие меры описываются в частных политиках безопасности, положениях о КТ и ПД, требованиях к процедурам ИБ, должностных инструкциях и записях по ИБ.



3. РАЗРАБОТКА ПОДСИСТЕМ КСЗИ

3.1 Разработка подсистемы контроля и управления доступом

Объекты, подлежащие оснащению системой контроля и управления доступа:

1. КПП;

2. Бухгалтерия;

3. Отдел безопасности;

4. Серверная;

5. Кабинет руководителя;

6. Помещение для проведения конфиденциальных переговоров.

Системой контроля и управлением доступа решаются следующие задачи:

· контроля и управления доступом сотрудников и посетителей на территорию объекта;

· контроля и управления доступом сотрудников и посетителей в ряд помещений;

· автоматического ведения баз данных доступа в пределах защищаемого объекта.

Общее количество пользователей системы:

В организации на постоянной основе работает 20 сотрудников. Среднее количество прибывающих в организацию клиентов - 5 человек в час.

Тип идентификаторов пользователей: бесконтактные карты MIFARE Classic 4k. На картах постоянных пользователей (сотрудников предприятия) размещается фотография, логотип компании и иная информация о сотруднике. На временных картах клиентов не размещается никакой информации о посетителе.

Территория предприятия оборудована одним КПП для персонала. Максимальная нагрузка на проходную - 120 чел/час.

Для управления СКУД используется одно автоматизированное рабочее место, расположенное на посте охраны. АРМ поста охраны защищено от НСД и вредоносного программного обеспечения с помощью DeviceLock и антивирус Касперского 6.0. Соединение с другими АРМ по ЛВС отсутствует.

Система контроля и управления доступом согласована с системой видеонаблюдения и системой охранно-пожарной сигнализации при помощи интегрированной системы безопасности ИСБ-1.

Структура приоритетности защищаемых зон:

Высший приоритет: Кабинет директора, помещение для проведения конфиденциальных переговоров.

Средний приоритет: бухгалтерия, отдел безопасности, серверная.

Низший приоритет: КПП.

Описание работы системы

Сотрудники предприятия проходят КПП, поднося постоянный пропуск к считывателю карт на турникете. Факт идентификации личности записывается на АРМ СКУД (регистрируется время идентификации и Ф.И.О. сотрудника).

Посетители предприятия получают временны пропуск при предъявлении удостоверения личности. Процедура выдачи пропуска фиксируется в электронном журнале учета выданных пропусков. После выдачи пропуска, посетитель может пройти на территорию предприятия. При выходе, посетитель обязан сдать временный пропуск на КПП. В журнале делается отметка об убытии посетителя, и сдаче пропуска.