Зміст:
1. Введення в проблему
2. Резюме продукту
3. Загрози і уразливості на підприємстві
4. Фактична захищеність підприємства
5. Можливі канали витоку інформації
6. Пропоновані заходи щодо захисту
7. Об'єкти поставки проекту
8. Оцінка вартості системи захисту та оцінка ефективності
9. Пропозиція, обмеження, винятки
10. Структура розбиття робіт
11. Структурна схема організації
12. Матриця відповідальності
13. Мережевий графік і діаграма Ганта
14. Ризики проекту
15.Заключеніе
1. Введення в проблему
Ефективне управління проектами - це інтеграція інформаційних систем планування з управлінськими процедурами та організаційною структурою. При цьому покупка вдалого програмного забезпечення не рівносильна успішної постановці управління проектами в організації.
Для ефективного управління проектом створення системи інформаційної безпеки необхідно перетворити проект в послідовність дій мають чітко визначені цілі, обмежених у часі і допускають незалежні процедури верифікації. У принципі моніторинг процесу може здійснювати одна людина, але висока критичність прийнятих рішень та їх глибокий взаємозв'язок з найважливішими бізнес-процесами компанії вимагає прийняття зважених рішень за участю максимально можливого (з точки зору забезпечення оперативності) числа задіяних осіб.
Серед основних ознак проекту можна виділити:
· Унікальність і неповторність цілей і робіт проекту;
· Координоване виконання взаємопов'язаних робіт;
· Спрямованість на досягнення кінцевих цілей;
· Обмеженість у часі (наявність початку і закінчення);
· Обмеженість у ресурсах.
Будь-який проект існує не ізольовано, а в оточенні безлічі різних суб'єктів і, відповідно, під впливом чиниться ними впливу.
Проект має ряд властивостей: виникає, існує і розвивається в певному оточенні, званому зовнішнім середовищем, склад проекту не залишається незмінним у процесі його реалізації та розвитку: у ньому можуть з'являтися нові елементи (об'єкти) і віддалятися з його складу інші елементи.
Без Комплексної системи захисту інформації жодне підприємство не зможе вести успішну діяльність.
У розглянутій мною фірма «ІТ Енігма» циркулює велика кількість інформації конфіденційного характеру доступ до якої необхідно обмежити. Тому, необхідно розробити таку систему по захисту інформації, при якій загрози витоку конфіденційної інформації будуть мінімальні. При цьому на підприємстві вже є деякі заходи щодо захисту інформації.
2. Резюме продукту
Компанія «ІТ Енігма» представляє широкий спектр послуг:
- Діагностика захищеності комп'ютерних систем
- Аудит безпеки корпоративних мереж
- Супровід і підтримка безпеки інформаційних систем
- Атестація об'єктів інформатизації на відповідність вимогам з обробки конфіденційної інформації
- І тд.
На підприємстві циркулюють відомості конфіденційного характер, такі як: комерційна таємниця, персональні дані, інформація для службового користування.
Клієнтами компанії є велика кількість великих організацій, серед яких:
- Цинковий завод (м. Челябінськ)
- Обласний радіотелевізійний передавальний центр (м. Челябінськ)
- Промислова група "Річел" (м. Челябінськ)
- Компанія "Фрост-Інвест" (м. Челябінськ)
- ТОВ "Фінансове агентство" Мілка-Інвест "(м. Челябінськ)
- ВАТ "Уралінвестенерго" (м. Єкатеринбург.)
- Південноуральська реєстраційна палата (м. Челябінськ)
- ТОВ "Аеросервіс (м. Челябінськ)
Основними документами конфіденційно характеру на підприємстві є:
1. Наказ про заходи захисту
2. Наказ про призначення комісії з підготовки та забезпечення проведення атестації об'єктів інформатизації
3. Наказ про категоріювання та класифікації об'єктів обчислювальної техніки
4. Наказ про введення в експлуатацію ПЕОМ
5. Наказ про введення режиму комерційної таємниці на підприємстві
6. Положення про службу безпеки фірми
7. Положення про відділ адміністрування та технічного супроводу інформаційних систем
8. Положення про визначення вимог по захисту (категоріювання) ресурсів автоматизованої системи організації
9. Положення про групу інженерно-технічного захисту інформації
10. Положення про охоронно-пропускному режимі підприємства
11. Положення про структуру служби безпеки
12. Положення про відділ захисту інформації
13. Положення про комп'ютерну мережу організації
14. Положення про системного адміністрування комп'ютерної мережі організації
15. Концепція забезпечення безпеки інформації в автоматизованій системі організації
16. Нормативно-методична документація щодо здійснення діяльності, пов'язаної з проведенням атестації об'єктів
17. Посадові інструкції працівників підприємства
18. Трудові договори співробітників, що працюють з конфіденційною інформацією
19. Список постійних користувачів певного ПЕОМ, допущених до приміщення, і встановлені ним права доступу до інформації та технічних ресурсів ПЕОМ
20. Перелік співробітників підприємства, що мають доступ у засобам АС і до оброблюваної на них інформації
21. Генеральний план розвитку організації
22. План інвестицій підприємства
23. Бюджет організації
24. Боргові зобов'язання підприємства
25. Звіт про рівень доходів підприємства
26. Звіт про рівень виручки підприємства
27. Договір підряду на режимне обслуговування клієнтів
28. Договори надання послуг
29. Договори, укладені з постачальниками обладнання
30. Договори, укладені з клієнтами
Внутрішніми суб'єктами доступу до інформаційних ресурсів підприємства є:
А) Співробітники організації, користувачі внутрішньої корпоративної мережі, наділені повноваженнями та рівнем доступу, необхідним для здійснення безпосередньої діяльності
Б) Адміністратори внутрішньої мережі і служба безпеки організації, що здійснюють контроль над безпекою внутрішньої мережі організації
Основними об'єктами захисту на підприємстві «ІТ Енігма» є: конфіденційна інформація, автоматизовані робочі місця
Конфіденційна інформація в структурних підрозділах підприємства обробляється за допомогою офісних додатків, спеціального програмного забезпечення з використанням систем управління базами даних.
На підприємстві «ІТ Енігма» вже існують деякі заходи щодо захисту інформації:
1) Автоматизовані робочі місця, на яких проводиться робота з конфіденційною інформацією, не під'єднані до мережі Internet
2) Існує режим та інструкція з протипожежної безпеки
3) На головному вході встановлена камера відеоспостереження
4) Існує графік відвідувань
5) На АРМ встановлено противірусну програмне забезпечення
6) Існує перелік конфіденційної інформації
7) Існують посадові інструкції співробітників
8) Кожне АРМ має свій особистий пароль входу
9) На вікнах встановлені грати
10) Кожне робоче місце відокремлено перегородкою, що утрудняє перегляд знаходиться на моніторі і на робочому столі інформації
11) На дверях до кабінету директора встановлені автоматичні доводчики.
На сервері і робочих місцях застосовуються операційні системи MS Windows, що дозволяє застосувати сертифіковані засоби захисту від несанкціонованого доступу.
Можливий витік інформації каналами ПЕМВН, по ефіру, по кабелях, що виходять за межі КЗ.
3. Загрози і уразливості на підприємстві
1. Автоматизоване робоче місце співробітника
2. Серверна кімната
3. Конфіденційна інформація
Організаційні заходи:
1. Доступ до кабінету керівника в його відсутність здійснюється тільки в присутності секретаря. Ключ від приміщень зберігається у секретаря.
2. У всі приміщення фірми мають доступ лише персонал організації та клієнти, які уклали договір на надання послуг з підприємством.
3. Відвідувачі, які очікують прийому, перебувають у приймальні під наглядом секретаря. Очікують заборонено проходити далі приймальної без дозволу керівника організації.
4. Вхід людей до будівлі здійснюється через контрольно-пропускний пункт на 1-му поверсі будівлі. Охорона на КПП організована ПОП «ХХХ», парковка автотранспорту необмежена.
5. Вхід людей у приміщення підприємства ТОВ «ІТ Енігма» здійснюється через двостулкові металеві двері з відеодомофонів і магнітним ключем. Для входу в приміщення співробітники організації використовують ключі, відвідувачі користуються відеодомофонів.
Правові заходи: 1. Введення в проблему
2. Резюме продукту
3. Загрози і уразливості на підприємстві
4. Фактична захищеність підприємства
5. Можливі канали витоку інформації
6. Пропоновані заходи щодо захисту
7. Об'єкти поставки проекту
8. Оцінка вартості системи захисту та оцінка ефективності
9. Пропозиція, обмеження, винятки
10. Структура розбиття робіт
11. Структурна схема організації
12. Матриця відповідальності
13. Мережевий графік і діаграма Ганта
14. Ризики проекту
15.Заключеніе
1. Введення в проблему
Ефективне управління проектами - це інтеграція інформаційних систем планування з управлінськими процедурами та організаційною структурою. При цьому покупка вдалого програмного забезпечення не рівносильна успішної постановці управління проектами в організації.
Для ефективного управління проектом створення системи інформаційної безпеки необхідно перетворити проект в послідовність дій мають чітко визначені цілі, обмежених у часі і допускають незалежні процедури верифікації. У принципі моніторинг процесу може здійснювати одна людина, але висока критичність прийнятих рішень та їх глибокий взаємозв'язок з найважливішими бізнес-процесами компанії вимагає прийняття зважених рішень за участю максимально можливого (з точки зору забезпечення оперативності) числа задіяних осіб.
Серед основних ознак проекту можна виділити:
· Унікальність і неповторність цілей і робіт проекту;
· Координоване виконання взаємопов'язаних робіт;
· Спрямованість на досягнення кінцевих цілей;
· Обмеженість у часі (наявність початку і закінчення);
· Обмеженість у ресурсах.
Будь-який проект існує не ізольовано, а в оточенні безлічі різних суб'єктів і, відповідно, під впливом чиниться ними впливу.
Проект має ряд властивостей: виникає, існує і розвивається в певному оточенні, званому зовнішнім середовищем, склад проекту не залишається незмінним у процесі його реалізації та розвитку: у ньому можуть з'являтися нові елементи (об'єкти) і віддалятися з його складу інші елементи.
Без Комплексної системи захисту інформації жодне підприємство не зможе вести успішну діяльність.
У розглянутій мною фірма «ІТ Енігма» циркулює велика кількість інформації конфіденційного характеру доступ до якої необхідно обмежити. Тому, необхідно розробити таку систему по захисту інформації, при якій загрози витоку конфіденційної інформації будуть мінімальні. При цьому на підприємстві вже є деякі заходи щодо захисту інформації.
2. Резюме продукту
Компанія «ІТ Енігма» представляє широкий спектр послуг:
- Діагностика захищеності комп'ютерних систем
- Аудит безпеки корпоративних мереж
- Супровід і підтримка безпеки інформаційних систем
- Атестація об'єктів інформатизації на відповідність вимогам з обробки конфіденційної інформації
- І тд.
На підприємстві циркулюють відомості конфіденційного характер, такі як: комерційна таємниця, персональні дані, інформація для службового користування.
Клієнтами компанії є велика кількість великих організацій, серед яких:
- Цинковий завод (м. Челябінськ)
- Обласний радіотелевізійний передавальний центр (м. Челябінськ)
- Промислова група "Річел" (м. Челябінськ)
- Компанія "Фрост-Інвест" (м. Челябінськ)
- ТОВ "Фінансове агентство" Мілка-Інвест "(м. Челябінськ)
- ВАТ "Уралінвестенерго" (м. Єкатеринбург.)
- Південноуральська реєстраційна палата (м. Челябінськ)
- ТОВ "Аеросервіс (м. Челябінськ)
Основними документами конфіденційно характеру на підприємстві є:
1. Наказ про заходи захисту
2. Наказ про призначення комісії з підготовки та забезпечення проведення атестації об'єктів інформатизації
3. Наказ про категоріювання та класифікації об'єктів обчислювальної техніки
4. Наказ про введення в експлуатацію ПЕОМ
5. Наказ про введення режиму комерційної таємниці на підприємстві
6. Положення про службу безпеки фірми
7. Положення про відділ адміністрування та технічного супроводу інформаційних систем
8. Положення про визначення вимог по захисту (категоріювання) ресурсів автоматизованої системи організації
9. Положення про групу інженерно-технічного захисту інформації
10. Положення про охоронно-пропускному режимі підприємства
11. Положення про структуру служби безпеки
12. Положення про відділ захисту інформації
13. Положення про комп'ютерну мережу організації
14. Положення про системного адміністрування комп'ютерної мережі організації
15. Концепція забезпечення безпеки інформації в автоматизованій системі організації
16. Нормативно-методична документація щодо здійснення діяльності, пов'язаної з проведенням атестації об'єктів
17. Посадові інструкції працівників підприємства
18. Трудові договори співробітників, що працюють з конфіденційною інформацією
19. Список постійних користувачів певного ПЕОМ, допущених до приміщення, і встановлені ним права доступу до інформації та технічних ресурсів ПЕОМ
20. Перелік співробітників підприємства, що мають доступ у засобам АС і до оброблюваної на них інформації
21. Генеральний план розвитку організації
22. План інвестицій підприємства
23. Бюджет організації
24. Боргові зобов'язання підприємства
25. Звіт про рівень доходів підприємства
26. Звіт про рівень виручки підприємства
27. Договір підряду на режимне обслуговування клієнтів
28. Договори надання послуг
29. Договори, укладені з постачальниками обладнання
30. Договори, укладені з клієнтами
Внутрішніми суб'єктами доступу до інформаційних ресурсів підприємства є:
А) Співробітники організації, користувачі внутрішньої корпоративної мережі, наділені повноваженнями та рівнем доступу, необхідним для здійснення безпосередньої діяльності
Б) Адміністратори внутрішньої мережі і служба безпеки організації, що здійснюють контроль над безпекою внутрішньої мережі організації
Основними об'єктами захисту на підприємстві «ІТ Енігма» є: конфіденційна інформація, автоматизовані робочі місця
Конфіденційна інформація в структурних підрозділах підприємства обробляється за допомогою офісних додатків, спеціального програмного забезпечення з використанням систем управління базами даних.
На підприємстві «ІТ Енігма» вже існують деякі заходи щодо захисту інформації:
1) Автоматизовані робочі місця, на яких проводиться робота з конфіденційною інформацією, не під'єднані до мережі Internet
2) Існує режим та інструкція з протипожежної безпеки
3) На головному вході встановлена камера відеоспостереження
4) Існує графік відвідувань
5) На АРМ встановлено противірусну програмне забезпечення
6) Існує перелік конфіденційної інформації
7) Існують посадові інструкції співробітників
8) Кожне АРМ має свій особистий пароль входу
9) На вікнах встановлені грати
10) Кожне робоче місце відокремлено перегородкою, що утрудняє перегляд знаходиться на моніторі і на робочому столі інформації
11) На дверях до кабінету директора встановлені автоматичні доводчики.
На сервері і робочих місцях застосовуються операційні системи MS Windows, що дозволяє застосувати сертифіковані засоби захисту від несанкціонованого доступу.
Можливий витік інформації каналами ПЕМВН, по ефіру, по кабелях, що виходять за межі КЗ.
3. Загрози і уразливості на підприємстві
1. Автоматизоване робоче місце співробітника
| Загроза | Уразливості |
| 1.Фізичні доступ порушника до робочого місця | 1. Відсутність системи контролю доступу співробітників до чужих робочих місць |
| 2.Відсутність системи відеоспостереження В організації | |
| 3. Неузгодженість у системі охорони периметра | |
| 2.Разглашеніе конфіденційної інформації, що зберігається на робочому місці співробітника організації | 1.Відсутність угоди про нерозголошення між працівником і роботодавцем |
| 2.Нечеткое регламентація відповідальності співробітників підприємства | |
| 3.Разрушеніе (пошкодження, втрата) конфіденційної інформації за допомогою спеціалізованих програм та вірусів | 1.Відсутність антивірусного програмного забезпечення |
| 2.Відсутність обмеження доступу користувачів до мережі інтернет, внутрішньої мережі підприємства |
2. Серверна кімната
| Загроза | Уразливості |
| 1.Фізичні неавторизований доступ порушника в серверну кімнату | 1.Неорганізованний контрольно-пропускний режим в організації |
| 2.Відсутність відеоспостереження в серверній кімнаті | |
| 2.Разглашеніе конфіденційної інформації, що зберігається на сервері | 1.Відсутність угоди про нерозповсюдження конфіденційної інформації |
| 2. Нечітка регламентація відповідальності співробітників підприємства |
| Загроза | Уразливості |
| 1.Фізичні доступ порушника до носіїв | 1.Неорганізованность контрольно-пропускного режиму в організації |
| 2.Відсутність відеоспостереження в організації | |
| 2.Разглашеніе конфіденційної інформації, використовуваної в документах, винос носіїв за межі контрольованої зони | 1.Відсутність угоди про нерозголошення конфіденційної інформації |
| 2. Нечіткий розподіл відповідальності за документи (носії конфіденційної інформації) між співробітниками організації | |
| 3.Несанкціонірованное копіювання, друк і розмноження носіїв конфіденційної інформації | 1. Нечітка організація конфіденційного документообігу в організації |
| 2. Неконтрольований доступ співробітників до копіювальної та розмножувальної техніки |
4. Фактична захищеність організації
На підприємстві ТОВ «ІТ Енігма» на даний момент реалізовані наступні заходи:Організаційні заходи:
1. Доступ до кабінету керівника в його відсутність здійснюється тільки в присутності секретаря. Ключ від приміщень зберігається у секретаря.
2. У всі приміщення фірми мають доступ лише персонал організації та клієнти, які уклали договір на надання послуг з підприємством.
3. Відвідувачі, які очікують прийому, перебувають у приймальні під наглядом секретаря. Очікують заборонено проходити далі приймальної без дозволу керівника організації.
4. Вхід людей до будівлі здійснюється через контрольно-пропускний пункт на 1-му поверсі будівлі. Охорона на КПП організована ПОП «ХХХ», парковка автотранспорту необмежена.
5. Вхід людей у приміщення підприємства ТОВ «ІТ Енігма» здійснюється через двостулкові металеві двері з відеодомофонів і магнітним ключем. Для входу в приміщення співробітники організації використовують ключі, відвідувачі користуються відеодомофонів.
1. Існують інструкції для співробітників, допущених до захищуваних відомостями,
2. Інструкції співробітників, відповідальних за захист інформації
3. Затверджені посадові обов'язки керівників, фахівців і службовців підприємства
4. Існує положення про порядок поводження з інформацією
5. Існує положення про відділ захисту інформації
6. Розроблено пам'ятка користувача АС
Інженерно-технічні заходи:
1. У всіх приміщеннях організації встановлені сповіщувачі пожежної сигналізації
2. На вхідних дверях в приміщення організації встановлена камера, що дозволяє бачити відвідувачів біля входу
3. Електроживлення будинку здійснюється від трансформаторної підстанції, яка розташована на неконтрольованої території і обслуговується сторонньою організацією
4. Система кондиціонування, що складається з 3х кондиціонерів не захищена
5. Відсутні датчики вібро-акустичного зашумлення на стояках опалення, що виходять за межі КЗ
6. Генератори електромагнітного шуму в приміщенні не встановлені
7. Вікна організації виходять у двір. На вікнах є жалюзі, але відсутні вібраційні датчики.
8. Заходи з виявлення «закладок» на території КЗ проводяться 1 раз на пів року
9. Відсутній захист телефонних ліній.
Програмно-апаратні заходи:
1. На АРМ співробітників встановлені операційна система - MS Windows XP, офісний додаток - MS Office 2007, антивірусне програмне забезпечення - NOD32, 1С «Бухгалтерія» (у відділі бухгалтерія).
2. На АРМ встановлена програма реєстрації входу / виходу, а також усіх проведених дій з урахуванням часу.
5. Можливі канали витоку інформації
1. Поширення акустичних сигналів через двері2. Поширення вібраційних сигналів через стіни із сусідніми приміщеннями, через труби системи опалення і через вікна
3. Розголошення інформації співробітниками підприємства умисно або а слідстві недостатнього знання працівниками організації правил захисту конфіденційної інформації
4. Перехоплення акустичної (мовної) інформації за допомогою різноманітних засобів розвідки: мікрофони, радіомікрофони, радіозакладки
5. Оптичний перегляд через вікна
6. Необхідно збільшити захист на АРТ співробітників організації
6. Передбачувані заходи щодо захисту інформації
1. Ущільнення всіх дверей на території КЗ, окрім вхідної.
2. Заходи з виявлення закладних пристроїв проводити 1 раз на місяць.
3. Встановлення вібраційних генераторів на труби системи опалення.
4. Встановити вібраційні генератори на вікна (з метою зменшення ризику зняття лазером інформації з вікон).
5. Встановить генератори електромагнітного шуму на кожне АРМ.
6. Розробити інструкцію користувача ОВТ (об'єкта обчислювальної техніки).
7. Удосконалити інструкцію з організації парольного захисту на АРМ
8. Провести інструктаж персоналу відповідно до нової КСЗІ.
9. Розробити «Угода про нерозголошення конфіденційної інформації»; провести інструктаж з роз'яснення персоналу організації положень «Пам'ятки».
10. Розмежувати доступ користувачів АС до інформації за допомогою установки ЗЗІ від НСД на робочих місцях і сервері (СЗІ SecretNet);
11. На час проведення нарад відключати телефонні апарати від мережі;
12. При проведенні нарад та переговорів відключати мобільні телефони всім присутнім в приміщенні.
13. Ключі та коди від сейфів повинні зберігатися у керівника підприємства.
14. Обов'язково вимикання комп'ютерів після завершення робочого дня.
7. Об'єкти поставки проекту
Для управління проектом його слід розбити на ієрархічні підсистеми та компоненти. У термінах управління проектами структура проекту являє собою "дерево" орієнтованих на продукт проекту компонентів, представлених обладнанням, роботами, послугами та інформацією, отриманими в ході реалізації проекту. Можна сказати, що структура проекту - це організація зв'язків і відносин між його елементами. Формування структури проекту дозволяє представити його у вигляді значно менших блоків робіт аж до отримання самих дрібних, піддаються безпосередньому контролю позицій. Саме такі блоки передаються під управління окремим фахівцям, відповідальним за досягнення конкретної мети досягається при реалізації завдань цього блоку. Процес структуризації є невід'ємною частиною загального процесу планування проекту і визначення його цілей, а також підготовки плану проекту та матриці розподілу відповідальностей та обов'язків.
Завданням проекту є побудова надійної системи захисту інформації на підприємстві.
Для підприємства «ІТ Енігма» в ході розробки комплексної системи захисту інформації необхідно виділити кілька завдань у межах наступних вимог:
1. Технічне оснащення об'єкта має зводити до мінімуму можливість зняття конфіденційної інформації щодо можливих каналах витоку
2. Технічне оснащення повинно задовольняти вимогам і нормам стандартів у сфері захисту інформації
3. Технічне оснащення не повинно заважати робочому процесу підприємства
4. Повинна бути проведена оцінка захищеності АРМ відповідно до вимог стандартів
5. Повинні бути розроблені посадові інструкції відповідно до поставлених завдань і формами допуску до конфіденційної інформації
6. По завершенні робіт з побудови комплексної системи захисту інформації необхідно провести ознайомлення працівників з новою системою.
Підсумком роботи з побудова КСЗІ повинно бути:
1. Захист контрольованої зони від проникнення зловмисників і несанкціонованого зйому інформації
2. Створення власної політики безпеки підприємства
3. Суворий контроль доступу до конфіденційної інформації на електронну та паперових носіях, до АРМ містять конфіденційну інформацію
4. Технічного оснащення приміщень, в яких ведеться робота з конфіденційними документами
5. Введення суворого обліку конфіденційної документації
6. Введення системи відповідальності за невиконання норм і вимог по роботі з конфіденційною інформацією.
8.Оцінка вартості системи захисту та оцінка ефективності
Орієнтовна вартість робіт та обладнання ЗЗІ:
| Стаття витрат | Вартість, руб. |
| 1. Придбання засобів захисту | 950 000 |
| 2. Монтаж ЗЗІ | 55 000 |
| 3. Спецдосліджень приміщень | 40 500 |
| 4.Надбавкі до заробітних плат співробітників | 150 000 |
| 5. Розробка укладення про ступінь захищеності та атестата відповідності | 15 000 |
| Разом: | 1210500 |
Таким чином з приведених вище розрахунків видно, що в разі реалізації загроз на кожен з 3-х ресурсів підприємство зазнає збитків:
49300 * 20 +159200 +48200 * 3 = 1193400 крб.
При цьому слід зазначити, що термін експлуатації засобів захисту перевищує 1 рік і система ЗИ розрахована на більш тривалий термін.
Отже побудова КСЗІ на підприємстві ТОВ «ІТ Енігма» можна вважати економічно доцільним.
9.Предложеніе, обмеження, винятки
При побудові системи захисту необхідно враховувати всі канали витоку інформації. Завжди слід пам'ятати, що зловмисник не обов'язково може отримати весь обсяг конфіденційної інформації, використовуючи тільки якийсь один канал витоку інформації. Отже, потрібно забезпечувати блокування каналів витоку комплексно.
Найбільшу небезпеку становить оптичний канал витоку інформації. Пов'язано це з тим, що практично вся інформація може бути представлена у візуальному вигляді, неважливо, що це: паперові документи або електронний документ, відображений на екрані монітора. Отже, будь-яка ця інформація може бути сфотографована. А розвиток сучасних засобів фотографії призвело до того, що навіть на дуже великій відстані, наприклад при супутникової фотозйомки, зображення має високу роздільну здатність. До того ж фотографія містить найбільшу кількість демаскуючих ознак, такі як габарити, колір, загальний зовнішній вигляд і т.д. Проте варто відзначити, що в першу чергу малюнок призначена для добування видових демаскуючих ознак.
Для добування сигнальних демаскуючих ознак використовується радіоелектронний канал витоку інформації. У той же час внаслідок різних характеристик каналів витоку інформації, а також переданої по них інформації для отримання конфіденційної, і для підвищення ефективності добування конфіденційної всі канали витоку інформації використовуються комплексно. При цьому зловмисник отримує можливість не тільки здобути інформацію в максимальному обсязі, але і може шляхом зіставлення інформації, отриманої з різних каналів добування, оцінити її достовірність. При організації захисту інформації слід пам'ятати про це і передбачити використання зловмисником декількох каналів витоку інформації.
Канали витоку інформації можна кваліфікувати на такі групи:
-Візуально-оптичні;
-Акустичні (включаючи і акустико-перетворювальні);
-Радіоелектронні;
-Матеріально-речові (папір, фото, магнітні носії).
Блокування оптичного каналу витоку інформації можливо за допомогою організаційних засобів:
· На час проведення конфіденційних нарад і переговорів жалюзі повинні закриватися
· При прийомі відвідувачів на столі не повинно знаходитися конфіденційних документів, якщо в цьому немає необхідності
· Телевізор не повинен бути розгорнутий екраном до вікна
· Під час проведення конфіденційних нарад двері повинні бути щільно закрита, а в ідеалі близько дверей повинен постійно перебувати довірений співробітник компанії, наприклад, секретар
Джерелом акустичного сигналу можуть бути:
· Хто говорить людина
· Технічні засоби звуковідтворення
· Механічні вузли технічних засобів і машин
Мова людини характеризується рядом параметрів:
· Гучність звуку. Являє собою зважену за частотою інтенсивність звуку.
· Тоновий діапазон або діапазон частот. Зазвичай тоновий діапазон становить від 64 до 1300 Гц. Найнижчі тони басових голосів становлять близько 40 Гц, а високі тони дитячих голосів можуть досягати 4000 Гц.
· Тембр голосу людини визначається кількістю і величиною гармонік (обертонів) його спектру.
Для запобігання витоку інформації по акустичному каналу необхідно застосування спеціальних заходів:
· Встановлення віконних блоків з підвищеною звукоізоляцією (потрійний склопакет)
· Заповнення простору між склом спеціальними інертними газами
· Ущільнення притулів палітурок
· Встановлення вікон в роздільні рами
· Ущільнення притворів, що дозволить збільшити величину звукоізоляції приблизно на 5-10 дБ
· Виготовлення дверей із спеціальних звукоізолюючих матеріалів, що дозволить додатково збільшити звукоізоляцію на 5-15 дБ
· Організація тамбурів з облицюванням внутрішнього простору тамбура звукопоглинальними матеріалами
· Організація в тамбурах повітряних гармат для створення хаотичних повітряних потоків.
У приміщенні, що джерелами Акустоелектронні т каналу витоку інформації є:
· Електропроводи
· Провід пожежної та охоронної сигналізації
· Радіодроти
· Телефонні дроти
· Провід системи звукопідсилення
Для блокування Акустоелектронні каналу витоку слід використовувати прилади зашумляющіе ланцюга електроживлення і слабкострумових ланцюга, а також Подавители диктофонів і стільникових телефонів:
· Соната-С1 і Імпульс - лінійне зашумлення ланцюгів електроживлення
· Мозаїка - для блокування стільникових телефонів усіх стандартів
· Дурман - придушення сигналів стрічкових і цифрових диктофонів
МП-2, МП-3, МП-5 - для придушення небезпечних сигналів в гучномовцях, ланцюгах
Матеріально-речовим каналом витоку інформації виступає документація. Приховування цього каналу витоку інформації в першу чергу регулюється на організаційному рівні, виробленням певних правил поводження з паперовими носіями.
10. Структура розбиття робіт
11. Структурна схема організації
Структурна схема організації містить у собі сукупність посадових осіб, які беруть участь у проекті зі створення КСЗІ, і виконуваних ними функцій у процесі цієї діяльності.
У структурну схему входять:
1. Начальник відділу по захисту інформації
2. Головний інженер із захисту інформації
3. Начальник служби безпеки
4. Інженер по захисту інформації
5. Начальник відділу конфіденційного діловодства
6. Менеджер з кадрів
7. Співробітник служби безпеки
12. Матриця відповідальності
13.
14. Мережевий графік і діаграма Ганта
Мережевий графік являє собою графічне зображення процесу менеджменту, де всі операції, виконання яких необхідно для досягнення кінцевої мети, показані в певній технологічній послідовності та взаємозалежності.
При побудові мережевого графіка використовуються три основних поняття: робота (включаючи очікування і залежність), подія і шлях.
Робота - Це трудовий процес, що вимагає витрат часу і ресурсів (наприклад, оцінка обстановки, аналіз інформації). На схемах робота зображується у вигляді суцільної лінії зі стрілкою. У роботу включається процес очікування, тобто процес, не вимагає витрат праці та ресурсів, але вимагає витрат часу. Процес очікування зображується пунктирною лінією зі стрілкою з позначенням над нею тривалості очікування. Залежність між двома або кількома подіями свідчить про відсутність необхідності витрат часу і ресурсів, але вказує на наявність зв'язку між роботами (початок однієї або декількох робіт залежить від виконання інших), зображується пунктирною лінією зі стрілкою без позначення часу.
Подія - Це результат виконання всіх робіт, що входять в дану подію, що дозволяє починати усі, хто виходив з нього роботи. На мережевий матриці подія зображується, як правило, у вигляді гуртка.
Шлях - це безперервна послідовність робіт, починаючи від вихідної події і закінчуючи завершальним. Шлях, що має найбільшу тривалість, називається критичним і в матриці позначається потовщеною або здвоєною лінією зі стрілкою.
1. Інвестиційні (економічні).
Основний ризик полягає в нестачі грошових коштів, матеріальних ресурсів на реалізацію проекту. У цьому випадку всі ті заходи, які були здійснені, не будуть приносити потрібного результату і можна вважати ефективність витрачених коштів, що дорівнює 0.
Також існує досить серйозний ризик того, що витрати на побудову комплексної системи захисту інформації виявляться вищими, ніж вигода від її впровадження на організації.
З метою запобігання ризиків даної групи слід зробити наступні заходи:
· Має бути проведена професійна оцінка вигода від впровадження комплексної системи захисту інформації
· Вартість проекту повинна бути розрахована максимально детальна з поправкою в більшу сторону.
· Кожен пункт проекту повинен бути погоджений з комерційним директором і затверджений генеральним директорам
· Впроваджувані заходи повинні бути економічно виправдані. Вигода від впровадження заходів повинна перевищувати витрати на їх впровадження.
· Впроваджувані заходи повинні здійснюватися за принципом розумної достатності. Впроваджувані заходи повинні відповідати реальним зовнішнім і внутрішнім загрозам. Не повинні бути зайві.
2. Кадрові
Персонал представляє з себе ресурс поведінка якого не завжди можливо досить точно спрогнозувати навіть фахівцям. Впровадження комплексної системи захисту інформації, а разом з нею і певного набору заборонних заходів і правил може призвести до певних негативних наслідків у роботі персоналу.
Дані наслідки можуть виражатися в таких формах:
· Свідоме невиконання обов'язкових заходів захисту
· Численні затримки в роботі, пов'язані зі складністю заходів захисту
· Випадкові помилки персоналу при роботі із засобами захисту
З метою виключення цієї групи ризиків необхідно при побудова комплексної системи захисту інформації в обов'язковому порядку враховувати наступні моменти:
· Ще до остаточного впровадження повинно проводитися навчання персоналу роботі з програмно-апаратними та технічними засобами захисту інформації
· Має бути пояснена необхідність впровадження даних заходів з точки зору, зрозумілою персоналу
· Впроваджувані заходи щодо захисту інформації повинні бути прості в експлуатації
· Впроваджувані заходи щодо захисту інформації повинні бути логічні
3. Технічні
Та частина ризиків, якої часто приділяється занадто мало уваги. Суть даної групи ризиків полягає в тому, що по-перше поточний стан інформаційної системи організації має задовольняти вимоги впроваджуваних заходів, по-друге впроваджувані технічні заходи повинні перебувати в гармонії з організаційними та програмно-апаратними заходами.
Можливі ризики:
· Конфлікт встановлюваного програмного і апаратного забезпечення зі встановленою операційною системою і апаратною частиною
· Складність в експлуатації технічних і програмних засобів
· Наявність закладних пристроїв в встановлюваних апаратних засобів
· Наявність декларованих можливостей в інсталюються програмних засобах
Основні заходи запобігання даної групи ризиків:
· Перевірка всіх поставляються програмних і апаратних засобів
· Вибір надійних постачальників
· Ретельний вибір необхідних програмних та апаратних засобів
16. Висновок
Переді мною була поставлена задача створення комплексної системи захисту інформації на підприємстві «ІТ Енігма». У ході роботи мною було складено резюме організації, були представлені обмеження, винятки та пропозиції щодо заходів захисту, було наведено приклад розрахунку ризиків. У результаті роботи була складена структурна схема організації і матриця відповідальності.
Матеріально-речовим каналом витоку інформації виступає документація. Приховування цього каналу витоку інформації в першу чергу регулюється на організаційному рівні, виробленням певних правил поводження з паперовими носіями.
10. Структура розбиття робіт
| Найменування роботи | Тривалість, max Дні | Тривалість, min дні |
| 1. Наказ керівництва підприємства про розробку проекту комплексної системи захисту інформації (КСЗІ). Призначення відповідальних за проект. Визначення примірних термінів проекту. | 2 | 1 |
| 2. Формування команди розробників КСЗІ. | 2 | 1 |
| 3. Знайомство з інформаційною системою і інформаційними ресурсами підприємства. Складання першого звіту про отримані результати. | 3 | 2 |
| 4. Складання переліку конфіденційної інформації (КІ) підприємства (вивчення вже існуючого переліку, доповнення, перетворення). | 2 | 1 |
| 5. Вивчення нормативної документації підприємства. | 2 | 1 |
| 6. Вивчення журналів реєстрації конфіденційних документів, що є в організації. | 3 | 2 |
| 7. Виділення об'єктів захисту та їх категоріювання. Складання звіту. | 4 | 3 |
| 8. Вивчення наявних технічних засобів захисту інформації (у тому числі на наявність антивірусного ПО) | 4 | 3 |
| 9. Перевірка технічних засобів обробки, зберігання та передачі інформації на наявність засобів несанкціонованого знімання інформації і вірусів. | 10 | 8 |
| 10. Вивчення наявної системи охорони периметра організації, системи пожежної безпеки, охоронної сигналізації. Вивчення прилеглої території. Виявлення порожнин у фізичний захист периметра. | 5 | 4 |
| 11. Складання звіту за результатами перевірки технічних засобів, за результатами проведення огляду периметра. Аналіз достатності вже існуючих на підприємстві заходів захисту. | 4 | 3 |
| 12. Поділ персоналу організації за рівнями доступу до конфіденційної інформації. | 5 | 4 |
| 13. Складання нових посадових інструкцій, узгодження з керівництвом організації, обгрунтування. | 6 | 5 |
| 14. Аналіз достатності використовуваних заходів захисту. Виявлення загроз безпеки, розрахунок ризиків та їх ранжування. Вторинна оцінка вартості проекту. | 8 | 7 |
| 15. Складання переліку технічних засобів захисту, необхідних для доповнення і вдосконалення використовуваних заходів. | 4 | 3 |
| 16. Укладення договору на постачання необхідних технічних засобів, ПО. Установка термінів поставки, монтажу та налаштування нового обладнання. | 15 | 13 |
| 17. Навчання персоналу підприємства роботі з новим обладнанням. | 4 | 3 |
| 18. Перевірка нової систем захисту від несанкціонованого проникнення в приміщення,. Штучна реалізація можливих загроз з метою виявлення слабких місць у системі захисту. | 6 | 5 |
| 19. Складання повного звіту за виконану роботу. | 5 | 4 |
| 20. Надання проекту директору підприємства. | 2 | 1 |
| 21. Можливі доопрацювання та виправлення проекту. | 2 | 0 |
| Разом | 98 | 74 |
Структурна схема організації містить у собі сукупність посадових осіб, які беруть участь у проекті зі створення КСЗІ, і виконуваних ними функцій у процесі цієї діяльності.
У структурну схему входять:
1. Начальник відділу по захисту інформації
2. Головний інженер із захисту інформації
3. Начальник служби безпеки
4. Інженер по захисту інформації
5. Начальник відділу конфіденційного діловодства
6. Менеджер з кадрів
7. Співробітник служби безпеки
12. Матриця відповідальності
13.
| Завдання | Начальник відділу по захисту інформації | Головний інженер із захисту інформації | Начальник служби безпеки | Інженер по захисту інформації | Начальник відділу конфіденційного діловодства | Менеджер з кадрів | Співробітник служби безпеки |
| 1.Пріказ керівництва підприємства про розробку проекту комплексної системи захисту інформації (КСЗІ). Призначення відповідальних за проект. Визначення примірних термінів проекту. | x | x | x | ||||
| 2. Формування команди розробників КСЗІ. | x | x | x | ||||
| 3. Знайомство з інформаційною системою і інформаційними ресурсами підприємства. Складання першого звіту про отримані результати. | x | x | x | ||||
| 4. Складання переліку конфіденційної інформації (КІ) підприємства (вивчення вже існуючого переліку, доповнення, перетворення). | x | x | |||||
| 5. Вивчення нормативної документації підприємства. | x | x | x | ||||
| 6. Вивчення журналів реєстрації конфіденційних документів, що є в організації. | x | ||||||
| 7. Виділення об'єктів захисту та їх категоріювання. Складання звіту. | x | x | x | ||||
| 8. Вивчення наявних технічних засобів захисту інформації (у тому числі на наявність антивірусного ПО) | x | x | x | ||||
| 9. Перевірка технічних засобів обробки, зберігання та передачі інформації на наявність засобів несанкціонованого знімання інформації і вірусів. | x | x | x | x | |||
| 10. Вивчення наявної системи охорони периметра організації, системи пожежної безпеки, охоронної сигналізації. Вивчення прилеглої території. Виявлення порожнин у фізичний захист периметра. | x | x | x | ||||
| 11. Складання звіту за результатами перевірки технічних засобів, за результатами проведення огляду периметра. Аналіз достатності вже існуючих на підприємстві заходів захисту. | x | x | x | x | |||
| 12. Поділ персоналу організації за рівнями доступу до конфіденційної інформації. | x | x | |||||
| 13. Складання нових посадових інструкцій, узгодження з керівництвом організації, обгрунтування. | x | x | |||||
| 14. Аналіз достатності використовуваних заходів захисту. Виявлення загроз безпеки, розрахунок ризиків та їх ранжування. Вторинна оцінка вартості проекту. | x | x | |||||
| 15. Складання переліку технічних засобів захисту, необхідних для доповнення і вдосконалення використовуваних заходів. | x | x | x | x | |||
| 16. Укладення договору на постачання необхідних технічних засобів, ПО. Установка термінів поставки, монтажу та налаштування нового обладнання. | x | x | |||||
| 17. Навчання персоналу підприємства роботі з новим обладнанням. | x | x | x | ||||
| 18. Перевірка нової систем захисту від несанкціонованого проникнення в приміщення,. Штучна реалізація можливих загроз з метою виявлення слабких місць у системі захисту. | x | x | x | x | x | ||
| 19. Складання повного звіту за виконану роботу. | x | x | x | ||||
| 20.Предоставленіе проекту директору підприємства. | x | x | x |
Мережевий графік являє собою графічне зображення процесу менеджменту, де всі операції, виконання яких необхідно для досягнення кінцевої мети, показані в певній технологічній послідовності та взаємозалежності.
При побудові мережевого графіка використовуються три основних поняття: робота (включаючи очікування і залежність), подія і шлях.
Робота - Це трудовий процес, що вимагає витрат часу і ресурсів (наприклад, оцінка обстановки, аналіз інформації). На схемах робота зображується у вигляді суцільної лінії зі стрілкою. У роботу включається процес очікування, тобто процес, не вимагає витрат праці та ресурсів, але вимагає витрат часу. Процес очікування зображується пунктирною лінією зі стрілкою з позначенням над нею тривалості очікування. Залежність між двома або кількома подіями свідчить про відсутність необхідності витрат часу і ресурсів, але вказує на наявність зв'язку між роботами (початок однієї або декількох робіт залежить від виконання інших), зображується пунктирною лінією зі стрілкою без позначення часу.
Подія - Це результат виконання всіх робіт, що входять в дану подію, що дозволяє починати усі, хто виходив з нього роботи. На мережевий матриці подія зображується, як правило, у вигляді гуртка.
Шлях - це безперервна послідовність робіт, починаючи від вихідної події і закінчуючи завершальним. Шлях, що має найбільшу тривалість, називається критичним і в матриці позначається потовщеною або здвоєною лінією зі стрілкою.
15. Ризики проекту
Останнім етапом має стати виявлення всіляких ризиків, з якими ми можемо зіткнутися під час реалізації проекту, а також визначення заходів мінімізації цих ризиків1. Інвестиційні (економічні).
Основний ризик полягає в нестачі грошових коштів, матеріальних ресурсів на реалізацію проекту. У цьому випадку всі ті заходи, які були здійснені, не будуть приносити потрібного результату і можна вважати ефективність витрачених коштів, що дорівнює 0.
Також існує досить серйозний ризик того, що витрати на побудову комплексної системи захисту інформації виявляться вищими, ніж вигода від її впровадження на організації.
З метою запобігання ризиків даної групи слід зробити наступні заходи:
· Має бути проведена професійна оцінка вигода від впровадження комплексної системи захисту інформації
· Вартість проекту повинна бути розрахована максимально детальна з поправкою в більшу сторону.
· Кожен пункт проекту повинен бути погоджений з комерційним директором і затверджений генеральним директорам
· Впроваджувані заходи повинні бути економічно виправдані. Вигода від впровадження заходів повинна перевищувати витрати на їх впровадження.
· Впроваджувані заходи повинні здійснюватися за принципом розумної достатності. Впроваджувані заходи повинні відповідати реальним зовнішнім і внутрішнім загрозам. Не повинні бути зайві.
2. Кадрові
Персонал представляє з себе ресурс поведінка якого не завжди можливо досить точно спрогнозувати навіть фахівцям. Впровадження комплексної системи захисту інформації, а разом з нею і певного набору заборонних заходів і правил може призвести до певних негативних наслідків у роботі персоналу.
Дані наслідки можуть виражатися в таких формах:
· Свідоме невиконання обов'язкових заходів захисту
· Численні затримки в роботі, пов'язані зі складністю заходів захисту
· Випадкові помилки персоналу при роботі із засобами захисту
З метою виключення цієї групи ризиків необхідно при побудова комплексної системи захисту інформації в обов'язковому порядку враховувати наступні моменти:
· Ще до остаточного впровадження повинно проводитися навчання персоналу роботі з програмно-апаратними та технічними засобами захисту інформації
· Має бути пояснена необхідність впровадження даних заходів з точки зору, зрозумілою персоналу
· Впроваджувані заходи щодо захисту інформації повинні бути прості в експлуатації
· Впроваджувані заходи щодо захисту інформації повинні бути логічні
3. Технічні
Та частина ризиків, якої часто приділяється занадто мало уваги. Суть даної групи ризиків полягає в тому, що по-перше поточний стан інформаційної системи організації має задовольняти вимоги впроваджуваних заходів, по-друге впроваджувані технічні заходи повинні перебувати в гармонії з організаційними та програмно-апаратними заходами.
Можливі ризики:
· Конфлікт встановлюваного програмного і апаратного забезпечення зі встановленою операційною системою і апаратною частиною
· Складність в експлуатації технічних і програмних засобів
· Наявність закладних пристроїв в встановлюваних апаратних засобів
· Наявність декларованих можливостей в інсталюються програмних засобах
Основні заходи запобігання даної групи ризиків:
· Перевірка всіх поставляються програмних і апаратних засобів
· Вибір надійних постачальників
· Ретельний вибір необхідних програмних та апаратних засобів
16. Висновок
Переді мною була поставлена задача створення комплексної системи захисту інформації на підприємстві «ІТ Енігма». У ході роботи мною було складено резюме організації, були представлені обмеження, винятки та пропозиції щодо заходів захисту, було наведено приклад розрахунку ризиків. У результаті роботи була складена структурна схема організації і матриця відповідальності.