РАЗРАБОТКА СИСТЕМЫ МЕРОПРИЯТИЙ ПО ПОВЫШЕНИЮ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ (НА ПРИМЕРЕ ОАО "БАШИНФОРМСВЯЗЬ") - Студенческий научный форум

VIII Международная студенческая научная конференция Студенческий научный форум - 2016

РАЗРАБОТКА СИСТЕМЫ МЕРОПРИЯТИЙ ПО ПОВЫШЕНИЮ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ (НА ПРИМЕРЕ ОАО "БАШИНФОРМСВЯЗЬ")

Шабалов В.В. 1
1Научно-исследовательский университет "Высшая школа экономики"
 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

Актуальность исследования заключается в том, что развитие информационных технологий, их проникновение во все сферы человеческой деятельности приводит к тому, что проблемы информационной безопасности с каждым годом становятся всё более и более актуальными - и одновременно более сложными. Технологии обработки информации непрерывно совершенствуются, а вместе с ними меняются и практические методы обеспечения информационной безопасности. Действительно, универсальных методов защиты не существует, во многом успех при построении механизмов безопасности для реальной системы будет зависеть от её индивидуальных особенностей, учёт которых плохо подаётся формализации. Поэтому часто информационную безопасность рассматривают как некую совокупность неформальных рекомендаций по построению систем защиты информации того или иного типа.

Специалист в области информационной безопасности отвечает за разработку, создание и эксплуатации системы, призванной обеспечить целостность, доступность и конфиденциальность циркулирующей в организации информации. В его функции входит обеспечение физической защиты (аппаратные средства, компьютерные сети), а также защиты данных и программного обеспечения.

В эпоху развития постиндустриального общества, информация, становится наиболее актуальным ресурсом человеческой деятельности. Переход информации в разряд важнейших ресурсов создает принципиально новые угрозы и способы реализации этих угроз. С появлением автоматизированных систем, процесс обработки информационных ресурсов стал более эффективным, но менее безопасным.

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных. Поэтому обеспечение информационной безопасности является одним из ведущих направлений развития информационных технологий.

Информационные ресурсы, обрабатываемые при помощи автоматизированных систем, как массив данных, постоянно подвергаются не только несанкционированному вмешательству со стороны злоумышленников, но и санкционированному (случайному или преднамеренному) воздействию со стороны служащих организации, поэтому проблема обеспечения информационной безопасности конфиденциальных информационных ресурсов остается актуальной.

Теоретической базой исследования послужили труды доктора технических наук, профессора А.А. Хорева, А.А. Торокина, А.П. Зайцева.

Целью исследования является выявление особенностей защиты информационных ресурсов в автоматизированной системе организации и разработка системы мероприятий по их усовершенствованию.

Задачи исследования:

  • рассмотреть теоретические и законодательные основы защиты информационных ресурсов в автоматизированной системе организации;
  • провести анализ защищенности информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь»;
  • дать оценку эффективности защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь»;
  • построить модель угроз безопасности персональных данных в автоматизированной системе ОАО «Башинформсвязь»;
  • разработать систему мероприятий по повышению эффективности защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь»;
  • провести оценку экономической целесообразности предложенным мерам по повышению эффективности защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь».

Объект исследования - информационные ресурсы в автоматизированной системе ОАО «Башинформсвязь».

Предмет исследования - приемы и методы защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь».

Методы исследования: теоретический анализ и обобщение научной литературы, выделение и синтез главных компонентов, сравнение исходных показателей защищенности информационных ресурсов и требований ФСТЭК РФ.

Методикой исследования составили: анализ назначения ролей и распределения ответственности по доступу к информационным ресурсам организации; мониторинг состояния автоматизированной системы; мониторинг внешних источников информации; анализ инцидентов информационной безопасности; анализ угроз.

Практическая значимость разработки системы мероприятий по защите информационных ресурсов в автоматизированной системе объекта исследования заключается в экономическом обосновании предложенных мер.

Информационной базой исследования послужили информационные ресурсы Интернет-порталов, учебные пособия и справочники по защите информационных ресурсов в автоматизированной системе организации.

 1 ТЕОРЕТИЧЕСКИЕ И ЗАКОНОДАТЕЛЬНЫЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ

1.1           Сущность, понятия, теоретические основы защиты информационных ресурсов в автоматизированной системе

 На протяжении всех этапов человеческой деятельности, общество непрерывно создает, обрабатывает и передает разного рода информацию. С появлением электронно-вычислительной машины (ЭВМ) процесс работы с информацией стал намного более быстрым и технологичным. Создаются первые базы данных и СУБД со своими языками программирования, локальные сети и глобальная сеть Интернет. Появляются такие понятия, как «информационная система» (ИС), «информационные ресурсы» (ИР), «автоматизированная система» (АС).

Согласно Федеральному Закону (ФЗ) РФ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», «информационная система - это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств» [3]. Определение, принятое в настоящем ФЗ является достаточно компактным, не раскрывающим всю совокупность средств в работе информационной системы. Поэтому целесообразно предложить другое, более расширенное понятие ИС. Информационная система - это взаимосвязанная совокупность информационных, технических, программных, математических, организационных, правовых, эргономических, лингвистических и других средств, а также персонала, предназначенная для сбора, обработки, хранения и выдачи информации. Классификация ИС по степени автоматизации представлена на рисунке 1.1.

Понятие «информационные ресурсы» в РФ, как отдельные документы или отдельные массивы документов в ИС (библиотеки, архивы, фонды, банки данных) представлено только в ФЗ РФ от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации», который не актуален в настоящее время, в связи с принятием закона № 149-ФЗ. В новой версии закона, понятия «информационные ресурсы» больше нет, поэтому его толкование может быть разным.

Информационные ресурсы - это идеи человечества и указания по их реализации, накопленные в форме, позволяющей их воспроизводство. Это книги, статьи, патенты, диссертации, научно-исследовательская и опытно-конструкторская документация, технические переводы, данные о передовом производственном опыте и так далее. Информационные ресурсы (в отличие от всех других видов ресурсов - трудовых, энергетических, минеральных и т.д.) тем быстрее растут, чем больше их расходуют [36].

Информационные ресурсы бывают различных видов. Это и средства массовой информации (СМИ), Интернет, электронные библиотеки, банки данных и т.д. Через глобальную сеть Интернет успешно передаются следующие виды информационных ресурсов:

  • новостные ленты (online-ленты, RSS-ленты);
  • подписки на электронные копии изданий;
  • аналитические отчеты и исследования;
  • доступ к электронным базам данных и архивам.

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций [19].

Персонал АС - технические специалисты, разрабатывающие и обслуживающие компоненты АС, другие пользователи АС [50, c. 37].

Классификация АС (см. Рис. 1.1) может быть по типу информации (документированная, фактографическая), по структуре задач (структурированные задачи и неструктурированные задачи), по сфере применения (интегрированные, организационно-управленческие, САПР, финансово-бухгалтерские) и так далее.

Защита информационных ресурсов в автоматизированной системе определяется как комплекс (организационных, программно-аппаратных, правовых и иных) мер для обеспечения конфиденциальности, целостности и доступности ИР, с которыми работает правомочный пользователь.

Особенной защите подлежат конфиденциальные ИР. Конфиденциальный информационный ресурс - ИР, содержащий коммерческую тайну; сведения о фактах, событиях и обстоятельствах частной жизни работников организации, позволяющие идентифицировать их личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации (СМИ) в установленных федеральными законами случаях; любые другие закрытые данные, являющиеся собственностью государства (сведения о научно-исследовательских, опытно-конструкторских, проектных работах и технологиях); сведения, относящиеся к деятельности подразделений (отделов) организации, несанкционированное распространение которых может привести к отрицательным экономическим, этическим или иным последствиям для организации [13, с. 75].

В организации за сохранность ИР отвечает - администратор ИР. В небольших организациях функцию по защите ИР может на себя взять системный администратор локальной вычислительной сети (ЛВС) [23]. В более крупных - специалист или инженер по информационной безопасности.

В каждом случае специалист, исходя из внутрифирменных и иных нормативно-правовых документов создает систему защиты ИР организации [14].

Защита информации - деятельность, направленная на предотвращение внешних и внутренних угроз на защищаемые информационные ресурсы.

Для защиты информационных ресурсов компьютера в АС, подключенного к сети Интернет используют антивирусное программное обеспечение. Антивирусное программное обеспечение - набор программ для обнаружения компьютерных вирусов и других вредоносных программ и лечения инфицированных файлов, а также для предотвращения заражения файлов или операционной системы вредоносным кодом.

Вредоносная программа - компьютерная программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информационный ресурс с целью причинения вреда организации и (или) субъекту доступа [19]. Специалист, осуществляющий (поддерживающий) уровень защиты ИР и работники организации постоянно (с определенной периодичностью) должны проводить антивирусный контроль. Антивирусный контроль - проверка информации (файла, сообщения, пакета данных и т.п.) на предмет наличия вредоносных программ. В организации должна присутствовать соответствующая инструкция по организации антивирусной защиты, в которой в обязательном порядке прописываются требования к проведению антивирусного контроля и действия пользователей при обнаружении вредоносных компьютерных программ.

Также для обеспечения сохранности ИР в АС необходимо продумать грамотную систему идентификации и аутентификации пользователей, осуществляющих работу с этими самыми ИР.

Идентификация - сравнение предъявляемого субъектом доступа к ИР идентификатора с закрепленным за ним перечнем идентификаторов. Идентификатор доступа - уникальный признак субъекта доступа к ИР. Субъект доступа - работник организации или иное лицо, входящее в состав персонала АС.

Идентификация и аутентификация субъектов доступа к ИР производится в соответствии со следующим алгоритмом (блок-схемой) идентификации и аутентификации (см. Рис. 1.2).

 Знание теоретических основ защиты информационных ресурсов в АС, механизмов защиты ИР, состава нормативно-правовой документации и общие знания информатики и информационных технологий позволят персоналу АС проводить грамотную и экономически обоснованную политику защиты ИР в АС организации. Перейдем к рассмотрению законодательных основ регулирования защиты информационных ресурсов в автоматизированной системе.

 1.2           Законодательные основы регулирования защиты информационных ресурсов в автоматизированной системе

 В основе защиты информационных ресурсов в АС организации лежат различные нормативно-правовые документы и стандарты в области информационной безопасности. Если соблюдение первых - это неукоснительное для любой организации и ее представителей правило, то соблюдение вторых (а точнее некоторых из них) может носить и добровольный характер. Остановимся на стандартах в области АС.

Федеральные законы РФ

Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 24.11.2014) «Об информации, информационных технологиях и о защите информации» является одним из «базовых» законов в области защиты информации. Закон регулирует отношения, возникающие при [3]:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий;
  • обеспечении защиты информации.

Данный закон подразделяет информационные ресурсы на государственные и негосударственные.

Государственные информационные ресурсы формируются в соответствии со сферами видения как: федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном видении РФ и субъектов РФ; информационные ресурсы субъектов РФ.

Все информационные ресурсы, не попадающие под данную классификацию, являются негосударственными.

Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных»

Настоящий федеральный закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным [1].

По общепринятой системе классификации, стандарты в области информационной безопасности подразделяются на оценочные стандарты и спецификации. Оценочные стандарты предназначены для оценки и классификации автоматизированных систем и средств защиты информации по требованиям безопасности. Спецификации регламентируют различные аспекты реализации и использования средств и методов защиты.

Руководящие документы Гостехкомиссии РФ

Руководящие документы (РД) Гостехкомиссии России используются при проведении сертификации средств защиты информации в системах сертификации ФСТЭК России, Минобороны России, а также в ряде добровольных систем сертификации.

Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения

Настоящий руководящий документ, утвержденный решением председателя Гостехкомиссии России от 30 марта 1992 года, устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Для каждого понятия установлен один термин. Применение синонимов термина не допускается.

 Установленные в нем термины обязательны для применения во всех видах документации. Для справок приведены иностранные эквиваленты русских терминов на английском языке, а также алфавитные указатели терминов на русском и английском языках [7].

Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

Настоящий руководящий документ, утвержденный решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года, излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации [8].

Концепция содержит следующие пункты:

1.                Общие положения (система взглядов и целей документа).

2.                Определение НСД (направления исследования).

3.                Основные принципы защиты от НСД (перечень работ и средств).

4.                Модель нарушителя в АС (уровни возможностей субъекта).

5.                Основные способы НСД (четыре способа НСД).

6.                Основные направления обеспечения защиты от НСД.

7.                Основные характеристики технических средств защиты от НСД.

8.                Классификация АС (свойства объектов и субъектов защиты).

9.                Организация работ по защите от НСД.

Концепция защиты СВТ и АС от НСД к информации предназначена прежде всего для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации.

Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

Настоящий руководящий документ, утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года, устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Под СВТ понимается совокупность программных и технических средств систем обработки данных, способных функционировать самостоятельно или в составе других систем [9].

Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ).

Документ устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Классы подразделяются на четыре группы.

Выбор класса защищенности СВТ для АС, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

Настоящий руководящий документ, утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года, устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

Основными этапами классификации АС являются [10]:

  • разработка и анализ исходных данных;
  • выявление основных признаков АС;
  • сравнение выявленных признаков АС с классифицируемыми;
  • присвоение АС определенного класса защиты информации от НСД.

Анализ автоматизированной системы обработки информационных ресурсов является первостепенной задачей специалиста по защите информации при создании соответствующей системы защиты и при разработке документов.

Чтобы провести классификацию исследуемой АС, необходимо собрать следующие исходные данные [10]:

  • перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
  • перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
  • матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
  • режим обработки данных в АС.

К числу определяющих признаков, по которым производится классификация АС, относятся:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС - коллективный или индивидуальный.

Устанавливаются девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС (см. Рис. 1.3).

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Все перечисленные руководящие документы, устанавливают критерии и классы защищенности средств вычислительной техники и автоматизированных систем, необходимые для обеспечения безопасности информации. Все мероприятия по защите информации от НСД должны осуществляться взаимосвязано с правовыми, организационными и иными мерами по сохранности информационных ресурсов.

Специалист в области информационной безопасности или информационных технологий при защите ИР в АС должен руководствоваться положениями своей должностной инструкции и иными нормативно-правовыми и локальными актами организации. Руководящие документы, принятые Гостехкомиссией РФ, практически полностью, содержат все меры и средства по защите ИР от НСД. Далее, рассмотрим специфику защиты информационных ресурсов автоматизированной системы в современных условиях, и определим ее структуру.

 1.3           Специфика защиты информационных ресурсов автоматизированной системы в современных условиях

Защита информационных ресурсов в АС, в целом, как и защита информации (ЗИ) - дело трудоемкое и дорогостоящее. Почти половина затрат по ЗИ приходится на покупку и установку программных и технических средств. Немалую часть затрат составляют организационные меры от НСД к информации. Организации ежегодно теряют миллионы средств от утечки конфиденциальной информации по различным каналам. Проблема защиты ИР актуальна как никогда ранее. Стремительное развитие информационных технологий побуждает специалистов по информационной безопасности осваивать и приобретать все более новые и современные средства защиты. Защита ИР организации - это прежде всего защита материальных ресурсов, так как любая защищаемая информация носит денежный эквивалент.

Автоматизированная система обработки информации представляет собой совокупность следующих объектов:

  • средств вычислительной техники (СВТ);
  • программного обеспечения (ПО);
  • каналов связи;
  • информации на различных носителях;
  • персонала и пользователей системы.

Безопасность информационных ресурсов в АС напрямую зависит от безопасности СВТ, ПО, каналов связи и правомерных действий пользователей.

Предотвращение угроз, с которыми сталкивается АС - и есть главная задача специалиста по информационной безопасности.

Угроза информационной безопасности АС - это возможность реализации воздействия на информацию (информационные ресурсы), обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности и доступности этой информации, а также возможность воздействия на компоненты АС, приводящего их к утрате, уничтожению или сбою функционирования.

Угрозы принято классифицировать по природе возникновения (естественные и искусственные угрозы), по степени преднамеренности (случайные и преднамеренные угрозы), в зависимости от источника угрозы (природная среда, человек, санкционированные программно-аппаратные средства, несанкционированные программно-аппаратные средства), по положению источника угрозы (вне контролируемой зоны, в пределах контролируемой зоны) и так далее.

Чтобы учесть вероятность реализации какой-либо угрозы, в организации создаются специальные документы:

  • модель угроз;
  • модель нарушителя;
  • модель каналов утечки информации.

Модель угроз - это описание существующих угроз ИБ, их актуальности, возможности реализаций и последствий.

Адекватные модели угроз ИБ позволяют выявить существующие угрозы, разработать эффективные контрмеры, повысив тем самым уровень ИБ, и оптимизировать затраты на защиту (сфокусировав ее на актуальных угрозах).

Процедура построения модели угроз ИБ состоит из нескольких последовательных шагов [28]:

  • определение источников угроз;
  • выявление критических объектов АС;
  • определение перечня угроз для каждого критического объекта;
  • выявление способов реализации угроз;
  • оценка материального ущерба и других последствий.

Модели угроз должны постоянно пересматриваться и обновляться, в силу меняющихся реалий в области информационных технологий. Также модель угроз должна опираться на стандарты ИБ и методические документы ФСБ РФ и ФСТЭК.

 Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или осознанно использующее для этого различные возможности, методы и средства [33].

Модель нарушителя - это вероятностный сценарий осуществления противоправных действий по доступу к ИР в АС.

Для того, чтобы модель нарушителя приносила максимальную пользу, она должна быть сориентирована на конкретный объект защиты (она не универсальна), учитывать психологию действий нарушителя и побуждающие к ним мотивы.

Модель каналов утечки информации - это данные, которые поясняют о наличии технических каналов утечки информации (ТКУИ) и вероятности распространения через них информативного сигнала [49, с. 435].

В организации обязательно должны присутствовать все три модели. Для каждого объекта безопасности строится своя индивидуальная модель, учитывающая возможные угрозы.

Безопасность ИР в АС достигается также путем построения систем защиты от нарушения конфиденциальности, целостности и доступности [17, с. 54].

Структура системы защиты от угроз нарушения конфиденциальности состоит из организационных и физических мер обеспечения безопасности, идентификации и аутентификации, разграничения доступа, криптографических методов, методов защиты внешнего периметра, протоколирования и аудита и иных вспомогательных средств [5].

Принципы обеспечения целостности состоят, в той или иной мере, из принципов обеспечения конфиденциальности.

Основные принципы обеспечения целостности, сформулированные Кларком и Вилсоном [27, c. 57]:

  • корректность транзакций;
  • аутентификация пользователей;
  • минимизация привилегий;
  • разделение обязанностей;
  • аудит произошедших событий;
  • объективный контроль;
  • управление передачей привилегий.

В общем случае структура системы защиты от угроз нарушения целостности будет выглядеть как показано на рисунке 1.4.

На всех этапах работы с информационными ресурсами в АС (получение, обработка, передача, хранение) необходимо руководствоваться некоторой совокупностью мер по защите информации (см. Рис. 1.5).

Исходя из подходов к реализации защитных мероприятий по обеспечению информационной безопасности, складывается разработка СЗИ, включающая три меры:

1.                Выработка требований к АС, СВТ и самим ИР.

2.                Определение способов защиты.

3.                Определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов безопасности.

Рассмотренные механизмы построения защиты от угроз нарушения конфиденциальности, целостности и доступности информации достаточно универсальны, чтобы быть применимы для большинства автоматизированных систем.

Защита информационных ресурсов в АС - комплексная задача, которая включает организационную, техническую, правовую и иные составляющие. Пренебрежение хотя бы одним из методов ЗИ может повлиять на всю защиту ИР в целом.

Реализация вышеперечисленных мер, обеспечивающих безопасность информационных ресурсов, существенно повышает эффективность всего процесса информатизации в организации, обеспечивая целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах [47, с. 31].

Итак, рассмотрев теоретические и законодательные аспекты защиты информационных ресурсов в автоматизированной системе, можем перейти к исследованию системы защиты персональных данных в автоматизированной системе ОАО «Башинформсвязь».

2       ИССЛЕДОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ ОАО «БАШИНФОРМСВЯЗЬ»

2.1    Краткая характеристика ОАО «Башинформсвязь»

ОАО «Башинформсвязь» было образовано в 1992 году в результате акционирования государственного предприятия связи и информатики Республики Башкортостан.

В 1993 году компания начала предоставлять услуги сотовой связи в стандарте NMT-450, а в 1998 году - в стандарте GSM-900, в 2000 году - с применением технологии CDMA. В 2004 году компания начала предоставлять услуги широкополосного доступа в Интернет по технологии ADSL. В 2009 году компания приобрела 98.77 % акций ОАО «Сотовая связь Башкортостана» [37].

Крупнейшим акционером компании является ОАО «Ростелеком» (68.18 % уставного капитала). Другими крупнейшими акционерами ОАО «Башинформсвязь» являются Росимущество (29.3 % голосующих акций) и Минимущество Республики Башкортостан (18.5 %).

ОАО «Башинформсвязь» является крупнейшим телекоммуникационным оператором в Башкирии, контролируя 93 % рынка телефонной связи и 78 % рынка доступа в Интернет.

Абонентская база компании на конец марта 2011 года насчитывала более 1 миллиона абонентов фиксированной телефонии, 251 тысячу абонентов широкополосного доступа в Интернет, 32 тысячи абонентов IPTV, 84 тысячи абонентов кабельного телевидения [37].

Генеральный директор ОАО «Башинформсвязь» - Сафеев Рустем Рузбекович. Заместитель генерального директора по безопасности и правовым вопросам ОАО «Башинформсвязь» - Искужин Расих Ахметганеевич.

Термины и определения

NMT (Nordic Mobile Telephony) - это первый полностью автоматический стандарт сотовой связи в истории. Его спецификация началась еще в 1970-х годах комитетом Nordic Telecommunications Administrations, в который входили Швеция, Норвегия, Дания, Финляндия и некоторые другие европейские страны. В 1981 году была введена первая сеть стандарта NMT.

Сеть NMT является аналоговой. Существует два варианта сетей этого стандарта: NMT-450 и NMT-900. Цифра указывает на используемый частотный диапазон: 450 МГц и 900 МГц соответственно. Стандарт NMT-900 был представлен в 1986 году. Он предоставляет больше каналов для радио соединений, нежели NMT-450 [43].

GSM-900 (Global System for Mobile Communications) - глобальная система подвижной связи. Диапазон частот 890-960 МГц.

Главное достоинство GSM-900 - меньшие по сравнению с аналоговыми стандартами размеры и вес телефонных аппаратов при большем времени работы без подзарядки аккумулятора. Это становится возможным при использовании аппаратуры базовой станции, которая постоянно анализирует уровень сигнала, принимаемого от аппарата абонента [42].

CDMA (Code Division Multiple Access) - это система множественного доступа с кодовым разделением. Именно кодовым, а не частотным или временным, что обуславливает ряд преимуществ стандарта CDMA.

Впервые эта технология была применена в 50-х годах в американской военной системе связи APC-50, которая использовалась для организации обмена речевыми сообщениями между военным самолетом и наземными службами.

На сегодняшний день сети CDMA развернуты на всех континентах, охватывая более 150 миллионов абонентов. Причины роста сетей CDMA обусловлены техническими, экономическими и экологическими преимуществами этого стандарта.

Для абонента стандарт CDMA это:

  • возможность установки телефона с прямым городским номером;
  • высокое качество связи;
  • высочайшая конфиденциальность и защита от НСД;
  • экологичная связь [32].

ADSL (Asymmetric Digital Subscriber Line) - модемная технология, превращающая аналоговые сигналы, передаваемые посредством стандартной телефонной линии, в цифровые сигналы (пакеты данных), позволяя во время работы совершать звонки (см. Рис. 2.1).

Передача данных по технологии ADSL реализуется через обычную аналоговую телефонную линию при помощи абонентского устройства - модема ADSL и мультиплексора доступа (DSL Access Multiplexer, DSLAM), находящегося на той АТС, к которой подключается телефонная линия пользователя, причем включается DSLAM до оборудования самой АТС. В результате между ними оказывается канал без каких-либо присущих телефонной сети ограничений. DSLAM мультиплексирует множество абонентских линий DSL в одну высокоскоростную магистральную сеть [20].

IPTV - это новая технология которая позволяет эффективно передавать телевизионный канал через публичный Интернет. В отличие от таких традиционных видов цифрового телевидения как эфирное, кабельное или спутниковое - IPTV - это полностью интерактивный сервис, функционирующий в Интернете (см. Рис. 2.2).

Технология IPTV не имеет ограничений по количеству каналов, а также качеству транслируемого контента. Все зависит лишь от пропускной способности сети оператора IPTV и Интернет-провайдера, предоставляющего услуги Интернет конечному пользователю.

Сети IPTV - это персональные, индивидуальные сети, где каждый клиент может выбирать контент по своему желанию, т.е. можно сказать, что IPTV - это вещание для одного зрителя [48].

В ОАО «Башинформсвязь» присутствует политика в области качества. Главным направлением деятельности организации в области качества является создание организационных и технических предпосылок для производства и предоставления услуг, полностью удовлетворяющих потребности и ожидания потребителей, отвечающих требованиям норм, стандартов и условиям договоров, а также обеспечение высокоэффективной работы акционерного общества в целом.

Как социально-ориентированная компания, ОАО «Башинформсвязь» помогает постигать азы компьютерной грамотности людям пенсионного возраста в рамках собственного социального проекта «Общению все возрасты покорны».

Проанализируем систему защиты персональных данных в автоматизированной системе ОАО «Башинформсвязь».

2.2    Анализ системы защиты ПДн в автоматизированной системе ОАО «Башинформсвязь»

Согласно Руководящему документу Гостехкомиссии России от 30 марта 1992 года «Защита от несанкционированного доступа к информации. Термины и определения», система защиты информации от несанкционированного доступа (СЗИ от НСД) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах [7].

 ОАО «Башинформсвязь» активно предпринимает меры по защите ИР в АС обработки информации (защита персональных данных в АС).

Персональные данные - любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [1].

Для обеспечения информационной безопасности организации, а в частности сохранности ИР в АС, сотрудниками отдела информационной и экономической безопасности разработаны следующие виды локальных документов:

  • правила соблюдения персоналом требований по информационной безопасности в ОАО «Башинформсвязь» (см. Приложение А);
  • акт классификации информационной системы персональных данных в ОАО «Башинформсвязь»;
  • акт определения уровня защищенности информационной системы в ОАО «Башинформсвязь»;
  • список сотрудников, допущенных в режимные помещения, где располагаются объекты вычислительной техники информационной системы персональных данных в ОАО «Башинформсвязь»;
  • список сотрудников, допущенных к техническому обслуживанию объектов вычислительной техники информационных систем персональных данных в ОАО «Башинформсвязь»;
  • матрица разграничения доступа в информационной системе ОАО «Башинформсвязь»;
  • модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных ОАО «Башинформсвязь».

Документ «Правила соблюдения персоналом требований по информационной безопасности в ОАО «Башинформсвязь»» определяет требования к сотрудникам по обеспечению информационной безопасности в ОАО «Башинформсвязь» и описывают необходимые действия сотрудников и должностных лиц организации по их соблюдению (за исключением вопросов информационной безопасности в части электронного и бумажного архивного хранения информации, а также работы с конфиденциальной информацией, служебной тайной).

В документе описываются правила доступа к информационным ресурсам в период работы сотрудника и при увольнении его из организации [31].

Документ «Акт классификации информационной системы персональных данных в ОАО «Башинформсвязь»» содержит информацию о категории обрабатываемых персональных данных (категория 2), структуре информационной системы (распределенная информационная система), режиме обработки персональных данных (многопользовательский режим), режиме разграничения прав доступа пользователей к информационной системе (разграниченный режим прав доступа), данные о наличии подключения информационной системы к сетям связи общего пользования и сетям международного информационного обмена (имеющая одноточечный выход в сеть общего пользования), данные о местонахождении технических средств информационной системы и типе информационной системы персональных данных (в пределах РФ, специальная ИС). Акт также содержит решение комиссии о присвоении информационной системе определенного класса, на основе анализа исходных данных (класс К 2, специальная информационная система).

Документ «Акт определения уровня защищенности информационной системы в ОАО «Башинформсвязь»» содержит информацию о категории обрабатываемых персональных данных (иные категории персональных данных сотрудников), типе актуальных угроз (угрозы 2-го и 3-го типов), объеме обрабатываемых данных (до 100 тысяч субъектов). Акт также содержит решение комиссии о присвоении ИС определенного уровня защищенности (3 уровень защищенности).

Документ «Список сотрудников, допущенных в режимные помещения, где располагаются объекты вычислительной техники информационной системы персональных данных в ОАО «Башинформсвязь»» содержит таблицу с указанием должностей и идентификаторов субъектов (пользователей) ИСПДн.

Документ «Список сотрудников, допущенных к техническому обслуживанию объектов вычислительной техники информационных систем персональных данных в ОАО «Башинформсвязь»» имеет аналогичную структуру документа-списка, указанного выше.

Документ «Матрица разграничения доступа в информационной системе ОАО «Башинформсвязь»» содержит специальную таблицу, в которой строки соответствуют субъектам, столбцы объектам доступа, а на пересечении строки и столбца содержатся правила (разрешения) доступа субъекта к объекту.

Основными недостатками такой матрицы являются ее чрезмерно большая размерность и сложность администрирования: все взаимосвязи и ограничения предметной области учитываются вручную. Для преодоления этих сложностей матрица доступа заменена некоторым ее неявным представлением.

Документ разработан в соответствии с требованиями руководящих документов Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и «Специальных требований и рекомендаций по технической защите конфиденциальной информации» (СТР-К).

Правовое и организационное направления защиты ИР в отделе информационной и экономической безопасности ОАО «Башинформсвязь» стоят на должном уровне. Здесь проводится не только формирование совокупности инструкций, руководств, требований, которые являются обязательными для всех взаимодействующих с объектами защиты субъектов, но и организация регулярного обучения сотрудников, мероприятия, осуществляемые при подборе персонала, организация хранения и использования документов и носителей конфиденциальной информации.

К программно-техническим методам защиты ИР можно отнести обеспечение сотрудниками отдела информационной и экономической безопасности ОАО «Башинформсвязь» объектов системы межсетевым экранированием.

Специальная комиссия в организации, на основе руководящего документа Гостехкомиссии России «Межсетевые экраны. Показатели защищенности от несанкционированного доступа», определяет класс межсетевого экрана для соответствующей автоматизированной системы (один из пяти классов).

Дадим оценку эффективности организационной защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь».

 2.3    Оценка эффективности организационной защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь»

Организационная защита информации на предприятии - регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию [30].

Принципы организационной защиты информации [30]:

  • принцип комплексного подхода - эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;
  • принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);
  • принцип персональной ответственности - наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

Исходя из вышеперечисленных принципов организационной защиты информации на предприятии можно сформулировать (дать) оценку эффективности организационной защиты в ОАО «Башинформсвязь».

В отделе информационной и экономической безопасности ОАО «Башинформсвязь» работают три сотрудника: начальник отдела, ведущий инженер по информационной безопасности и специалист по информационной безопасности. Каждый из перечисленных работников отвечает за свой перечень работ (соблюдается принцип комплексного подхода).

Начальник отдела информационной и экономической безопасности имеет тесный рабочий контакт с начальником отдела управления информационными технологиями. При возникших проблемах оба сотрудника принимают совместное решение, которое минимизирует потери от реализации угроз (соблюдается принцип оперативности принятия управленческих решений).

В процессе своей деятельности некоторым сотрудникам ОАО «Башинформсвязь» приходится работать с конфиденциальной информацией для исполнения своих служебных обязанностей. В соответствии с ч. 4 ст. 57 Трудового кодекса РФ в трудовом договоре может быть предусмотрено условие о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной).

Ответственность за неразглашение сведений, составляющих охраняемую законом тайну, лежит на работодателе, а значит, именно он заинтересован в том, чтобы установить режим защиты таких сведений, который будут обязаны соблюдать все работники, получающие при выполнении должностных обязанностей доступ к этим сведениям.

Сотрудники ОАО «Башинформсвязь» также проходят инструктаж по соблюдению требований информационной безопасности под роспись (соблюдается принцип персональной ответственности).

Итак, в ОАО «Башинформсвязь» соблюдаются принципы организационной защиты информации, также соблюдаются подходы и требования к организации системы защиты информации. Отдел информационной и экономической безопасности ОАО «Башинформсвязь» активно работает с персоналом организации, следит за соблюдением требований внутриобъектового и пропускного режимов совместно со службой охраны (вход только по пропускам), организует работу с носителями сведений, составляющих коммерческую и иную тайну, проводит комплексное планирование мероприятий по защите информации, аналитическую работу и контроль.

Построим модель угроз персональных данных при их обработке в информационной системе персональных данных, согласно требованиям руководящих документов и федеральных законов по защите информации.

 2.4       Построение модели угроз ПДн при их обработке в информационной системе ПДн

Данная модель актуальных угроз разработана на основе «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Под угрозами безопасности персональных данных (ПДн) при их обработке в информационной системе персональных данных (ИСПДн) понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее [4].

Показатель исходной защищенности ИСПДн (см. Табл. 2.1)

Таблица 2.1 - Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

По территориальному размещению

 

 

+

По наличию соединения с сетями общего пользования

 

+

 

По встроенным (легальным) операциям с записями баз персональных данных

 

+

 

По разграничению доступа к ПДн (ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн)

 

+

 

По наличию соединений с другими базами ПДн иных ИСПДн (ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн)

+

 

 

По уровню обобщения (обезличивания) ПДн (ИСПДн, в которой предоставляемые пользователем данные не являются обезличенными (т.е. присутствуют данные, позволяющие идентифицировать субъекта ПДн))

 

 

+

По объему ПДн, которые предоставляются сторонним пользователям ИСПДн

 

+

 

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн.

Вывод: Анализируемая ИСПДн имеет среднюю степень исходной защищенности, так как более 70 % соответствуют уровню не ниже «Средний» (5 из 7 - 71 %). Соответственно Y1 = 5.

Полный перечень угроз

Угроза утечки акустической информации

Возникновение угроз утечки акустической (речевой) информации, содержащееся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, возможно при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

В рассматриваемой ИСПДн данные функции не поддерживаются, поэтому угроза утечки акустической (речевой) информации отсутствует.

Угроза утечки видовой информации

Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

Угроза реализуется на серверах, на рабочих местах.

Угроза утечки информации по каналу ПЭМИН

Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанными с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПДн [46, с. 364].

Основными каналами утечки ПДн за счет ПЭМИН являются:

  • побочные электромагнитные излучения (ПЭМИ) информативных сигналов от технических средств и линий передачи информации, радиоизлучения, модулированные информативным сигналом, радиоизлучения, формируемые в результате высокочастотного облучения технических средств ИСПДн;
  • наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания, заземления и линии связи, выходящие за пределы контролируемой зоны.

Угрозы реализуются в технических средствах, участвующих в обработке ПДн.

Угрозы, реализуемые в ходе загрузки операционной системы

Источником подобных угроз может быть носитель вредоносной программы или аппаратная закладка. Угрозы этого типа возникают по причине наличия уязвимостей в системном программном обеспечении и средствах операционной системы: так называемые «дыры» и отсутствие необходимых средств защиты. Направлены эти угрозы на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн.

Реализуются на рабочих местах и серверах.

Угрозы, реализуемые после загрузки операционной системы

Источником такой угрозы таких угроз может быть нарушитель, носитель вредоносной программы или аппаратная закладка.

Угрозы возникают из-за наличия уязвимостей в средствах операционной системы, предназначенных для выполнения вспомогательных функций, а также в различных прикладных программах. Направлены угрозы данного типа на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.) [44, с. 154].

Угроза реализуется на рабочих местах и серверах.

Угроза внедрения вредоносных программ с АРМ

Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:

  • скрывать признаки своего присутствия в программной среде компьютера;
  • обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;
  • разрушать (искажать произвольным образом) код программ в оперативной памяти;
  • выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирования, уничтожения, блокирования и т.п.);
  • сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
  • искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации как в результате НСД, так и случайно пользователями ИСПДн.

Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий.

Угроза реализуется на рабочих местах и серверах.

Угроза внедрения по сети вредоносных программ

Вредоносные программы могут быть внедрены во время эксплуатации не только с внешних носителей, но и через внешние сети связи общего пользования и сети международного информационного обмена.

Угроза реализуется на рабочих местах и серверах.

Угроза «Анализ сетевого трафика» с перехватом передаваемой по сети информации

Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль [25, с. 179]. В ходе реализации угрозы нарушитель:

  • изучает логику работы ИСПДн, т.е. стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий;
  • на основе задания соответствующих команд получает привилегированные права на действия в системе или расширяет свои полномочия в ней;
  • перехватывает поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации, ее подмены, модификации и т.п.

Угроза реализуется на рабочих местах, на серверах, а также в сетевых каналах связи.

Угроза «Анализ сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации

Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые во внешние сети и принимаемые из внешних сетей, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль [34, с. 276].

Реализуется в сетевых каналах связи с внешними сетями, или с получением доступа к внешнему коммутатору.

Угроза сканирования

Данный тип угроз направлен на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др. Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель - выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

Угроза реализуется на рабочих местах и серверах.

Угроза получения НСД путем подмены доверенного объекта

При реализации данной угрозы злоумышленник осуществляет передачу по каналам связи сообщений от имени доверенного объекта с присвоением его прав доступа. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.

Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

Угроза реализуется на рабочих местах, серверах, а также в сетевых каналах связи.

Угрозы типа «Отказ в обслуживании»

Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.

Могут быть выделены несколько разновидностей таких угроз:

  • скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником;
  • явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником;
  • явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Угроза реализуется на серверах, а также в сетевых каналах связи.

Угроза удаленного запуска приложений

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки; вирусы; «сетевые шпионы», основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три типа данной угрозы:

  • распространение файлов, содержащих несанкционированный исполняемый код;
  • удаленный запуск приложения путем переполнения буфера приложений-серверов;
  • удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.

Угроза реализуется на рабочих местах и серверах.

Угроза выявления паролей

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

Угроза реализуется на рабочих местах, на серверах, а также в сетевых каналах связи.

Угроза навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных

Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно найти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение.

Угроза реализуется на рабочих местах, на серверах, а также в сетевых каналах связи.

Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях

Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (ARP, DNS, WINS), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети.

Угроза реализуется на рабочих местах, на серверах, а также в сетевых каналах связи.

Расчет вероятности реализации угроз, оценка опасности угроз и перечень актуальных угроз изложены в специальном внутреннем документе ОАО «Башинформсвязь», носящем гриф ДСП.

Базовая модель угроз (модель угроз) в ее полном обзоре содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которое ведет к ущербу жизненно важных интересов личности, общества и государства [6].

В модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации [6].

Далее, разработаем комплекс основных мероприятий по повышению эффективности защиты информационных ресурсов в ОАО «Башинформсвязь».

2.5  Комплекс основных мероприятий по повышению эффективности защиты информационных ресурсов в ОАО «Башинформсвязь»

 Факторы, влияющие на уровень защиты информации систематизированы в ГОСТ Р 51275-2006, который носит название «Объект информатизации. Факторы, воздействующие на информацию». В настоящем стандарте, разработанным институтом ФСТЭК РФ, приведены термины и определения, классификация и перечень объективных и субъективных факторов, воздействующих на безопасность защищаемой информации [12]. В документе приведен список угроз, которые были зафиксированы ранее на практике у специалистов и простых пользователей объектов информатизации.  Однако, процесс защиты информации - не всегда регламентирован теми угрозами, которые описаны в настоящем стандарте. Заранее неизвестные при проектировании системы защиты информации (СЗИ) обстоятельства могут снизить или вовсе скомпрометировать предусмотренные проектом меры информационной безопасности.

Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, как это следует из ГОСТ Р 50922-2006, должны иметь вероятностный характер [11].

Система защиты информационных ресурсов в ИСПДн должна основываться на принципах ситуационного управления (см. Рис. 2.3). Требуемый уровень безопасности ИР определяется из соотношения между ценностью перерабатываемых ИР (ПДн), затратами, которые необходимы для достижения этого уровня, и возможными суммарными потерями, от НСД или уничтожения.

Необходимо также проводить ситуационное планирование, в ходе которого учитываются не только прямые расходы на покупку специального оборудования для защиты, но и затраты на обучение персонала работе с ним. Важным обстоятельством является совместимость нового средства со сложившейся аппаратно-программной структурой объекта [15].

Процесс повышения эффективности защиты информационных ресурсов в АИС должен происходить на трех уровнях: административном (решения руководства); организационном (организационные мероприятия); техническом (программно-технические средства защиты).

Административный уровень обеспечения защиты информационных ресурсов в АИС

Должны быть выработаны:

  • программа работ в области информационной безопасности и обеспечение ее выполнения [16, с. 42];
  • план защиты информационных ресурсов от несанкционированного доступа;
  • критерии эффективности службы защиты информации (СлЗИ) (метод самооценки, метод коэффициентов, метод экспертной оценки, поведенческие рейтинговые шкалы и т.п.).

Программа работ в области информационной безопасности - главная цель мер административного уровня. Основой программы является политика безопасности [29].

План защиты информационных ресурсов от несанкционированного доступа определяет организацию, порядок осуществления работ, основные требования и рекомендации, способы и средства защиты информации, циркулирующей в ИС, технических средствах и помещениях компании, и является основным руководящим документом для сотрудников компании (в части их касающейся) [22].

Критерии эффективности службы защиты информации разрабатываются руководителем организации (или начальник отдела ИБ) совместно с отделом по подбору и обучению персонала и представляют собой набор определенных методов (тест, учебная тревога и т.п.) по выявлению сильных и слабых сторон каждого из сотрудников службы компьютерной безопасности.

Организационный уровень обеспечения защиты информационных ресурсов в АИС

Должны быть выработаны:

  • система поощрений за соблюдение требований в области защиты ИР в ИСПДн (АИС);
  • комплекс профилактических мер по соблюдению персоналом требований по информационной безопасности;
  • система доступа сотрудников сторонних организаций к ресурсам АИС.

Система поощрений за соблюдение требований в области защиты информационных ресурсов обсуждается с руководителем организации или его заместителем (иным отвечающим за это лицом) и представляет собой материальное, моральное и иное содействие.

Комплекс профилактических мер по соблюдению персоналом требований по ИБ подразумевает под собой встречу (организационные собрания) сотрудников информационной и экономической безопасности и всех допущенных к конфиденциальной информации работников с доведением до них парадигм защиты, принятых в организации.

Система доступа сотрудников сторонних организаций к ресурсам АИС основывается на выявлении особых и (или) критически важных ИР и их особой защиты, санкционированном доступе к этим ресурсам и ресурсам вообще, изложении в инструкциях правил по работе с представителями сторонних организаций.

Технический уровень обеспечения защиты информационных ресурсов в АИС

Должны быть выработаны:

  • система проверки и обеспечения целостности критически важных данных на всех стадиях их обработки;
  • требования к подсистеме VPN;
  • требования к подсистеме сегментирования и межсетевого экранирования;
  • требования к подсистеме «удостоверяющий центр».

Система проверки и обеспечения целостности критически важных данных на всех стадиях их обработки обеспечивается постоянным мониторингом состояний ИСПДн, регистрацией событий в журналах учета и использованием специального программного обеспечения.

Подсистема VPN (англ. Virtual Private Network - виртуальная частная сеть) применяется для защиты конфиденциальной информации, передаваемой между ЛВС различных удаленных офисов предприятия, которые не связаны между собой выделенными каналами (см. Рис. 2.4).

Требования к подсистеме VPN:
  • соответствие спецификациям стандарта IPSec;
  • передача информации должна осуществляться как в открытом, так и зашифрованном виде, в зависимости от источника и получателя информации;
  • интегрирование с межсетевым экраном.

Подсистема сегментирования и межсетевого экранирования предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС предприятия от сетевых атак со стороны сети Интернет и внешних сетей. В рамках системы должна быть сформирована и определена архитектура подключения к сетям общего пользования и создания демилитаризованной зоны (DMZ), которая может включать межсетевой экран, VPN-сервер, Web-сервер, транслятор (relay) электронной почты, вторичный кэширующий DNS-сервер, LDAP-сервер и подсистему защищенного удаленного доступа к ИР [22].

Подсистема «удостоверяющий центр» предназначена для создания и управления цифровыми сертификатами пользователей ИСПДн (АИС), ключами шифрования и ЭЦП. На базе удостоверяющего центра строятся системы электронного документооборота.

Требования к подсистеме «удостоверяющий центр»:

  • поддержка стандартов PKCS#11, PKCS#7;
  • поддержка хранения электронных сертификатов и паролей на внешних носителях (USB-токены, смарт-карты);
  • безопасная транспортировка электронных сертификатов конечным пользователям.

Защита информации - непрерывный и многогранный процесс. Нельзя установить определенные правила и придерживаться их постоянно. В непрерывно меняющемся мире, развитии информационных технологий, подходы и методы к защите информации, также должны меняться и совершенствоваться.

Перейдем к расчету экономической целесообразности мероприятий по повышению эффективности защиты информационных ресурсов в автоматизированной системе.

2.6   Расчет экономической целесообразности мероприятий по повышению эффективности защиты информационных ресурсов в АС

 При выборе конкретных решений для защиты информационных ресурсов в автоматизированной системе учитываются множество факторов. В первую очередь - это стоимость самих решений и затраты на их совокупное обслуживание. Во вторых - это потери из-за наличия уязвимостей в СЗИ и реализации угроз. Установка наилучших и дорогих средств защиты информации - не всегда морально и экономически обоснованно. Прямые затраты могут со временем не окупиться или оказаться менее оптимальными из тех вариантов что можно было выбрать.

Суммарно ежегодные затраты на информационную безопасность складываются из трех показателей: затраты на административно-организационные мероприятия; затраты на технические мероприятия; затраты на ликвидацию последствий (см. Рис. 2.5).

Затраты на административно-организационные мероприятия (АОМ) в телекоммуникационных компаниях, таких как ОАО «Башинформсвязь», в которых ключевую роль в инфраструктуре играют автоматизированные системы обработки, хранения и передачи данных, обычно меньше затрат на технические средства (см. Табл. 2.2).

Таблица 2.2 - Расходы на предложенные АОМ по защите ИР на 2015 год

Мероприятие

Ответственное лицо

Бюджет

Программа работ в области информационной безопасности и обеспечение ее выполнения (900 руб. / мес.)

Титов Р.А., начальник

отдела информационной и экономической безопасности

40000 руб.

План защиты ИР от НСД (750 руб. / мес.)

Луговской П.Г., ведущий инженер отдела информационной и экономической безопасности

25000

руб.

Критерии эффективности СлЗИ (500 руб. / мес.)

Титов Р.А., начальник

отдела информационной и экономической безопасности

30000

руб.

Система поощрений работников за соблюдение правил в области защиты ИР в ИСПДн (АИС) (1000 руб. / мес.)

Луговской П.Г., ведущий инженер отдела информационной и экономической безопасности

20000

руб.

Продолжение таблицы 2.2

Комплекс профилактических мер по соблюдению персоналом требований по ИБ (1500 руб. / мес.)

Луговской П.Г., ведущий инженер отдела информационной и экономической безопасности

14000

руб.

Система доступа сотрудников сторонних организаций к ресурсам АИС (800 руб. / мес.)

Титов Р.А., начальник

отдела информационной и экономической безопасности

21000

руб.

Всего: 65400 руб. в год

Всего: 150000 руб.

Суммарно расходы на административно-организационные мероприятия по повышению эффективности защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь» составляют 150 тысяч рублей.

Расходы на технические мероприятия и средства в ОАО «Башинформсвязь» представлены в таблице 2.3.

Таблица 2.3 - Расходы на предложенные технические меры по защите ИР на 2015 год

Мероприятие

Ответственные лица

Бюджет

Система проверки и обеспечения целостности критически важных данных на всех стадиях их обработки (EMC VMAX 3) (1500 руб. / мес.)

Титов Р.А., начальник

отдела информационной и экономической безопасности

80000

руб.

Создание защищенной виртуальной частной сети, которая соответствует заявленным требованиям (750 руб. / мес.)

Луговской П.Г., ведущий инженер отдела информационной и экономической безопасности

10000

руб.

Продолжение таблицы 2.3

Подсистема сегментирования и межсетевого экранирования (1500 руб. / мес.)

Луговской П.Г., ведущий инженер отдела информационной и экономической безопасности

30000

руб.

Подсистема «удостоверяющий центр» (1500 руб. / мес.)

Титов Р.А., начальник

отдела информационной и экономической безопасности

40000

руб.

Всего: 63000 руб. в год

Всего: 160000 руб.

Суммарно расходы на технические меры по повышению эффективности защиты информационных ресурсов в автоматизированной системе ОАО «Башинформсвязь» составляют 160 тысяч рублей.

Экономическое обоснование затрат на информационную безопасность во многих методиках сопровождается использованием совокупных показателей: ROSI (отдача от инвестиций в информационную безопасность) за определенный период времени, показателя ТСО (Total Cost of Ownership - совокупной стоимости владения активов), Payback (окупаемость, период времени, необходимый чтобы доходы, полученные в результате инвестиций, покрыли затраты на эти инвестиции) [38].

Рассчитаем отдачу от инвестиций на административно-организационные мероприятия и технические меры защиты информационных ресурсов в автоматизированной системе по формуле (2.1)

 где rosi (t, aom) - отдача от инвестиций на технические и административно-организационные меры, ∆ Доходы - изменения в доходах, обусловленное инвестициями ИБ, ∆ Расходы - изменения в расходах, обусловленное инвестициями ИБ, ∆ Инвестиции - инвестиции, сделанные в ИБ.

 Далее, вычислим показатель отдачи от инвестиций в информационную безопасность после внедрения изменений в систему ИБ по формуле (2.2)

где ROSI (t, aom) - показатель отдачи от инвестиций в информационную безопасность после внедрения технических и административно-организационных изменений в систему ИБ, ROSIold - показатель отдачи от инвестиций до внесения изменений в систему ИБ, Иold - уже сделанные инвестиции, ∆ Расходы - изменения в расходах, обусловленное инвестициями ИБ, rosi (t, aom) - отдача от инвестиций на технические и административно-организационные меры.

 

В обоих случаях, видно, что rosi (t, aom)> ROSI (t, aom), следовательно, внедрение проекта приведет к увеличению ROSI в компании (в ИБ).

Итак, в результате анализа совокупных показателей существует возможность сделать обоснованный выбор в пользу того или иного проекта.

Заключение

Процесс информатизации затронул практически все стороны жизни общества. Информатизация является характерной чертой жизни современного общества. Она пропитывает все направления человеческой деятельности. С появлением новых информационных технологий информация становится необходимым атрибутом обеспечения деятельности государств, юридических лиц, общественных объединений и граждан. От качества и достоверности информации, от её оперативности получения зависят многие решения, принимаемые на самых разных уровнях - от глав государств до рядового гражданина [2].

Обеспечение информационной безопасности - комплексная задача, потому что сама информационная среда есть сложный и многоплановый механизм, где могут присутствовать такие компоненты, как персонал, электронное оборудование, программное обеспечение и т.д.

Для решения многих проблем обеспечения информационной безопасности необходимо применение следующих мер: законодательных, организационных и программно-технических. Игнорирование хотя бы одного из аспектов этой проблемы может привести к потере (утечке) информации, которая в жизни современного общества приобретает всё более важное значение и играет немаловажные роли.

Предпринимаемые меры защиты должны быть адекватны вероятности осуществления данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае, если угроза осуществится (включая затраты на защиту от нее).

Необходимо иметь в виду, что многие меры защиты требуют достаточно больших вычислительных ресурсов, что в свою очередь существенно влияет на процесс обработки информации. В связи с этим современный подход к решению этой проблемы заключается в применении в АСУ принципов ситуационного управления защищенностью информационных ресурсов.

Суть такого подхода заключается в том, что требуемый уровень безопасности информации устанавливается в соответствии с ситуацией, определяющей соотношение между ценностью перерабатываемой информации, затратами (снижением производительности АСУ, дополнительным расходом оперативной памяти и др.), которые необходимы для достижения этого уровня, и возможными суммарными потерями (материальными, моральными и др.) от искажения и несанкционированного использования информации.

В ОАО «Башинформсвязь» защита информационных ресурсов, в частности персональных данных, ведется на должном уровне. Каждый из специалистов отдела информационной и экономической безопасности отвечает за свой список работ по защите информации. В отделе присутствует актуальная документальная база. Все процессы объектов защиты и действия субъектов строго регламентированы и носят обязательный характер.

Ответственность за соблюдение требований по защите ИР возлагается на персонал АС, администраторов ИР и субъектов доступа в соответствии с назначенными им правами доступа, что также уменьшает риск нарушения целостности, доступности или конфиденциальности ИР.

Ответственность за организацию мероприятий по защите ИР несет руководитель структурного подразделения.

В процессе работы были рассмотрены теоретические и законодательные основы защиты информационных ресурсов в автоматизированной системе организации, проанализирована специфика их защиты в современных условиях, дана краткая характеристика объекту исследования (ОАО «Башинформсвязь»), произведен анализ защищенности, дана оценка эффективности защиты, построена частная модель угроз, разработана система мероприятий по повышению эффективности защиты и произведен расчет экономической целесообразности предлагаемых мероприятий.

Даны следующие рекомендации по повышению эффективности защиты информационных ресурсов в автоматизированной системе:

  • выработать программу работ в области информационной безопасности и обеспечить ее выполнение;
  • составить план защиты информационных ресурсов от несанкционированного доступа, в соответствии с рекомендациями ФСТЭК РФ;
  • разработать критерии эффективности службы защиты информации;
  • выработать систему поощрений работников, допущенных к конфиденциальной информации, неукоснительно соблюдающих требования по информационной безопасности;
  • составить комплекс профилактических мер по соблюдению персоналом требований по информационной безопасности;
  • регламентировать систему доступа сотрудников сторонних организаций к ресурсам АИС;
  • привести систему проверки и обеспечения целостности критически важных объектов, подсистему VPN, «удостоверяющий центр» и подсистему сегментирования и межсетевого экранирования в соответствии с вышеизложенными требованиями.

При выполнении поставленных задач использовались следующие методы исследования: теоретический анализ и обобщение научной литературы в области защиты информационных ресурсов в автоматизированной системе, выделение и синтез главных компонентов исследования, сравнение исходных показателей защищенности информационных ресурсов и требований ФСТЭК РФ.

В процессе анализа организационно-распорядительных документов организации, выполнении порученных заданий, использовались данные Интернет-источников, законы и нормативные акты Российской Федерации, учебные пособия по информационной безопасности, организационно-управленческой деятельности, информационным технологиям и кибернетике.

 

Приложение А

Открытое акционерное общество «Башинформсвязь»

(ОАО «Башинформсвязь»)

 

 

 

Утверждаю

Генеральный директор

 «_____» __________2013 г.

 

 

 

 

 

Правила

соблюдения персоналом требований по

информационной безопасности в ОАО «Башинформсвязь»

 

Уфа 2013

1. Общие положения

1.1.         Настоящие Правила определяют требования к сотрудникам по обеспечению информационной безопасности в ОАО «Башинформсвязь» и описывают необходимые действия сотрудников и должностных лиц ОАО «Башинформсвязь» по их соблюдению (за исключением вопросов информационной безопасности в части электронного и бумажного архивного хранения информации, а также работы конфиденциальной информацией, служебной тайной).

1.2.         Положения настоящих Правил являются обязательными для соблюдения всеми сотрудниками и должностными лицами ОАО «Башинформсвязь» (далее - сотрудники).

1.3.         Информация, созданная сотрудником в процессе выполнения своих обязанностей, в том числе с использованием средств вычислительной техники принадлежит ОАО «Башинформсвязь».

1.4.         Ознакомление сотрудников ОАО «Башинформсвязь» с настоящими Правилами осуществляется под роспись в установленном порядке.

2. Нормативные ссылки

2.1.         Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

2.2.         Концепция информационной безопасности ОАО «Башинформсвязь» (версия 2).

2.3.         Положение о разрешительной системе допуска к информационным ресурсам, сервисам сети Интернет в ОАО «Башинформсвязь».

 

3. Термины и определения

Информационный ресурс (ИР)

- любое системное или прикладное программное обеспечение, физические и виртуальные хранилища данных в электронном виде, средства чтения и записи электронных носителей информации

Мобильное устройство

- любое легко перемещаемое вычислительное устройство, предназначенное и используемое для создания, получения, хранения, обработки и передачи информации. К ним относятся ноутбуки (в том числе планшетные портативные компьютеры), карманные портативные компьютеры (КПК), смартфоны, компьютерные записные книжки, сотовые телефоны.

служебное мобильное устройство

- мобильное устройство, являющееся собственностью ОАО «Башинформсвязь».

Администратор информационной безопасности (далее - АИБ)

- сотрудник, назначенный ответственным за обеспечение информационной безопасности в ОАО «Башинформсвязь».

Система внешней и внутренней электронной почты

- информационный ресурс ОАО «Башинформсвязь», предоставляющий сервисы для обмена информацией как между сотрудниками ОАО «Башинформсвязь», так и между сотрудниками ОАО «Башинформсвязь» и третьими лицами (контрагентами). Посредством системы внешней электронной почты можно передавать текст, таблицы, графики, презентации, а также файлы любого формата.

Носитель информации

Сведения конфиденциального характера (далее - конфиденциальная информация)

- материальный предмет, на котором (или в котором) возможно разместить информацию в виде символов, образов, файлов и пр.

- сведения, доступ к которым ограничивается в соответствии с действующим законодательством Российской (коммерческая тайна, персональные данные, что еще есть на предприятии)

Съемный носитель информации

- электронный носитель информации, подключаемый к средствам компьютерной техники и используемый для хранения информации. К съемным носителям информации относятся дискеты, оптические (CD, DVD) диски, USB-носители, энергонезависимые карты памяти, фотоаппараты и т.п.

Съемный носитель ключевой информации (ключевой носитель)

- электронный носитель информации, на котором содержатся криптографические ключи для шифрования и электронной подписи документов. К съемным носителям ключевой информации относятся Touch Memory («таблетка»), eToken (в виде USB-носителя), гибкий магнитный диск (дискета) и пр.

Устройство ввода-вывода информации

- выполненные как во внутреннем, так и во внешнем исполнении дисководы, приводы чтения и записи CD и DVD дисков, USB-порты и прочие переносные устройства, которые могут использоваться для выгрузки или загрузки информации в компьютер. Устройства ввода-вывода также являются информационными ресурсами.


4. Работа с информацией ограниченного доступа

4.1.         Доступ к информации ограниченного доступа и ее передача

 

4.1.1.  Сотрудники ОАО «Башинформсвязь» обязаны не разглашать конфиденциальную информацию в течение всего времени работы в ОАО «Башинформсвязь», а также обязаны соблюдать требования законодательства РФ и внутренних нормативных документов ОАО «Башинформсвязь», регулирующих порядок предоставления информации, принадлежащей ОАО «Башинформсвязь», лицам, не являющимся сотрудниками ОАО «Башинформсвязь». Фактом разглашения информации ограниченного доступа является несанкционированное предоставление данной информации, лицам, не имеющим прав на доступ к данной информации. Сотрудник несет ответственность за несанкционированное разглашение им информации ограниченного доступа в соответствии с действующим законодательством Российской Федерации.

4.1.2.  Разовое (единовременное) предоставление доступа к конфиденциальной информации либо ознакомление с ней сотрудников ОАО «Башинформсвязь», характер должностных обязанностей которых не связан с ее получением, использованием или обработкой, допускается только по согласованию с руководителем подразделения, имеющего право предоставления доступа к данной информации.

4.1.3.  Предоставление постоянного (на постоянной основе) доступа и доступ к сетевым информационным ресурсам осуществляется в соответствии с разделом 6 настоящих Правил.

4.1.4.  Передача документов на любых носителях, содержащих конфиденциальную информацию, третьим лицам (клиентам, контрагентам и др.) без согласования с вышестоящим руководителем подразделения и администратором информационной безопасности запрещается. При передаче необходимо удостовериться, что с получателем заключено Соглашение о конфиденциальности.

4.1.5.  Вынос документов, содержащих конфиденциальную информацию на любых носителях за пределы здания без разрешения вышестоящего руководителя запрещен. Согласование руководителя может быть получено на постоянной или разовой основе в письменной форме.

4.1.6.  При работе с носителями информации, содержащими конфиденциальную информацию, сотрудник не должен оставлять данные носители без присмотра или должен убрать их в закрытое на ключ место хранения. Общие правила пользования, учета и хранения ключей от шкафов, тумбочек и прочих запирающихся устройств описаны в Приложении № 1 к настоящим Правилам.

4.1.7.  Не допускается производить работу с конфиденциальной информацией в случае возможности ее просмотра посторонними лицами. Лица, не являющиеся сотрудниками ОАО «Башинформсвязь» (посетители), не должны видеть конфиденциальную информацию на экране компьютера. При необходимости сотруднику следует закрыть или свернуть все окна с конфиденциальной информацией или заблокировать компьютер. Бумажные конфиденциальные документы следует перевернуть текстом вниз или убрать со стола.

4.1.8.  Делать копии, фотографировать или производить выписки из документов, содержащих конфиденциальную информацию, на любых видах носителей не допускается. Для осуществления данных действий необходимо получить письменное разрешение вышестоящего руководителя и разрешение администратора информационной безопасности.

4.1.9.  Если сотрудник является ответственным в подразделении за получение факсимильных сообщений, то факсимильный аппарат должен находиться рядом с рабочим местом данного сотрудника. Поступившие за день и неразобранные им сообщения должны храниться у ответственного сотрудника не более 3 дней, по истечении которых он должен их уничтожить в соответствии с п. 4.2.4 настоящих Правил.  

 

4.2.         Работа с информацией на бумажных носителях

 

4.2.1.  При подготовке копий документов, содержащих конфиденциальную информацию, на бумажном носителе на оборотной стороне последней страницы оригинала документа делается отметка, содержащая количество сделанных копий (номера страниц), дату, инициалы и фамилию сотрудника, сделавшего копию. Информация о копиях документов, на которых сложно или нельзя отразить указанную информацию (чеки, счета, сертификаты, ценные бумаги и т.д.), оформляется на отдельном листе, который хранится вместе с оригиналом документа.

4.2.2.  Не оставлять напечатанные документы на принтерах, расположенных в местах коллективного пользования. Сотрудник должен сразу же, направив документ на печать, подойти к принтеру и забрать распечатанный документ.

4.2.3.  Оставлять бумажные документы в копировальной машине/принтере/факсе запрещается. В случае попадания листа с конфиденциальной информацией в механизм копировальной машины/принтера/факса и невозможности его извлечь, сотрудник должен обратиться к соответствующему специалисту и принять меры по недопущению доступа посторонних лиц к оборудованию до момента извлечения документа.

4.2.4.  Ненужные оригиналы, копии и черновики бумажных документов с конфиденциальной информацией должны уничтожаться только в специальных машинах - уничтожителях бумаги (шредерах). Выбрасывать документы, содержащие конфиденциальную информацию, в корзину для мусора или иные места утилизации запрещается.

5. Работа с персональным компьютером

5.1.         Сотруднику запрещается вскрывать персональный компьютер, который используется для работы (далее - компьютер), в том числе для самостоятельного устранения неисправностей, или подключать к компьютеру любое оборудование, не связанное непосредственно с его должностными обязанностями (модем, личные карманные персональные компьютеры (КПК), смартфоны и сотовые телефоны и пр.).  

5.2.         При отсутствии сотрудника на рабочем месте даже на незначительный период времени (более 5 минут) сотрудник обязан блокировать доступ к компьютеру. Если сотрудник опасается забыть блокировать компьютер, то следует установить пароль на экранную заставку с интервалом не более 5 минут.

5.3.         По окончанию рабочего дня сотрудник должен выключать персональный компьютер. Исключением являются случаи, когда существует обоснованная в силу выполнения должностных обязанностей служебная необходимость не выключать компьютер.

5.4.         Сотруднику запрещается самостоятельно устанавливать на компьютер программное обеспечение (в том числе полученное в сообщениях электронной почты или из сети Интернет), изменять программную или аппаратную конфигурацию компьютера и настройки операционной системы. Список стандартного программного обеспечения и условия его установки для каждой категории сотрудников ОАО «Башинформсвязь» определяются иными нормативными и распорядительными документами ОАО «Башинформсвязь». В случае необходимости установки дополнительного ПО сотруднику необходимо оформить заявку на ИР в соответствии с Положением о разрешительной системе допуска к информационным ресурсам, сервисам сети Интернет в ОАО «Башинформсвязь».

5.5.         Сотруднику запрещается отключать и/или удалять установленные средства защиты (в том числе антивирусное программное обеспечение), а также изменять настройки данных средств.

5.6.         Файлы, содержащие конфиденциальную информацию, не должны храниться локально на компьютерах сотрудников. Всю конфиденциальную информацию следует хранить в личных сетевых папках. Исключение составляют случаи, когда в силу особенностей используемого в работе программного обеспечения информацию необходимо сохранять на локальных дисках компьютера, либо, когда у сотрудника отсутствует техническая возможность хранения файлов в сетевых папках. В этих случаях сотруднику необходимо согласовать хранение информации локально на компьютере с непосредственным руководителем и владельцем информационного ресурса, из которого была получена данная информация (если информация создана и обрабатывается в подразделении, в котором работает сотрудник, то согласование с владельцем ИР не требуется). Допускается без согласования хранить архив электронной почты на локальной рабочей станции, но при этом сотрудник должен использовать шифрование этой базы данных.  

5.7.         При увольнении сотрудника вся информация, хранимая локально на рабочем компьютере и которая была им создана, изменена и/или получена в процессе работы, должна быть передана его непосредственному руководителю. Руководитель подразделения не должен подписывать обходной лист сотрудника до получения этой информации от данного сотрудника.

5.8.         Запрещается открывать общий доступ к локальным папкам/дискам на компьютере, устройствам ввода-вывода информации, таким как CD-ROM, дисковод и другие, а также съемным носителям информации (правила работы с данными устройствами описаны в разделе 9 настоящих Правил).

5.9.         Выполнение операций в ресурсах (прикладных системах), последствия которых сотруднику не известны в силу отсутствия знаний по работе с данным ресурсом, использование компьютера для мошенничества и других видов противозаконной деятельности, а также использование каких-либо средств для осуществления несанкционированного доступа к ресурсам ОАО «Башинформсвязь» запрещается.

5.10.    Самостоятельно осуществлять подключение, отключение, переключение и перенастройку сетевых элементов компьютера запрещается (подключение каких-либо сетевых карт, подключение компьютера в другую сетевую розетку и пр.). Для проведения данных действий сотруднику необходимо обратиться к начальнику/заместителю начальника отдела технической инфраструктуры ИТ. Данный пункт не относится к сотрудникам, в обязанности которых входит перенастройка компьютеров.

6. Доступ к информационным ресурсам

6.1.         Доступ к информационным ресурсам предоставляется сотрудникам только на основании соответствующих заявок, оформленных в соответствии с Положением о разрешительной системе допуска к информационным ресурсам, сервисам сети Интернет в ОАО «Башинформсвязь».

6.2.         До начала работы в вычислительной сети ОАО «Башинформсвязь» сотрудник обязан ознакомиться с настоящими Правилами и получить у сотрудника отдела технической инфраструктуры ИТ персональное имя пользователя (идентификатор доступа) и временные пароли для доступа к информационным ресурсам. Временные пароли сотрудник должен сменить при первом доступе к информационным ресурсам. Работать с ИР, используя первоначальный пароль, запрещается.

6.3.         Сотрудник обязан периодически производить смену используемых им паролей. Срок действия паролей для разных ИР может быть различным, однако смену пароля нужно осуществлять не реже чем 1 раз в 90 дней.

6.4.         При создании пароля сотрудники должны выбирать сложные пароли, состоящие не менее чем из 8 символов и обязательно содержащие как буквы, так и цифры, и, по возможности, специальные знаки (!» №; %: *() _ и т. п.). Пароль не должен быть очевидными, то есть содержаться в каком-либо словаре. Не следует использовать в качестве пароля свою фамилию, даты рождений, имена детей номера своих телефонов, паспортов и других документов и т.п., а также любые всем известные и/или легко угадываемые сокращения. Запрещается использовать в качестве пароля имя пользователя (идентификатор доступа).

6.5.         При создании пароля для доступа к ИР ОАО «Башинформсвязь» сотрудникам запрещается использовать пароли, применяемые ими для доступа к домашним компьютерам, бесплатным службам электронной почты, web-сайтам сети Интернет и прочим сервисам не служебного характера.

6.6.         Запрещается записывать пароли в доступных для визуального просмотра местах, а также хранить их в открытом виде на электронных носителях, за исключением ключевых носителей, к которым предъявляются отдельные требования (подробнее описано в разделе 9.3 настоящих Правил).

6.7.         Сотрудникам запрещается передавать кому-либо (в том числе администраторам, непосредственному и вышестоящему руководителю) или разглашать свои аутентификационные данные (идентификатор доступа и пароль) для доступа к любому информационному ресурсу. Исключением могут быть случаи, когда отсутствие сотрудника на рабочем месте (например, при болезни, вынужденном отсутствии и т.п.) может привести к приостановлению работы подразделения. В этом случае, возможен сброс пароля сотрудника. После выхода на работу сотрудник обязан сменить пароль, который был использован другим сотрудником, при первом доступе к ИР.

При проведении очередных проверок техники уполномоченными сотрудниками ОАО «Башинформсвязь» сотрудник должен самостоятельно вводить свой пароль. В случае поступления запроса по телефону или электронной почте с просьбой сообщить аутентификационные данные, немедленно сообщить об этом непосредственному руководителю.

6.8.         Запрещается осуществлять доступ к ИР с использованием чужого идентификатора доступа (имя пользователя) и пароля (за исключением случаев, описанных в п. 6.7 настоящих Правил). Для доступа к ИР сотруднику следует использовать только персональный (собственный) идентификатор доступа и пароль. В случаях, когда технологически предусмотрено использование общих для нескольких сотрудников идентификаторов доступа, использование единого идентификатора возможно при обязательном согласовании с владельцем информационного ресурса. В этом случае руководитель подразделения является ответственным за контроль использования общего идентификатора доступа. Использовать несколькими сотрудниками одних и тех же персональных идентификаторов доступа в один промежуток времени запрещается.

6.9.         Сотрудники, у которых доступ к информационным ресурсам организован с использованием электронных ключей, не должны оставлять электронный ключ, подключенным к компьютеру, в случае их отсутствия на рабочем месте.

6.10.    В случае увольнения сотрудника или изменения его должностных обязанностей непосредственный руководитель обязан своевременно инициировать процедуру отключения (изменения) прав доступа данных сотрудников к ИР.

7. Работа с системами электронной почты

7.1.         Все сообщения электронной почты должны содержать подпись. В подписи следует, как минимум, указывать имя и фамилию.

7.2.         Сотрудникам, имеющим доступ к системе внешней электронной почты, запрещается отправлять конфиденциальную информацию за пределы ОАО «Башинформсвязь» с нарушением заключенных с контрагентами договоров об информационном обмене. При передаче данной информации вне ОАО «Башинформсвязь» необходимо выполнять правила, установленные в п. 7.4 настоящих Правил.

7.3.         Отправка посредством систем электронной почты конфиденциальной информации сотрудниками на почтовые ящики, открытые на бесплатных почтовых серверах (@mail.ru, @rambler.ru и прочие), запрещается. Исключением являются случаи, когда этот ящик указан в качестве контактного для клиентов/контрагентов, не имеющих собственной почтовой системы (в этом случае допускается отправлять на публичные почтовые ящики только ту информацию, которая предназначена и связана с данным клиентом/контрагентом).

7.4.         При передаче конфиденциальной информации сотрудник обязан применять средства криптографической защиты информации или использовать архивирование посредством программы WinRar или стандартного набора архиваторов c:\Arc с обязательной установкой пароля в соответствии с требованиями п. 6.4 настоящих Правил. Для передачи конфиденциальной информации внутри ОАО «Башинформсвязь» сотруднику допускается использовать штатные средства шифрования почтового клиента, установив необходимые атрибуты в параметрах доставки. Передавать конфиденциальную информацию с использованием систем электронной почты (внутренней и внешней) в незашифрованном виде запрещается.

7.5.         Для отправки информации нескольким адресатам сотруднику необходимо иметь в виду, что список адресатов является доступным для ознакомления всем получателям данной информации, что может привести к конфликту интересов адресатов.

7.6.         Сотрудникам запрещено использовать системы внутренней и внешней электронной почты для пересылки информации, включающей:

  • оскорбительную или провокационную информацию[1];
  • информацию, передаваемую «по цепочке» («письма счастья» и т.д.);
  • отправлять информацию на незнакомые почтовые адреса.

7.7.         Включать безусловную переадресацию другому сотруднику ОАО «Башинформсвязь» или лицам, не являющимися сотрудниками ОАО «Башинформсвязь», а также на личные почтовые ящики, открытые на бесплатных почтовых серверах, всей входящей информации без разрешения непосредственного руководителя запрещается. В случае запланированного отсутствия сотрудника на рабочем месте (командировка, отпуск и т.п.) он должен предварительно настроить автоответ с указанием замещающего его сотрудника для информирования других сотрудников и контрагентов о замещающем сотруднике на время отсутствия.

7.8.         Сотрудник должен удалять, не открывая, входящие электронные сообщения, если есть подозрение, что письмо или прикрепленные файлы содержат вирусы, вредоносный код или провокационную информацию. Подозрение может возникать, если тема письма не связана с выполнением функциональных задач или письмо пришло от неизвестного отправителя. Сотрудник не должен открывать любые вложения, полученные от неизвестных адресатов. Особому подозрению должны подвергаться вложения с расширениями .exe, .com, .bat, .vbs, .pif, .cmd, .scr. Такие вложения могут содержать вредоносный код или программу.

7.9.         В случаях появления предупреждений об обнаружении компьютерного вируса при попытке ознакомления с полученной информацией в системах электронной почты и в случаях получения другой подозрительной информации, необходимо руководствоваться Разделом 11 настоящих Правил.

7.10.    В случае пересылки файлов большого объема (свыше 10 Мбайта), их необходимо заархивировать с помощью специализированной программы 7-Zip, что позволит ускорить доставку информации, либо передать файлы с использованием общих сетевых каталогов (исключением могут быть особые договоренности с контрагентом по передаче данных в силу невозможности чтения представителями контрагента файлов 7-Zip, WinRar).

7.11.    Все системы внутренней и внешней электронной почты являются информационными ресурсами ОАО «Башинформсвязь» и при работе с ними необходимо руководствоваться Разделом 6 настоящих Правил.

8. Работа с сетью Интернет

8.1.         Доступ сотрудников к сети Интернет предоставляется только в связи с необходимостью осуществления ими своих непосредственных должностных обязанностей на основании Заявки, оформленной в соответствии с Положением о разрешительной системе допуска к информационным ресурсам, сервисам сети Интернет в ОАО «Башинформсвязь».

8.2.         Запрещается указывать аутентификационные данные (идентификатор доступа и пароль) для регистрации на web-сайтах, не имеющих непосредственного отношения к исполнению сотрудником должностных обязанностей (например, сайты знакомств, Интернет-магазинов и пр.) и/или на которых указанная информация будет доступна другим пользователям сайта (например, форумы).

8.3.         Сотрудникам запрещается пользоваться службами мгновенных сообщений (ICQ, Skype, MSN Messenger Connect for Enterprises и т.п.), посещать сервисы бесплатной электронной почты, а также сайты, не имеющие отношения к выполнению должностных обязанностей.

8.4.         Все действия сотрудников при работе в сети Интернет (посещаемые сайты, объем отправленной и принятой информации и т.п.) сохраняются в специальных электронных журналах, которые периодически анализируются администратором информационной безопасности.

8.5.         С целью недопущения заражения сети ОАО «Башинформсвязь» компьютерными вирусами, сотрудникам запрещается самостоятельно загружать из сети Интернет какое-либо программное обеспечение и исполняемые файлы. В случае необходимости загрузки программного обеспечения, исполняемых и больших файлов (более 10 Мб) следует согласовать загрузку с начальником отдела технической инфраструктуры ИТ или его заместителем.

9. Работа с устройствами ввода-вывода и съемными носителями информации

9.1.         Устройства ввода-вывода

 

9.1.1.  Устройства ввода-вывода, имеющие функции записи информации на носители, устанавливаются (подключаются) на рабочие компьютеры сотрудников ОАО «Башинформсвязь» в исключительных случаях, если работа с такими устройствами вызвана необходимостью осуществления ими своих непосредственных должностных обязанностей. Для установки и подключения данных устройств оформляется Заявка, оформленная в соответствии с Положением о разрешительной системе допуска к информационным ресурсам, сервисам сети Интернет в ОАО «Башинформсвязь» и содержащая подробное обоснование необходимости такого доступа. Формулировки общего характера, такие как: «в связи с производственной необходимостью» в качестве обоснования не принимаются.

9.1.2.  Сотрудник, имеющий подключенное устройство ввода-вывода с функциями записи, несет персональную ответственность за его использование только для целей, указанных в Заявке.

 

9.2.         Съемные носители информации

 

9.2.1.  Подключение съемных носителей должно осуществляться только для непосредственной работы с ними. В случае отсутствия сотрудника на рабочем месте, все съемные носители информации должны быть извлечены и/или отсоединены сотрудником от компьютера. Оставлять указанные носители в неприсоединенном/неподключенном состоянии в местах открытого доступа и на столах без присмотра запрещено. Сотрудник должен убирать съемные носители в закрываемое на ключ место хранения или забирать с собой.

9.2.2.  Сотрудники, допущенные к работе со съемными носителями информации, обязаны предъявлять их по требованию администратора информационной безопасности для проверки. Если съемный носитель не используется, подлежит замене (для ремонта) или подлежит сдаче, сотруднику необходимо также обратиться к администратору информационной безопасности для удаления всей информации, хранящейся на носителях. При увольнении или изменении должностных обязанностей, исполнение которых не требует использования съемных носителей информации, сотрудник обязан сдать съемный носитель сотруднику, осуществляющем выдачу носителей.

9.2.3.  Самостоятельное приобретение съемного носителя для служебных целей возможно при разрешении вышестоящего руководителя и АИБа. Сотрудник должен зарегистрировать приобретенный съемный носитель у АИБа перед его использованием. Использование незарегистрированных в установленном порядке у АИБа съемных носителей информации запрещено. 

9.2.4.  Сотруднику запрещается передавать используемые съемные носители информации посторонним лицам или другим сотрудникам ОАО «Башинформсвязь» без согласования непосредственного руководителя.

 

9.3.         Съемные носители ключевой информации

 

9.3.1.  Все съемные носители ключевой информации (далее - ключевые носители) сотрудник должен хранить в сейфе, запираемом на ключ шкафе, либо ином недоступном для посторонних лиц месте.

9.3.2.  За каждым ключевым носителем приказом по ОАО «Башинформсвязь» должен быть закреплен ответственный сотрудник. В случае необходимости выдачи ключевого носителя другим сотрудникам, ответственный сотрудник обязан согласовать передачу и/или списки сотрудников, имеющих право использовать данный ключевой носитель, с АИБом.

9.3.3.  Сотруднику запрещается сообщать кому-либо пароли доступа (если таковые имеются) к используемым ключевым носителям, а также использовать записанный на ключевом носителе ключ для подписи каких-либо электронных документов (файлов) кроме тех, которые предусмотрены технологическим процессом в указанной системе защищенного документооборота.

9.3.1.  В случае компрометации[2] криптографического ключа, т.е. обоснованного подозрения, что используемый ключ стал доступен постороннему лицу, пользователь обязан прекратить применение ключевого носителя, немедленно сообщить о факте компрометации (возможной компрометации) в подразделение информационной безопасности и непосредственному руководителю и действовать по их указанию.

9.3.2.  При работе с ключевыми носителями должны, в том числе, соблюдаться требования, указанные в разделе 9.2 настоящих Правил.

10. Работа с мобильными устройствами

10.1.    Общие правила работы с мобильными устройствами

 

10.1.1.                    Сотрудникам запрещается подключение к локальной сети (компьютеру) личных мобильных устройств и их использование для работы с информацией ограниченного доступа.

10.1.2.                    Смартфоны и мобильные телефоны запрещается использовать для работы с конфиденциальной информацией.

10.1.3.                    Запрещается включать порты мобильного устройства, работающие на основе технологий беспроводной связи (IrDA, Wi-Fi, Bluetooth и WiMAX), подключать мобильные устройства к сетям сторонних юридических лиц и сетям общего пользования (в том числе Интернет). Запрещается оставлять персональные компьютеры (КПК), сотовые телефоны и другие мобильные устройства на столах и прочих местах открытого доступа без присмотра.

10.1.4.                    В случае утери или кражи служебного мобильного устройства, сотрудник обязан немедленно письменно сообщить об этом своему непосредственному руководителю и АИБу, после чего составить и передать АИБу актуальный (т. е. на момент утери или кражи) перечень содержащейся в мобильном устройстве информации ограниченного доступа.

 

10.2.    Особенности работы с ноутбуками

 

10.2.1.                    Запрещается передавать ноутбук в пользование другим сотрудникам ОАО «Башинформсвязь». В случае необходимости передачи ноутбука другому сотруднику, необходимо обратиться к сотруднику отдела технической инфраструктуры ИТ для перенастройки ноутбука для данного сотрудника или согласовать с АИБом возможность использования ноутбука несколькими сотрудниками.

10.2.2.                    Ноутбуки запрещается оставлять без присмотра. При отсутствии на рабочем месте сотруднику следует убирать ноутбук в закрытое на ключ место хранения (сейф), использовать специальный шнур безопасности с кодовым замком для предотвращения кражи оборудования или оставлять ноутбук под контроль других сотрудников подразделения, работающих в помещении, рассчитанном на не более чем 10 сотрудников.

10.2.3.                    В случае использования ноутбука за пределами здания ОАО «Башинформсвязь», сотрудник может использовать специальный кабель (шнур безопасности) для предотвращения кражи ноутбука, переносить ноутбук в специальной сумке, не оставлять ноутбук в автомобиле и в общественных местах; во время поездки на автомобиле располагать ноутбук в салоне автомобиля, принимая меры для предотвращения кражи через окно или дверь машины.

10.2.4.                    При использовании ноутбука для работы с информацией ограниченного доступа в общественных местах сотрудник обязан размещать его таким образом, чтобы предотвратить просмотр информации на экране сторонними лицами.

10.2.5.                    Во избежание потери информации, хранимой на ноутбуке, сотруднику следует по возможности осуществлять копирование информации в сетевые каталоги.

10.2.6.                    При работе с ноутбуками должны соблюдаться те же правила, что и при работе с персональными компьютерами, определенные в п. 5.1-5.5, 5.7-5.10 настоящих Правил.

11. Действия сотрудников в случае инцидента информационной безопасности

11.1.    Сотруднику следует сообщать АИБу обо всех инцидентах, связанных с выполнением требований по информационной безопасности, своему непосредственному руководителю. Такими инцидентами могут быть:

-    любые нарушения настоящих правил (в том числе и в части работы с документами);

-    кража оборудования (компьютера, ноутбука, электронных носителей информации), кражи конфиденциальной информации (в случае потери/кражи ноутбука сотрудник должен сообщить серийный номер).

-    потеря пароля, ключа или устройства доступа (в том числе в случае, если сотрудник забыл свой пароль), а также подозрение, что конфиденциальность пароля нарушена (в случае потери сотруднику будет выдан временный пароль, ключ или новое устройство для доступа к информационным ресурсам);

-    обнаружения средствами защиты, установленными на компьютер сотрудника, нарушений в безопасности (например, обнаружение вируса).

11.2.    В случае выявления сотрудником фактов сбора информации ограниченного доступа сотрудниками других подразделений необходимо удостовериться о легитимности данного сбора. Если у сотрудника есть подозрение, что сбор осуществляется несанкционированно, то необходимо сообщить о данном факте своему руководителю, который принимает решение о возможности передаче этой информации.

11.3.    В случае возникновения вопросов, связанных с неполадками в работе компьютера и различных устройств, некорректной работой программного обеспечения, отсутствием знаний по выполнению тех или иных действий при работе с компьютером в части исполнения данных Правил, сотруднику следует также обращаться к системному администратору.

12. Ответственность за нарушение требований информационной безопасности

12.1.    Контроль и мониторинг соблюдения настоящих Правил и требований информационной безопасности осуществляется администратором информационной безопасности в соответствии с установленными процедурами. АИБ имеет право проверять выполнение и требовать соблюдения сотрудниками ОАО «Башинформсвязь» настоящих Правил.

12.2.    По всем фактам нарушения сотрудниками ОАО «Башинформсвязь» настоящих Правил и требований информационной безопасности АИБом проводится детальное служебное расследование, результаты которого доводятся до непосредственного руководителя сотрудника, а также до генерального директора. По результатам расследования может быть принято решение о привлечении сотрудника, допустившего нарушение, к ответственности в соответствии с Правилами внутреннего трудового распорядка и Трудовым кодексом Российской Федерации. Порядок принятия такого решения определяется Трудовым кодексом РФ и внутренними нормативными актами ОАО «Башинформсвязь».

 

Общие правила пользования, учета и хранения ключей от шкафов, тумбочек и прочих запирающихся устройств

 

1.            Все устройства хранения (шкафы, тумбочки, сейфы и пр.) должны быть закрыты на ключ по завершении рабочего дня. Устройства хранения конфиденциальной информации должны быть закрыты на ключ и открываться только для получения или помещения на хранения документов.

2.            Руководителем подразделения назначаются ответственные (не менее двух сотрудников (основной, дублер)) за хранение ключей от общих устройств хранения (шкафы, сейфы), а также за хранение запасных (дубликатов) ключей от индивидуальных устройств хранения (тумбочки) сотрудников подразделения. Сотрудники, являющиеся материальными ответственными в ОАО «Башинформсвязь», уведомляются о назначении ответственных сотрудников служебной запиской с темой: «О сотрудниках, ответственных за учет и хранение дубликатов ключей от общих и индивидуальных устройств хранения».

3.            Запасные экземпляры ключей должны храниться в запечатанных конвертах в закрытом на ключ шкафу или, что предпочтительно, сейфе. Ответственные сотрудники ведут журнал учета ключей, фиксируют события получения ключей от сотрудников, являющихся материальными ответственными в ОАО «Башинформсвязь», выдачи сотрудникам и сдачи сотрудниками (при переходе, увольнении), утери и т.д. Ключ от шкафа хранения запасных ключей может быть передан только дублеру в период отсутствия ответственного. При получении нового устройства хранения, ключи передаются сотрудникам под роспись, а дубликаты размещаются в шкафу хранения в установленном порядке.

4.            Основные экземпляры ключей для индивидуального устройства (устройств) хранения выдаются сотруднику под роспись ответственным сотрудником. Ключ должен всегда находиться у владельца, и   не может быть передан другому сотруднику.

5.            Оставлять ключ в местах общего доступа запрещается.

6.            Если сотрудник забыл основный экземпляр ключа, то ответственный сотрудник, получив сообщение о необходимости предоставления запасного ключа, предоставляет ключ сотруднику, удостоверив его личность. При этом запасной ключ не может быть оставлен у сотрудника, а должен быть возвращен им на место хранения. В случае если последовательно в течение трех рабочих дней сотрудник инициирует процедуру запроса запасного ключа, то ключ считается утерянным.

7.            В случае потери ключа сотрудник, потерявший ключ или ключ которого считается утерянным, оформляет объяснительную записку с указанием причины утери ключа. После получения объяснительной записки об утере ключа, материально ответственный сотрудник должен в течение двух недель заменить замок (в любом случае, даже при наличии дубликата). Новые два ключа (основной ключ и дубликат) выдаются ответственному сотруднику на учет и хранение ключей, после чего основной экземпляр ключа для индивидуального устройства (устройств) хранения выдается сотруднику в установленном порядке.

8.            Линейный руководитель должен сразу при получении информации об утере ключа установить, хранится ли в данном устройстве конфиденциальная информация. В случае положительного ответа обеспечить перенос конфиденциальной информации в другое устройство хранения.

9.            В случае перехода сотрудника внутри ОАО «Башинформсвязь» или при увольнении, ключи от персональных устройств хранения должны быть сданы ответственному сотруднику.

 

 



[1] Таковыми считаются, в том числе, сообщения, содержащие расовые оскорбления, сексуальные домогательства, дискриминацию по половому признаку или другие комментарии, затрагивающие в оскорбительной форме вопросы возраста или сексуальной ориентации, религиозные или политические пристрастия, национальность или состояние здоровья.

[2] К событиям, связанным с компрометацией ключей, относятся потеря ключевого носителя (даже с последующим обнаружением), нарушение печати на сейфе (пенале) с ключевым носителем и т. п.

Просмотров работы: 5424