|
Читайте также: |
Введение
Целью работы является обеспечение защиты информации в автоматизированных системах ЗАО «Теплоприбор». Выполнение данной работы преследует следующие учебные цели, а именно: изучение и применение нормативно правовых актов в области информационной безопасности (далее по тексту ИБ), использование стандартов по реализации мер ИБ. Кроме того изучение и применение ГОСТов по оформлению технической документации стандартов и единой системы конструкторской документации (ЕСКД).
В настоящее время информационная безопасность – одна из актуальных проблем, стоящих не только перед коммерческими предприятиями, но и почти перед каждым человеком, который живущим в современном обществе. В наше время повсеместной автоматизации, доступ злоумышленников к некоторым АС может привести к катастрофическим последствиям. Поэтому защите должно уделяться очень большое внимание.
Способы защиты информационных ресурсов должны представлять собой целостный комплекс защитных мероприятий, которые должны быть тщательно спланированы. Главной целью злоумышленника является получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т.д.) в целях удовлетворения своих информационных потребностей. Более опасной целью является уничтожение накопленных информационных массивов в документальной или электронной форме и программных продуктов.
Общие сведения
ЗАО ЦЕНТРАЛЬНОЕ ПРОЕКТНО-КОНСТРУКТОРСКОЕ БЮРО (Далее ЦПКБ) «Теплоприбор» основано в 1959 г. и имеет более чем 40-летний опыт создания приборов контроля и регулирования технологических процессов. В ассортименте выпускаемой продукции предприятия более 30 наименований изделий.
Основными видами деятельности ЦПКБ является:
– исполнение заказов государственных предприятий, учреждений, ор-ганизаций, физических лиц, иностранных предприятий и предприятий с иностранными инвестициями, на основе заключаемых с ними контрактов и договоров, а также собственная производственная и коммерческая деятельность;
– научно-исследовательские и опытно-конструкторские работы в области теплоэнергетического приборостроения, точной механики, медицинской техники, радиоэлектроники, метрологии и образцовых средств измерений, стандартизации;
– разработка, изготовление, комплектная поставка, монтаж, пуско-наладочные работы, ремонт и техническое обслуживание измерительной и регулирующей техники, систем сбора и переработки информации, автоматизированных систем управления технологическими процессами и производством;
– создание и реализация научно-технической продукции в виде научно-исследовательских и инженерных работ, технической документации, исследовательских методик, опытных образцов и партий приборов и других изделий;
– разработка, изготовление, монтаж, ремонт, пуско-наладочные работы, эксплуатация и техническое обслуживание сложной промышленной и бытовой техники, включая компьютеры и радиоэлектронные системы;
– разработка проектной, конструкторской и технологической документации;
– разработка современной техники и технологии, производство и сбыт промышленной продукции и товаров народного потребления.
1.1 Общие сведения об объекте защиты
Объектом защиты в сфере информационной безопасности является Офис Омского завода "Теплоприбор". Здание расположено по адресу г. Омск пр. Маркса 18/1.
Офис Омского завода "Теплоприбор" размещен в одноэтажном здании с подвалом, в котором:
– перегородки кирпичные и бетонные;
– половое покрытие в кабинетах - линолеум, ламинат, напольное покрытие;
– рамы окон деревянные со стеклопакетами и пластиковые со стеклопакетами;
– двери деревянные и железные;
– в помещении серверной двери железные;
– коридоры и кабинеты оборудованы подвесными потолками.
Система отопления здания подключена к теплоцентрали, расположенной за границей контролируемой зоны. Температурный режим в отдельных помещениях осуществляется автономными системами кондиционирования помещений. Офис оборудован охранно-пожарной сигнализацией.
Все кабинеты должны иметь доступ к корпоративной и телефонной сети здания, а компьютеры должны иметь ограниченный выход в интернет. Наиболее простой способ ограничения доступа в интернет – настройка прокси-сервера. Рабочие кабинеты должны иметь как минимум одну камеру видеонаблюдения (за исключением Серверной, доступ к которой имеется только у трёх человек).
Также все кабинеты имеют крашеные бетонные стены, на которых можно закрепить кабель-каналы. В каждом кабинете установлено по 2 датчика противопожарной сигнализации.
Кабинет Бухгалтерии 7 имеет площадь 13,7 квадратных метра, что позволяет разместить в нем 3 рабочие станций с ЖК-мониторами и дополнительное оборудование.
Кабинет Отдела кадров 8 имеет площадь 13,7 квадратных метра, что позволяет разместить в нем 3 рабочие станций с ЖК-мониторами и дополнительное оборудование.
Кабинет Секретаря 9 имеет площадь 17,45 квадратных метра, что позволяет разместить в нем 3 рабочие станций с ЖК-мониторами и дополнительное оборудование.
Кабинет Генерального директора 10 имеет площадь 11,09 квадратных метра, что позволяет разместить в нем 1 рабочую станцию с ЖК-мониторам и дополнительное оборудование.
Серверная 11 имеет площадь 7,61 квадратных метра, что позволяет разместить в ней 1 серверную станций с ЖК-монитором и дополнительное оборудование.
Кабинет Отдела сбыта 12 имеет площадь 41,45 квадратных метра, что позволяет разместить в нем 9 рабочих станций с ЖК-мониторами и дополнительное оборудование.
Кабинет Конструкторского бюро 14 и 15 имеют площадь 27,4 и 24,4 квадратных метра (соответственно), что позволяет разместить в них 6 и 5 рабочих станций с ЖК-мониторами и дополнительное оборудование (соответственно).
Кабинет IT отдела 4 имеет площадь 13,6 квадратных метра, что позволяет разместить в нем 3 рабочие станций с ЖК-мониторами и дополнительное оборудование.
Кабинет Коммерческого директора 5 имеет площадь 7,56 квадратных метра, что позволяет разместить в нем 1 рабочую станцию с ЖК-мониторам и дополнительное оборудование.
Кабинет Технического директора 3 имеет площадь 5,11 квадратных метра, что позволяет разместить в нем 1 рабочую станцию с ЖК-мониторам и дополнительное оборудование.
1.2 Организационная структура предприятия
Штат предприятия составляет 103 человек. Из них 34 человек – инженерно-технические работники, и 69 – рабочих, привлеченных на постоянной основе, и обслуживающий персонал.
Организационная структура предприятия включает следующие службы и подразделения: конструкторское бюро, испытательный центр, экспериментальное производство, бухгалтерию, отдел кадров, отдел сбыта, IT отдел.
Органами управления общества являются: общее собрание акционеров, Совет директоров Общества. Руководство деятельностью Общества осуществляется единоличным исполнительным органом Общества – Генеральным директором. Органом контроля над финансово-хозяйственной деятельностью предприятия является ревизионная комиссия, которая создается по решению общего собрания акционеров, принятому большинством голосов.
1.3 Функциональные обязанности персонала
Организационная структура офиса ЗАО «Теплоприбор» определяется как линейно-функциональная (см. приложение 1). В соответствии с такой структурой каждый сотрудник отдела занимается непосредственно своими функциональными обязанностями (см. приложение 2).
Концепция информационной безопасности. Общие положения
Нормативно-правовое обеспечение информационной безопасности представляет собой совокупность законодательных актов и нормативов, регламентирующих общую организацию работ по защите информации и создание систем защиты информации. ЗАО «Теплоприбор» является не режимным объектом, поэтому для него будет определена типовая структура концепции ИБ. [5, с.87]
В проекте будут использоваться нормативно - правовые документы призванные обеспечить:
– конфиденциальность информации (защита от несанкционированного ознакомления);
– целостность информации (актуальность и непротиворечивость информации, её защищённость от разрушения и несанкционированного изменения);
– доступность информации (возможность за приемлемое время получить требуемую информационную услугу).
2.1 Нормативно правовое обеспечение информационной безопасности
Согласно Федеральному закону от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящий Федеральный закон регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
2. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.
Статья 3. Принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации
Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на принципах изложенных в пунктах 2, 3, 6, 7:
Статья 5. Информация как объект правовых отношений
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).
Статья 6. Обладатель информации
1. Обладателем информации может быть гражданин (физическое лицо), юридическое лицо, Российская Федерация, субъект Российской Федерации, муниципальное образование.
4. Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.
Статья 8. Право на доступ к информации.
Не может быть ограничен доступ к:
Нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправлении.
В случае, если в результате неправомерного отказа в доступе к информации, несвоевременного ее предоставления, предоставления заведомо недостоверной или не соответствующей содержанию запроса информации были причинены убытки, такие убытки подлежат возмещению в соответствии с гражданским законодательством.
Статья 9. Ограничение доступа к информации
2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.
4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.
6 Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.
Статья 10. Распространение информации или предоставление информации
4. Предоставление информации осуществляется в порядке, который устанавливается соглашением лиц, участвующих в обмене информацией.
5. Случаи и условия обязательного распространения информации или предоставления информации, в том числе предоставление обязательных экземпляров документов, устанавливаются федеральными законами.
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, изложенных в пунктах 1, 2, 3.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить действия описанные в пунктах 1-6.
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя пункты 1, 2, 3, 4, 5, 6
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения описанные в пунктах 1-9.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
2.2 Анализ угроз и рисков
Согласно ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. ГОСТ ИСО/МЭК 27005 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
В качестве объектов защиты, рассматриваемых в рамках настоящей концепции, выступают следующие виды информационных ресурсов предприятия:
– информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи;
– информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.
Дата добавления: 2015-10-13; просмотров: 114 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Расчет звукоизоляции | | | Анализ угроз информационной безопасности |