Разработка проекта защиты информации на примере ООО «ПрикамЭкоТех»

Введение…………………………………………………………………………...3
1. Информационные потоки циркулирующие на предприятии………………..5
1.1. Общая характеристика предприятия………………………………………5
1.2. Классификация информации циркулирующей на предприятии ООО «ПрикамЭкоТех»………………………………………………………………..7
1.3. Анализ угроз информационной безопасности, построение модели Злоумышленника………………………………………………………………21
2. Анализ состояния информационной безопасности на предприятии
ООО «ПрикамЭкоТех»………………………………………………………….33
2.1. Основные факторы, влияющие на информационную безопасность на
предприятии ООО «ПрикамЭкоТех»…………………………………………33
2.2 Требования информационной безопасности на предприятии в соответствии со стандартами и нормативно-правовыми актами РФ….……39
2.3. Состояние коммерческой информационной безопасности…………….47
2.4. Оценка уровня лояльности сотрудников………………………………...55
3. Выявление проблем поддержания необходимого уровня информационной безопасности в деятельности предприятия ООО «ПрикамЭкоТех»…………59
3.1. Анализ уязвимых мест СЗИ………………………………………………59
3.2. Разработка мер обеспечения необходимого уровня безопасности коммерческой информации……………………………………………………61
4. Выбор и обоснование решения совершенствования системы информационной безопасности на предприятии……………………………….71
4.1. Источники формирования ресурсов для реализации мероприятий……..71
4.2. План реализации выбранного решения………………………………….74
Заключение…………………………………………………………………….…77
Список использованной литературы…………………………………………...79
Приложения……………………………………………………………………...84

Введение
Актуальность темы определяется обострением проблем информационной безопасности даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 170%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 4-5 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится.1 93% компаний, лишившихся доступа к собственной информации на срок более 15 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно.
...

1.1. Общая характеристика предприятия
Предприятие ООО «ПрикамЭкоТех» представляет собой общество с ограниченной ответственностью и ведет свою деятельность на основе Гражданского Кодекса РФ. ООО «ПрикамЭкоТех» является юридическим лицом (ст. 48 Гражданского Кодекса РФ3) и действует на основе Устава, имеет собственное имущество, самостоятельный баланс и расчетный счет.
ООО «ПрикамЭкоТех» находится в г. Воткинске, по адресу: г. Воткинск, ул. Освобождения, 3-3. Компания «ПрикамЭкоТех» была основана в 1996 г. Уже более 13 лет компания «ПрикамЭкоТех» динамично развивается в области поставок запчастей и аксессуаров для автомобилей отечественного производства.
Компания производит в целях реализации резиновую крошку фракций от 1 мм., 1-3 мм., 3-5мм. Продукция собственного производства имеет сертификат качества. Так же компания принимает на утилизацию автомобильные покрышки.
...

1.2 Классификация информации циркулирующей на предприятии ООО «ПрикамЭкоТех»
Информация - (от лат. Informatio – разъяснение, изложение) первоначально – сведения, передаваемые людьми устным, письменным или другим способом; с середины 20-го века – общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом6.
Общая классификация информации, циркулирующей на предприятии представлена на рисунке 2. Представленная информация построена на принципах достоверности, оперативности, информативности.



Рисунок 2 – Классификация информации, циркулирующей на предприятии ООО «ПрикамЭкоТех»

По источникам поступления информация подразделяется на внешнюю и внутреннюю7. Внешняя информация – это законодательные акты и директивные указания вышестоящих органов, данные о научно-техническом прогрессе, о конкурентах, о спросе на продукцию, о ценах и т.д.
...

2. Анализ состояния информационной безопасности на предприятии
ООО «ПрикамЭкоТех»
2.1. Основные факторы, влияющие на состояние информационной безопасности на предприятии ООО «ПрикамЭкоТех»
Факторы, влияющие на информационную безопасность предприятия, делятся на внутренние и внешние23.
Внутренние факторы:
неквалифицированная внутренняя политика предприятия по разработке и внедрению технологий и обеспечению информационной безопасности, об том свидетельствует директор предприятия ООО «ПрикамЭкоТех»;
отсутствие соответствующей квалификации персонала по обеспечению деятельности и управлению объектом защиты;
преднамеренные и непреднамеренные действия персонала по нарушению политики безопасности;
предательство персонала, в 70% случаев это происходит после увольнения сотрудника, который желает отомстить за увольнение. В остальных же случаях присутствуют факты взятки, подкупа и желание заработать легких денег;
техногенные аварии и разрушения в цехе, пожары.
...

1.2 Классификация информации циркулирующей на предприятии ООО «ПрикамЭкоТех»
Информация - (от лат. Informatio – разъяснение, изложение) первоначально – сведения, передаваемые людьми устным, письменным или другим способом; с середины 20-го века – общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом6.
Общая классификация информации, циркулирующей на предприятии представлена на рисунке 2. Представленная информация построена на принципах достоверности, оперативности, информативности.



Рисунок 2 – Классификация информации, циркулирующей на предприятии ООО «ПрикамЭкоТех»

По источникам поступления информация подразделяется на внешнюю и внутреннюю7. Внешняя информация – это законодательные акты и директивные указания вышестоящих органов, данные о научно-техническом прогрессе, о конкурентах, о спросе на продукцию, о ценах и т.д.
...

2.2 Требования информационной безопасности на предприятии в соответствии со стандартами и нормативно-правовыми актами РФ
Требования к информационной безопасности различны и они делятся на:
требования к механизмам контроля доступа к ресурсам предприятия;
требования к физической защите доступа;
требования к техническим средствам защиты, используемым в составе сети.
Практика показывает, что наибольший эффект в плане обеспечения информационной безопасности достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм - систему защиты информации24. При этом функционирование механизма защиты должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.
...

2.4. Оценка уровня лояльности сотрудников
Человеческий фактор является самым уязвимым местом на предприятии. И если руководство предприятия во время не увидит проявления нелояльности, то существует вероятность погубить перспективные проекты и неполучение прибыли31.
В период экономического кризиса особого внимания требует инсайдерская деятельность, причиной которой является недовольство руководством32. Причем мотивацией может служить как простая жажда мести, так и перспектива выгодно продать конфиденциальную информацию. Кроме того, многие из руководителей работают на предприятии длительный период времени и прекрасно знают все наиболее уязвимые места и слабо контролируемые направления деятельности, пользуются доверием и располагают большими полномочиями.
«Лояльный» означает держащийся в границах законности, корректно и благожелательно относящийся к организации, в которой человек работает.
...

3.1. Анализ уязвимых мест СЗИ
Проанализировав состояние коммерческой информационной безопасности на предприятии ООО «ПрикамЭкоТех», автор пришел к выводу о уязвимости системы защиты информации.
К числу наиболее вероятных каналов утечки информации можно отнести:
• совместную с другими предприятиями деятельность, участие в переговорах;
• фиктивные запросы со стороны о возможности работать на предприятия на различных должностях;
• посещения предприятия;
• общения представителей предприятия о характеристиках предоставляемых товаров, услуг;
• чрезмерную бесконтрольную рекламу и рекламные акции;
• консультации специалистов со стороны, которые в результате этого получают доступ к установкам и документам фирмы;
• публикации в печати и выступления;
• совещания, конференции и т.п.;
• разговоры в нерабочих помещениях;
• недовольных сотрудников предприятия;
• технические каналы;
• материальные потоки.
...

3.2. Разработка мер обеспечения необходимого уровня безопасности коммерческой информации
Говоря о разработке мер обеспечения необходимого уровня безопасности коммерческой информации, автор обращается к разработкам38 в области безопасности информационных систем и предлагает адаптировать данные меры на предприятии ООО «ПрикамЭкоТех».
Проектирование требуемой системы защиты информации проводится путем системного анализа существующей и разработки вариантов требуемой системы.
...

1. Конституция РФ от 12.12.1993 г. (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ)
2. «Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ (принят ГД ФС РФ 21.10.1994) (ред. от 27.12.2009)
3. «Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 N 14-ФЗ (принят ГД ФС РФ 22.12.1995) (ред. от 17.07.2009)
4. «Гражданский процессуальный кодекс Российской Федерации» от 14.11.2002 N 138-ФЗ (принят ГД ФС РФ 23.10.2002) (ред. от 30.04.2010)
5. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (принят ГД ФС РФ 24.05.1996) (ред. от 07.04.2010) (с изм. и доп., вступающими в силу с 18.04.2010)
6. «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) (ред. от 25.11.2009) (с изм. и доп., вступающими в силу с 01.01.2010)
7. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 24.07.2007) «О коммерческой тайне» (принят ГД ФС РФ 09.07.2004) (с изм. и доп., вступающими в силу с 01.01.2008)
8. Указ Президента РФ от 10.01.2000 N 24 «О Концепции национальной безопасности Российской Федерации»
9. Распоряжение Правительства РФ от 28.01.2008 N 74-р «О Концепции федеральной целевой программы «Национальная система химической и биологической безопасности Российской Федерации (2009 - 2013 годы)»
10. ГОСТ Р ИСО/МЭК 27001-2006 Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.
11. Международный реестр сертификатов на системы управления информационной безопасностью по ISO 27001 / BS 7799-2
12. ГОСТ РД 50-34.698-90 «Комплекс стандартов и руководящих документов на автоматизированные системы»
13. ГОСТ 6.10-84 Придание юридической силы документам, созданным на машинном носителе, средстве вычислительной техники
14. Алексенцев, А.И. Понятие и назначение комплексной системы защиты информации/ А.И.Алексенцев М.- 2006.- № 2. - С. 2 - 3.
15. Анализ угроз и построение системы информационной безопасности [Электронный ресурс] // МРЦБ. Консультационная фирма. IT-консалтинг - (http://www.mrcb.ru/).
16. Астахов, А. Разработка эффективных политик информационной безопасности/ А.Астахов [Электронный ресурс]// Директор ИС #01/2004.- (http://www.osp.ru/cio/2004/01/rub/1072641.html).
17. Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд–во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.