Исследование процессов защиты информации в ОАО 'Мегафон'
ФЕДЕРАЛЬНОЕ
АГЕНСТВО ПО ОБРАЗОВАНИЮ
ОРЕНБУРГСКИЙ
ГОСУДАРСТВЕННЫЙ ИНСТИТУТ МЕНЕДЖМНТА
Кафедра
информационной безопасности
КУРСОВАЯ
РАБОТА
по
дисциплине "Теория информационной безопасности и методология защиты
информации"
на тему:
Исследование процессов защиты информации в ОАО "Мегафон"
Выполнила студентка
специальности "Организация и
технология защиты информации”
М.Е. Белова
Руководитель работы
преподаватель кафедры информационной
безопасности
Е.В. Заворитько
Оренбург
2012
Оглавление
Введение
Перечень сокращений и условных обозначений
1. Краткая характеристика ОАО
"МегаФон"
1.1 Организационная структура ОАО
"МегаФон"
1.2 Информационные потоки отделов ОАО
"МегаФон"
2. Исследование процессов защиты информации
отделов ОАО "мегаФон"
2.1 Классификация информации по видам тайн
2.2 Карта актуальных угроз для ИСПДн
2.3 Модель нарушителя
2.4 Каналы утечки информации
2.5 Политика безопасности
2.6 Исследование политики безопасности
Исследование правового направления защиты
информации
Исследование организационного направления
защиты информации
Исследование инженерно-технического
направления защиты информации
Исследование программного направления
защиты информации
Заключение
Библиографический список
Введение
Информация, в том или ином
проявлении, является основой жизни и деятельности человека и общества. В случае
же, когда речь об информации заходит в контексте рыночных отношений, те или
иные данные представляют собой уже товар, цена которого превышает стоимость
самых дорогих образцов продукции. Защита ее от изменения, уничтожения и кражи
представляет собой все более сложную проблему. Сложность ее, прежде всего,
обусловлена тем, что в условиях рынка и информационной открытости размывается
граница между свободно распространяемой и закрытой информацией. Например, даже
предприятия, выпускающие военную технику, вынуждены по законам рынка ее
рекламировать, тем самым приоткрывая завесу секретности. Следовательно, защита
информации представляет собой многоцелевую проблему, часть которой, порой даже
не имеет четкой постановки.
Задача потенциального злоумышленника
особенно упрощается в условиях повсеместного внедрения средств
автоматизированной обработки информации. Степень автоматизации предприятия во
многом определяет уровень его конкурентоспособности, однако, вместе с этим,
является источником многочисленных угроз безопасности. Совершенно очевидно, что
надежное обеспечение безопасности информации абсолютно немыслимо без реализации
комплексного подхода к решению этой задачи.
Целью данной курсовой работы
является исследование процессов защиты информации на предприятии, методов и
подходов, используемых для обеспечения безопасного хранения, обработки и
доступа к данным.
В качестве объекта исследования была
выбрана компания ОАО "МегаФон". Основным видом деятельности организации
является предоставление доступа к сервисам подвижной радиосвязи.
Объектом исследования является
организация защиты информации в ОАО "МегаФон".
Предметом исследования являются
процессы и средства защиты информации в ОАО "МегаФон".
В ходе выполнения курсовой работе
были пройдены следующие этапы:
·
описание организационной структуры компании;
·
выявление потенциальных нарушителей;
·
определение каналов утечки информации;
·
анализ возможных угроз защиты информации;
·
исследование средств и методов защиты информации.
Наибольшее внимание уделено вопросам
защиты информации, содержащей персональные данные, а также данные, относящиеся
к коммерческой тайне. Среди направлений собственно практической реализации
механизмов защиты информации, отдельно были выделены элементы
организационно-правовой, инженерно-технической и программно-аппаратной защиты
данных. Для каждого из перечисленных методов раскрыта суть, и техническая база
для реализации на защищаемом объекте.
При проведении исследования
использовались монографические, методологические, статистические методы.
В качестве информационной основы
исследования были использованы законодательные акты и нормативно-правовая база
в области защиты информации, научные и методические разработки экспертов,
первичные документы, положения о коммерческой тайне и об обработке персональных
данных в ОАО "МегаФон".
защита информация информационный
поток
Перечень сокращений и условных обозначений
DLP - Data Loss Prevention
GSM - Groupe Special Mobile
АРМ - автоматизированное рабочее
место
ВОЛС - волоконно-оптическая линия
связи
ВТСС - вспомогательные технические
средства и системы
ЗЭ - закладной элемент
ИСПДн - информационная система
персональных данных
КТ - коммерческая тайна
ОАО - открытое акционерное общество
ОВУ - оптоволоконный узел
ПЭМИН - побочное электромагнитное
излучение и наводки
СЗИ - система защиты информации
1. Краткая характеристика ОАО "МегаФон"
ОАО "МегаФон" - один из
трех крупнейших сотовых операторов России. Это единственная компания,
развернувшая собственную сеть и оказывающая весь спектр услуг мобильной связи
на всей территории России. Помимо этого, дочерние компании "МегаФона"
работают в Таджикистане, Абхазии и Южной Осетии. Точкой отсчета в истории
"МегаФона" можно считать 17 июня 1993 года, когда в мэрии Санкт-Петербурга
было зарегистрировано акционерное общество закрытого типа "Северо-Западный
GSM".
В коммерческую эксплуатацию сеть GSM
в Санкт-Петербурге была запущена в январе 1995 года. За первые 12 месяцев
работы компания подключила 8 тысяч абонентов. С 1997 года компания начала
экспансию в регионы северо-западной части России. В 1999 году
"Северо-Западный GSM" первым среди российских операторов заключил
роуминговые соглашения со всеми без исключения странами Европы. А к концу 2000
года абонентская база "Северо-Западного GSM" насчитывала больше 250
тысяч человек. В 2001 году у компании появилась первая зарубежная дочерняя
компания - оператор "ТТ-мобайл" в Таджикистане. В том же году был дан
зеленый свет и всероссийской экспансии: на базе "Северо-Западного GSM"
было принято решение создать единый общероссийский сотовый оператор. В начале
2002 года компания отпраздновала подключение миллионного абонента, после чего
акционеры решили дать компании новое имя - ОАО "МегаФон", а уже к
концу 2002 года число пользователей выросло почти в три раза и достигло 2,8 млн
человек. В последующие годы продолжается интенсивное развитие компании.
В 2007 году сеть
"МегаФона" охватила всю территорию страны, и компания стала первым
федеральным оператором сотовой связи. Кроме того, была получена лицензия на
предоставление услуг связи третьего поколения в стандарте GSM и запущена первая
в России коммерческая сеть 3G в Санкт-Петербурге. В рамках ее тестирования был
совершен первый в Восточной Европе видеозвонок. В декабре 2008 года собрание
акционеров ОАО "МегаФон" приняло решение о реорганизации компании
путем присоединения дочерних обществ. Число абонентов превысило 43,2 миллиона.
Интернет-трафик в сетях
"МегаФон" в 2009 году насчитывал 5 825 457 482 Mb, а в первом
квартале 2010 года - уже 6 173 449 597 Mb. В общей сложности на долю абонентов
"МегаФона" пришлось 39% всего интернет-трафика, сгенерированного
российскими пользователями. Голосовой трафик абонентов "МегаФона" в
2009 году составил 151 944 601 тысяч минут, в первом квартале 2010 года - 42
046 959 тысяч минут.
В 2009 году было продано 964 тысяч
519 фирменных 3G-модемов, работающих в сети "МегаФон", а только за
первые семь месяцев 2010 года продажи составили 1 миллион 225 тысяч 222 модема.
У компании заключены роуминговые соглашения с 479 GSM-операторами из 209 стран.
В то же время насчитывалось 1470 фирменных салонов "МегаФон", к концу
2010 года их количество составляло 2500, а 31 декабря 2011 года - 3000.
По итогам первого квартала 2010 года
сеть "МегаФон" насчитывает 7200 базовых станций, поддерживающих 3G.
Общее количество 2G/3G базовых станций составляет 16000. Базовые станции 3G
есть во всех регионах Российской Федерации, на данный момент - это крупнейшая
сеть третьего поколения в стране. Компания предоставляет услуги связи третьего
поколения (3G) более чем в шестистах из 1099 российских городов: это 54,5% всех
крупных населенных пунктов нашей страны. Протяженность волоконно-оптических
линий связи (ВОЛС)"МегаФона" насчитывает 43,47 тысяч километров.
В июне 2010 года "МегаФон"
приобрел 100% акций компании "Синтерра", что позволило укрепить
собственную сетевую инфраструктуру и усилить позиции на рынках дальней связи,
фиксированного и мобильного широкополосного доступа в интернет, а также
конвергентных услуг. Число активных абонентов компании превышает 62 миллиона. В
этом же году "МегаФон" открыл крупнейший в России центр обработки
данных, который соответствует самым высоким мировым стандартам и позволяет
предоставлять самые современные информационные услуги своим клиентам во всем
мире. Новый Центр обработки данных в Самаре стал самым крупным DATA-центром в
России. На сегодняшний день количество сотрудников компании превышает 30 тысяч
человек.
Деятельность компании разрешена
рядом лицензий, основная из которых № 14404 от 09.03.2000 на оказание услуг
подвижной радиотелефонной связи, выданная Федеральной службой по надзору в
сфере массовых коммуникаций, связи и охраны культурного наследия Российской
Федерации.
1.1 Организационная структура ОАО "МегаФон"
Организационная структура ОАО
"МегаФон" является сложной системой с множеством ветвлений, и
схематически изображена на рисунке в приложении А.
Оренбургское отделение компании
возглавляет исполнительный директор по области, у которого в подчинении
находятся начальники 12-ти функционально разделенных отделов. В ситуации, когда
исполнительный директор отсутствует или неспособен выполнять свои обязанности,
его место занимает назначенный заместитель.
Все отделы, из которых состоит
структурная модель предприятия, размещены на одном уровне, кроме того,
некоторые из них являются составными и включают в себя определенное количество
секторов, образованных в соответствии со спецификой направлений в рамках
деятельности одного отдела.
Отдел бухгалтерского учета и
отчетности решает следующие задачи:
· расчет заработной
платы сотрудников компании;
· работа по расчетам
с подотчетными лицами;
· учет
товарно-материальных ценностей (в том числе внутреннего оборудования компании),
учет правильности начисления и уплаты налогов;
· составление
отчетности для руководства компании.
Служба удаленной технической
поддержки клиентов (call-center) занимается обеспечением обратной связи между
пользователями услуг связи и соответствующими каждому виду предоставляемых
сервисов, отделами компании. Основные функции данного отдела:
· предоставление
актуальной информации о разнообразных услугах компании в автоматическом режиме;
· предоставление
информации по запросу пользователя;
· решение проблем,
возникших у подписчиков, при использовании тех или иных сервисов в автоматическом
и индивидуальном порядке;
· предоставление
доступа к управлению персональными настройками профилей пользователей.
Отдел биллинговых систем занимается
начислением платы клиентам за пользование предоставляемыми услугами связи,
путем ведения учета использованного объема сервисов и применения
соответствующей тарификации на каждый тип услуги. Для эффективного обслуживания
клиентов, подразделение поделено на два сектора:
· по работе с
физическими лицами;
· по работе с
юридическими лицами;
в общем случае в обоих секторах
отделом реализуется одинаковый набор функций:
· осуществляет
привязку паспортных данных клиентов к персональному номеру в системе;
· операции внесения
денежных средств на персональный счет клиента;
· учет
использованного объема предоставляемых сервисов;
· управление
персональными системами тарификации (тарифными планами);
· операции по расчету
и списанию необходимого количества денежных средств с персонального счета
клиента, исходя из закрепленной индивидуальной системы тарификации;
· начисление и
списание неоплачиваемых объемов пользования услугами в рамках программ
лояльности.
Отдел администрирования и коммутации
информационных потоков занимается собственно обеспечением правильного
функционирования всего управляющего телекоммуникационного оборудования
оператора сотовой связи. Исходя из того, что все операции происходят в
автоматическом режиме, основным заданием персонала данного отдела является
мониторинг состояния систем связи и своевременное реагирование на возникновение
внештатных ситуаций. Например, по необходимости запуск узлов резервирования,
ручное изменение таблиц маршрутизации, корректировка работы системы коммутации.
Отдел маркетинга и рекламы
компании-оператора не имеет непосредственного отношения к реализации
технической составляющей процесса предоставления услуг, однако в значительной
степени определяет положение компании на рынке связи, обеспечивает продвижение
тех или иных сервисов среди существующих и потенциальных абонентов.
Подразделение состоит из двух взаимосвязанных секторов:
· сектор исследования
и развития, на который возложены функции мониторинга потребительского рынка,
анализа предпочтений пользователей услуг и формирования соответствующего
вектора деятельности, на основе собранных данных;
· сектор
распространения продукции, занимается организацией поставок необходимой
продукции для фирменных салонов связи (скретч-карт, стартовых пакетов),
приобретением телефонов, аксессуаров, реализацией готовых комплектов,
управлением системой продвижения товара в местах продаж.
Кроме того, данный отдел, занимается
организацией рекламных кампаний в средствах массовой информации, наружной
рекламой, проведением рекламных акций.
Технический отдел сотового оператора
решает проблемы развертывания, внедрения, поддержания в работоспособном состоянии
и устранения неисправностей аппаратно-программной базы телекоммуникационных
сервисов. Исходя из пространственной структуры технического обеспечения, отдел
состоит из двух направлений:
· внутреннего
технического оснащения, персонал которого занимается обслуживанием систем,
размещенных непосредственно на территории комплекса;
· внешних
телекоммуникационных систем, работники которого поддерживают работоспособность
внешней части оборудования оператора, среди которого волокно-оптические линии
связи (ВОЛС), опто-волоконные узлы и коммутаторы (ОВУ), базовые станции
ретрансляции. Кроме того, данное направление отдела технической поддержки
занимается расширением и модернизацией уже существующей сотовой сети.
Административный отдел выполняет
функции координирования и построения взаимосвязей между разнородными по
направлениям деятельности подразделениями компании. Персоналом собирается
актуальная информация о текущей деятельности других отделов, в том числе сроках
выполнения различных работ, на основе полученной информации составляются отчеты
для предоставления руководству.
Отдел снабжения и обеспечения
занимается оформлением, закупкой, хранением материальной базы, необходимой для
функционирования других подразделений компании, например отдела продаж или
технического отдела. По требованию организуются поставки необходимого
оборудования, расходных материалов, вспомогательных принадлежностей.
Отдел мониторинга компании
ведет целенаправленный сбор, хранение и анализ статистической информации о
работе систем оператора. В соответствии с классификацией предоставляемых
сервисов по типам, существует три специализированных рабочих направления отдела
и одно общее:
· сбор статистики
голосовых сервисов - занимается накоплением, систематизацией и хранением
информации об основных характеристиках пользовательских голосовых звонков и
почты в сети;
· сервисов коротких
сообщений - направление собирает техническую информацию о работе служб коротких
сообщений, в том числе и сервисов мультимедийных сообщений;
· сервисов доступа к
сети Интернет - сектором ведется сбор и накопление информации о
функционировании и объемах пользования услугами доступа к глобальной сети
посредством коммуникаций оператора сотовой связи;
· аналитический
сектор занимается исследованием полученной статистической информации по ранее
описанным направлениям, проведением выборок исходя из заданных критериев,
формированием и созданием периодических отчетов и подготовкой отчетов по
запросу для предоставления ответственным представителям, как других отделов
компании, так и непосредственно руководящему составу.
Отдел безопасности реализует
функцию защиты на всех уровнях работы компании-оператора. Данный отдел
представляет собой комплексную структуру, в общем виде разделенную по
территориальному признаку обеспечения безопасности на две составляющих:
· сектор обеспечения
внешней безопасности инфраструктуры, в первую очередь обеспечивает охрану
материально-технического оснащения компании, размещенного за пределами
контролируемой оператором связи территории. Речь идет о магистральных линиях
связи и станциях-ретрансляторах. С целью обеспечения эффективной защиты в
данном направлении развито тесное сотрудничество между собственной службой
безопасности и внешними государственными охранными структурами;
· сектор обеспечения
внутренней безопасности компании решает задачи, как обеспечения физической
безопасности, так и обеспечения защиты информации: защита персональных данных
клиентов организации, защита персональных данных сотрудников, защита в пределах
контролируемой зоны бумажных документов, организация конфиденциального
делопроизводства, защита коммерческой и служебной тайн.
По каждому направлению деятельности
службы безопасности создаются периодические отчеты, а также внепериодические
протоколы по происшествиям.
Отдел кадров компании занимается
учетом, обработкой информации о сотрудниках, непосредственными контактами с
персоналом. Кроме своей основной функции, дополнительно ведет обучение и
начальную подготовку вновь прибывших сотрудников, для чего организовано
соответствующее направление:
· сектор учета кадров
- занимается приемом и увольнением работником, ведением соответствующей
документации о всех изменениях среди штата, ведет учет рабочего времени.
· сектор обучения и
подготовки кадров - проводит предварительный узкоспециализированный курс
дополнительного обучения новых сотрудников.
Результаты деятельности всего отдела
сводятся в отчеты, для предоставления руководству компании.
Отдел планирования занимается
разработкой долгосрочной модели поведения компании, определяя, таким образом,
вектор ее развития в перспективе. Для решения основной задачи отдела
выполняется некоторый ряд дополнительных функций:
· сбор отчетности о
работе других отделов компании;
· анализ собранных
данных;
· разработка
стратегии поведения компании в целом, и каждого отдела по отдельности;
· моделирование
разработанного плана при текущей ситуации на рынке, а также с учетом прогнозов
поведения отрасли в будущем;
· составление отчетов
о разработанных мерах для предоставления непосредственному руководству компании
или ее подразделения.
Таким образом, были выделены
основные отделы компании по их функциональному признаку, для каждого из которых
проведена формализация задач поставленных к решению.
1.2 Информационные потоки отделов ОАО
"МегаФон"
Обмен данными различных типов внутри
компании осуществляется в форме потоков информации. Учитывая масштабы
предприятия, необходимо организовать максимально оптимизированное и
рациональное перемещение информационных потоков в системе. Оперативность
выполнения каждым отделом, возложенных на него функций, а значит и
эффективность деятельности компании в целом, напрямую зависит от правильно
налаженной работы систем регистрации, передачи, хранения и обработки
информации.
Информационные потоки основных
отделов компании схематически изображены на рисунке 1 в приложении Б.
Рассмотрим потоки информации, возникающие между данными отделами, с точки
зрения функциональных обязанностей каждого подразделения.
Служба безопасности взаимодействует
со всеми отделами компании, не имея при этом обратных информационных потоков,
что объясняется спецификой работы данного подразделения. В первую очередь
осуществляется сбор, анализ и регулирование доступа к данным, подлежащим
защите. В этом направлении особое внимание следует обратить на связи со
следующими отделами:
· отдел
администрирования и коммутации информационных потоков, основное направление -
работа с системами скремблирования полезного трафика в сети GSM; контроль
разграничения доступа к различным уровням системы;
· отдел биллинговых
систем - контроль доступа к персональным данным клиентов (база данных
подписчиков услуг оператора); контроль над транзакциями внутри системы биллинга
(анализ операций внесения и списания денежных средств);
· отдел
бухгалтерского учета и аудита - работа с информацией о финансовой стороне
деятельности компании; анализ результатов аудита деятельности предприятия;
· отдел кадров -
проверка сведений, предоставляемых вновь прибывшими сотрудниками; разграничение
прав доступа персонала на различных уровнях функционирования компании.
Кроме того, взаимодействие данного
подразделения со всеми отделами компании предполагает контроль состояния и
обеспечение функционирования защиты информационной системы предприятия; особое
внимание уделяется организации защиты информации, относящейся к коммерческой
тайне и к персональным данным; сбор и анализ отчетов обо всех возникших
инцидентах безопасности, для принятия соответствующих мер, в случае
необходимости.
Административный отдел компании
поддерживает двусторонний обмен информационными потоками с каждым направлением
предприятия, для выполнения своих прямых функций по координированию работы
между направлениями в составе единой инфраструктуры. Передаваемые данные, в
своем большинстве носят характер директив, протоколов и отчетов о проведенных
мероприятиях и возникших внештатных ситуациях, работа с персональными данными в
данном случае сведена к минимуму. Наиболее плотное взаимодействие
осуществляется с отделом планирования и отделом маркетинга и рекламы.
Дополнительно, осуществляется обмен
данными с управляющим аппаратом компании, в лице исполнительного директора по
области или его заместителя. По запросу, административный отдел передает
информацию о своей деятельности или деятельности других отделов, в форме
отчетов, службе безопасности, о чем было упомянуто ранее.
Отдел администрирования и коммутации
информационных потоков обрабатывает и генерирует два типа данных по
функциям:
· статистическая
информация - направляется в отдел мониторинга, представляет собой данные об
объемах предоставленных клиентам компании сервисов, например длительность
голосовых соединений, интенсивность использования сервисов коротких сообщений,
и др.;
· данные и команды
управления - принимаются и обрабатываются из отдела биллинговых систем, являют
собой информацию о состоянии персональных счетов абонентов, и, соответственно,
разрешение на предоставление телекоммуникационного ресурса для оказания тех или
иных услуг.
Дополнительно, подразделением
осуществляется обмен информацией с административным отделом и службой
безопасности компании. Характер передаваемых данных указан в описании
информационных потоков соответствующих отделов.
Отдел биллинговых систем в
результате своей основной деятельности задействует информационные потоки со
следующими отделами:
· отдел
администрирования и коммутации информационных потоков - данные о состоянии
персонального счета клиента;
· отдел
бухгалтерского учета и аудита - передаются данные о совокупных объемах
вырученных и затраченных средств по предоставлению телекоммуникационных услуг.
Кроме вышеперечисленного,
направлением ведется обмен данными со службой безопасности и административным
отделом компании. Следует обратить внимание на то, что по роду деятельности
данного отдела, может произойти раскрытие персональных данных подписчиков услуг
оператора сотовой связи.
Отдел планирования предприятия
с точки зрения обмена информацией, работает по двум основным направлениям: сбор
разнородных специфических данных, образующихся в результате деятельности
различных подразделений компании; и предоставление результатов собственной
работы по каждой структурной единице оператора. Отделом осуществляется
непосредственная связь с аппаратом управления компании. В этом случае
передаваемая информация может быть отнесена к "коммерческой тайне",
так как ей присущи все черты деловой информации компании.
Основной поток информации,
необходимый для эффективной работы подразделения, поступает из отдела
мониторинга. Данные носят исключительно статистический характер, без привязки к
персональному идентификатору абонента, и, следовательно, его персональным
данным. При этом сохраняются все упомянутые ранее связи.
Отдел маркетинга и рекламы ведет
непосредственную работу с информацией о планах и объемах реализации продукции
(услуг связи), анализу конкурентоспособности предоставляемых сервисов, и др.,
для осуществления своей деятельности. Данные информационные потоки относятся к
коммерческой тайне предприятия, и могут представлять потенциальный интерес для
злоумышленников. Сам по себе отдел имеет связи с направлениями:
· отдел планирования
- деловая информация о направлениях развития компании, предстоящих рекламных
кампаниях и акциях, ценовой политике в предоставлении услуг;
· служба безопасности
- разграничение доступа к конфиденциальной информации, направление отчетности о
работе с защищенными информационными потоками по требованию;
· руководящее звено
компании - отчетность о функционировании отдела, получение непосредственных
директив.
Как отмечалось ранее, деятельность
данного отдела во многом определяет успешность компании на рынке предоставляемых
услуг, а значит необходимо сделать циркуляцию информационных потоков
направления максимально эффективной и в то же время безопасной.
Отдел бухгалтерского учета и аудита
обрабатывает сведения о финансовой стороне деятельности предприятия, сведения о
размере прибыли и себестоимости предоставленных услуг связи, и другие сведения
экономического аспекта компании. Активное взаимодействие ведется со следующими
структурными единицами:
· отдел биллинговых
систем - сбор информации об объемах предоставленных услуг, количестве введенных
и выведенных из системы средств; учет количества и стоимости затраченных
телекоммуникационных ресурсов по типам предоставляемых сервисов;
· отдел кадров -
получение информации о штате сотрудников компании, занимаемых должностях,
рабочем времени, для проведения расчетов с персоналом за объем выполненной
работы;
· служба безопасности
- предоставление данных о результатах проведенных аудитов средств и
материально-технической базы компании;
· административный
отдел - получение указаний по координации действий с другими структурами
оператора.
Таким образом, данные, передаваемые
в некоторых информационных потоках этого отдела, также подпадают под категорию
конфиденциальных.
Отдел кадров преимущественно
обрабатывает персональные данные сотрудников компании, притом, по большей
части, информация данного типа не выходит за пределы самого отдела. Исключением
является отдел кадров, в который направляются сведения о персонале компании. С
остальных позиций, подобно другим отделам компании, направлением установлены
информационные связи со службой безопасности, куда по требованию передаются
сведения о сотрудниках для проведения внешних и внутренних проверок
актуальности поставленной информации; а также административным отделом, для
получения указаний по взаимодействию совместно с другими структурными единицами
предприятия.
Отдел мониторинга занимается
сбором и обработкой исключительно статистической информации о предоставленных
услугах, для предоставления остальным подразделениям по требованию. Данные
носят информационный характер и в большинстве своем предназначены исключительно
для использования внутри компании. Тем не менее, работа отдела не предполагает
обработку конфиденциальной информации, таким образом исключая ее случайное или
умышленное раскрытие.
Информационные связи с отделом
безопасности и административным отделом сохраняются.
Анализ информационных потоков внутри
компании позволил исследовать передаваемые данные по типам, для выявления
потенциально подверженных атакам мест в системе. На основе полученной
информации можно сформулировать политики работы с теми или иными видами
информационных потоков для каждого подразделения компании, а также предложить
ко внедрению общие политики безопасности внутриструктурного и межструктурного
взаимодействия.
2. Исследование процессов защиты информации отделов
ОАО "мегаФон"
Анализ отделов компании, проведенный
в предыдущем разделе, позволил выделить несколько подразделений, отвечающих за
реализацию основных функций оператора сотовой связи. Кроме того, исследование
информационных потоков, возникающих в результате деятельности этих структур,
показало потенциальные мишени для несанкционированного вмешательства в работу
информационной системы с целью повредить или скомпрометировать данные,
относящиеся к разряду конфиденциальных.
Таким образом, выделено три отдела
предприятия:
· отдел планирования;
· отдел биллинговых
систем;
· отдел кадров.
Перед началом разработки политик
безопасности, необходимо провести несколько подготовительных этапов, в
частности, необходимо выполнить классификацию обрабатываемой информации по
видам тайн.
.1 Классификация информации по видам тайн
Отдел планирования по роду
своей деятельности обрабатывает чрезвычайно большие объемы разнотипной
информации, большинство из которой подпадает под определение коммерческой
тайны. Эта информация носит преимущественно деловой характер и включает в себя
следующие данные:
· сведения об
оборотах денежных средств внутри компании, в частности, объемы затраченных
средств на предоставление телекоммуникационного ресурса и выручки от продаж
сервисов, в том числе планы по выпуску скретч-карт;
· сведения о наиболее
выгодных формах использования денежных средств, а также ценных бумаг компании и
акций, поступающие в результате информационного обмена с руководящим звеном
предприятия;
· данные о
предполагаемых и готовящихся ко внедрению векторах развития компании,
включающие детальную информацию о этапах практической реализации;
· из предыдущего
подпункта отдельно можно выделить сведения о предполагаемых объемах реализации
продукции (услуг связи), и средствах, готовящихся для выделения под обеспечение
необходимого количества сервисов;
· данные о сроках
вывода на рынок новых услуг, тарифных планов, проведения акций, изменения
условий программ лояльности;
· сведения,
необходимые для взаимодействия с отделом маркетинга и рекламы - списки
официальных дилеров компании на смежных рынках предоставления услуг связи; в
эту же категорию относятся сведения об уровне надежности и эффективности
сотрудничества с теми или иными торговыми представителями;
· данные о структуре
и функциональной роли каждого подразделения компании, задействованного в
реализации конкретной части плана по развитию предприятия;
· вспомогательные
данные, порождаемые деятельностью отдела - деловая переписка сотрудников.
Допуск работника к КТ осуществляется
с его согласия. Работодатель имеет право отказать в приеме на работу тому, кто
не хочет брать на себя обязательства по сохранению КТ.
Отдел биллинговых систем при
выполнении своих функциональных обязанностей имеет дело как с информацией,
классифицирующейся, как персональные данные (абонентов компании-оператора), так
и с некоторыми аспектами данных, относящихся к коммерческой тайне. Под данными,
относящимися к коммерческой тайне, а данном случае подразумевается информация о
оборотах вырученных и затраченных денежных средств по предоставленным услугам
связи, а также объемы предоставленного телекоммуникационного ресурса для
оказания той или иной услуги.
Отдельно следует конкретизировать
информацию относящуюся к персональным данным - это данные о подписчиках услуг
компании, привязанные к индивидуальным абонентским номерам в системе.
Физические лица, при заключении с компанией договора о предоставлении им
комплекса сервисов подвижной радиосвязи предоставляют следующую информацию,
которая заносится в базы данных систем биллинга:
· фамилия, имя,
отчество клиента;
· место жительства;
· реквизиты основных
документов, удостоверяющих личность.
Юридическими лицами предоставляется
следующий перечень информации:
· фирменное
наименование юридического лица;
· местонахождение
юридического лица;
· список лиц,
использующих оконечное оборудование клиента; для каждого в данном списке
предоставляется информация, аналогичная той, которую сообщают физические лица
при заключении договора.
Так как перечисленная выше
информация составляет категорию персональных данных, и не может быть разглашена
посторонним лицам, клиент подписывает бумаги о том, что он не возражает против
использования и проверки этих данных в рамках компетентности компании -
оператора телекоммуникационных услуг. Следует отметить, что, несмотря на
организованный распределенный доступ к базе данных клиентов компании, она
является глобальной для всех территориально разнесенных представительств
оператора, и таким образом каждое отделение имеет возможность работать со всеми
записями базы. Исходя из того, что на данный момент число активных абонентов
составляет 62 миллиона, необходимо подчеркнуть особую важность обеспечения
контролированного, исключительно санкционированного и безопасного доступа к
этой информации. Отдел кадров предприятия занимается непосредственной
обработкой персональных данных сотрудников. Подразделение имеет доступ, как к
локальной региональной базе данных, так и к глобальной базе всей компании, для
актуализации информации посредством синхронизации имеющихся в наличии сведений.
Кроме того, отдел работает с бумажными документами, также содержащими
персональные данные. Среди информации о персонале можно выделить следующие ее
составляющие:
· пол;
· дата рождения;
· семейное положение;
· отношение к
воинской обязанности;
· место жительства и
домашний телефон;
· образование,
специальность;
· предыдущее (-ие)
место (-а) работы;
· заболевание,
затрудняющие выполнение работником трудовых функций;
· иные дополнительные
сведения, с которыми работник считает нужным ознакомить работодателя;
· фотография
работника (для электронной базы данных используется цифровое изображение).
Приведенная информация
обеспечивается защитой от несанкционированного раскрытия, как применительно к
информационной системе обработки персональных данных, так и ее бумажному
эквиваленту.
Задача по организации доступа к
перечисленным видам данных, реализации комплекса мер по обеспечению их
сохранности и конфиденциальности решается отделом службы безопасности компании,
с применением комплекса специализированных средств защиты, контроля и аудита.
2.2 Карта актуальных угроз для ИСПДн
Угроза безопасности информации -
потенциально возможное нарушение безопасности, событие или обстоятельство,
которое приводит к последствиям нарушения целостности, доступности и
конфиденциальности информации, и может явиться причиной нанесения ущерба
защищаемому ресурсу оператора телекоммуникационных услуг (рис. 2.1).
Рисунок 2.1 - Классификация угроз по
аспектам информационной безопасности
ОАО "МегаФон" является
одной из крупнейших компаний в своем роде, в работе которой задействовано около
30 тысяч сотрудников, а база абонентов составляет 62 миллиона. Как отмечалось
ранее, персональные данные клиентов и сотрудников компании собраны в
распределенные базы данных, которые обрабатываются в составе специальных
информационных систем, так называемых ИСПДн. Отдельной обработке в составе
специализированных информационных подсистем подвергаются данные,
классифицированные выше как коммерческая тайна. Для обеих информационных
систем, как обработки персональных данных, так и информации, относящейся к
непосредственному функционированию предприятия, необходимо организовать
комплекс мер по высокоэффективной защите.
Уровень исходной
защищенности ИСПДн определен экспертным методом в соответствии с
"Методикой определения актуальных угроз безопасности персональных данных
при обработке в информационных системах персональных данных", утвержденной
14 февраля 2008 г. заместителем директора ФСТЭК России, и рассчитан в
приложении В. Таким образом, ИСПДн имеет низкий (
) уровень
исходной защищенности.
Анализ актуальности данных угроз для
ИСПДн отделов ОАО "МегаФон" производится в приложении Г. Общее
количество возможных угроз равно 47. Актуальных угроз выявлено 29.
Угрозы для отделов в общем случае
можно подвергнуть следующей классификации, исходя из различных оснований:
· экономические;
· социальные;
· правовые;
· организационные;
· информационные;
· экологические;
· технические;
· природные;
· криминальные.
Следующий этап перед разработкой
комплекса мер по защите вверенной информационной системы предполагает
составление и анализ модели потенциального нарушителя безопасности.
.3 Модель нарушителя
Нарушитель - лицо, предпринявшее
попытки выполнения запрещенных операций по ошибке, незнанию или осознанно, со
злым умыслом (из корыстных интересов или без таковых, ради игры или
удовольствия, с целью самоутверждения) и использующее для этого различные
возможности, методы и средства.
Проведя анализ статистических
данных, можно сделать вывод, что около 70% всех нарушений, связанных с
безопасностью информации, совершаются именно сотрудниками предприятия. Человек,
кроме всего прочего, является первым по значимости носителем информации. Он
обеспечивает функционирование системы, ее охрану и защиту. В то же время он,
при определенных обстоятельствах, может стать главным источником угрозы
защищаемой информации.
Поэтому целесообразно рассмотреть
модель нарушителя, которая отражает его практические и теоретические
возможности, априорные знания, время и место действия и т.п.
Для достижения своих целей
нарушитель должен приложить некоторые усилия, затратить определенные ресурсы.
Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно,
если это возможно), либо точнее определить требования к системе защиты от
данного вида нарушений или преступлений. В каждом конкретном случае, исходя из
конкретной технологии обработки информации, может быть определена модель
нарушителя, которая должна быть адекватна реальному нарушителю для данной
системы.
При разработке модели нарушителя
определяются:
· предположения о
категориях лиц, к которым может принадлежать нарушитель;
· предположения о
мотивах действий нарушителя (преследуемых нарушителем целях);
· предположения о
квалификации нарушителя и его технической оснащенности (об используемых для
совершения нарушения методах и средствах);
· ограничения и
предположения о характере возможных действий нарушителей.
По отношению к исследуемой системе
нарушители могут быть внутренними (из числа персонала системы) или внешними
(посторонними лицами).
Внутренним нарушителем может быть
лицо из следующих категорий персонала:
· пользователи
системы;
· персонал,
обслуживающий технические средства (инженеры, техники);
· сотрудники отделов;
· технический
персонал, обслуживающий здания (уборщики, электрики, сантехники и другие
сотрудники, имеющие доступ в здания и помещения);
· сотрудники службы
безопасности;
· руководители
различных уровней должностной иерархии.
К посторонним лицам, которые могут
быть нарушителями, относятся:
· клиенты
(представители организаций, граждане);
· посетители
(приглашенные по какому-либо поводу);
· представители
организаций, взаимодействующих по вопросам обеспечения жизнедеятельности
организации (энерго-, водо-, теплоснабжения и т.п.);
· представители
конкурирующих организаций (иностранных спецслужб) или лица, действующие по их
заданию;
· лица, случайно или
умышленно нарушившие пропускной режим;
· любые лица за
пределами контролируемой территории.
Действия злоумышленника могут
быть вызваны следующими причинами:
· при нарушениях,
вызванных безответственностью, сотрудник целенаправленно или случайно производит
какие-либо действия по компрометации информации, не связанные со злым умыслом;
· бывает, что
сотрудник предприятия ради самоутверждения (для себя или коллег) затевает
своего рода игру "пользователь - против системы". И хотя намерения
могут быть безвредными, будет нарушена сама политика безопасности.
Такой вид нарушений называется
зондированием системы:
· нарушение
безопасности может быть вызвано и корыстным интересом. В этом случае сотрудник
будет целенаправленно пытаться преодолеть систему защиты для доступа к
хранимой, передаваемой и обрабатываемой на предприятии информации;
· желание найти более
перспективную работу. Известна практика переманивания специалистов, так как это
позволяет ослабить конкурента и дополнительно получить информацию о предприятии.
Таким образом, не обеспечив закрепление лиц, осведомленных в секретах,
талантливых специалистов, невозможно в полной мере сохранить секреты
предприятия. Вопросам предупреждения текучести кадров необходимо уделять особое
внимание. Если рассматривать компанию как совокупность различных ресурсов, то
люди должны стоять на первом месте, т.к. именно они воплощают технологию и в
них в первую очередь заключается конкурентоспособная сила фирмы;
· специалист,
работающий с конфиденциальной информацией, испытывает отрицательное
психологическое воздействие, обусловленное спецификой этой деятельности.
Поскольку сохранение чего-либо в тайне противоречит потребности человека в
общении путем обмена информацией, сотрудник постоянно боится возможной угрозы
утрать документов, содержащих секреты. Выполняя требования режима секретности,
сотрудник вынужден действовать в рамках ограничения своей свободы, что может
привести его к стрессам, психологическим срывам и, как следствие, к нарушению
статуса информации.
Всех нарушителей можно
классифицировать следующим образом.
. По уровню знаний о системе:
· знает
функциональные особенности, основные закономерности формирования в ней массивов
данных, умеет пользоваться штатными средствами;
· обладает высоким
уровнем знаний и опытом работы с техническими средствами системы и их
обслуживания;
· обладает высоким
уровнем знаний в области программирования и вычислительной техники,
проектирования и эксплуатации автоматизированных информационных систем;
· знает структуру,
функции и механизм действия средств защиты, их сильные и слабые стороны.
2. По уровню возможностей
(используемым методам средствам):
· "Эксперт"
- индивид, чьи профессиональные знания и контакты (как работа, так и хобби)
обеспечивают первоклассную ориентацию в разрабатываемом вопросе. Он может
помочь по-новому взглянуть на существующую проблему, выдать базовые материалы,
вывести на неизвестные источники информации. Общая надежность получаемых при
этом данных чаще всего высшая.
· "Внутренний
информатор (осведомитель)" - человек из группировки противника
(конкурента), завербованный и поставляющий информацию по материальным,
моральным и другим причинам. Ценность представляемых им данных существенно
зависит от его возможностей и мотивов выдавать нужные сведения, достоверность
которых при соответствующем контроле может быть довольно высокой.
· "Горячий
информатор" - любой знающий человек из сторонников противника или его
контактеров, проговаривающий информацию под влиянием активных методов
воздействия в стиле жесткого форсированного допроса, пытки, гипноза, шантажа и
т.д. Так как истинность сообщения в данном случае не гарантирована, такая
импровизация приемлема лишь в период острой необходимости, когда нет времени,
желания или возможностей использовать другие источники. В отличие от завербованного
информатора личностный контакт здесь главным образом одномоментен.
· "Внедренный
источник" - свой человек, тем или иным манером просочившийся в окружение
объекта (человека, группы, организации). Ценность поставляемых им данных
зависит от его индивидуальных качеств и достигнутого уровня внедрения.
· "Легкомысленный
информатор" - человек противника, контактер или любое информированное
лицо, проговаривающее интересные факты в деловой, дружеской, компанейской либо
интимной беседе.
· "Контактеры"
- люди, когда-либо контактировавшие с изучаемым человеком (группой,
организацией). Это могут быть стабильные или случайные деловые партнеры,
родственники и приятели, служащие сервиса и т.д. Наряду с сообщением
определенных фактов, они могут содействовать в подходе к изучаемому человеку
или же участвовать в прямом изъятии у него интересующей злоумышленника
информации.
· "Союзник"
- человек либо общественная, государственная или криминальная структура,
выступающая как противник или "надзиратель" объекта. Уровень и надежность
отдаваемых материалов зависят от насущных интересов, личных взаимоотношений и
познаний источника. Кроме совершенно новой, он способен передать и
подтверждающую информацию.
· "Случайный
источник" - человек, совершенно не рассматриваемый как потенциальный
информатор, вдруг оказывающийся носителем уникальной информации. Ввиду явной
непредсказуемости на такого человека не особенно рассчитывают, но, случайно
обнаружив, разрабатывают до конца.
3. По времени действия:
· в процессе
функционирования системы (во время работы компонентов системы);
· в период
неактивности компонентов системы (в нерабочее время, во время плановых
перерывов в ее работе, перерыве для обслуживания и ремонта и т.п.);
· как в процессе
функционирования, так и в период неактивности компонентов системы.
4. По месту действия:
· без доступа на
контролируемую территорию организации;
· с контролируемой
территории без доступа в здания и сооружения;
· внутри помещений,
но без доступа к техническим средствам;
· с рабочих мест
конечных пользователей (операторов);
· с доступом в зону
данных (баз данных, архивов и т.п.);
· с доступом в зону
управления средствами обеспечения безопасности.
Таким образом, рассмотрев модель
потенциального нарушителя, можно сделать вывод, что человек является важным звеном
системы и главным источником информации.
.4 Каналы утечки информации
На локальном уровне угроз
информационной безопасности (например, для помещений, занимаемых учреждением,
организацией, предприятием, и размещенных в них средств компьютерной техники)
выделяют каналы утечки информации, под которыми понимают совокупность
источников информации, материальных носителей или среды распространения несущих
эту информацию сигналов и средств выделения информации из сигналов или
носителей.
Традиционные каналы утечки
информации изображены на рисунке 2.2.
Для каждого из
рассматриваемых отделов актуальны перечисленные ниже каналы утечки информации.
В приложении Д (рис. 1, рис. 2, рис. 3) приведены планы помещений отделов
систем биллинга, планирования, и отдела кадров, соответственно, со сносками на
типы представленных актуальных каналов и способов утечки информации.
Контактное
подключение к электронным устройствам является простейшим способом съема
информации. Чаще всего реализуется непосредственным подключением к линиям
связи, входящим в СКС здания.
|
Традиционные каналы утечки аудио - и видеоинформации
|
Контактное или бесконтактное подключение к электронным
устройствам. Встроенные микрофоны, видео - и радиозакладки в стенах, мебели
предметах.
|
|
Съем акустической информации при помощи лазерных устройств с
отражающих поверхностей.
|
|
Оптический дистанционный съем видеоинформации.
|
|
Применение узконаправленных микрофонов и диктофонов.
|
|
Утечки информации по цепям заземления, сетям громкоговорящей
связи, охранно-пожарной сигнализации, линиям коммуникаций и сетям
электропитания.
|
|
Высокочастотные каналы утечки информации бытовой и иной технике.
|
|
Утечка за счет плохой звукоизоляции стен и перекрытий.
|
|
Исследование злоумышленником производственных и технологических
отходов.
|
|
Утечка информации через телефонные и факсимильные аппараты.
|
|
Оборудование виброканалов утечки информации на сетях отопления
газо - и водоснабжения.
|
|
Утечка информации через персонал.
|
|
|
|
|
|
|
Утечка акустических сигналов (речевая информация)
|
|
Утечка электромагнитных сигналов (в т. ч. оптического диапазона)
|
|
Утечка информации с носителей (либо с носителями)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 2.2 -
Типичные каналы утечки информации
Бесконтактное
подключение может осуществляться за счет электромагнитных наводок или с помощью
сосредоточенной индуктивности.
. Встроенные
микрофоны, видео - и радиозакладки в стенах, мебели, предметах. Могут быть
установлены в элементы интерьера, строительные конструкции и т.д.
2. Съем
акустической информации при помощи лазерных устройств с отражающих
поверхностей. Принцип действия основан на моделировании по амплитуде и фазе
отраженного лазерного луча от окон, зеркал и т.д. Отраженный сигнал принимается
специальным приемником. Дальность действия - до нескольких сотен метров. На
эффективность применения подобных устройств сильное влияние оказывают условия
внешней среды (погодные условия).
Применение
узконаправленных микрофонов и диктофонов. Применяются высокочувствительные
микрофоны с очень узкой диаграммой направленности. Узкая диаграмма
направленности позволяет указанным устройствам избежать влияния посторонних
шумов. Узконаправленные микрофоны могут быть использованы совместно с
магнитофонами и диктофонами.
. Оптический
дистанционный съем видеоинформации. Может осуществляться через окна помещений с
использованием длиннофокусного оптического оборудования в автоматическом или в
ручном режиме работы.
4. Утечки
информации по цепям заземления, сетям громкоговорящей связи, охранно-пожарной
сигнализации, линиям коммуникаций и сетям электропитания. Утечка информации по
цепям заземления возможна за счет существования гальванической связи
проводников электрического тока с землей.
. Утечка за
счет плохой звукоизоляции стен и перекрытий. Съем информации может происходить
с применением как простейших приспособлений (фонендоскоп), так и достаточно
сложных технических устройств, например специализированных микрофонов.
. Оборудование
виброканалов утечки информации на дверях защищаемого помещения. Акустическая
информация может, например, восприниматься при помощи пьезоэлектрических
датчиков, затем усиливаться и фиксироваться при помощи магнитофонов либо
передаваться в эфир.
. Преобразование
акустического сигнала в электрический, на основе "микрофонного
эффекта", например в аппаратах телефонной и факсимильной связи.
. Утечки
информации через персонал. Многие исследователи, в том числе зарубежные,
отмечают, что люди представляют наибольшую угрозу для информационной, и в
частности компьютерной, безопасности. Наибольшую же угрозу представляют
собственные сотрудники, которые могут уничтожать или искажать информацию,
писать компьютерные вирусы, похищать информацию в целях шпионажа.
. Утечки
информации посредством автоматизированных рабочих мест можно выделить отдельной
категорией.
Утечка информации
за счет введения программно-аппаратных закладок в АРМ. Аппаратные закладные
элементы (ЗЭ) могут быть реализованы в аппаратуре персональных компьютеров и
периферийных устройств. При этом возможны утечки информации, искажение
вычислительного процесса, а также управляемый выход из строя вычислительной
системы.
Программные ЗЭ
могут быть представлены в виде модификации компьютерной программы, в результате
которой данная программа способна выполняться несколькими способами в
зависимости от определенных обстоятельств. При работе программные ЗЭ могут
никак не проявляться, однако при определенных условиях программа работает по
алгоритму, отличному от заданного (подобно компьютерным вирусам).
Утечки за счет
перехвата побочного электромагнитного излучения и наводок (ПЭМИН). При
функционировании СКТ возникают побочные электромагнитные излучения и наводки,
несущие обрабатываемую информацию. ПЭМИН излучаются в пространство клавиатурой,
принтером, монитором, накопителями на магнитных дисках, кабелями.
Утечки за счет
съема информации с принтера и клавиатуры по акустическому каналу. Наличие
указанного канала утечки позволяет перехватывать и декодировать акустические
колебания, средой распространения которых является воздушная среда. Источником
данных колебаний являются соответствующие устройства СКТ. Технически возможен
перехват и декодирование кодов клавиш клавиатуры. Дальность действия подобных
перехватов ограничена мощностью источника акустических и электромагнитных
колебаний.
Утечка,
модификация, уничтожение или блокирование информации с использованием
компьютерных вирусов. Существует множество типов вирусов, каждый из которых
обладает собственными отличительными признаками. Анализ специальной научной
литературы дает нам основание утверждать, что все вирусы изменяют либо файлы с
данными, либо программы внутри компьютера. Большинство из них представляют
собой опасность только для IBM-совместимых компьютеров, однако именно этот тип
компьютеров распространен в наибольшей степени.
Утеря носителей
информации может произойти в результате:
· хищения с полным
или частичным разрушением места хранения;
· физического
уничтожения из-за умышленных несанкционированных действий персонала;
· пожара либо
воздействия на носитель высокой температуры, ионизирующего излучения,
химических веществ, сильного электромагнитного поля;
· стихийных бедствий
(землетрясение, наводнение, ураган и др.);
· иных форс-мажорных
обстоятельств.
Инициализация
злоумышленником каналов утечки, вызванных несовершенством программного либо
аппаратного обеспечения, а также систем защиты, как правило, производится на
этапе подготовки к совершению информационного компьютерного преступления, реже
- непосредственно при его совершении. Речь идет о так называемых атаках на
информационные системы. Под атакой подразумевается любая попытка преодоления
систем защиты.
. Исследование
не уничтоженного мусора, вынесенного за пределы контролируемой зоны.
2.5 Политика безопасности
Для обеспечения
информационной безопасности в отделах оператора сотовой связи разрабатывается и
реализуется система защиты информации (СЗИ). Создание СЗИ является одной из
основных задач компании, в решении которой принимают участие все структурные
подразделения.
Как показал ранее
проведенный анализ информационных потоков внутри предприятия, практически вся
информация, за небольшим исключением, нуждается в соответствующей защите. Это
обусловлено следующим:
· оператор
является социально-значимой организацией, деятельность и устойчивость которой
связана с жизненными интересами значительного числа клиентов (как юридических,
так и физических лиц);
· в
процессе деятельности оператору становится доступна конфиденциальная
информация: сведения о транзакциях на персональных счетах клиента, сведения о
самих клиентах (персональные данные), сведения о сотрудниках компании.
· компания-оператор
сотовой связи является коммерческой организацией, прибыльность,
конкурентоспособность и жизнеустойчивость которой в условиях рыночной экономики
обеспечивается, в значительной степени конфиденциальностью коммерчески ценной и
критичной служебной информации (деловая информация о деятельности учреждения -
финансовая, технологическая и методическая документация, перспективные планы
развития, бизнес-планы, аналитические материалы об эффективности работы по
изучению партнеров и конкурентов, состоянию рынков услуг и др.), которая,
являясь коммерческой тайной, нуждается в соответствующей охране.
В связи с этим
компания реализует меры по защите значимой информации в соответствии с
действующими на территории Российской Федерации Законами, нормативными
документами, установленными требованиями руководящих документов и норм
эффективности защиты информации, а также в соответствии с разработанными на их
основе требованиями оператора сотовой связи.
Наряду с этим,
информационная безопасность рассматривается не только по отношению к
конфиденциальным и другим ценным сведениям, но и по отношению к способности
информационных систем выполнять функции по ее обеспечению. Объектом защиты СЗИ
является циркулирующая, обрабатываемая, хранимая и передаваемая в компании
служебная и конфиденциальная, ценная и значимая информация, и поддерживающая ее
инфраструктура. СЗИ реализуется на основе так называемых политик безопасности.
Политика
безопасности - это совокупность документированных административных решений,
направленных на обеспечение безопасности информационного ресурса. Результатом
политики является высокоуровневый документ, представляющий систематизированное
изложение целей, задач, принципов и способов достижения информационной
безопасности.
В то же время сама
СЗИ представляет собой организованную совокупность специальных органов, служб,
средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов
личности, предприятия, государства, от внутренних и вешних угроз.
Система мер по
обеспечению информационной безопасности направлена на:
· на
предупреждение угроз - превентивные меры по обеспечению информационной
безопасности в интересах учреждения возможности их возникновения;
· на
выявление угроз, которое выражается в систематическом анализе и контроле
возможности появления реальных или потенциальных угроз и своевременных мерах по
их предупреждению;
· на
обнаружение угроз, которое имеет целью определение реальных угроз и конкретных
преступных действий;
· на
локализацию преступных действий и принятие мер по ликвидации угрозы или
конкретных преступных действий:
· на
ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
Целью защиты
информации представлены на рисунке ниже (рис. 2.3).
Рисунок 2.3 - Цели
защиты информации
Выделяют
направления обеспечения информационной безопасности, к которым относятся:
· организационная
защита - это регламентация производственной деятельности и взаимоотношений на
нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо
ущерба исполнителям;
· инженерно-техническая
защита - это использование различных технических средств, препятствующих
нанесению ущерба коммерческой деятельности;
· программно-аппаратная
защита - программные и автоматизированные системы обработки данных,
обеспечивающие сохранность и конфиденциальность информации.
Каждый элемент
обеспечения информационной безопасности будет исследован в развернутой форме
ниже, а также будут представлены комплексы средств, которыми он реализован.
.6 Исследование политики безопасности
Исследование правового направления защиты информации
Правовая защита
информации - это специальные правовые акты, процедуры, правила и мероприятия,
обеспечивающие защиту информации на правовой основе. Правовая защита
информации, как ресурса, признана на международном, государственном уровне,
определяется межгосударственными договорами, конвенциями, декларациями и
реализуется патентами, авторскими правом и лицензиями на их защиту.
На государственном
уровне правовая защита регулируется государственными и ведомственными актами.
Действия по защите информации от утечки по техническим каналам регламентируются
правовыми документами.
Для защиты
информации государственной системой обеспечения информационной безопасности
должны осуществляться следующие функции:
. оценка
состояния информационной безопасности в стране, определение приоритетов по
интересам в информационной сфере и установление их баланса в конкретных
условиях;
2. выявление и
учет источников внутренних и внешних угроз, проведение мониторинга и
классификации;
. определение
основных направлений предотвращения угроз или минимизации ущерба;
. организация
исследований в сфере обеспечения информационной безопасности;
. разработка
и принятие законов и иных нормативных правовых актов;
. разработка
Федеральных целевых и ведомственных программ обеспечения информационной
безопасности, координация работ по их реализации;
. организация
единой системы лицензирования, сертификации, экспертизы и контроля в этой
сфере;
. страхование
информационных рисков;
. подготовка
специалистов по обеспечению информационной безопасности, в том числе из
работников правоохранительных и судебных органов;
. информирование
общественности о реальной ситуации в сфере обеспечения информационной
безопасности и работе государственной
безопасности и
работе государственных органов в этой сфере;
. изучение
практики обеспечения информационной безопасности.
12. обобщение и
пропаганда передового опыта такой работы в регионах;
. правовая
защита прав и интересов граждан, интересов общества и
государства в сфере
информационной безопасности;
. организация
обучения способам и методам самозащиты физических
лиц от основных
угроз в информационной сфере;
. содействие
разработке и принятию норм международного права в сфере обеспечения
информационной безопасности;
16. установление
стандартов и нормативов в сфере обеспечения информационной безопасности.
Таким образом, в
компании организуется защита следующих типов данных:
·
в отношении сведений, отнесенных к коммерческой тайне,
уполномоченными органами на основании Закона Российской Федерации "О
коммерческой тайне";
·
в отношении персональных данных клиентов и сотрудников компании -
федеральным законом Российской Федерации от 27 июля 2006 г. №149 - ФЗ "Об
информации, информационных технологиях и о защите информации"
В сфере защиты информации ОАО
"МегаФон" руководствуется следующими нормативно-правовыми актами:
·
Конституция Российской Федерации.
·
Федеральный закон от 19.12.2005 №160-ФЗ "О ратификации
конвенции совета Европы о защите физических лиц при автоматизированной
обработке персональных данных".
·
Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных
данных".
·
Постановление Правительства Российской Федерации от 17.11.2007
№781 "Об утверждении положения об обеспечении безопасности персональных
данных при их обработке в информационных системах персональных данных".
·
Постановление Правительства Российской Федерации от 15.09.2008
№687 "Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации".
·
Постановление Правительства Российской Федерации от 06.07.08 №512
"Об утверждении требований к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне информационных
систем персональных данных".
·
Приказ Федеральной службы по техническому и экспортному контролю,
Федеральной службы безопасности Российской Федерации, Министерства
информационных технологий и связи Российской Федерации от 13.02.2008 №55/86/20
"Об утверждении порядка проведения классификации информационных систем персональных
данных".
·
Приказ Федеральной службы по техническому и экспортному контролю
от 05.02.2010 № 58 "Об утверждении положения о методах и способах защиты
информации в информационных системах персональных данных".
·
Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных. Утверждена
Заместителем директора ФСТЭК России 15 февраля 2008 г.
·
Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных данных.
Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
·
Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств автоматизации. Утверждены
руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/5-144
·
Типовые требования по организации и обеспечению функционирования
шифровальных (криптографических) средств, предназначенных для защиты информации,
не содержащей сведений, составляющих государственную тайну в случае их
использования для обеспечения безопасности персональных данных при обработке в
информационных системах персональных данных. Утверждены руководством 8 Центра
ФСБ России 21 февраля 2008 г. №149/6/6-622.
·
Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ
"Об информации, информационных технологиях и о защите информации"
·
Указ Президента Российской Федерации "О мерах по соблюдению
законности в области разработки, производства, реализации и эксплуатации
шифровальных средств, а также предоставления услуг в области шифрования
информации" от 03.04.1995 года, №334.
·
Закон Российской Федерации "О правовой охране программ для
электронных вычислительных машин и баз данных", принят Верховным Советом
РФ 23.09.1992 года, №3523-1.
·
Закон Российской Федерации "О правовой охране топологий
интегральных микросхем", принят Верховным Советом РФ 23.09.1992 года,
№3526-1.
·
Указ Президента Российской Федерации "Об утверждении перечня
сведений конфиденциального характера" №188 от 06.03.1997 года.
·
Постановление Правительства Российской Федерации "О
сертификации средств защиты информации" (с изменениями от 23 апреля 1996
года) №608 от 26.06.1995 года.
На основе всех перечисленных документов
строится правовая защита информации, призванная обеспечить государственную
законодательную базу и нормативное обоснование комплексной системы защиты
информации в ОАО "МегаФон". Кроме законов и других государственных
нормативных документов, правовое обеспечение системы защиты конфиденциальной
информации включает в себя комплекс внутренней нормативно-организационной
документации, в которую входят такие документы организации, как:
·
Устав;
·
коллективный трудовой договор;
·
трудовые договоры с сотрудниками компании-оператора;
·
правила внутреннего распорядка персонала компании;
·
должностные обязанности руководителей, специалистов и служащих
компании;
·
инструкции пользователей информационно-вычислительных сетей и баз
данных;
·
инструкции администраторов ИВС и БД;
·
положение о подразделении по защите информации, в составе службы
безопасности;
·
концепция системы защиты информации в ОАО "МегаФон";
·
инструкции сотрудников, допущенных к защищаемым сведениям;
·
инструкции сотрудников, ответственных за защиту информации;
·
памятка сотрудника о сохранении коммерческой или иной тайны;
·
договорные обязательства.
Исследование организационного направления защиты
информации
Организационный
элемент системы защиты информации содержит меры управленческого, ограничительного
(режимного) и технологического характера, определяющие основы и содержание
системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной
информации фирмы. Эти меры связаны с установлением режима конфиденциальности в
фирме. Элемент включает в себя регламентацию некоторого количества или всех
перечисленных ниже пунктов:
· формирования и
организации деятельности службы безопасности или службы конфиденциальной
документации (или менеджера по безопасности, или референта первого руководителя),
обеспечения деятельности этих служб (сотрудника) нормативно-методическими
документами по организации и технологии защиты информации;
· составления и
регулярного обновления состава (перечня, списка, матрицы) защищаемой информации
фирмы, составления и ведения перечня (описи) защищаемых бумажных,
машиночитаемых и электронных документов фирмы;
· разрешительной
системы (иерархической схемы) разграничения доступа персонала к защищаемой
информации;
· методов отбора
персонала для работы с защищаемой информацией,
· методики обучения и
инструктирования сотрудников;
· направлений и
методов воспитательной работы с персоналом, контроля соблюдения сотрудниками
порядка защиты информации;
· технологии защиты,
обработки и хранения бумажных, машиночитаемых и электронных документов фирмы
(делопроизводственной, автоматизированной и смешанной технологий);
· внемашинной
технологии защиты электронных документов;
· порядка защиты
ценной информации фирмы от случайных или умышленных несанкционированных
действий персонала;
· ведения всех видов
аналитической работы;
· порядка защиты
информации при проведении совещаний, заседаний, переговоров, приеме
посетителей, работе с представителями рекламных агентств, средств массовой
информации; оборудования и аттестации помещений и рабочих зон, выделенных для
работы с конфиденциальной информацией, лицензирования технических систем и
средств защиты информации и охраны, сертификации информационных систем,
предназначенных для обработки защищаемой информации;
· пропускного режима
на территории, в здании и помещениях фирмы, идентификации персонала и
посетителей; системы охраны территории, здания, помещений, оборудования,
транспорта и персонала фирмы;
· действий персонала
в экстремальных ситуациях;
· организационных
вопросов приобретения, установки и эксплуатации технических средств защиты
информации и охраны; организационных вопросов защиты персональных компьютеров,
информационных систем, локальных сетей; работы по управлению системой защиты
информации;
· критериев и порядка
проведения оценочных мероприятий по установлению степени эффективности системы
защиты информации.
Элемент
организационной защиты является стержнем, основной частью рассматриваемой
системы. Меры организационной защиты информации составляют 50-60% в структуре
системы защиты информации. Это связано с рядом факторов и также с тем, что
важной составной частью организационной защиты информации является подбор,
расстановка и обучение персонала, который будет реализовывать на практике
систему защиты информации. Сознательность, обученность и ответственность
персонала можно с полным правом назвать краеугольным камнем любой технически
совершенной системы защиты информации. Организационные меры защиты отражаются в
нормативно-методических документах, документах службы безопасности компании.
Служба безопасности ОАО
"МегаФон" является самостоятельной организационной единицей,
подчиняющейся непосредственно руководителю компании. Такая структура управления
системой безопасности, имеющая четкую вертикаль, характерна для области
обеспечения безопасности на подобного рода предприятиях, где требуется
определенность, четкие границы, регламентация отношений на всех уровнях - от
рядового сотрудника до менеджеров высшего звена. Как показывает практика,
только на предприятиях, где проблемы безопасности находятся под постоянным
контролем руководителя предприятия, достигаются наиболее высокие результаты.
Возглавляет службу безопасности
оператора сотовой связи ОАО "МегаФон" начальник службы в должности
заместителя исполнительного директора Оренбургского отделения компании по
безопасности. При этом руководитель службы безопасности наделен максимально
возможным кругом полномочий, позволяющим ему влиять на другие подразделения и
различные области деятельности предприятия, в интересах обеспечения
безопасности.
Основными задачами, решаемыми
службой безопасности компании являются:
· обеспечение
безопасности производственно-торговой деятельности и защиты информации и
сведений, являющихся коммерческой тайной;
· организация работы
по правовой, организационной и инженерно-технической (физической, аппаратной,
программной и математической) защите коммерческой тайны;
· организация
специального делопроизводства, исключающего несанкционированное получение
сведений, являющихся коммерческой тайной;
· предотвращение
необоснованного допуска и доступа к сведениям и работам, составляющим
коммерческую тайну;
· выявление и
локализации возможных каналов утечки конфиденциальной информации в процессе
повседневной производственной деятельности и в экстремальных (аварийных,
пожарных и др.) ситуациях;
· обеспечение режима
безопасности при проведении всех видов деятельности, включая различные встречи,
переговоры, совещания, заседания, связанные с деловым сотрудничеством как на
национальном, так и на международном уровне;
· обеспечение охраны
зданий, помещений, оборудования, продукции и технических средств обеспечения
производственной деятельности;
· обеспечение личной
безопасности руководства и ведущих сотрудников и специалистов.
В тоже время служба безопасности
предприятия компании выполняет функции организации пропускного и
внутриобъектного режима в зданиях и помещениях, порядка несения службы охраны,
контроля соблюдение требований режима сотрудниками, смежниками, партнерами и
посетителями. Отдельно следует обратить внимание на участие данного подразделения
в разработке основополагающих документов с целью закрепления в них требований
обеспечения безопасности и защиты коммерческой тайны, в частности, Устава,
Коллективного договора, Правил внутреннего трудового распорядка, Положений о
подразделениях, а также трудовых договоров, соглашений, подрядов, должностных
инструкций и обязанностей руководства, специалистов, рабочих и служащих.
Службой разработаны и внедрены
совместно с другими подразделениями мероприятия по обеспечению работы с
документами, содержащими сведения, являющиеся коммерческой тайной, при всех
видах работ организованно и установлен контроль над выполнением требований
"Инструкции по защите коммерческой тайны". Служба безопасности ОАО
"МегаФон" организует и регулярно проводит учебу сотрудников
предприятия по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к
защите коммерческих секретов был осознанный подход.
При формировании и организации
службы безопасности, компания руководствовалась следующим подходом:
· были определены жизненно
важные интересы предприятия на момент создания службы безопасности;
· выявлены угрозы
безопасности для данного объекта;
· проведен анализ
угроз и выявлена степень риска при их реализации;
· намечены пути
локализации каждой из угроз и просчитаны затраты на проведение соответствующих
мероприятий;
· исходя из
полученных данных, финансовых и трудовых возможностей, была разработана текущая
структура службы безопасности, обеспечивающая комплексную защиту на всех сферах
деятельности оператора связи.
Проведение кадровой
политики в области защиты коммерческой тайны имеет немаловажное, решающее
значение при сохранении секретов. Умение правильно руководить сотрудниками,
подбирать квалифицированно кадры, обеспечить защиту информации ценится очень
высоко. Регламентация доступа персонала к конфиденциальным сведениям,
документам и базам данных является одной из центральных проблем системы защиты
информации. Регламентация порядка доступа лежит в основе режима
конфиденциальности проводимых фирмой работ. Важно четко и однозначно
определить: кто, кого, к каким сведениям, когда и как допускает.
Режим
конфиденциальности проводимых компанией работ представляет собой совокупность
ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ
на определенную территорию, в помещения, к информации и документам. Любой режим
базируется на так называемой разрешительной системе. Разрешительная система в
общем, виде предусматривает необходимость получения специального разрешения на
осуществление соответствующих правовых мероприятий, например на въезд, в
пограничную зону, на посещение воинской части.
Разрешительная
(разграничительная) система доступа в сфере коммерческой тайны представляет
собой совокупность правовых норм и требований, устанавливаемых первым
руководителем или коллективным органом руководства фирмой с целью обеспечения
правомерного ознакомления и использования сотрудниками фирмы конфиденциальных
сведений, необходимых им для выполнения служебных обязанностей. Разрешительная
система включает в себя две составные части: допуск сотрудника к
конфиденциальной информации и непосредственный доступ этого сотрудника к
конкретным сведениям.
Разрешение на
допуск сотрудника в ОАО "МегаФон" оформляется соответствующим пунктом
в контракте (трудовом договоре) с указанием типового состава сведений, с
которыми разрешается работать данному сотруднику или группе сотрудников. Кроме
этого, предусмотрена возможность предоставления временного допуска на период
выполнения определенной работы и пересматриваться при изменении профиля работы
сотрудника.
Вся
конфиденциальная информацию компании доступна только первому руководителю. А
конфиденциальную информацию по конкретной работе в полном объеме вправе
получать лишь соответствующий заместитель первого руководителя, руководители
структурных подразделений или направлений деятельности по специальному перечню,
утвержденному первым руководителем. Такой подход дает возможность разделить
знание элементов коммерческой тайны среди как можно большего числа сотрудников.
Также, дробление информации не позволяет конкурентам использовать ее за счет
приема на работу уволенного из фирмы сотрудника.
Руководители
структурных подразделений компании-оператора имеют право разрешать
доступ к конфиденциальным сведения всем работникам своих подразделений по тематике
их работы. Руководитель подразделения может давать разрешение только
непосредственно подчиненным ему сотрудникам. Для осуществления доступа к
документам данного подразделения работника другого подразделения необходимо
разрешение соответствующего заместителя руководителя фирмы.
При
непосредственном приеме на работу сотрудников важную роль играют
рекомендательные письма, разнообразные методы проверки на соответствие
должности, на которую претендует работник, различного род тестирования, которые
осуществляются силами кадрового подразделениями компании-оператора, а также
отделом службы безопасности. Существуют строго разработанные структуры и
функции управления каждым подразделением компании, что позволяет предельно ясно
указать, какой из сотрудников задействован на определенном секторе работ, какой
уровень квалификации для выполнения его непосредственных функций необходим, и
каким уровнем доступа он должен обладать. Данные, предоставленные каждым вновь
прибывшим сотрудником, подвергается тщательной проверке в рамках компетенции
ответственных отделов компании. С целью выявления личных и деловых качеств,
проверки профессиональных навыков, вводится некоторый испытательный срок,
позволяющий обнаружить нежелательные факторы, препятствующие назначению
сотрудника на вакантную должность. Проводятся регулярные проверки персонала, а
также краткие курсы по повышению квалификации сотрудников.
Исследование инженерно-технического направления защиты
информации
Инженерно-техническая защита - это
совокупность специальных органов, технических средств и мероприятий по их
использованию в интересах защиты конфиденциальной информации.
Инженерно-технический
элемент системы защиты информации предназначен для пассивного и активного
противодействия средствам технической разведки и формирования рубежей охраны
территории, здания, помещений и оборудования с помощью комплексов технических
средств. При защите информационных систем этот элемент имеет весьма важное
значение. Инженерно-техническому элементу системы защиты информации необходимо
уделять должное внимание. Приобретение, установка и эксплуатация средств
технической защиты и охраны требует значительных финансовых средств, так как
стоимость средств технической защиты и охраны велика. Элемент включает в себя:
· сооружения
физической (инженерной) защиты от проникновения посторонних лиц на территорию,
в здание и помещения (заборы, решетки, стальные двери, кодовые замки,
идентификаторы, сейфы и др.);
· средства защиты
технических каналов утечки информации, возникающих при работе ЭВМ, средств
связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного
оборудования, при проведении совещаний, заседаний, беседах с посетителями и
сотрудниками, диктовке документов и т.п.;
· средства защиты
помещений от визуальных способов технической разведки;
· средства
обеспечения охраны территории, здания и помещений (средства наблюдения,
оповещения, сигнализирования, информирования и идентификации):
· средства
противопожарной охраны;
· средства
обнаружения приборов и устройств технической разведки (подслушивающих и
передающих устройств, тайно установленной миниатюрной звукозаписывающей и
телевизионной аппаратуры и т.п.):
· технические
средства контроля, предотвращающие вынос персоналом из помещения специально
маркированных предметов, документов, дискет, книг и т.п.
Принимаемые меры
инженерно-технической защиты информации ОАО "МегаФон", в первую
очередь направлены на организацию эффективного использования технических
средств регламентации и управления доступом к защищаемой информации, а так же
режимов работы технических средств защиты информации.
Регламентация состоит в установлении
ряда ограничений в деятельности сотрудников, их взаимодействии с
программно-аппаратным комплексом компании, с основной преследуемой целью -
защитой информации. В общем случае регламентация заключается в определении
границ охраняемых зон, присвоении каждой зоне определенного уровня защиты, в
соответствии с которым строятся политики безопасности, определяющие специфику
работы в данных периметрах. Как правило, речь идет о регламентации деятельности
сотрудников и посетителей компании, а также режимов обработки и хранения
защищаемой информации.
Управление доступом подразумевает
под собой следующие этапы:
· идентификация лица
и (или) устройства, от которой поступил запрос на доступ;
· получение заранее
сформированного списка разрешений, для данного лица;
· протоколирование
запроса на доступ;
· генерирование
события, про результатам проведенных проверок, например, предоставление
доступа, отказ в действии, блокировка учетной записи, и др.
Идентификация лиц в ОАО
"МегаФон" выполняется одним из двух способов или их комбинированием:
· с использованием
носимых средств идентификации, таких как ключ-карты с магнитным и чиповым
носителем, RFID-ключи;
· с использованием
знаний - кодов доступа, паролей.
И первый, и второй вид идентификации
может быть использован равно как для непосредственного доступа к информации,
так и для доступа на охраняемые подконтрольные территории. Проверка разрешений
на доступ заключается в ассоциации лица, от которого исходит запрос с его
персональным набором полномочий при работе с затребованным видом информации или
доступом в ту или иную охраняемую зону. По результатам проверки предоставляется
или отказывается в удовлетворении выполнения запроса. Весь ход события
протоколируется и вносится в периодические отчеты о работе системы защиты
информации.
В процессе эксплуатации объектов
информатизации возможно изменение самих условий эксплуатации, образование новых
каналов утечки информации, изменение технических характеристик, состава,
количества и взаимного расположения основных и вспомогательных технических
средств и систем, средств защиты информации, а также программных средств
объектов информатизации. Указанные факторы ведут к понижению уровня
защищенности информации и как следствие к утечке, хищению и искажению этой
информации.
В соответствии с требованиями
законодательства РФ в сфере информационной безопасности, не реже одного раза в
год должен осуществляться контроль состояния и эффективности защиты информации
на аттестованных объектах.
Контроль состояния и эффективности
защиты информации на объектах заключается в оценке выполнения требований
законодательства РФ, обоснованности принятых мер защиты информации, проверке
выполнения норм и требований эффективности защиты информации по действующим
методикам с применением соответствующей контрольно-измерительной аппаратуры и
программных средств тестирования и контроля.
Применяют следующие виды контроля:
· предварительный;
· периодический;
· постоянный.
Предварительный контроль проводится
при любых изменениях состава, структуры и алгоритма функционирования системы
защиты информации, в том числе:
· после установки
нового технического средства защиты или изменения организационных мер;
· после проведения
профилактических и ремонтных работ средств защиты;
· после устранения
выявленных нарушений в системе защиты.
Периодический контроль
осуществляется с целью обеспечения систематического наблюдения за уровнем
защиты. Он проводится выборочно (применительно к отдельным темам работ,
структурным подразделениям или всей организации) по планам, утвержденным
руководителем организации, а также вышестоящими органами.
Постоянный контроль осуществляется
выборочно силами службы безопасности и привлекаемых сотрудников организации с
целью объективной оценки уровня защиты информации и, прежде всего, выявления
слабых мест в системе защиты организации. Так как объекты и время такого
контроля сотрудникам не известны, то такой контроль, кроме того, оказывает
психологическое воздействие на сотрудников организации, вынуждая их более
тщательно и постоянно выполнять требования по обеспечению защиты информации.
Для ОАО "МегаФон" с
технологической точки зрения можно выделить два типа контроля: контроль
защищенности объекта вычислительной техники, и контроль защищенности
выделенного помещения.
Контроль защищенности объекта
вычислительной техники включает следующие этапы:
· Анализ
организационной структуры объекта, информационных потоков, состава и структуры
комплекса технических средств и программного обеспечения, системы защиты
информации на объекте, разработанной документации и ее соответствия требованиям
нормативной документации по защите информации.
· Контрольные
испытания объекта вычислительной техники путем проверки фактического выполнения
установленных требований, объектовые контрольные исследования на соответствие
требованиям по защите информации от утечки по каналам ПЭМИН.
· Контрольные
испытания автоматизированной системы на соответствие требованиям по защите
информации от несанкционированного доступа в соответствии с определенным
классом защищенности от НСД.
· Проверка
эффективности применяемых на объектах средств и систем защиты информации.
· Определение
необходимости применения дополнительных технических средств защиты информации.
· Выдача рекомендаций
по устранению выявленных недостатков и применению необходимых технических
средств защиты (при необходимости).
· Оформление
протоколов проверок и заключения по результатам контроля защищенности объектов
вычислительной техники.
Контроль защищенности выделенного
помещения включает следующие этапы:
· Проверка порядка
организации и обеспечения режима доступа в помещение, выполнения
организационно-режимных требований.
· Инструментальные
измерения и оценка уровня защищенности выделенного помещения от утечки по
акустическому речевому каналу (исследование звукоизоляционных свойств
строительных конструкций и коммуникаций).
· Инструментальные
измерения и оценка уровня защищенности выделенного помещения от утечки по
виброакустическому каналу (исследование звукоизоляционных свойств строительных
конструкций и коммуникаций).
· Специальные
исследования ВТСС (слаботочных линий) по защищенности от утечки речевой
информации.
· Выдача рекомендаций
по устранению выявленных недостатков и применению необходимых технических средств
защиты (при необходимости).
· Проведение
расчетов, подготовка и оформление отчетной документации: протоколов испытаний
(проверок) и заключения по результатам контроля защищенности с выводом о
соответствии выделенного помещения требованиям по безопасности информации.
Все виды контроля выполняются силами
сотрудников безопасности компании ОАО "МегаФон" с привлечением
внешних аудиторов. По результатам проверок составляются отчеты, устраняются
выявленные недостатки в системе защиты, составляются протоколы о проделанной
работе, сводятся результаты повторных испытаний работы систем защиты.
Основу инженерно-технического
комплекса защиты в ОАО "МегаФон" составляет система
"VINCI". Использование системы разрешено на территории Российской
Федерации, система прошла экспертную оценку и признана такой, которая
удовлетворяет действующему законодательству и требованиям, выдвигаемым к
комплексам обеспечения безопасности подобного класса.
Система "VINCI" обладает
более высоким уровнем контроля охраняемых зон по сравнению с другими системами
аналогичной направленности. Большим ее преимуществом является то, что эта
система может работать как в автоматическом, так и в полуавтоматическом
режимах, защищена от вызова фальшивых сигналов тревоги, ее можно
сконфигурировать так, чтобы функционирование системы изменялось автоматически
вследствие изменения окружающих условий.
Одно из преимуществ
"VINCI" - это цифровая система видеонаблюдения, которая содержит
многоканальный детектор движения TSH, что позволяет осуществлять:
· одновременный
контроль 8 цветных или черно-белых каналов;
· возможность
подключения 16 сигнальных входов;
· запись видеокадров
предшествующих событию, вызвавшему тревогу;
· запуск
запрограммированных тревожных процедур в случае срабатывания датчиков системы;
· подключение, в
любой комбинации, до 16 пунктов управления для каждой тревожной ситуации.
Эта система, в отличие от некоторых
других, может без сбоев работать в экстремальных условиях окружающей среды.
Данный детектор очень чувствителен, т.к. имеет многоуровневую цифровую
фильтрацию. Кроме того, он защищен от вызова фальшивых сигналов тревоги,
которые происходят из-за изменения освещения, движения от ветра и т.п., что
почти не учитывается в других системах.
Оператор этой системы может
произвольно назначить 32 так называемые зоны обнаружения нуждающиеся в
первоочередной защите от проникновения (двери, окна и т.п.), которые в свою
очередь делятся на 1200 пунктов обнаружения. Причем, при использовании этой
системы возможно программирование на детекцию формы, размеров, запаздывания и
т.п. Иными словами, комплекс при необходимости может различать представляющий
собой угрозу объект попавший в поле зрения камеры, что спровоцирует запуск
тревожных процедур и запустит механизм запись события вызвавшего тревогу. Также
имеется возможность расширить данную систему используя внешние датчики (дверные
контрактроны, пассивные датчики и т.д.), что способствует более высокому уровню
охраны объекта.
Просмотр изображений с камер может
проходить как непосредственно (на месте) так и через Интернет. Предполагается
одновременный показ изображения с 4, 8 или 16 камер, что позволяет получать
сведения об охраняемой зоне с нескольких ракурсов одномоментно. Данная система
предусматривает добавление и исключение пользователей в случаях изменения
уровня доступа. Кроме того система защищена тремя уровнями паролей.
Необходимо заметить, что все функции
в "VINCI" реализуются автономно, т.е. просмотр изображений от камер,
их регистрация и просмотр записей могут происходить одновременно. Большим
преимуществом "VINCI" перед другими цифровыми системами является
принцип обнаружения движения, который основывается на восьми различных
параметрах, а также позволяет использовать камеры в качестве чрезвычайно
чувствительных, интеллектуальных датчиков, действующих совместно с другими
системами (охранная сигнализация, противопожарная сигнализация, контроль
доступа).
Большое значение в подобных системах
играет возможность регулирования параметров изображения. В системе
"VINCI" имеется возможность независимой регулировки каждого
видеоканала. Дополнительным преимуществом является возможность выбрать разные
параметры изображения для дневных и ночных установок, переключая их детекторами
освещения.
Каждый из модулей видеодетекции
оснащен соответствующим контроллером, способным принимать сигналы от датчиков и
управлять исполнительными устройствами (например: включать освещение,
индикаторы и т.п.).
Все вышеперечисленные функции
позволяют вовремя отреагировать службе охраняющей вверенные ей зоны ОАО
"МегаФон" и предотвратить проникновение злоумышленников в охраняемые
периметры.
Для качественного визуального
мониторинга "VINCI" использует систему "DigiNet".
"DigiNet" представляет собой комплекс устройств, функционирующих
автономно или в сети, который позволяет осуществлять визуальный мониторинг
(текущий контроль), регистрацию и архивацию изображений от подключенных камер,
а также прием сигналов тревоги.
Цифровой рекордер
"DigiNet" заменяет собой аналоговый видеомагнитофон, мультиплексор
или видеоделитель, а благодаря своим дополнительным функциям обеспечивает
высокий уровень безопасности и качества контроля объекта. Мониторинг (локальный
и удаленный) производится в режиме реального времени. Регистрация выполняется
при обнаружении движения или в непрерывном режиме.
Система снабжена дополнительными
функциями:
· мониторинг через
Интернет;
· удаленное
конфигурирование (настройка конфигурации);
· синхронная запись
звука;
· удаленное включение
подвижных камер;
· управление
подвижной камерой для слежения за обнаруженным объектом;
· многоканальный
мониторинг, реализуемый благодаря возможности разделения экрана на 1, 4, 6, 9,
10, 13 и 16 частей.
Помимо этого в системе предусмотрена
возможность запрограммировать: полосы детекции (5 для каждой камеры), уровни
чувствительности, разрешающую способность, яркость, цвет и качество
изображений, функции оповещения. Доступ в систему посторонних лиц предотвращают
три уровня паролей, а от изменений зарегистрированных изображений предохраняет
маркировка watermark ("водяной знак").
Как отмечалось ранее, данная система
работает в комплексе с подсистемами контроля доступа (электронные замки), а
также пожарной сигнализации. Защитный комплекс развернут, как непосредственно
на территории Оренбургского отделения ОАО "МегаФон", так и на
дополнительных подконтрольных зонах, расположения базовых наземных станций
ретрансляции.
Исследование программного направления защиты
информации
Программными
средствами защиты информации называются специальные программы, которые включают
в состав программного обеспечения систем обработки данных для решения в них
(самостоятельно или в комплексе с другими средствами) задач защиты.
Программные
средства являются важнейшей и непременной частью механизма защиты современных
систем обработки данных. Такая роль определяется следующими их достоинствами:
универсальностью, гибкостью, надежностью, простотой реализации, возможностью
модификации и развития. При этом под универсальностью понимается возможность
решения программными средствами большого числа задач защиты.
Инструментарий,
позволяющий комплексно противодействовать нарушителю информационной
безопасности в рамках системы ЗИ, включает в себя следующие программные
средства:
· Средство
для оценки рисков.
· Сканер
безопасности.
· Антивирус.
· Брандмауэр.
· Средство
резервного копирования.
· Анализатор
лог-файлов.
· Система
обнаружения вторжений.
· Система
криптографической защиты информации.
· Система
обнаружения и предотвращения утечек информации.
Гибкость
программных средств защиты заключается в двух характерных особенностях этого
класса средств защиты: при параметрической реализации программ защиты они могут
автоматически адаптироваться к конкретным условиям функционирования:
программные средства защиты могут быть адаптированы в системе различным образом
(могут быть включены в состав ОС и СУБД, могут функционировать как
самостоятельные пакеты программ защиты, их можно распределить между отдельными
элементами системы и т.д.).
Под надежностью
понимается высокая программная устойчивость при большой продолжительности
непрерывной работы и удовлетворение высоким требованиям к достоверности
управляющих воздействий при наличии различных дестабилизирующих факторов.
Простота реализации программных средств защиты очевидна по сравнению с
возможностью реализации любых других средств защиты.
Аналогично техническим
средствам в классификационной структуре программных средств определяющей
является классификация по функциональному признаку, т.е. по классу задач
защиты, для решения которых предназначаются программы.
Конкретный перечень
программных средств защиты может быть самым различным; общее представление об
их составе и содержании можно получить по следующему списку:
· проверка
прав доступа: по простому паролю, по сложному паролю, по разовым паролям;
· опознавание
пользователей по различным идентификаторам;
· опознавание
компонентов программного обеспечения;
· опознавание
элементов баз данных;
· разграничение
доступа к защищаемым данным по матрице полномочий, уровню секретности и другим
признакам;
· управление
доступом к задачам, программам и элементам баз данных по специальным мандатам;
· регистрация
обращений к системе, задачам, программам и элементам защищаемых данных;
· подготовка
к выдаче конфиденциальных документов: формирование и нумерация страниц,
определение и присвоение грифа конфиденциальности, регистрация выданных
документов;
· проверка
адресата перед выдачей защищаемых данных в каналы связи;
· управление
выдачей данных в каналы связи;
· криптографическое
преобразование данных;
· контроль
процессов обработки и выдачи защищаемых данных;
· уничтожение
остаточной информации в ОЗУ после выполнения запросов пользователей;
· сигнализация
при попытках несанкционированных действий;
· блокировка
работы пользователей, нарушающих правила защиты информации;
· организация
псевдоработы с нарушителем в целях отвлечения его внимания.
В качестве системы
обнаружения и предотвращения утечки данных в ОАО "МегаФон"
используется программное обеспечение Symantec DLP.
Система Symantec DLP выполняет 3
основные функции:
Мониторинг и контроль перемещения
конфиденциальной информации по сетевым каналам связи (email, web, ftp,
интернет-пейджеры);
Контроль действий пользователей на
своих локальных рабочих станциях (применительно только к операциям, связанным с
отторжением конфиденциального содержимого - на USB-накопитель, запись на диски,
через локальные сетевые соединения или печать);
Сканирование корпоративной сети
предприятия (в том числе файловые сервера, порталы, системы документооборота и
конечные рабочие станции) на предмет неупорядоченного хранения сведений
конфиденциального характера.
Таков же и модульный состав продукта
Symantec DLP.
Перед началом использования
программного продукта потребуется предварительно выделить и классифицировать
конфиденциальные сведения, которые планируется защищать. Документы в
электронном виде необходимо сгруппировать по категориям (финансовые отчеты,
персональные данные, и так далее), разложить по файловым папкам или сложить
каждую группу в отдельный архив zip. Альтернативно, можно указать системе место
хранения документов на сервере, например SharePoint. После этого, технические
специалисты компании-интегратора внедряют систему. Внедренная система обратится
к хранилищу защищаемых документов, снимет цифровые отпечатки подготовленных
документов.
Администратор безопасности компании
настраивает правила реагирования на перемещение секретных документов. Система
будет обнаруживать похожие документы в потоке трафика (электронная почта, web,
ICQ, попытки записи на флешки). Если попадается конфиденциальный документ в
потоке, то система Vontu DLP создаст инцидент безопасности, в котором будет
указано, кто отправлял, по какому каналу и из какого источника взят этот
защищаемый документ. Системе требуется, чтобы хотя бы 10% документа совпало с
первоисточником.
Информация о нарушении передаётся
ответственному лицу, которое может ознакомиться с письмом, отправленным его
подчиненным, принять решение о возбуждении расследования, либо (если действие
легитимно) - об изменении правила реагирования. Решение Vontu встраивается в
существующую инфраструктуру заказчиков. В случае с системой, развернутой в ОАО
"МегаФон": "прозрачный режим" мониторинга почтового и web
трафика (рис.2.4):
Рисунок 2.4 - Структурная схема
интеграции системы предотвращения утечки данных
Дополнительно выполняется добавление
функции перехвата не разрешенной к отправке корреспонденции, сканирования
корпоративной сети, контроля устройств на рабочих станциях требует добавления
по одному аппаратному модулю на каждый перехватчик (рис. 2.5).
Таким образом, развернутая система
обеспечивает:
· автоматизированный
аудит мест расположения конфиденциальной информации;
· автоматизированный
контроль соответствия установленным в компании процедурам перемещений
конфиденциальной информации (создание и обработка инцидентов при неправомерном
разглашении секретных сведений, с возможностью их предотвращения);
· отслеживание общего
уровня рисков (на основе отчетов по инцидентам);
· контроль утечек
информации в режиме немедленного реагирования и в рамках ретроспективного
анализа;
· приведение уровня
информационной безопасности организации в соответствие с рядом требований
стандарта PCI DSS.
Рисунок 2.5 - Схема работы функции
сканирования хранимой информации в сети
Сетевые политики безопасности
реализованы средствами программного комплекса Symantec Network Access
Control.Network Access Control (SNAC) - современное решение контроля доступа,
которое защищает корпоративную сеть от вторжений неизвестных пользователей,
подключения к сети незарегистрированных посторонних устройств и распространения
угроз, содержащихся на компьютерах легитимных пользователей. Кроме того, SNAC
позволяет обеспечить соблюдение политик безопасности на конечных устройствах.
Решение прекрасно интегрируется с
другим продуктом Symantec для защиты конечных устройств сети - Symantec
Endpoint Protection (SEP). В сочетании SEP и SNAC предоставляют мощный
функционал, обеспечивающий комплексную защиту корпоративной сети любого
масштаба. Очень важно что SNAC может работать как дополнительный полностью
интегрированный модуль к SEP, так и отдельно - работая совместно с большинством
сторонних продуктов по безопасности.Access Control (NAC) - это технология или
метод, который позволяет определить, разрешен ли доступ к корпоративной сети
каждому отдельно взятому устройству, которое пытается к ней подключиться.
Делается это на основе специального критерия, который прописывают в политиках
безопасности. Для того чтобы получить доступ в сеть, каждое конечное устройство
должно соответствовать этому критерию. Таким критерием может являться следующая
информация:
· Какая операционная
система установлена на рабочей станции?
· Какой пакет
обновлений используется?
· Последняя ли версия
антивируса установлена?
· Включен ли
антивирус/межсетевой экран?
· Имеются ли последние
обновления антивирусных баз?
· Время последней
проверки системы.
· Запущенность того
или иного приложения или процесса.
· Наличие
определенного ключа реестра.
· Другие
Компоненты решения Symantec Network Access Control:
Агент SNAC - устанавливается на
сервер, ноутбук или другое конечное устройство для того, чтобы проверять эти
устройства на соответствие политикам безопасности.
Консоль Policy Manager (Symantec
Endpoint Protection Manager - SEPM) - Централизованная консоль управления для
настройки политик безопасности и правил проверки конечных устройств на
соответствие требованиям - Host Integrity. Имеет удобный графический интерфейс
администратора. Управление и настройка политик очень проста и может
производиться как из готовых шаблонов и мастеров, так и в абсолютно ручном
режиме:
Программно-аппаратное решение
Symantec Network Access Control Enforcer 6100 - промежуточное устройство,
которое устанавливается в сети для того, чтобы проверять, прошел ли клиент
проверку Host Integrity. Результаты Host Integrity передаются устройству
применения политик - Enforcer, которое обеспечивает доступ клиента в сеть или
запрещает этот доступ. Критерии доступа различаются в зависимости от типа
устройства Enforcer. Являются обязательными при использовании SNAC без SEP, а
также при необходимости контроля гостевых сторонних пользователей. Базовые
настройки устройства производятся из командной строки, дальнейшая работа по
администрированию идет также через SEPM.
Система резервного копирования
данных основана на продукте Symantec Backup Exec 12 for Windows Servers. Backup
Exec 12 for Windows Servers обеспечивает непрерывную защиту для системы
Microsoft® Exchange и более гибкие возможности восстановления Exchange,
Microsoft SharePoint и Microsoft Active Directory, а также шифрование и
расширенную поддержку платформ, включая поддержку 64-разрядных сред.
Включает следующие возможности:
гибкое восстановление баз данных SQL с переадресацией в местоположение,
отличное от исходного, копирование потоков данных с возможностью быстрого восстановления
или возврата к исходному состоянию переадресации, интеграция снимков сервера
SQL Server 2005 в каталог Backup Exec, обеспечивающая просмотр единого списка
всех копий данных, доступных для быстрого восстановления, проверка подлинности
резервного копирования SQL, обеспечивающая возможность возврата защищаемых
данных в исходное состояние во время восстановления.
Поддерживается резервное копирование
с помощью Oracle 9i или 10g Recovery Manager (RMAN) на платформах Windows или
Linux. Администраторы могут настраивать задачи резервного копирования и
восстановления с помощью консоли Oracle RMAN или консоли администратора Backup
Exec. Это позволяет значительно сократить время резервного копирования и
обеспечить безопасную установку Oracle на серверы Windows или Linux. Входит в состав агента Oracle Agent for
Windows and Linux Servers.
Специальный агент поддерживает
быстрое резервное копирование и восстановление конфигураций Oracle Real
Application Clusters (RAC) и стандартных баз данных Oracle на платформах
Windows или Linux. Обеспечивается поддержка администратора, выполняющего
резервирование, и администратора базы данных, запускающего задачи резервного
копирования.
Все компоненты программного элемента
защиты информации соответствуют выдвинутым требованиям в области ПО обеспечения
безопасности данных, протестированы на совместимость с существующими
программными продуктами и сертифицированы для использования на территории
Российской Федерации.
Заключение
Современные корпорации сталкиваются
с бурным ростом объемов данных, необходимых для их повседневной работы. Этот
рост вызван потребностью иметь "на кончиках пальцев" финансовую,
маркетинговую, техническую, статистическую и другую информацию для оперативного
реагирования на изменения рыночной ситуации, поведение конкурентов и клиентов.
С другой стороны, высокая степень
централизации корпоративной информации делает ее особенно уязвимой и
увеличивает риск утечки.
Информация в корпоративных сетях
хранится на жестких дисках и магнитных лентах, и попадание именно этих
носителей в руки злоумышленника создает наиболее серьезную угрозу
информационной безопасности и может привести к тяжелым последствиям.
Когда мы реализуем целый комплекс
мер по защите информации, мы как бы выстраиваем сплошную стену, охраняющую нашу
территорию от вторжения врагов. Если хотя бы один участок стены окажется с
брешью или недостаточно высок, вся остальная конструкция лишается смысла. Так и
с защитой информации - устойчивость всей системы защиты равна устойчивости её
слабейшего звена. Отсюда делаются следующие выводы:
· защита информации
может осуществляться лишь в комплексе; отдельные меры не будут иметь смысла;
· стойкость защиты во
всех звеньях должна быть примерно одинакова; усиливать отдельные элементы
комплекса при наличии более слабых элементов - бессмысленно.
Абсолютно надёжной защиты не
существует. Это следует помнить всем, кто организует защиту информации. Любую
защиту можно преодолеть. Это может потребовать таких затрат сил, средств или
времени, что добытая информация их не окупит. Поэтому практически надёжной
признаётся такая защита, преодоление которой потребует от противника затрат,
значительно превышающих ценность информации.
Поэтому прежде чем защищать ту или
иную информацию, следует подумать, а имеет ли это смысл. Прежде всего - с
экономической точки зрения. При построении защиты нужно руководствоваться
следующим принципом. На защиту информации можно потратить средств не свыше
необходимого. Необходимый же уровень определяется тем, чтобы затраты вероятного
нарушителя на преодоление защиты были выше ценности этой информации с точки
зрения этого нарушителя.
В ходе выполнения данной курсовой
работы нами были изучены процессы защиты информации в ОАО "МегаФон".
В работе исследованы и описаны
современные требования к организации защиты конфиденциальной информации. На
основе анализа теоретического материала и рекомендаций ведущих специалистов в
области защиты информации были рассмотрены критерии и технологии построения и
использования систем защиты информационных ресурсов в ОАО "МегаФон".
В итоге можно сделать вывод о соответствии существующих на предприятии систем
защиты конфиденциальной информации современным требованиям и государственным
стандартам. Все рассмотренные в курсовой работе возможные каналы утечки
информации и виды дестабилизирующего воздействия на информацию и информационные
потоки в той или иной мере нейтрализуются в процессе функционирования охранной
системы предприятия.
Библиографический список
1. Алексенцев
А.И. Конфиденциальное делопроизводство: Учебное пособие. / А.И. Алексенцев - М:
ЗАО "Бизнес-школа" "Интел-Синтез", 2001. - 160 с.
2. Хорошко
В.А., Чекатков А.А. Методы и средства защиты информации (под редакцией
Ковтанюка): Учебное пособие. / В.А. Хорошко - К.: Издательство Юниор, 2003г. -
504с.
. Безопасность
информационных систем: Учебное пособие. / В.И. Ярочкин - М.:
"Ось-89", 2005г. - 120с.
. Модель
потенциального нарушителя объекта информатизации: Материалы V Международной
научно-практической конференции "Информационная безопасность". / Н.В.
Гришина - Таганрог, 2003г.
. Волокитин
А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А.
Информационная безопасность государственных организаций и коммерческих фирм:
Справочное пособие (под общей редакцией Реймана Л. Д.). / А.В. Волокитин - М.:
НТЦ "ФИОРД-ИНФО", 2002г. - 272с.
. Стрельцов
А.А. Обеспечение информационной безопасности России. Теоретические и
методические основы (Под ред.В.А. Садовничего и В.П. Шерстюка): Учебное
пособие. / А.А. Стрельцов - М.: МЦНМО, 2002г. - 504с.
. Петраков
А.В. Основы практической защиты информации.3-е изд: Учебное пособие. / А.В.
Петраков - М.: Радио и связь, 2001г. - 368с.
. Северин
В.А. Правовое обеспечение информационной безопасности предприятия: Учебное
пособие. / В.А. Северин - М.: Городец, 2000г. - 192с.
. Белов
Е.Б. Основы информационной безопасности: Учебное пособие/ Е.Б. Белов - Москва,
Горячая линия - Телеком, 2006г. - 405с.
. Линьков
И.И. Информационные подразделения в коммерческих структурах: как выжить и
преуспеть: Учебное пособие. / И.И. Линьков - М: НИТ, 2000 г. - 305с.
. Вихорев
С.В. Информационная Безопасность Предприятий: Учебное пособие. / С.В. Вихорев -
Москва, Радио и Связь, 2006г. - 210с.
. Крысин
В.А. Безопасность предпринимательской деятельности: Учебное пособие. / В.А.
Крысин - М: Финансы и статистика, 2000г. - 309с.
. Гайкович
В.Ю., Ершов Д.В. Основы безопасности информационных технологий: Учебное
пособие. / В.Ю. Гайкович - М.: Триумф. 2004. - 351с.
. Большаков
А.А., Петpяев А.Б., Платонов В.В., Основы обеспечения безопасности данных в
компьютерных системах и сетях: Учебное пособие. / А.А. Большаков - М.:
Техносфера, 2005г. - 528с.
. Мельников
Ю.Н. Многоуровневая безопасность в корпоративных сетях: Международный форум
информатизации - 2000: Доклады международной конференции "Информационные
средства и технологии".17-19 октября 2000 г. В 3-х тт. Т.2. / Ю.Н.
Мельников - М.: Издательство "Станкин", 2000г., - 245с.
. Торокин
А.А. Основы инженерно-технической защиты информации: Учебное пособие. / А.А.
Торокин - М.: Издательство "Ось-89", 2000г., - 360с.
. Герасименко
В.А., Малюк А.А. Основы зашиты информации: Учебное пособие. / В.А. Герасименко
- М.: МИФИ. 2000г., - 537с.
. Аверченков
В.И. Аудит информационной безопасности: Учебное пособие. / В.И. Аверченков -
Брянск: БГТУ, 2005г. - 340с.
. Петров
В.А. Информационная безопасность. Защита информации от несанкционированного
доступа в автоматизированных системах: Учебное пособие. / В.А. Петров - М.
МИФИ, 2000г., - 450с.
. Степанов
П.А., Корнеев И.К. Информационная безопасность и зашита информации: Учебное
пособие. / П.А. Степанов - М.: ИНФРА-М, 2001г., - 304с.