Разработка комплексной системы защиты информации на предприятии, осуществляющем изготовление продукции, предоставляющей коммерческую тайну
ВВЕДЕНИЕ
Разработка комплексной системы защиты информации на таком предприятии является крайне актуальной, поскольку оно занимается изготовлением продукции, которая является коммерческой тайной. Коммерческая тайна является важным активом компании и может включать в себя информацию о технологиях производства, исследованиях и разработках, патентах, клиентской базе и других сведениях, которые могут быть использованы конкурентами.
В современном обществе информационные технологии развиваются стремительными темпами, увеличивается важность и количество обрабатываемых данных. Множество предприятий каждый день обрабатывает данные различных видов, которые несут огромную значимость для компании, однако где есть что-то ценное всегда будут те, кто хочет это украсть. Именно поэтому уделяется огромное внимание защите коммерческой тайне: издаются указы, постановления, стандарты, направленные на усиление ИБ.
Разработка комплексной системы защит
Оглавление
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 7
ВВЕДЕНИЕ 8
ГЛАВА 1 АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ 9
1.1 Разработка паспорта 9
1.2 Разработка модели деятельности 9
1.3 Выявление защищаемой информации 9
1.4 Разработка модели нарушителя и уязвимостей объектов защиты 9
1.5 Расчет рисков важных объектов защиты 12
1.6 Разработка технического задания на разработку КСЗИ 14
ВЫВОД ПО ПЕРВОЙ ГЛАВЕ 15
ГЛАВА 2 ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБРАНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ 16
2.1 Обзор возможных методов устранения уязвимостей 16
2.2 Угрозы, связанные с НСД 16
2.3 Несанкционированный доступ к АРМ сотрудников 17
2.4 Несанкционированный доступ в серверное помещение 18
2.5 Несанкционированный доступ к данным, хранящимся на сервере 18
2.6 Модификация, уничтожение информации, хранящейся на АРМ сотрудников 18
2.7 Разглашение, модификация, уничтожение, хищение информации, составляющей коммерческую тайну 19
2.8 Модификация, уничтожение, хищение носителей информации 20
ВЫВОД ПО ВТОРОЙ ГЛАВЕ 21
ГЛАВА 3 РАЗРАБОТКА ПРОЕКТА ПО ВНЕДРЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ЗА ЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ 22
3.1 Резюме проекта 22
3.2 Цели и задачи проекта 22
3.4 Программно-аппаратные и инженерно-технические меры 23
3.5 Обучение персонала 23
3.6 Структура разбиения работ 23
3.7 Структурная схема организации проекта 24
3.8 Матрица ответственности 25
ВЫВОД ПО ТРЕТЬЕЙ ГЛАВЕ 26
ГЛАВА 4 ПРИМЕНЕНИЕ РАЗРАБОТАННОЙ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ АО «ЦНИРТИ ИМ. AКАДЕМИКА А. И. БЕРГА» 27
4.1 Разработка паспорта 27
4.2 Разработка модели деятельности 27
4.3 Выявление защищаемой информации 27
4.4 Разработка модели угроз и уязвимостей объектов защиты 27
4.5 Не санкционированный доступ к АРМ сотрудников 28
4.6 Разглашение, модификация, уничтожение, хищение информации, составляющие коммерческую тайну 29
ВЫВОД ПО ЧЕТВЕРТОЙ ГЛАВЕ 30
ЭКОНОМИЧЕСКИЙ РАЗДЕЛ 31
Расчет трудоемкости 31
Расчет заработной платы 33
Страховые взносы 34
Расчет расходных материалов 35
Прочие затраты 35
Стоимость технического проектирования 36
ВЫВОД ЭКОНОМИЧЕСКОГО РАЗДЕЛА 36
ЗАКЛЮЧЕНИЕ 37
СПИСОК ЛИТЕРАТУРЫ 38
ПРИЛОЖЕНИЕ А 39
ПРИЛОЖЕНИЕ Б 40
ПРИЛОЖЕНИЕ В 41
ПРИЛОЖЕНИЕ Г 42
СПИСОК ЛИТЕРАТУРЫ
1) Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне» / https://www.consultant.ru/document/cons_doc_LAW_48699/
2) Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» / https://www.consultant.ru/document/cons_doc_LAW_80028/
3) Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» / https://www.consultant.ru/document/cons_doc_LAW_137356/
4) Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» / http://www.consultant.ru/document/cons_doc_LAW_168503/
5) Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных / http://www.consultant.ru/document/cons_doc_LAW_97942/
6) Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». / https://www.consultant.ru/document/cons_doc_LAW_61798/
7) Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ О персональных данных» / https://www.consultant.ru/document/cons_doc_LAW_61801/
8) ISO/IEC 27001 «Информационные
В условиях стремительного развития ИТ и конкурентной среды существует некая тенденция к повышению заинтересованности предприятий к информации, составляющую коммерческую тайну, будь то владелец или конкурент, желающий получить информацию с целью каких-либо выгод.
Так как большинство современных коммерческих предприятий занимается обработкой информации ограниченного доступа рамках внутренней ИС, то существуют то, кто пытается завладеть этой информацией различными способами и методами. Одним из таких методов для получения информации лицами, не являющимися владельцами, является несанкционированный доступ.
Несанкционированный доступ – это противоправное преднамеренное владение конфиденциальной информацией лицами, не имеющими права доступа к защищаемой информации. В соответствии с ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» под защитой информации от несанкционированного воздействия понимается – деятельность по предотвращению воздействия