Разработка рекомендаций по построению системы защиты информации в информационной системе организации
ВВЕДЕНИЕ
В текущем времени, где правит информация, тот кто ею располагает, обладает почти безграничными возможностями. Наш мир с каждым годом набирает темпы развития во всех отраслях промышленности, индустрии развлечений, медицины и других отраслях, в которых у людей есть однозначные потребности.
Действующие законодательство позволяет в этом убедиться, так в доказательство можно привести Федеральный закон №149 от 27.07.2006 N 149–ФЗ (ред. от 09.03.2021) "Об информации, информационных технологиях и о защите информации", статья №9 "Ограничение доступа к информации":
‒ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства,
‒обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами,
‒защита информации, составляющей государственную тайну, осуществля
СОДЕРЖАНИЕ
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И ОБОЗНАЧЕНИЙ 3
ВВЕДЕНИЕ 5
1 Анализ структуры, деятельности организации АО "Невинномысскгоргаз" и её ИС 8
1.1 Анализ структуры и деятельности организации АО "Невинномысскгоргаз" 8
1.2 Анализ информационных ресурсов предприятия 8
1.2.1 Перечень защищаемой информации 8
1.2.2 Способы и сроки обработки персональной информации 9
1.2.3 Ответственность сторон 10
1.2.4 Перечень защищаемых персональных данных 12
1.3 Анализ ИС организации 12
1.4 Перечень основных технических средств ИСПДн, места их размещения 13
1.5 Применяемые в ИС ПО и информационные технологии 14
1.6 Выводы по разделу 15
2 Разработка системы защиты информации в ИС организации АО «Невинномысскгоргаз», 16
2.1 Выбор базового набора мер исходя из уровня значимости ПДн. 16
2.1.1 Адаптация базового набора организационных и технических мер 26
2.1.2 Уточнение адаптированного набора организационных и технических мер 27
2.1.3 Возможные негативные последствия от реализации угроз безопасности информации 28
2.1.4 Источники угроз безопасности информации 29
2.1.5 Способы реализации угроз безопасности информации 33
2.1.6 Актуальные угрозы безопасности информации 34
2.2 Выбор технических средств и реализация организационных мер 42
2.3 Выводы по разделу 47
3 Оценка эффективности СЗИ в ИС по критерию оценки риски информационной безопасности ИС 48
3.1 Определение риска несоответствия требованиям законодательства в области ИБ. 48
3.1.1 Определение вероятностей реализации актуальных угроз 49
3.1.2 Определение ценности информационных активов 54
3.1.3 Определение степени использования организационных мер и технических средств защиты информации в ИС 54
3.1.4 Количественное определение риска 56
3.2 Технико-экономическое обоснование предложенных рекомендаций по защите информации 58
3.3 Выводы по разделу 58
ЗАКЛЮЧЕНИЕ 59
СПИСОК ИСПОЛЬЗОВА ННЫХ ИСТОЧНИКОВ 60
СПИСОК ИСПОЛЬЗОВА ННЫХ ИСТОЧНИКОВ
1 Закон РФ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 № 149 – ФЗ. Российская газета. – 29.07. 2006. - С.22-34.
2 Приказ ФСТЭК “об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” ФСТЭК №21 от 18 февраля 2013 г.
3 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Пр. ФСТЭК №17 от 11.02.2013.
4 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная приказом ФСТЭК РФ 15.02.2018 г.
5 Методический документ «Методика оценки угроз безопасности информации», ФСТЭК 05.02.2021.
6 Завгородний В.И. Комплексная ЗИ в компьютерных системах: Учеб. пособие. М.: Логос, 2017 г.-246 с.
7 Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Приказом Гостехкомиссии России от 30.08.2012 № 282.
8 Степанов Е.А., Информационная безопасность и ЗИ: учеб. пособие. М.: ИНФРА - М, 2016. - 304 с.
9 Ярочкин, В.И. Информационная безопасность. М., Академический проект, 2017. - 640 с.
10 Экономическая безопасность. Производство - финансы - банки / под ред. акад. В. К. Сенчагова. М.: Финстатинформ – М, 2017. -198 с.
11 Соловьев Э.Я. Коммерческая тайна и ее защита. М.: Ось - 89, 2016.- 280 с.
12 Степанов Е.А., Информационная безопасность и защита информации: учеб. пособие. М.: ИНФРА - М, 2017 г. - 304 с.
13 Курило А.П., Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Основы управления информационной безопасностью. –М.: Горячая линия – Телеком, 2014. – 244 с.
14 ГОСТ Р ИСО/МЭК 27001–2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности.
15 ГОСТ Р ИСО/МЭК 17799–2005. Информационная технология. Практические правила управления информационной безопасностью.
16 ГОСТ Р ИСО/МЭК 27002–2
Угроза безопасности информации является актуальной, если для информационной системы с заданными структурно–функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации
Актуальность угроз безопасности информации определяется в отношении угроз, для которых экспертным методом определено, что:
– возможности (потенциал) нарушителя достаточны для реализации угрозы безопасности информации,
– в информационной системе могут иметься потенциальные уязвимости, которые могут быть использованы при реализации j–ой угрозы безопасности информации,
– структурно–функциональные характеристики и особенности функционирования информационной системы не исключают возможности применения способов, необходимых для ре