Введение
Объектом проектирования является информационная инфраструктура
организации, осуществляющая проектирование и строительство домов и различных сооружений для частных лиц под ключ. Предприятие «Х» является
коммерческой организацией, которая предлагает комплекс услуг для решения
проектов на любой вкус.
Кроме того, так как организация непрерывно расширяется, стоит на постоянной основе поддерживать систему информационной безопасности на
должном уровне, в соответствии с возможными угрозами. На данный момент
большому количеству сотрудников и клиентов предоставляется доступ к персональным данным клиентов, именно поэтому данная работа имеет актуальность в настоящее время.
Цель работы заключается в проектировании комплексной системы защиты информации организации на базе ее инфраструктуры.
Задачи:
- Анализ защищаемой информации и состояния системы информационной безопасности предприятии «Х» на данный момент
- Оценка угроз безопасности информации
- Проектирование комплексной системы защиты
4
1 Анализ защищаемой информации и состояния системы информационной безопасности предприятии «Х» на данный момент
1.1 Постановка задачи
Для анализа состояния информационной безопасности предприятия «Х»
выполним следующие 3 этапа:
1) определение типа защищаемой информации;
2) анализ локальной сети предприятия;
3) анализ защищенности помещений на предприятии.
1.2 Определение типа защищаемой информации
Информационные системы (далее ИС) – это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.[1]
В ИС предприятия осуществляется обработка персональных данных (далее ПДн), принадлежащим внешним и внутренним субъектам. Таким образом,
Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах
персональных данных» будет принят в данной работе за основу для определения необходимых требований к системе защиты ПДн.
По Федеральному закону РФ № 152 «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не
раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Поэтому самой главной защищаемой информацией на предприятии является:
‒ паспортные данные заказчиков и сотрудников;
5
‒ номера телефонов, e-mail заказчиков и сотрудников;
‒ номера банковского счета предприятия, заказчиков, сотрудников.
Обработка биометрических персональных данных работников или заказчиков, являющихся субъектами персональных данных, в предприятии не
осуществляется.
Предприятие Х использует следующие ИС, в которых обрабатываются
ПДн:
‒ 1С: «Документооборот 8»;
‒ 1С: «Бухгалтерия 8»;
‒ 1С «CRM».
1С: «Документооборот 8» это современная ECM-система (Enterprise
Content Management) с широким набором возможностей для управления деловыми процессами и совместной работой сотрудников. Проверенные методики
и практики, которые помогут организовать электронный документооборот,
наладить процессы, обеспечить контроль исполнения задач, регламентировать
управленческую деятельность и повысить ее эффективность;[3]
1С: «Бухгалтерия 8» это профессиональный инструмент бухгалтера, с
помощью которого можно вести бухгалтерский и налоговый учет, готовить и
сдавать обязательную отчетность. Программа объединила в себе все достижения предыдущих версий и новые решения, основанные на опыте практической
работы бухгалтеров сотен тысяч предприятий и организаций;[4]
В 1С: «CRM Стандарт» содержит оптимальный набор функциональных
возможностей, предназначенных для решения задач, наиболее часто встречающихся при организации работы с клиентами в малых предприятиях. Позволяет использовать CRM-систему в компании самостоятельно, без дополнительных расходов на внедрение.[5]
6
В вышеперечисленных 1С предприятия Х обрабатываются категории
информации, относящиеся к персональным данным (далее ПДн). На основании Постановления Правительства РФ № 1119 от 01 ноября 2012 года, их классификация приведена в таблице 1.1.
Таблица 1.1 – Классификация персональных данных, обрабатываемых в 1С
Наименование
Катего-
Категория
Объем обраба-
Обрабатываемые
ИСПДн
рии ПДн
субъектов
тываемых ПДн
ПДн
Паспортные данные,
Субъекты не
данные о прописке,
являются
1С "Документо-
иная
оборот 8"
сотрудни-
менее 100000
ками опера-
номер телефона, email, иные категории
данных,
тора
указывае-
мые заявителем
Паспортные данные,
1С «Бухгалтерия
8»
иная
Субъекты
номер
являются
счета предприятия,
сотрудни-
менее 100000
ками опера-
банковского
номера банковских
счетов клиентов, но-
тора
мера
банковских
счетов сотрудников.
Паспортные данные,
Субъекты не
1С «CRM Стандарт»
данные о прописке,
являются
иная
сотрудни-
менее 100000
ками оператора
Согласно
Постановлению
Правительства
номер телефона, email, иные категории
данных,
указывае-
мые заявителем
Российской
Федерации
№1119, необходимо обеспечение 3-го уровня защищенности ПДн, если в ИС
обрабатываются иные категории персональных данных сотрудников опера-
7
тора, менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. Персональные данные на предприятии хранятся менее
пяти лет.[7]
Для обеспечения 3-го уровня защищенности ПДн при их обработке в ИС
необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не
имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего
перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, которые прошли процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
д) необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Также в предприятии хранится конфиденциальная информация, которую необходимо отнести к коммерческой тайне. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение
перечня и состава такой информации принадлежит руководителю организации на основании ФЗ «О коммерческой тайне» от 29.07.2004 N 98-ФЗ. [8]
Перечень информации, которые необходимо отнести к коммерческой
тайне в данной организации:
8
- информация об условиях заключенных договоров и о потенциальных
сделках.
- бухгалтерские и финансовые сведения, кроме документов по установленным формам отчетности в случаях, установленных законодательством РФ.
Чтобы отнести конфиденциальную информацию к коммерческой тайне
необходимо выполнить следующие требования на основании ФЗ «О коммерческой тайне» от 29.07.2004 N 98-ФЗ
1.
Меры по охране конфиденциальности информации, принимаемые
ее обладателем, должны включать в себя:
1) определение перечня информации, составляющей коммерческую
тайну;
2) ограничение доступа к информации, составляющей коммерческую
тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена
или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и
контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).
9
2.
Режим коммерческой тайны считается установленным после при-
нятия обладателем информации, составляющей коммерческую тайну, мер,
указанных в части 1.
3.
Наряду с мерами, указанными в части 1 настоящей статьи, облада-
тель информации, составляющей коммерческую тайну, вправе применять при
необходимости средства и методы технической защиты конфиденциальности
этой информации, другие не противоречащие законодательству Российской
Федерации меры.
4.
Меры по охране конфиденциальности информации признаются
разумно достаточными, если:
1)
исключается доступ к информации, составляющей коммерческую
тайну, любых лиц без согласия ее обладателя;
2)
обеспечивается возможность использования информации, состав-
ляющей коммерческую тайну, работниками и передачи ее контрагентам без
нарушения режима коммерческой тайны.
5.
Режим коммерческой тайны не может быть использован в целях,
противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения
обороны страны и безопасности государства.[8]
Вся конфиденциальная информация (коммерческая тайна) хранится в
базе данных головного офиса предприятия.
1.3 Анализ локальной сети предприятия
Прежде всего необходимо понимать аспекты уязвимости сети на предприятии. Стоит рассмотреть следующие пункты:
1. Надежность хранения информации;
2. Надежность передачи информации между сетевыми устройствами.
Компоненты локальной вычислительной сети предприятия и филиалов:
10
- стационарные рабочие станции, на которых осуществляется обработка
информации и осуществляется доступ к серверам.
- почтовый сервер;
- сервер 1С;
- база данных,
- сетевое оборудование
В головном офисе и в филиалах на АРМ пользователей установлены операционные системы семейства Microsoft Windows (Microsoft Windows 10).
Из программных средств защиты информации предприятия установлено
антивирусное программное обеспечение Kaspersky Endpoint Security для бизнеса, задачей которого является защита узлов сети от вредоносного ПО.
Рабочие станции и сервера в головном офисе подключены коммутатору
D-link DGS-1024D
Рабочие станции в филиалах компании подключены коммутатору D-link
DGS-1016D.
Коммутаторы D-link DGS-1024D и D-link DGS-1016D подключены к
маршрутизаторам D-link DSR-250N
Теперь необходимо рассмотреть структурную схему локальной сети
компании, состоящей из локальной сети головного офиса и филиалов для дальнейшего анализа:
11
Рисунок 1.1 – Структурная схема сети предприятии «Х»
Данная схема является стандартной для локальных сетей. Рассмотрим ее
детальнее в соответствии с пунктами, представленными выше.
Надежность хранения информации, то она располагается на серверах, в
соответствии с типом информации (персональные данные, коммерческая
тайна). Под данное оборудование выделено отдельное место (серверная), в которое, имеет доступ системный администратор организации руководители
В ходе проектирования комплексной системы защиты информации
необходимо разработать защищенную сеть между узлом головного офиса и
узлами филиалов предприятия через сеть Интернет, для безопасного доступа,
изменения и передачи защищаемой информации.
Главная проблема этой сети является маршрутизатор D-link DSR-250N,
который является WI-FI маршрутизатором. т.е. ее всегда можно увидеть и
«подслушать». Весь обмен трафиком также можно прослушать, иногда даже
находясь вне офисного здания. Шифрование несколько снижает остроту проблемы, но старые алгоритмы (типа WEP) легко взламываются, да и новые
устойчивы не на 100%. Плюс, всегда остается теоретическая возможность
12
взлома самой точки доступа или клиентского устройства, а в последнее время
сообщений о таких возможностях (пусть они и преподносятся как теоретические) становится пугающе много.
1.4 Анализ защищенности помещений на предприятии
Контрольно-пропускной режим в здании головного офиса предприятия
- свободный, так как в здании могут находиться не только сотрудники предприятия, но и клиенты, сотрудники других компаний и т.д. Этот факт уже говорит о том, среди них могут быть и потенциальные нарушители.
Средства видеонаблюдения и видеорегистрации кроме как зрительного
наблюдения самих работников предприятия не предусмотрено.
Физический доступ в помещения предприятия осуществляется посредством замков на дверь и ключей. Ключи в свою очередь хранятся в охранном
пункте.
Схема помещений предприятии «Х» представлен на рисунке 1.2.
13
Рисунок 1.2 – Схема помещений предприятии «Х»
Анализирую вышеперечисленные средства можно выделить, что
- необходимо модернизировать средство защиты физического доступа,
так как учитывая человеческий фактор ключи с замками на дверях не всегда
будут запираться, учитывая их неудобность.
- средства видеонаблюдения и видеорегистрации необходимы для определения и фиксации всех потенциальных нарушителей.
1.5 Выводы по разделу
В данной главе была проведена работа по анализу типа защищаемой информации, а также были описаны информационные системы, используемые в
предприятии. В ходе данного анализа выяснилось, что в информационной системе 1С обрабатываются и хранятся персональные данные клиентов. Для
14
этой деятельности, согласно Постановлению Правительства Российской Федерации №1119, необходимо обеспеченность 3-го уровня защищенности ПДн.
Далее были описаны необходимые требования по ее обеспечению.
Так же имеется конфиденциальная информация, которую следует отнести к коммерческой тайне. Охрана конфиденциальности информации из федерального закона была приведена в самом анализе. Меры по обеспечению режима коммерческой тайны будут реализован в данной работе.
Был сделан анализ локальной сети предприятия, в результате чего определили явные недостатки безопасности информации. К примеру, беспроводной маршрутизатор как основной шлюз локальной сети.
И был сделан анализ помещений, в которых хранится конфиденциальная
информация ходе которого выяснилось, что имеются явные проблемы с безопасностью. Такие как возможность НСД третьих лиц на помещения с защищаемой информации и др.
15
2 Оценка угроз безопасности информации
2.1 Постановка задачи
Для оценки угроз безопасности информации воспользуемся Методикой
оценки угроз безопасности информации утвержденной ФСТЭК России 5 февраля 2021 года: [9]
Основными задачами, решаемыми в ходе оценки угроз безопасности информации, являются:
1) определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
2) определение возможных объектов воздействия угроз безопасности
информации
3) оценка возможности реализации (возникновения) угроз безопасности
информации и определение их актуальности
а) определение источников угроз безопасности информации;
б) оценка способов реализации (возникновения) угроз безопасности информации
в) оценка актуальности угроз безопасности информации.
2.2 Определение негативных последствий
В ходе оценки угроз безопасности информации должны быть определены негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации. Ниже приведена таблица 2.1,
виды рисков (ущерба) и их негативные последствия от реализации угроз безопасности информации
16
Таблица 2.1 - Виды рисков (ущерба) и их негативные последствия от реализации угроз безопасности информации
№
Виды риска
Возможные негативные последствия
(ущерба)
У1 Ущерб физическому Нарушение конфиденциальности (утечка) перлицу
У2 Ущерб юридическому лицу
сональных данных.
Утечка конфиденциальной информации (коммерческой тайны) в результате которых возможны негативные последствия такие как:
- Недополучение ожидаемой (прогнозируемой)
прибыли.
- Срыв запланированной сделки с партнером.
- Неспособность выполнения договорных обязательств.
2.3 Определение объектов воздействий
В ходе оценки угроз безопасности информации должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации
(возникновения) угроз безопасности информации может привести к негативным последствиям – объекты воздействия.
На основе анализа исходных данных и результатов инвентаризации систем и сетей определяются следующие группы информационных ресурсов и
компонентов систем и сетей, которые могут являться объектами воздействия:
а) информация (данные), содержащаяся в системах и сетях (в том числе
защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и
др.); 16
17
б) программно-аппаратные средства обработки и хранения информации
(в том числе автоматизированные рабочие места, серверы, включая промышленные, средства отображения информации, программируемые логические
контроллеры, производственное, технологическое оборудование (исполнительные устройства));
в) программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);
г) машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;
д) телекоммуникационное оборудование (в том числе программное
обеспечение для управления телекоммуникационным оборудованием);
е) средства защиты информации (в том числе программное обеспечение
для централизованного администрирования средств защиты информации);
ж) привилегированные и непривилегированные пользователи систем и
сетей, а также интерфейсы взаимодействия с ними;
з) обеспечивающие системы.
Ниже приведена таблица 2.2, определение объектов воздействия и видов
воздействия на них
Таблица 2.2 - Определение объектов воздействия и видов воздействия на них
Негативные по-
Объекты воздействия
Виды воздействия
следствия
Нарушение конфи- База данных информаци- Утечка ПДн граждан из
денциальности
онной системы
базы данных
(утечка) персо-
Сервер 1С
Утечка ПДн граждан из
нальных данных.
(У1)
сервера 1С
Автоматизированное ра-
Утечка ПДн граждан с
бочее место (АРМ) со-
АРМ пользователя
трудника
18
Продолжение таблицы 2.2 - Определения объектов воздействия и видов воздействия на них
Негативные по-
Объекты воздей-
следствия
ствия
Нарушение кон-
Линия связи между
Перехват информации, содержа-
фиденциально-
сервером 1С и АРМ
щей ПДн граждан, передаваемой
сти (утечка) пер- пользователей фисональных дан-
Виды воздействия
по линиям связи
лиалов
ных.
(У1)
Утечка конфи-
База данных
денциальной информации (ком-
Несанкционированный доступ, использование и изменение данных
Почтовый сервер
Несанкционированная модифика-
мерческой
ция информации и отправка недо-
тайны). (У2)
стоверных распоряжений от
имени предприятия
АРМ руководителя
Несанкционированная модифика-
организации
ция информации и отправка недостоверных распоряжений
Линия связи между
Перехват информации, содержа-
серверами и АРМ
щей коммерческую тайну, переда-
пользователей фи-
ваемой по линиям связи
лиалов
АРМ всех бухгалте-
Подмена данных, содержащих
ров
реквизиты платежных поручений
и другой платежной информации
на АРМ бухгалтера
19
2.4 Оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности
Определение источников угроз безопасности информации
На основе анализа исходных данных, а также результатов оценки возможных целей реализации нарушителями угроз безопасности информации
определяются виды нарушителей, актуальных для систем и сетей.
Основными видами нарушителей, подлежащих оценке, являются: специальные
- службы иностранных государств;
- террористические, экстремистские группировки;
- преступные группы (криминальные структуры);
- отдельные физические лица (хакеры);
- конкурирующие организации;
- разработчики программных, программно-аппаратных средств;
- лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем;
- поставщики услуг связи, вычислительных услуг;
- лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ;
- лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем оператора (администрация, охрана, уборщики и др.);
- авторизованные пользователи систем и сетей;
- системные администраторы и администраторы безопасности;
- бывшие (уволенные) работники (пользователи)
Ниже приведена таблица 2.3, Оценка целей реализации нарушителями
угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
20
Таблица 2.3 - Оценка целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов
ущерба от их реализации
Виды нару-
Возможные цели реализации угроз без-
Соответствие целей
шителя
опасности информации
видам риска
Нанесение
Нанесение ущерба юри-
(ущерба) и возмож-
ущерба фи-
дическому лицу
ным негативным
последствиям
зическому
лицу
Специальные
-
-
-
-
-
-
-
-
-
Отдельные
+ (любопыт-
+ (получение финансо-
физические
ство или же-
вой выгоды или иной
конфиденциально-
лица (ха-
лание само-
материальной выгоды
сти (утечка) персо-
керы)
реализации)
службы иностранных
государств
Террористические, экстремистские
группировки
Преступные
группы (криминальные
структуры)
У1 (Нарушение
при вступлении в сговор нальных данных)
с конкурирующими организациями)
У2 (утечка коммерческой тайны)
21
Продолжение таблицы 2.3 - Оценка целей реализации нарушителями угроз
безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
Виды нарушителя
Возможные цели реализации
Соответствие це-
угроз безопасности информа-
лей видам риска
ции
(ущерба) и воз-
Нанесение
Нанесение ущерба можным негатив-
ущерба фи-
юридическому
зическому
лицу
ным последствиям
лицу
Конкурирующие ор-
-
ганизации
+ (получения кон- У2 (утечка комфиденциальной
мерческой тайны)
информации для
получение конкурентных преимуществ)
Разработчики про-
-
-
-
-
-
-
-
-
-
граммных, программноаппаратных
средств
Лица, обеспечивающие поставку программных, программноаппаратных
средств, обеспечивающих систем
Поставщики вычислительных услуг,
услуг связи
22
Продолжение таблицы 2.3 - Оценка целей реализации нарушителями угроз
безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
Виды нарушителя
Возможные цели реализации угроз
Соответствие
безопасности информации
целей видам
Нанесение
Нанесение
риска (ущерба)
ущерба физи-
ущерба юридиче-
и возможным
ческому лицу
скому лицу
негативным
последствиям
Лица, привлекаемые
-
-
-
для установки,
настройки, испытаний, пусконаладочных
и иных видов работ
Лица, обеспечиваю-
+ (любопыт-
+ (получение фи- У1 (Нарушение
щие функционирова-
ство или не-
нансовой выгоды конфиденци-
ние систем и сетей
преднамерен-
или обеспечивающие
ные, неосто-
системы оператора
рожные или
или иной матери- альности
альной выгоды
(утечка) персо-
при вступлении в нальных дан-
(администрация,
неквалифици-
охрана, уборщики и
рованные дей- рующими органи- У2 (утечка
т.д.)
ствия)
сговор с конкури- ных)
зациями)
коммерческой
тайны)
23
Продолжение таблицы 2.3 - Оценка целей реализации нарушителями угроз
безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
Виды нару-
Возможные цели реализации угроз без-
Соответствие це-
опасности информации
лей видам риска
шителя
Нанесение
Нанесение ущерба
ущерба физиче-
юридическому лицу
(ущерба) и возможным негативным послед-
скому лицу
ствиям
Авторизо-
-
+ (получение финан-
ванные
совой выгоды или
пользова-
иной материальной
тели систем
выгоды при вступле-
и сетей
нии в сговор с конку-
У2 (утечка коммерческой тайны)
рирующими организациями)
Системные
+(любопытство
+ (получение финан-
У1 (Нарушение
администра-
или непреднаме-
совой выгоды или
конфиденциаль-
торы и адми-
ренные, неосто-
иной материальной
ности (утечка)
нистраторы
рожные или не-
выгоды при вступле-
персональных
безопасно-
квалифицирован-
нии в сговор с конку-
данных)
сти
ные действия)
рирующими организа- У2 (утечка комциями)
Бывшие ра-
-
мерческой тайны)
+ (желание мести или У2 (утечка ком-
ботники
получение финансо-
(пользова-
вой выгоды или иной
тели)
материальной выгоды
мерческой тайны)
при вступлении в сговор с
24
Нарушители имеют разные уровни компетентности, оснащенности ресурсами и мотивации для реализации угроз безопасности информации. Совокупность данных характеристик определяет уровень возможностей нарушителей по реализации угроз безопасности информации.
В зависимости от уровня возможностей нарушители подразделяются на
нарушителей, обладающих:
базовыми возможностями по реализации угроз безопасности информации (Н1);
базовыми повышенными возможностями по реализации угроз безопасности информации (Н2);
средними возможностями по реализации угроз безопасности информации (Н3);
высокими возможностями по реализации угроз безопасности информации (Н4)
Ниже приведена таблица 2.4, актуальные нарушители при реализации
угроз безопасности информации и соответствующие им возможности
25
Таблица 2.4 - Актуальные нарушители при реализации угроз безопасности информации и соответствующие им возможности
№
Виды риска
п/п (ущерба) и воз-
Виды актуального наруши-
Катего-
Уровень
теля
рия
возмож-
можные негатив-
наруши- ностей
ные последствия
теля
нарушителя
1
У1: Нарушение
Отдельные физические
Внеш-
конфиденциаль-
лица (хакеры)
ний
Лица, обеспечивающие
Внут-
функционирование систем
ренний
Н2
ности (утечка)
персональных
данных.
Н1
и сетей или обеспечивающие системы оператора (администрация, охрана, уборщики и т.д.)
Системный администра-
Внут-
торы и администраторы
ренний
Н2
безопасности
Авторизованные пользова-
Внут-
тели систем и сетей
ренний
Н1
26
Продолжение таблицы 2.4 - Актуальные нарушители при реализации угроз
безопасности информации и соответствующие им возможности
№
Кате-
Уровень
п/п (ущерба) и
гория
возмож-
возможные
нару-
ностей
негативные
ши-
наруши-
последствия
теля
теля
2
Виды риска
У2: Утечка
Виды актуального нарушителя
Отдельные физические лица (ха-
конфиденци- керы)
Внеш- Н2
ний
альной информации
(коммерче-
Конкурирующие организации
Внеш- Н2
ний
ской тайны).
Лица, обеспечивающие функциони-
Внут-
рование систем и сетей или обеспе-
рен-
чивающие системы оператора
ний
Системные администраторы и адми-
Внут-
нистраторы безопасности
рен-
Н1
Н2
ний
Авторизованные пользователи си-
Внут-
стем и сетей
рен-
Н1
ний
Бывшие работники (пользователи)
Внеш- Н1
ний
27
Оценка способов реализации (возникновения) угроз безопасности
информации
На основе анализа исходных данных, а также возможностей нарушителей определяются способы реализации (возникновения) угроз безопасности
информации, актуальные для систем и сетей.
Основными способами реализации (возникновения) угроз безопасности
информации являются:
1) использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также
организационных и многофакторных уязвимостей);
2) внедрение вредоносного программного обеспечения;
3) использование недекларированных возможностей программного
обеспечения и (или) программно-аппаратных средств;
4) установка программных и (или) программно-аппаратных закладок в
программное обеспечение и (или) программно-аппаратные средства;
5) формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных;
6) перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации,
содержащейся в аппаратных средствах аутентификации;
7) инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
8) нарушение безопасности при поставках программных, программноаппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию);
9) ошибочные действия в ходе создания и эксплуатации систем и сетей,
в том числе при установке, настройке программных и программно-аппаратных
средств.
28
Способы реализации (возникновения) угроз безопасности информации
определяются применительно к объектам воздействия, определенным в соответствии с настоящей Методикой. Способы являются актуальными, когда возможности нарушителя позволяют их использовать для реализации угроз безопасности и имеются или созданы условия, при которых такая возможность
может быть реализована в отношении объектов воздействия. Одна угроза безопасности информации может быть реализована несколькими способами.
Ниже приведена таблица 2.4, актуальные нарушители при реализации угроз
безопасности информации и соответствующие им возможности
Таблица 2.5 - Определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности
№ Вид
нарушителя
Катего-
Объект воздей-
Доступные
Способы реа-
рия
ствия
интерфейсы
лизации
нарушителя
1
Отдель-
внеш-
- База данных ин-
Доступ через Внедрение
ные фи-
ний
формационной си-
локальную
вредоносного
зиче-
стемы, сервер 1С,
вычисли-
программного
ские
почтовый сервер,
тельную сеть обеспечения
лица
автоматизирован-
предприятия
(хакеры)
ное рабочее место
через сеть
(АРМ) пользова-
интернет
теля:
Съемные ма- Использование
Нарушение конфи- шинные но-
уязвимостей
денциальности
сители ин-
конфигурации
(утечка) персо-
формации,
системы
нальных данных и
подключае-
управления до-
коммерческой
мые к АРМ
ступом к АРМ
тайны
пользователя пользователя
29
Продолжение таблицы 2.5 - Определения актуальных способов реализации
угроз безопасности информации и соответствующие им виды нарушителей и
их возможности
№ Вид нарушителя
2 Лица, обеспе-
Катего-
Объект воздействия
Доступ-
Способы
рия нару-
ные ин-
реализа-
шителя
терфейсы ции
внутрен-
- База данных инфор- Локаль-
Наруше-
ний
мационной системы,
ная
ние орга-
функциониро-
сервер 1С, почтовый
вычисли-
низаци-
вание систем
сервер, автоматизи-
тельная
онных
и сетей или
рованное рабочее ме- сеть
обеспечиваю-
сто (АРМ) пользова-
организа- обеспече-
щие системы
теля:
ции
оператора (ад-
Нарушение конфи-
министрация,
денциальности
охрана, убор-
(утечка) персональ-
щики и т.д.)
ных данных и ком-
чивающие
мер по
нию ИБ
мерческой тайны
3 Системный
внутрен-
- База данных инфор- Локаль-
Наруше-
ний
мационной системы,
ная
ние орга-
торы и адми-
сервер 1С, почтовый
вычисли-
низаци-
нистраторы
сервер, автоматизи-
тельная
онных
безопасности
рованное рабочее ме- сеть
администра-
мер по
сто (АРМ) пользова-
организа- обеспече-
теля:
ции
нию ИБ
Нарушение конфиденциальности
(утечка)
30
Продолжение таблицы 2.5 - Определения актуальных способов реализации
угроз безопасности информации и соответствующие им виды нарушителей и
их возможности
№ Вид
Катего- Объект воздей-
Доступные
Способы реа-
наруши-
рия
ствия
интерфейсы
лизации
теля
нарушителя
4
Конку-
внеш-
- База данных ин-
Доступ через Внедрение
рирую-
ний
формационной си-
локальную
вредоносного
щие ор-
стемы, сервер 1С,
вычисли-
программного
ганиза-
почтовый сервер,
тельную сеть обеспечения
ции
автоматизирован-
предприятия
ное рабочее место
через сеть
(АРМ) пользова-
интернет
теля:
Съемные ма- Использование
Нарушение конфи- шинные но-
уязвимостей
денциальности
сители ин-
конфигурации
(утечка) персо-
формации,
системы
нальных данных
подключае-
управления до-
мые к АРМ
ступом к АРМ
пользователя пользователя
5
Автори-
внут-
Сервер 1С, почто-
зован-
ренний вый сервер, авто-
Локальная
Нарушение ор-
вычисли-
ганизацион-
ные
матизированное
тельная сеть
ных мер по
пользо-
рабочее место
организации
обеспечению
ватели
(АРМ) пользова-
систем и
теля
ИБ
сетей
31
Продолжение таблицы 2.5 - Определения актуальных способов реализации
угроз безопасности информации и соответствующие им виды нарушителей и
их возможности
№ Вид
Катего- Объект воздействия
Доступные
Способы
наруши-
рия
интерфейсы
реализации
теля
нарушителя
6
Бывшие
внеш-
- База данных ин-
Доступ через
Внедрение
работ-
ний
формационной си-
локальную
вредонос-
ники
стемы, сервер 1С,
вычислитель-
ного про-
(пользо-
почтовый сервер, ав- ную сеть
граммного
ватели)
томатизированное
предприятия
обеспече-
рабочее место
через сеть ин-
ния
(АРМ) пользователя: тернет
Нарушение конфиденциальности
(утечка) персональных данных
При определении актуальных способов реализации угроз необходимо
исходить из того, что для повышения доступных интерфейсов нарушители могут вступать в сговор с другими нарушителями
Оценка актуальности угроз безопасности информации
Угроза безопасности информации возможна, если имеются нарушитель
или иной источник угрозы, объект, на который осуществляются воздействия,
способы реализации угрозы безопасности информации, а реализация угрозы
может привести к негативным последствиям:
УБИi = [нарушитель (источник угрозы); объекты воздействия; способы
реализации угроз; негативные последствия].
32
Актуальные угрозы для предприятия:
Угрозы НСД к конфиденциальной информации, обрабатываемым на автоматизированном рабочем месте.
Угрозы несанкционированного доступа связаны с действиями нарушителей, которые имеют доступ к информационным системам, включая пользователей ИС, которые реализуют угрозы в ИСПДн, а также включая нарушителей,
не имеющих доступа к ИС и реализующих угрозы из внешних сетей связи общего пользования и сетей международного информационного обмена.
УБИ.011: Угроза деавторизации санкционированного клиента беспроводной сети
УБИ.016: Угроза доступа к локальным файлам сервера при помощи URL
УБИ.083: Угроза несанкционированного доступа к системе по беспроводным каналам;
УБИ.074: Угроза несанкционированного доступа к аутентификационной
информации
УБИ.125: Угроза подключения к беспроводной сети в обход процедуры
аутентификации
УБИ.116: Угроза перехвата данных, передаваемых по вычислительной
сети
УБИ.140: Угроза приведения системы в состояние «отказ в обслуживании»
УБИ.186: Угроза внедрения вредоносного кода через рекламу, сервисы и
контент
УБИ.190: Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет[10]
33
2.5 Выводы по разделу
В результате оценки угроз определили:
- негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации;
- возможные объекты воздействия угроз безопасности информации
- возможности реализации (возникновения) угроз безопасности информации и определены их актуальности.
А также определены источники угроз безопасности информации, оценены способы реализации (возникновения) угроз безопасности информации и
произведена оценка актуальности угроз безопасности информации.
В результате определили актуальные угрозы для предприятия.
34
3 Проектирование комплексной системы защиты
3.1 Постановка задачи
Проектирование комплексной системы защиты информации будет состоять из следующих этапов:
1. Выбор технических средств физического доступа к защищаемой информации;
2. Выбор средств защиты локальной сети предприятия
3. Обеспечение организационных мер защиты информации
Проанализировав защищаемую информации и состояния системы информационной безопасности предприятии «Х» на данный момент и исходя из
оценки угроз безопасности, было выявлено, что необходимо обеспечить ее дополнительной защитой, то есть:
- необходимо защитить линию связи между филиалами и головным офисом, при передачи персональных данных.
- необходимо модернизировать физический доступ в помещениях с
особо важной информацией;
- обеспечить защиту от НСД к АРМ пользователей от третьих лиц или
лиц не обладающими правами доступа.
- обеспечить защиту базы данных от несанкционированного доступа
- обеспечить систему видеонаблюдения
35
3.2 Внедрение технических средств физического доступа к защищаемой
информации
Защита серверов, где происходит хранение и обработка важной для компании информации, является первостепенной задачей, стоящей перед системой контроля и управления доступом из этого следует, что необходимо установить соответствующие устройства на дверях на вход в серверную.
Так же необходимо оснастить тем же средством кабинет руководителя и
бухгалтерию.
В таблице 3.1 приведена сравнительная характеристика электрических замков.
Таблица 3.1 – Сравнительные характеристики электрических замков
Модель обо-
ILOCKS IS700-
Iron Logic Z-8
Iron Logic Z-Eu-
рудования/ха-
S[11]
EHT[12]
rolock[13]
Количество
Информация от-
1364шт.
2024шт.
клю-
сутствует
да
да
да
15000 открытий
25000 открытий
50000-80000 от-
рактеристика
чей/карт(max):
Встроенная
энергонезависимая память
Срок службы
батареек
Рабочая тем-
крытий
20С - +50С
+5°С +40°С
+5°С +40°С
да
да
да
пература
Возможность
открывания
36
механическим ключом
Цена
10750 рублей
9130 рублей
10285 рублей
Анализируя таблицу, видим, что все 3 устройства мало чем отличаются
по характеристике за исключением срока службы батареек, где у электронного
ключа Iron Logic Z-Eurolock самое большое число открытий.
Теперь надо выбрать средство слежения в головном офисе. Наилучшим
вариантом будет IP-видеонаблюдения c PoE питанием. Так как она удобна в
установке и проста в эксплуатации. Только необходим коммутатор с PoE портами.
Ниже представлены 3 IP камеры различных фирм c PoE питанием (таблица 3.2). Основным критерием выбора будет угол обзора камеры так как
остальные критерии почти одинаковы или не особо влияют в нашем случае.
Таблица 3.2 – Сравнительные характеристики IP камеры видеонаблюдения
Модель оборудо- Uniview
IP-940-MH2BP
вания/характери- IPC322LR-
MIC[15]
PST IP302PM[16]
стика
MLP40[14]
Разрешение ос-
1920x1080
1920x1080
1920x1080
до 30 метров
до 20 метров
до 20 метров
86.5°
71°
78°
0.1
0.01 Лк
0.001 Лк
Питание по POE
да
да
да
Цена
2990 рублей
2766 рублей
2850 рублей
новного потока
Дальность ИК
подсветки
Угол обзора
(по горизонтали/по вертикали)
37
Анализируя таблицу, видим, что устройства мало чем отличаются по характеристикам за исключением угла обзора, где у Uniview IPC322LR-MLP40
самое большое = 86.5°
Для питания камер видеонаблюдения требуется коммутатор с POEпортами. Были проанализированы подходящие коммутаторы с нужными характеристиками, такие как: TP-Link TL-SF1005LP, Wi-Tek WI-PS205 v2 и DLink DES-1005P/B1A (табл. 3.3)
Таблица 3.3 – Сравнительные характеристики коммутаторов с POE портами
Модель оборудова-
TP-Link TL-
Wi-Tek WI-
D-Link DES-
ния/характеристика
SF1005LP[17]
PS205 v2[18]
1005P/B1A[19]
Общее количество
5
6
5
4
4
4
1 Гбит/сек
1.2 Гбит/сек
1 Гбит/сек
Стандарты и прото-
IEEE 802.3
IEEE 802.3bt,
IEEE 802.3u,
колы
af/at, IEEE
IEEE802.3af/80
IEEE 802.3az,
802.3x
2.3at,
IEEE 802.3
портов коммутатора
Количество портов
PoE
Внутренняя пропускная способность
IEEE802.3
10Base-T, IEEE
802.3u 100BaseTX , IEEE
802.3x (Flow
Control)
Цена
2450 рублей
2499 рублей
2850 рублей
38
Анализируя таблицу, видим, что коммутатор Wi-Tek WI-PS205 v2 выигрывает по всем представленным характеристикам кроме цены. Её стоимость
чуть выше чем у коммутатора TP-Link TL-SF1005LP, но ниже чем у D-Link
DES-1005P/B1A. Но так как разница в цене небольшая, выбираем Wi-Tek WIPS205 v2.
Ниже представлена схема подключения схема подключения IP-камеры
через POE-коммутатор (рис. 3.1).
Рисунок 3.1 – Схема подключения IP-камеры через POE-коммутатор
Что касается технических средств физического доступа к защищаемой
информации, то они представлены на рисунке 3.2.
39
Рисунок 3.2 – Схема подключения технических средств физического
доступа к защищаемой информации
3.3 Анализ и выбор средств защиты локальной сети предприятия
Защита серверов, где происходит хранение и обработка ПДн, является
первостепенной задачей, стоящей перед системой защиты информации проектируемой организации.
Для организации защищенной сети, согласно используемым данным на
предприятии, организуется защищённая локальная сеть с использованием технологии VPN.
Основной причиной внедрения данной технологии заключается в создании безопасного соединения между филиалами и головным офисом. Обмен
информацией будет зашифрован, и перехват при передаче информации не произойдет по общедоступной сети – интернет. Для организации VPN рассмотрено активное оборудование отечественного производителя. Проведён сравнительный анализ характеристик предлагаемых решений. Для организации защищенной сети будут использованы сертифицированные средства СКЗИ.
40
СКЗИ обеспечивают нейтрализацию актуальных угроз безопасности, таких как несанкционированный доступ к информации, раскрытие, идентификация источника, а также нарушения злоумышленником разграничения прав доступа к информации принятой политикой безопасности на предприятии.
Чтобы обеспечить защиту сети головного офиса и двух филиалов, необходимо подобрать оборудование, соответствующее уровню защиты персональных данных, циркулирующих в сети предприятия. Для этой цели используем сервисные маршрутизаторы, являющимися криптошлюзом с функцией
организации VPN. Были проанализированы подходящие криптошлюзы для
данного предприятия, такие как: С-Терра Шлюз G-2000 Континент 3.9 IPC-50
и Altell Neo 120.
В таблице 3.4 приведена сравнительная характеристика VPN криптошлюзов отечественных производителей
Таблица 3.4 – Сравнительные характеристики VPN криптографических шлюзов
Модель
обору-
дования/характеристика
С-Терра Шлюз G- Континент
3.9 Altell
Neo
2000[20]
IPC-50[21]
120[22]
200
50
50
до 380 Мбит/с
до 300 Мбит/с
до 100 Мбит/с
Количество VPN
туннелей
Пропускная способность
L3
VPN и L2 VPN
Модель
обору-
дования/характеристика
С-Терра Шлюз G- Континент
2000
IPC-50
есть
есть
3.9
Altell Neo 120
Межсетевой
экран
есть
41
Продолжение таблицы 3.4 – Сравнительные характеристики VPN криптографических шлюзов
-встроенная
си- - межсетевое экра- -
межсетевой
стема обнаружения нирование (МЭ) с экран ФСТЭК
вторжения;
контролем и филь- -
поддержка трацией
-
VLAN;
- сетевого трафика; - веб-фильтр
VLAN;
-
поддержка
защита
канала предотвращение
управления с ис- вторжений (СОВ);
почтовый
фильтр;
пользованием тех- - контроль прило- -
обнаружение
нологии VPN IPsec жений пользовате- вторжений
по ГОСТ 28147-89, лей,
Возможности
ГОСТ
Р
(IDS/IPS);
34.10- веб-фильтрация и - Шифрование по
2001/2012 и ГОСТ разбор
Р 34.11-2001/2012;
сетевого ГОСТ 28147-89;
трафика с примене-
- криптоалгоритмы нием морфологичепо ГОСТ Р 34.12- ского анализа со2015
держимого
веб-
страниц;
антивирусная
фильтрация с поддержкой
модуля
«Лаборатории Касперского»
42
Продолжение таблицы 3.4 – Сравнительные характеристики VPN криптографических шлюзов
Модель оборудования/характеристика
С-Терра Шлюз G2000
Континент 3.9 IPC-50 Altell Neo 120
Сертификат ФСТЭК Сертификация: ФСБ ФСБ
России № 4058 (МЭ (КС3,
А4)
до
МСЭ4), СФ/СЗИ-0074 до
27.12.2023 ФСТЭК
Сертификат ФСТЭК СОВ3,
России
(МЭ
УД3)
А3, 04.10.2018
до
России № 3998 (МЭ 17.07.2024
Б4)
до
16.08.2023
Сертификат
ФСБ
Сертификаты России № 114/3263
(КС1) до 11.01.2021
Сертификат
ФСБ
России № 124/3264
(КС2)
11.01.2021
Сертификат
ФСБ
России № 124/3389
(КС3) 18.05.2021
Цена
161 190 ₽ рублей
151 897 рублей
143 000 рублей
Анализируя таблицу, видим, что у устройства Altell Neo 120 сертификат
уже давно истек. Это оборудование тогда не рассматриваем.
У С-Терра есть большое преимущество над остальными двумя оборудованиями: количество туннелей, которые можно подключить - больше, пропускная система выше, чем у Континент 3.9 IPC-50. Также выбранный криптошлюз имеет встроенную IDS-систему и по цене не сильно отличается. Подходит для класса защищенности, в нашем случае, класс СКЗИ: КС2, КС3, так
43
как имеет сертификаты ФСБ России № 124/3264 (КС2) 11.01.2021, сертификат
ФСБ России № 124/3389 (КС3) 18.05.2021.
Внедрение IDS-систем необходимо для нейтрализации таких угроз, как
DDoS-атаки, получения НСД путем подмены доверенного объекта, удаленного запуска приложений, а так же внедрения по сети вредоносных программ.
Также данная встроенная система обнаружения выявляет факт обнаружения
НСД в сеть, следит за подозрительной активностью.
С-Терра Шлюз представляет собой программный комплекс на аппаратной платформе, предназначенный для обеспечения безопасности сети связи
любой топологии, с любым количеством туннелей. Обеспечивает защиту и
фильтрацию как трафика подсетей, проходящего через него, так и защиту трафика самого шлюза безопасности. Описание характеристик выбранного оборудования [5]:
1) обеспечивает надежную защиту передаваемого трафика:
‒ шифрование и имитозащита передаваемого трафика – по протоколам
IPsec (RFC2401-2412), с использованием современных российских криптографических алгоритмов;
2) построение защищенных сетей любой сложности;
‒
совместимость со всеми необходимыми протоколами;
‒
широкие возможности для администратора: задание гибкой политики
безопасности, определение различных наборов правил обработки открытого и
шифрованного трафика;
‒
поддержка различных топологий, в том числе: точка-точка, звезда,
иерархическое дерево;
Чтобы обеспечить безопасность передаваемой информации внутри локальной сети предприятия между ее компонентами, необходимо разделить ее
на функциональные сегменты.
44
Путем решения данной задачи будет технология VLAN. Для реализации
данной задачи необходимо заменить неуправляемые коммутаторы на коммутаторы с поддержкой VLAN. То есть D-link DGS-1024D и D-link DGS-1016D
заменить на коммутаторы D-link DGS-1100-24V2 и D-link DGS-1100-16V2 соответственно. Ниже приведена таблица 3.5, сравнения характеристик коммутаторов D-link DGS-1024D и D-link DGS-1100-24.
Таблица 3.5 – Сравнительная характеристика коммутаторов
Модель оборудования/характери-
D-link DGS-1024D [23]
D-link DGS-1100-24V2[24]
стика
Количество портов
Производительность
Поддержка
VLAN
Сертификаты
24
24
48 Гбит/с
48 Гбит/с
нет
да
Декларация о соответствии Декларация о соответствии
ЕАЭС
N
RU
Д- ЕАЭС
N
RU
Д-
TW.БЛ08.В.02755/20,
срок TW.БЛ08.В.02755/20, срок
действия до 03.03.2025
действия до 03.03.2025
Экспертное заключение № Декларация о соответствии
77.01.16.П.013945.09.11
от в области связи на DGS-
13.09.2011
1100-24V2
Экспертное заключение №
77.01.16.П.000256.01.12
от
18.01.2012
Цена
4464 руб.
8142 руб.
45
Для организации защиты от НСД так же следует внедрить средства
аутентификации такие как etoken. Ниже приведены etoken-ы удовлетворяющие нашим требованиям.
46
Таблица 3.6 – Сравнительная характеристика etoken-ов
Модель оборудо- Рутокен ЭЦП
JaCarta-PKI[26]
вания/характери- PKI [25]
SafeNet eToken
5110[27]
стика
Возможности
- Аутентифика-
- Строгая двух-
ция
факторная аутен- в домене
- Электронная
тификация поль-
Microsoft Active
подпись
зователей
Directory;
-аутентификация
- Безопасное хра- - Обеспечение
- аутентификация
нение ключевой
целостности и
в VDI (Microsoft,
информации
конфиденциаль-
Citrix, VMWare);
- Защита персо-
ности передавае-
- аутентификация
нальных данных
мых данных с по- при удалённом
- Корпоративное
мощью шифрова- доступе (Cisco,
использование
ния и ими-
Microsoft,
товставки
Juniper,
- Формирование
CheckPoint и др.);
и проверка уси-
- работа с ЭП, в
ленной квалифи-
том числе под-
цированной ЭП с держка ключей
неизвлекаемым
SafeNet eToken
ключом для при-
5110 в Крипто-
кладных систем
Про CSP;
- Безопасное хра- - работа с тоннение пользова-
кими клиентами
тельских данных
(Wyse, ТОНК).
и объектов
47
Продолжение таблицы 3.6 – Сравнительная характеристика etoken-ов
Операционные
Windows, Mac
Windows, Mac
Windows, Mac
системы
OS, Linux
OS, Linux
OS, Linux
Сертификаты
Сертификат на
Сертификат со-
Сертификат со-
ПАК «Рутокен»
ответствия
ответствия
№3753
ФСТЭК России
ФСТЭК России
ФСТЭК РФ от
№ 3449 от
№ 4285
30.05.2017 до
07.09.2015 до
от 11.08.2020 до
30.05.2025
07.09.2021
11.08.2025
1 519 руб
1 750 руб
1 747 руб
Цена
Анализируя таблицу, видим, что у устройства JaCarta-PKI самый широкий функционал, но срок действия сертификата заканчивается через 3 месяца.
Что касается Рутокен ЭЦП PKI 5110, то у него возможностей больше,
чем у SafeNet eToken 5110, но у второго значительно больше возможностей по
части аутентификации. Рутокен ЭЦП PKI выигрывает по части стоимости
всего на 228 рублей у SafeNet eToken 5110. По итогу анализа устройств выбираем SafeNet eToken 5110.
3.4 Организационные меры защиты информации
Для того, чтобы ввести конфиденциальную информацию предприятия
было разработано и утверждено положение о коммерческой тайне. В нем описывается:
- информация, составляющая коммерческую тайну;
- перечень должностных лиц, которые имеют доступ к сведениям;
- режим коммерческой тайны;
- обязанности сотрудников предприятия по обеспечению сохранности
информации, составляющей коммерческую тайну;
48
- обязанности сотрудников предприятия по обеспечению сохранности
информации, составляющей коммерческую тайну предприятия.
Положение
о коммерческой тайне
Положение о коммерческой тайне является локальным нормативным актом предприятия Х, разработанным на основе Федерального закона "О коммерческой тайне" от 29 июля 2004 г. № 98-ФЗ и Трудового кодекса РФ.
1. Общие положения
1.1. Настоящее положение разработано в целях обеспечения сохранности информации, составляющей коммерческую тайну предприятия.
1.2. Настоящее положение распространяется на всех сотрудников предприятия, ознакомленных с настоящим положением, а также на третьих лиц в
пределах, установленных законодательством Российской Федерации и настоящим положением.
Соблюдение настоящего положения является обязанностью всех сотрудников, имеющих доступ к информации, составляющей коммерческую
тайну предприятия.
2. Информация, составляющая коммерческую тайну
2.1. Перечень информации, составляющей коммерческую тайну предприятия, определен настоящим положением и может быть изменен или дополнен в порядке, установленном для изменения настоящего положения.
2.2. К информации, составляющей коммерческую тайну предприятия,
относятся следующие сведения:
- информация об условиях заключенных договоров и о потенциальных
сделках.
49
- бухгалтерские и финансовые сведения, кроме документов по установленным формам отчетности в случаях, установленных законодательством РФ.
2.3. В случае необходимости отнесения дополнительных видов информации к сведениям, составляющим коммерческую тайну предприятия, генеральный директор предприятия вправе издать приказ о придании информации
статуса информации, составляющей коммерческую тайну, с обязательным
ознакомлением с приказом сотрудников, имеющих доступ к указанной информации, и последующим внесением указанной информации в перечень, установленный настоящим положением.
3. Режим коммерческой тайны
3.1. Право на получение доступа к информации, составляющей коммерческую тайну, принадлежит сотрудникам предприятия в пределах их компетенции, о чем они предупреждаются под подпись и в порядке, установленном
настоящим положением, а также контрагентам в объеме, определенном соответствующим гражданско-правовым договором.
3.2. Перечень сотрудников, имеющих право доступа к информации, составляющей коммерческую тайну (далее – Перечень), определяется приказом
генерального директора на основании должностных обязанностей сотрудников и производственной необходимости. С указанным перечнем сотрудники
должны быть ознакомлены под подпись.
3.3. Если информация, составляющая коммерческую тайну, содержится
на материальном носителе (документе), на таких носителях проставляется
гриф «Коммерческая тайна» с указанием полного наименования и места
нахождения Общества. Если информация хранится в электронном виде (документы, таблицы и т.п.) в колонтитуле документа также делается надпись
«Коммерческая тайна» с указанием полного наименования и места нахождения предприятия. В электронные сообщения, отправляемые по электронной
почте, содержащие информацию, составляющую коммерческую тайну, в обя-
50
зательном порядке включается сообщение следующего содержания: «Это сообщение и все приложения к нему строго конфиденциальны и предназначены
исключительно для использования получателем (адресатом), указанным
выше. Использование информации, содержащейся в настоящем сообщении,
допускается с соблюдением требований законодательства Российской Федерации и соглашений о коммерческой тайне».
3.4. Лица, в установленном порядке получившие доступ к информации,
которая составляет коммерческую тайну, обязаны не предоставлять и не разглашать такую информацию в любой возможной форме (устной, письменной,
иной форме, в т. ч. с использованием технических средств) без согласия обладателя такой информации либо вопреки трудовому договору.
3.5. Сотрудникам предприятия запрещается выносить вышеуказанную
информацию за пределы офиса предприятия на бумажных, машиночитаемых
и иных носителях за исключением случаев, когда это необходимо в силу производственной необходимости для выполнения сотрудниками своих должностных обязанностей.
3.6. При работе с информацией, составляющей коммерческую тайну, сотрудникам предприятия следует соблюдать меры, предупреждающие и ограничивающие доступ к указанной информации не уполномоченных на ее получение лиц.
3.7. Нарушение данных обязанностей считается совершенным, когда
сведения, составляющие конфиденциальную информацию, стали известны лицам, которые не должны располагать такой информацией.
3.8. По разрешению руководящих органов и лиц предприятия, раскрытие конфиденциальной информации третьим лицам возможно в случае привлечения их к деятельности, требующей знания такой информации, и только в
том объеме, который необходим для реализации целей и задач предприятия, а
также при условии принятия ими на себя обязательства не разглашать полученные сведения.
51
4. Обязанности сотрудников предприятия по обеспечению сохранности
информации, составляющей коммерческую тайну
4.1. В целях охраны конфиденциальности информации сотрудники обязаны:
– выполнять установленный организацией в настоящем положении и
приказах (распоряжениях) организации режим коммерческой тайны;
– не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются организация и ее контрагенты, и без их согласия
не использовать эту информацию в личных целях в период работы в предприятии и после прекращения трудового договора;
– возместить причиненный организации ущерб, если сотрудник виновен
в разглашении информации, составляющей коммерческую тайну, ставшей ему
известной в связи с исполнением им трудовых обязанностей;
– передать организации при прекращении или расторжении трудового
договора имеющиеся в пользовании сотрудника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
4.2. Незаконное разглашение коммерческой тайны влечет за собой ответственность в соответствии с законодательством Российской Федерации.
5. Заключительные положения
5.1. Настоящее положение вступает в силу с момента его утверждения
генеральным директором предприятия.
5.2. Изменения и дополнения в настоящее положение могут быть внесены на основании приказа генерального директора предприятия.
Таблица 3.6 – Лист ознакомления
п/п
ФИО
Должность
Дата ознакомления
Подпись
52
3.5 Выводы по разделу
В данном разделе были выполнены следующие этапы
- Выбор технических средств физического доступа к защищаемой информации.
- Выбор средств защиты локальной сети предприятия
- Обеспечение организационных мер защиты информации
В данном разделе было проанализировано оборудование для проектирования защищенной локальной сети предприятия, в результате чего был выбран
С-Терра шлюз 2000, также был заменен старый коммутатор на новый с возможностью VLAN оn компании D-Link.
Так же были внедрены системы защиты от НСД в помещения и на АРМ
пользователей. Была внедрена система видеонаблюдения.
Было разработано и утверждено положение о коммерческой тайне.
53
4 Безопасность жизнедеятельности
4.1 Характеристика условий труда на рабочем месте
Обеспечение безопасной жизнедеятельности человека во многом зависит от правильной оценки опасных, вредных производственных факторов. На
человека могут действовать различные факторы, это могут быть большая физическая или умственная нагрузка, факторы производственной среды, нервное
перенапряжение и т.д.
Физические факторы, влияющие на работника:
‒ чрезмерная запыленность и загазованность воздуха;
‒ недостаточная освещенность рабочего места;
‒ превышающий допустимые нормы шум;
‒ повышенный уровень ионизации воздуха;
‒ повышенный уровень электромагнитного излучения;
‒ повышенный уровень статического электричества;
‒ опасность поражения электрическим током;
‒ блеклость экрана дисплея.
Психологические факторы включают в себя:
‒ интеллектуальное напряжение;
‒ эмоциональное напряжение;
‒ сенсорное напряжение;
‒ раздражение анализаторов зрения, слуха и т.д.;
Получить травмы довольное не сложное дело, их можно получить где
угодно, когда угодно и разной тяжести. В офисе также можно нанести вред
здоровью по разным причинам. Рабочие места могут быть неправильно оборудованы. На работника может влиять шум, работник может не заметить выдвинутый ящик или поскользнуться на мокром полу.
Факторами риска являются:
54
‒ работа с компьютерами, электрооборудованием;
‒ недостаточное освещение;
‒ психическое перенапряжение;
‒ шумы;
‒ плохая вентиляция;
‒ использование канцтоваров, офисной мебели, опасных веществ,
‒ беспорядок на рабочем месте;
‒ нарушение правил пожарной безопасности;
4.2 Требования по санитарно-гигиеническим параметрам рабочих мест
Требования к организации и оборудованию рабочих мест с ПЭВМ для
обучающихся в общеобразовательных учреждениях и учреждениях начального и высшего профессионального образования представлены в СанПиН
1.2.3685-21 «Гигиенические нормативы и требования к обеспечению безопасности и (или) безвредности для человека факторов среды обитания».
К санитарно-гигиеническим параметрам относятся элементы производственной среды, в которой протекает трудовой процесс: микроклимат, освещение, шум, вибрация и электромагнитные излучения (ЭМИ).
Требования к микроклимату, содержанию аэроионов и вредных химических веществ в воздухе на рабочих местах, оборудованных ПЭВМ
Оптимальные нормы микроклимата для помещений с ВДТ и ПК приведены в таблице 4.1.
55
Таблица 4.1 – Оптимальные нормы микроклимата для помещений с ВДТ и ПК
Период года
Холодный
Теплый
Категория работ
Температура
Относительная
воздуха ºС,
влажность
не более
воздуха, %
Легкая – 1а
22-24
Легкая – 1б
21-23
Легкая – 1а
23-25
Легкая – 1б
22-24
Скорость
движения
воздуха,
м/с
0,1
40 – 60
0,1
0,1
0,2
К категории 1а относятся работы, производимые сидя и не требующие физического напряжения, при которых расход энергии составляет до120
ккал/ч; к категории 1б относятся работы, производимые сидя, стоя или связанные с ходьбой и сопровождающиеся некоторым физическим напряжением,
при которых расход энергии составляет от 120 до 150 ккал/ч.
Требования к уровням шума и вибрации на рабочих местах, оборудованных ПЭВМ.
При выполнении работ с использованием ПЭВМ в производственных
помещениях уровень вибрации не должен превышать допустимых значений
вибрации для рабочих мест (категория 3, тип «в») в соответствии с действующими санитарно-эпидемиологическими нормативами. В помещениях всех типов образовательных и культурно-развлекательных учреждений, в которых
эксплуатируются ПЭВМ, уровень вибрации не должен превышать допустимых значений для жилых и общественных зданий в соответствии с действующими санитарно-эпидемиологическими нормативами.
В таблице 2.2 представлены допустимые значения уровней звукового
давления в октавных полосах частот и уровня звука, создаваемого ПЭВМ.
56
Таблица 4.2 – Допустимые значения уровней звукового давления в октавных
полосах частот и уровня звука, создаваемого ПЭВМ
Уровни звукового давления в октавных полосах со средне-
Уровни звука
геометрическими частотами
в дБА
31,5
63
125
250
500
1000
2000
4000
8000
Гц
Гц
Гц
Гц
Гц
Гц
Гц
Гц
Гц
86
71
61
54
49
45
42
40
38
дБ
дБ
дБ
дБ
дБ
дБ
дБ
дБ
дБ
50
Требования к освещению на рабочих местах, оборудованных ПЭВМ
Рабочие столы следует размещать так, чтобы видео дисплейные терминалы были ориентированы боковой стороной к световым проемам, а естественный свет падал преимущественно слева. Искусственное освещение в помещениях для эксплуатации ПЭВМ должно осуществляться системой общего
равномерного освещения. Освещенность на поверхности стола в зоне размещения рабочего документа должна быть 300 - 500 лк. Освещение не должно
создавать бликов на поверхности экрана. Освещенность поверхности экрана
не должна быть более 300 лк.
Показатель дискомфорта в административно-общественных помещениях должен быть не более 40, в дошкольных и учебных помещениях не более
15 .
Искусственное освещение в помещениях эксплуатации компьютеров
должно осуществляться системой общего равномерного освещения.
Освещенность на поверхности стола в зоне размещения документа
должна быть 300-500 лк. Допускается установка светильников местного освещения для подсветки документов. Местное освещение не должно создавать
бликов на поверхности экрана и увеличивать освещенность экрана более 300
лк. Прямую блескость от источников освещения следует ограничить. Яркость
57
светящихся поверхностей (окна, светильники), находящихся в поле зрения,
должна быть не более 200 кд/м2.
Отраженная блескость на рабочих поверхностях ограничивается за счет
правильного выбора светильника и расположения рабочих мест по отношению
к естественному источнику света. Яркость бликов на экране монитора не
должна превышать 40 кд/м2. Показатель ослабленности для источников общего искусственного освещения в помещениях должен быть не более 20, показатель дискомфорта в административно-общественных помещениях не более 40. Соотношение яркости между рабочими поверхностями не должно превышать 3:1 — 5:1, а между рабочими поверхностями и поверхностями стен и
оборудования 10:1.
Для искусственного освещения помещений с персональными компьютерами следует применять светильники типа ЛПО36 с зеркализованными решетками, укомплектованные высокочастотными пускорегулирующими аппаратами. Допускается применять светильники прямого света, преимущественно
отраженного света типа ЛПО13, ЛПО5, ЛСО4, ЛПО34, ЛПО31 с люминесцентными лампами типа ЛБ. Допускается применение светильников местного
освещения с лампами накаливания. Светильники должны располагаться в виде
сплошных или прерывистых линий сбоку от рабочих мест параллельно линии
зрения пользователя при разном расположении компьютеров. При расположении по периметру — линии светильников должны располагаться локализовано
над рабочим столом ближе к его переднему краю, обращенному к оператору.
Защитный угол светильников должен быть не менее 40 градусов. Светильники
местного освещения должны иметь не просвечивающийся отражатель с защитным углом не менее 40 градусов.
Для обеспечения нормативных значений освещенности в помещениях
следует проводить чистку стекол оконных проемов и светильников не реже
двух раз в год и проводить своевременную замену перегоревших ламп.
58
Для обеспечения нормируемых значений освещенности в помещениях
для использования ПЭВМ необходимо проводить чистку стекол оконных рам
и светильников не реже двух раз в год и проводить своевременную замену перегоревших ламп.
Требования к уровням электромагнитных полей на рабочих местах, оборудованных ПЭВМ
В таблице 4.3 представлены временные допустимые уровни ЭМП, создаваемых ПЭВМ на рабочих местах.
Таблица 4.3 – Временные допустимые уровни ЭМП, создаваемых ПЭВМ
на рабочих местах
Наименование параметров
ВДУ
Напряженность
в диапазоне частот 5 Гц - 2 кГц
25 В/м
электрического поля
в диапазоне частот 2 кГц - 400 кГц
2,5 В/м
Плотность магнитного
в диапазоне частот 5 Гц - 2 кГц
250 нТл
Потока
в диапазоне частот 2 кГц - 400 кГц
25 нТл
Напряженность электростатического поля
15 кВ/м
4.3 Режим труда и отдыха
При работе с ПК необходимо соблюдать режим труда и отдыха в зависимости от вида и категории трудовой деятельности, во избежание накопления
усталости при неподвижной работе и постоянном напряжении глаз.
Виды трудовой деятельности разделяются на 3 группы:
‒ группа А – работа по считыванию информации с экрана дисплея;
‒ группа Б – работа по вводу информации;
‒ группа В – творческая работа в режиме диалога с ПК. Для каждого
вида устанавливается три категории тяжести и напряженности работы с ПК,
которые определяются: для группы А - по суммарному числу считываемых
59
знаков за рабочую смену, но не более 60 000 знаков за смену; для группы Б –
по суммарному числу считываемых или вводимых знаков за рабочую смену,
но не более 40 000 знаков за смену; для группы В - по суммарному времени
непосредственной работы с ВДТ и ПЭВМ за рабочую смену, но не более 6
часов за смену.
Для каждой категории устанавливаются свои нормы на уровень
нагрузки время перерывов (Таблица 4.4).
В случаях, когда характер работы требует постоянного взаимодействия
сВДТ (набор текстов или ввод данных и т. п.) с напряжением внимания и сосредоточенности, при исключении возможности периодического переключения на другие виды трудовой деятельности, не связанные с ПЭВМ, рекомендуется организация перерывов на 10— 15 мин через каждые 45— 60 мин работы. Продолжительность непрерывной работы с ВДТ без регламентированного перерыва не должна превышать 1 час.
Таблица 4.4 Суммарное время регламентированных перерывов
Категория Уровень нагрузки за рабочую смену
Суммарное время
работы с
регламентированных
при видах работ с ПЭВМ
ПЭВМ
перерывов, минут
группа А,
группа Б,
группа В,
при 8-
при 12-
кол-во
кол-во
часов
часовой
часовой
знаков
знаков
смене
смене
1
до 20000
до 15000
до 2
50
80
2
до 40000
до 30000
до 4
70
110
3
до 60000
до 40000
до 6
90
140
При работе с ПЭВМ в ночную смену (с 22 до 6 ч), независимо от категории и вида трудовой деятельности, продолжительность регламентированных
перерывов следует увеличивать на 30 %.
60
Во время регламентированных перерывов с целью снижения нервно
эмоционального напряжения, утомления зрительного анализатора, устранения
влияния гиподинамии и гипокинезии, предотвращения развития посттонического утомления целесообразно выполнять комплексы упражнений.
4.4 Пожарная безопасность
Согласно Постановление Правительства РФ от 16 сентября 2020 г. №
1479 "Об утверждении Правил противопожарного режима в Российской Федерации".
Каждый сотрудник (работник) независимо от занимаемой должности
обязан знать и строго выполнять правила пожарной безопасности, не допускать действий, которые могут привести к пожару. Основные причины пожаров
на предприятиях - неосторожное обращение с огнем, оставленные без присмотра электроприборы, проведение с нарушениями требований правил пожарной безопасности огневых, строительных и других пожароопасных работ,
курение в не установленных местах, использование легко воспламеняемых веществ, нарушение технологий и т. п.
Помещения должны содержаться в чистоте. Горючие отходы, мусор
необходимо ежедневно удалять в контейнеры на специально выделенные площадки. Коридоры, лестничные клетки, двери эвакуационных выходов, подходы к средствам тушения всегда должны быть свободны и ничем не загромождены.
На объектах защиты запрещается:
а) хранить и применять на чердаках, в подвальных, цокольных и подземных этажах, а также под свайным пространством зданий легковоспламеняющиеся и горючие жидкости, порох, взрывчатые вещества, пиротехнические изделия, баллоны с горючими газами, товары в аэрозольной упаковке, отходы
61
любых классов опасности и другие пожаровзрывоопасные вещества и материалы;
б) использовать чердаки, технические, подвальные и цокольные этажи,
подполья, вентиляционные камеры и другие технические помещения для организации производственных участков, мастерских, а также для хранения продукции, оборудования, мебели и других предметов;
в) размещать и эксплуатировать в лифтовых холлах кладовые, киоски,
ларьки и другие подобные помещения, а также хранить горючие материалы;
г) устанавливать глухие решетки на окнах и приямках у окон подвалов,
являющихся аварийными выходами, за исключением случаев, специально
предусмотренных в нормативных правовых актах Российской Федерации и
нормативных документах по пожарной безопасности;
д) снимать предусмотренные проектной документацией двери эвакуационных выходов из поэтажных коридоров, холлов, фойе, вестибюлей, тамбуров, тамбур-шлюзов и лестничных клеток, а также другие двери, препятствующие распространению опасных факторов пожара на путях эвакуации;
е) проводить изменение объемно-планировочных решений и размещение инженерных коммуникаций и оборудования, в результате которых ограничивается доступ к огнетушителям, пожарным кранам и другим средствам
обеспечения пожарной безопасности и пожаротушения или уменьшается зона
действия систем противопожарной защиты (автоматической пожарной сигнализации, автоматических установок пожаротушения, противодымной защиты,
оповещения и управления эвакуацией людей при пожаре, внутреннего противопожарного водопровода);
ж) размещать мебель, оборудование и другие предметы на путях эвакуации, у дверей эвакуационных выходов, люков на балконах и лоджиях, в переходах между секциями и местах выходов на наружные эвакуационные лестницы, кровлю, покрытие, а также демонтировать межбалконные лестницы, заваривать люки на балконах и лоджиях квартир;
62
з) проводить уборку помещений и чистку одежды с применением бензина, керосина и других легковоспламеняющихся и горючих жидкостей, а
также производить отогревание замерзших коммуникаций, транспортирующих или содержащих в себе горючие вещества и материалы, с применением
открытого огня (костры, газовые горелки, паяльные лампы, примусы, факелы,
свечи);
и) закрывать жалюзи, остеклять балконы (открытые переходы наружных
воздушных зон), лоджии и галереи, ведущие к незадымляемым лестничным
клеткам;
к) устраивать на лестничных клетках кладовые и другие подсобные помещения, а также хранить под лестничными маршами и на лестничных площадках вещи, мебель, оборудование и другие горючие материалы;
л) устраивать в производственных и складских помещениях зданий
(кроме зданий V степени огнестойкости) для организации рабочих мест антресоли, конторки и другие встроенные помещения с ограждающими конструкциями из горючих материалов;
м) размещать на лестничных клетках, в поэтажных коридорах, а также
на открытых переходах наружных воздушных зон незадымляемых лестничных клеток внешние блоки кондиционеров;
н) эксплуатировать после изменения класса функциональной пожарной
опасности здания, сооружения, пожарные отсеки и части здания, а также помещения, не отвечающие нормативным документам по пожарной безопасности в соответствии с новым классом функциональной пожарной опасности;
о) проводить изменения, связанные с устройством систем противопожарной защиты, без разработки проектной документации, выполненной в соответствии с действующими на момент таких изменений нормативными документами по пожарной безопасности.
63
По окончании работы необходимо обесточить все электроприборы и
осмотреть помещения на наличие признаков возгорания. При наличии в помещении выделенной сети электропитания для ЭВМ, необходимо выключить автомат питания в распределительном щите.
Руководители организаций:
а) обеспечивают содержание наружных пожарных лестниц, наружных
открытых лестниц, предназначенных для эвакуации людей из зданий и сооружений при пожаре, а также ограждений на крышах (покрытиях) зданий и сооружений в исправном состоянии, их очистку от снега и наледи в зимнее
время;
б) организуют не реже 1 раза в 5 лет проведение эксплуатационных испытаний пожарных лестниц, наружных открытых лестниц, предназначенных
для эвакуации людей из зданий и сооружений при пожаре, ограждений на крышах с составлением соответствующего протокола испытаний и внесением информации в журнал эксплуатации систем противопожарной защиты.
Руководитель организации обеспечивает объект защиты первичными
средствами пожаротушения (огнетушителями) по нормам согласно разделу
XIX настоящих Правил и приложениям № 1 и 2, а также обеспечивает соблюдение сроков их перезарядки, освидетельствования и своевременной замены,
указанных в паспорте огнетушителя.
Учет наличия, периодичности осмотра и сроков перезарядки огнетушителей ведется в журнале эксплуатации систем противопожарной защиты. При
пожаре поднести огнетушитель к очагу загорания, выдернуть чеку, нажать на
рычаг, направить шланг с распылителем на огонь.
Действия при пожаре:
При обнаружении пожара или признаков горения в здании, помещении
(задымление, запах гари, повышение температуры воздуха и др.) должност-
64
ным лицам, индивидуальным предпринимателям, гражданам Российской Федерации, иностранным гражданам, лицам без гражданства (далее - физические
лица) необходимо:
- немедленно сообщить об этом по телефону в пожарную охрану с указанием наименования объекта защиты, адреса места его расположения, места
возникновения пожара, а также фамилии сообщающего информацию;
- принять меры по эвакуации людей, а при условии отсутствия угрозы
жизни и здоровью людей меры по тушению пожара в начальной стадии.
Сообщение продублировать директору, работнику службы безопасности, руководителю отдела и приступить к тушению пожара огнетушителями,
подручными средствами.
Подготовить к эвакуации материальные ценности, документацию.
Слушать распоряжения руководителя отдела, организованно покинуть
здание.
Рассмотреть вариант эвакуации через запасные выходы, пожарную лестницу, соседние помещения. Организовать встречу подразделений пожарной
охраны.
При невозможности покинуть здание (задымление, высокая температура) плотно закрыть дверь помещения, уплотнить тканью щели, вентиляционные отверстия, открыть окно и ждать пожарных. Следует запомнить, что
при задымлении над полом воздух более чист. Это может пригодиться при эвакуации и ожидании помощи.
65
Заключение
Целью работы являлось проектирование комплексной системы защиты
предприятия. В процессе проектирования были решены следующие задачи:
‒ Анализ защищаемой информации и состояния системы информационной безопасности предприятии «Х» на данный момент
‒ Оценка угроз безопасности информации
‒ Проектирование комплексной системы защиты
Проанализировав защищаемую информацию, локальную сеть предприятия и систему физического доступа было выявлено, что необходимо обеспечить ее дополнительной защитой.
Проведя оценку угроз безопасности информации, были выделены актуальные нарушители и угрозы для предприятия.
В результате анализа и оценки угроз было решено:
- внедрить системы защиты от НСД в помещения и на АРМ пользователей;
- внедрить систему видеонаблюдения;
- внедрить криптошлюз и заменить коммутатор на новый с поддержкой
VLAN.
Также была внесена конфиденциальная информация как коммерческая
тайна, в результате чего было разработано положение о коммерческой тайне.
66
Список литературы
1 ГОСТ Р 50922-2006 Защита информации. Основные термины и определения– Введ. 1997-07-01. – М.: Госстандарт России, 1996. – 17 с. (дата обращения: 04.04.2021);
2 Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении
Состава и содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных системах персональных данных». [Электронный ресурс]//ФСТЭК России. Федеральная служба по техническому и экспертному контролю – URL:
https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691
(дата
обращения:
10.12.2019)
3 1С:Документооборот 8 [Электронный ресурс] // 1С Предприятие 8.
Система программ – URL: https://v8.1c.ru/doc8/ (дата обращения: 10.12.2019)
4 1С:Бухгалтерия 8 [Электронный ресурс] // 1С Предприятие 8. Система программ – URL: https://v8.1c.ru/buhv8/
5 1С:CRM Стандарт. 2.0 [Электронный ресурс] // Отраслевые и специализированные решения – URL: https://solutions.1c.ru/catalog/crm-standart
6 Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ
«О персональных данных». [Электронный ресурс] //
http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата общения:
13.04.2021);
7 Постановление Правительства Российской Федерации от 01.11.2012
№1119 «Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных» [Электронный
ресурс]//URL:http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n
=137356&fld=134&dst=1000000001,0&rnd=0.3173993423701075#06624584187
566281 (дата обращения 15.04.2021)
67
8 Федеральный закон Российской Федерации от 29.07.2004 № 98-ФЗ
«О коммерческой тайне». [Электронный ресурс] //
http://www.consultant.ru/document/cons_doc_LAW_48699/ (дата обращения:
18.04.2021)
9 Методический документ. Утвержден ФСТЭК России 5 февраля 2021
г. [Электронный ресурс]// https://fstec.ru/component/attachments/download/2919
(дата обращения: 21.04.2021)
10 Банк данных угроз безопасности информации [Электронный ресурс]
// Федеральная служба по техническому и экспортному контролю – URL:
https://bdu.fstec.ru/threat (дата обращения: 25.04.2021)
11Электронная накладка на дверной замок стандарта DIN с питанием
от батареек [Электронный ресурс] // ironLogic – URL:
https://ironlogic.ru/il.nsf/htm/ru_eurolockeht (дата обращения: 30.04.2021)
12 Электронный/умный замок на дверь с питанием от батареек [Электронный ресурс] // ironLogic – URL: https://ironlogic.ru/il.nsf/htm/ru_z8eht/
(дата обращения: 30.04.2021)
13 Электронный замок IS700-S [Электронный ресурс] // iLock электронные замки– URL: https://ilocks.ru/catalog/dlya-otelya/elektronnyy-zamokis700-s/ (дата обращения: 30.04.2021)
14 PST IP302PM [Электронный ресурс] // RusMarta.ru/– URL:
https://rusmarta.ru/market/videonablyudenie/kamery-videonablyudeniya/ipkamery/kamery-1-mp/kupolnaya-ip-2mp-1080p-videokamera-c-poe-imikrofonom-pst-ipc301cpm/ (дата обращения: 6.05.2021)
15 ORIENT IP-940-MH2BP MIC [Электронный ресурс] // Orient – URL:
https://orientrus.ru/shop/camera/MM_CAMERA_IP-940-MH2BP_MIC/3044
(дата обращения: 6.05.2021)
16 UNIVIEW IPC322LR-MLP40-RU [Электронный ресурс] // ON COM
– URL: https://on-com.ru/uniview-ipc322lr-mlp40-ru (дата обращения:
6.05.2021)
68
17 TL-SF1005LP [Электронный ресурс] // TP-link Бизнес – URL:
https://www.tp-link.com/ru/business-networking/poe-switch/tl-sf1005lp/ (дата обращения: 6.05.2021)
18 Wi-Tek WI-PS205 (v2) [Электронный ресурс] // IP.Matika– URL:
https://ipmatika.ru/products/fe/wi-tek-wi-ps205-v2/ (дата обращения: 10.05.2021)
19 DES-1005P [Электронный ресурс] // D-link– URL:
https://www.dlink.ru/ru/products/1/2336.html (дата обращения: 10.05.2021)
20С-Терра Шлюз 4.2 [Электронный ресурс] // s-terra ваш центр в мире
безопасности – URL: https://www.s-terra.ru/products/catalog/s-terra-shlyuz-4-2/
(дата обращения: 15.05.2021)
21АПКШ «Континент 3.9» IPC-50 [Электронный ресурс] // Open Vision
technology of detail – URL: https://www.openvision.ru/catalog/security/firewalls/apks-continent-3-9-ipc-50-zxc/ (дата обращения: 15.05.2021)
22 Модельный ряд ALTELL NEO [Электронный ресурс] // Altell IT innovation and Security– URL: https://www.altell.ru/products/neo/models/ (дата
обращения: 15.05.2021)
23 DGS-1024D [Электронный ресурс] // D-link – URL:
https://dlink.ru/ru/products/1/2489.html/ (дата обращения: 16.05.2021)
24 DGS-1100-24 [Электронный ресурс] // D-link – URL:
https://dlink.ru/ru/products/1/2073.html / (дата обращения: 16.05.2021)
25 Рутокен ЭЦП PKI [Электронный ресурс] // Рутокен – URL:
https://www.rutoken.ru/products/all/rutoken-ecp-pki/#certify/ (дата обращения:
20.05.2021)
26 JaCarta PKI [Электронный ресурс] // Аладин– URL:
https://www.aladdin-rd.ru/catalog/jacarta_pki/ (дата обращения: 20.05.2021)
27 SafeNet eToken 5110 [Электронный ресурс] // КриптоПро ключевое
слово в защите информации – URL: https://v8.1c.ru/doc8/ (дата обращения:
20.05.2021)
69
Приложение А
Схема локальной сети предприятия
На рисунке А.1 представлена схема локальной сети предприятия.
70
Приложение Б
Инструкция пользователя ИСПДн
УТВЕРЖДАЮ
____________ (фамилия и инициалы)
«___» ______________ 201_ г.
ИНСТРУКЦИЯ № ____
пользователя ИСПДн _____________________________ по работе с ПДн
Общие положения
1.1. Сотрудники
__________________________________________________________________
______________________________(далее–_____________________________),
участвующие в обработке персональных данных (далее – ПДн) в информационных системах персональных данных (далее по тексту – Пользователи), осуществляют обработку персональных данных в информационной системе персональных данных.
1.2. Пользователем
является
каждый
сотрудник
_____________________________, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению,
данным и средствам защиты.
1.3. Пользователь несёт персональную ответственность за свои действия.
1.4. Пользователь в своей работе руководствуется должностными инструкциями и организационно-распорядительными документами (далее –
ОРД), в том числе утверждёнными в _____________________________ в рамках обеспечения информационной безопасности ИСПДн.
1.5. Методическое руководство работой Пользователя осуществляется,
ответственным
за
обеспечение
безопасности
ПДн
в
_____________________________.
2. Обязанности Пользователя
2.1. Пользователь обязан соблюдать порядок обеспечения конфиденциальности при обращении с информацией, содержащей ПДн, ставшей ему
известной (или доступной для обработки) в процессе работы. Свои обязательства по сохранению конфиденциальности при обращении с информацией, содержащей ПДн, он подтверждает при заключении трудового договора (контракта), подписывая «Соглашение (обязательство) об обеспечении конфиденциальности при обращении с информацией, содержащей персональные данные» или данные требования описаны в должностных регламентах Пользователей.
71
2.2. Пользователь обязан знать и выполнять требования действующих
нормативных и руководящих документов в области защиты ПДн, а также
внутренних инструкций, руководства по защите информации и распоряжений,
регламентирующих порядок действий по защите сведений, отнесённых к категории «Персональные данные».
2.3. Пользователь должен выполнять на автоматизированном рабочем
месте (далее – АРМ) только те процедуры, которые определены для него в
«Положении о разграничении прав доступа к обрабатываемым персональным
данным».
2.4. Пользователь должен знать и соблюдать установленные требования по режиму обработки ПДн, учёту, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов.
2.5. Пользователь должен соблюдать требования парольной политики,
представленной в «Инструкции по организации парольной защиты».
2.6. Экран монитора в помещении Пользователя, где обрабатываются
ПДн, Пользователь должен располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на
нём информацией посторонними лицами.
2.7. Обо всех выявленных нарушениях, связанных с информационной
безопасностью ПДн, обрабатываемых в ИСПДн, а также для консультаций по
вопросам обеспечения безопасности ПДн Пользователь должен обращаться к
ответственному за обеспечение безопасности персональных данных информационных систем персональных данных _____________________________ (далее – Ответственный).
2.8. Для получения консультаций по вопросам работы и настройке элементов ИСПДн Пользователю необходимо обращаться к Администратору системы.
2.9. Пользователям запрещается:
- Разглашать защищаемую информацию третьим лицам.
- Копировать защищаемую информацию на внешние носители без разрешения своего руководителя.
- Самостоятельно устанавливать, тиражировать, или модифицировать
программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств.
- Несанкционированно открывать общий доступ к папкам на своей рабочей станции.
- Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства.
- Отключать (блокировать) средства защиты информации.
- Обрабатывать на АРМ информацию и выполнять другие работы, не
предусмотренные перечнем прав пользователя по доступу к ИСПДн.
- Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн.
72
- Привлекать посторонних лиц для производства ремонта или настройки
АРМ, без согласования с ответственным за обеспечение защиты персональных
данных.
- Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий в
пределах возложенных на него функций.
- использовать на АРМ, входящих в состав ИСПДн и обрабатывающих
ПДн, коммуникационные сервисы сторонних лиц (провайдеров) (ICQ, Skype и
иных сервисов).
- запрещается на АРМ, входящих в состав ИСПДн и обрабатывающих
ПДн, использование сторонних технологий передачи речи, кроме сервера обработки вызовов Call-центра и АРМ сотрудников, осуществляющих прием телефонных звонков.
- запрещается на АРМ, входящих в состав ИСПДн и обрабатывающих
ПДн, использование технологий передачи видеоинформации.
3. Ответственность пользователя
Пользователь несет персональную ответственность за невыполнение
требований настоящей Инструкции.
3.1. Согласно статьи 90 Трудового кодекса Российской федерации
«Ответственность за нарушение норм, регулирующих обработку и защиту
персональных данных работника»: лица, виновные в нарушении положений
законодательства Российской Федерации в области персональных данных при
обработке персональных данных работника, привлекаются к дисциплинарной
и материальной ответственности в порядке, установленном Трудовым Кодексом и иными федеральными законами, а также привлекаются к гражданскоправовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
3.2. Незаконное собирание или распространение сведений о частной
жизни лица, составляющих его личную или семейную тайну, без его согласия
либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации и (или)
совершенные лицом с использованием своего служебного положения подпадает под действие статьи 137 Уголовного кодекса Российской Федерации
«Нарушение неприкосновенности частной жизни».
3.3. Отказ в предоставлении гражданину информации. Неправомерный отказ должностного лица в предоставлении собранных в установленном
порядке документов и материалов, непосредственно затрагивающих права и
свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан подпадает под действие статьи 140.
3.4. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации подпадает под действие
73
статьи 272 Уголовного кодекса Российской Федерации «Неправомерный доступ к компьютерной информации».
74
Приложение В
Должностная инструкция
ответственного за организацию обработки персональных данных
УТВЕРЖДАЮ
____________ (фамилия и инициалы)
«___» ______________ 202_ г.
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ № ____
ответственного за организацию обработки персональных данных
1. Общие положения
2.1. Настоящая должностная инструкция (далее – Инструкция) определяет ответственность, права и обязанности ответственного за организацию обработки персональных данных (далее – Ответственного) в Предприятии Х (далее – __________________).
2.2. Настоящая инструкция разработана в соответствии со статьями
18.1, 22, 22.1 и 24 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и с пунктом 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21
марта 2012 г. № 211.
2.3. Ответственный назначается на должность из числа штатных сотрудников __________________ приказом ____________.
2.4. По вопросам обработки и защиты персональных данных Ответственный подчиняется непосредственно _____________ __________________.
2.5. На время отсутствия Ответственного (отпуск, болезнь, пр.) его
обязанности исполняет лицо, назначенное в установленном порядке, которое
приобретает соответствующие права и несет ответственность за надлежащее
исполнение возложенных на него обязанностей.
2.6. Ответственный в своей работе руководствуется настоящей Инструкцией, Концепцией информационной безопасности, Политикой
информационной безопасности, другими регламентирующими документами,
руководящими и нормативными документами регуляторов Российской Федерации в области обеспечения безопасности персональных данных.
75
2. Должностные обязанности
Ответственный должен:
2.1. Соблюдать требования законодательства Российской Федерации о
персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных данных и других нормативных документов __________________ в области обработки и защиты персональных
данных.
2.2. Доводить до сведения сотрудников __________________ положения законодательства Российской Федерации о персональных данных, Правил
обработки персональных данных и других нормативных документов
__________________ по вопросам обработки и требований к защите персональных данных.
2.3. Проводить инструктажи и занятия по изучению правовой базы по
защите персональных данных с сотрудниками __________________, имеющими доступ к персональным данным, и вести Журнал проведения инструктажей по информационной безопасности.
2.4. Оказывать консультационную помощь сотрудникам по применению средств защиты персональных данных.
2.5. Осуществлять контроль соблюдения в __________________ законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, и Правил обработки персональных
данных согласно Правилам осуществления внутреннего контроля
соответствия обработки персональных данных требованиям к защите
персональных данных
2.6. Проводить регулярные внутренние проверки, согласно Плану
внутренних проверок контроля соответствия обработки персональных данных
требованиям к защите персональных данных.
2.7. Участвовать в проведении расследований случаев несанкционированного доступа к персональным данным и других нарушений Правил обработки персональных данных.
2.8. Составлять и предлагать на утверждение директору
__________________ перечень лиц и объема их полномочий, которым разрешен доступ к персональным данным.
2.9. Не допускать к работе с персональными данными лиц, не обладающих для этого соответствующими правами.
2.10. Осуществлять регистрацию обращений и запросов субъектов персональных данных или их представителей в Журнале учёта обращений субъектов персональных данных о выполнении их законных прав при обработке
персональных данных о выполнении их законных прав.
2.11. Осуществлять методическое руководство работой администраторов безопасности и администраторов информационных систем персональных
данных в области защиты персональных данных.
76
2.12. Предлагать руководству мероприятия по совершенствованию работы по защите персональных данных.
3. Права
Ответственный имеет право.
3.1 Требовать от сотрудников __________________ соблюдения законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, Правил обработки персональных
данных и других нормативных документов в области обработки и защиты персональных данных.
3.2 Запрещать сотрудникам __________________ доступ к персональным данным с целью предотвращения несанкционированного доступа к охраняемой информации.
3.3 Проводить расследование по случаям несанкционированного доступа к персональным данным и другим случаям нарушения режима обработки персональных данных.
3.4 Вносить предложения по применению дисциплинарных взысканий к сотрудникам __________________, нарушившим требования Правил обработки персональных данных и других нормативных документов в области
обработки и защиты персональных данных.
3.5 Знакомиться с проектными решениями руководства, касающимися его деятельности.
3.6 Вносить предложения по совершенствованию работы, связанной с
предусмотренными настоящей инструкцией обязанностями.
3.7 В пределах своей компетенции сообщать директору
__________________ о недостатках, выявленных в процессе исполнения должностных обязанностей, и вносить предложения по их устранению.
3.8 Требовать от директора __________________ оказания содействия
в исполнении своих должностных обязанностей и прав.
3.9 Привлекать с разрешения директора __________________ сотрудников всех структурных подразделений к решению задач, возложенных на
него.
3.10 Запрашивать лично или через директора __________________ информацию и документы, необходимые для выполнения своих должностных
обязанностей.
4 Ответственность
Ответственный за организацию обработки персональных данных несет
ответственность:
4.1 За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей инструкцией, в пределах,
определенных действующим трудовым законодательством Российской Федерации.
77
4.2 За правонарушения, совершенные в процессе осуществления
своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.
4.3 За причинение материального ущерба – в пределах, определенных
действующим трудовым и гражданским законодательством Российской Федерации.
5 Порядок пересмотра должностной инструкции
5.1 Настоящая Инструкция пересматривается, изменяется и дополняется по мере необходимости, но не реже одного раза в пять лет.
5.2 С приказом о внесении изменений (дополнений) в настоящую Инструкцию знакомятся под расписку все сотрудники, на которых распространяется действие этой инструкции.
№
п/п
ФИО
Должность
Дата
ознакомления
Подпись
1.
78
Приложение В
Инструкция
по организации антивирусной защиты в информационных системах
персональных данных
УТВЕРЖДАЮ
____________ (фамилия и инициалы)
«___» ______________ 202_ г.
ИНСТРУКЦИЯ № ____
по организации антивирусной защиты в информационных системах персональных данных
1. Общие положения
2.1. Настоящая инструкция разработана в целях защиты персональных
данных (далее – ПДн) в информационных системах персональных данных (далее
–
ИСПДн)
в
_____________________________________________________________ (далее
– ______________________) от несанкционированного копирования, модификации и уничтожения под действием вирусов и другого вредоносного программного обеспечения (далее – ПО).
2.2. Настоящая инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.
2.3. Пользователем ИСПДн (далее – Пользователь) является
сотрудник ______________________, участвующий в рамках выполнения
своих функциональных обязанностей в процессах автоматизированной
обработки ПДн и имеющий доступ к аппаратным средствам, ПО, данным и
средствам защиты информации ИСПДн (далее – СЗИ).
2.4. Организация антивирусной защиты в ИСПДн при обработке ПДн
Пользователями в ИСПДн осуществляется ответственный за обеспечение
безопасности персональных данных в ______________________.
2.5. Контроль над работой Пользователя по применению на автоматизированных рабочих местах (далее – АРМ) ИСПДн антивирусной защиты осуществляет ответственный за обеспечение безопасности персональных данных
информационной системы персональных данных в ______________________.
79
2. Организация антивирусной защиты
2.1. К применению на АРМ и серверах ИСПДн допускается только
лицензионные и сертифицированные ФСТЭК России антивирусные средства.
2.2. К настройке системы антивирусной защиты допускаются только,
уполномоченные
сотрудники,
утвержденные
руководством
______________________.
2.3. Пользователям запрещено вмешиваться в работу системы антивирусной защиты.
2.4. Обо всех неисправностях или неполадках пользователь обязан сообщить ответственному за обеспечение безопасности персональных данных
информационных систем персональных данных ______________________.
2.5. На АРМ ИСПДн запрещается установка ПО, не связанного с
выполнением функций, предусмотренных технологическим процессом
обработки информации.
2.6. Пользователь при работе со съёмными носителями информации
обязан перед началом работы провести их проверку средствами антивирусной
защиты на предмет отсутствия компьютерных вирусов и вредоносных программ.
2.7. Все факты модификации и разрушения данных на серверах или
АРМ ИСПДн, а также заражение их вирусами или вредоносным ПО, должны
анализироваться ответственным за обеспечение безопасности персональных
данных в ______________________.
2.8. Ответственный за обеспечение безопасности персональных данных в ______________________ осуществляет полную проверку жесткого
диска АРМ и северов ИСПДн и съемных носителей на наличие вирусов и вредоносного ПО не реже 1 раза в месяц.
2.9. Установка пакетов обновлений вирусных баз осуществляется автоматически через централизованный сервер администрирования Администрации Смоленской области не реже 1 раза в 6 часов.
2.10. Настройки антивирусного ПО определяется политиками централизованного сервера администрирования, и применяются с помощью «Агента
администрирования», установленного на АРМ и серверах ИСПДн.
2.11. Антивирусное ПО должно запускаться автоматически при старте
операционной системы АРМ и серверов ИСПДн и функционировать до завершения работы операционной системы.
2.12. На АРМ и серверах ИСПДн должно быть предусмотрен запрет
пользователям на блокировку и выгрузку антивирусного ПО.
3. Действия при обнаружении вирусов
3.1 Пользователи при обнаружении или появления подозрений на
наличие компьютерных вирусов или вредоносного ПО обязаны немедленно
прекратить какие-либо действия на АРМ ИСПДн и провести лечение
зараженных файлов путем выбора соответствующего пункта меню
80
антивирусной программы и затем провести повторный антивирусный
контроль.
3.2 В случае обнаружения на съёмных носителях информации нового
вируса или вредоносного ПО, не поддающегося лечению, пользователь обязан
прекратить их использование.
3.3 В случае обнаружения на АРМ ИСПДн не поддающегося лечению
вируса или вредоносного ПО, Пользователь обязан поставить в известность
ответственного за обеспечение безопасности персоналлбных данных в
______________________ и, прекратить работу на АРМ и в возможно короткие
сроки принять необходимые меры к устранению вируса (обновить пакет
антивирусных программ и т.п.).
4 Ответственность
4.1 Пользователь несет персональную ответственность за осуществление регламента использования на АРМ ИСПДн антивирусных средств.
81
Приложение Г
Инструкция
по организации парольной защиты в информационных системах
персональных данных
УТВЕРЖДАЮ
____________ (фамилия и инициалы)
«___» ______________ 202_ г.
ИНСТРУКЦИЯ № ____
по организации парольной защиты в информационных системах персональных данных
1. Общие положения
1.1 Настоящая инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаление учетных записей пользователей) в информационной системе
персональных (далее – ИСПДн) в _______________________ (далее –
___________________).
1.2 Настоящая инструкция разработана в соответствии с руководящими и нормативными документами регуляторов Российской Федерации в области защиты персональных данных.
1.3 Пользователем ИСПДн (далее – Пользователь) является
сотрудник ___________________, участвующий в рамках выполнения своих
функциональных обязанностей в процессах автоматизированной обработки
персональных данных (далее – ПДн) и имеющий доступ к аппаратным
средствам, программному обеспечению, данным и средствам защиты
информации ИСПДн (далее – СЗИ).
1.4 Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в ИСПДн и контроль над действиями Пользователей в ИСПДн осуществляет ответственный
за обеспечение безопасности персональных данных в ___________________
(далее – Ответственный).
1.5 Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей на автоматизированных рабочих местах (далее – АРМ) Пользователей осуществляет администратор ИСПДн в__________________ (далее –Администратор).
82
2 Организация парольной защиты
2.1 Личные пароли должны создаваться Пользователями самостоятельно.
2.2 В случае формирования личных паролей Пользователей централизованно, ответственность за правильность их формирования и распределения
возлагается на Ответственного и Администратора в ИСПДн и на АРМ Пользователей соответственно.
2.3 Полная плановая смена паролей в ИСПДн проводится не реже
одного раза в 3 месяца.
2.4 Внеплановая смена личного пароля Пользователя или удаление
учетной записи в случае прекращения его полномочий (увольнение, переход
на другую должность в ИСПДн и т.п.) должна производиться Администратором и Ответственным немедленно после окончания последнего сеанса работы
Пользователя в АРМ и в ИСПДн соответственно.
2.5 В ИСПДн устанавливается ограничение на количество неуспешных попыток аутентификации (ввода логина и пароля) Пользователя, равное
7, после чего учетная запись блокируется.
2.6 Разблокирование учетной записи осуществляется Администратором и Ответственный для учетных записей Пользователя для АРМ и для ИСПДн соответственно.
2.7 После 15 минут бездействия (неактивности) Пользователя в АРМ
или ИСПДн происходит автоматическое блокирование сеанса доступа в АРМ
и ИСПДн соответственно.
3 Требования к формированию паролей
Пользователи при формировании паролей должны руководствоваться
следующими требованиями:
3.1 Длина пароля должна быть не менее 8 символов.
3.2 В пароле должны обязательно присутствовать символы не менее
3-х категорий из следующих:
 буквы в верхнем регистре;
 буквы в и нижнем регистре;
 цифры;
 специальные символы, не принадлежащие алфавитно-цифровому
набору (например, !, @, #, $, &, *, % и т.п.).
3.3 Пароль не должен включать в себя легко вычисляемые сочетания
символов (например, «112», «911» и т.п.), а также общепринятые сокращения
(например, «ЭВМ», «ЛВС», «USER» и т.п.).
3.4 Пароль не должен содержать имя учетной записи Пользователя
или наименование его АРМ, а также какую-либо его часть.
3.5 Пароль не должен основываться на именах и датах рождения
Пользователя или его родственников, кличек домашних животных, номеров
83
автомобилей, телефонов и т.д., которые можно угадать, основываясь на информации о Пользователе.
3.6 Запрещается использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов
(например, «1111111», «wwwww» и т.п.).
3.7 Запрещается использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например,
«1234567», «qwerty» и т.п.).
3.8 При смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
4 Правила ввода паролей
Пользователи во время процедуры аутентификации (ввода логина и пароля) на АРМ и в ИСПДн должны руководствоваться следующими правилами:
4.1 Ввод пароля должен осуществляться с учётом регистра, в котором
пароль был задан.
4.2 Во время ввода паролей необходимо исключить возможность его
подсматривания посторонними лицами или техническими средствами (видеокамеры и пр.).
4.3 В случае блокировки учетной записи Пользователя после превышения попыток ввода данных аутентификации (логина и пароля) в АРМ или
ИСПДн, Пользователю необходимо уведомить Администратора или Ответственный соответственно для проведения процедуры генерации нового пароля.
5 Обязанности
Пользователи ИСПДн обязаны:
5.1 Четко знать и строго выполнять требования настоящей инструкции и других руководящих документов ___________________ по парольной
защите.
5.2 Своевременно сообщать Ответственному и Администратору об
утере, компрометации и несанкционированном изменении сроков действия
паролей в АРМ и ИСПДн соответственно.
5.3 Ознакомиться под роспись с перечисленными в настоящей инструкции требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
6 Ответственность
6.1 Пользователь несет персональную ответственность за сохранность
данных аутентификации (персонального логина и пароля) к АРМ и к ИСПДн.
84
Приложение Д
План помещений предприятия
Лист
Изм. Лист
№ докум.
Подпись Дата
ФАЭС.10.03.01.751.ПЗ
82