Характеристика информационной системы предприятия

7. Характеристика информационной системы предприятия.

Программно-аппаратные средства: система правового обеспечения LIGA; пакет Microsoft Office; 1С:Предприятие, Интернет-шлюз Advanced, биометрический турникет ТБИ 1.3, уличный комплект UPC-26-220(24), система видеонаблюдения внутри помещений, антижучки Профи (Antibug Profi): детекторы жучков и видеокамер, система сигнализации.

В офисе установлено 35 персональных компьютеров (у каждого адвоката свой, т.к. каждый занимается определенной отраслью права, + компьютер секретаря + компьютер системного администратора), 5 принтеров, 2 ксерокса, 2 сканера.

1С: Предприятие – это специализированная объектно-ориентированная система управления базами данных, предназначенная для автоматизации деятельности предприятия. В "Юстине" 1С-предприятие автоматизирует учетные задачи: кадровый учет, расчет зарплаты, бухгалтерский учет.

Для безопасного доступа пользователей локальной сети в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз Advanced на платформе Windows (от ИТ Энигма). В состав программного обеспечения входят прокси-сервер, межсетевой экран, антивирусная защита, система обнаружения атак, система анализа содержимого трафика, анти-спам, система построения VPN, система биллинга, система квотирования трафика.

Так как фирма хранит данные, не подлежащие разглашению (т.е. доступ к которым разрешен не всем), в фирме установлен биометрический турникет ТБИ 1.3. Человек, проходящий через турникет, автоматически сравнивается с базой данных людей, которым разрешен вход. Доступ разрешен только в случае совпадения лица человека с его трехмерной фотографией в базе данных. Изображения лиц, которым отказано в доступе, записываются для выявления попыток нарушения. Для защиты помещений – антижучки Профи (Antibug Profi): детекторы жучков и видеокамер и система видеонаблюдения внутри помещений.

На улице установлен уличный комплект UPC-26-220(24) для осуществления видеонаблюдения возле офиса. В комплект входит видеокамера, система термостабилизации, источник питания, коммутационная коробка. Расстояние передаваемого сигнала через видеолинию до 1500 м, температура окружающей среды от -40С до +50С.

 

1.2. Обоснование актуальности проблемы защиты информации в адвокатской фирме

"Чтобы получать от адвокатов необходимую помощь, люди должны доверять им такую информацию, которую они никому и ни при каких условиях не доверили бы..."

"Теория адвокатуры", с.296.

Эффективность современного предприятия (фирмы, организации и т.п.) сегодня всё больше определяется степенью использования информационных технологий в процессе его функционирования. Происходит непрерывное увеличение как объема информации, обрабатываемой в электронном виде, так и количества различных информационных систем. В связи с этим на передний план в задаче обеспечения безопасности предприятия выходит защита информации на предприятии.

Обеспечение защиты информации в адвокатской конторе предусматривает необходимость защиты нескольких видов тайн: адвокатской, коммерческой и персональных данных. Наиболее важной представляется защита адвокатской тайны, т.к. адвокат не может оказывать результативную профессиональную помощь доверителю без полного взаимопонимания. Доверитель должен чувствовать абсолютную уверенность в том, что вопросы, обсуждаемые с адвокатом, и предоставленная им адвокату информация останутся конфиденциальными, без каких-либо требований или условий. Это одно из условий необходимости защиты информации в адвокатской конторе. Но кроме этого в адвокатской конторе, как и в любой другой фирме, существует необходимость защиты и некоторых других видов конфиденциальной информации, а именно персональных данных и коммерческой тайны. В связи с этим система обеспечения информационной безопасности в адвокатской конторе является крайне важной.

 

1.3. Цели

Поэтому целью руководителя адвокатской конторы является обеспечение надежной защиты информации на предприятии для его нормального функционирования. Следовательно, моя цель, как аналитика, заключается в разработке концепции защиты информации в адвокатской фирме «Юстина», которая могла бы стать основой для формирования комплексной системы защиты информации на этом предприятии, при этом соответствовала требованиям к системе безопасности адвокатской конторы и помогала избежать неоправданных расходов и возрастания вероятности угроз.

 

1.4. Задачи

Для достижения поставленной передо мной цели мне необходимо решить следующие задачи:

1.         Определить цели и задачи защиты информации в адвокатской конторе.

2.         Определить основные объекты защиты на предприятии.

3.         Определить предмет защиты на предприятии.

4.         Определить и охарактеризовать факторы, влияющие на защиту информации на предприятии.

5.         Выявить возможные угрозы защищаемой информации в адвокатской конторе и их структуру.

6.         Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии

7.         Выявить причины дестабилизирующего воздействия на защищаемую информацию на предприятии.

8.         Выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии.

9.         Определить основные направления, методы и средства защиты информации на предприятии.

2. Заключение

2.1. Концепция защиты информации в адвокатской фирме «Юстина»

Утверждено

постановлением

Президента фирмы «Юстина»

от _______ 200_года № __

Концепция защиты информации в адвокатской фирме «Юстина»

Концепция защиты информации в адвокатской фирме «Юстина» (далее - концепция) представляет собой систему взглядов на содержание проблемы защиты информации, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в адвокатской фирме «Юстина» (в дальнейшем – адвокатская фирма).

Цель разработки и внедрения Концепции – определение основных положений политики адвокатской фирмы в области защиты информации и создание единой системы правовых, организационных, технических и иных мер, надежно обеспечивающих защищенность адвокатской фирмы в информационной сфере.

Концепция служит основой для разработки целевых программ по обеспечению защиты информации адвокатской фирмы и подготовки предложений по их совершенствованию.

 

I. Общие положения

Отправной точкой при разработке политики адвокатской фирмы в области защиты информации является ясное понимание роли и места системы защиты информации в деятельности адвокатской фирмы и в сфере обеспечения его безопасности в целом. Защита информации является одним из элементов общей политики адвокатской фирмы в области безопасности, которая охватывает более широкий круг вопросов, начиная от охраны материальных ценностей адвокатской фирмы и защиты его персонала до использования криптографических средств защиты информации и предотвращения возможной утечки информации за счет побочных электромагнитных излучений. Элементы общей системы безопасности адвокатской фирмы должны быть взаимосвязаны и согласованы.

Защита информации в адвокатской фирме основывается на ряде основополагающих принципов:

─         законности – соблюдение законодательства Российской Федерации по защите информации и законных интересов всех участников информационного обмена;

─         приоритетности - предварительное категорирование (ранжирование) информационных ресурсов адвокатской фирмы по степени важности в виде перечней сведений, подлежащих защите, и оценка реальных угроз информационной безопасности;

─         комплексного подхода – согласование мероприятий, проводимых в области защиты информации адвокатской фирмы, со всем комплексом мероприятий по физической и технической безопасности адвокатской фирмы, а также противодействие всем возможным угрозам информационной безопасности адвокатской фирмы; оптимальное сочетание проводимых мероприятий;

─         единой политики - координация деятельности различных подразделений адвокатской фирмы по созданию и поддержанию необходимого уровня защиты информации в адвокатской фирме, определение обязанностей и ответственности подразделений (их руководителей);

─         целесообразности - затраты на обеспечение защиты информации не должны превышать потери, которые может понести адвокатская фирма при реализации угроз.

Политика в области защиты информации в адвокатской фирме включает следующие основные этапы:

─         определение информации, подлежащей защите (объекты защиты);

─         определение возможных негативных воздействий на защищаемую информацию (угрозы) и способов реализации этих угроз;

─         определение ценности защищаемой информации (риски) и ее ранжирование;

─         разработка комплекса мер по поддержанию необходимого уровня защиты информации;

─         распределение полномочий и ответственности за обеспечение установленного режима безопасности.

Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности предприятия.

 

II. Цели и задачи защиты информации в адвокатской конторе

Целями защиты информации в адвокатской фирме являются:

·           предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);

·           предотвращение угроз безопасности личности и адвокатской конторы;

·           предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;

·           предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

·           защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

·           сохранение, конфиденциальности документированной информации в соответствии с законодательством.

К задачам защиты информации в адвокатской фирме относятся:

1. Обеспечение деятельности адвокатской фирмы режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необхо­димой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать адвокатской конторе преимущества перед конкурентами и оправдывать затраты средств на защиту информации.

2. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.

3. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности адвокатской фирмы.

4. Документирование процесса защиты информации с тем, чтобы в слу­чае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что адвокатская фирма принимала необходимые меры к защите этих сведений.

5.Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.

 

III. Основные объекты защиты

Основными объектами защиты в адвокатской фирме являются:

1.Информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к адвокатской тайне, коммерческой тайне и иной конфиденциальной информации (в дальнейшем - защищаемой информации);

2.Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;

3.Программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы адвокатской фирмы, с помощью которых производится обработка защищаемой информации;

4.Помещения, предназначенные для ведения закрытых переговоров и совещаний;

5.Помещения, в которых расположены средства обработки защищаемой информации;

6.Технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.

Подлежащая защите информация может находиться в адвокатской фирме:

─         на бумажных носителях;

─         в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);

─         передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;

─         присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;

─         записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны и др.).

 

IV. Угрозы защищаемой информации и возможные источники их возникновения

Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:

1.Утрата сведений, составляющих адвокатскую тайну, коммерческую тайну адвокатской фирмы и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;

2.Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;

3.Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.

Источниками (каналами) возникновения угроз могут являться:

─         стихийные бедствия (пожары, наводнения и т.п.);

─         технические аварии (внезапное отключение электропитания, протечки и т.п.);

─         несанкционированное получение идентификаторов пользователей и их паролей, паролей доступа к общим ресурсам;

─         несанкционированная передача защищаемой информации из внутренней (локальной) сети в глобальную сеть Internet;

─         умышленное или неумышленное разглашение защищаемой информации;

─         хищение носителей информации или несанкционированное копирование информации;

─         посылка в ЛВС пакетов, нарушающих нормальную работу сети;

─         внедрение программ-троянов, резидентных программ, обеспечивающих получение полного контроля над компьютером;

─         внедрение деструктивных программ – вирусов, сетевых червей и пр.;

─         проникновение зловредных программ через Internet, электронную почту, гибкие диски, CD-диски;

─         получение информации о топологии сети, принципах ее функционирования, характеристической информации сети или участка сети;

─         хищение, физический вывод из строя технических средств;

─         прослушивание сетевого трафика (с целью получения информации о сетевых ресурсах, хешированных паролях, идентификаторах пользователей и пр.) с использованием легальных рабочих станций;

─         прослушивание сетевого трафика с использованием нелегальных компьютеров, подключенных к ЛВС физически (локально) или удаленно;

─         внедрение технических и программных средств скрытного съема информации с рабочих станций, средств связи, из помещений адвокатской фирмы, в которых обрабатывается защищаемая информация;

─         использование специальных методов и технических средств (побочные излучения, наводки по цепям питания, электронные закладки, дистанционное скрытое видеонаблюдение или фотографирование, применение подслушивающих устройств, перехват электромагнитных излучений и наводок и т.п.);

─         использование для доступа к информации так называемых "люков", "дыр" и "лазеек" и других возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования, применяемых в автоматизированных системах обработки данных;

─         незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (перехват модемной и факсимильной связи);

─         умышленное изменение используемого программного обеспечения для несанкционированного сбора защищаемой информации.

 

V. Меры по обеспечению защиты информации в адвокатской конторе

Основными мерами по обеспечению защиты информации в адвокатской фирме являются:

─         административно-правовые и организационные;

─         технические, основанные на использовании аппаратно-программных и специальных средств;

─         режимные.

1. Административно-правовые и организационные меры:

1.1. Определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и коммуникационных систем, установление их ответственности за соблюдение нормативных правовых актов адвокатской фирмы в этой сфере;

1.2. Разработка перечня возможных нарушений информационной безопасности и локальных нормативных актов, определяющих порядок защиты интересов адвокатской фирмы в сфере защиты информации;

1.3. Оценка эффективности действующих в адвокатской фирме локальных нормативных актов по обеспечению защиты информации;

1.4. Включение в должностные инструкции сотрудников обязанностей и ответственности в области обеспечения защиты информации;

1.5. Совершенствование системы обучения сотрудников адвокатской фирмы по вопросам защиты информации в адвокатской фирме;

1.6. Подготовка и повышение квалификации специалистов в области защиты информации;

1.7. Аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих адвокатскую тайну и коммерческую тайну адвокатской фирмы;

1.8. Разработка правил (регламентов, порядков) эксплуатации технических и программных средств с указанием действий в случаях нарушения режима безопасности (подозрений на нарушение);

1.9. Оперативное реагирование (внедрение) на появление новых разработок в области информационных технологий;

1.10. Совершенствование нормативно-правовой базы, регламентирующей порядок обращения и работы в адвокатской фирме с конфиденциальной информацией и сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы;

1.11. Совершенствование нормативно-правовой базы, регламентирующие порядок обмена конфиденциальной информацией между адвокатской фирмой и сторонними организациями;

1.12. Обеспечение принципа разграничения доступа: информация должна быть доступна только тем, кому она предназначена и разрешена;

1.13. Предоставление сотрудникам минимально достаточных прав по доступу к информации, необходимых для выполнения ими своих функциональных обязанностей;

1.14. Использование E-mail только в служебных целях;

1.15. Пользователи информационных ресурсов должны знать о наличии системы контроля и защиты информации.

2. Технические меры:

2.1. Использование лицензионного программного обеспечения;

2.2. Использование сертифицированных средств защиты информации для обработки, хранения и передачи конфиденциальной информации;

2.3. Соблюдение положений информационно-технологической политики адвокатской фирмы;

2.4. Обеспечение безотказной работы аппаратных средств;

2.5. Проведение комплексной антивирусной защиты;

2.6. Проведение аудита (контроль за деятельностью пользователей – успешный или неуспешный доступ к сетевым ресурсам, вход-выход в систему и пр.);

2.7. Проведение контроля трафика сети на отдельных ее участках (сегментах);

2.8. Проведение контроля состояния программного и информационного обеспечения компьютеров (состава и целостности программного обеспечения, корректности настроек и т.д.) и маршрутизаторов (маршрутных таблиц, фильтров, паролей);

2.9. Проведение эффективной парольной защиты;

2.10. Обеспечение резервного копирования;

2.11. Проведение контроля за несанкционированными физическими подключениями к автоматизированным системам;

2.12. Внедрение в ЛВС современной системы обнаружения вторжений;

2.13. Использование для подключения к почтовому серверу защищенного соединения с целью шифрования паролей;

2.14. Запрет несанкционированного доступа к ЛВС через удаленное соединение.

3. Режимные меры:

3.1. Хранение информации ограниченного распространения, составляющей адвокатскую тайну и коммерческую тайну адвокатской фирмы, разрешено только на специально подготовленной вычислительной технике, расположенной в специальных (выделенных) помещениях с ограниченным доступом;

3.2. Круг лиц из числа сотрудников адвокатской фирмы, имеющих право работы со сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы, должен быть ограничен;

3.3. Установление специальных режимных мер, применяемых в целях защиты информации в адвокатской фирме (ведение специального делопроизводства, выделение специально оборудованных помещений, поддержание необходимого уровня пропускного и внутриобъектового режима, подбор кадров, проведение комплексных защитно-поисковых мероприятий и т.п.);

3.4. Аттестация объектов информатизации на соответствие требованиям обеспечения защиты информации при проведении работ, связанных с использованием конфиденциальных сведений, составляющих коммерческую тайну адвокатской фирмы;

3.5. Совершенствование пропускного и внутриобъектового режима в адвокатской фирме и повышение ответственности сотрудников за выполнение требований установленных режимов;

3.6. Разграничение доступа и контроль за доступом в выделенные помещения;

3.7. Создание эффективной системы контроля за выполнением сотрудниками адвокатской фирмы требований локальных нормативных актов по обеспечению защиты информации адвокатской фирмы;

3.8. Совершенствование нормативно-правовой базы, регламентирующей порядок обращения и работы в адвокатской фирме с конфиденциальной информацией и сведениями, составляющими адвокатскую тайну и коммерческую тайну адвокатской фирмы.

 

VI. Организация системы обеспечения защиты информации в адвокатской конторе

Система обеспечения информационной безопасности адвокатской фирмы строится на основе разграничения полномочий управленческих и функциональных подразделений адвокатской фирмы в данной сфере.

Основными элементами организационной системы обеспечения информационной безопасности адвокатской фирмы являются: Президент адвокатской фирмы, управляющие партнеры и служба защиты информации.

Президент адвокатской фирмы определяет приоритетные направления деятельности в области обеспечения защиты информации в адвокатской фирме и меры по реализации Концепции защиты информации, утверждает списки сведений, подлежащих защите.

Управляющие партнеры с учетом определенных Президентом адвокатской фирмы приоритетных направлений в области обеспечения защиты информации предусматривают выделение средств, необходимых для реализации программ и координируют деятельность подразделений с учетом требований защиты информации в адвокатской конторе.

Служба защиты информации во взаимодействии с другими структурными подразделениями адвокатской фирмы обеспечивает выполнение административно-правовых, организационных и режимных мер по обеспечению защиты информации, координирует деятельность подразделений адвокатской фирмы в области информационной безопасности, проводит работу по выявлению и оценке угроз, разрабатывает предложения по их предотвращению, контролирует деятельность подразделений по обеспечению информационной безопасности.

Руководители структурных подразделений адвокатской фирмы обеспечивают выполнение всеми подчиненными сотрудниками установленных требований в области обеспечения защиты информации.

Обеспечение защиты информации в адвокатской фирме непосредственно на рабочих местах возлагается на сотрудников адвокатской фирмы.

 

VII. Ответственность за нарушение требований защиты информации в адвокатской фирме

По степени опасности нарушения, связанные с несоблюдением локальных нормативных актов по обеспечению защиты информации в адвокатской фирме делятся на две группы: