 |
Фактическая защищенность организации
|
|
|
|
На предприятии ООО «ИТ Энигма» на данный момент реализованы следующие мероприятия:
Организационные мероприятия:
1. Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.
2. Во все помещения фирмы имеют доступ лишь персонал организации и клиенты, заключившие договор на оказание услуг с предприятием.
3. Посетители, ожидающие приема, находятся в приемной под присмотром секретаря. Ожидающим запрещено проходить дальше приемной без разрешения руководителя организации.
4. Вход людей в здание осуществляется через контрольно-пропускной пункт на 1-ом этаже здания. Охрана на КПП организована ЧОП «ХХХ», парковка автотранспорта неограниченна.
5. Вход людей в помещение предприятия ООО «ИТ Энигма» осуществляется через двустворчатую металлическую дверь с видеодомофоном и магнитным ключом. Для входа в помещение сотрудники организации используют ключи, посетители пользуются видеодомофоном.
Правовые мероприятия:
1. Существуют инструкции для сотрудников, допущенных к защищаемым сведениям,
2. Инструкции сотрудников, ответственных за защиту информации
3. Утверждены должностные обязанности руководителей, специалистов и служащих предприятия
4. Существует положение о порядке обращения с информацией
5. Существует положение об отделе защиты информации
6. Разработана памятка пользователя АС
Инженерно-технические меры:
1. Во всех помещениях организации установлены извещатели пожарной сигнализации
2. На входной двери в помещение организации установлена камера, позволяющая видеть посетителей у входа
3. Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией
|
|
|
4. Система кондиционирования, состоящая из 3х кондиционеров не защищена
5. Отсутствуют датчики вибро-акустического зашумления на стояках отопления, выходящих за пределы КЗ
6. Генераторы электромагнитного шума в помещении не установлены
7. Окна организации выходят во двор. На окнах имеются жалюзи, но отсутствуют вибрационные датчики.
8. Мероприятия по обнаружению «закладок» на территории КЗ проводятся 1 раз в пол года
9. Отсутствует защита телефонных линий.
Программно-аппаратные меры:
1. На АРМ сотрудников установлены операционная система - MS Windows XP, офисное приложение – MS Office 2007, антивирусное программное обеспечение – NOD32, 1С «Бухгалтерия» (в отделе бухгалтерия).
2. На АРМ установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.
Возможные каналы утечки информации
1. Распространение акустических сигналов через двери
2. Распространение вибрационных сигналов через стены с соседними помещениями, через трубы системы отопления и через окна
3. Разглашение информации сотрудниками предприятия умышленно или а следствии недостаточного знания работниками организации правил защиты конфиденциальной информации
4. Перехват акустической (речевой) информации при помощи разнообразных средств разведки: микрофоны, радиомикрофоны, радиозакладки
5. Оптический просмотр через окна
6. Необходимо увеличить защиту на АРТ сотрудников организации
Предполагаемые мероприятия по защите информации
1. Уплотнение всех дверей на территории КЗ, кроме входной.
2. Мероприятия по выявлению закладных устройств проводить 1 раз в месяц.
3. Установление вибрационных генераторов на трубы системы отопления.
4. Установить вибрационные генераторы на окна (с целью уменьшения риска снятия лазером информации с окон).
|
|
|
5. Установит генераторы электромагнитного шума на каждое АРМ.
6. Разработать инструкцию пользователя ОВТ (объекта вычислительной техники).
7. Усовершенствовать инструкцию по организации парольной защиты на АРМ
8. Провести инструктаж персонала в соответствии с новой КСЗИ.
9. Разработать «Соглашение о неразглашении конфиденциальной информации»; провести инструктаж по разъяснению персоналу организации положений «Памятки».
10. Разграничить доступ пользователей АС к информации с помощью установки СЗИ от НСД на рабочих местах и сервере (СЗИ SecretNet);
11. На время проведения совещаний отключать телефонные аппараты от сети;
12. При проведении совещаний и переговоров отключать мобильные телефоны всем присутствующим в помещении.
13. Ключи и коды от сейфов должны храниться у руководителя предприятия.
14. Обязательно выключение компьютеров после завершения рабочего дня.
Объекты поставки проекта
Для управления проектом его следует разбить на иерархические подсистемы и компоненты. В терминах управления проектами структура проекта представляет собой "дерево" ориентированных на продукт проекта компонентов, представленных оборудованием, работами, услугами и информацией, полученными в ходе реализации проекта. Можно сказать, что структура проекта – это организация связей и отношений между его элементами. Формирование структуры проекта позволяет представить его в виде значительно меньших блоков работ вплоть до получения самых мелких, поддающихся непосредственному контролю позиций. Именно такие блоки передаются под управление отдельным специалистам, ответственным за достижение конкретной цели достигаемой при реализации задач данного блока. Процесс структуризации является неотъемлемой частью общего процесса планирования проекта и определения его целей, а также подготовки плана проекта и матрицы распределения ответственностей и обязанностей.
Задачей проекта является построение надежной системы защиты информации на предприятии.
Для предприятия «ИТ Энигма» в ходе разработки комплексной системы защиты информации необходимо выделить несколько задач в пределах следующих требований:
|
|
|
1. Техническое оснащение объекта должно сводить к минимуму возможность снятия конфиденциальной информации по возможным каналам утечки
2. Техническое оснащение должно удовлетворять требованиям и нормам стандартов в области защиты информации
3. Техническое оснащение не должно мешать рабочему процессу предприятия
4. Должна быть проведена оценка защищенности АРМ в соответствии с требованиями стандартов
5. Должны быть разработаны должностные инструкции в соответствии с поставленными задачами и формами допуска к конфиденциальной информации
6. По завершении работ по построению комплексной системы защиты информации необходимо провести ознакомление сотрудников с новой системой.
Итогом работы по построение КСЗИ должно быть:
1. Защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации
2. Создание собственной политики безопасности предприятия
3. Строгий контроль доступа к конфиденциальной информации на электронный и бумажных носителях, к АРМ содержащим конфиденциальную информацию
4. Технического оснащения помещений, в которых ведется работа с конфиденциальными документами
5. Введение строгого учета конфиденциальной документации
6. Введение системы ответственности за невыполнения норм и требований по работе с конфиденциальной информацией.
|
|
|
