исследование механизма политики безопасности организации.
В качестве объекта исследования выбрано предприятие ОАО «Мобильные ТелеСистемы». Основным видом деятельности организации является оказание коммуникационных услуг.
Объектом исследования является защита информации в ОАО «Мобильные ТелеСистемы».
Предметом исследования являются процессы и средства защиты информации в ОАО «Мобильные ТелеСистемы».
Информационной базой исследования стали законодательные акты и нормативно - правовая база в области защиты информации, научные и методические разработки экспертов, первичные документы, положения об использовании служебной информации в ОАО «Мобильные ТелеСистемы».
1. Теоретические аспекты процессов защиты информации
1.1 История развития ОАО «Мобильные ТелеСистемы»
информационный защита угроза
Компания «МТС» была создана в форме закрытого акционерного общества 28 октября 1993 года в Москве. Учредителями выступили ОАО «Московская городская телефонная сеть» (МГТС, в настоящее время контролируется МТС), Deutsche Telekom, Siemens и ещё несколько российских акционеров. Российской стороне принадлежало 53% акций созданной компании, двум немецким компаниям - 47%. На следующий год компания начала коммерческую деятельность в московском регионе, оказывая услуги связи в формате GSM-900 (в 1997 году был создан опытный участок двухдиапазонной сети GSM-900/1800). В 1996 году российские владельцы акций МТС реализовали их АФК «Система», а Siemens продала свой пакет компании DeTeMobil («дочке» Deutsche Telekom).
С 1997 года МТС начала активную экспансию в регионы России, причем в ряде случаев она самостоятельно получала лицензии на оказание услуг сотовой связи, а в других случаях - покупала другие компании, уже имеющие лицензии (например, в 1998 году - «Русскую телефонную компанию», владевшую рядом лицензий в Нечерноземье). 1999 год ознаменовался для «МТС» рядом нововведений, таких как запуск в коммерческую эксплуатацию двухдиапазонных сетей, отмена платы за «входящие» звонки внутри сети, начало применения посекундной тарификации и др.
К началу XXI века абонентская база МТС превысила 1 млн. человек. Весной 2000 года в результате слияния ЗАО «МТС» и ЗАО «РТК» было образовано открытое акционерное общество «Мобильные ТелеСистемы», акции которой уже к середине года стали в виде американских депозитарных расписок (ADR) котироваться на Нью-Йоркской фондовой бирже. В 2001 году компания оказывала услуги сотовой связи в 21 регионе России.
В начале 2000-х годов «Мобильные ТелеСистемы» быстро наращивали число регионов присутствия на территории Российской Федерации: к началу 2004 года лицензионная территория покрыла всю страну, исключая Чеченскую Республику и Пензенскую область (по состоянию на май 2011 года МТС лицензию на оказание услуг сотовой связи в Пензенской области так и не получила, а сеть в Чечне запущена). Параллельно стремительно росло число абонентов компании: с 2 млн в 2001 году до 15 млн в 2003 году, чему способствовал запуск в конце 2002 года первых тарифных планов без абонентской платы под суббрендом «Джинс». В те же годы МТС начала международную экспансию, сначала, в 2002 году запустив сеть в Белоруссии, в 2003 году выйдя на рынок сотовой связи Украины, в 2004 году - Узбекистана, а в 2005 году - Туркменистана.
год принёс компании новую систему корпоративного управления, строящуюся на четырёх уровнях: корпоративный центр, бизнес-единица, макро-регион, регион. Помимо этого, был проведён ребрендинг компании, запущена кредитная форма оплаты на массовых тарифных планах.
В 2007 году МТС начала продажу смартфонов BlackBerry, годом позже - iPhone. Также этот год ознаменовался получением лицензий на строительство сетей 3G в формате UMTS в Узбекистане и Армении. В 2008 году была получена федеральная 3G-лицензия в России. В мае сеть третьего поколения была запущена в четырёх городах России - Санкт-Петербурге, Казани, Сочи и Екатеринбурге.
В 2009 году торговая марка «МТС» вышла на рынок Индии - под этим брендом там начала работу Shyam Telelink, дочерняя компания АФК «Система», оказывающая услуги мобильной связи в стандарте CDMA (непосредственно к «Мобильным ТелеСистемам» деятельность на индийском рынке отношения не имеет).
В конце первого десятилетия нового века МТС заинтересовалась другими сегментами телекоммуникационного рынка. Приобретение в 2009 году контрольного пакета компании «КОМСТАР - Объединенные ТелеСистемы» открыло МТС путь на рынок проводной связи, а компании «Евротел» - на рынок магистральной связи. Также 2009 год отмечен резкой экспансией на розничном рынке: собственная сеть салонов связи (управлять которой «Мобильные ТелеСистемы» пригласили топ-менеджеров сети «Связной») на конец года насчитывала свыше 2 тысяч торговых точек. В 2010 году МТС направила существенные средства на развитие бизнеса в области услуг широкополосного доступа в интернет.
1.2 Информационные потоки на предприятии
Потоки информации, циркулирующие в окружающем нас мире, огромны. Во времени они имеют тенденцию к увеличению. В этих потоках имеются документы, содержащие самую разнообразную информацию.
На любом предприятии возникает проблема такой организации управления данными, которая обеспечила бы наиболее эффективную работу. Для эффективного руководства организацией и оптимального выполнения работ современным руководителям и специалистам постоянно требуется иметь в распоряжении обширную и достоверную информацию. Этого можно достичь в настоящее время только с помощью средств и методов автоматизации информационных потоков.
Информационный поток - информация, рассматриваемая в процессе ее движения в пространстве и времени в определенном направлении.
Потоки информации могут формироваться:
·как речевая передача информации;
·как передача информации в виде обычных документов с ручной доставкой;
·с использованием технических средств ручного ввода;
·с автоматическим вводом сообщений
Поток информации рассматривается как совокупность двух понятий - схемы и элементов потока.
Схема потока информации задается указанием отношения вхождения относительно каждого элемента потока.
Элементами потока могут быть документы, элементы документов (показатели, реквизиты), операторы (люди, устройства, подразделения). Операторы могут быть источниками и потребителями.
Цель автоматизации разнообразных потоков информации - совершенствование существующего документооборота, форм документов, сокращение их числа и копий, оптимизация маршрутов движения документов и алгоритма их формирования. Одна из основных задач состоит в разработке и внедрении средств и методов использования вычислительной техники для перевода документооборота из бумажной формы в электронную. Современные сетевые информационные технологии позволяют решить эту задачу. Все банки мира уже связаны сетевыми электронными сетями, и финансовые документы циркулируют в основном в электронном виде. Постепенно выходят из обращения бумажные акции предприятий и другие ценные бумаги. Их заменяют электронные депозитарии, т.е. базы данных (БД), в которых сведения об акционерах хранятся в виде записей. Сравнительно недавно появились электронные деньги - это тоже записи БД. Движение электронных денег происходит по безбумажной технологии путем переноса данных из одних записей в другие. В качестве электронных денег служат пластиковые карты, содержащие сведения о владельце электронного счета на магнитной полосе, или смарт-карты, которые записывают на микросхему, встроенную в эту карту. По безбумажной технологии сегодня работает большинство средств массовой информации. Все этапы подготовки газет, рекламы, книг проводятся на компьютере с помощью автоматизированных издательских систем. Так же и на предприятии ОАО «Мобильные ТелеСистемы» большинство информации циркулируется в электронном виде.
Конечно, электронный документ удобнее для пользователя, нежели его печатная версия. Это аксиома. Но в то же время аксиомой является утверждение, что электронный документ более уязвим и более подвержен риску быть похищенным или уничтоженным.
Рассмотреть схему информационных потоков исследуемого предприятия можно на схеме (Приложение А).
.3 Информация, циркулирующая на предприятии
Как правило, всю информацию, циркулирующую внутри организации, можно разделить на две части - открытую и конфиденциальную. Конфиденциальная - в свою очередь подразделяется на информацию ограниченного доступа и секретную. Совокупность информации одной категории может образовывать информацию повышенной категории секретности. Другими словами, определенная совокупность открытой информации может содержать в себе конфиденциальную.
Допустим, в нашей компании информация о деталях заключаемых договоров, а также о том, кто из сотрудников их заключает - конфиденциальная. В то же время к открытой информации относятся данные о персонале, его распределении по отделам, служебные обязанности сотрудников. В ваших новостях регулярно сообщается о том, с какими предприятиями (по какому профилю) компания ведет переговоры, с кем намерена заключить контракт и т.п. Понятно, что совокупность приведенных трех источников открытой информации (кадры, служебные обязанности, информация о заключаемых контрактах) может образовать конфиденциальную информацию о сотруднике, заключающем конкретный контракт.
Из вышесказанного напрашивается вывод: следует внимательнее относиться к вопросам отнесения информации к различным грифам секретности (и, соответственно, к обеспечению уровня ее защиты).
На предприятии ОАО «Мобильные ТелеСистемы» циркулируют огромные объёмы информации, эту информацию можно разделить на группы:
·информация, относящаяся к коммерческой тайне предприятия
·информация, содержащая персональные данные клиентов компании
·информация, содержащая порядок работы компании и организационные меры
·информация, содержащая нормативные акты, действующие внутри компании
Но всё-таки в большей степени на предприятии циркулирует информация, относящаяся к коммерческой тайне.
Информация, составляющая коммерческую тайну - «научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны».
В процессе функционирования на предприятии коммерческая информация может быть ранжирована по степени ее важности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указывать пользователей этой информации, уровень ее защиты и т.д. Для обозначения степени важности коммерческой информации для предприятия предлагаются разные системы обозначения степени ее конфиденциальности (грифы конфиденциальности):
Например:
·коммерческая тайна - строго конфиденциально (КТ - СК);
·коммерческая тайна - конфиденциально (КТ - К);
·коммерческая тайна (КТ).
Предлагаются также двухуровневые системы ранжирования коммерческой информации по степени важности: «Коммерческая тайна» и «Для служебного пользования» («ДСП»).
По функциональному признаку можно выделить семь групп сведений, составляющих коммерческую тайну и подлежащих защите:
·Деловая информация: сведения о котрагентах, контрактах, переговорах, конкурентах, потребителях и т.д.
·Научно-техническая информация: содержание и планы научно-исследовательских работ, планы внедрения новых технологий и т.д.
·Производственная информация: планы выпуска продукции или оказания услуг, секреты технологии и технологических циклов, объемы резервов и планы инвестиционной деятельности и т.д.
·Административная информация: структура управления предприятием, методы организации управления; системы организации труда и автоматизации трудовых процессов и т.д.
·Маркетинговая информация: стратегия формирования рынков сбыта; рекламные планы и концепции, маркетинговые исследования конкурентоспособности продукции и услуг и т.д.
·Финансовая информация: планирование прибыли и себестоимости, политика и алгоритм ценообразования, источники финансирования, информация о дебеторской задолженности и т.д.
·Программное обеспечение компании
1.4 Возможные угрозы и их анализ
Угроза безопасности - потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба предприятию в целом.
Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные).
Естественные угрозы - это угрозы, вызванные воздействиями на предприятие объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы - это угрозы предприятию, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
·непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
Источники угроз по отношению к предприятию могут быть внешними или внутренними (составляющие самой организации - её аппаратура, программы, персонал, конечные пользователи).
Основные непреднамеренные искусственные угрозы предприятию (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):
) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
) неправомерное отключение оборудования или изменение режимов работы устройств и программ;
) неумышленная порча носителей информации;
) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
) заражение компьютера вирусами;
) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
) игнорирование организационных ограничений (установленных правил) при работе в системе;
) вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;
) пересылка данных по ошибочному адресу абонента (устройства);
) ввод ошибочных данных;
) неумышленное повреждение каналов связи.
Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);
) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);
) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);
) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;
) применение подслушивающих устройств, дистанционная фото- и видео-съемка и т.п.;
) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сели питания, отопления и т.п.);
) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);
) несанкционированное копирование носителей информации;
) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой зашиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;
) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя («маскарад»);
) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;
) вскрытие шифров криптозащиты информации;
) внедрение аппаратных «спецвложений», программных «закладок» и «вирусов» («троянских коней» и «жучков»), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
) незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;
) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.
1.5 Неформальная модель нарушителя
Исследования проблемы обеспечения безопасности организаций ведутся в направлении раскрытия природы явлений, заключающихся в нарушении целостности и конфиденциальности информации, дезорганизации работы компьютерных систем. Серьезно изучается статистика нарушений, вызывающие их причины, личности нарушителей, суть применяемых нарушителями приемов и средств, используемые при этом недостатки систем и средств их защиты, обстоятельства, при которых было выявлено нарушение, и другие вопросы, которые могут быть использованы при построении моделей потенциальных нарушителей.
Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлении.
Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства
Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.
При разработке модели нарушителя определяются:
·предположения о категориях лиц, к которым может принадлежать нарушитель;
·предположения о мотивах действий нарушителя (преследуемых нарушителем целях);
·предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);
·ограничения и предположения о характере возможных действий нарушителей.
По отношению к предприятию нарушители могут быть внутренними (из числа персонала и пользователей системы) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих категорий сотрудников:
·конечные пользователи (операторы) системы;
·персонал, обслуживающий технические средства (инженеры, техники);
·сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);
·сотрудники службы безопасности автоматизированной системы;
·руководители различных уровней.
Посторонние лица, которые могут быть нарушителями:
·технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения);
·клиенты (представители организаций, граждане);
·посетители (приглашенные по какому-либо поводу);
·представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
·представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
·лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность предприятия);
·любые лица за пределами контролируемой территории.
Можно выделить несколько основных мотивов нарушений:
·безответственность;
·самоутверждение;
·вандализм;
·принуждение;
·месть;
·корыстный интерес;
·идейные соображения
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь - против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности организации может быть связано с принуждением (шантаж), местью, идейными соображениями или корыстными интересами пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему зашиты для доступа к хранимой, передаваемой и обрабатываемой информации и другим ресурсам организации.
По уровню знаний об автоматизированной системе нарушителей можно классифицировать следующим образом:
·знает функциональные особенности автоматизированной системы, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
·обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
·обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
·знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
По уровню возможностей (используемым методам и средствам):
·применяющий только агентурные методы получения сведений;
·применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);
·использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
·применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).
По времени действия:
·в процессе функционирования автоматизированной системы (во время работы компонентов системы);
·в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
·как в процессе функционирования автоматизированной системы, так и в период неактивности компонентов системы.
По месту действия:
·без доступа на контролируемую территорию организации;
·с контролируемой территории без доступа в здания и сооружения;
·внутри помещений, но без доступа к техническим средствам автоматизированной системы;
·с рабочих мест конечных пользователей (операторов) автоматизированной системы;
·с доступом в зону данных (серверов баз данных, архивов и т.п.);
·с доступом в зону управления средствами обеспечения безопасности автоматизированной системы.
Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:
·работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
·нарушитель, планируя попытки несанкционированного доступа, скрывает свои несанкционированные действия от других сотрудников.
Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и т.п. характеристики - важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.
2. Исследование процессов защиты информации на предприятии ОАО «Мобильные ТелеСистемы»
.1 Исследование политики безопасности предприятия
Политика безопасности - это документ «верхнего» уровня, в котором должно быть указано:
·ответственные лица за безопасность функционирования фирмы;
·полномочия и ответственность отделов и служб в отношении безопасности;
·организация допуска новых сотрудников и их увольнения;
·правила разграничения доступа сотрудников к информационным ресурсам;
·организация пропускного режима, регистрации сотрудников и посетителей;
·использование программно-технических средств защиты;
·другие требования общего характера.
Таким образом, политика безопасности - это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.
Например, в политике может быть указано, что все прибывающие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконтролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных телефонов сотрудникам фирмы, при условии достаточного количества стационарных телефонов.
Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.
В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников. Эти обязанности должны разрабатываться на основе политики, но не внутри нее.
Для защиты информации на предприятии ОАО «Мобильные ТелеСистемы» разработана система защиты информации (СЗИ). Выделяют следующие элементы СЗИ:
·Нормативно-правовой элемент ЗИ - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия. Обеспечивающие защиту информации на правовой основе. На данном предприятии существуют: ветеринарно-санитарные правила, правила пожарной безопасности, правила внутреннего распорядка;
·Организационный элемент ЗИ - включает регламентацию производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающую или ослабляющую нанесение, какого-либо ущерба исполнителям. На данном предприятии имеется шлагбаум при въезде на территорию, въезд осуществляется только по пропускам, на окнах первого этажа имеются решетки, ведется видеонаблюдение за всей территорией предприятия;
·Инженерно-технический элемент ЗИ - это использование различных инженерно-технических средств, препятствующих нанесению ущерба защищаемой информации;
·Программно-аппаратный элемент ЗИ - это все программные и автоматизированные системы обработки данных обеспечивающие сохранность и конфиденциальность информации.
2.2 Нормативно-правовой элемент защиты информации на предприятии ОАО «Мобильные ТелеСистемы»
Как известно, право - это совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности.
Правовой элемент системы организации защиты информации на предприятии ОАО «Мобильные ТелеСистемы» основывается на нормах информационного права и имеет юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации.
Этот элемент включает:
·наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;
·формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
·разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
В числе основных подсистем защиты информации в правовом плане можно считать:
·установление на объекте режима конфиденциальности;
·разграничение доступа к информации;
·правовое обеспечение процесса защиты информации;
·четкое выделение конфиденциальной информации как основного объекта защиты.
Опираясь на государственные правовые акты на уровне ОАО «Мобильные ТелеСистемы», разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности.
К таким документам относятся:
.Политика Информационной безопасности;
2.Положение о коммерческой тайне;
.Положение о защите персональных данных;
.Перечень сведений, составляющих конфиденциальную информацию;
.Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
.Положение о специальном делопроизводстве и документообороте;
.Обязательство сотрудника о сохранении конфиденциальной информации;
.Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.
2.3 Организационный элемент защиты информации на ОАО «Мобильные ТелеСистемы»
Организационная защита информации:
·Организация работы с персоналом;
·Организация внутриобъектового и пропускного режимов и охраны;
·Организация работы с носителями сведений;
·Комплексное планирование мероприятий по защите информации;
·Организация аналитической работы и контроля.
Основные принципы организационной защиты информации:
·принцип комплексного подхода - эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;
·принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);
·принцип персональной ответственности - наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.
Среди основных условий организационной защиты информации можно выделить следующие:
·непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;
·неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.
При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной информации на предприятии.
Естественно организационные мероприятия должны четко планироваться, направляться и осуществляться службой информационной безопасности, в состав которой входят специалисты по безопасности.
Таким образом, элемент организационной защиты является основным элементом комплексной СЗИ и во многом от того, каким образом реализован организационный элемент, зависит безопасности организации.
2.4 Инженерно-технический элемент защиты информации на ОАО «Мобильные ТелеСистемы»
Инженерно-технический элемент защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, зданий, помещений и оборудования с помощью комплексов технических средств.
Организация охраны - составная часть общей системы защиты конфиденциальной информации предприятия. Вопросы обеспечения надежной охраны территории предприятия и его объектов неразрывно связаны с задачами организации пропускного режима на предприятии. Силы и средства, участвующие в решении этих задач, являются составными элементами системы охраны предприятия.
От эффективности функционирования системы охраны в полной мере зависят возможность и уровень решения задач пропускного и внутриобъектового режимов. Системы пропускного и внутриобъектового режимов образуют следующие после системы охраны рубежи безопасности, предотвращающие доступ злоумышленника к охраняемой предприятием информации.
Главные цели охраны ОАО «Мобильные ТелеСистемы» следующие:
·предотвращение попыток проникновения посторонних лиц (злоумышленников) на территорию (объекты) предприятия;
·своевременное обнаружение и задержание лиц, противоправно проникших (пытающихся проникнуть) на охраняемую территорию;
·обеспечение сохранности находящихся на охраняемой территории носителей конфиденциальной информации и материальных средств и исключение, таким образом, нанесения ущерба предприятию;
·предупреждение происшествий на охраняемом объекте и ликвидация их последствий.
К основным объектам охраны относятся:
·территория предприятия;
·расположенные на территории предприятия объекты (здания, сооружения);
·носители конфиденциальной информации (документы, изделия);
·материальные ценности.
Особыми объектами охраны являются руководство предприятия персонал, допущенный к конфиденциальной информации. Организация охраны руководства и персонала предприятия регулируются отдельным положением (инструкцией), которое утверждается руководителем предприятия, и, в необходимых случаях согласовывается с территориальными органами внутренних дел и органами безопасности. Основные цели охраны руководства и перевала предприятия - обеспечение их личной безопасности в повседневных условиях и при возникновении чрезвычайных ситуаций, предотвращение возможных попыток завладения злоумышленниками защищаемой информацией путем физического и иного насильственного воздействия на этих лиц, выработка рекомендаций охраняемым лицам по особенностям поведения в различных ситуациях.
Заключение
В последнее время стремительно быстро развиваются новые технологии, так же быстро и появляются новые устройства, методы для кражи информационных ресурсов. У любого предприятия, дорожащего своей репутацией и прибылью, должна быть чётко сформирована система защиты, как информации, так и предприятия в целом. На таком предприятии, как ОАО «Мобильные ТелеСистемы» утечка данных может привести не только к краху корпорации, но и нанести ущерб клиентам компании, так как в автоматизированной системе организации находятся персональные данные клиентов, включающие паспортные данные, которые должны храниться в секрете от посторонних лиц.
Но, несмотря на всё, в практике компании ОАО «Мобильные ТелеСистемы» за всю историю существования не было несчастных случаев, связанных с утечкой информации. Даже, несмотря на то, что компания имеет филиалы по всей Европе и связана общей сетью, насчитывает тысячи сотрудников, информация надёжно защищена от несанкционированного доступа.
Библиографический список
1.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: Руководящий документ ФСТЭК России 15.02.2008 г. - М.: ГТК РФ, 2008. - 55 с.
2.ГОСТ Р 53110-2008. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения. Введ. 2008 - 03 - 03.: Изд-во стандартов, 2008. - 32 с.
.Концепция защиты персональных данных в информационных системах персональных данных оператора связи: Концепция от 15 апреля 2009 г. №15 ICU-15-2009-K // Собрание законодательства Российской Федерации. - 2009. - 609 с.
.Котиков И. Пространство технологий абонентского доступа для оператора связи / И. Котиков // Технологии и средства связи 2008. - №1. - С. 46 - 511
.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: Руководящий документ ФСТЭК России 14.02.2008 г. - М.: ГТК РФ, 2008. - 73 с.
.Мельников Д.А. Информационные процессы в компьютерных сетях / Д.А. Мельников - М.: Кудиц-Образ, 2001. - 250 с.
.Об информации, информатизации и защите информации Федеральный Закон от 25.01.95 №24-ФЗ // Собрание законодательства Российской Федерации. - 2005. - 609 с.
.О связи: Федеральный закон от 07.07.2003 №126-ФЗ // Собрание законодательства Российской Федерации. - 2004. - №32. - Ст. 3283.
.Костров Д.А. Информационная безопасность ЦОД: подходы [Электронный ресурс] // Интернет-журнал Information Security. - 2009. < http://www.itsec.ru/articles2/Oborandteh/>