Разработка проекта информационной безопасности на предприятии Кемеровское открытое акционерное общество 'Азот'
Разработка проекта информационной безопасности на предприятии Кемеровское открытое акционерное общество «Азот»
Введение
информационный угроза безопасность защита
В данной курсовом проекте рассматривается процесс разработки проекта информационной безопасности на предприятии «Кемеровское открытое акционерное общество «Азот»».
Разработка проекта безопасности ориентирована на создание защиты внутренних информационных ресурсов предприятия (бумажные и электронные носители), внутренней локально-вычислительной сети, системы автоматизированного управления предприятием.
В процессе разработки проекта будут учтены действующее законодательство, нормативные акты и устав и уже существующие нормы безопасности, принятые на предприятие.
Создаваемые правила информационной безопасности будут носить абстрактный характер; это делается для более «безболезненного» внедрения их на предприятии, для возможности использовать различные механизмы в зависимости от текущей ситуации.
С рассматриваемыми в процессе работы вопросами можно ознакомиться, прочитав оглавление. Среди них можно выделить такие как: установление целей политики информационной безопасности, ее правила, физическая информационная безопасность и безопасность в сети.
1.Термины и определения
Информационная безопасность - состояние защищенности информационных активов КОАО «Азот» в условиях угроз в информационной сфере.
Политика информационной безопасности - свод правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется КОАО «Азот» в своей деятельности.
Инцидент информационной безопасности - событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности предприятия, приводящее к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.
Риск - неопределенность, предполагающая возможность потерь (ущерба).
Угроза информационной безопасности - совокупность условий и факторов, создающих опасность несанкционированного доступа к информации, циркулирующей в автоматизированных системах.
Конфиденциальная информация - это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических личностей и распространяются за их желанием в соответствии с предвиденными ими условиями.
Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);
Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;
Сведения о сущности изобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Используемые сокращения
УИС - управление информатизации и связи
СБ - служба безопасности
СИБ - подразделение СБ - служба информационно безопасности
ГО и ЧС - гражданская оборона и чрезвычайные ситуации
ЦПУ - центральный пост управления
АТС - автоматическая телефонная станция
ЧОП - частное охранное предприятие
ИБП - источник бесперебойного питания
ПК - персональный компьютер
ПО - программное обеспечение
2. Производственные системы и процессы подлежащие защите
Классы информационных объектов, подлежащих защите
üПерсональный компьютер
üСервер и серверная комната
üБухгалтерские документы
üКонтракт с поставщиком / покупателем
üУчетная карточка сотрудника предприятия
üВнутренняя накладная на ремонт / модернизацию.
üНаряд-допуск на работу
üКарта памяти usb flash
üЧертеж химического аппарата
üТехнологическая схема химического процесса
üПропуск на предприятие
üДокумент о химическом реактиве / инвентаре
üАвтоматизированная система допуска на предприятие
üТелефонный абонент
üОфициальная переписка предприятия
Производственные системы и процессы подлежащие защите
üХимический процесс (обобщенно)
üАвтоматизированное управление химическим производством
üСистема ГО и ЧС
üПропускная система предприятия
üСистема видеонаблюдения
üАварийная система (аварийная блокировка)
üАТС предприятия
üЛокальная сеть предприятия
3. Предполагаемые угрозы и нарушители информационной безопасности предприятия
Внешние угрозы
ØВоздействия конкурентов.
ØУтечка конфиденциальной информации
ØПопытка украсть собственные технологические наработки предприятия, изобретения
ØНесанкционированный доступ к носителям информации
ØНесанкционированное проникновение на объект
ØСтихийные бедствия
ØПопытка нарушения химического производства (например, терроризм)
Øпреднамеренные и непреднамеренные действия поставщиков услуг по обеспечению безопасности и поставщиков технических и программных продуктов.
ØОтключение электричества
ØВандализм со стороны местных жителей
Внутренние угрозы
ØНеквалифицированные или халатные действия персонала при работе с информацией
ØВозможность появления на предприятии засланного агента конкурентов, недоброжелателей.
ØХимическая авария на предприятии
ØПожар
ØОтказ оборудования
Угрозы для химического производства
Химическое производство на КОАО «Азот» разделяется на цеха и производства. Каждое производство имеет свое ЦПУ. На ЦПУ аппаратно-программные комплексы под контролем операторов-инженеров управляют химическим процессом (аппараты работают без непосредственного участия человека).
Отсюда вытекают следующие возможные угрозы: физические - нарушения работы аппаратной инфраструктуры и программные - установка зловредных программ, искажающих химический процесс со всеми вытекающими последствиями.
Кроме того в памяти данных комплексов хранятся технологические наработки, данные о сырье / продукте и прочая конфиденциальная, т.е. возможна ее утечка, нарушение ее целостности и ввод ложных данных.
Еще возможен вариант, когда вместо оператора-инженера решения может принимать злоумышленник (удаленно либо каким-либо образом находясь физически на ЦПУ).
Угрозы системе ГО и ЧС
Выше перечисленные внешние и внутренние угрозы могут вызвать сбои в работе системе предупреждения об опасности. Здесь может быть как и ложное срабатывание системы, так и вывод ее из строя террористами, либо по неосторожности, что может привести к материальным и людским потерям, в случае реальной аварии.
Угрозы локальной системе предприятия
В данном контексте рассматриваются угрозы утечки конфиденциальной информации, несанкционированный доступ. Возможна угроза подмены данных или нарушения их целостности, что может повлиять на производственные процессы.
Угроза нарушения работы связи
На предприятии работает своя АТС. Здесь может возникнуть угроза установки прослушки (особенно это касается управленческих подразделений). Также злоумышленники, либо неосторожные действия персонала могут привести к отказу телефонной сети, что будет мешать принятию экстренных и плановых решений в управлении производством.
Нарушение охранной системы видеонаблюдения.
Неосторожные действия либо злой умысел могут привести к нарушению, либо полному отказу систем видеонаблюдения. В этом случае вероятность успеха у злоумышленников возрастет в разы.
4. Политика информационной безопасности
Данный документ является обязательным к изучению и исполнению всеми сотрудниками предприятия. Главным ответственным за исполнение перечисленных правил назначить начальника СБ. Техническую поддержку должен осуществлять УИС.
Документ построен в следующем формате: цель информационной безопасности, соответствующее ей правило, указания и пояснения к выполнению для данного правила сотрудниками.
Защита от несанкционированного доступа на предприятие
1.Вокруг территории предприятия должен быть бетонный забор высотой 3 метра. На верхней части забора необходимо установить колючую проволоку. Установить сигнализацию, на случай обрыва колючей проволоки и использования лестниц
.В тех местах, где над забором проходят производственные коммуникации (эстакады с различными трубопроводами) установить камеры видеонаблюдения. В ночное время должны работать мощные осветительные прожекторы. Патрулирование.
.Использовать ЧОП «Азот-К» в качестве охранного подразделения. Сотрудники должны быть вооружены резиновыми дубинками, использовать автомобильные транспорт.
.Организовать проходную систему для сотрудников предприятия. На проходных организовать автоматические турникеты.
.На проходных организовать вахту из числа сотрудников ЧОП «Азот-К» (по 2 охранника на проходную)
.На проходных должно вестись видеонаблюдение
.Каждый сотрудник предприятия должен иметь пропуск установленного образца. Пропуск на территорию предприятия может выдавать только бюро пропусков.
.Пропуски на территорию предприятия должны быть двух видов: однодневный и многолетний. Многолетние пропуска менять каждые 5 лет.
.В случае утраты или повреждения пропуска работник обращается в СБ и пишет заявление установленного образца. Далее происходит процедура выдачи нового пропуска.
.При выдаче пропуска сотрудник бюро пропусков проверяет паспорт работника, и наличие других документов согласно установленных правил.
.На территории предприятия сотрудник обязан носить с собой пропуск.
.Запрещается оставлять свой пропуск на рабочем месте и в других местах.
.Сотрудники охраны проводят периодическое патрулирование территории. Производится выборочная проверка персонала на предмет наличия пропуска.
.Если сотрудник предприятия находит чужой пропуск, он сдает его в бюро пропусков.
.Каждая проходная предприятия оборудуется автоматической системой проверки пропуска (турникет).
1)Порядок пропуска на предприятие
1.При входе / выходе с территории предприятия, сотрудник предприятия подносит свой пропуск к считывающему устройству на турникете. Если у сотрудника есть доступ, то турникет открывается, световая сигнализация загорается зеленым светом.
.Если пропуск поддельный, то сотрудники ЧОП «Азот-К» принимают меры по предотвращению несанкционированного доступа, в соответствии с законодательством РФ.
.Если у сотрудника нет доступа на данный объект, но он является сотрудником предприятия, сотрудник охраны предупреждает проходящего человека, что у него нет доступа на данный объект.
.Если сотрудник, без доступа на данный объект должен попасть туда по профессиональным обязанностям, сотрудник охраны звонит начальнику объекта и выясняет - поступала ли заявка на данного сотрудника.
.В случае наличия заявки на работу, охрана пропускает сотрудника.
.Сотрудник СБ следит через видеокамеры за территорией вокруг пропускного пункта.
2)Пропуск транспорта
1.Для пропуска автомобильного транспорта на территорию предприятия на проходных оборудовать пропускные ворота со шлагбаумом.
.Для проезда на предприятие сотрудники охраны проверяют пропуск и документы на автомобиль. Охрана проводит осмотр кузова и салона автомобиля.
.Водитель и пассажиры транспортного средства для прохода на предприятие или выхода с него должны покинуть транспортное средство и воспользоваться турникетом.
.Сотрудники охраны должны следить за состоянием шлагбаумов.
.Техническое обеспечение шлагбаумов и пропускных систем проводит УИС.
.Для пропуска железнодорожного транспорта на предприятие и используется специальный контрольно-пропускной пункт.
.Машинист поезда предъявляет документы разрешающие ввоз / вывоз состава на территорию. Документы должны соответствовать установленному образцу. Контроль производят дежурные сотрудники СБ.
.Во время проезда состава сотрудники охраны проводят визуальный осмотр проезжающих вагонов.
.Сотрудники охраны следят за тем, чтобы на вагонах зацепом не проникали на территорию посторонние люди, местные жители и др.
.На крыше железнодорожного КПП установить видеонаблюдение. Дежурный сотрудник СБ проверяет чтобы в момент проезда состава не было людей на крыше вагонов, в кузовах полувагонов и пр.
2.Защита химического производства
1.Для предотвращения несанкционированного доступа от внутренних угроз на каждом химическом объекте должно вестись видеонаблюдение.
.Особо опасные объекты должны иметь дополнительную внутреннюю охрану. Для этой цели возвести вокруг таких объектов забор с колючей проволокой.
.Для прохода персонала на особо опасные объекты организовать проходные. На проходной должен быть размещен пост охраны. На посту охраны задействовать сменного охранника из числа сотрудников ЧОП «Азот-К». На посту должно вестись видеонаблюдение.
.Сотрудники, выполняющие профессиональные обязательства на химически опасных объектах должны иметь разрешение подписанное начальником особо опасного химического объекта, по заявке поданной начальником проходящего на объект сотрудника.
.Для предотвращения воровства и вандализма на химических объектах и цехах, на территории цеха установить видеокамеры. Видеонаблюдение производить сотрудниками СБ.
.Аппаратура и лица, занимающиеся видеонаблюдением должны находиться в помещении ЦПУ цеха.
.Для выявления и предотвращения прочих нарушений на территории предприятия вести периодическое круглосуточное патрулирование. Для этой цели привлечь сотрудников ЧОП «Азот-К»
Защита автоматизированного управления химическим производством
1.Аппаратно-программные комплексы управления производством разместить в помещениях ЦПУ.
.Для защиты от несанкционированного доступа помещения ЦПУ круглосуточная смена инженеров-операторов, а также начальник смены химического объекта должны следить за приходящими на объект людьми. В случае появления посторонних сообщить в СБ.
.Аппаратное обеспечение поместить в стальные шкафы с замками. Ключ от такого шкафа должен быть в 2 экземплярах. Первый экземпляр должен храниться у начальника смены химического объект. Второй у начальника сервисного обслуживания пользователей УИС.
.Программное обеспечение устанавливать строго сотрудникам УИС.
.Программное обеспечение должно быть лицензионным, от проверенных поставщиков.
.Перед использованием программного обеспечения сотрудники УИС и сотрудники химического цеха совместно с диспетчером проводят тестирование аппаратно-программного комплекса в целом.
.Тестирование проводить летом, в период остановки цеха на капитальный ремонт.
.Сотрудник СБ, находящийся на ЦПУ занимается видеонаблюдением, следит за появлением посторонних лиц, а также за действиями сотрудников и инженеров-операторов.
.Для защиты от кражи, подмены либо исключения информации, поступающей от датчиков химического процесса к программно-аппаратным комплексам сотрудник СБ, находящийся на ЦПУ следит за датчиками с помощью систем видеонаблюдения.
.В случае невозможности видеонаблюдения за датчиком, установить сигнализацию, либо иные алгоритмы слежения за валидностью поступающей от датчиков информации.
.Установить дублирующие аппаратно-программные комплексы.
3.Защита систем ГО и ЧС
1.Информационные системы предупреждения об опасности должны быть дублированы.
.Центральный диспетчерский пункт должен быть оборудован видеонаблюдением. Видеонаблюдение проводит дежурный сотрудник СБ.
.Раз в месяц проводить учебные тревоги для проверки работоспособности системы.
.Средства аудио оповещения разместить вне зоны свободного доступа людей.
4.Защита пропускной системы предприятия
1.Сотрудники охраны следят за тем, чтобы не было случаев обхода турникетов.
.Охрана следит за состоянием работоспособности пропускной системы, предотвращает взлом системы безопасности.
.В случае повреждения пропускной системы, охрана сообщает об этом центральному диспетчеру. Пропуск людей осуществляет вручную, путем сравнения лица человека с фотографией на предъявляемом пропуске.
5.Защита системы связи (АТС предприятия)
1.Помещение с телефонными коммутаторами должно быть оборудовано стальной дверью с замком.
.Ключ от коммутаторной должен быть в 2 экземплярах. Один экземпляр хранится у начальника цеха связи, второй у центрального диспетчера.
.Помещение коммутаторной, а также дверь должны находиться под постоянным видеонаблюдением.
.Для видеонаблюдения привлечь сотрудников СБ.
.Для защиты от прослушки цех связи должен установить средства защиты от прослушки.
.Для учета аппаратов связи должна производиться ежегодная инвентаризация.
.Сотрудники цеха связи обязаны следить за возможной утечкой информации.
.В случае обнаружения прослушки и других действий злоумышленников, сотрудники цеха связи обязаны сообщить об инциденте в СБ и центральному диспетчеру. Далее происходит устранение вредных воздействий.
.Центральный диспетчер должен оповещать о проводимых ремонтных работах средств связи.
.В случае обнаружения действий злоумышленников центральный диспетчер также проводит оповещение тех сотрудников, на которых направлено действие.
.В случае обнаружения прослушки, сотрудникам запрещается использовать средства связи до устранения.
.Сотрудники СБ обязываются проводить служебные расследования вредных воздействий.
.Для надежности связи, связь с особо важными объектами должна быть продублирована.
.Цех связи должен отслеживать ситуацию на рынке средств защиты от прослушки и при появлении новых разработок уведомлять руководство СБ о возможности применения таких средств на КОАО «Азот»
.Для восстановления связи с важными объектами в цеху связи должна быть введено круглосуточное дежурство ремонтного персонала.
6.Защита локальной сети и информационных ресурсов сети предприятия
1)Общие правила пользования ресурсами сети предприятия
1.Доступ к сети и к любому компьютеру в сети предприятия, разрешен только при наличии личной учетной записи сотрудника.
.Учетная запись выдается пользователю согласно Действующей политике информационной безопасности.
.Пароль личной учетной записи должен меняется каждые 3 месяца
.Сотрудник обязан хранить свой пароль в тайне. Запрещается сообщать пароль своим коллегам и другим сотрудникам, родным и др. лицам.
.Запрещено записывать свой пароль на бумажный или электронный носитель. Сотрудник обязан помнить свой пароль наизусть.
.Сотрудникам запрещается пользователями личными информационными носителями. Контроль за соблюдениями данного пункта осуществляет СБ с помощью систем видеонаблюдения.
.Сотрудникам запрещается устанавливать ПО и менять настройки операционной системы.
.После завершения работы на компьютере, пользователь обязан выполнить операцию выхода из системы, либо завершения работы.
.В случае обнаружения на предприятии вредительских действий, виновным признается тот, с чьей учетной записи были произведены вредные действия, кроме тех случае, когда пользователь докажет, что отсутствовал на территории предприятии, либо в районе нахождения компьютера с IP-адресом, с которого были произведены вредные действия.
2)Ограничение доступа
Ввести следующие классы доступа:
.Доступ к внутренним веб-ресурсам предприятия и документам общего характера
.Доступ к Базам данных
.Доступ к управлению химическим производством
.Доступ к бухгалтерским документам
.Доступ к сети интернет
.Доступ к учетным записям и настройкам ИС