Модернизация системы информационной безопасности БТИ

Ресурсы, на предприятиях использующих АСОД, можно разделить на два типа:

1. технические ресурсы (информационно-вычислительные);
2. информационные.

К первому типу относятся СВТ, ко второму - отдельные  документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)/7/.

Так же согласно Федеральному закону № 24-ФЗ от 20 февраля 1995 года «Об информации, информатизации и защите информации», информационные ресурсы могут быть государственными и негосударственными и как элемент состава имущества находятся в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений.

Государственные информационные ресурсы Российской Федерации являются открытыми и общедоступными. Исключение составляет документированная информация, отнесенная законом к категории ограниченного доступа. Документированная информация с ограниченным доступом по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную.

Исходя из Федерального закона № 24-ФЗ, все информационных ресурсов можно классифицировать следующим образом (рисунок 1.7/7/):

 

 

Рисунок 1.7 – Виды ресурсов предприятия

 

К ресурсам подлежащим защите относятся информационные и технические ресурсы.

В ФГУП к техническим  ресурсам можно отнести следующие.

1. Серверы:
• сервер управления;
• сервер баз данных;
• файловый сервер.
2. АРМ.
3. Принтеры и плоттеры.
4. Сетевое оборудование (коммутаторы, маршрутизаторы).

Среди информационных выделяют следующие.

На твердом  носителе (в данном случае бумага).

1. Копии документов, удостоверяющих личность заказчика  (паспорт гражданина РФ).

2. Технические  паспорта на объекты недвижимости.

3.  Свидетельства  о праве на земельные участки  (акт об отводе земельного участка, государственный акт на право постоянного (бессрочного) пользования земельным участком, кадастровые дела на земельные участки с присвоенными кадастровыми номерами).

4. Справки о  балансовой стоимости с указанием  остаточной балансовой стоимости на период проведения технической инвентаризации подписанная руководителем и главным бухгалтером.

5. Проектная,  исполнительная документация. Материалы  геосъемки земельного участка и находящихся на нем зданий и сооружений, подземных сетей, выполненные специализированной организацией, представленная на бумажных носителях.

6. Адресная справка,  выданная уполномоченной организацией  на территории соответствующего муниципального образования.

7. Акт госкомиссии, разрешение  на ввод объектов в эксплуатацию.

8. Договор купли – продажи.

9. Договор мены, дарения.

10. Выписка из реестра федерального имущества.

11. Бухгалтерские  отчетности.

Электронные.

1. Оцифрованные документы перечисленные выше.
2. Проектная, исполнительная документация. Материалы геосъемки земельного участка и находящихся на нем зданий и сооружений, подземных сетей, выполненные специализированной организацией.

Исходя из вышеперечисленного, необходимо отметить, что электронные  ресурсы относятся к государственной  собственности, имеют ограниченный доступ и относятся к конфиденциальным.

Таким образом, выделенные ресурсы подвержены угрозам  ИБ, и в случае реализации угроз  предприятие может понести различного рода ущерб. Можно выделить три вида ущерба (рисунок 1.8).

 

 

Рисунок 1.8 – Виды возможного ущерба

 

Проявления  возможного ущерба могут быть различны и иметь смешанный характер:

• моральный и материальный ущерб деловой репутации организации;
• моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
• материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
• материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
• материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
• моральный и материальный ущерб от дезорганизации деятельности организации;
• материальный и моральный ущерб от нарушения международных отношений/12/.

Так же ущерб  можно рассмотреть по степени тяжести последствия от угроз ИБ. На рисунке 1.9 представлена классификация ущерба по степени тяжести.

 

 

Рисунок 1.9 –  Степени тяжести последствий от угроз ИБ

 

Высокая тяжесть  означает, что в результате реализация угроз может привести к резкому ухудшению всех финансово-экономических показателей деятельности субъекта предпринимательства, что вызывает немедленное прекращение его деятельности либо наносят такой непоправимый вред, который приведет к этим же последствиям позднее. В этом случае происходит ликвидация фирмы.

Значительная  степень тяжести последствий  реализации угроз предполагает возможность нанесения фирме таких финансовых потерь, которые окажут негативное воздействие на основные финансово-экономические показатели фирмы, на ее деятельность в будущем и преодолеваются в течение длительных сроков времени.

Средняя степень  тяжести означает, что преодоление  последствий осуществления угроз требует затрат (наносит потери), сопоставимые с текущими затратами фирмы и не требует значительного времени.

Низкая степень  тяжести последствий, не оказывают  какого-либо существенного воздействия ни на стратегические позиции фирмы, ни даже на ее текущую деятельность/6/.

Исходя из описанного выше, в ФГУП можно выделить ряд  возможных последствий от реализации угроз ИБ. В первую очередь необходимо отметить, что ущерб в основном будет являть материальным. Основной ущерб будет приходиться на технические ресурсы ФГУП, т.к. данный вид ресурсов предполагает использование и хранение цифровых информационных ресурсов. Но нельзя опустить тот факт что на предприятии используются и не цифровые информационные ресурсы, хотя большая их часть имеет цифровые копии, но данные ресурсы имеют не меньшую ценность.

Если оценивать  ущерб по степени тяжести последствий  наибольшие потери возникнут в случае вывода из строя технических ресурсов ФГУП, т.к. произойдет приостановка производственного документооборота и возможна потеря цифровых информационных ресурсов, что в свою очередь по данной классификации определяется как значительная тяжесть последствия. В случае если реализация угроз ИБ затронет лишь цифровые информационные ресурсы, тяжесть последствия может характеризоваться как средняя, в крайнем случае, например, стихийные бедствия, тяжесть может перейти в категорию значительной тяжести последствий или даже высокой. Тяжесть всех этих последствий в первую очередь зависит от конкретных угроз. Исходя из этого принципа, была составлена таблица степени тяжести последствий от конкретных угроз ИБ в ФГУП.

 

Таблица 1.5 –  Степень тяжести последствий от угроз ИБ в ФГУП

Угроза ИБ	Степень тяжести  последствий (ущерб)
Ошибки пользователей  и системных администраторов	средняя - низкая
Нарушения сотрудниками фирмы установленных регламентов  сбора, обработки, передачи и уничтожения информации	средняя
Ошибки в  работе программного обеспечения	низкая
Отказы и  сбои в работе компьютерного оборудования	средняя
Заражение компьютеров  вирусами или вредоносными программами	средняя
Несанкционированный доступ (НСД) к корпоративной информации	средняя - значительная
Информационный  мониторинг со стороны конкурирующих  структур, разведывательных и специальных служб	средняя
Действия государственных  структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации	средняя - значительная
Аварии, пожары, техногенные катастрофы	значительная - высокая

 

1.4 Определение  общих требований  к системе  защиты информации для ФГУП  «Ростехинвентаризация – Федеральное  БТИ»

 

Вне зависимости  от конкретных видов угроз, АСОД удовлетворяет  потребности организации, если обеспечиваются следующие свойства информации и систем ее обработки:

Конфиденциальность  информации - субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию втайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений.

Целостность информации - существование информации в неискаженном виде (неизменном по отношению к  некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, т.е. ее неискаженности.

Доступность информации - свойство системы (среды, средств и  технологии обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

Таким образом, информационная безопасность АСОД обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень:

1. конфиденциальности (невозможности несанкционированного получения какой-либо информации);
2. целостности (невозможности несанкционированной или случайной ее модификации);
3. доступности (возможности за разумное время получить требуемую информацию).

Но также  независимо от нарушения свойств  информации, система информационной безопасности должна обеспечивать перекрытие всех возможных угроз ИБ. А угрозы ИБ влияют не только на свойства информации, но и на технические ресурсы предприятия. Таким образом, система защиты информации  безопасности должна отвечать следующим требованиям:

1. требованиям неискаженности свойств информации;
2. требованиям класса защищенности АСОД;
3. требованиям класса защищенности СВТ;
4. требованиям по защите информации от НСД.

Так же система  защиты информации должна выполнять  следующие функции:

• предупреждение о появлении угроз безопасности информации;
• обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;
• управление доступом к защищаемой информации;
• восстановление системы защиты информации и защищаемой информации после воздействия угроз;
• регистрацию событий и попыток несанкционированного доступа к защищаемой информации и несанкционированного воздействия на нее;
• обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на их выход из строя.

 

1.5 Постановка  задачи