Аудит информационной безопасности Администрации
Сбор информации. Сбор информации заключается в глубоком анализе всех уровней иерархии информационной системы. Проводится анализ процессов, протекающих в ИС. Составляется список политик и регламентов. Строится структура информационной системы в целом. Проводится анализ состояния оборудования, его настроек и параметров. Проводится анализ установленного программного обеспечения. Проверяется… Читать ещё >
Аудит информационной безопасности Администрации (реферат, курсовая, диплом, контрольная)
Цели и этапы аудита Информационная система (ИС) — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационные технологии (ИТ) — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Аудит информационной системы — это системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику[2].
Основные цели аудита:
Создание документации по имеющейся инфраструктуре;
Проверка соответствия инфраструктуры, определённой политике;
Создание регламента или политики с целью оптимизации инфраструктуры;
Выяснение причин инцидентов, сбоев, отказов в обслуживании;
Установка, соответствия ИТ-инфраструктуры политике безопасности;
Сбор данных перед проведением крупномасштабных реорганизаций ИТ-инфраструктур, например при слиянии и разделении компаний;
Проверка квалификации персонала ИТ отдела.
Оценка оправданности затрат на ИТ, с целью их снижения.
После завершения проекта требуется проверить, выполнено ли проектное задание [19];
Были использованы 4 глобальных этапа Аудита:
- 1. Сбор информации. Сбор информации заключается в глубоком анализе всех уровней иерархии информационной системы. Проводится анализ процессов, протекающих в ИС. Составляется список политик и регламентов. Строится структура информационной системы в целом. Проводится анализ состояния оборудования, его настроек и параметров. Проводится анализ установленного программного обеспечения. Проверяется корректность всех параметров.
- 2. Анализ собранных данных. Проверяется оптимальность инфраструктуры в целом и её соответствие задачам предприятия. Анализируется оптимальность процессов управления ИС. Проверяется корректность настроек оборудования и программного обеспечения. Производится сверка политик с реальными параметрами программного обеспечения и оборудования.
- 3. Составление документации. По итогам анализа составляется подробный отчёт, который содержит описание инфраструктуры ИС в целом. Также в отчёте отдельно указываются все найденные несоответствия или противоречия.
- 4. Создание стратегии развития или реорганизации. Вместе с отчётом аудита, создаются рекомендации по реорганизации инфраструктуры ИС. Рекомендации по оптимизации ИС процессов, рекомендации по изменению тех или иных параметров ПО и оборудования[13].
Характеристика информационной системы Администрации Перечень защищаемых информационных ресурсов в Администрации муниципального образования «Синезерское сельское поселение» представлен в таблице 2.1.
Таблица 2.1 — Перечень защищаемых информационных ресурсов.
Наименование (тип) защищаемого ресурса. | Категория защищаемого ресурса. | Место хранения защищаемого ресурса. |
1. Традиционные (бумажные) документы. | ||
1.1. Документы на столах работников. | Конфиденциальная. | столы работников. |
1.2. Документы в шкафах и сейфах. | Конфиденциальная. | шкафы и сейфы. |
1.3. Документы в папках. | Конфиденциальная. | шкафы. |
2. Электронные документы. | ||
2.1. ЖМД персональных ЭВМ. | Конфиденциальная. | кабинеты. |
2.2. ЖМД сервера с каталогами БД. | Конфиденциальная. | кабинет бухгалтера. |
Перечень пользователей допущенных к обработке информации представлен в таблице 2.2.
Таблица 2.2 — Перечень пользователей, допущенных к обработке информации.
Идентификатор | Ф.И.О. | Уровень полномочий. |
Системный администратор | Зайцев И.Я. | Администратор |
Глава администрации. | Швачунова Л.А. | Привилегированный пользователь. |
Ведущий специалист. | Ляхов Е.В. | Пользователь. |
Специалист I категории. | Королева Е.А. | Пользователь. |
Специалист II категории. | Немцева Н.В. | Пользователь. |
Бухгалтер | Новикова Ж.К. | Привилегированный пользователь. |
Участковый. | Дворников А.А. | Пользователь. |
Инспектор военно-учетного стола. | Сачков П.М. | Пользователь. |
В таблице 2.3 приведена матрица доступа к защищаемым информационным ресурсам.
Таблица 2.3 — Матрица доступа к защищаемым информационным ресурсам.
Права по доступу к информации*. | |||
Наименование ресурса. | Администратор | Привилегированный пользователь. | Пользователь. |
ЖМД сервера. | R, W, D, N, E. | R, W, N, E. | R, W, E. |
ЖМД ЭВМ. | R, W, D, N, E. | R, W, D, N, E. | R, W, N, E. |
*R-чтение; W-запись; D-удаление; Nпереименование; E-исполнение. |
Структура программного обеспечения Администрации Перечень разрешенного к использованию программного обеспечения на объекте информатизации, представлен в таблице 2.4.
Таблица 2.4 — Перечень разрешенного к использованию программного обеспечения.
№. | Наименование ПО. | Серийный номер, версия. |
Операционная система. | ||
Windows XP SP3 Build. Windows Server — SP2. | 6002.18 005.090410−1830. 7.4.4251.2147. | |
Программа обработки документов. | ||
MS Office 2007. | 64 824−357−9 438 765−159. | |
Антивирусная защита. | ||
Антивирус Касперского. | 12.0.0.374. | |
Другие программы. | ||
4.1. | ViPNet CryptoService. | 6.0.2. |
4.2. | Программа подготовки отчетных документов для ПРФ «Spu_orb» . | 1.0.0.3. |
4.3. | ПП «СТЭК — ТРАСТ». | 2.0.1. |
4.4. | Программа «Формы статотчетности (предприятие)». | 4628−346−495. |
4.5. | АИС «Налог». | fd7gz-esrg4-hts54−554gx. |
Перечень установленных средств защиты информации от несанкционированного доступа представлен в таблице 2.5.
Таблица 2.5 — Перечень установленных СЗИ от НСД.
№. | Наименование. | Номер | Изготовитель. | Сертификат. | |
Антивирус Касперского. | 12.0.0.374. | ЗАО «Лаборатория Касперского». | №. | 6jfiw86f-5a93−4f4e-rh57fkw12xc5. | |
до. | 03.09.2012. | ||||
ViPNet CryptoService. | 3.2. | ОАО «Инфотекс» . | №. | gh56d-djs-sdk39-dks. | |
до. | 01.01.2014. |
Виды угроз информации Администрации Угроза безопасности информации — возможность возникновения такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение физической целостности, логической структуры, несанкционированная модификация информации, несанкционированное получение информации, несанкционированное размножение информации.
Основными видами угроз безопасности информации являются следующие источники угроз:
стихийные бедствия;
сбои и отказы оборудования;
ошибки эксплуатации;
преднамеренные действия нарушителей и злоумышленников[2].
Классификация видов угроз представлена на рисунке 2.1.
Перечень возможных угроз и средств борьбы с ними представлен в таблице 2.6.
Таблица 2.6 — Возможные угрозы и средства борьбы с ними.
Возможные угрозы. | Средства для уменьшения количества уязвимостей и снижения степени ущерба от угроз. |
Основные непреднамеренные искусственные угрозы. | |
заражение компьютера вирусами; | Антивирус Касперского. |
неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной; | Утверждение инструкций по работе с конфиденциальной информацией. |
игнорирование организационных ограничений (установленных правил) при работе в системе; | Контроль за соблюдением правил работы с защищаемой информацией и привлечение к ответственности за ее нарушение. |
некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом средств защиты; | Утверждение Должностной инструкции системного администратора по информационным технологиям (IT-специалист). В ней перечислены обязанности данного работника по организации информационной системы и ее безопасности. |
неумышленное повреждение каналов связи. | Провода каналов связи проложены в коробах. |
Основные преднамеренные искусственные угрозы. | |
отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.); | Установлены источники бесперебойного питания. (позволяют сохранить данные и завершить работу ПК.). |
несанкционированный доступ в помещения учреждения для совершения кражи или других действий в не рабочее время; | Дежурит охранник. Рекомендуется так же установка охранно-пожарной сигнализации, с возложением на охранника обязанностей вызова милиции или пожарной службы при срабатывании сигнализации. |
нарушение конфиденциальности при почтовой пересылке в электронном виде отчетности; | Обеспечивается программными продуктами Система «СТЭК-Траст», ViPNet [Деловая почта], которые поддерживают шифрование. |
нарушение аппелируемости при почтовой пересылке в электронном виде отчетности. | Обеспечивается программными продуктами Система «СТЭК-Траст», ViPNet [Деловая почта]. Данные продукты поддерживают ЭЦП. Так же обеспечивают категории информационной безопасности как целостность и аутентичность. |
Естественные угрозы. | |
1) пожары. | Установлена охранно-пожарная сигнализация Инструкция по пожарной безопасности. |
Исходные данные для проведения классификации Администрации Перечень конфиденциальных сведений Администрации Информация, обращающаяся в МО «Синезерское сельское поселение», представлена как в бумажном виде, которая хранится в каждом отделе так и в электронном виде, хранящаяся на сервере, который находится у бухгалтера, а также на каждом персональном компьютере в каждого специалиста. Данная информация не является информацией ограниченного доступа, и доступ к ней в рамках своей организации в установленном порядке имеют все сотрудники администрации.
В общем виде можно выделить состав информационных ресурсов, подлежащих защите в администрации. Данные представлены в таблице 2.7.
Таблица 2.7 — Состав информационных ресурсов администрации муниципального образования «Синезерское сельское поселение», подлежащих защите.
№ п/п. | Наименование элемента информации. | Гриф конфиденциальности информации. | Наименование источника информации. | Местонахождение источника информации. |
Бухгалтерская отчетность. | Коммерческая тайна. | Бухгалтерия (персонал, документы). | Бухгалтерия (бумажные и электронные носители), винчестер | |
Налоговые декларации. | Налоговая тайна. | Бухгалтерия. | Сейф бухгалтерии, винчестер | |
Финансовая отчетность. | ДСП. | Бухгалтерия. | Сейф бухгалтерии, винчестер | |
Персональные данные. | Конфиденциально. | Персонал, документы. | Сейф в кабинете Главы администрации. | |
Сведения реестра по учету муниципального имущества. | ДСП. | Материально технические лица. | Сейф в приемной. | |
Сведения о порядке и состоянии служба зации защиты службной тайны в администрации поселка Синезерки. | ДСП. | Материально технические лица. | Сейф в кабинете Главы администрации. | |
Сведения о порядке и организации охраны, пропускном режиме, системе сигнализации. | ДСП. | Материально технические лица. | Сейф в кабинете Главы администрации. | |
Переписка по вопросам накопления запасов мобилизационного резерва в отдельных организациях. | ДСП. | Военно-учетный стол. | Сейф в приемной. | |
Переписка по вопросам гражданской обороны. | ДСП. | Военно-учетный стол. | Сейф в приемной. |
Эффективность существующей системы безопасности Администрации По результатам аудита информационной безопасности существующей системы безопасности предприятия было выявлено следующее:
Существующая система защиты недостаточно надёжная.
Вынос документации по разработкам не сопровождается подписанием документов о не разглашении (имеется лишь устная договорённость).
Отсутствует система управления доступом (защита от несанкционированной загрузки персонального компьютера, ограничение доступа к внутренним ресурсам).
Существующие недостатки рассмотрены в следующих категориях.
Организационно-правовое направление защиты.
Аудит информационной безопасности объекта защиты показал, что на предприятии циркулирует большой объём информации, имеющей высокую степень важности.
В положениях о подразделениях и должностных инструкциях руководителей и работников никакой ответственности за уничтожение, искажение или утерю информации не предусмотрено, упоминания об информационной безопасности отсутствуют. Никаких инструкций и правил, регламентирующих информационную безопасность, не предусмотрено.
Среди установленных организационных мер по обращению с техническими средствами особо выделены следующие:
Конфиденциальные документы хранятся в сейфах.
Дополнительных мероприятий по отношению обеспечения информационной безопасности IT-специалистами, работающими на предприятии не выявлено.
С целью совершенствования защищенного документооборота дополнению подлежат существующие на данном предприятии нормативно-правовые документы:
- 1. Инструкция по конфиденциальному делопроизводству;
- 2. Положение о конфиденциальной информации предприятия;
Программно-аппаратные направление защиты Программно-аппаратные средства реализованные на предприятии:
Использование антивирусных средств.
Программно-аппаратные меры позволят уменьшить риск таких угроз как нарушение доступности информации, и вероятность возникновения уязвимостей ошибки, сбои и отказы.
Выявлены следующие возможные меры защиты:
Использование неавторизованных USB устройств представляет угрозу локальной сети и данным.
Кроме доступа к USB портам существует спектр потенциально опасных устройств: дисководы, CD-ROM, модемные (COM) порты, WiFi и Bluetooth адаптеры.
Инженерно-технические направление защиты В здании Администрации на данном этапе приняты следующие меры по защите информации:
- 1. Все помещения оборудованы взломостойкими сейфами по мере необходимости.
- 2. Существует устаревшая система пожарной сигнализации
Из вышеуказанной информации следует, что в данный момент на предприятии отсутствует комплексная система защиты информации. Меры, принимаемые для защиты информации, являются недостаточными. Информация на предприятии недостаточно защищена от угроз утери, искажения и уничтожения. Здание Администрации следует переоборудовать современными средствами охранно-пожарной безопасности. Также следует разработать систему защиты для проведения конфиденциальных совещаний.
Защита персональных данных служащих администрации Защита персональных данных для большинства коммерческих компаний и государственных организаций является одной из наиболее актуальных проблем. Кража персональных данных является серьезной проблемой мирового масштаба, которая требует от органов государственной власти принятия конкретных мер по ее урегулированию. В январе 2007 года в России вступил в силу Федеральный закон «О персональных данных"(№ 152-ФЗ), который требует от каждой организации, обрабатывающей персональные данные своих сотрудников, клиентов и партнеров, обеспечить конфиденциальность персональной информации и принять все необходимые меры против изменения, блокирования, копирования, распространения данных и иных неправомерных действий.
Под понятие «персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое, система защиты персональных данных нужна фактически любой организации[29].
Обязательными условиями обработки конфиденциальных сведений, гарантирующими защиту прав и законных интересов граждан, в статистических и научных целях являются:
- 1. Обеспечение соответствующего режима хранения и защиты полученных оператором в процессе деятельности персональных данных.
- 2. Обезличивание обрабатываемых персональных данных.
Должность главы администрации является избираемой, в соответствии с действующим избирательным законодательством в состав персональных данных, подлежащих обработке в целях реализации избирательных прав граждан, освещения хода, характера и содержания проходящих выборов, относит:
- 1)биографические данные кандидатов, включающие их фамилию, имя, отчество, дату и место рождения, а в случае необходимости гражданство, время проживания на территории РФ;
- 2)основное место работы или службы, занимаемая должность (в случае отсутствия основного места работы или службы — род занятий);
- 3)адрес места жительства;
- 4)образование;
- 5)номер и дату выдачи паспорта или документа, заменяющего паспорт гражданина, наименование и код выдавшего его органа;
- 6)сведения о наличии неснятой или непогашенной судимости;
- 7)сведения о размере и об источниках доходов кандидата и его супруга, о вкладах в банках, ценных бумагах, об обязательствах имущественного характера кандидата и его супруга.
По смыслу действующего законодательства получение согласия при их обработке не требуется в случаях опубликования информации об итогах регистрации кандидатов, биографических данных зарегистрированных кандидатов, иных сведений, поступающих в избирательные комиссии, итоги голосования по каждому зарегистрированному кандидату.
Аналогичные требования установлены в отношении персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Конфиденциальность персональных данных предполагает обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания[29].
Федеральный закон № 25-ФЗ от 02.03.07 «О муниципальной службе в Российской Федерации». Законом устанавливаются основы правового регулирования отношений, связанных с поступлением граждан Российской Федерации на муниципальную службу, ее прохождением и прекращением, а также с определением правового положения муниципальных служащих. В Федеральном законе учтены нормы законодательства Российской Федерации о государственной гражданской службе, отражающие взаимосвязь этого вида государственной службы и муниципальной службы, а также положения Федерального закона от 6 октября 2003 г. N 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации». Нормы Закона предусматривают обеспечение единого статуса муниципальных служащих, их основных прав и обязанностей, ограничений и запретов, связанных с муниципальной службой [15].
При обеспечении безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, необходимо соблюдать следующие меры:
А. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Б. Необходимо обеспечивать раздельное хранение персональных данных, обработка которых осуществляется в различных целях.
В. При хранении материальных носителей должна обеспечиваться сохранность персональных данных и исключающее несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором[13].