Обеспечение безопасности информации, обрабатываемой в автоматизированной системе компании ПАО «ГЕОТЕК Сейсморазведка»

Масштабы компьютерной преступности возрастают с каждым годом. К примеру, согласно аналитическому отчету, проведенному компанией ЗАО «Инфовотч», число опубликованных утечек конфиденциальной информации в 2017 году составило 2131 случай, что на 36,9% превышает аналогичный показатель 2016 года. Также, согласно официальной статистики, размещенной на сайте Генеральной Прокуратуры РФ https://genproc.gov.ru/upload/iblock/2b7/sbornik_8_2018.pdf : За январь-август 2018 года правоохранительными органами Российской Федерации зарегистрировано 107 980 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. Ущерб от преступлений составил 399 482 866 тысяч рублей, что на 43,6% больше аналогичного показателя прошлого года.
С целью противодействия угрозам безопасности информации, циркулирующей в автоматизированной системе организации необходима разработка грамотной политики информационной безопасности.
Предметом исследования в выпускной квалификационной работе является необходимость разработки политики информационной безопасности для автоматизированных систем в защищенном исполнении в компании ПАО «ГЕОТЕК Сейсморазведка». Организация является крупнейшей геофизической компанией, основной сферой деятельности которой является сейсморазведочные работы. Количество работников предприятия составляет примерно 8,1 тысячи человек, количество пользователей в корпоративной сети – 1200.
Целью выпускной квалификационной работы является обеспечение безопасности информации, обрабатываемой в автоматизированной системе компании ПАО «ГЕОТЕК Сейсморазведка» от различных угроз информационной безопасности, а также предотвращение и минимизация ущерба в случае реализации злоумышленниками неблагоприятных событий.
Задачами выпускной квалификационной работы являются:
Анализ государственных стандартов Российской Федерации в области защиты информации (ГОСТ 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении

. Общие положения»);
Анализ государственных стандартов Российской Федерации в области построения системы информационной безопасности (ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002);
Исследование основных объектов защиты в организации;
Классификация угроз информационной безопасности;
Формирование мер, направленных на обеспечение информационной безопасности в организации.
В выпускной квалификационной работе в разделе №1 определены требования к системе защиты информации, обрабатываемой в АСЗИ. В подразделе 1.4 определены цели и задачи защиты информации в АСЗИ. Определены принципы, являющиеся основой политики безопасности:
Законность;
Системность
Комплексность
Непрерывность
Своевременность
Преемственность и непрерывность совершенствования
Разумная достаточность
Персональная ответственность
Минимизация полномочий
Обязательность контроля
В подразделе 1.5 определены объекты защиты, включающие в себя информационные ресурсы, процессы обработки информации, информационную инфраструктуру организации. Также, в разделе №1 определены виды угроз информационной безопасности, на их основе составлена таблица типичных способов реализации угроз информационной безопасности. С целью противодействия выявленным угрозам, определены меры по обеспечению информационной безопасности, включающие в себя меры по обеспечению конфиденциальности, целостности и доступности информации. В качестве отдельных видов защищаемой информации рассмотрена коммерческая тайна и персональные данные.
В разделе №2 разработан Порядок обеспечения информационной безопасности при использовании информационных ресурсов корпоративной сети и сети Интернет. Определены риски и показатели эффективности для данного Порядка. Основными рисками процесса являются:
несанкционированный доступ к информационным ресурсам вследствие несоблюдения политики;
нарушение информационной безопасности вследствие несоблюдения пользователями и их руководителями политики в области информационной безопасности.
В качестве ключевых показателей эффективности для процесса принимаются:
регламентирование действий пользователей по обеспечению информационной безопасности при использовании информационных ресурсов;
отсутствие нарушений информационной безопасности при использовании ресурсов корпоративной сети и сети интернет, повлекших причинение ущерба экономического или репутационного характера;
отсутствие нарушения целостности, доступности и достоверности информации при обработке ее в корпоративной сети.
В данном Порядке определены требования к пользователям по работе в корпоративной сети организации, определены требования по обеспечению информационной безопасности при использовании сети Интернет и корпоративной электронной почты