Проектная часть

Для введения режима коммерческой тайны на предприятии ООО «Авиаспецтехнология» в первую очередь необходимо определить перечень конфиденциальной информации (информационных активов). Классификация информации проводится комиссией из работников организации ООО «Авиаспецтехнология» и руководителей высшего звена, что видно из рисунка 3 Рисунок №3 – виды конфиденциальной информации.
На основании проведенного исследования определены наиболее ценные активы, указанные в таблице 1.
Таблица 1 - Результаты оценки активов
Наименование актива Ценность актива (ранг)
Финансовая документация ООО «Авиаспецтехнология» 5
Персональные данные 5
Данные по системе защиты информации 5
Схемы размещения и состав системы безопасности 4
Маркетинговые исследования рынка продаж авиабилетов 3
Бухгалтерская отчетность ООО «Авиаспецтехнология» 3
Сведения о договорных обязательствах с контрагентами 3
Следующим этапом организационных мер по обеспечению конфиденциальности информационных активов организации ООО «Авиаспецтехнология» является установление Порядка обращения с этой информацией и контроля за соблюдением требований информационной безопасности. С этой целью руководством предприятия издан Приказ №47, вводящий в действие стандарт «Порядок работы с конфиденциальной информацией, а также с информацией составляющей коммерческую тайну предприятия ООО «Авиаспецтехнология». Основной целью Порядка является введение единого режима конфиденциальности и организации работ по обеспечению защиты коммерческой тайны предприятия ООО «Авиаспецтехнология». В данном Порядке определены риски и показатели эффективности. Основными рисками процесса являются:
Материальный ущерб предприятию ООО «Авиаспецтехнология» в результате утечки конфиденциальной информации;
Репутационный ущерб предприятию ООО «Авиаспецтехнология», снижение деловой репутации, вследствие недостаточности мер по защите конфиденциальной информации.
Показателями эффективности являются:
Отсутствие утечки конфиденциальной информации;
Отсутствие фактов использования конфиденциальной информации в личных целях.
Требования данного Порядка:
Работники организации должны быть ознакомлены под роспись с Перечнем информации, составляющей коммерческую тайну предприятия ООО «Авиаспецтехнология»;
В трудовых договорах работников должен присутствовать пункт об обязательстве о неразглашении информации, составляющей коммерческую тайну предприятия ООО «Авиаспецтехнология»;
Допуск работников к конфиденциальной информации осуществляется исключительно в рамках должностных обязанностей;
Операционные системы рабочих станций и серверов (в т.ч

. баз данных) должны обеспечивать разграничение доступа и регистрацию действий пользователя;
Система электронного документооборота предприятия ООО «Авиаспецтехнология» должна иметь функционал разграничения доступа к конфиденциальной информации;
Запрещается обработка и хранение конфиденциальной информации на личных устройствах, носителях информации и т.д.;
Передача конфиденциальной информации с помощью сервисов публичных информационных сетей;
Электронные носители, содержащие конфиденциальную информацию, должны быть маркированы соответствующим образом;
Для защиты конфиденциальной информации организация ООО «Авиаспецтехнология» имеет право на применение технических средств контроля всевозможных каналов утечки информации.
Для обеспечения технической защиты информации от утечек руководство предприятия приняло решение о внедрении DLP-системы InfoWatch Traffic Monitor.
Перед внедрением DLP-системы должно быть разработано техническое задание (ТЗ), содержащее требования к DLP-системе и её модулям. Техническое задание разрабатывается специалистами Отдела ИБ. Техническое задание должно быть составлено согласно ГОСТ 34.602-89 «Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
Техническое задание должно состоять ил следующих разделов:
Общие требования к DLP-системе;
Требования к подсистеме поиска и классификации конфиденциальной информации;
Требования к подсистеме контроля почтовых соединений и сетевого трафика;
Требования к подсистеме контроля рабочих станций пользователей;
Требования к подсистеме поиска несанкционированных копий файлов;
Требования к подсистеме контроля пользователей при соединении с сетью Интернет;
Требования к подсистеме OCR распознавания графических файлов;
Требования к подсистеме ведения архива;
Требования к подсистеме журналирования событий;
Требования к подсистеме мониторинга событий;
Требования к подсистеме графических отчетов;
Требования к функционалу консоли управления и администрирования.
Рассмотрим минимальные требования к аппаратной части и состав оборудования, необходимый для внедрения и устойчивого функционирования всех модулей DLP-системы InfoWatch Traffic Monitor.
Требования к серверу Traffic Monitor:
Не менее 1 Gb свободного пространства для установки;
4-х ядерный процессор;
Объем оперативной памяти не менее 4 Gb;
ОС Microsoft Windows Server 2003, 2008, 2008R2, 2012, 2012R2;
Microsoft .Net Framework 4.0;
Oracle v