Информационная безопасность на примере "нефтяной компании"

1.1. Основные проблемы информационной безопасности ООО «НК ЭНЕРГИЯ». Уровни формирования информационной безопасности

Информационное общество, к которому неуклонно стремится человечество коренным образом меняет статус информации, расширяя ее потенциал, как позитивного ресурса, так и выявляя ее резко негативные возможности. Информация всегда окружала человека, поэтому любое общество можно считать информационным. Однако изучение информации как стратегического ресурса развития человечества показало, что она может быть достоверной и актуальной, новой и устаревшей, но не может быть передана, принята или хранима в чистом виде, любая информация имеет своего носителя и передается по каналам коммуникации. В самом общем виде информация – сведения, независимо от формы их представления, воспринимаемые человеком или специальными устройствами как отражение фактов материального мира в процессе коммуникации.
В ходе анализа информации, обрабатываемой в ООО «НК ЭНЕРГИЯ» и организационно-распорядительной документации организации, была выявлена информация, подлежащая защите: сведения, составляющие коммерческую тайну (на основании Федерального закона от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне"). Информация, составляющая коммерческую тайну, содержится в перечне сведений составляющих коммерческую тайну в ООО «НК ЭНЕРГИЯ».
В результате анализа средств, методов обработки информации и перечня защищаемой информации можно выделить следующий перечень объектов защиты информации:
помещения для хранения и обработки защищаемой информацией:
IТ отдел;
серверное помещение;
сервера организации:
веб сервера;
файловые сервера;
сервер базы данных;
почтовый сервер;
контроллер домена.
Следовательно, подвергая информационному воздействию ООО «НК ЭНЕРГИЯ», можно управлять компанией. Известное выражение Найтана Майера Ротшильда «кто владеет информацией, тот владеет миром» показывает, как те, кто владеет наибольшим объемом информации по какому-либо вопросу, могут деформировать механизмы коммуникации, дестабилизировать механизмы функционирования основных систем общества, лишить возможности реализации информационной составляющей личности.
Поэтому на первый план в современном обществе выходит проблема информационной безопасности и безопасности информации, обеспечения ее целостности, достоверности и доступности. В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информационной безопасностью будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере. Чтобы обеспечить информационную безопасность государство ведет постоянную борьбу против внутренних и внешних угроз информационного пространства страны.
Современные системы обнаружения нарушения информационной безопасности на ООО «НК ЭНЕРГИЯ» включают в себя системы виртуализации, песочницы со встроенными системами антивирусной защиты и системы управления знаниями о киберугрозах и уязвимостях (Threat Intelligence). Основную проблему в обеспечении информационной безопасности составляет защита самой информации. Государство обеспечивает защиту информации на законодательном уровне, но оно не может оградить нас от человеческого фактора.
Мы отмечаем изменения в подходах, используемых киберпреступниками для выполнения атак:
– рассылка сотрудникам организации писем с вредоносным вложением;
– распространение вредоносного ПО через интернет-ресурсы;
– физическое проникновение в офис;
– проникновение в корпоративную сеть организации через внешний периметр – дополняются новым изощренным методом в виде внедрения в цепочку поставщиков.
В последнее время в России возникли проблемы защиты информации, связанные с использованием иностранного программного обеспечения

. Так, по мнению Е.А. Разумовской, основная – «значительная, десятилетиями складывающаяся импортозависимость страны в компьютерной области».
В нашей стране сложилась ситуация, когда вся продукция, которая идет на экспорт сопровождается документаций, схемами, чертежами, подготовленными исключительно на лицензионном ПО которое выпускается в западных странах;
на заводах установлены системы управления предприятием, например, комплекс BAAN;
российские банки непосредственно в сфере своей основной деятельности зависят от системы международных банковских переводов Swift, платежных систем Visa и Mastercard и т. п.


1.2. Защита персональных данных клиентов

Современным информационным системам доверяют решение самых разнообразных и важных задач: автоматизированное управление технологическими процессами и промышленными предприятиями, автоматизацию деятельности банков, финансовых бирж, страховых компаний, торговых компаний и т.д.
Растут масштабы и сложность корпоративных систем. Важность задачи обеспечения безопасности корпоративных информационных ресурсов осознана как руководством компаний, так и клиентами. Уже недостаточно ограничиваться защитой отдельных сегментов информационной системы. Требования информационной безопасности должны быть направлены на обеспечение оптимального режима функционирования информационной системы в целом. Построение любой системы информационной безопасности должно начинаться с анализа рисков.
Прежде чем проектировать систему информационной безопасности, необходимо точно определить, какие угрозы существуют для данной информационной системы, насколько они потенциально опасны. Грамотный учет существующих угроз и уязвимостей информационной системы, выполненный на этой основе анализ рисков закладывают основу для выбора решений с необходимым уровнем информационной безопасности при минимальных затратах.
Анализ и управление рисками применяется для оценки угроз, уязвимостей и рисков информационный системы, а также определения контрмер, обеспечивающих достаточный уровень защищенности этой информационной системы.
Процесс оценивания рисков состоит в определении характеристик рисков информационной системы и ее ресурсов. На основе таких данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз, уязвимостей, эффективность существующих и планируемых средств защиты. Существуют различные подходы к оценке рисков, выбор которых зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности.
В соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.) и «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации» (Утверждены приказом Гостехкомиссии России от 02.03.2001 № 282), которые носят рекомендательный характер, необходимо определить класс защищенности исходной информационной системы. Так как на предприятии одновременно обрабатывается и храниться информация разных уровней конфиденциальности и не все пользователи имеют доступ ко всей информации ИС, то классом защищенности ИС на предприятии ООО «НК ЭНЕРГИЯ» можно считать 1Г.
Дуалистичность подхода к обеспечению безопасности персональных данных ООО «НК ЭНЕРГИЯ» определяется тем обстоятельством, что к началу активной организационно-правовой деятельности Евросоюза в данной сфере в России уже было выработано отношение к данной проблеме. Европейский подход к защите персональных данных напрямую связывают с принятием Directive 95/46/EC of the European Parliament and of the Council