2. Описание организации (форма собственности, вид деятельности, структура и архитектура организации, персонал, финансы, информационные потоки (внутренние и внешние), защищаемая информация и т.д.) Ювелирная мастерская ООО «Золотая ручка» Занимается созданием ювелирных украшений по индивидуальным эскизам Мастерская находится в двухэтажном здании Окна защищены жалюзи, на входе расположена охрана, со стороны входа на склад и рабочих мест мастеров организован контрольно-пропускной режим. Схема организации Персонал Администратор – 1, директор – 1, бухгалтер - 1, дизайнер – 1, мастера – 3, помощники мастеров – 3, уборщики – 2, охранники – 2, складской работник – 1, системный администратор – 1. Финансы Прибыль организации – 1 млн руб. Бюджет – 5 млн руб. Активы организации: Товары, сырье, оборудование, эскизы изделий, технологии производства. Контролируемая зона - территория здания. Информационные потоки Внутренние: ПДн, эскизы, схемы, бухгалтерская информация, информация о материалах на складе, сплавах, товарах. Внешние: электронная почта. Защищаемая информация: ПДн (поставщики, сотрудники, покупатели), коммерческая тайна (техника изготовления, эскизы). 3. Описание уязвимостей, модель угроз и модель нарушителя Уязвимости: Уязвимости, связанные с человеческим фактором (потеря пропуска, невнимательность при работе с эл. почтой, неграмотность при работе с ПО и СЗИ); уязвимости в каналах передачи данных (возможность утечка визуальной и акустической информации, возможность перехвата информации и т.п.); уязвимости программного и аппаратного обеспечения. Модель угроз Внутренние угрозы: Программные закладки, кража данных сотрудниками, саботаж, разглашение коммерческой тайны, изменение конфигураций ПО и СЗИ, утрата данных, хранящихся в базах данных информационных систем, НСД, несанкционированные удаление, модификация, передача данных. Внешние угрозы: НСД, DDos-атака, фишинг, спам и тп. Наиболее опасны внутренние угрозы, связанные с хищением коммерческой тайны. Модель нарушителя Внешние: Конкуренты, бывшие сотрудники, партнеры, поставщики, покупатели, хакеры Внутренние: Инсайдеры, шпионы, сотрудники (непреднамеренные нарушения) Наиболее опасны для системы внутренние нарушители. 4. Оценка рисков до Таблица 1. Уровни последствий Уровни последствий Финансовые потери Высокий Более 100 тыс. руб. Средний От 50 до 100 тыс. руб. Низкий Менее 50 тыс. руб. Доверие клиентов/поставщиков Потеря более 30% клиентов и поставщиков Потеря 10-30% клиентов и поставщиков Потеря менее 10% клиентов и поставщиков Проблемы с законодательством Крупный штраф (более 50 тыс. руб.) Затраты на реализацию угрозы Квалификация угрозы – невысокая, затраты – низкие, инструменты реализации – общедоступные. Квалификация угрозы – средняя, затраты – средние, инструменты реализации – легко купить или создать. Квалификация угрозы – высокая, затраты – высокие, инструменты реализации – сложно доступные. Возможность обнаружения Угрозы и ее источник сложно обнаружить Штраф (до 50 тыс. руб.) Предупреждение Таблица 2. Вероятность реализации угроз Вероятность Частота инцидентов Высокая Еженедельно Средняя Ежемесячно Низкая Ежегодно Угрозы и ее источник можно обнаружить с серьезными усилиями Угрозы и ее источник легко обнаружить Таблица 3. Критерии риска Вероятность Низкая Низкие Н Последствия Средние Высокие Н С Средняя Н С В Высокая С В В Таблица 4. Идентификация рисков № п/п Источник угрозы Угрозы 1 Системный администратор - ошибки при организации и настройке ЛВС; - передача данных конкурентам; - непреднамеренная модификация и удаление данных; - несвоевременное выполнение должностных обязанностей; - использование небезопасных технологий. 2 Сотрудники 3 Внешний злоумышленник (хакер) 4 Неквалифицированный злоумышленник (конкуренты, бывшие сотрудники, поставщики и т.д.) - НСД; - разглашение коммерческой тайны; - несанкционированная модификация, удаление, копирование данных; - намеренное/ ненамеренное нанесение ущерба информационной системы и технике. - НСД и кража данных; - эксплуатация уязвимостей ПО; - DDos-атака; -фишинг; -спам; -перехват данных при передаче. - Разглашение коммерческой тайны (бывшие сотрудники); - клевета; - разглашение служебной информации. 5 Природные условия - Сбои и отказы в системе; - недоступность информации; - потеря данных; - ущерб технике. Таблица 5. Оценка рисков № Угроза 1.1 Ошибки при организации и настройке ЛВС 1.2 Передача данных конкурентам 1.3 Непреднамеренная модификация и удаление данных 1.4 Несвоевременное выполнение должностных обязанностей 1.5 Использование небезопасных технологий Оценка Оценка вероятности последствий Н С Комментарий Риск Н С В В Н С Н С С Устаревание ПО С С 2.1 НСД и разглашение коммерческой тайны В В 2.2 Несанкционированные модификация, удаление, копирование данных 2.3 Нанесение ущерба информационной системы и технике 3.1 НСД и кража данных (в т.ч. коммерческой тайны, ПДн) 3.2 DDos-атака, фишинг, спам 4.1 Клевета 4.2 Разглашение служебной информации 5.1 Потеря данных, ущерб технике 5.2 Недоступность информации С С Небезопасные С протоколы, несертифицированное ПО Сложность В обнаружения источника С С В В Н В С С С С С С Н С С Н Н В С С С С Ухудшение репутации Таблица 6. Ранжирование рисков № 1.1 1.2 Угроза Ошибки при организации и настройке ЛВС Передача данных конкурентам Обработка риска Принятие Остаточный риск Н Минимизация: С -усиление контроля за системным администратором; С 1.3 Непреднамеренная модификация и удаление данных 1.4 Несвоевременное выполнение должностных обязанностей 1.5 Использование небезопасных технологий 2.1 НСД и разглашение коммерческой тайны сотрудниками 2.2 Несанкционированные модификация, удаление, копирование данных 2.3 Нанесение ущерба информационной системы и технике 3.1 НСД и кража данных (в т.ч. коммерческой тайны, ПДн) 3.2 DDos-атака, фишинг, спам -ужесточение санкций; -разделение обязанностей с другими сотрудниками (администратор ИБ). Минимизация: -система контроля целостности; -логирование; -дублирование ценных данных на съемные носители. Минимизация: -контроль, напоминания; -санкции. Минимизация: - использование только сертифицированного ПО и СЗИ. Минимизация: - ограничение круга лиц, допущенных к коммерческой тайне. Минимизация: -система контроля целостности; -логирование; -дублирование ценных данных на съемные носители. Минимизация: -резервирование технических средств и каналов передачи информации; -физические средства защиты. Минимизация: -криптографические методы защиты информации; -система обнаружения вторжения. Минимизация: -система обнаружения DDosатак; Н Н Н С Н Н Н Н 4.1 Клевета 4.2 5.1 Разглашение служебной информации Потеря данных, ущерб технике 5.2 Недоступность информации - антивирусная защита электронной почты. Перенос: -обращение к администраторам сайта с отзывами. Принятие Минимизация: -резервное копирование данных; - резервирование технических средств. Перенос: -страхование техники. Минимизация: -резервное копирование ценной информации. Н Н Н Н 5. Организационно-правовая защита информации (в т.ч. политики, инструкции, мероприятия и т.д.) Мероприятия 1) Обучение персонала по вопросам ИБ в области: - работы с ПО на АРМ; - работы с электронной почтой; - поведения во время чрезвычайных, нештатных ситуаций; - работы со СЗИ. 2) Контроль своевременных обновлений ПО и СЗИ – раз в месяц. 3) Контроль целостности и доступности данных – раз в неделю. 4) Контроль соблюдения режима коммерческой тайны – раз в месяц. Организационные меры 1) СКУД: - турникет с пропусками – 1 шт.; - считыватель пропускных карт – 4 шт. 2) Сейф для хранения документов с грифом «Коммерческая тайна» и драгоценных камней. 3) Введение и поддержание режима коммерческой тайны. Нормативно-методические документы: 1. Коммерческая тайна - Положение о коммерческой тайне - Перечень сведений составляющих коммерческую тайну - Инструкция по конфиденциальному делопроизводству - Инструкция по учету лиц, допущенных к работе с коммерческой тайной - Журнал учета лиц, допущенных к сведениям, составляющим коммерческую тайну - Приказ о введении режима защиты коммерческой тайны - Трудовые договора и обязательства о неразглашении коммерческой тайны 2. ПДн - Перечень обрабатываемых ПДн - Согласие на обработку ПДн сотрудников и клиентов - Перечень ИСПДн - Положение об обработке ПДн - Перечень должностей и третьих лиц, допущенных к обработке ПДн - Модель угроз безопасности ПДн - Модель нарушителя безопасности ПДн - Акт определения уровня защищенности ПДн - Регламент по учету, хранению, уничтожению носителей ПДн 3. Политики - Политика ИБ - Политика обработки ПДн - Политика парольной защиты 4. Регламент по реагированию на инциденты ИБ Должностные инструкции Должностная инструкция системного администратора Обязанности: 1. конфигурировать и поддерживать работоспособное состояние ПО серверов и рабочих станций, СЗИ; 2. устанавливать права доступа и контролировать использования сетевых ресурсов; 3. консультировать работников по вопросам работы локальной сети, безопасности; 4. принимать меры по восстановлению работоспособности локальной сети при сбоях или выходе из строя оборудования; 5. проводить мониторинг сети, разрабатывать предложения по развитию инфраструктуры; 6. защищать от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных, организовать безопасность межсетевого взаимодействия; 7. осуществлять антивирусную защиту локальной вычислительной сети, серверов и рабочих станций; 8. сообщать руководству о случаях нарушения правил пользования локальной вычислительной сетью и принятых мерах. Права: 1. вносить на рассмотрение руководства предложения по модернизации оборудования; 2. устанавливать и изменять правил пользования сетью. Ответственность: 1. системный администратор несет ответственность за: a. нарушение функционирования локальной вычислительной сети, серверов и персональных компьютеров вследствие ненадлежащего исполнения своих должностных обязанностей; b. несвоевременное уведомление руководства о случаях нарушения правил пользования сетью. 2. системный администратор привлекается к ответственности: a. за ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией - в пределах, установленных действующим трудовым законодательством Российской Федерации; b. за правонарушения, совершенные в процессе своей деятельности - в пределах, установленных действующим административным, уголовным и гражданским законодательством Российской Федерации; c. за причинение материального ущерба компании - в пределах, установленных действующим законодательством Российской Федерации; d. за разглашение информации ограниченного доступа. Должностная инструкция охранника помещения и работника склада Обязанности: 1. нести службу по охране объектов и материальных ценностей; 2. осуществлять проверку документов у проходящих на охраняемый объект (выходящих с объекта) лиц и контроль за ввозом и вывозом (выносом) материальных ценностей; 3. принимать под охрану от материально ответственных лиц оборудованные сигнализацией обособленные помещения; 4. осуществлять задержание лиц, пытающихся незаконно вывезти (вынести) материальные ценности с охраняемого объекта или подозреваемых в совершении правонарушений, и сопровождение их в караульное помещение или отделение полиции. Ответственность: 1. за несоблюдение действующих инструкций, приказов и распоряжений по сохранению коммерческой тайны и конфиденциальной информации; 2. за нарушение правил внутреннего трудового распорядка, трудовой дисциплины, правил техники безопасности и противопожарной безопасности. Должностная инструкция мастера изготовления ювелирных изделий Обязанности: 1. не разглашать коммерческую тайну изготовления изделий; 2. работать с материалами строго на территории контролируемой зоны; 3. не вносить несанкционированных изменений в программное и аппаратное обеспечение оборудования. Ответственность: 1. за несоблюдение действующих инструкций, приказов и распоряжений по сохранению коммерческой тайны и конфиденциальной информации. Должностная инструкция бухгалтера, администратора, дизайнера, уборщика Обязанности: 1. не разглашать коммерческую тайну изготовления изделий; 2. не вносить несанкционированных изменений в программное обеспечение АРМ. Ответственность: 1. за несоблюдение действующих инструкций, приказов и распоряжений по сохранению коммерческой тайны и конфиденциальной информации. Должностная инструкция директора Обязанности: 1. утверждать организационно-распорядительные документы; 2. не разглашать коммерческую тайну изготовления изделий; 3. не вносить несанкционированных изменений в программное обеспечение АРМ; 4. не выносить материалы за пределы контролируемой зоны. Ответственность: 1. за несоблюдение действующих инструкций, приказов и распоряжений по сохранению коммерческой тайны и конфиденциальной информации.