Анализ источников угроз информационной безопасности предприятия-участника ВЭД

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Государственное казенное образовательное учреждение

высшего образования

«Российская таможенная академия»

RUSSIANCUSTOMSACADEMY

Кафедра экономики таможенного дела

КУРСОВАЯ РАБОТА

по дисциплине « Экономическая безопасность предприятия-участника»

Тема: «Анализ источников угроз информационной безопасности предприятия-участника ВЭД»



Оглавление

Введение

Глава 1. Теоретические аспекты анализа источников угроз информационной безопасности предприятия-участника ВЭД

1.1 Информационная безопасность предприятия и угрозы её функционирования

1.2 Сущность, содержание, классификация источников угроз информационной безопасности предприятия-участника ВЭД

1.3 Основные методы защиты предприятия-участника ВЭД от источников угроз информационной безопасности

Глава 2. Анализ источников угроз информационной безопасности на примере АО «Газпромнефть-Московский НПЗ»

2.1 Источники угроз ИБ, которые присутствуют наАО «Газпромнефть-Московский НПЗ»

2.2 Анализ источников угроз ИБ АО «Газпромнефть-Московский НПЗ»

2.3 Разработка комплекса мер по повышению информационной безопасности ИБ АО «Газпромнефть-Московский НПЗ»

Заключение

Список использованной литературы



Введение

информационный безопасность внешнеэкономический угроза

Информация - то, с чем сталкивается каждый человек повседневно. Есть множество определений данного термина. Но мы будем рассматривать информацию, как определенные знания, которые применяются на практике. С этими знаниями можно делать многое: владеть, делиться, продавать. Но ведь эти знания и похитить, как и любой предмет. Значит, информация является основным объектом угроз воздействия информационной безопасности предприятия. Любое предприятие заинтересовано, чтобы не было такого вида угроз. Значит предприятие осуществляет меры по защите информации от угроз воздействия на неё. Этим и объясняется актуальность темы курсовой работы.

Актуальность, поставленной в курсовой работе проблемы, позволяют определить объект, предмет, цель и задачи исследования.

Цель исследования -разработка мер по устранению источников угроз информационной безопасности, на примере ПАО «Газпром».

Задачи исследования:

- рассмотреть теоретические аспекты анализа источников угроз информационной безопасности предприятия-участника ВЭД;

- провести анализ источников угроз информационной безопасности на примере ПАО «Газпром»;

- разработка комплекса мер по устранению источников угроз информационной безопасности ПАО «Газпром».

Объект исследования: - источники угроз информационной безопасности ПАО «Газпром».

Предмет исследования - анализ источников угроз информационной безопасности ПАО «Газпром».

Изучению теоретико-методологических основ анализа источников угроз информационной безопасности посвящено множество научных работ, учебных пособий, библиографий, монографий, авторефератов, публикаций, статей.

В данной курсовой работе активно использовались труды ЖигоцкогоП. Э., Савосиной Н. Г., Федорова В. В., Арутюнова В. В., ЕлинаВ. М., БарановаА. П., Митрохиной Е. Ю., Веснина В. Р. и других. При работе над данной темы использовались как общенаучные методы анализа и синтеза, так и методы финансового анализа.

Практическая сущность курсовой работы состоит из выводов, и предложений по устранению источников угроз информационной безопасности на основе проведения анализа ПАО «Газпром». Предложения направлены на улучшение информационной безопасности ПАО «Газпром».

Курсовая работа состоит из двух глав - теоретическая и практическая.

В первой главе рассмотрены теоретические аспекты анализа источников угроз информационной безопасности предприятия-участника ВЭД.

Во второй главе проведен анализ источников угроз информационной безопасности предприятия на примере ПАО «Газпром».

В заключении подведен итог результатам исследования, сделаны выводы и разработаны рекомендации, направленные на совершенствование информационной безопасности ПАО «Газпром» от воздействия источников угроз информации в данной транснациональной энергетической корпорации.



Глава 1. Теоретические аспекты анализа источников угроз информационной безопасности предприятия-участника ВЭД

1.1 Информационная безопасность предприятия и угрозы её функционирования

В наши дни любое предприятие ставит перед собой главную задачу - обеспечение информационной безопасности. Предприятие, стремясь защитить свою информационную систему, открывает перед собой возможности для создания более надежной и безопасной среды в рамках своей деятельности. Ведь утечка информации, её повреждение, кража или даже отсутствие - это всегда колоссальные убытки для каждого предприятия. К примеру, каждая DDoS-атака на предприятие снижает репутацию, а следовательно, появляются убытки от отсутствия клиентов, от затрат на возобновление стабильной работы информационной системы.

На данном этапе теоретико- методологического исследования сформулировано три основных задачи, которые должна обеспечивать информационная безопасность предприятия:

- целостность данных - протекция от сбоев, которые ведут к потере информации, защита от уничтожения данных. Примером нарушения целостности данных является повреждение или удаление данных с сервера вирусом, что в долгосрочной перспективе повлечет за собой негативные последствия.

- конфиденциальность информации - незаконное разглашение, утечка или повреждение информации;

- доступность информации - отказ в сервисе из-за вирусной активности или действий злоумышленников.

Нарушение одного из элементов может привести к ухудшению нормальной работы предприятия. А на нарушение работоспособности влияют как внутренние, так и внешние угрозы. Информационное общество стремительно развивается, значит можно сделать заключение, что растёт и количество источников угроз информационной безопасности предприятия.

Если информационная безопасность предприятия сбалансирована, значит предприятие контролирует все события, которые влияют на надежность защиты информации. Но, эта защита осуществляется постоянно на протяжение всего жизненного цикла информационных данных, от поступления информации на предприятие до её уничтожения.

Выделяют основные факторы, которые оказывают влияние на защиту информации на предприятии:

- усиление кооперации и координации предприятия с партнерами;

- автоматизация бизнес-процессов;

- тенденция к росту информации, которая передается по надежным каналам связи;

- полная копьютеризация производства.

При правильном подходе к защите информации на предприятии происходит полноценное обеспечение информационной безопасности. Однако, в система информационной безопасности предприятия учитывает актуальные на сегодняшний день угрозы информационной безопасности(табл.1)Угрозы информационной безопасности в АС - [Электронный ресурс] - Режим доступа. - URL: http://asher.ru/security/book/its/05 (дата обращения 16.04.2018)..

Таблица 1. Угрозы информационной безопасности предприятия

Признаки	Пример угрозы
Природа возникновения	Естественные	Угрозы, вызванные обычными физическими процессами или стихийными бедствиями	- цунами; - торнадо; - пожар
	Искусственные	Угрозы, вызванные деятельностью человека	- Рассылка спама, содержащего вирусы; -DDoS-атаки; - порча оборудования
Степень мотивации	Непреднамеренные	Случайные ошибки в проектировании, в ПО, ошибки в работе персонала	- неумышленная порча носителей информации; - случайное отключение оборудования; - случайное удаление или искажение файлов с важной информацией
	Преднамеренные	Идейные, алчные цели других людей для получения материальной выгоды (месть или моральные убеждения)	- использование подслушивающих устройств; - незаконное получение паролей и логинов; - кража списанных носителей информации
Положение относительно контролируемой зоны	Внутренние	Кража носителей с различного рода информацией, порча оборудования	- хищение USB-устройства; -подкуп, шантаж персонала
	Внешние	Перехват данных	- перехват данных во время разговора с помощью Skype; - перехват электронных сообщений, содержащих конфиденциальную информацию
Степень влияния	Пассивные	Угрозы, не мешающие стабильной работе	- прослушивание разговоров по телефону; - копирование информации
	Активные	Угрозы, нарушающие нормальную работу	- компьютерные вирусы; - рекламные баннеры
Нарушаемый аспект информационный безопасности	Конфиденциальность	Угрозы, связанные с незаконным доступом к информации	-перехват информации, передаваемой по техническим каналам связи
	Доступность	Угрозы, связанные с невозможностью получить определенную информацию или воспользоваться ей	- невозможность попасть на сайт предприятия, который подвергся DDoS-атаке; -повреждение оборудования из-за грозы;
	Целостность	Незаконное изменение или подделка информации	-подделка информации на официальном сайте предприятия; - отказ от авторства; -несанкционированное изменение информации(после DDoS-атаки на сайт)
Способ реализации	Незаконный доступ	Несанкционированный доступ к аккаунтам, учетным записям, личным кабинетам	-передача данных из-за рассылки фишинговых сайтов на почту;
	Умышленное воздействие на информацию	Преднамеренное изменение или уничтожение информации	- изменение информации на сайте после DDoS-атаки
	Утечка информации через каналы связи	Прослушивание, перехват информации по различным техническим каналам связи, в том числе через сеть	- незаконное прослушивание телефонных разговоров с целью получения конфиденциальной информации

Таким образом, на основе таблицы можно смело судить о том, что многообразие различных угроз информационной безопасности зависит от развития IT-системы, предприятий и конкуренции между предприятиями.

1.2 Сущность, содержание, классификация источников угроз информационной безопасности предприятия-участника ВЭД

От угроз информационной безопасности предприятия следует отличат источники этих же угроз, так как носителями угроз информационной безопасности предприятия являются сами источники . В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

Такие источники делятся на:

- антропогенные;

-Техногенные;

- стихийные.

Антропогенными источниками угроз информационной безопасности предприятия-участника ВЭД выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.

Внешние антропогенные источники угроз информационной безопасности могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:

-криминальные структуры;

- потенциальные преступники и хакеры;

- недобросовестные партнеры;

- технический персонал поставщиков телематических услуг;

- представители надзорных организаций и аварийных служб;

- представители силовых структур.

Внутренние антропогенные источники информационной безопасности, как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети на предприятии.

К ним относятся:

- основной персонал (пользователи, программисты, разработчики);

- представители службы защиты информации;

- вспомогательный персонал (уборщики, охрана);

- технический персонал (жизнеобеспечение, эксплуатация).

Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.

Вторая группа содержит источники угроз, которые определяются технократической деятельностью человека и развитием общества в целом. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Технические средства, являющихся источниками потенциальных угроз безопасности информации так же могут быть внешними:

- средства связи;

- сети инженерных коммуникации (водоснабжения, канализации);

- транспорт.

И внутренними:

- некачественные технические средства обработки информации;

- некачественные программные средства обработки информации;

- вспомогательные средства (охраны, сигнализации, телефонии);

- другие технические средства, применяемые в учреждении.

Третья группа источников угроз объединяет, обстоятельства, которые составляют непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силев законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы:

- пожары;

- землетрясения;

- наводнения;

- ураганы;

- различные непредвиденные обстоятельства;

- необъяснимые явления;

- другие форс-мажорные обстоятельства.

Таким образом, во второй части первой главы была рассмотрена сущность, классификация самих источников угроз информационной безопасности, и отличие их от самих угроз информационной безопасности предприятия.

1.3 Основные методы защиты предприятия-участника ВЭД от источников угроз информационной безопасности

Методов защиты предприятия-участника ВЭД от источников угроз информационной безопасности великое множество, но эффективных мало. Следует привести примеры тех методов, которые эффективно защищают информацию предприятия.

С технологической точки зрения используется дублирование информации разнообразными способами. Бесперебойное питание должно быть обеспечено круглосуточно с целью защитить информационную систему, как от скачков напряжения, так и от простоев в работе в течение рабочего дня.

Для обеспечения программной безопасности внедряются в первую очередь средства борьбы с вирусными атаками, кодирование информации для обеспечения ее сохранности и для затруднения доступа к информационной безопасности.

С точки зрения физической сохранности, надо обезопасить компьютер от кражи. Информация может попасть к злоумышленникам путем кражи диска или другого съемного носителя информации, который находится в незащищенном месте.

Кража системного блока или его несанкционированное включение может также стать причиной потери информации в системе управления фирмой. Здесь можно предложить использовать системные блоки с кнопкой включения, подстрахованной обычным металлическим ключом, без которого он не заработает. Кроме того, можно зафиксировать на рабочем месте аппаратные средства, которые могут быть элементом угрозы информационной безопасности в случае их хищения.

Комплект для защиты компьютерной техники должен содержать средства антивандальной защиты от прямого физического доступа. Технический персонал, обслуживающий информационную систему, должен предусмотреть средства, не допускающие несанкционированный доступ к элементам компьютера и средствам оргтехники. Злоумышленник должен потратить много времени для того, чтобы завладеть той или иной интересующей его деталью. За это время служба безопасности или пользователи информационной системы могут заметить непонятные действия и почувствовать возникшие угрозы информационной безопасности

Обеспечение безопасности для компакт-дисков, вставленных в системный блок, может быть осуществлено посредством механических или электромеханических запоров на торце привода соответствующего диска. Эти, примитивные на первый взгляд, меры эффективно могут защитить вашу информационную систему от злоумышленника не готового к таким способам защиты.

Для защиты от постороннего взгляда используется принцип размытия изображения и сокращения угла зрения, под которым информация остается читаемой на экране монитора. Технически это можно осуществить с помощью специальных жалюзи, сокращающих угол обзора и позволяющих видеть изображение только пользователю, сидящему непосредственно перед монитором. Также для этих целей продаются специальные многослойные пленчатые фильтры. Наконец, самый удобный способ - это заранее озаботится покупкой специальных мониторов с малым углом обзора.

Системный блок, а в некоторых случаях и его составляющие, могут быть защищены специальными датчиками, которые реагируют на движение или изменение положения защищенного предмета. В случае срабатывания датчика происходит активация автономной (энергонезависимой) сирены, оповещающей службу безопасности о несанкционированном вмешательстве, или же сигнал приходит непосредственно на пульт диспетчера службы безопасности, который дает команду охранникам на выяснение ситуации в зафиксированном объекте.

Слот безопасности - это силовой ключевой разъем, который позволяет закрепить ноутбук специальным металлическим тросиком к соответствующему разъему на столе или на стене помещения. Дополнительно к слоту безопасности ноутбук может быть оснащен датчиком движения и сиреной, которая включается, например, на время простоя ноутбука и выключается после ввода пароля для входа в систему.

Так же стоит добавить, что компьютерные сети, организованные в рамках одной организации, снабжаются датчиком движения или датчиком удара, который реагирует на вскрытие крышки системного блока. Такие датчики монтируются на каждый компьютер и соединяются в сеть безопасности, которая замыкается на центральном блоке управления. Блок управления реагирует на поступающие сигналы от датчиков безопасности и ретранслирует их на пульт управления охранника, который принимает меры для нейтрализации угрозы информационной безопасности.

Техногенные катастрофы и стихийные бедствия могут стать причиной потери значительных объемов информации и разрушения структуры базы данных. Например, мощный электронный импульс (от какого-либо промышленного оборудования) может вывести из строя жесткий диск компьютер, находящегося в радиусе его действия. Если оказываются пораженными несколько компьютеров, то это может надолго застопорить работу фирмы и создать серьезную угрозу информационной безопасности.

Пожар, случившийся в офисе или даже в соседнем помещении, с высокой долей вероятности приведет к выходу из строя компьютеров и оргтехники. На этот случай предусмотрены решения (весьма дорогостоящие) исполнения компьютерных элементов и системных блоков в жароустойчивых комплектациях, способных выдержать температуры более тысячи градусов по шкале Цельсия.

Физическая защита - это лишь первый рубеж нейтрализации источников угрозы информационной системы. Надежные замки и датчики движения способны остановить банального воришку, который технически подготовлен лишь к тому, чтобы схватить системный блок или диск с данными и вынести его с охраняемой территории. Дальше идут следующие барьеры, обеспечивающие более высокий уровень защиты.

Самый эффективный, широко распространенный и универсальный метод защиты информации - это шифрование. К его плюсам относится возможность создать шифр практически любой сложности, который потребует соответствующих затрат времени и ресурсов на его вскрытие. Шифрование позволяет передавать информацию даже по незащищенным каналам, поскольку она не может быть прочитана при отсутствии дешифрующего ключа.

Криптографические методы - это методика преобразования исходной полезной информации в набор несвязанных символов, которые, тем не менее, являются носителями зашифрованной информации. Главный принцип криптографии - создание ключа достаточной сложности для того, чтобы затраты на его расшифровку были сопоставимы или выше, чем ценность самой информации. Согласно принципу Керкхоффа - основой любой криптограммы является ключ. Он представляет собой буквенно-цифровой файл определенной длины, который позволяет отправителю превратить исходное послание в шифр, а получателю произвести обратный процесс и увидеть сообщение. Если ключ попадет в руки злоумышленников, то это будут критической стадией угрозы информационной безопасности. Чтобы этого избежать, ключ периодически изменяется.

Шифрование на предприятии осуществляется за счет программных или программно-аппаратных средств, вынесенных в единый модуль. Такой способ очень неудобен для пользователей. Поэтому разработчики идут по пути встраивания шифровального модуля в основной программный код, или даже в операционную систему. В любом случае, такая методика защиты информации является очень неудобной для пользователей и в большинстве случаев они от нее отказываются.

В настоящее время используются открытые стандартизованные каналы для шифрования, например: DES, IDEA и др.). Сложность заключается только в том, что оба конца канала передачи информации должны иметь шифровальный ключ.

Способ открытого распределения ключей. Каждый из пользователей каналов для передачи зашифрованных данных может использовать свой собственный индивидуальный ключ, сгенерированный случайным образом с помощью специальной программы. Затем этот ключ хранится в секретном месте известном только одному пользователю. Перед отправкой сообщения соответствующий ключ передается адресату прежде, чем он получит сообщение. Еще проще составить каталог ключей и затем рассылать его, заверив цифровой подписью.

Внедрение информационных технологий в работу предприятия с одной стороны повышает ее эффективность, а с другой стороны заставляет руководство принимать во внимание возникающие угрозы информационной безопасности. Безопасность информационных процедур должна входить в глобальную структуру безопасности предприятия. В работе службы безопасности бывают две крайности.

Позиция 1. Всеобъемлющий и беспрекословный регламент на выполнение любого действия, вплоть до включения или выключения компьютера и запуска нужной программы. Отсутствие доступа во внешнюю сеть, криптографическая защита всех внутренних переписок, личный контроль системного администратора за работой всех сотрудников. Идеальный вариант с точки зрения безопасности, но проблема с эффективностью и маневренностью бизнеса как такового.

Позиция 2. Безопасность низложена в угоду оперативности работы информационной системы. Такой подход грозит компьютерными вирусами, доступом посторонних людей к базе данных и потерей ключевых документов, являющихся коммерческой тайной.

Если владелец предприятия пошел по первому пути, то, скорее всего, он оказался на поводу у директора службы безопасности, для которого каждый сотрудник предприятия потенциальный преступник, а письма нужно отправлять не по электронной почте, а специальным курьером, имеющим подписку о неразглашении служебной тайны. Следование по второму пути наиболее вероятно, если ключевая фигура на предприятии - директор по развитию. Для него любое промедление в работе, вызванное соблюдением регламентов службы безопасности, является смертельным для продвижения бизнеса и заключения новых и новых важных контрактов. Руководитель предприятия должен учесть мнение обеих сторон, как с точки зрения средств и методов защиты, так и с точки зрения развития бизнеса.

Стоит заметить, что системный администратор предприятия, владеющий полным современным арсеналом средств технической защиты информации, тем не менее, сможет отследить не более одной пятой части источников угрозы информационной безопасности. Львиная доля случаев угрозы информационной безопасности связана непосредственно с сотрудниками. Здесь профилактикой будет кадровая безопасность и здоровый микроклимат в коллективе.

Для работы в простейших офисных приложениях нет необходимости создавать развитую структуру информационной безопасности. Достаточно простых мер в виде антивирусного пакета и файервола (сетевого экрана). Краткий инструктаж персонала по использованию программ и потенциальным угрозам для фирмы и для них лично в случае нарушения принятых процедур завершит процесс нейтрализации угрозы информационной безопасности. Если же в работе организации используются сложные сетевые продукты для обработки информации, то необходимо более тщательно подойти к выработке политики конфиденциальности информации.

Можно выделить ряд важных критериев:

1) бизнес связан с информационными технологиями;

2) успешное выполнение бизнес-процессов возможно только с применением специфических программных продуктов;

3) объем базы данных огромен и требует существенных ресурсов для поддержания ее работоспособности.

Надо не забывать еще два критерия, которые увеличивают угрозы информационной безопасности:

1) высокая рентабельность.

2) существенные средневзвешенные затраты на содержание службы информационной безопасности.

Если попасть хотя бы под один из этих пунктов, тонадо серьезно озаботиться проблемой информационной безопасности, как с технической, так и с юридической точки зрения. Это поможет в дальнейшем избежать проблем и с конкурентами, и с надзорными органами.

Также и сотрудники компании могут быть как целенаправленными злоумышленниками, так и невольными нарушителями норм информационной безопасности.

Чтобы снизить угрозы информационной безопасности, нужно проводить специальную работу с персоналом в следующих аспектах: профилактическая разъяснительная работа, моральная и материальная поддержка сотрудников на повышение доверия к компании.

Лояльные, но не профессиональные пользователи будут иметь низкую производительность труда, и, наоборот, профессиональные, но не лояльные пользователи будут нести высокие угрозы информационной безопасности. Баланс этих двух качеств - основа безопасности.

Таким образом, в третьей часть теоретической главы были выявлены методы борьбы с угрозами информационной безопасности.



Глава 2. Анализ источников угроз информационной безопасности на примере АО «Газпромнефть-Московский НПЗ»

2.1 Источники угроз ИБ, которые присутствуют наАО «Газпромнефть-Московский НПЗ»

ПАО «Газпром» как транснациональная энергетическая корпорация ведет деятельность практически 30 лет. За этот временной промежуток возникало множество угроз, которые снижали работоспособность предприятий корпорации, в том числе и АО «Газпромнефть-Московский НПЗ». Одними из таких угроз являются угрозы информационной безопасности АО «Газпромнефть-Московский НПЗ».

Ранее было сказано, что источники угроз ИБ классифицируются на:

-антропогенные;

-техногенные;

-стихийные;

К числу антропогенных источников угроз информационной безопасности АО «Газпромнефть-Московский НПЗ» относятся мошеннические действия, связанные с предоставлением сделок недобросовестными участниками рынка, распространяющими через Интернет и по электронной почте фиктивные коммерческие предложения о продаже нефтепродуктов якобы от лица АО «Газпромнефть - МНПЗ»Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 159.6..

Как же возникает данная угроза? Алгоритм достаточно прост:

1) На почту корпоративного клиента приходит письмо с ссылкой на сайт мошенников, почта адресанта похожа на корпоративную почту АО «Газпромнефть-Московский НПЗ»;

2) Корпоративный клиент открывает данную ссылку;

3) Все данные с почты корпоративного клиента приходят мошенникам;

4) Мошенники ведут мониторинг данной почты и извлекают всю полезную информацию, которая приходила и будет приходить от АО «Газпромнефть-Московский НПЗ»

5) Мошенники шантажируют данной информацией клиента, и возможно-само предприятие с целью получения прибыли.

Техногенных источников угроз, связанных с информационной безопасностью МНПЗ достаточно много. Одним из таких источников является некачественное ПО обработки информации.

Например, недавно МНПЗ поставили новые сервера для обработки информации. Через месяц на МНПЗ проводят конкурсные торги Федеральный закон от 05.04.2013 N 44-ФЗ (ред. от 23.04.2018) "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" статья 50.. Ранее поставок ПО получить конкурсную документацию можно было на сайте МНПЗ достаточно легко. Но в связи с тем, что один из новых серверов оказался сконструирован не по техническому регламенту, образовалась уязвимость в работе сервера, что повлекло за собой уязвимость в работе всех серверовУголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 167.. Теперь для них достаточно одной вирусной программы, действия которой будут направлены на то, чтобы сайт МНПЗ не работал в течении 1-2 месяцев. Следовательно, МНПЗ понесет колоссальные убытки, связанные с конкурсными торгами, и подорвёт свою репутацию после такого случая. Источником техногенных угроз в данном случае является один единственный сервер.

Другими источниками угроз информационной безопасности МНПЗ являются стихийные. С точки зрения безопасности предприятия, МНПЗ является самым слабым звеном во всей нефтегазовой отрасли. МНПЗ по сути, как гигантская пороховая бочка со множеством емкостей с мощной взрывчаткой. Предприятие находится в непосредственной близости от жилья.

Пример, год назад, 14 мая МНПЗ прекратил прием нефти и сдачу продукции из-за нештатной ситуации, а именно из-за превышения предельно допустимой концентрации сероводорода в 17 раз.Данный факт связан с неоднократными грубыми нарушениями МНПЗ экологических норм, правил и требованийУголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 215.. Указанное представляет прямую угрозу для здоровья многих людей и способно повлечь наступление необратимых экологических последствий для окружающей природной среды в данной местности. Но пресс-служба предприятия заявляла, что это было связано с пусконаладочными работами. В итоге, возмещение ущерба на 1,39 млрд.руб. Источником стихийных угроз информационной безопасности здесь выступает форс-мажорное обстоятельство с выбросом сероводорода.

Всё бы ничего, но как этот пример связан с информационной безопасностью МНПЗ? Ответ прост, пресс-служба предприятия заверяла всех с начала апреля 2017 года, что у АО «Газпромнефть-Московский НПЗ» всё под контролем, и информация по данному примеру не разглашалась в течении месяца. Но из-за форс-мажорного случая, который повлёк за собой превышение ПДК сероводорода МНПЗ понес за собойколоссальные убытки связанные с ликвидацией последствий после выброса сероводорода в атмосферу и снизил репутацию.

Таким образом, на примерах каждого из вида источников угроз можно сделать вывод о том, что у АО «Газпромнефть-Московский НПЗ» достаточно много угроз, связанных с информационной безопасностью и нужно проводить анализ данного вида угроз.



2.2 Анализ источников угроз ИБ АО «Газпромнефть-Московский НПЗ»

Под влиянием каких факторов возникают источники угрозы информационной безопасности на примере АО «Газпромнефть-Московский НПЗ»? Для анализа мы взяли примеры первой части второй главы.

Из-за чего же возник источник угрозы хищения данных с почты корпоративного клиента МНПЗ? Ответить на него будет непросто.

Желание мошенников украсть информацию и шантажировать ей Московский НПЗ и корпоративного клиента возникает по нескольким причинам:

1)финансовые трудности мошенников, которые обуславливаются жадностью, долгами перед кем-то;

2) продажей коммерческой информации другим предприятиям, которые не хотят покупать эту информацию по завышенной цене( пример, производство полипропилена МНПЗ, технология производства есть только у самого завода, высока цена за продажу данной технологии производства данного материала, а следовательно, многие заинтересованы в этой информации и хотят заполучить её незаконным путём);

3) банальное желание узнать информацию о технологии производства полипропилена на МНПЗ, но никому её не разглашать(как говорил Натан Ротшильд, кто владеет информацией, тот владеет миром).

Следующие источники - техногенные. В данном случае, серверное оборудование. По каким причинам возникла уязвимость в серверном оборудовании на ИНПЗ?

Во-первых, сервер некачественно собрали. Работники предприятия по производству серверного оборудования в связи с трудовой загруженностью работали на «автомате». Грубо говоря, мышечная память. В связи с этим перепутали разъемы, в которые нужно было вставлять отдельные провода. Сервер проверили-работает, но не проверили механизм расположения и подключения проводов серверного оборудования. Из-за этого и возникла уязвимость;

Во-вторых, на предприятии по производству серверного оборудования есть вирусы, которые внедряются в сервера при проверке подключением данного оборудования. Если предприятие по производству серверного оборудования некачественно осуществляет информационную безопасность, то такие угрозы на неё и возникают.

В-третьих, истинная цель предприятия по производству серверного - получение коммерческой информации Московского НПЗ. Заказчик не будет даже знать об утечке информации с предприятия, если не будет осуществлять ежемесячные проверки физических серверов.

Далее - стихийные источники угроз информационной безопасности. По каким причинам возник данный форс-мажорный случай с ПДК сероводорода над Московским НПЗ?

Во-первых, из-за неисправности очистных сооружений на МНПЗ возникает загрязнение природных вод.В данном случае, нельзя было достичь нормативных показателей по сбросу сточных вод в природную зону. Из-за этого возникает невозможность контролировать весь процесс очистки. В итоге, возникает утечка информации по данному инциденту с предприятия «в народ».

Во-вторых, аварии на теплоэлектроцентралях Москвы. Жители домов возле ТЭЦ знают: там обычно пахнет сладковато-кисло - дают о себе знать сернистые соединения, раздражающие слизистую оболочку. Следовательно, из-за этого происходит подача заявления на ближайшие предприятия, которые связаны с энергетикой. А за этим следует проверка МНПЗ специалистами Росприроднадзора. В результате, происходит утечка информации, связанной с данным инцидентом.

В-третьих, выброс сероводорода с самого МНПЗ. В связи с ремонтом МНПЗ, чтобы снизить концентрацию сероводорода внутри источников ремонта, завод предпринял отчаянную попытку произвести выброс вещества в атмосферу. В результате, запах сероводорода распространился на находящуюся в близи жилую местность. Такую информацию п принципе нельзя контролировать. Мы видим, что из-за этого выброса АО «Газпромнефть-Московский НПЗ» возместило ущерб на сумму 1,39 млрд. руб.

Таким образом, мы провели анализ того, из-за чего возникают те или иные источники угроз информационной безопасности АО «Газпромнефть-Московский НПЗ».

2.3 Разработка комплекса мер по повышению информационной безопасности ИБ АО «Газпромнефть-Московский НПЗ»

На основе трех примеров проведём разработку комплекса мер, которые позволяют повысить информационную безопасность МНПЗ.

Что нужно предпринимать для того, чтобы мошенники не смогли украсть корпоративную информацию МНПЗ?

С нашей точки зрения, для этого нужно:

во-первых, аутентификация пользователей и электронных сообщений;

во-вторых, использование криптографических механизмов электронной цифровой подписи, шифрование сообщения; регистрация и архивация входящих и исходящих сообщений;

в-третьих, использование механизмов автоматического квитирования получения сообщений и документов;

в-четвертых, закрытие системы от использования внешних программ, позволяющих модифицировать полученные сообщения; создание группы разбора конфликтных ситуаций и регламентация процедуры установления и доказательства авторства;

в-пятых, организация нумерации сообщений и контроль непрерывности номеров;

в-шестых, регистрация и архивация входящих и исходящих сообщений.

Какие меры нужны для того, чтобы серверное оборудование МНПЗ не являлось техногенным источником угроз информационной безопасности?

В этом случае мы выделили множество мер, которые помогут МНПЗ если не избавиться от таких угроз, то минимизировать их:

1) тестирование программного обеспечения разработчиками;

2) тестирование серверного оборудования независимыми экспертами;

3) наличие периода опытной эксплуатации серверного оборудования;

4) проведение опытной эксплуатации, сертификация серверного оборудования АО «Газпромнефть-Московский НПЗ» на соответствие техническим условиям и на отсутствие недекларированных возможностей;

5) получение и хранение конструкторской и эксплуатационной документации на серверное оборудование;

6) регламентирование процедур ввода в эксплуатацию серверного оборудования;

7) своевременная модификации и заменасерверного оборудования

8) контроль целостности системы серверного оборудования;

9) контроль несанкционированного доступа;

10) удаление из действующей системы всех средств отладки и любых других программ, которые могут использоваться как инструментарий для эксплуатации серверного оборудования;

11) регламентация установки, модификации и замены серверного оборудования;

12) проверка благонадежности программистов-разработчиков, которые отвечают за функционирование серверного оборудования;

13) постоянный антивирусный контроль; использование сканеров безопасности для серверного оборудования;

14) закрытие лишних портов серверного оборудования.

Все эти меры направлены на устранение источников угроз информационной безопасности данного вида.

Что же нужно предпринять для того, чтобы стихийные источники угроз информационной безопасности АО «Газпромнефть-Московский НПЗ» появлялись всё реже?

Во-первых, обучение персонала действиям в форс-мажорных обстоятельствах.

Во-вторых, обеспечение качественного функционирования всего МНПЗ.

В-третьих, установка эффективного оборудования для фильтрации выброса вредных веществ в атмосферу.

Таким образом, в третьей части второй главы был разработан комплекс мер по устранению и минимизации угроз информационной безопасности АО «Газпромнефть-Московский НПЗ».



Заключение

Внешние лица имеют меньше возможностей доступа к ресурсам корпоративной информационной системы, чем внутренние пользователи, и представляют из себя меньшую угрозу. В то же время, на них очень сложно или почти невозможно влиять, поэтому для эффективной защиты от внешних угроз необходимо в первую очередь использовать внутренние технические и организационные меры.

Степень надёжности средств информационной безопасности должна соответствовать потенциальным потерям компании. Критичность информации желательно оценивать также с точки зрения цены этой информации на рынке.

Реализация злоупотребления внешним лицом должна требовать от него больших затрат, чем потенциальная выгода преступника.

Желательно, чтобы ваша информационная система компании была защищена не хуже, чем системы конкурентов.

Доступ к серверам, хранящим информацию, должен быть ограничен не только технологически и организационно, но и физически. Вход в помещения ограниченного доступа должен контролироваться наиболее жёстко.

Информация в компании должна быть разделена на несколько уровней доступа. Сотрудник должен получать доступ только к тем сведениям, которые необходимы ему для работы. Принцип минимальных полномочий должен действовать как для электронных, так и для иных данных. Необходимо утвердить список наиболее критичной информации, отнесённой к разряду конфиденциальной, сотрудники должны быть ознакомлены с ним под роспись. Доступ к конфиденциальной информации возможен только после внесения сотрудника в соответствующий список, утверждаемый руководством.

При принятии решения о предоставлении доступа к информации целесообразно учитывать психологические особенности и компетентность сотрудника.

Изменения в поведении сотрудника, свидетельствующие о недовольстве и разочаровании в связи с происходящими в компании событиями, могут рассматриваться как причина ограничения его прав доступа к информации. Особого внимания требует процесс увольнения сотрудника. Разумным решением будет ограничить доступ сотрудника к информации на время прохождения испытательного срока.

Работа и оценка деятельности персонала должна производиться в соответствии с требованиями положений о подразделениях, должностных инструкций и регламентов. Критичные действия с информацией должны быть максимально определены, сотрудник не должен в таких случаях принимать решений. Он должен точно знать, к кому обязан обратиться в случае возникновения специально определённой или не описанной инструкцией ситуации.

Желательно, чтобы выполнение требований информационной безопасности рассматривалось в качестве одного из критериев оценки работы, и нарушение этих требований должно приводить к наказанию, определённому внутренними нормативными документами. Наряду с рядовыми сотрудниками ответственность за соблюдение правил информационной безопасности должны нести менеджеры.

Выполнение внутренних регулирующих документов в части, касающейся информационной безопасности, должно контролироваться службой информационной безопасности. При этом сотрудникам необходимо объяснить, что контролируются не люди, а производственные процессы, и что такой контроль соответствует их личным интересам, так как защищает от давления на них и близких им людей со стороны криминальных структур.

Руководитель службы информационной безопасности не должен подчиняться IT-директору ввиду различия решаемых ими задач.

Желательно, чтобы наряду с подготовкой по защите данных, руководитель службы информационной безопасности прошёл специальную подготовку в области практической психологии.

Корпоративная культура должна поддерживать лояльность сотрудников. Желательно, чтобы система мотивации сотрудника соответствовала его психологическим особенностям.

Если в компании принят кодекс поведения, целесообразно включить в него пункты, определяющие ожидания компании относительно обращения сотрудника с доступной ему служебной информацией.

Сотрудники должны быть проинструктированы о том, как себя вести с партнёрами, клиентами, ранее неизвестными лицами, пытающимися получить после выступлений, в ходе переговоров, при иных обращениях, сведения, составляющие коммерческую тайну. Особо аккуратно следует общаться с прямыми и косвенными конкурентами, компаниями, проводящими на рынке агрессивную политику.

При передаче партнёрам сведений, не являющихся общедоступными, должно быть подписано соглашение о неразглашении информации.

Одним из способов снижения информационных рисков компании является аутсорсинг информационных ресурсов у специализированной организации, способной нанять высококвалифицированный IT-персонал и обеспечить его эффективную работу. Желательно, чтобы такая организация обладала репутацией, подтверждённой многолетним опытом успешной работы. Дополнительным преимуществом является наличие заключения о результатах проверки в этой организации состояния информационной безопасности, проведённой внешним авторитетным аудитором.



Список использованной литературы

1. Федеральный закон от 05.04.2013 N 44-ФЗ (ред. от 23.04.2018) "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" статья 50.

2. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 159.6.

3. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 167.

4. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 215.

5. Жигоцкий, П. Э. Проблемы информационной безопасности ( защита информации, распространение которой запрещается) / П. Э. Жигоцкий, Н. А. Чесноков // Российский следователь = RussianInvestigator : науч.-практ. и информ. изд. - 2015. - N 4. - С. 35-41.

6. Галушкин, А. А. Развитие информационных технологий и информационные угрозы / А. А. Галушкин // Современное право :междунар. науч.-практ. журн. - 2015. - N 4. - С. 41-46.

7. Астахова, Л. В. Информационная безопасность: риски, связанные с культурным капиталом персонала / Л. В. Астахова // Научно-техническая информация. Серия 1, Организация и методика информационной работы :ежемес. науч.-техн. сборник. - 2015. - N 4.

8. Савосина, Н. Г. Проблемы обеспечения безопасности информации в автоматизированных системах таможенных органов России в свете развития электронного документооборота / Н. Г. Савосина, В. Е. Чеботарев // Таможенное дело : науч.-практ. журн. - 2014. - N 3. - С. 22-24.

9. Федоров, В. В. Информационные технологии и защита информации в правоохранительной деятельности таможенных органов Российской Федерации : монография / В. В. Федоров ; РТА. - М. : Изд-во РТА, 2014. - 178 с. - Библиогр.: с. 156-158.

10. Арутюнов, В. В. О международной научно-практической конференции "Современные проблемы и задачи обеспечения информационной безопасности" / В. В. Арутюнов // Научно-техническая информация. Серия 1, Организация и методика информационной работы :ежемес. науч.-техн. сборник. - 2014. - N 7. - С. 17-22.

11. Митрохина, Е. Ю. Информационная безопасность личности (социологический аспект) [Текст] : монография / Е. Ю. Митрохина ; РТА. - М. : Изд-во РТА, 2014. - 96 с. : рис., табл. - Библиогр.: с. 84-94.

12. Гуров, А. И. Уголовно-правовая охрана информационной безопасности личности / А. И. Гуров, А. В. Остроушко // Закон и право = Law&Legislation. - 2015. - N 4. - С. 16-18.

13. Елин, В. М. Значение гражданско-правовых механизмов защиты компьютерной информации в условиях информационного общества [Текст] / В. М. Елин // Проблемы информационной безопасности. Компьютерные системы. - 2015. - N 1. - С. 74-82.

14. Баранов, А. П. Перспективные направления исследований в защите информации [Текст] / А. П. Баранов // Проблемы информационной безопасности. Компьютерные системы. - 2015. - N 2. - С. 7-20.

15. Веснин, В. Р. Менеджмент : учебник / В. Р. Веснин. - 4-е изд., перераб. и доп. - Москва : Проспект, 2014. - 613 с.

16. Информационная безопасность. Защита информации - [Электронный ресурс] - Режим доступа. - URL: http://all-ib.ru/(дата обращения 16.04.2018).

17. Определение информационной безопасности - [Электронный ресурс] -Режим доступа. URL: http://www.itspecial.ru/(дата обращения 18.04.2018).

18. Угрозы информационной безопасности в АС - [Электронный ресурс] - Режим доступа. - URL: http://asher.ru/security/book/its/05 (дата обращения 16.04.2018).

19. Сайт АО «Газпромнефть-Московский НПЗ». - [Электронный ресурс] - Режим доступа. - URL: http://mnpz.gazprom-neft.ru (дата обращения 19.04.2018).

20. Сайт компании «КонсультантПлюс». - [Электронный ресурс] - Режим доступа. - URL: http://www.consultant.ru (дата обращения 19.04.2018).

Размещено на Allbest.ru

...