Размещено на http://www.allbest.ru/

ОГЛАВЛЕНИЕ

1. Краткая характеристика ОАО "Мегафон"

1. КРАТКАЯ ХАРАКТЕРИСТИКА ОАО "МЕГАФОН"

ОАО "МегаФон" -- один из трех крупнейших сотовых операторов России. Это единственная компания, развернувшая собственную сеть и оказывающая весь спектр услуг мобильной связи на всей территории России. Помимо этого, дочерние компании "МегаФона" работают в Таджикистане, Абхазии и Южной Осетии. Точкой отсчета в истории "МегаФона" можно считать 17 июня 1993 года, когда в мэрии Санкт-Петербурга было зарегистрировано акционерное общество закрытого типа "Северо-Западный GSM".

В коммерческую эксплуатацию сеть GSM в Санкт-Петербурге была запущена в январе 1995 года. За первые 12 месяцев работы компания подключила 8 тысяч абонентов. С 1997 года компания начала экспансию в регионы северо-западной части России. В 1999 году "Северо-Западный GSM" первым среди российских операторов заключил роуминговые соглашения со всеми без исключения странами Европы. А к концу 2000 года абонентская база "Северо-Западного GSM" насчитывала больше 250 тысяч человек. В 2001 году у компании появилась первая зарубежная дочерняя компания - оператор "ТТ-мобайл" в Таджикистане. В том же году был дан зеленый свет и всероссийской экспансии: на базе "Северо-Западного GSM" было принято решение создать единый общероссийский сотовый оператор. В начале 2002 года компания отпраздновала подключение миллионного абонента, после чего акционеры решили дать компании новое имя - ОАО "МегаФон", а уже к концу 2002 года число пользователей выросло почти в три раза и достигло 2,8 млн человек. В последующие годы продолжается интенсивное развитие компании.

В 2007 году сеть "МегаФона" охватила всю территорию страны, и компания стала первым федеральным оператором сотовой связи. Кроме того, была получена лицензия на предоставление услуг связи третьего поколения в стандарте GSM и запущена первая в России коммерческая сеть 3G в Санкт-Петербурге. В декабре 2008 года собрание акционеров ОАО "МегаФон" приняло решение о реорганизации компании путем присоединения дочерних обществ. Число абонентов превысило 43,2 миллиона.

По итогам первого квартала 2010 года сеть "МегаФон" насчитывает 7200 базовых станций, поддерживающих 3G. Общее количество 2G/3G базовых станций составляет 16000. Базовые станции 3G есть во всех регионах Российской Федерации, на данный момент -- это крупнейшая сеть третьего поколения в стране. Компания предоставляет услуги связи третьего поколения (3G) более чем в шестистах из 1099 российских городов: это 54,5% всех крупных населенных пунктов нашей страны. Протяженность волоконно-оптических линий связи (ВОЛС) "МегаФона" насчитывает 43,47 тысяч километров.

В июне 2010 года "МегаФон" приобрел 100% акций компании "Синтерра", что позволило укрепить собственную сетевую инфраструктуру и усилить позиции на рынках дальней связи, фиксированного и мобильного широкополосного доступа в интернет, а также конвергентных услуг. Число активных абонентов компании превышает 62 миллиона. В этом же году "МегаФон" открыл крупнейший в России центр обработки данных, который соответствует самым высоким мировым стандартам и позволяет предоставлять самые современные информационные услуги своим клиентам во всем мире. Новый Центр обработки данных в Самаре стал самым крупным DATA-центром в России. На сегодняшний день количество сотрудников компании превышает 30 тысяч человек.

Деятельность компании разрешена рядом лицензий, основная из которых № 14404 от 09.03.2000 на оказание услуг подвижной радиотелефонной связи, выданная Федеральной службой по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия Российской Федерации.

2. ОРГАНИЗАЦИОННАЯ СТРУКТУРА ОАО "МЕГАФОН"

Оренбургское отделение компании возглавляет исполнительный директор по области, у которого в подчинении находятся начальники 12-ти функционально разделенных отделов.

Отдел бухгалтерского учета и отчетности решает следующие задачи:

· расчет заработной платы сотрудников компании;

· работа по расчетам с подотчетными лицами;

· учет товарно-материальных ценностей (в том числе внутреннего оборудования компании), учет правильности начисления и уплаты налогов;

· составление отчетности для руководства компании.

Отдел биллинговых систем занимается начислением платы клиентам за пользование предоставляемыми услугами связи, путем ведения учета использованного объема сервисов и применения соответствующей тарификации на каждый тип услуги. Для эффективного обслуживания клиентов, подразделение поделено на два сектора:

· по работе с физическими лицами;

· по работе с юридическими лицами;

Отдел администрирования и коммутации информационных потоков занимается собственно обеспечением правильного функционирования всего управляющего телекоммуникационного оборудования оператора сотовой связи.

Отдел маркетинга и рекламы компании-оператора не имеет непосредственного отношения к реализации технической составляющей процесса предоставления услуг, однако в значительной степени определяет положение компании на рынке связи, обеспечивает продвижение тех или иных сервисов среди существующих и потенциальных абонентов. Кроме того, данный отдел, занимается организацией рекламных кампаний в средствах массовой информации, наружной рекламой, проведением рекламных акций.

Административный отдел выполняет функции координирования и построения взаимосвязей между разнородными по направлениям деятельности подразделениями компании. Персоналом собирается актуальная информация о текущей деятельности других отделов, в том числе сроках выполнения различных работ, на основе полученной информации составляются отчеты для предоставления руководству.

Отдел мониторинга компании ведет целенаправленный сбор, хранение и анализ статистической информации о работе систем оператора. Аналитический сектор занимается исследованием полученной статистической информации по ранее описанным направлениям, проведением выборок исходя из заданных критериев, формированием и созданием периодических отчетов и подготовкой отчетов по запросу для предоставления ответственным представителям, как других отделов компании, так и непосредственно руководящему составу.

Отдел безопасности реализует функцию защиты на всех уровнях работы компании-оператора. Данный отдел представляет собой комплексную структуру, в общем виде разделенную по территориальному признаку обеспечения безопасности на две составляющих:

· сектор обеспечения внешней безопасности инфраструктуры, в первую очередь обеспечивает охрану материально-технического оснащения компании, размещенного за пределами контролируемой оператором связи территории. Речь идет о магистральных линиях связи и станциях-ретрансляторах. С целью обеспечения эффективной защиты в данном направлении развито тесное сотрудничество между собственной службой безопасности и внешними государственными охранными структурами;

· сектор обеспечения внутренней безопасности компании решает задачи, как обеспечения физической безопасности, так и обеспечения защиты информации: защита персональных данных клиентов организации, защита персональных данных сотрудников, защита в пределах контролируемой зоны бумажных документов, организация конфиденциального делопроизводства, защита коммерческой и служебной тайн.

Отдел кадров компании занимается учетом, обработкой информации о сотрудниках, непосредственными контактами с персоналом. Кроме своей основной функции, дополнительно ведет обучение и начальную подготовку вновь прибывших сотрудников, для чего организовано соответствующее направление:

· сектор учета кадров - занимается приемом и увольнением работником, ведением соответствующей документации о всех изменениях среди штата, ведет учет рабочего времени.

· сектор обучения и подготовки кадров - проводит предварительный узкоспециализированный курс дополнительного обучения новых сотрудников.

Результаты деятельности всего отдела сводятся в отчеты, для предоставления руководству компании.

Отдел планирования занимается разработкой долгосрочной модели поведения компании, определяя, таким образом, вектор ее развития в перспективе. Для решения основной задачи отдела выполняется некоторый ряд дополнительных функций:

· сбор отчетности о работе других отделов компании;

· анализ собранных данных;

· разработка стратегии поведения компании в целом, и каждого отдела по отдельности;

· моделирование разработанного плана при текущей ситуации на рынке, а также с учетом прогнозов поведения отрасли в будущем;

· составление отчетов о разработанных мерах для предоставления непосредственному руководству компании или ее подразделения.

Таким образом, были выделены основные отделы компании по их функциональному признаку, для каждого из которых проведена формализация задач поставленных к решению.

3. ИНФОРМАЦИОННЫЕ ПОТОКИ И ИСТОЧНИКИ ИНФОРМАЦИИ ОТДЕЛОВ ОАО "МЕГАФОН"

Обмен данными различных типов внутри компании осуществляется в форме потоков информации. Учитывая масштабы предприятия, необходимо организовать максимально оптимизированное и рациональное перемещение информационных потоков в системе. Оперативность выполнения каждым отделом, возложенных на него функций, а значит и эффективность деятельности компании в целом, напрямую зависит от правильно налаженной работы систем регистрации, передачи, хранения и обработки информации.

Служба безопасности взаимодействует со всеми отделами компании.

В первую очередь осуществляется сбор, анализ и регулирование доступа к данным, подлежащим защите. В этом направлении особое внимание следует обратить на связи со следующими отделами:

· отдел администрирования и коммутации информационных потоков, основное направление - работа с системами скремблирования полезного трафика в сети GSM; контроль разграничения доступа к различным уровням системы;

· отдел биллинговых систем - контроль доступа к персональным данным клиентов (база данных подписчиков услуг оператора); контроль над транзакциями внутри системы биллинга (анализ операций внесения и списания денежных средств);

· отдел бухгалтерского учета и аудита - работа с информацией о финансовой стороне деятельности компании; анализ результатов аудита деятельности предприятия;

· отдел кадров - проверка сведений, предоставляемых вновь прибывшими сотрудниками; разграничение прав доступа персонала на различных уровнях функционирования компании.

Административный отдел компании поддерживает двусторонний обмен информационными потоками с каждым направлением предприятия, для выполнения своих прямых функций по координированию работы между направлениями в составе единой инфраструктуры. Передаваемые данные, в своем большинстве носят характер директив, протоколов и отчетов о проведенных мероприятиях и возникших внештатных ситуациях, работа с персональными данными в данном случае сведена к минимуму. Наиболее плотное взаимодействие осуществляется с отделом планирования и отделом маркетинга и рекламы.

Отдел администрирования и коммутации информационных потоков обрабатывает и генерирует два типа данных по функциям:

· статистическая информация - направляется в отдел мониторинга, представляет собой данные об объемах предоставленных клиентам компании сервисов, например длительность голосовых соединений, интенсивность использования сервисов коротких сообщений, и др.;

· данные и команды управления - принимаются и обрабатываются из отдела биллинговых систем, являют собой информацию о состоянии персональных счетов абонентов, и, соответственно, разрешение на предоставление телекоммуникационного ресурса для оказания тех или иных услуг.

Отдел биллинговых систем в результате своей основной деятельности задействует информационные потоки со следующими отделами:

· отдел администрирования и коммутации информационных потоков - данные о состоянии персонального счета клиента;

· отдел бухгалтерского учета и аудита - передаются данные о совокупных объемах вырученных и затраченных средств по предоставлению телекоммуникационных услуг.

Основной поток информации, необходимый для эффективной работы подразделения, поступает из отдела мониторинга. Данные носят исключительно статистический характер, без привязки к персональному идентификатору абонента, и, следовательно, его персональным данным. При этом сохраняются все упомянутые ранее связи.

Отдел бухгалтерского учета и аудита обрабатывает сведения о финансовой стороне деятельности предприятия, сведения о размере прибыли и себестоимости предоставленных услуг связи, и другие сведения экономического аспекта компании. Активное взаимодействие ведется со следующими структурными единицами:

· отдел биллинговых систем - сбор информации об объемах предоставленных услуг, количестве введенных и выведенных из системы средств; учет количества и стоимости затраченных телекоммуникационных ресурсов по типам предоставляемых сервисов;

· отдел кадров - получение информации о штате сотрудников компании, занимаемых должностях, рабочем времени, для проведения расчетов с персоналом за объем выполненной работы;

· служба безопасности - предоставление данных о результатах проведенных аудитов средств и материально-технической базы компании;

· административный отдел - получение указаний по координации действий с другими структурами оператора.

Таким образом, данные, передаваемые в некоторых информационных потоках этого отдела, также подпадают под категорию конфиденциальных.

Отдел кадров преимущественно обрабатывает персональные данные сотрудников компании, притом, по большей части, информация данного типа не выходит за пределы самого отдела. Исключением является отдел кадров, в который направляются сведения о персонале компании. С остальных позиций, подобно другим отделам компании, направлением установлены информационные связи со службой безопасности, куда по требованию передаются сведения о сотрудниках для проведения внешних и внутренних проверок актуальности поставленной информации; а также административным отделом, для получения указаний по взаимодействию совместно с другими структурными единицами предприятия.

Отдел мониторинга занимается сбором и обработкой исключительно статистической информации о предоставленных услугах, для предоставления остальным подразделениям по требованию. Данные носят информационный характер и в большинстве своем предназначены исключительно для использования внутри компании. Тем не менее, работа отдела не предполагает обработку конфиденциальной информации, таким образом исключая ее случайное или умышленное раскрытие.

4. АКТУАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ

информационный поток угроза защита

Угроза безопасности информации - потенциально возможное нарушение безопасности, событие или обстоятельство, которое приводит к последствиям нарушения целостности, доступности и конфиденциальности информации, и может явиться причиной нанесения ущерба защищаемому ресурсу оператора телекоммуникационных услуг.

ОАО "МегаФон" является одной из крупнейших компаний в своем роде, в работе которой задействовано около 30 тысяч сотрудников, а база абонентов составляет 62 миллиона. Как отмечалось ранее, персональные данные клиентов и сотрудников компании собраны в распределенные базы данных, которые обрабатываются в составе специальных информационных систем, так называемых ИСПДн. Отдельной обработке в составе специализированных информационных подсистем подвергаются данные, классифицированные выше как коммерческая тайна. Для обеих информационных систем, как обработки персональных данных, так и информации, относящейся к непосредственному функционированию предприятия, необходимо организовать комплекс мер по высокоэффективной защите.

Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных", утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России, и рассчитан в приложении В. Таким образом, ИСПДн имеет низкий () уровень исходной защищенности.

Анализ актуальности данных угроз для ИСПДн отделов ОАО "МегаФон" производится в приложении Г. Общее количество возможных угроз равно 47. Актуальных угроз выявлено 29.

· экономические;

· социальные;

· правовые;

· организационные;

· информационные;

· экологические;

· технические;

· природные;

· криминальные.

Следующий этап перед разработкой комплекса мер по защите вверенной информационной системы предполагает составление и анализ модели потенциального нарушителя безопасности.

5. НОСИТЕЛИ ИНФОРМАЦИИ, ИСПОЛЬЗУЕМЫЕ В ОАО "МЕГАФОН"

Носители информации -- материальные объекты, в том числе, физические поля, в которых сведения находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

К носителям информации могут быть отнесены:

· люди;

· материальные тела -- документы, изделия, материалы и т.п.;

· машинные носители информации -- магнитные, полупроводниковые, оптические и др.

· поля -- акустические, электрические, магнитные и электромагнитные (в диапазоне видимого и инфракрасного света, в радиодиапазоне);

· элементарные частицы.

· отличия таких носителей от носителей открытой информации;

· информирования персонала о виде тайны, содержащейся в носителе, категории секретности информации (т.е. о порядке обращения с ним);

· идентификации носителя (учетный номер и номер экземпляра, кому принадлежит, за кем персонально закреплен и т.п.);

· защита носителя от подмены.

Физическая природа носителя информации имеет основополагающее значение при определении мер по ее защите, так как возникающие при их использовании вторичные носители формируют каналы утечки информации. Информация, в зависимости от физической природы носителя, может распространяться в различных средах. Физические параметры среды определяют условия распространения вторичного носителя информации и, следовательно, возможный выбор средств защиты.

· физические препятствия для перемещения носителя;

· мера ослабления энергии сигнала на единицу расстояния;

· частотная характеристика (неравномерность ослабления частотных составляющих спектра сигнала);

· вид и мощность помех для сигнала.

6. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОАО "МЕГАФОН"

Программными средствами защиты информации называются специальные программы, которые включают в состав программного обеспечения систем обработки данных для решения в них (самостоятельно или в комплексе с другими средствами) задач защиты.

· Средство для оценки рисков.

· Сканер безопасности.

· Антивирус.

· Брандмауэр.

· Средство резервного копирования.

· Анализатор лог-файлов.

· Система обнаружения вторжений.

· Система криптографической защиты информации.

· Система обнаружения и предотвращения утечек информации.

В качестве системы обнаружения и предотвращения утечки данных в ОАО "МегаФон" используется программное обеспечение Symantec DLP.

Система Symantec DLP выполняет 3 основные функции:

· Мониторинг и контроль перемещения конфиденциальной информации по сетевым каналам связи (email, web, ftp, интернет-пейджеры);

· Контроль действий пользователей на своих локальных рабочих станциях (применительно только к операциям, связанным с отторжением конфиденциального содержимого -- на USB-накопитель, запись на диски, через локальные сетевые соединения или печать);

· Сканирование корпоративной сети предприятия (в том числе файловые сервера, порталы, системы документооборота и конечные рабочие станции) на предмет неупорядоченного хранения сведений конфиденциального характера.

Таков же и модульный состав продукта Symantec DLP.

Администратор безопасности компании настраивает правила реагирования на перемещение секретных документов. Система будет обнаруживать похожие документы в потоке трафика (электронная почта, web, ICQ, попытки записи на флешки). Если попадается конфиденциальный документ в потоке, то система Vontu DLP создаст инцидент безопасности, в котором будет указано, кто отправлял, по какому каналу и из какого источника взят этот защищаемый документ. Системе требуется, чтобы хотя бы 10% документа совпало с первоисточником. Информация о нарушении передаётся ответственному лицу, которое может ознакомиться с письмом, отправленным его подчиненным, принять решение о возбуждении расследования, либо (если действие легитимно) - об изменении правила реагирования. Решение Vontu встраивается в существующую инфраструктуру заказчиков. В случае с системой, развернутой в ОАО "МегаФон": "прозрачный режим" мониторинга почтового и web трафика. Таким образом, развернутая система обеспечивает:

· автоматизированный аудит мест расположения конфиденциальной информации;

· автоматизированный контроль соответствия установленным в компании процедурам перемещений конфиденциальной информации (создание и обработка инцидентов при неправомерном разглашении секретных сведений, с возможностью их предотвращения);

· отслеживание общего уровня рисков (на основе отчетов по инцидентам);

· контроль утечек информации в режиме немедленного реагирования и в рамках ретроспективного анализа;

· приведение уровня информационной безопасности организации в соответствие с рядом требований стандарта PCI DSS.

Сетевые политики безопасности реализованы средствами программного комплекса Symantec Network Access Control.

Symantec Network Access Control (SNAC) - современное решение контроля доступа, которое защищает корпоративную сеть от вторжений неизвестных пользователей, подключения к сети незарегистрированных посторонних устройств и распространения угроз, содержащихся на компьютерах легитимных пользователей. Кроме того, SNAC позволяет обеспечить соблюдение политик безопасности на конечных устройствах.

Network Access Control (NAC) - это технология или метод, который позволяет определить, разрешен ли доступ к корпоративной сети каждому отдельно взятому устройству, которое пытается к ней подключиться. Делается это на основе специального критерия, который прописывают в политиках безопасности. Все компоненты программного элемента защиты информации соответствуют выдвинутым требованиям в области ПО обеспечения безопасности данных, протестированы на совместимость с существующими программными продуктами и сертифицированы для использования на территории Российской Федерации.