Анализ источников угроз ИБ АО «Газпромнефть-Московский НПЗ»
Под влиянием каких факторов возникают источники угрозы информационной безопасности на примере АО «Газпромнефть-Московский НПЗ»? Для анализа мы взяли примеры первой части второй главы.
Из-за чего же возник источник угрозы хищения данных с почты корпоративного клиента МНПЗ? Ответить на него будет непросто.
Желание мошенников украсть информацию и шантажировать ей Московский НПЗ и корпоративного клиента возникает по нескольким причинам:
1)финансовые трудности мошенников, которые обуславливаются жадностью, долгами перед кем-то;
2) продажей коммерческой информации другим предприятиям, которые не хотят покупать эту информацию по завышенной цене( пример, производство полипропилена МНПЗ, технология производства есть только у самого завода, высока цена за продажу данной технологии производства данного материала, а следовательно, многие заинтересованы в этой информации и хотят заполучить её незаконным путём);
3) банальное желание узнать информацию о технологии производства полипропилена на МНПЗ, но никому её не разглашать(как говорил Натан Ротшильд, кто владеет информацией, тот владеет миром).
Следующие источники – техногенные. В данном случае, серверное оборудование. По каким причинам возникла уязвимость в серверном оборудовании на ИНПЗ?
Во-первых, сервер некачественно собрали. Работники предприятия по производству серверного оборудования в связи с трудовой загруженностью работали на «автомате». Грубо говоря, мышечная память. В связи с этим перепутали разъемы, в которые нужно было вставлять отдельные провода. Сервер проверили-работает, но не проверили механизм расположения и подключения проводов серверного оборудования. Из-за этого и возникла уязвимость;
|
|
|
Во-вторых, на предприятии по производству серверного оборудования есть вирусы, которые внедряются в сервера при проверке подключением данного оборудования. Если предприятие по производству серверного оборудования некачественно осуществляет информационную безопасность, то такие угрозы на неё и возникают.
В-третьих, истинная цель предприятия по производству серверного – получение коммерческой информации Московского НПЗ. Заказчик не будет даже знать об утечке информации с предприятия, если не будет осуществлять ежемесячные проверки физических серверов.
Далее – стихийные источники угроз информационной безопасности. По каким причинам возник данный форс-мажорный случай с ПДК сероводорода над Московским НПЗ?
Во-первых, из-за неисправности очистных сооружений на МНПЗ возникает загрязнение природных вод.В данном случае, нельзя было достичь нормативных показателей по сбросу сточных вод в природную зону. Из-за этого возникает невозможность контролировать весь процесс очистки. В итоге, возникает утечка информации по данному инциденту с предприятия «в народ».
|
|
|
Во-вторых, аварии на теплоэлектроцентралях Москвы. Жители домов возле ТЭЦ знают: там обычно пахнет сладковато-кисло - дают о себе знать сернистые соединения, раздражающие слизистую оболочку. Следовательно, из-за этого происходит подача заявления на ближайшие предприятия, которые связаны с энергетикой. А за этим следует проверка МНПЗ специалистами Росприроднадзора. В результате, происходит утечка информации, связанной с данным инцидентом.
В-третьих, выброс сероводорода с самого МНПЗ. В связи с ремонтом МНПЗ, чтобы снизить концентрацию сероводорода внутри источников ремонта, завод предпринял отчаянную попытку произвести выброс вещества в атмосферу. В результате, запах сероводорода распространился на находящуюся в близи жилую местность. Такую информацию п принципе нельзя контролировать. Мы видим, что из-за этого выброса АО «Газпромнефть-Московский НПЗ» возместило ущерб на сумму 1,39 млрд. руб.
Таким образом, мы провели анализ того, из-за чего возникают те или иные источники угроз информационной безопасности АО «Газпромнефть-Московский НПЗ».
|
|
|
Разработка комплекса мер по повышению информационной безопасности ИБ АО «Газпромнефть-Московский НПЗ»
На основе трех примеров проведём разработку комплекса мер, которые позволяют повысить информационную безопасность МНПЗ.
Что нужно предпринимать для того, чтобы мошенники не смогли украсть корпоративную информацию МНПЗ?
С нашей точки зрения, для этого нужно:
во-первых, аутентификация пользователей и электронных сообщений;
во-вторых, использование криптографических механизмов электронной цифровой подписи, шифрование сообщения; регистрация и архивация входящих и исходящих сообщений;
в-третьих, использование механизмов автоматического квитирования получения сообщений и документов;
в-четвертых, закрытие системы от использования внешних программ, позволяющих модифицировать полученные сообщения; создание группы разбора конфликтных ситуаций и регламентация процедуры установления и доказательства авторства;
в-пятых, организация нумерации сообщений и контроль непрерывности номеров;
в-шестых, регистрация и архивация входящих и исходящих сообщений.
|
|
|
Какие меры нужны для того, чтобы серверное оборудование МНПЗ не являлось техногенным источником угроз информационной безопасности?
В этом случае мы выделили множество мер, которые помогут МНПЗ если не избавиться от таких угроз, то минимизировать их:
1) тестирование программного обеспечения разработчиками;
2) тестирование серверного оборудования независимыми экспертами;
3) наличие периода опытной эксплуатации серверного оборудования;
4) проведение опытной эксплуатации, сертификация серверного оборудования АО «Газпромнефть-Московский НПЗ» на соответствие техническим условиям и на отсутствие недекларированных возможностей;
5) получение и хранение конструкторской и эксплуатационной документации на серверное оборудование;
6) регламентирование процедур ввода в эксплуатацию серверного оборудования;
7) своевременная модификации и заменасерверного оборудования
8) контроль целостности системы серверного оборудования;
9) контроль несанкционированного доступа;
10) удаление из действующей системы всех средств отладки и любых других программ, которые могут использоваться как инструментарий для эксплуатации серверного оборудования;
11) регламентация установки, модификации и замены серверного оборудования;
12) проверка благонадежности программистов-разработчиков, которые отвечают за функционирование серверного оборудования;
13) постоянный антивирусный контроль; использование сканеров безопасности для серверного оборудования;
14) закрытие лишних портов серверного оборудования.
Все эти меры направлены на устранение источников угроз информационной безопасности данного вида.
Что же нужно предпринять для того, чтобы стихийные источники угроз информационной безопасности АО «Газпромнефть-Московский НПЗ» появлялись всё реже?
Во-первых, обучение персонала действиям в форс-мажорных обстоятельствах.
Во-вторых, обеспечение качественного функционирования всего МНПЗ.
В-третьих, установка эффективного оборудования для фильтрации выброса вредных веществ в атмосферу.
Таким образом, в третьей части второй главы был разработан комплекс мер по устранению и минимизации угроз информационной безопасности АО «Газпромнефть-Московский НПЗ».
ЗАКЛЮЧЕНИЕ
Внешние лица имеют меньше возможностей доступа к ресурсам корпоративной информационной системы, чем внутренние пользователи, и представляют из себя меньшую угрозу. В то же время, на них очень сложно или почти невозможно влиять, поэтому для эффективной защиты от внешних угроз необходимо в первую очередь использовать внутренние технические и организационные меры.
Степень надёжности средств информационной безопасности должна соответствовать потенциальным потерям компании. Критичность информации желательно оценивать также с точки зрения цены этой информации на рынке.
Реализация злоупотребления внешним лицом должна требовать от него больших затрат, чем потенциальная выгода преступника.
Желательно, чтобы ваша информационная система компании была защищена не хуже, чем системы конкурентов.
Доступ к серверам, хранящим информацию, должен быть ограничен не только технологически и организационно, но и физически. Вход в помещения ограниченного доступа должен контролироваться наиболее жёстко.
Информация в компании должна быть разделена на несколько уровней доступа. Сотрудник должен получать доступ только к тем сведениям, которые необходимы ему для работы. Принцип минимальных полномочий должен действовать как для электронных, так и для иных данных. Необходимо утвердить список наиболее критичной информации, отнесённой к разряду конфиденциальной, сотрудники должны быть ознакомлены с ним под роспись. Доступ к конфиденциальной информации возможен только после внесения сотрудника в соответствующий список, утверждаемый руководством.
При принятии решения о предоставлении доступа к информации целесообразно учитывать психологические особенности и компетентность сотрудника.
Изменения в поведении сотрудника, свидетельствующие о недовольстве и разочаровании в связи с происходящими в компании событиями, могут рассматриваться как причина ограничения его прав доступа к информации. Особого внимания требует процесс увольнения сотрудника. Разумным решением будет ограничить доступ сотрудника к информации на время прохождения испытательного срока.
Работа и оценка деятельности персонала должна производиться в соответствии с требованиями положений о подразделениях, должностных инструкций и регламентов. Критичные действия с информацией должны быть максимально определены, сотрудник не должен в таких случаях принимать решений. Он должен точно знать, к кому обязан обратиться в случае возникновения специально определённой или не описанной инструкцией ситуации.
Желательно, чтобы выполнение требований информационной безопасности рассматривалось в качестве одного из критериев оценки работы, и нарушение этих требований должно приводить к наказанию, определённому внутренними нормативными документами. Наряду с рядовыми сотрудниками ответственность за соблюдение правил информационной безопасности должны нести менеджеры.
Выполнение внутренних регулирующих документов в части, касающейся информационной безопасности, должно контролироваться службой информационной безопасности. При этом сотрудникам необходимо объяснить, что контролируются не люди, а производственные процессы, и что такой контроль соответствует их личным интересам, так как защищает от давления на них и близких им людей со стороны криминальных структур.
Руководитель службы информационной безопасности не должен подчиняться IT-директору ввиду различия решаемых ими задач.
Желательно, чтобы наряду с подготовкой по защите данных, руководитель службы информационной безопасности прошёл специальную подготовку в области практической психологии.
Корпоративная культура должна поддерживать лояльность сотрудников. Желательно, чтобы система мотивации сотрудника соответствовала его психологическим особенностям.
Если в компании принят кодекс поведения, целесообразно включить в него пункты, определяющие ожидания компании относительно обращения сотрудника с доступной ему служебной информацией.
Сотрудники должны быть проинструктированы о том, как себя вести с партнёрами, клиентами, ранее неизвестными лицами, пытающимися получить после выступлений, в ходе переговоров, при иных обращениях, сведения, составляющие коммерческую тайну. Особо аккуратно следует общаться с прямыми и косвенными конкурентами, компаниями, проводящими на рынке агрессивную политику.
При передаче партнёрам сведений, не являющихся общедоступными, должно быть подписано соглашение о неразглашении информации.
Одним из способов снижения информационных рисков компании является аутсорсинг информационных ресурсов у специализированной организации, способной нанять высококвалифицированный IT-персонал и обеспечить его эффективную работу. Желательно, чтобы такая организация обладала репутацией, подтверждённой многолетним опытом успешной работы. Дополнительным преимуществом является наличие заключения о результатах проверки в этой организации состояния информационной безопасности, проведённой внешним авторитетным аудитором.
Список использованной литературы
1. Федеральный закон от 05.04.2013 N 44-ФЗ (ред. от 23.04.2018) "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" статья 50.
2. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 159.6.
3. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 167.
4. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 215.
5. Жигоцкий, П. Э. Проблемы информационной безопасности ( защита информации, распространение которой запрещается) / П. Э. Жигоцкий, Н. А. Чесноков // Российский следователь = RussianInvestigator : науч.-практ. и информ. изд. - 2015. - N 4. - С. 35-41.
6. Галушкин, А. А. Развитие информационных технологий и информационные угрозы / А. А. Галушкин // Современное право :междунар. науч.-практ. журн. - 2015. - N 4. - С. 41-46.
7. Астахова, Л. В. Информационная безопасность: риски, связанные с культурным капиталом персонала / Л. В. Астахова // Научно-техническая информация. Серия 1, Организация и методика информационной работы :ежемес. науч.-техн. сборник. - 2015. - N 4.
8. Савосина, Н. Г. Проблемы обеспечения безопасности информации в автоматизированных системах таможенных органов России в свете развития электронного документооборота / Н. Г. Савосина, В. Е. Чеботарев // Таможенное дело : науч.-практ. журн. - 2014. - N 3. - С. 22-24.
9. Федоров, В. В. Информационные технологии и защита информации в правоохранительной деятельности таможенных органов Российской Федерации : монография / В. В. Федоров ; РТА. - М. : Изд-во РТА, 2014. - 178 с. - Библиогр.: с. 156-158.
10. Арутюнов, В. В. О международной научно-практической конференции "Современные проблемы и задачи обеспечения информационной безопасности" / В. В. Арутюнов // Научно-техническая информация. Серия 1, Организация и методика информационной работы :ежемес. науч.-техн. сборник. - 2014. - N 7. - С. 17-22.
11. Митрохина, Е. Ю. Информационная безопасность личности (социологический аспект) [Текст] : монография / Е. Ю. Митрохина ; РТА. - М. : Изд-во РТА, 2014. - 96 с. : рис., табл. - Библиогр.: с. 84-94.
12. Гуров, А. И. Уголовно-правовая охрана информационной безопасности личности / А. И. Гуров, А. В. Остроушко // Закон и право = Law&Legislation. - 2015. - N 4. - С. 16-18.
13. Елин, В. М. Значение гражданско-правовых механизмов защиты компьютерной информации в условиях информационного общества [Текст] / В. М. Елин // Проблемы информационной безопасности. Компьютерные системы. - 2015. - N 1. - С. 74-82.
14. Баранов, А. П. Перспективные направления исследований в защите информации [Текст] / А. П. Баранов // Проблемы информационной безопасности. Компьютерные системы. - 2015. - N 2. - С. 7-20.
15. Веснин, В. Р. Менеджмент : учебник / В. Р. Веснин. - 4-е изд., перераб. и доп. - Москва : Проспект, 2014. - 613 с.
16. Информационная безопасность. Защита информации - [Электронный ресурс] - Режим доступа. - URL: http://all-ib.ru/(дата обращения 16.04.2018).
17. Определение информационной безопасности - [Электронный ресурс] –Режим доступа. URL: http://www.itspecial.ru/(дата обращения 18.04.2018).
18. Угрозы информационной безопасности в АС - [Электронный ресурс] - Режим доступа. - URL: http://asher.ru/security/book/its/05 (дата обращения 16.04.2018).
19. Сайт АО «Газпромнефть-Московский НПЗ». – [Электронный ресурс] – Режим доступа. – URL: http://mnpz.gazprom-neft.ru (дата обращения 19.04.2018).
20. Сайт компании «КонсультантПлюс». – [Электронный ресурс] – Режим доступа. – URL: http://www.consultant.ru (дата обращения 19.04.2018).
[1]Угрозы информационной безопасности в АС - [Электронный ресурс] - Режим доступа. - URL: http://asher.ru/security/book/its/05 (дата обращения 16.04.2018).
[2]Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 159.6.
[3] Федеральный закон от 05.04.2013 N 44-ФЗ (ред. от 23.04.2018) "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" статья 50.
[4]Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 167.
[5]Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 23.04.2018, с изм. от 25.04.2018) статья 215.
Дата добавления: 2018-06-01; просмотров: 473; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!