Национальный исследовательский университет
-
Высшая школа экономики
Факультет бизнес - информатики
Кафедра информационной безопасности
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
На тему: «Применение международных стандартов информационной безопасности при деятельности российских коммерческих организаций»
Студент группы № 476
Платонов Андрей Алексеевич
Научный руководитель
Елин Владимир Михайлович
Москва 2013
Аннотация
Любая информация нуждается в защите. Существует огромное количество способов ее защиты, к примеру, программных, аппаратных или правовых. С недавнего времени Россия вступила в ВТО и пытается соответствовать международным стандартам, в том числе и международным стандартам информационной безопасности. Для большего соответствия, Россия начала применять класс стандартов ISO 27000 – «Система менеджмента информационной безопасности». Основной целью работы является анализ и сравнительная характеристика международных и российских стандартов, а также сбор рекомендаций и требований системы управления ИБ на основе стандартов ISO 27001 и ISO 27002.
Оглавление
Введение 3
Глава 1.Теоритические основы информационной безопасности 5
1.1Что защищать на предприятии 5
1.2 Понятие и задачи информационной безопасности 12
1.3 Обзор и сравнение семейства стандартов информационной безопасности ISO 27000 и отечественных стандартов 21
Глава 2. Система управления информационной безопасностью 31
2.1Типовая модель нападения 31
2.2 Аудит безопасности 35
2.3 Информационные риски компании 43
2.4 Применение и сбор требований системы менеджмента информационной безопасности, основанных на стандартах ISO 27001 и ISO 27002. 50
Заключение 66
Список литературы 67
Приложение 1 70
Приложение 2 71
Приложение 3 72
Приложение 4 73
Введение
В настоящее время большую ценность представляет информация. По этой причине вопросы информационной безопасности играют огромную роль, как в сфере информационных технологий, так и в юридической сфере. Так как факультет бизнес-информатики включает в себя изучение информационной структуры, различных юридических аспектов, а также основам ведения бизнеса, темой моей работы будет являться анализ и разработка собственных требований (на основе международных стандартов), которые необходимы для качественного внедрения системы менеджмента информационной безопасности на российском предприятии. Данная тема довольно актуальна, так как защита информации на предприятии, позволяет преобразовать компанию в конкурентоспособную, что позволит ей получать больше прибыли и стать неуязвимой для злоумышленников.
Проблемой внедрения качественной системы управления безопасностью на российское предприятие, является тот факт, что в России отсутствуют четкие стандарты, которым можно следовать для обеспечения безопасности.
В своей работе я рассматриваю различные аспекты данной проблемы и предлагаю решения путем предоставления требований, основанных на различных международных стандартах.
Целью исследования данной работы является выделение всех недостатков стандартов, которые относятся к информационной безопасности за весь промежуток времени существования стандартов, а также анализ требований и предоставление рекомендаций, на основе стандартов, по внедрению системы менеджмента информационной безопасности.
Для достижения заявленной цели, необходимо решить следующие задачи:
-
Выделение объектов, для защиты на предприятии;
-
Проведение сравнительной характеристики международных и отечественных стандартов;
-
Анализ и разработка типовой модели нападения на предприятие;
-
Анализ системы управления информационной безопасностью
-
Рассмотрения аудита компании;
-
Рассмотрение информационных рисков компании;
Объектом исследования является система управления информационной безопасностью в Российских коммерческих структурах.
В своей работе я рассматриваю различные аспекты данной проблемы и предлагаю решения путем предоставления требований, основанных на различных международных стандартах.
Глава 1.Теоритические основы информационной безопасности Что защищать на предприятии
Система федерального законодательства включает себя огромное количество актов, относительно различных видов тайн. В данной работе приведены основные тайны, которые необходимо защищать от несанкционированного доступа. Всю информацию на предприятии можно разделить на несколько типов тайн, которые должны быть подвергнуты защите. Однако основной информацией, которая нуждается в защите, является конфиденциальная информация. К конфиденциальной информации указом президента № 188 «Об утверждении Перечня сведений конфиденциального характера» относится:
-
«Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
-
Сведения, составляющие тайну следствия и судопроизводства.
-
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами (служебная тайна).
-
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
-
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом и федеральными законами (коммерческая тайна).
-
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них».1
«Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду».2 Стоит отметить, что защите подлежит любая информация, которая находится в документированном виде на предприятии. Неправомерное обращение стороннего лица с одной из тайн компании может привести к серьезному ущербу предприятия. На основе ГК РФ (ст. 139) к коммерческой тайне можно отнести следующие документы:
-
Документы о платежеспособности;
-
Учредительные документы;
-
Различные сведения об установленных формах отчетности о правильности уплаты налогов;
-
Сведения о численности, составе работающих, заработной плате и условиях труда;
-
Сведения об уплате налогов;
-
Сведения о лицах, которые работают на предприятии и занимаются предпринимательством.
Собственник данной информации имеет полное право в отказе подачи данной информации на законном основании. Стоит также отметить, что при нарушении прав пользователя коммерческой информации применяются следующие санкции, на основе статьи 183 УК – «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»:
-
«Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.
-
Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового».3
Патентная тайна является следующим типом конфиденциальной информации. Чумарин вводит следующее определение патентной тайны: «тайна сведений о сущности изобретения, полезной модели или официальной публикации о них».4 Защите данной тайны уделяется огромное количество времени организациями, которые ведут научные разработки. Патентная тайна – это различного рода сведения, которые могут содержаться для изобретений. На основе патентного закона Российской федерации патентная тайна может содержать следующее:
-
Формула какой-либо модели;
-
Реферат;
-
Чертежи, рисунки, фотографии, на которых изображено изобретаемое изделие.
Также патентная тайна может содержать в себе личные данные об изобретателе. Неразглашение о патентной тайне действует шесть месяцев. При нарушении правил о неразглашении патентной тайны грозят следующие наказания (на основе статьи 147 УК – «Нарушение изобретательских и патентных прав»):
1. «Незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Те же деяния, совершенные группой лиц по предварительному сговору или организованной группой, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо принудительными работами на срок до пяти лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет».5
Каждый сотрудник, работающий на предприятии, обладает персональными данными. При подаче заполнении трудового договора и анкеты, работник предоставляет больше персональной информации, чем действующие минимальные данные о гражданине, тем самым подписывая договор, он возлагает ответственностью организацию, на которую он работает. Минимальные данные, которые гражданин обязан предоставить при просьбе уполномоченного лица, являются следующими:
-
Фамилия;
-
Имя;
-
Отчество;
-
Пол;
-
Дата рождения.
Любая организация обладает счетом в банке. Банковская тайна – это «тайна об операциях, о счетах и вкладах своих клиентов и корреспондентов».6 При заключении договора с банком (открытие счета), банк подписывает условия неразглашения следующей информации (статья 857 УК – «Банковская тайна»):
-
«Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте;
-
Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом;
-
В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков».7
Стоит отметить тот факт, что обладателем банковской тайны является не только организации, то и все физические и юридические лица, которые имеют счета в банке.
При судебном процессе любой человек, а также организация облагается адвокатской тайной. Данная тайна относится к профессиональному типу. При судопроизводстве сведения, которые составляют адвокатскую тайну, являются:
-
Сведения, которые были сообщены юристу, при оказании компании юридической помощи;
-
Любые обстоятельства, которые стали известны адвокату, как защитника.
Стоит отметить тот факт, что если в рамках суда используется коммерческая тайна предприятия, то адвокат обязан все равно сохранять коммерческую тайну и не использовать в качестве аргументов защиты.
Поделитесь с Вашими друзьями: |