Расчет рисков критически важных объектов защиты

1.7. Охрана труда

1.7.1. Анализ потенциально опасных и вредных производственных факторов

1.7.2. Производственная санитария

1.7.3. Техника безопасности

1.7.4. Пожарная безопасность

1.7.5. Эгрономика и производственная эстетика

ВВЕДЕНИЕ

Внешнеэкономическая и любая другая коммерческая деятельность банков на международном уровне сопряжена с необходимостью сохранения и защиты коммерческой тайны. Под коммерческой тайной банка или другой коммерческой структуры понимаются сведения, связанные с производством, технологической информацией, управлением финансами и другой деятельностью банка или предприятия, разглашение (передача, утечка) которых может нанести ущерб их интересам. Сведения, являющиеся государственными секретами, не входят в понятие коммерческой тайны.

Сведения, составляющие коммерческую тайну банка или предприятия, являются предметом специальной охраны и защиты. Утечка информации, составляющей коммерческую тяйну, происходит в результате сознательных или ошибочных действий банковского персонала. Сознательные действия подразумевают передачу важных сведений за взятку, в качестве мести, под угрозой шантажа. Ошибочные действия могут быть результатом слабых знаний должностных инструкций, соответствующих норм и правил поведения и/или их непреднамеренного невыполнения персоналом банка. В этой связи можно утверждать, что успех в работе по защите коммерческой информации определяется уровнем соответствующей подготовки и воспитания кадров. Для решения этой важной проблемы создается система обучения сотрудников банка правилам и методам защиты коммерческой информации.

Банк не может активно функционировать, не поддерживая широкие связи с партнерами и клиентами, поставщиками и потребителями своей продукции. Поэтому круг лиц и организаций, вовлеченных в деловое сотрудничество с банком, очень велик. При этом встает острая проблема сохранения как собственных, так и доверенных банку коммерческих секретов. Частичное решение этой проблемы достигается договорными обязательствами банка со своими партнерами по взаимной защите коммерческих секретов друг друга. Процесс формирования рынка товаров и услуг неизбежно приводит к конкурентной борьбе, соперничеству. В этой борьбе побеждает тот, кто лучше работает и более информирован о существе достижений и слабых сторонах конкурентов. Получить такие сведения непросто, поскольку они могут охраняться как коммерческие секреты. Эксперты полагают, что до 95% необходимой информации можно получить легальными и законными методами, вполне допустимыми между честными (добросовестными) конкурентами. Однако в острой конкурентной борьбе нередко используются нелегальные, незаконные методы - так называемый промышленный шпионаж.

Объектом квалификационной работы является организация защиты коммерческой тайны в филиале ОАО «Альфа-Банк»

Предметом квалификационной работы выступает введение режима коммерческой тайны в филиале ОАО «Альфа-Банк»

Целью квалификационной работы является:

1) Ввести режим коммерческой тайны в филиале ОАО «Альфа-Банк», таким образом обеспечить защиту сведений, имеющих коммерческую ценность.

1.АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В

ФИЛИАЛЕ ОАО «АЛЬФА-БАНК»

1.1. Разработка паспорта филиала ОАО «Альфа-Банк» с точки зрения информационной безопасности

Паспорт организации необходим для формирования общего представления

о филиале ОАО «Альфа – Банк».

Паспорт включает в себя:

- историю развития организации;

- описание основных направлений деятельности организации;

- информацию о партнерах, клиентах, конкурентах;

- организационную структуру организации;

- информацию о месте расположения организации;

- сведения о лицензиях организации;

Вся перечисленная информация получена из официально сайта предприятия,

Для наглядности представления, полученные сведения, оформлены в виде документа «Паспорт предприятия, с точки зрения обеспечения информационной безопасности» (приложение А)

1.2. Выявление защищаемой информации в филиале ОАО «Альфа-Банк»

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

После проведения анализа информации, обращающейся в филиале ОАО «Альфа-Банк», были определены сведения, подлежащие защите – сведения, содержащие коммерческую тайну.

В соответствии с ФЗ от 29 июля 2004 года «О коммерческой тайне», коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Для отнесения информации к коммерческой тайне, был разработан Перечень сведений, составляющих коммерческую тайну (приложение Б). Данный перечень вступает в силу Приказом «Об утверждении Перечня сведений, составляющих коммерческую тайну» (приложение В).

1.3. Описание информационной системы в филиале ОАО «Альфа-Банк»

Система - это образующая единое целое совокупность материальных и нематериальных объектов, объединенных некоторыми общими признаками, назначениями, свойствами, условиями существования, жизнедеятельности, функционирования.
Информационная система - это взаимосвязанная совокупность информационных, технических, программных, математических, организационных, правовых, эргономических, лингвистических, технологических и других средств, а также персонала, предназначенная для сбора, обработки, хранения и выдачи экономической информации и принятия управленческих решений.

Для описания информационной системы филиала ОАО «Альфа-Банк», нужно провести ее инвентаризацию. Инвентаризация ИС - это составление списка систем, т. е. объектов, которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве, и будут влиять на информационную защиту системы.

Мною был разработан Приказ (приложение Г), обязывающий провести инвентаризацию ИС ООО «Аптека «Классика», и Инструкция (приложение Д), в соответствии с требованиями которой она будет проводиться.

Для подтверждения проведения инвентаризации комиссией в лице председателя – зам. начальника ИТ отдела и членами комиссии – специалистом по защите информации и администратором ИС составлен акт (приложение Е).

Результаты проведенной инвентаризации в подразделениях, где обрабатываются и хранятся сведения, составляющие коммерческую тайну, отображены в реестрах учета элементов информационной системы, разработанных с учетом характеристик, важных для обеспечения безопасности филиала ОАО «Альфа-Банк».

1.4. Выявление объектов защиты филиала ОАО «Альфа-Банк»

Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.

Основными объектами защиты в филиале ОАО «Альфа-Банк» являются:

- АРМ

- сервер

- персонал

- носители информации

- средства ввода/вывода и отображения информации

- системы дублирования и хранения информации

- каналы связи

- Помещения для хранения и работы с защищаемой информацией.

Подробное описание вышеперечисленных объектов защиты в филиале ОАО

«Альфа-Банк» приведено в Перечне объектов защиты (Приложение Ж) и утверждено Приказом (Приложение З)

1.5. Разработка модели угроз и уязвимостей для критически важных объектов защиты

Модель угроз информационной безопасности – это описание существующих угроз безопасности защищаемой информации, их актуальности, уязвимостей, при их обработке в информационных системах.

Данная модель необходима для определения дальнейших мероприятий по защите информации.

Чтобы определить актуальные угрозы безопасности, источники угроз и уязвимостей выделим критически важные объекты, на которых хранится и обрабатывается большое количество информации, составляющей коммерческую тайну:

· АРМ начальства и сотрудников, работающих с информацией, составляющей коммерческую тайну в филиале ОАО «Альфа-Банк».

· Сервер

· Носители информации: бумажные носители, Flash- накопители.

Результаты, полученные в процессе выявления угроз и уязвимостей для критически важных объектов защиты оформлены в виде документа «Модель угроз и уязвимостей» (приложение И).

1.6. Расчет рисков критически важных объектов защиты

По своей природе риск — это некоторое вероятностное событие, которое может случиться, и связано с неопределенностью.

Расчет рисков является важнейшим этапом при обеспечении информационной безопасности. Для оценки рисков защищенность каждого ресурса определяется при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы.

Для расчета рисков была использована модель оценки рисков организации «Digital Security», которая описана в документе «Методика расчета рисков» (Приложение К)

Полученные результаты для критически важных объектов филиала ОАО «Альфа

Банк» (Приложение Л)

1.7. Охрана труда

1.7.1. Анализ потенциально опасных и вредных производственных факторов

Вредный производственный фактор – фактор среды и трудового процесса, воздействие которого на работающего при определенных условиях (интенсивность, длительность и др.) может вызвать профессиональное заболевание, временное или стойкое снижение работоспособности, повысить частоту соматических и инфекционных заболеваний.

Опасный производственный фактор – фактор, воздействие которого на работающего в определенных условиях приводит к травме или другому внезапному резкому ухудшению здоровья.

Условия труда сотрудников Банка, работающих со сведениями, составляющими К, характеризуются возможностью воздействия на них комплекса

следующих ниже опасных и вредных производственных факторов (ОВПФ):

Физические факторы: температура и влажность воздуха, шум, освещение - естественное (отсутствие или недостаточность), искусственное (недостаточная освещенность), ионизирующие излучения, электрический ток.

Химические факторы: токсические (пластмасса корпусов персональных компьютеров).

Психофизиологические факторы: нервно-психические перегрузки (умственное перенапряжение, перенапряжение анализаторов).

Температура и влажность. Так как ЭВМ является источником тепловыделений, это может привести к повышению температуры и снижению влажности воздуха на АРМ. Следовательно, необходимо поддерживать микроклиматические условия.

Шум. Источником шума в Банке, оборудованных ЭВМ, являются оборудование для кондиционирования воздуха, принтеры, множительные аппараты, шредеры, оборудование для кондиционирования воздуха, а также вентиляторы систем охлаждения и трансформаторы, входящие в состав компьютеров, источники бесперебойного питания, модемы.

Шум оказывает на организм сотрудников Банка неблагоприятное воздействие и может вызвать различного рода болезненные состояния, в том числе глухоту. Под влиянием шума учащаются пульс и дыхание, повышается расход энергии. Длительное воздействие шума оказывает вредное влияние на ЦНС и психику сотрудников Банка. В результате воздействия шума у сотрудников появляются симптомы переутомления и истощения нервной системы. Шум снижает работоспособность и производительность труда.

Освещение. Недостаточное освещение, а особенно в ночное время, влияет на функционирование зрительного аппарата, то есть определяет зрительную работоспособность, на психику человека, его эмоциональное состояние. Дисплеи ЭВМ способны негативно влиять на организм человека путем электромагнитного излучения. Это вызывает болезненные ощущения в глазах, стресс, депрессию и другие нервные расстройства, которые обуславливаются влиянием компьютера на психику сотрудников Банка.

Ионизирующее излучение. При использовании ЭВМ в воздух рабочей зоны выделяются полихлорированные бифенилы (корпус ЭВМ). Дисплеи ЭВМ выделяют ионизирующие излучения, такие как: рентгеновское, радиочастотное, видимое и ультрафиолетовое. Эти излучения могут вызвать рак, приводят к функциональным изменениям органов дыхания, изменениям в состоянии нервной и сердечно – сосудистой систем человека, что проявляется в повышенной утомляемости, нарушении сна, нервно-психических расстройствах. Предельно допустимый уровень мощности дозы рентгеновского излучения 100 мкР/ч.