2. Политика информационной безопасности организации ПАО «Сургутнефтегаз» ПУ «СургутАСУнефть»
В настоящее время рассматривается достаточно обширный перечень реально существующих и потенциально возможных угроз информационной безопасности. Последствия таких угроз, если для них не созданы необходимые препятствия, могут оказаться весьма существенными и даже катастрофическими не только для отдельных граждан, предприятий или организаций, но и для национальных интересов государства в целом.
Угрозам подвергаются данные о составе, статусе и деятельности компании. Источниками таких угроз являются её конкуренты, коррупционеры и преступники. Особую ценность для них представляет ознакомление с охраняемой информацией, а также ее модификация в целях причинения финансового ущерба.
Проявления возможного ущерба могут быть различны:
— моральный и материальный ущерб деловой репутации организации;
— моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
— материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
— материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
— материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
— моральный и материальный ущерб от дезорганизации деятельности организации.
Объектами защиты информации на ПАО «Сургутнефтегаз» являются:
— жесткие диски серверов;
— финансовые отчеты, прогнозы, положение;
— условия оказания услуг;
— характеристика производимой и перспективной продукции;
— партнеры, клиенты и содержание договоров с ними;
— SAN;
— NAS;
— диски CD/DVD/Blue-ray;
— персональные компьютеры (в том числе ноутбуки);
— внешние устройства;
— система безопасности и, первую очередь, средства защиты конфиденциальной информации и т.д.
На ПАО «Сургутнефтегаз» применяют следующие средства защиты информации:
1. Средства защиты от несанкционированного доступа (НСД):
— Средства авторизации;
— Мандатное управление доступом;
— Избирательное управление доступом.
2. Системы анализа и моделирования информационных потоков (CASE-системы).
3. Системы мониторинга сетей:
— Системы обнаружения и предотвращения вторжений (IDS/IPS);
— Системы предотвращения утечек конфиденциальной информации (DLP-системы).
4. Антивирусные средства.
5. Криптографические средства:
— Шифрование;
— Цифровая подпись.
6. Системы резервного копирования.
7. Системы бесперебойного питания:
— Источники бесперебойного питания;
— Резервирование нагрузки.
8. Системы аутентификации:
— Пароль;
— Ключ доступа (физический или электронный);
Сертификат;
9. Средства предотвращения взлома корпусов и краж оборудования.
На территории служба охраны работает круглосуточно, посменно.
Служба охраны в соответствии с условиями договора с ПАО «Сургутнефтегаз» обеспечивают:
— пропускной и внутриобъектовый режимы, взаимодействие со службой безопасности объекта, администрацией;
— охрану объекта или отдельных его помещений, материальных ценностей, выставление постов и маршрутов патрулирования согласно дислокации, контроль за действиями персонала, посетителей, охрану общественного порядка и пресечение правонарушений в зоне постов и маршрутов патрулирования в рамках своей компетенции;
— реагирование на сигналы срабатывания средств ОПС и тревожной сигнализации;
— пресечение несанкционированных проникновений на охраняемый объект;
— участие в локализации и ликвидации возникших ЧС, в том числе вследствие диверсионно-террористических акций.
ПАО «Сургутнефтегаз» использует на ПК антивирусные средства.
Антивирусом предусмотрено бесплатное автоматическое обновление и моментальный переход на новую версию.
Решение этих задач в системах защиты обеспечивается следующими способами:
— защитой от несанкционированного доступа к ресурсам со стороны пользователей и программ;
— защитой от несанкционированного использования ресурсов при наличии доступа;
— защитой от некорректного использования ресурсов;
— внесением структурной, функциональной и информационной избыточности;
— высоким качеством разработки программно-аппаратных средств.
Использование Антивируса обеспечивает полное восстановление работоспособности системы при вирусной атаке. В то же время функция антивирусной проверки и лечения электронной почты позволяет очистить от вирусов входящую и исходящую корреспонденцию в режиме реального времени. В случае необходимости пользователю также доступны проверка и лечение почтовых баз различных почтовых систем.
На главном компьютере стоит система защиты информации от несанкционированного доступа — Dallas Lock, что позволяет обеспечивать защиту конфиденциальной информации на ПЭВМ путем разграничения полномочий пользователей по доступу к файловой системе и другим ресурсам.
Система резервного копирования и восстановления данных на предприятии реализована в виде программно – аппаратного комплекса «PBBA integrated systems». Такая система имеет большую интеграцию между аппаратурой и программным обеспечением, и могут включать дополнительные инструменты для работы с сетью.
В организации присутствуют средства архивации информации. На компьютерах используют архиватор ZIP, для операционных систем DOS и Windows. Очень важно установить постоянный график проведения работ по архивации данных или выполнять их после большого обновления данных.
Так же, на ПК каждого сотрудника стоит система парольной защиты.
Эффективным средством защиты, используемым для управления входом в систему по учетным записям пользователей, а также организации доступа к компьютерам и ресурсам является пароль.
Пароль – это уникальный набор разрешенных символов, который должен быть введен пользователем для проверки его учетного имени и получения доступа к ресурсам ПК.
Остальные части данного отчета по практике: