Построение инженерно-технической защиты рекламного агенства

Финансы 28000 4 0,5 14000 4
230400 1 0,5 115200 2
База данных сотрудников 30000 4 0,5 15000 4
388800 1 0,5 194400 2
Должностные инструкции 3000 4 0,5 1500 6
Соглашения и переговоры с сотрудниками 112500 4 0,5 56250 3
Внутренний распорядок для сотрудников 7500 3 0,5 3750 6
Проводимые экспертизы 152500 5 0,5 76250 3
Результаты (в т.ч. архивные) 25000 5 0,5 12500 4
3240000 8 0,5 1620000 1
Сведения о конкурентах 496800 2 0,5 248400 2
Базы данных заказчиков 4032000 1 0,5 2046000 1
Соглашения и переговоры с заказчиками 440000 8 0,5 220000 2

Таблица 6.
№ элемента информации Цена информации Путь проникновения злоумышленника Оценки реальности канала Величина угрозы Ранг угрозы
Структура организации Не определена Д1-Д3 Д1-Д2-Д5 Низкий Низкий Условно 50 000 Условно 50 000 6
Методы управления Не определена Д1-Д3 Д1-Д4 Низкий Высокий Условно 50 000 Условно 450 000 4
Программа исследований Не определена Д1-Д4 Высокий Условно 450 000 4
Сведения безопасности Не определена Д1-Д2 Средний Условно 250 000 4
Финансы Не определена Д1-Д3 Низкий Условно 50 000 4

1.4. Анализ помещения на соответствие требованиям руководящих документов
Угрозы информационной безопасности.
Внутренние:
• несанкционированный доступ в помещение;
• возможность записи информации на портативные устройства (флэш-карты, съемные жесткие диски и т.п.);
• отправка фотографий бумаги и экранов с помощью сотовых телефонов, фотоаппаратов и других средств;
• компьютерные вирусы и трояны;
• незаконное получение и распространение лицензионных программ Компании за пределами Компании;
• неконтролируемая электронная почта;
• вывоз оборудования компании без надлежащей документации;
• Ввоз зарубежного оборудования на территорию компании.
Внешний:
• несанкционированный доступ из сети Интернет;
• снятие информации с кабельных сетей (ЛВС и электроснабжения) техническими средствами;
• дистанционно записывать разговоры через стены (окна, двери) и т.п.;
• Установка подслушивающих устройств в помещениях.
Техногенные непреднамеренные угрозы:
• Непреднамеренные действия, приводящие к частичному или полному выходу из строя системы или уничтожению аппаратных, программных, информационных ресурсов системы (удаление, подделка файлов, содержащих важную информацию или программы);
• случайное повреждение носителя;
• Неверные данные, введенные в систему из-за некомпетентности;
• Заражение компьютера вирусами (случайное);
• халатные действия, повлекшие разглашение или разглашение конфиденциальной информации;
• игнорирование организационных ограничений (установленных правил);
• неправильное использование, приспособление или незаконная ликвидация ограждений сотрудниками службы безопасности;
• Случайное повреждение каналов связи.
Преднамеренные искусственные угрозы:
• отключение или ликвидация (в результате взрыва, поджога и т.п.) подсистем, обеспечивающих функционирование компьютерных систем (электроснабжение, охлаждение и вентиляция, линии связи и т.п.);
• несанкционированный доступ в помещение с целью кражи или иной деятельности в нерабочее время;
• нарушение конфиденциальности при передаче сообщений электронной почты;
• отключаться при отправке электронной почты.
Стихийные бедствия:
• пожары;
• разрыв трубы, течь кровли.
Основными условиями обеспечения информационной безопасности в Департаменте являются:
1. Информация, обрабатываемая в Учреждении, должна быть категоризирована, т.е. должен быть установлен перечень СИ Учреждения, в котором должны быть выделены данные (или их группы), содержащие информацию об ограниченном доступе.
2. Безопасность информации, отнесенной к информации с ограниченным доступом, обеспечивается в соответствии с требованиями законодательства Российской Федерации.
3. Внутренние документы, устанавливающие порядок обращения с информацией ограниченного доступа, должны быть разработаны и внедрены в установленном порядке, содержать методы и способы обеспечения информационной безопасности.
4. Для обработки информации с ограниченным доступом в учреждении устанавливается перечень органов, уполномоченных на доступ к этой информации в объеме, необходимом для выполнения служебных задач.
5. Все права интеллектуальной собственности, используемые в учреждении, в котором обрабатывается информация ограниченного доступа, должны быть засекречены, а документы должны быть систематизированы и