АНАЛИЗ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРИМЕРЕ ООО «БАШНЕФТЬ-ПОЛЮС»

Введение 3 1 Угрозы информационной безопасности 6 1.1. Понятие угроз 6 1.2 Классификация угроз 7 1.3 Источники угроз 16 2 Анализ угроз предприятия 21 2.1 Сфера деятельности ООО «Башнефть-Полюс» и ее структура 21 2.2 Система защиты информации ООО «Башнефть-Полюс» 27 2.3 Определение актуальных угроз информации в исследуемой 45 организации 45 2.4 Рекомендации по предотвращению выявленных угроз 61 Заключение 67 Список использованных источников 71 Приложения 76

1. Федеральный закон N 149-ФЗ от 27.07.2006 г. (ред. от 03.04.2020) "Об информации, информационных технологиях и о защите информации" [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 13.03.2020 г.). 2. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных" [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 21.03.2020 г.). 3. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 18.04.2018) "О коммерческой тайне" [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 21.03.2020 г.). 4. Федеральный закон от 21.07.2011 N 256-ФЗ (ред. от 24.04.2020) "О безопасности объектов топливно-энергетического комплекса" [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 03.04.2020 г.). 5. ГОСТ Р ИСО/МЭК 27002-2012. «Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности" (утв. и введен в действие Приказом Росстандарта от 24.09.2012 N 423-ст) [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 20.05.2020 г.). 6. Нормативно-методический документ ФСТЭК России от 14.02.2008 г. "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008) [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 16.05.2020 г.). 7. Аверченков, В.И. Аудит информационной безопасности : учебное пособие для вузов / В.И. Аверченков. – 3-е изд., стер. – Москва : Флинта, 2016. – 269 с. – ISBN 978-5-9765-1256-6. 8. Басыня, Е.А. Системное администрирование и информационная безопасность : учебное пособие / Е.А. Басыня ; Новосибирский государственный технический университет. – Новосибирск, 2018. – 79 с. – ISBN 978-5-7782-3484-0. 9. Бизнес и информационные технологии для систем управления предприятием на базе SAP : учебное пособие / Л. И. Абросимов, С. В. Борисова, А. П. Бурцев [и др.]. — Санкт-Петербург : Лань, 2019. — 812 с. — ISBN 978-5-8114-3524-1. 10. Бирюков, А. А. Информационная безопасность: защита и нападение / А. А. Бирюков. — 2-е изд. — Москва : ДМК Пресс, 2017. — 434 с. — ISBN 978-5-97060-435-9. 11. Бондарев, В.В. Введение в информационную безопасность автоматизированных систем : учебное пособие / В.В. Бондарев. – 2-е изд. – Москва : МГТУ им. Н.Э. Баумана, 2018. – 252 с. – ISBN 978-5-7038-4899-9. 12. Галатенко, В. А. Основы информационной безопасности : учебное пособие / В. А. Галатенко. — 2-е изд. — Москва : ИНТУИТ, 2016. — 266 с. — ISBN 978-5-94774-821-5. 13. Гультяева, Т.А. Основы информационной безопасности : учебное пособие / Т.А. Гультяева ; Новосибирский государственный технический университет. – Новосибирск, 2018. – 79 с.– ISBN 978-5-7782-3640-0. 14. Ерохин, В.В. Безопасность информационных систем: учебное пособие : / В.В. Ерохин, Д.А. Погонышева, И.Г. Степченко. – 2-е изд., стер. – Москва : Флинта, 2015. – 184 с. – ISBN 978-5-9765-1904-6. 15. Загинайлов, Ю.Н. Основы информационной безопасности: курс визуальных лекций / Ю.Н. Загинайлов. – Москва ; Берлин : Директ-Медиа, 2015. – 105 с. – ISBN 978-5-4475-3947-4. 16. Загинайлов, Ю.Н. Теория информационной безопасности и методология защиты информации: учебное пособие / Ю.Н. Загинайлов. – Москва ; Берлин : Директ-Медиа, 2015. – 253 с. – ISBN 978-5-4475-3946-7. 17. Ищейнов, В.Я. Информационная безопасность и защита информации: теория и практика : учебное пособие / В.Я. Ищейнов. – Москва ; Берлин : Директ-Медиа, 2020. – 271 с. – ISBN 978-5-4499-0496-6. 18. Ковалев, Д.В. Информационная безопасность : учебное пособие / Д.В. Ковалев, Е.А. Богданова ; Министерство образования и науки РФ, Южный федеральный университет. – Ростов-на-Дону, 2016. – 74 с. – ISBN 978-5-9275-2364-1. 19. Малюк, А.А. Защита информации в информационном обществе : учебное пособие / А.А. Малюк. – Москва : Горячая линия – Телеком, 2015. – 229 с. – ISBN 978-5-9912-0481-1. 20. Мельников, Д.А. Информационная безопасность открытых систем : учебник / Д.А. Мельников. – 2-е изд., стер. – Москва : Флинта, 2012. – 448 с. – ISBN 978-5-9765-1613-7. 21. Программно-аппаратные средства обеспечения информационной безопасности : учебное пособие / А.В. Душкин, О.М. Барсуков, К.В. Славнов, Е.В. Кравцов – Москва : Горячая линия – Телеком, 2016. – 248 с. – ISBN 978-5-9912-0470-5. 22. Прохорова, О. В. Информационная безопасность и защита информации : учебник / О. В. Прохорова.— Санкт-Петербург : Лань, 2020. — 124 с. — ISBN 978-5-8114-4404-5. 23. Сердюк, В.А. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий / В.А. Сердюк ; Национальный исследовательский университет – Москва : Издательский дом Высшей школы экономики, 2015. – 574 с. – ISBN 978-5-7598-0698-1. 24. Шаньгин, В. Ф. Защита информации в компьютерных системах и сетях : учебное пособие / В. Ф. Шаньгин. — Москва : ДМК Пресс, 2012. — 592 с. — ISBN 978-5-94074-637-9. 25. Шаньгин, В. Ф. Информационная безопасность : учебное пособие / В. Ф. Шаньгин. — Москва : ДМК Пресс, 2014. — 702 с. — ISBN 978-5-94074-768-0. 26. Банк данных угроз безопасности информации [Электронный ресурс]. / ФАУ «ГНИИИ ПТЗИ ФСТЭК России», 2020. - Режим доступа https://fstec.ru/ (дата обращения 26.05.2020 г.). 27. Башнефть (Zecurion Zlock) [Электронный ресурс]. / Tadviser, 2005-2020. - Режим доступа http://www.tadviser.ru (дата обращения 13.05.2020 г.). 28. Внедрение SAP ERP на нефтеперерабатывающих предприятиях ОАО АНК «Башнефть» [Электронный ресурс]. / «Энвижн Груп», 2001–2020. - Режим доступа https://www.nvg.ru (дата обращения 13.05.2020 г.). 29. Защита информации на рабочих станциях и серверах [Электронный ресурс]. / «Код Безопасности». Российский разработчик программных и аппаратных средств защиты информации, 2008-2020. - Режим доступа https://www.securitycode.ru (дата обращения 12.05.2020 г.). 30. Защита от целевых атак: Kaspersky Anti Targeted Attack Platform (KATA) [Электронный ресурс]. / АО «Лаборатория Касперского», 2020. - Режим доступа: https://www.kaspersky.ru (дата обращения 12.05.2020 г.). 31. Защита периметра сети [Электронный ресурс]. / Мерион Нетворкс, 2020. - Режим доступа https://wiki.merionet.ru (дата обращения 13.05.2020 г.). 32. ООО «Башнефть-Полюс» [Электронный ресурс]. /Башнефть, 2020. - Режим доступа https://bazhneft.ru (дата обращения 27.04.2020 г.). 33. Распространенные угрозы ИБ в корпоративных сетях [Электронный ресурс]. / Positive Technologies, 2002-2020. - Режим доступа: https://www.ptsecurity.com (дата обращения 13.05.2020 г.). 34. DLP — защита конфиденциальной коммерческой информации от утечек [Электронный ресурс]. / Защита информации от утечек (DLP-системы). – Москва: Zecurion, 2001—2020. - Режим доступа: https://www.zecurion.ru (дата обращения 12.05.2020 г.).

1 Угрозы информационной безопасности 1.1. Понятие угроз Под угрозой понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба информационной безопасности. Новые уязвимые места и средства их использования появляются постоянно, таким образом отслеживание таких уязвимостей должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно. Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов. Они существуют в силу самой природы современных информационных систем. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения информационной системы от качественного электропитания . В открытых организациях угроз конфиденциальности может просто не существовать, так как вся информация считается общедоступной, но в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в информационной безопасности, зависят от интересов субъектов информационных отношений и от того, какой ущерб является для них неприемлемым. В настоящее время известен обширный перечень угроз информационной безопасности. Рассмотрение возможных угроз информационной безопасности проводится с целью определения полного набора требований к разрабатываемой системе защиты.