Политика безопасности "Ростелекома"

Тип работы:
Отчет
Предмет:
Коммуникации, связь, цифровые приборы и радиоэлектроника


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Введение

Целями производственной практики по профилю специальности 210 723 являются комплексное освоение всех видов профессиональной деятельности, формирование общих и профессиональных компетенций, также приобретение необходимых умений и опыта практической работы по специальности.

Задачами производственной практики по профилю специальности 210 723 являются приобретение студентами профессиональных умений, закрепление, расширение и систематизация знаний, полученных при изучении ПМ 02 «Обеспечение информационной безопасности телекоммуникационных систем и информационно-коммуникационных сетей связи».

В процессе выполнения практической работы осваиваются следующие общие компетенции:

ОК1. Понимать сущность и социальную значимость своей будущей профессии проявлять к ней устойчивый интерес.

ОК2. Решать проблемы, оценивать риски и принимать решения в нестандартных ситуациях.

ОК3. Осуществлять поиск, анализ и оценку информации, необходимой для постановки и решения профессиональных задач, профессионального и личностного развития.

«Ростелеком» — российская телекоммуникационная компания. Предоставляет услуги местной и дальней телефонной связи, широкополосного доступа в Интернет (первое место в России по количеству абонентов), цифрового телевидения, сотовой связи и др. По данным компании, её услугами пользуются более 100 млн жителей России.

«Ростелеком» выступает исполнителем мероприятий различных государственных программ в области информационных технологий.

1. Политика безопасности «Ростелекома»

Настоящая Инструкция по информационной безопасности в Макрорегиональном филиале «Юг» ОАО «Ростелеком» (далее — Инструкция) устанавливает основные требования по обеспечению информационной безопасности, режиму коммерческой тайны и обработке персональных данных в Макрорегиональном филиале «Юг» ОАО «Ростелеком» и Региональных филиалах в зоне ответственности Макрорегионального филиала, а так же организацию инструктажа по информационной безопасности.

Данная Инструкция вводится в действие впервые с даты её утверждения.

1.1 Термины, определения и сокращения

Для целей настоящей Инструкции в ней определены следующие термины и сокращения:

Защищаемый информационный ресурс — ресурс Макрорегионального филиала «Юг» ОАО «Ростелеком», содержащий информацию ограниченного распространения. К защищаемым ресурсам относится все сетевое и телекоммуникационное оборудование, персональные компьютеры сотрудников и серверы предприятия.

Интернет — глобальная компьютерная сеть «Интернет».

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Удаленный доступ — сервис позволяющий получить доступ к защищаемым информационным ресурсам через Интернет.

АРМ — автоматизированное рабочее место.

ДБ — Департамент безопасности.

КСПД — корпоративная сеть передачи данных.

ОИБ — Отдел информационной безопасности.

ПК — персональный компьютер.

ПО — программное обеспечение.

1.2 Область применения

Требования данной Инструкции распространяются на всех сотрудников Макрорегионального филиала «Юг» ОАО «Ростелеком» и Региональных филиалов в зоне ответственности Макрорегионального филиала.

Применение данной Инструкции в Макрорегиональном филиале и Региональных филиалах — «Для руководства».

1.3 Нормативные ссылки

В настоящей Инструкции использованы ссылки на следующие нормативные документы:

-Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

-ГОСТ Р ИСО 17 799−2005 Информационная технология. Практические правила управления информационной безопасностью;

-Международный стандарт ISO/IEC 17 799: 2005 «Информационные технологии — Методы обеспечения безопасности — Практические правила управления информационной безопасностью»;

-Политика информационной безопасности ОАО «Ростелеком» (Редакция 1);

-Перечень информации, составляющей коммерческую тайну;

-Политика использования паролей в Макрорегиональном филиале «Юг"ОАО «Ростелеком» (Редакция 1);

-Политика управления доступом к информационным активам Макрорегионального филиала «Юг» ОАО «Ростелеком» (Редакция 1);

-Политика использования ресурсов сети Интернет в Макрорегиональном филиале «Юг» ОАО «Ростелеком» (Редакция 1);

-Политика обнаружения вредоносного программного обеспечения в корпоративных автоматизированных информационных системах Макрорегионального филиала «Юг» ОАО «Ростелеком» (Редакция 1);

-Положение об обработке и защите персональных данных работников ОАО «Ростелеком» (Редакция 1);

-Процедура организации доступа к инфорационным ресурсам Макрорегионального филиала «Юг» ОАО «Ростелеком» (Редакция 1);

-Руководство по обращению с информацией, составляющей коммерческую тайну в Макрорегиональном филиале «Юг» ОАО «Ростелеком (Редакция 1);

-Процедура управления записями в ОАО «Ростелеком»;

-Инструкция по делопроизводству в ОАО «Ростелеком».

2. Техника безопасности на участке и противопожарная безопасность

2.1 Общие требования охраны труда

К работам по обслуживанию станционного оборудования электронных телефонных станций допускаются лица не моложе 18-ти лет:

— прошедшие медицинское освидетельствование;

— прошедшие обучение безопасным методам работы;

— прошедшие проверку знаний по охране труда;

— имеющие группу по электробезопасности не ниже III;

— имеющие соответствующую квалификацию согласно тарифно-квалификационному справочнику.

Работники, обслуживающие станционное оборудование электронных телефонных станций, обязаны:

-соблюдать правила внутреннего трудового распорядка.

-знать и соблюдать режимы труда и отдыха.

-знать и выполнять «Правила по охране труда при работах на телефонных станциях и телеграфах» в объеме выполняемых обязанностей, ежегодно подтверждать группу по электробезопасности.

-соблюдать требования по обеспечению пожаро- и взрывобезопасности.

-знать порядок проверки и правила пользования ручным инструментом, приспособлениями по обеспечению безопасного производства работ, средствами защиты.

-выполнять только ту работу, которая определена инструкцией по эксплуатации оборудования и должностными инструкциями.

-уметь оказывать первую доврачебную помощь пострадавшим при несчастном случае.

Каждый работник должен быть обеспечен специальной одеждой, специальной обувью и средствами индивидуальной защиты в соответствии с «Типовыми отраслевыми нормами бесплатной выдачи специальной одежды, специальной обуви и других средств индивидуальной защиты работникам связи».

При обслуживании электронных телефонных станций возможны воздействия следующих опасных и вредных производственных факторов:

— повышенное значение напряжения в электрической цепи, замыкание которой может произойти через тело человека;

— лазерное излучение;

— повышенное напряжение органов зрения;

— расположение рабочего места на значительной высоте относительно поверхности земли (пола).

На всех кожухах и крышках оборудования, закрывающих элементы с напряжением более 42 В переменного и 110 В постоянного тока, должны быть нанесены знаки электрического напряжения для предупреждения обслуживающего персонала об опасности поражения электрическим током.

На кожухе лазерного излучателя должен быть нанесен знак лазерной опасности, установлен класс лазера, в зависимости от которого должен быть определен порядок его обслуживания.

Все измерительные приборы должны иметь питающие шнуры и вилки с заземляющим проводником и контактом.

О каждом несчастном случае, происшедшем на производстве, пострадавший или очевидец несчастного случая должен известить непосредственного руководителя, в случае его отсутствия — вышестоящее руководство.

За невыполнение данной Инструкции виновные привлекаются к ответственности согласно правилам внутреннего трудового распорядка или взысканиям, определенным Кодексом законов о труде Российской Федерации.

2.2 Требования безопасности перед началом работ

Надеть установленную по действующим нормам специальную одежду, специальную обувь.

Проверить и убедиться в наличии и исправности закрепленного инструмента, приспособлений по обеспечению безопасного производства работ, средств индивидуальной защиты. Запрещается использовать средства защиты, срок поверки которых истек.

Осмотреть и подготовить рабочее место, привести в порядок, убрать все мешающие работе предметы. Рабочий инструмент и приспособления, вспомогательный материал разложить в удобном для работы порядке.

Обо всех недостатках, а также неисправностях инструмента и защитных средств, обнаруженных при осмотре на рабочем месте, доложить руководителю для принятия мер по их полному устранению или замене.

Сменный персонал, приступая к дежурству согласно установленному графику, должен:

-ознакомиться с записями в журналах сведений об оборудовании;

-проверить состояние и режим работы оборудования путем анализа данных аппаратуры контроля;

-проверить состояние системы охлаждения и системы питания;

-проверить состояние общего и рядового освещения, защитного заземления;

-проверить исправность аварийной сигнализации;

-проверить наличие и исправность общего для всего персонала инструмента, приспособлений, шнуров, предохранителей и т. д. ;

-проверить исправность измерительной и проверочной аппаратуры, терминальных комплектов;

-проверить наличие средств пожаротушения;

-проверить состояние производственных и служебных помещений;

-проверить наличие ключей от производственных и служебных помещений;

-оформить приемку смены записью в журнале приема и сдачи дежурства.

Приемка смены при неисправном оборудовании, ненормальном режиме его работы допускается только с разрешения руководителя, о чем делается запись в оперативном журнале.

2.3 Требования безопасности во время работы

При работе с ПЭВМ необходимо руководствоваться «Инструкцией по охране труда для операторов и пользователей персональных электронно-вычислительных машин (ПЭВМ)».

При использовании приборов, содержащих лазерный излучатель, запрещается непосредственно наблюдать за работой лазерного излучателя, чтобы избежать попадания в глаза оптического излучения. Запрещается визуально наблюдать за лазерным лучом и направлять излучение лазера на человека.

При работе оборудования оптические выходы блоков, если к ним не присоединен оптический кабель, должны быть закрыты заглушками.

При работе в автозалах телефонных станций типа DX-200 перед работой необходимо убедиться в отсутствии постороннего напряжения на стативах, т.к. в каждом ряду имеются розетки с напряжением 220 В.

При работах с ручным инструментом необходимо соблюдать требования инструкции, разработанной на основе «Типовой инструкции по охране труда при работе с ручным инструментом» (ТОИ Р-45−065−97).

При работе в кроссе:

Во время грозы производить работы на щитах переключений запрещается.

Соединительные и абонентские линии в случае попадания на них постороннего напряжения следует отсоединить от станционного оборудования при помощи разъединителя (фибровая прокладка или вилка из изоляционного материала).

Работники кросса должны предупредить линейного монтера о наличии постороннего напряжения на линии. После устранения повреждения надо проверить индикатором напряжения отсутствие постороннего напряжения на линии.

На карточках абонентских воздушных линий связи, имеющих пересечения с линиями электропередачи, должна быть сделана об этом соответствующая пометка.

Работы в верхних частях стативов должны производиться только с исправных промаркированных стремянок. Перед подъемом на стремянку необходимо проверить ее устойчивость.

Подвижные с верхним роликовым скольжением стремянки (лестницы), используемые при работах в двухъярусных кроссах, должны быть закреплены стопорными устройствами.

2. 4 Требования безопасности в аварийных ситуациях

В случаях, когда неисправность оборудования представляет опасность для людей или самого оборудования, работник, ее обнаруживший, обязан принять меры по прекращению действия оборудования, а затем сообщить об этом руководителю.

При нарушении режима работы, повреждении или аварии на электропитающем оборудовании необходимо сообщить о происшедшем непосредственному руководителю и лицу, ответственному за данное электрооборудование.

При возникновении пожара необходимо приступить к его тушению имеющимися средствами, в соответствии с правилами пожаротушения, и вызвать пожарную часть.

Если во время работы произошел несчастный случай, необходимо немедленно оказать первую доврачебную помощь пострадавшему, вызвать врача, доложить о случившемся своему непосредственному начальнику и принять меры для сохранения обстановки несчастного случая, если это не сопряжено с опасностью для жизни людей.

2.5 Требования безопасности по окончании работы

Обесточить ненужные для работы приборы.

Привести в порядок рабочее место.

Инструменты, приспособления, специальную одежду и средства защиты убрать в отведенные места.

Вымыть руки и лицо с мылом.

Инженер смены также обязан сделать записи о состоянии оборудования. Убедиться в пожарной безопасности помещения.

Обо всех недостатках, обнаруженных при осмотре рабочего места, инженер смены должен доложить непосредственному руководителю.

3. Должностная инструкция инженера электросвязи

3.1 Общие положения

Инженер электросвязи является работником станционного участка № 4 станционного цеха в составе городского центра технической эксплуатации телекоммуникаций (в дальнейшем именуемый городской ЦТЭТ) Астраханского филиала ОАО «Ростелеком» и непосредственно подчиняется ведущему инженеру электросвязи станционного участка № 2, выполняющему функции руководителя — далее непосредственный руководитель.

Инженер электросвязи назначается на должность и освобождается от занимаемой должности приказом директора Астраханского филиала ОАО «Ростелеком» в соответствии с порядком, установленным в ОАО «Ростелеком».

В период временного отсутствия инженера электросвязи (командировка, отпуск, временная нетрудоспособность) временное исполнение его обязанностей возлагается на электромеханика связи в соответствии с порядком, установленном в Астраханском филиале ОАО «Ростелеком».

Инженер электросвязи в своей деятельности руководствуется действующим законодательством РФ, Уставом ОАО «Ростелеком», приказами и распоряжениями президента ОАО «Ростелеком», директора Астраханского филиала ОАО «Ростелеком» и его заместителей, заданиями и поручениями непосредственного руководителя, в части касающейся выполнения функций и задач подразделения, коллективным договором, действующими локально — нормативными правовыми актами, документированными процедурами, правилами по охране труда при работах на телефонных станциях и телеграфах, положением о станционном участке № 4 станционного цеха городского ЦТЭТ, положением о станционном цехе городского ЦТЭТ, настоящей должностной инструкцией, регламентами, правилами и т. д., действующими в филиале (Обществе).

На должность инженера — электроника назначается лицо с высшим профессиональным (техническим) образованием без предъявления требований к стажу работы или средним профессиональным (техническим) образованием и стажем работы на должностях, замещаемых специалистами со средним профессиональным образованием, не менее 5-ти лет и обладающее знаниями в области действующих директивных и распорядительных документов, методических и нормативных материалов по вопросам выполняемой работы; правил эксплуатации оборудования и технических норм; основ трудового законодательства; правил и норм охраны труда, противопожарной безопасности, производственной санитарии, правил внутреннего трудового распорядка. Обязательные дополнительные требования: знание ПК.

3.2 Функции

Качественное предоставление городских, междугородних и международных телефонных переговоров по автоматической связи, качественная работа номеров телефонов абонентов, включённых в кросс ОПТСЭ-5 типа C& C08 и кросса выносных концентраторов ПСЭ-55/1, ПСЭ-55/2 и ПСЭ-55/3.

Оценка качества обслуживания вызовов на местных городских телефонных сетях связи.

Осуществление подготовки вводимого оборудования АТСЭ к работе.

Соблюдение законодательства о труде, правил, стандартов, нормативных документов по охране труда, противопожарной и экологической безопасности.

3.3 Должностные обязанности

С целью выполнения функции «Качественное предоставление городских, междугородних и международных телефонных переговоров по автоматической связи, качественная работа номеров телефонов абонентов, включённых в кросс ОПТСЭ-5 типа C& C08 и кросса выносных концентраторов ПСЭ-55/1, ПСЭ-55/2 и ПСЭ-55/3», инженер электросвязи выполняет следующее:

Контролирует содержание в исправном состоянии и в пределах установленных норм электрических характеристик коммутационного оборудования, каналов связи и абонентских линий.

Принимает меры к быстрому устранению аварий, повреждений оборудования и каналов связи. Докладывает вышестоящему руководству обо всех авариях и длительных повреждениях, лично участвует в их ликвидации.

Анализирует характер и причины возникновения повреждений, и аварий для последующего принятия мер по улучшению качества предоставления услуг связи потребителю.

Производит изменения в программе новых направлений, абонентских номеров ОПТСЭ-5, ПСЭ-55/1, ПСЭ-55/2 и ПСЭ-55/3.

Организует подключение новых /расформировании старых транк — групп, в соответствии с поступающими нарядами, контролирует своевременную передачу информации в отдел сервисной поддержки коммерческой деятельности для исключения риска возникновения отсевных записей о состоявшихся телефонных соединениях и соответственно несвоевременности начисления и взимания доходов.

Осуществляет постоянный контроль за видом телефонных соединений с признаками неконтролируемого и нетарифицируемого направления.

Контролирует ежедневную передачу тарификационных файлов со станции. Выявление причин возникновения ошибки в случае неудачной обработки файлов на региональном сервере.

Поддерживает безошибочную работу программного обеспечения телефонных станций, в части регламентного обслуживания, диагностики, корректировки таблиц станционных файлов, добавление линий и трактов в базу данных АТС.

Проводит техническую учебу с работниками участка в установленном порядке, а также при вводе нового оборудования, изменении версии и установке нового программного обеспечения, в целях организации эффективной работы технического персонала, отвечающего за техническую эксплуатацию станций.

Выполняет работу по заполнению технической, оперативно-технической и эксплуатационно-технической документации.

Соблюдает информационную безопасность, конфиденциальность служебной информации, сохранность сведений, составляющих коммерческую тайну.

Формирует оперативные сводки прохождения производственных процессов, данные по учету станционного оборудования, исполнительный материал по текущей работе и разовых заданий, ответы на запросы.

Формирует отчет об исполнении приказов и распоряжений, связанных с непосредственной деятельностью.

Для выполнения работы по техническому обслуживанию станционных сооружений связи инженер электросвязи осуществляет выезды на территорию выносных концентраторов в пределах города.

Участвует в реализации первоочередных и значимых для филиала (Общества) задач (работ), в т. ч. инвестиционных проектов, по распоряжению директора филиала и его заместителей.

Своевременно и качественно выполняет свои должностные обязанности (функции), приказы и распоряжения директора филиала и его заместителей, задания и поручения непосредственного руководителя, в части касающихся выполнения функций и задач подразделения.

С целью выполнения функции: «Оценка качества обслуживания вызовов на местных городских телефонных сетях связи», инженер — электроник выполняет следующее:

Проводит изучение и моделирование телефонного трафика по статистическим данным, для добавления и/или удаления соединительных линий.

Расследует причины непрохождения связи. Составляет отчет по качеству прохождения соединений и потерь телефонных сообщений.

Проводит контрольные наборы согласно установленным планам.

С целью выполнения функции «Осуществление подготовки вводимого оборудования АТСЭ к работе», инженер электросвязи выполняет следующее:

Программирует, устанавливает, выполняет пуско-наладочные работы, технический осмотр отдельных устройств и узлов, контролирует параметры и надежность элементов оборудования. Проводит замену версий программного обеспечения станции C& C08.

Участвует в приемочных испытаниях, подписании актов приема-сдачи выполненных работ, составлении протоколов проверки первоначального запуска (перезапуска) систем.

С целью выполнения функции «Соблюдение законодательства о труде, правил, стандартов, нормативных документов по охране труда, противопожарной и экологической безопасности», инженер электросвязи выполняет следующее:

Обязан ежедневно до начала проведения работ контролировать выполнение первой ступени контроля в своем подразделении с соответствующей записью результатов в журнал ступенчатого контроля охраны труда. В случае выявления нарушений требований безопасности, которые представляют угрозу жизни или могут причинить ущерб здоровью работников, или привести к аварии приостановить работу до их устранения и незамедлительно доложить об этом вышестоящему руководителю.

Обязан соблюдать правила внутреннего трудового распорядка, знать и исполнять требования правил и инструкций по охране труда по своей специальности (работе), технологию выполняемых работ, своевременно проходить обучение и проверку знаний по охране труда, медицинские осмотры. Знать приемы оказания первой доврачебной помощи пострадавшим. Уметь пользоваться средствами пожаротушения.

Перед началом работы должен осмотреть свое рабочее место в части соответствия его требованиям безопасности. В зависимости от выполняемой работы проверить, исправность электрической проводки (кабелей) и заземляющих устройств, инструментов и приспособлений, тормозных систем, наличие и исправность ограждений, сигнализации, средств индивидуальной защиты, предохранительных приспособлений и другой оснастки рабочего места. О выявленных нарушениях сообщить своему непосредственному руководителю (бригадиру, руководителю цеха, участка и т. п.).

Во время работы обязан выполнять правила и инструкции по охране труда по своей специальности (работе), не нарушать технологию выполняемой работы, применять по назначению инструмент, приспособления, оснастку, правильно пользоваться средствами индивидуальной и коллективной защиты; не допускать посторонних лиц на рабочее место или участок работы; не пользоваться неисправным инструментом. Содержать рабочее место в чистоте.

По окончании работы убрать свое рабочее место, используемые в работе инструменты, приспособления и т. п.

Права

Инженер электросвязи имеет право:

Запрашивать лично или по поручению и получать от структурных подразделений Общества информацию, необходимую для выполнения своих должностных обязанностей;

Использовать в работе все виды технических и информационных ресурсов в установленном в компании порядке. Требовать обеспечения организационно-технических условий, необходимых для исполнения должностных обязанностей.

Участвовать по своей инициативе в конкурсе на замещение вакантной должности в организации.

Знакомиться с документами, определяющими его права и обязанности по занимаемой должности, критерии оценки качества исполнения должностных обязанностей.

Вносить на рассмотрение непосредственному руководителю предложения по улучшению деятельности станционного участка № 4.

Самостоятельно принимать решение по вопросам текущей эксплуатации оборудования.

Требовать от непосредственного руководителя оказания содействия в исполнении должностных обязанностей, возложенных на него, и в реализации прав, предусмотренных настоящей Должностной инструкцией.

Знакомиться с решениями руководства Общества, касающимися деятельности структурного подразделения.

Осуществлять взаимодействие с работниками всех структурных подразделений по вопросам находящимся в его компетенции.

Проходить переподготовку (переквалификацию) и повышение квалификации.

Ответственность

Инженер электросвязи несет ответственность за:

Несвоевременное и некачественное выполнение функций и должностных обязанностей, предусмотренных настоящей должностной инструкцией;

Несоблюдение трудовой и исполнительской дисциплины, норм охраны труда и пожарной безопасности, а также невыполнение правил внутреннего трудового распорядка;

Невыполнение плана работы подразделения в части, возложенной на инженера электросвязи заданий и поручений руководителей;

Неиспользование предоставленных прав;

Нарушение режима коммерческой тайны и/или конфиденциальности, а также разглашение иных сведений, имеющих конфиденциальный характер.

Несвоевременное и некачественное выполнение приказов и распоряжений директора филиала (и его заместителей), заданий и поручений непосредственного руководителя;

Нарушение сроков исполнения или предоставления информации, а так же за качество подготовленной информации;

Несоблюдение требований коллективного договора, документированных процедур, положений, регламентов, правил и т. д., касающихся деятельности подразделения и работника;

Использование не по назначению переданного ему для работы оборудования, приборов, материалов, оргтехники и программных продуктов.

Правонарушения, совершенные в процессе осуществления своей деятельности, — в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.

Причинение материального ущерба — в пределах, определенных действующим трудовым и гражданским законодательством РФ.

4. Внутренний аудит по информационной безопасности

4.1 Основные положения

Аудит информационной безопасности — независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций.

Целью аудита является предоставление независимой и объективной комплексной оценки текущего состояния защищенности информационной системы, позволяющей систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Задачи, которые решаются в ходе аудита защищенности информационной системы:

анализ структуры, функций, используемых технологий автоматизированной обработки и передачи информации в информационной системе, анализ бизнес-процессов, нормативно-распорядительной и технической документации;

выявление значимых угроз информационной безопасности и путей их реализации, выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе;

составление неформальной модели нарушителя, применение методики активного аудита для проверки возможности реализации нарушителем выявленных угроз информационной безопасности;

проведение теста на проникновение по внешнему периметру IP-адресов, проверка возможности проникновения в информационную систему при помощи методов социальной инженерии;

анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов;

оценка системы управления информационной безопасностью на соответствие требованиям стандарта ГОСТ Р ИСО/МЭК 27 001−2006 и разработка рекомендаций по совершенствованию системы управления информационной безопасностью;

разработка предложений и рекомендаций по внедрению новых и повышению эффективности существующих механизмов обеспечения информационной безопасности.

Аудит информационной безопасности состоит из следующих этапов:

инициирование работ и планирование;

обследование и сбор информации;

поиск уязвимостей и несоответствий;

выработка рекомендаций и подготовка отчетных документов.

Результатом аудита информационной безопасности является создание документа, который содержит детальную информацию:

всех выявленных уязвимостях объекта аудита;

критичности найденных уязвимостях;

последствие в случае реализации угроз;

рекомендации по устранению уязвимостей.

На основании результатов аудита информационной безопасности, организация сможет выстроить грамотную систему безопасности, минимизировать возможные риски информационной безопасности, а также повысить свой авторитет в глазах партнеров и клиентов.

Аудит информационной безопасности позволит руководству организации увидеть реальное состояние информационных активов и оценить их защищенность.

4.2 Методики аудита

Экспертный аудит необходим, когда оценивается уровень защищенности только тех компонентов информационных систем, которые, по мнению владельца организации, являются наиболее значимыми, то есть, отсутствует необходимость в полном обследовании организации. Таким образом, появляется возможность сосредоточиться на наиболее критичных ресурсах и минимизировать затраты на комплексный аудит.

Основные этапы экспертного аудита включают в себя:

анализ информационной системы;

анализ наиболее значимых активов;

формирование модели угроз, модели нарушителя;

анализ требований к безопасности информационной среды;

оценка текущего состояния;

разработка рекомендаций по устранению обнаруженных недочетов и уязвимостей;

создание отчетной рекомендации.

При выполнении экспертного аудита сотрудники компании-аудитора совместно с представителями организации проводят следующие виды работ:

сбор исходных данных об информационной системе, об её функциях и особенностях, используемых технологиях автоматизированной обработки и передачи данных;

сбор информации об имеющихся организационно-распорядительных документах по обеспечению информационной безопасности и их анализ;

определение точек ответственности систем, устройств и серверов информационной системы;

формирование перечня подсистем каждого подразделения компании с категорированием критичной информации и схемами информационных потоков.

Один из самых объемных видов работ, которые проводятся при экспертном аудите, — сбор данных об информационной системе путем интервьюирования представителей организации и заполнения ими специальных анкет.

Основная цель интервьюирования технических специалистов — сбор информации о функционировании сети, а руководящего состава компании — выяснение требований, которые предъявляются к системе информационной безопасности.

Ключевой этап экспертного аудита — анализ проекта информационной системы, топологии сети и технологии обработки информации, в ходе, которого выявляются, такие недостатки существующей топологии сети, которые снижают уровень защищенности информационной системы.

По результатам работ данного этапа предлагаются изменения в существующей информационной системе и технологии обработки информации, направленные на устранение найденных недостатков с целью достижения требуемого уровня информационной безопасности.

Следующий этап — анализ информационных потоков организации. На данном этапе определяются типы информационных потоков в информационной системе организации, и составляется их диаграмма, где для каждого информационного потока указывается его ценность и используемые методы обеспечения безопасности, отражающие уровень защищенности информационного потока. На основании результатов данного этапа работ предлагается защита или повышение уровня защищенности тех компонент информационной системы, которые участвуют в наиболее важных процессах передачи, хранения и обработки информации. Для менее ценной информации уровень защищенности остается прежним, что позволяет сохранить для конечного пользователя простоту работы с информационной системой.

Рисунок 4.1 — Общий план аудита

Применение анализа информационных потоков организации позволяет спроектировать систему обеспечения информационной безопасности, которая будет соответствовать принципу разумной достаточности.

В рамках экспертного аудита производится анализ организационно-распорядительных документов, таких как политика безопасности, план защиты и различного рода инструкции. Организационно-распорядительные документы оцениваются на предмет достаточности и непротиворечивости, декларируемым целям и мерам информационной безопасности. Особое внимание на этапе анализа информационных потоков уделяется определению полномочий и ответственности конкретных лиц за обеспечение информационной безопасности различных участков информационной системы. Полномочия и ответственность должны быть закреплены положениями организационно-распорядительных документов.

Результаты экспертного аудита могут содержать разноплановые предложения по построению или модернизации системы обеспечения информационной безопасности:

изменения в существующей топологии сети и технологии обработки информации;

рекомендации по выбору и применению систем защиты информации и других дополнительных специальных технических средств;

предложения по совершенствованию пакета организационно-распорядительных документов;

предложения по этапам создания системы информационной безопасности;

ориентировочные затраты на создание или совершенствование СОИБ.

Основными преимуществами экспертного аудита является возможность сэкономить средства и время, путем отказа от более масштабного комплексного аудита, а так же сосредоточиться на анализе наиболее значимых объектов информационной среды.

Активный аудит

Тест на проникновение (пентест) в информационную систему является оптимальным способом, позволяющий оценить защищенность информационной системы в целом, обнаружить отдельные уязвимости и проверить надежность существующих механизмов защиты информационной системы от несанкционированного воздействия, используя различные модели нарушителей. Организации предоставляется детальный отчет, содержащий результаты всестороннего анализа текущего состояния его информационной системы, выявленные уязвимости и способы их использования, рекомендации по их устранению.

Основные цели проведения тестов на проникновение:

поиск уязвимостей, позволяющих произвести атаку на информационную систему;

определение защищенности информационной системы;

актуальность применяемых методов защиты информации от несанкционированного воздействия;

регулярный контроль изменений в информационной системе;

требования международных стандартов и нормативных документов в сфере информационной безопасности требующие проведение регулярных тестов на проникновение.

Основные задачи проведения тестов на проникновение:

оценка текущего состояния информационной безопасности;

выявление уязвимостей информационной системы с их ранжированием по степени критичности и идентификацией по международным, собственным классификаторам;

требования международных стандартов и законодательства;

разработка рекомендаций по повышению эффективности защиты информации в информационной системе;

предоставление организации независимой оценки выбранных мер и методик информационной защиты;

подготовка данных для проведения комплексного аудита информационной безопасности.

Объектами тестирования являются: внешние серверы, внешнее сетевое оборудование, отдельные сервисы.

Работы по тесту на проникновение включают в себя ряд последовательных этапов:

поиск и анализ всей доступной информации;

инструментальное сканирование, предполагающее использование как специализированных средств;

детальный анализ вручную;

анализ и оценка выявленных уязвимостей и выработка рекомендаций;

подготовка отчета.

Отчет, предоставляемый организации по результатам проведения тестов на проникновение, содержит детальное описание проведенных работ, все выявленные уязвимости системы, способы их применения и рекомендации по устранению данных уязвимостей.

Тест на проникновение может быть начальным этапом комплексного аудита информационной безопасности, на основании которого возможны разработка политики информационной безопасности и внедрение систем защиты.

Аудит web-приложений

Аудит Web-приложений необходим для обнаружения и идентификации уязвимостей, позволяющих несанкционированно получить доступ, модифицировать информацию или выполнить произвольный программный код на целевой системе.

Основные цели проведения аудита Web-приложений:

выявление уязвимостей компрометирующих целевую систему, допущенных в процессе разработки и эксплуатации Web-приложений;

определение надежности и достаточности применяемых систем защиты Web-ресурсов;

отслеживание изменений в Web-приложениях;

соблюдение требований стандартов и нормативных документов в сфере информационной безопасности, требующие проведения аудита защищенности Web-приложений.

Основные задачи проведения аудита Web-приложений:

оценка текущего состояния Web-ресурса организации;

выявление уязвимостей в Web-приложениях с их ранжированием по степени критичности, идентификация по международным и собственным классификаторам;

требования международных стандартов и нормативных документов в сфере информационной безопасности;

предоставление организации независимой оценки защищенности ресурсов;

предоставление рекомендаций по устранению выявленных уязвимостей Web-приложений;

подготовка данных при проведении комплексного аудита информационной безопасности.

информационный безопасность ростелеком

Рисунок 4.2 — Аудит защищённости web-приложений

Основная задача — выявление причин найденных ранее уязвимостей, а также поиск новых уязвимостей. Анализ кода проводится на основе выработанных рекомендаций по созданию безопасного кода. В случае нахождения формальных признаков новой уязвимости — она проверяется на предмет возможности её эксплуатации.

В случае размещения web-приложения в условиях аренды места на сервере хостинга — дополнительно может быть проведена оценка угроз, исходящих от соседних доменов, размещенных на данном физическом сервере:

1) оценка рисков — на данном этапе проводится анализ всех найденных в процессе аудита угроз, описание процесса и причин их возникновения, оценка вероятности возникновения и степени влияния на бизнес-процессы;

2) выработка рекомендаций — на основе анализа угроз, вырабатывается ряд рекомендаций по их устранению;

3) внедрение мер по обеспечению информационной безопасности — на основе выработанных рекомендаций производится внедрение мер по обеспечению информационной безопасности, которые включают в себя настройку системных параметров, изменение исходного кода приложения и внедрение средств защиты.

По окончании работ производится оценка остаточного риска.

Отчет, предоставляемый по результатам проведения аудита Web-приложений, содержит детальное описание проведенных работ, все выявленные уязвимости приложений, способы их применения и рекомендации по устранению данных уязвимостей.

Комплексный аудит

Комплексный аудит информационной безопасности — независимая и объективная комплексная оценка текущего состояния защищенности информационной системы, позволяющая систематизировать угрозы информационной безопасности и предложить рекомендации по их устранению.

Комплексный аудит информационной безопасности позволяет получить наиболее полную оценку защищенности информационной системы и рекомендуется для первичной оценки, объединяет в себе другие виды аудита информационной безопасности и предоставляет возможность оценить уровень и состояние информационной безопасности, как внутренних ресурсов, так и внешних.

Основные цели проведения комплексного аудита информационной безопасности:

поиск уязвимостей, позволяющих произвести атаку на информационную систему организации;

комплексная оценка защищенности информационной системы, отсутствие или недостатки применяемых систем защиты информации от несанкционированного воздействия;

регулярное отслеживание изменений в информационной системе;

получение независимой оценки;

соблюдение требований международных стандартов и нормативных документов в сфере информационной безопасности, рекомендующие требующие периодического или разового проведения аудита информационной безопасности.

Основные задачи комплексного аудита информационной безопасности:

анализ структуры, функций, используемых технологий обработки, хранения и передачи информации в информационной системе;

выявление уязвимостей информационной системы с их ранжированием по степени критичности, их идентификация по международным и собственным классификаторам;

составление модели нарушителя, применение методики активного аудита для проверки возможности реализации выявленных угроз информационной безопасности;

требования международных стандартов и нормативных документов в сфере информационной безопасности;

выработка рекомендаций по повышению эффективности защиты информации в информационной системе.

В общем виде, комплексный аудит информационной безопасности включает в себя следующие виды аудита ИБ:

1) внешний аудит информационной безопасности, который включает в себя:

а) технический аудит сети;

б) внешние тесты на проникновение;

в) аудит защищенности Web-приложений.

2) внутренний аудит информационной безопасности, который включает в себя:

а) технический аудит сети;

б) внутренние тесты на проникновение;

в) аудит защищенности от утечки информации;

г) аудит корпоративных беспроводных сетей.

Отчет, предоставляемый организации по результатам проведения аудита, содержит детальное описание проведенных работ, все выявленные уязвимости, способы их применения и рекомендации по устранению данных уязвимостей.

Аудит на соответствие стандартам

Стандарт ГОСТ Р ИСО/МЭК 27 001−2006 является признанным стандартом в области построения Системы Управления Информационной Безопасностью (СУИБ) организации, универсальность данного стандарта позволяет использовать его во всех типах организаций вне зависимости от профиля их деятельности. ГОСТ Р ИСО/МЭК 27 001−2006 включает в себя требования для разработки и эксплуатации системы управления информационной безопасности организации.

Построение системы управления информационной безопасности в соответствии с требованиями стандарта позволяет повысить «прозрачность» компании для инвесторов, партнеров и клиентов, благодаря управлению рисками, а также увеличить защищенность компании от угроз информационной безопасности.

Проведение аудита заключается в анализе и оценке:

системы управления рисками информационной безопасности;

политики безопасности, регламентов, инструкций, а также других документов, обеспечивающих информационную безопасность организации;

принципов управления активами и персоналом;

технических средств обеспечения информационной безопасности;

существующей системы управления инцидентами;

процессов управления непрерывностью бизнеса и восстановления после сбоев.

Результатом проведенных работ является:

возможность прохождения сертификации;

повышение конкурентоспособности на рынке;

повешение доверия со стороны клиентов, за счет обеспечения высокой защиты информационной безопасности на мировом уровне;

снижение рисков финансовых потерь, за счет обеспечения высокой отказоустойчивости и повышенной информационной безопасности организации;

наличие организационно распорядительной документации, описывающего полномочия и ответственность сотрудников организации;

прозрачная система управления информационной безопасностью предприятия.

Заключение

В соответствии с учебным планом в период с 23. 06. 2014 г. по 05. 07. 2014 г. была пройдена производственная практика ПМ. 02 «Техническая эксплуатация телекоммуникационных систем»

На предприятии ОАО «Ростелеком» за время прохождения производственной практики были освоены и приобретены необходимые умения и опыт практической работы по профессиональным компетенциям ПМ 02 «Обеспечение информационной безопасности телекоммуникационных систем и информационно-коммуникационных сетей связи»:

Практика началась с вводного инструктажа, изучения требований к организации определённого рабочего места, ознакомления с санитарно-гигиеническими нормами и безопасностью работы. Далее осуществлялось знакомство с направлением деятельности предприятия ОАО «Ростелеком», изучение её нормативно-правовой базы.

В отчете по практике отражены профессиональные компетенции:

— использование программно-аппаратных средств защиты информации в телекоммуникационной системе и сетях связи (ПК 2. 1):

а) антивирусы;

б) криптографическое программное обеспечение;

в) программное обеспечение для резервного копированияэ;

г) межсетевые экраны;

— применение системы анализа защищенности для обнаружения уязвимости информации, выдавать рекомендации по их устранению (ПК 2. 2):

а) физическая безопасность. Ограничьте физический доступ к оборудованию компьютера;

б) управление доступом к системе. Ограничьте доступ пользователей с помощью паролей и полномочий;

в) управление доступом к файлам. Ограничьте доступ к данным путем назначения полномочий на файлы;

г) аудит пользователей. Контролируйте деятельность пользователей для обнаружения опасности раньше, чем произойдет повреждение системы;

д) безопасность в сети. Установите защиту доступа через телефонные линии, последовательные линии связи или через сеть;

е) обеспечьте защиту доступа с привилегиями суперпользователя. Установите доступ с привилегиями суперпользователя только для решения задач системного администрирования;

-ответственность за безопасность информации должна быть возложена на конкретного администратора. Администратор безопасности сети должен играть роль центра для всех направлений безопасности сети в рамках организации; тем не менее, администратор безопасности сети может делегировать другому сотруднику некоторые свои полномочия (ПК 2. 3).

В результате прохождения производственной практики была освоена работа на предприятии связи и приобретение некоторых практических навыков в технической эксплуатации информационно-коммуникационных сетей связи.

Для составления отчета использовалась информация, предоставленная руководителем предприятия, а также сведения, полученные из технической документации, руководящих документов, инструкций из Интернета.

Список используемых источников

1. Алиев Т. И Сети ЭВМ и телекоммуникации Санкт-Петербург 2011 год. 400с.

2. Брейман А. Д Сети ЭВМ и телекоммуникации. Глобальные сети Москва 2006 год. 117с.

3. Будылдина Н. В Технологии глобальных компьютерных сетей Екатеринбург 2006 год.

4. Беспроводные технологии журнал № 04 2011 138с.

5. Вишневский В., Портной С., Шахнович И. Энциклопедия WiMAX путь к 4g Москва 2009 год. 470с.

6. Витаминюк А. И. Создание, обслуживание и администрирование сетей на 100% - 2010 год. Санкт-Петербург 232с.

7. Виснадул Б. Д., Лупин С. А., Сидоров С. В., Чумаченко П. Ю. — Основы компьютерных сетей. 2007 год. 272с.

ПоказатьСвернуть
Заполнить форму текущей работой