Разработка политики информационной безопасности для ОГУЗ "Смоленский территориальный центр медицины катастроф"

Тип работы:
Курсовая
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Введение

Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров. Этому есть простое объяснение: объём обрабатываемой и хранящейся в электронном виде информации для среднего предприятия в миллионы раз выше по сравнению с «бумажной». На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства ИБ в таких организациях часто сводятся к выпуску инструкций с ключевыми словами: «углубить», «расширить», «повысить», «обеспечить» и т. д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы — это тема для отдельной большой статьи.

В то же время ИБ малых предприятий с не очень большим числом рабочих мест для специалистов (часто не более 50) уделяется не слишком много внимания. Однако существующая организационно-техническая обстановка на данный момент такова, что большинство существующих угроз ИБ, в силу хорошей защищённости от них больших предприятий, становятся актуальными как раз для предприятий меньшего размера. Обычно такие предприятия имеют весьма скромный IT-бюджет, позволяющий приобрести только необходимое оборудование, ПО и содержать одного системного администратора.

Целью курсового проекта является разработка политики информационной безопасности для ОГУЗ «Смоленский территориальный центр медицины катастроф». Исходя из цели курсового проекта, были поставлены следующие задачи: рассмотрение структуры организации, анализ возможных угроз, изучение нормативно-правовых документов, разработка правил политики информационной безопасности, определение ответственности за нарушение информационной безопасности.

1. Цели и политики безопасности

1. 1 Краткая характеристика организации

ОГУЗ «Смоленский территориальный центр медицины катастроф»

Основан2007 году. Основным направлением работы является предупреждение и ликвидация катастроф. Структура компании ОГУЗ «Смоленский территориальный центр медицины катастроф»

Функции отделов компании

Директор — человек ответственный за деятельность компании.

Зам. Директора — принимающий все дела компании на себя и ответственный за ее ведение, в отсутствии директора.

Бухгалтерия — ведет расчеты с рабочими и служащими по заработной плате;

Юридический отдел — осуществляет обеспечение соблюдения законности в компании и юридическая защита его интересов;

Отдел безопасности — осуществляет контроль над всей деятельностью компании. Отдел является самостоятельным структурным подразделением Управления. Функции, ответственность и задачи отдела безопасности определены в положении об отделе. Отдел подчиняется непосредственно начальнику.

1. 2 Информационные объекты, подлежащие защите

информационный политика безопасность

Информационный объект — представление объекта предметной области, определяющее его структуру, атрибуты, ограничения целостности и поведение.

Объекты, подлежащие защите:

— Бухгалтерия — служба, которая занимается ведением бухгалтерской и налоговой отчётности, по совместительству выполняющая функции финансового отдела, тем самым, распределяя финансовые потоки внутренней и внешней среды организации, в том числе, бухгалтерия финансирует деятельность службы безопасности предприятия;

— Отдел кадров — выполняет функции по обеспечению вакансий на предприятии, управлению человеческими ресурсами, ведению личных дел сотрудников и организацией развития корпоративной культуры, спортивных и других мероприятий;

— Все отделы находятся внутри служебного помещения.

1.3 Цели политики безопасности

Политика информационной безопасности — набор правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области ЗИ. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

Рассмотрим основные цели политики безопасности предприятия:

— обеспечение безопасности производственной деятельности и защиты информации и сведений, являющихся коммерческой тайной;

— организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

— организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

— предотвращение несанкционированного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;

— выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;

— обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством, как на национальном, так и на международном уровне;

— обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;

— обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;

— оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.

1. 4 Перечень возможных угроз и информации, циркулирующей в организации

Угроза информационной безопасности -- совокупность условий и факторов, создающих опасность нарушения информационной безопасности [2, c30].

ѕ Внешние угрозы:

ѕ конкуренты;

ѕ несанкционированный доступ к информации (хакеры, взломщики)

ѕ вирусы;

ѕ чрезвычайные ситуации;

ѕ шпионские программы (флешки и т. п.);

ѕ несанкционированное копирование;

ѕ кража программно-аппаратных средств.

ѕ Внутренние угрозы:

ѕ разглашение конфиденциальной информации сотрудниками предприятия;

ѕ нарушение целостности данных со стороны персонала предприятия;

ѕ потеря информации на жестких носителях;

ѕ угрозы целостности баз данных;

ѕ делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией, открытие портов;

ѕ системные сбои;

ѕ повреждение аппаратуры, отказ программного или аппаратного обеспечения;

ѕ угрозы технического характера;

ѕ угрозы нетехнического или некомпьютерного характера — отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях.

В любой компании (учреждении) существует конфиденциальная информация, которая особенно тщательно оберегается от не имеющих к ней доступа сотрудников, а также конкурентов и поставщиков. Вместе с тем определить степень секретности данных достаточно сложно. В итоге все сведения, связанные с деятельностью организации, начинают считать конфиденциальными. В результате возникают судебные споры как с работниками, так и с другими компаниями. Перечень соответствующих данных приведен в нескольких законодательных актах, однако и компания может самостоятельно ограничить доступ к некоторым сведениям. Вместе с тем основным документом, позволяющим определить, относится ли информация к конфиденциальной, является Федеральный закон от 29. 07. 2004 N 98-ФЗ «О коммерческой тайне». Однако перечень, содержащийся в этом Законе, является неполным, а иные сведения о конфиденциальной информации содержатся в таблице 1.

Таблица. 1 Перечень конфиденциальных данных ОГУЗ «Смоленский территориальный центр медицины катастроф»

Вид конфид. информации

Перечень сведений

Законодательная норма

Информация, составляющая коммерческую тайну

Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно- технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам

Статья 3 Федерального закона от 29. 07. 2004 N 98-ФЗ «О коммерческой тайне»

Сведения, связанные с аудитом организации

Любые сведения и документы, полученные и (или) составленные аудиторской организацией и ее работниками, а также индивидуальным аудитором и работниками, с которыми им заключены трудовые договоры, при оказании услуг, предусмотренных настоящим Федеральным законом, за исключением: 1) сведений, разглашенных самим лицом, которому оказывались услуги, предусмотренные настоящим Федеральным законом, либо с его согласия; 2) сведений о заключении с аудируемым лицом договора о проведении обязательного аудита; 3) сведений о величине оплаты аудиторских услуг

Статья 9 Федерального закона от 30. 12. 2008 N 307-ФЗ «Об аудиторской деятельности»

Персональные данные

любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Фед. закон Российской Фед. от 27 июля 2006 г. N 152-ФЗ

2. Правила политики безопасности

2. 1 Контроль доступа в помещения организации

В здание есть два выхода и два входа, организован круглосуточный контрольно-пропускной пункт охраны на входах (КПП). При проходе через КПП каждому сотруднику выдаётся пропуск. Для прохода через КПП людям не являющимися сотрудниками также выдается пропуск при наличии удостоверения личности и заносится соответствующая запись в журнал посещений. На предприятии установлена система видеонаблюдения, которая охватывает как наружный периметр, так и внутренние помещения здания.

В ОГУЗ «Смоленский территориальный центр медицины катастроф»

можно попасть через центральный и служебный вход. Служебный вход осуществляется с помощью магнитного ключа. Внутреннее видео наблюдение охватывает только коридор и архив. Архив документации содержит ценную информацию для предприятия. Утечка информации из подобного хранилища может привести к необратимым последствиям. Для предотвращения утечки из архива выполняются следующие меры:

— Вход помещение осуществляется через бронированную дверь с двумя запорными устройствами. Дверь находится постоянно в закрытом положение.

— Доступ в помещение имеют лица, имеющие на это соответствующие права. Использование данного права регистрируется в журнале и на главном компьютере в серверной комнате. Серверная комната — это одна из самых главных источников и приемников информации. При этом её уязвимость очень высока, что требует тщательного слежения за серверной и находящимся в ней оборудованием. Для того что бы предотвратить потерю данных из серверной выполняются следующие меры:

— Помещение изолировано от легко воспламеняющихся посторонних предметов.

— Подключена независимая система энергоснабжения.

— Вход помещение осуществляется через бронированную дверь с двумя запорными устройствами.

2. 2 Разработка правил политики безопасности для аппаратных средств

Аппаратные средства являются частью оборота информации и являются информационным ресурсом. Сохранение надлежащей качественной работы — одна из приоритетных задач политики безопасности предприятия.

— Каждое аппаратное средство подлежит инвентаризационному учету, соответственно документам.

— Cоставлена номенклатура по всему оборудованию с указанием места его размещения.

— Строго соблюдаются правила эксплуатации оборудования.

— Оборудование приобретается только у надежных поставщиков, дающих гарантию и имеющих собственные центры обслуживания в пределах локации предприятия.

— При замене оборудования или ремонте, конфиденциальные данные удаляются с носителя, имея соответствующую копию с этими данными.

— Регулярно проводится диагностика аппаратных средств.

Локальная вычислительная сеть — огромное связующее звено передачи данных между пользователями. Задача — обеспечить стабильность и качество работы сети, безопасность передачи данных по ней.

Правила для локальной вычислительной сети:

— Архитектура ЛВС должна быть надежной.

— Кабель проложен в специальных кабель-каналах, проложенных внутри стен.

— Сеть защищена дополнительными программными модулями.

— Серверы сетевых адресов и серверы, которые используются для формирования адресов, защищены всеми доступными для этих устройств способами.

— Существует план сети, который хранится у следящего за ЛВС.

— Выбрана соответствующая требованиям предприятия архитектура сети (по технологии 100Base-T).

-Обеспечен резерв свободных локаций при подключении новой рабочей станции. Все происходит без нарушения работы сети.

— Разработаны методики, позволяющие реконфигурировать сеть организации. В этих методиках отражены все изменения, касающиеся непосредственно всех внутренних и внешних точек доступа, а также архитектуры сети.

— Обеспечена безопасность ЛВС путем ограничения доступа к сетевому оборудованию.

— Разработаны правила подключение к сети Internet.

Так же следует выполнять следующие меры безопасности, которые не соблюдены в ОГУЗ «Смоленский территориальный центр медицины катастроф»:

Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.

2.3 Разработка правила политики безопасности для программных средств

Все программное обеспечение, установленное на предоставленном Компанией компьютерном оборудовании, является собственностью Компании и используется исключительно в производственных целях.

Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавиши и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования.

На предприятии ОГУЗ «Смоленский территориальный центр медицины катастроф»

не разрабатывается программное обеспечение (ПО), поэтому в данном вопросе рассматривается только использование ПО и программных средств, не являющихся собственностью ОГУЗ «Смоленский территориальный центр медицины катастроф».

Программное обеспечение влияет на скорость и качество передачи данных. Также тип ПО зависит от типа передаваемой информации. Следует внимательно выбирать ПО для предприятия. Не соблюдение этого правила может привести к потере данных, лишним затратам на установление нового ПО, потери информации.

Правила для программных средств:

— Программное обеспечение, используемое на предприятие, а также документация, поставляемая с ним, учтены.

— На П К установлено лицензионное ПО.

— Установку оборудования производит специально обученный человек.

— Перед установкой ПО тестируется.

— Перед началом использования ПО, сотрудников обучают правильному использованию.

— Каждый пользователь в соответствии с договором, знает какие права интеллектуальной собственности он может нарушить.

-Обновления и их установка (исполняется ответственным за это лицом).

— Использует программное средство лицо, имеющее на это права.

— Обеспечены оптимальные условия для работы оборудования.

— Защита программных средств ведется как от ошибок программ, так и от ошибок пользователя.

Резервирование и архивирование — надежные способы хранения информации. Стоит внимательно проследить каким именно образом будет проходить резервирование данных. Обеспечить качество и сохранность архивной информации.

При использовании определенных программных средств (базы данных, файловый сервер и т. д.) предусматривается автоматическое резервирование данных на отдельном носителе.

Хранение данных не зависит от системы. Запись резервируемых данных ведется на отдельных машинах. Предусмотрен резервный источник питания для исключения непреодолимых ситуаций не связанных с производством. По мере записи данных ведется их архивирование.

Срок хранения информации назначается по требованию руководителя и в соответствии с документацией. Данные хранятся в отдельном помещении, и в специально отведенном месте. В случае предприятия ОГУЗ «Смоленский территориальный центр медицины катастроф» место для хранения архивных данных имеется (небольшое помещение без окон).

Назначен следящий за архивом, который пополняет данные, а также тестирует носители на пригодность и качество по прошествии времени. Также назначен ответственный за утилизацию или удаление данных по истечению срока давности.

Утилизация сопровождается полным удалением данных с носителя, только после этого производится утилизация самого носителя уже без какой-либо информации принадлежащей предприятию.

Доступ к резервированию, архивированию, хранению, утилизации данных имеют только специальные лица, имеющие на это допуск.

Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника.

На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:

ѕ персональный межсетевой экран;

ѕ антивирусное программное обеспечение;

ѕ программное обеспечение шифрования жестких дисков;

ѕ программное обеспечение шифрования почтовых сообщений.

ѕ Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем Департамента информационных технологий.

ѕ Сотрудники Компании не должны:

ѕ блокировать антивирусное программное обеспечение;

ѕ устанавливать другое антивирусное программное обеспечение;

ѕ изменять настройки и конфигурацию антивирусного программного обеспечения.

Компания предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со своим менеджером, который проинформирует их о порядке приобретения и/или разработки программного обеспечения.

2. 4 Разработка правил для политики безопасности управления доступом

Средства управления доступом сводятся не только к аутентификации, но с их помощью определяется, кто имеет доступ к ресурсам организации. Средства управления доступом предусматривают несколько способов реализации. Наиболее распространенные алгоритмы привязаны к тем, что предлагаются операционными системами или программным обеспечением, поддерживающим работу предприятия.

Таким образом, первым шагом в определении того, где требуются правила управления доступом, заключается в выяснении областей, в которых необходимо использовать компьютерные системы управления доступом, или требуется управление доступом на базе пользовательских имен/паролей. Чтобы это осуществить, необходимо вернуться к этапу инвентаризации ваших систем и отметить, где и как они используются. На основе такой информации можно разработать правила, соответствующие используемым вспомогательным системам.

Правила управления доступом должны быть сфокусированы на том, где использовать управление доступом, а не декларировать его использование. Специфика разработки правил управления доступом заключается в том, чтобы широкая формулировка правил не могла быть приложена к тому, что не требует управления доступом. Например, правила управления доступом, которые ограничивают доступ к информации организации, хранящейся в базе данных, не должны быть приложены по отношению к документам, доступным через Intеrnet.

2.5 Разработка правил политики безопасности кадровой системы

Кадровое подразделение (служба безопасности предприятия по работе с персоналом) подчиняется, как правило, непосредственно руководителю предприятия. Основные задачи, которые решает кадровое подразделение предприятия:

— разрабатывает кадровую политику предприятия;

— занимается вопросами поиска и подбора персонала;

— ведет разработку руководящих документов в области кадрового регулирования;

— осуществляет контроль трудовой дисциплины и планирование отпусков;

— осуществляет планирование карьеры сотрудников предприятия;

— разрабатывает мотивационные нормы.

Руководитель кадрового подразделения предприятия, как правило, является членом совета по безопасности предприятия. Система взаимоотношений между кадровым подразделением и службой безопасности предприятия предполагает:

сотрудничество в области кадровых вопросов;

подчиненность кадрового подразделения службе безопасности предприятия и предоставление последнему права принимать окончательное решение по вопросам кадровой политики;

взаимодействие при принятии управленческих решений;

распределение ответственности за последствия принятых решений между подразделениями с учетом их полномочий.

Перечень вопросов, по которым осуществляется взаимодействие кадрового подразделения со СБ предприятия:

Осуществление различного рода проверок кандидатов на должность и штатных сотрудников предприятия:

проверка по милицейским базам учетам: наличие судимости, наложения в прошлом существенных административных взысканий, наличие розыскных дел, утеря паспорта и т. д. ;

проверка рекомендаций с прошлых мест работы через СБ предприятий или другими способами;

проверка подлинности регистрации и факта проживания по месту регистрации;

проверка кредитной истории через службы безопасности или кредитные отделы банков, предоставляющие потребительские и иные кредиты, а также через бюро кредитных историй и другие организации, занимающиеся сбором подобной информации;

проверка системой безопасности на наличие связей в криминальном мире;

проверка наличия недвижимого и движимого имущества, в т. ч. на соответствие заявленному имуществу;

проверка участия в капитале (учредительство, акционирование) юридических лиц, как в коммерческих, так и некоммерческих организациях, в т. ч. общественных;

проверка подлинности представляемых документов (диплом, паспорт, свидетельство, удостоверение, сертификат, лицензия и т. д.).

2.6 Разработка правил политики безопасности антивирусной защиты

Подсистема антивирусной защиты сети предназначена для решения следующих задач:

ѕ Перекрытие всех возможных каналов распространения вирусов, к числу которых относятся: электронная почта, разрешенные для взаимодействия с сетью Интернет сетевые протоколы (HTTP и FTP), съемные носители информации (дискеты, CD-ROM и т. п.), разделяемые папки на файловых серверах;

ѕ Непрерывный антивирусный мониторинг и периодическое антивирусное сканирование всех серверов и рабочих станций, подключаемых к ЛВС;

ѕ Автоматическое реагирование на заражение компьютерными вирусами и на вирусные эпидемии, включающее в себя: оповещения, лечение вирусов, удаление троянских программ и очистку системы, подвергнувшейся заражению;

ѕ Она строится из следующих компонентов:

ѕ Средства управления, включающие в себя управляющую консоль, серверные компоненты системы антивирусной защиты, средства протоколирования и генерации отчетов;

ѕ Средства антивирусной защитыKasperskyInternetSecurityсерверов ЛВС;

ѕ Средства антивирусной защитыKasperskyInternetSecurity рабочих станций;

2.7 Разработка правил политики безопасности внешнего доступа

Управление доступом к сети

Перед обсуждением аутентификации пользователей сети необходимо разработать правила управления доступом к сети. Сети уже не являются монолитными объектами. В большинстве случаев имеется одна внешняя точка доступа — подключение к Internet посредством ISP (InternetServiceProvider — поставщик услуг Internet). Правила управления доступом к сети будут определять, какую защиту необходимо установить на входных точках в сеть.

Для обеспечения безопасности внешнего доступа используются шлюз, антивирус. После установки системы и перед первым выходом в сеть необходимо в обязательном порядке принять комплекс мер по установлению защиты от вредоносного воздействия сети. В системе должны быть предприняты все возможные меры для предотвращения распространения в ней компьютерных вирусов, «червей» и прочей потенциально опасной для ее безопасности информации. Необходимо строго контролировать с помощью соответствующего программного обеспечения (антивирус, брандмауэр и проч.) всю входящую и исходящую информацию на наличие вирусов и прочей потенциально опасной информации. Необходимо также тщательно настроить параметры безопасности того программного и аппаратного обеспечения, которое непосредственно будет иметь доступ в сеть.

Система должна подвергаться периодической проверке антивирусными средствами (не реже чем раз в месяц) и другими средствами, обеспечивающими безопасность в системе (если таковые имеются). В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники обязаны: приостановить работу на компьютере, немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя отдела, владельца зараженных файлов, смежные отделы, использующие эти файлы в работе, а также специалиста, ответственного за информационную безопасность.

Все внешние носители информации, полученные из сомнительных или неизвестных источников, должны подвергаться полному антивирусному сканированию перед использованием.

Необходимо регулярно обновлять версии программного обеспечения, связанного с обеспечением безопасности системы; устанавливать официальные обновления программ, которые имеют прямое или косвенное отношение к работе с сетью. Сюда же относятся и обновления, связанные с управлением аппаратным обеспечением системы (драйвера устройств и т. п.).

При обнаружении зараженных вирусами данных, эти данные должны немедленно и безвозвратно удаляться. Исключение составляют лишь важные данные, для которых имеет смысл попробовать применить процедуры восстановления.

Следует с большой осторожностью относиться к программам, в которых присутствуют определенного рода уязвимости для несанкционированного проникновения, или же в которых включены особые привилегии для их разработчиков.

Необходимо внимательно проанализировать систему данных сотрудника и обеспечить ее структурированное хранение на носителях информации. Все данные должны классифицироваться согласно их применению или же по другому, четко установленному сотрудником критерию (например, критериями могут служить соображения конфиденциальности данных, место из размещения и способ пересылки).

2.8 Разработка правил политики безопасности внекомпьютерных информационных ресурсов

Временные работники, подрядчики и консультанты представляют собой угрозу безопасности, так как на них обычно не распространяются тот же контроль как на штатных сотрудников ОГУЗ «Смоленский территориальный центр медицины катастроф», но им может быть предоставлен такой же высокий уровень доступа к системе.

Необходимо наблюдать за этой категорией сотрудников более внимательно, пока вы не знакомы с их квалификацией, объемом их работы и, самое главное, уровнем доверия, который им возможно предоставить.

Честность и компетентность этой категории сотрудников должны тщательно контролироваться для обеспечения того, чтобы их работа была обоснованной и что они действительно работают в интересах ОГУЗ «Смоленский территориальный центр медицины катастроф». Вендоры, к примеру, могут намеренно и без злого умысла оставлять в вашей системе бэкдоры с целью защиты или изменения и обновления своих продуктов.

Требования к составу проектной и эксплуатационной документации

В состав разрабатываемой документации входят:

— проектная документация разработчика системы (подсистемы, компонента) защиты информации;

— руководство пользователя;

— руководство администратора защиты информации;

— руководство по тестированию системы защиты информации.

Проектная документация

Проектная документация разработчика системы (подсистемы, компонента) защиты информации состоит:

— из описания:

— системы защиты информации;

— концепции защиты;

— применяемых средств защиты;

Требования ко всей документации

— Составить перечень документации, бланков всех процессов предприятия.

— Провести инвентаризационный учет документации.

— Документы должны быть разделены по соответствующим категориям с определенными уровнями защиты.

— Назначить ответственного по сбору документации и его хранению.

— Назначить ответственного по утилизации документации из архива. Удаление данных должно производиться без малейшего шанса на восстановление. И только после списания документа с разрешения руководства.

— Все сотрудники должны знать, к каким категориям документов они имеют доступ, а также — как именно происходит удаление документации и бланков.

— При доступе к особо важным документам, должен быть приложен журнал, в котором будут записано время, дата, пользователь документа (в некоторых случаях — возврат документа).

— Каждые 3 месяца проводить учет наличия документов в архиве.

3. Дисциплинарные меры, ответственность сотрудников за нарушение безопасности

Дисциплинарная ответственность одна из разновидностей юридической ответственности. Ее содержание составляет обязанность субъекта претерпевать за свои неправомерные действия определенные неблагоприятные последствия. Дисциплинарная ответственность применяется лишь в трудовых правоотношениях.

Дисциплинарная ответственность — это реакция на правонарушение в сфере трудовых отношений, проявляющаяся в применении санкций неблагоприятного характера к нарушителям установленного порядка. Дисциплинарная ответственность представляет собой последствие неисполнения или ненадлежащего исполнения трудовых обязанностей конкретным работником, то есть несоблюдения им трудовой дисциплины.

По смыслу данного определения можно перечислить основные признаки дисциплинарного проступка:

— действия или бездействие работника, которые определены в законе как неисполнение или ненадлежащее исполнение трудовых обязанностей;

— наличие вины — обязательный признак дисциплинарного проступка (ответственность наступает исключительно за виновные действия, бездействие);

— работником не исполнены именно трудовые обязанности;

— наличие обстоятельств, делающих возможным применение дисциплинарного взыскания.

Прежде всего, неисполнение трудовых обязанностей — это не совершение определенных действий, которые работник должен осуществить для выполнения задач, поставленных перед ним, то есть фактически бездействие. Однако это может быть и активное действие, на совершение которого установлен запрет.

Причем неисполнением работником без уважительных причин трудовых обязанностей является как неисполнение, так и ненадлежащее исполнение по вине работника возложенных на него трудовых обязанностей.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности предприятия, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.

За умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники предприятия несут материальную ответственность в полном размере причиненного ущерба.

Ниже представлены ответственности сотрудников предприятия за неисполнение своих должностных обязанностей по организации безопасности информации:

Системный администратор несет ответственность:

— За нарушение функционирования локальной сети, серверов и персональных компьютеров вследствие ненадлежащего исполнения своих должностных обязанностей.

— За информационную безопасность.

— За неисполнение или ненадлежащее исполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных действующим трудовым законодательством РФ.

— За причинение материального ущерба работодателю в пределах, определенных действующим трудовым и гражданским законодательством РФ.

— За правонарушения, совершенные в процессе осуществления своей деятельности, — в пределах, определенных действующим административным, уголовным, гражданским законодательством РФ.

Начальник отдела кадров несет ответственность:

— За неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

— За совершенные в процессе осуществления своей деятельности правонарушения — в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

— За причинение материального ущерба — в пределах, определенных трудовым, уголовным и гражданским законодательством Российской Федерации.

Начальник службы безопасности несет ответственность:

— За неисполнение (ненадлежащее исполнение) своих должностных

обязанностей, предусмотренных настоящей инструкцией, в пределах, определенных трудовым законодательством Российской Федерации.

— За совершенные в процессе осуществления своей деятельности правонарушения — в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

— За причинение материального ущерба — в пределах, определенных трудовым и гражданским законодательством Российской Федерации.

Заключение

В ходе курсового проекта были предложены правила политики безопасности: регулирующие доступ в помещение. Все сотрудники организации должны соблюдать данные правила. Контроль за посетителями, не являющимися сотрудниками компании осуществляется охранником.

Была разработана политика информационной безопасности для аппаратных и программных средств. Соблюдения данных правил регулируются системным администратором. Все программные средства должны быть лицензионными. Инженеры и системные администраторы имеют специальные разрешения на доступ к информационным ресурсам.

Соблюдения правил управления доступом к информационным ресурсам регулируются системным администратором и руководителем организации.

Правила политики безопасности кадровой системы контролируются начальником кадровой системы, кадровое подразделение осуществляет контроль трудовой дисциплины, занимается подбором персонала, разрабатывает кадровую политику.

Правила антивирусной защиты контролируются и проверяются системным администратором, который производит выбор более качественного продукта, его установку и обновление.

Соблюдение правил безопасности внешнего доступа осуществляется инженером. Производится комплекс мер по установлению защиты от вредоносного воздействия сети. Сотрудникам запрещается устанавливать на ПК нелицензионные продукты, не имеющие отношения к организации.

Были определены дисциплинарные меры сотрудников организации за нарушение безопасности информации.

Все поставленные цели и задачи были выполнены.

Подводя итоги, можно отметить, что в данной работе была поставлена цель создания политики безопасности, а также были определены основные направления, методы и средства защиты информации на выбранном мною предприятии. А также разработаны рекомендации и действия для организации эффективной защиты конфиденциальной информации на моем предприятии.

Список использованных источников

1. ГОСТ Р ИСО/МЭК 15 408 «Критерии оценки безопасности информационных технологий». Действующий с 1 января 2004 г.

2. ГОСТ Р 50 922 «Защита информации. Основные термины и определения». Принят и введен в действие от 10 июля 1996 г.

3. ГОСТ Р ИСО/МЭК 13 335 «Информационные технологии. Методы и средства обеспечения безопасности». Утвержден и введен в действие от 19 декабря 2006 г.

4. Доктрина информационной безопасности //Средства массовой информации постсоветской России: Учеб. пособие /Я.Н. Засурский, Е. Л. Вартанова, И. И. Засурский. -М., 2009. -С. 262−301.

5. Брандман Э. М. Цивилизационные императивы и приоритеты информационной безопасности общества/Э.М. Брандман //Философия и общество.М.: И «Эльзевир"-20 010. -№ 3. -С. 60−77.

6. Лукацкий А. Технологии информационной безопасности вчера и сегодня. /А. Лукацкий //Компьютер пресс. -2010. -№ 4/апрель/. -С.8.

7. Попов В. Б. Основы информационной безопасности. Информационные технологии и право. /М.: ИЦ «Вентара-граф» 2011. -С. 175−187.

8. Семенова З. В. Углубленное изучение темы «Защита данных в информационных системах» //Информатика и образование./ М.: ИЦ «Академия"-2010. -№ 1.- С. 32−39.

9. Сергеева, И. И. Информатика: учебник / М.: ИД «Форум»: ИНФРА — М, 2009. — 336 с.

10. Титоренко, Г. А. Информационные технологии управления / М.: «ЮНИТИ» — 20 012. — 328 с.

11. Коноплева, И. А. Информационные технологии: учебное пособие / И. А. Коноплева, О. А. Хохлова, А. В. Денисов. — М.: ИД «Проспект», 2011. — 328 с.

12. Браунде, Э. Дж. Технология разработки программного обеспечения / Э. Дж. Браунде — СПб.: «Питер», 2009. — 655 с.

13. Информатика и информационные технологии: учебник для вузов / М. В. Гаврилов. — М.: И «Гардарики», 2011. — 134 с.

14. Мельников В. П. и др. Информационная безопасность и защита информации — М.: КК «КноРус» 2012. — 215 с.

15. Защита компьютерной информации. Эффективные методы и средства: учебное пособие / В. Ф. Шаньгин. — М.: ДМК «Пресс», 2012. — 274 с.

16. Основы информационной безопасности: учебн. пособие / С. П. Расторгуев. — 2-е изд., стереотип. — М.: И «Академия», 2013. — 326 с.

17. Белов Е. Б., Лось В. П. Основы информационной безопасности. ИД «Москва»: ИНФРА — М, 2011. — 148 с.

18.

ПоказатьСвернуть
Заполнить форму текущей работой