Учебная работа. Реферат: Разработка технологий аудита комплексной системы информационной безопасности
Целью данного дипломного проекта является аудит информационной сохранности для компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ». Нужно объяснить, что предполагается под понятием «аудит».
Аудит информационной сохранности – системный процесс получения беспристрастных высококачественных и количественных оценок о текущем состоянии информационной сохранности компании (организации, компании) в согласовании с определенными аспектами и показателями сохранности.
Актуальность проведенной работы обоснована тем, что обеспечение сохранности инфы – процесс непрерывный, другими словами в критериях повсевременно изменяющейся обстановки в сфере информационных технологий, в критериях возникновения все новейших угроз конфиденциальности инфы, также и новейших технических и программных средств, служащих для реализации этих угроз, нужен неизменный контроль надежности системы защиты. Конкретно эту функцию и делает аудит информационной сохранности. В связи с сиим появляются вопросцы о способах и результатах проведения аудита, ответы на которые и представлены в данном проекте. При всем этом речь в данном случае идет не о неизменном внутреннем аудите, который обязана вести любая организация, старающаяся сделать свою информационную сохранность, а о наружном аудите, проводимом посторонней организацией, отличающимся собственной независимостью и комплексностью.
Объектом исследования, проведенного в рамках дипломного проекта, стала система защиты инфы компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ», а его задачей – выявление ее недочетов и способностей реализации угроз секретной инфы. Упор был изготовлен на исследование функционирования информационной системы организации.
Целью исследования, также и дипломного проекта, стала разработка комплекса мер (советов) по улучшению системы защиты инфы организации на базе выделенных типов угроз и определение приоритетных направлений ее развития на базе анализа надежности приобретенной системы защиты.
Практическая значимость дипломного проекта заключается в реализации разработанного комплекса мер по защите инфы в деятель ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ», также в предстоящем развитии системы защиты инфы по выделенным в процессе работы фронтам, что дозволит значительно понизить информационные опасности в дальнейшем.
1 Описание компании
1.1 Общие сведения о предприятии ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
Открытое акционерное общество «РОСТСТРОЙ» образовано в 1993г. ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ» является предприятием стройиндустрии, осуществляющим свою деятельность на строительном рынке по принципу холдинга. В структуру компании входят несколько собственных подразделений, каждое из которых делает определенный круг задач, что дозволяет производить полный цикл услуг, от производства строй материалов и строительства, до транспортных услуг.
За период собственной долголетней истории, предприятие специализировалось не только лишь на выполнении ремонтно-строительных работ, обслуживании и ремонте оборудования, но также и на производстве столярных и железных изделий. Развиваясь и меняясь совместно с рынком строй услуг, постоянным остается высочайшее свойство выполняемых работ. на данный момент ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ» имеет возможность делать работы по строительству, ремонту и реконструкции объектов штатского строительства, жилищно-коммунального хозяйства, также энергетического и металлургического комплексов.
В ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ» работает команда высококвалифицированных профессионалов с не малым опытом работы. Тут имеется собственный штат строителей, монтажников металлоконструкций, теплоизолировщиков, футеровщиков, промышленных альпинистов, кровельщиков, газо- и электросварщиков, потому данное предприятие можем отменно реализовывать проекты хоть какой трудности в кратчайшие сроки. наличие своей производственной базы дозволяет удачно делать любые поставленные заказчиком задачки.
1.2 Главные направления деятель ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
Предприятие ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ» обеспечивает:
1. Создание ЖБИ, бетона, бетонного раствора
Создание бетонных, железобетонных изделий, металлоконструкций хоть какой трудности, опалубки, товарного бетона, строительного раствора. За период существования производства освоен фактически весь комплекс типовых железобетонных, бетонных изделий штатского жилищного строительства (плиты, перекрытия шириной 1,2 и 1,5м, дорожные плиты, плиты фундаментов, лестничные марши, площадки, перемычки всех типов, телефонные колодцы, промзабор, прогоны, сваи до 12м, ж/б колодцы и др.). Продукция завода поставляется на объекты штатского, жилищного строительства, на стройку неповторимых сооружений культурно — общественного предназначения.
2. Создание и установка частей фасада: оконные системы (окна из ПВХ и дюралевого профиля), воротные системы проектирование, изготовка, установка светопрозрачных конструкций хоть какой трудности из дюралевого и ПВХ-профиля (окна, двери, витражи, фасады спостроек, крышные конструкции, фонари, зимние сады, остекление балконов и лоджий, в том числе раздвижных, офисные перегородки); ворота всех типов: подъемно-поворотные, секционные, распашные, сдвижные, кованные, роллеты.
3. Создание тротуарной плитки: предприятие производит тротуарную плитку разных типоразмеров. Широкий ассортимент производимой плитки (также формы, цветовые решения, элементы фактуры и декора) и высочайшее свойство и надежность в эксплуатации, отвечают современным требованиям хоть какого объекта строительства.
4. Стройку: подрядная деятельность, создание строительно-монтажных работ, ремонтно-восстановительных работ, строительная реконструкция. ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ» делает общестроительные работы, реконструкцию промышленных комплексов, спостроек, сооружений, объектов жилища, социально-бытового предназначения по всему диапазону строй работ.
5. Транспорт: вместе с созданием строй материалов и строительной Деятельностью данное предприятие организует поставки жби (строй материалов) и бетонных смесей на любые объекты строительства на местности Ростовской области. Предприятие имеет в собственном распоряжении свой спец авто парк, снаряженный в согласовании с современными требованиями, это дозволяет производить полный комплекс автотранспортных услуг. Отличительные индивидуальности: мобильность и оперативность.
1.3 структура компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
Организационная структура компании – совокупа управленческих звеньев находящихся в серьезной соподчиненности взаимосвязанных и взаимодействующих меж собой. Организационная структура компании описывает область ответственности и многофункциональную значимость всякого элемента входящего в состав данной структуры.
В структуре строительного компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ» все есть отделы и службы, любой из которых верно делает свою функцию, при полном содействии со всеми подразделениями компании. И, естественно же, квалифицированные спецы, руками которых производятся работы. Таковая структура компании дозволяет удачно и отменно делать работы сразу на нескольких объектах.
структура строительного компании располагает всеми спецами для производства общестроительных и специализированных работ.
Компанияимеет мощный инженерно-технический персонал, который способен решать сложнейшие производственные, технологические и конструкторские задачки.
В распоряжении компании также имеется проектный отдел. Технические решения проекта разрабатываются исходя из технологий, прогрессивных характеристик расхода главных материалов и трудозатратности строительства.
Рис.1структура компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
Набросок 1 — структура компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
1.4 Структура сети компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
Набросок 2 — структура сети с подключением устройств защиты компании
ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
1.5 Информационные потоки компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
Информационными потоками – именуется строго определенная последовательность циклов передвижения инфы на предприятии.
В главном деятельность служащих в сети сводится к работе с базами данных, внедрением инфы лежащей на Web-сервере, работа с веб протоколами. В связи с сиим можно отдать последующую систематизацию информационных потоков:
· Пакеты огромных размеров — (Web Server)
· Пакеты средних размеров — (DataBase)
· Пакеты малых размеров — (POPmail, SMTPmail)
Набросок 3 — Информационные потоки компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
2 Аудит информационной сохранности и необходимость его проведения
В истинное время информация является одним из самых ценных ресурсов в хоть какой компании (организации, предприятии), а для неких — и главным производственным ресурсом, ведь от сохранности инфы и бесперебойного доступа к ней часто зависят принципиальные технологические и бизнес-процессы. Но с развитием информационных технологий также быстро увеличивается риск утечки инфы, наружного вмешательства в работу информационно-телекоммуникационной системы (ИТС), инфецирование вирусами. Принципиально обдумывать реальное состояние защищенности ценных ресурсов ИТС, чтоб противостоять наружным и внутренним угрозам ее сохранности. В этом настоящую помощь может оказать независящее исследование состояния сохранности ИТС – аудит сохранности.
Аудит информационной сохранности — это системный процесс получения беспристрастных высококачественных и количественных оценок текущего состояния корпоративной ИТС в согласовании с аспектами информационной сохранности.
Для того чтоб оценить реальное состояние защищенности ресурсов ИТС и ее способность противостоять наружным и внутренним угрозам сохранности, нужно часто проводить аудит информационной сохранности.
Аудит информационной сохранности можно поделить на два вида:
— экспертный аудит информационной сохранности, в процессе которого выявляются недочеты в системе мер защиты инфы на базе опыта профессионалов, участвующих в процедуре аудита;
— аудит информационной сохранности на соответствие интернациональному эталону ISO/IEC 27001:2005 «Информационные технологии. Способы обеспечения сохранности. Системы менеджмента информационной сохранности. Требования», разработанному Интернациональной организацией по стандартизации (ISO) и Интернациональной электротехнической комиссией (IEC) на базе английского эталона BS 7799-2:2002 «Системы управления информационной сохранностью. Спецификация и управление по применению».
В число задач, которые решаются в процессе проведения аудита информационной сохранности входят:
— сбор и анализ начальных данных о организационной и многофункциональной структуре ИТС организации, нужных для оценки состояния информационной сохранности;
— анализ имеющейся политики обеспечения информационной сохранности на предмет полноты и эффективности;
— анализ информационных и технологических рисков связанных с воплощением угроз информационной сохранности;
— воплощение тестовых попыток несанкционированного доступа к критически принципиальным узлам ИТС и определение уязвимости в установках защиты данных узлов;
— формирование советов по разработке (либо доработке) политики обеспечения информационной сохранности на основании анализа имеющегося режима информационной сохранности;
— формирование предложений по использованию имеющихся и установке доп средств защиты инфы для увеличения уровня надежности и сохранности ИТС организации.
Цель проведения экспертного аудита информационной сохранности — оценка состояния сохранности ИТС и разработка советов по применению комплекса организационных мер и программно-технических средств, направленных на обеспечение защиты информационных и остальных ресурсов ИТС от угроз информационной сохранности.
Экспертный аудит информационной сохранности является исходным шагом работ по созданию всеохватывающей системы защиты инфы ИТС. Эта подсистема представляет собой совокупа мер организационного и программно-технического уровня, которые ориентированы на защиту информационных ресурсов ИТС от угроз информационной сохранности, связанных с нарушением доступности, целостности и конфиденциальности хранимой и обрабатываемой инфы.
Экспертный аудит информационной сохранности дозволяет принять обоснованные решения по использованию мер защиты, нужных для раздельно взятой организации, хороших в соотношении их цены и способности воплощения угроз нарушения информационной сохранности.
Аудит информационной сохранности на соответствие интернациональному эталону ISO/IEC 27001:2005 представляет собой список требований к системе менеджмента информационной сохранности (СМИБ), неотклонимых для сертификации. Эталон устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной СМИБ в контексте имеющихся бизнес-рисков организации.
Таковым образом, результатом проведенного аудита на соответствие интернациональному эталону ISO/IEC 27001:2005 является:
— описание области деятельности СМИБ;
— методику определения существенных активов;
— перечень (опись, реестр) существенных активов организации и их Ценность (критичность);
— методику оценки рисков;
— отчет по оценке рисков;
— аспекты для принятия рисков;
— заявление о принятии (одобрении) остаточных рисков;
— план обработки рисков;
— перечень политик, руководств, процедур, инструкций, нужных для функционирования СМИБ организации. Советы по их разработке.
2.1 Шаги проведения всеохватывающего аудита сохранности ИС
· Информационное обследование ИС.
· анализ соответствия предъявляемым требованиям.
· Инструментальное исследование частей инфраструктуры компьютерной сети и корпоративной информационной системы.
· Анализ уязвимостей и оценка рисков.
· Советы по результатам организационно-технического анализа системы ИБ компании.
По желанию Заказчика быть может проведен аудит по отдельным видам работ, по отдельным объектам ИС (ЛВС, периметр защиты ИС, автоматические системы) или выполнены доп работы:
· Анализ документооборота компании группы «коммерческая потаенна» на соответствие требованиям нормативных документов отраслевого, федерального уровня и внутренним требованиям компании по обеспечению.
· Предпроектное обследование объектов информатизации.
· Испытания на проникновение.
3 анализ системы сохранности компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ»
3.1 анализ имеющейся системы инженерно-технической защиты инфы. Список разработанных советов по увеличению эффективности системы инженерно-технической защиты инфы
На предприятии осуществлено огораживание местности заборами, улучшенными при помощи нескольких валиков скрученной колющейся проволоки, часто осуществляется обход местности завода сторожами, средства видеонаблюдения отсутствуют, употребляется система дежурного и аварийного охранного освещения.
На предприятии употребляется подсистема контроля и управления доступом.
Подсистема контроля и управления доступом (СКУД) представляет собой совокупа организационных мер, оборудования и устройств, инженерно-технических сооружений, алгоритмов и программ, которая автоматом делает в определенных точках объекта в данные моменты времени, последующие главные задачки:
— разрешает проход уполномоченным субъектам (сотрудникам, гостям, транспорту);
— воспрещает проход всем остальным.
объект разбит на зоны доступа, в каждую из которых имеет Право проходить строго определенные лица (субъекты). Для доступа в зоны субъекту нужно пройти набор точек доступа. В каждой точке доступа установлены считыватели и преграждающие устройства.
На предприятии имеются две проходные, оборудованные двустворчатыми воротами с шириной проезда 6 метров. Через одну из их осуществляется проход персонала и проезд на личном автотранспорте к зданию администрации. Доступ на местность компании осуществляется средством смарт-карт. Смарт-карта представляет собой пластиковую карточку, по размерам подобающую обыкновенной кредитной карточке, в которую заключены инфы, постоянную память, в которую зашиты команды для микропроцессора, оперативную память, применяемую в качестве рабочей, и перезаписываемую память для чтения и записи инфы снаружи.
Для контроля над Деятельностью персонала на контрольно-пропускном пт установлена система контроля доступа, состоящая из считывателя карт, контроллера обработки инфы от считывателя, также программного обеспечения (с индивидуальным компом) для ведения непрерывного протокола событий обо всех действиях персонала.
К системе контроля доступа подключены шлагбаум, и турникеты что дозволяет открывать шлагбаум автоматом при поднесении карточки к считывателю.
На входе установлены два турникета и четыре считывателя – на вход и на выход. Для прохода через турникет сотруднику нужно поднести карточку к соответственному считывателю. Все считыватели подключены к контроллерам системы контроля доступа, которые принимают решение о допуске служащих, также ведут непрерывный протокол всех событий.
2-ая проходная создана для грузового транспорта. В конкретной близости от проходной размещена стоянка грузовых каров, где и осуществляется погрузка-разгрузка материалов.
Доступ на местность компании через вторую проходную осуществляется при помощи системы пропусков. Пропуск выписывается заблаговременно. Муниципальные номера автотранспорта, цель прибытия, время погрузки и разгрузки фиксируются в особом журнальчике.
В здании администрации организована система охранной сигнализации: на окна и входные двери установлены особые устройства, передающие сигнал волнения при открывании, в почти всех помещениях установлены датчики движения.
Разработанные советы:
1. Организовать на предприятии охранное телевидение.
2. Оборудовать входные двери особыми замками, позволяющими регулировать доступ в помещения.
3. Поменять и установить армированную колющуюся ленту на определенных участках периметра.
4. Установить противотаранное устройство на проходной для автотранспорта.
5. Поменять двустворчатые ворота на проходной для автотранспорта.
6. Установить устройство защиты телефонных линий в кабинете директора (Цикада М, Зевс, генератор Соната АВ 1М).
7. Установить устройство для защиты помещений от прослушивания через акустический и вибрационный каналы в помещении, созданном для секретных переговоров (Зевс, генератор ВГШ-103, виброакустический генератор SI-3001, шумогенератор PNG-200).
8.Употреблять технические средства для увеличения отказоустойчивости и защиты оборудования от сбоя электропитания (источники бесперебойного питания APCSmart 420 VA и источник бесперебойного питания IPPONPowerProBack 400 VA).
9. Употреблять программно-аппаратные средства криптографической защиты полосы конференцсвязи директора (аппаратно-программный комплекс шифрования (АПКШ) «Материк», аппаратно-программный криптографический комплекс «Верба» и «ШИП», аппаратно-программный комплекс ViPNet).
3.2 анализ имеющейся системы документооборота
. Список разработанных советов.
Документы, содержащие секретную информацию, обрабатываются в последующих отделах: бухгалтерия, отдел кадров, юридический одел, отдел сохранности. К ним относятся:
— бухгалтерский баланс;
— отчеты о прибылях и убытках в приложениях к балансу и налоговым декларациям;
— первичные документы (декларация по налогу на добавленную стоимость, платежные поручения, кассовые ордера, выписки банка, справки о состоянии расчетного счета, банковские гарантии и т.д.)
— сводные учетные документы;
— сведения бухгалтерских регистров;
— внутренняя отчетность;
— данные налогового и управленческого учета;
— плановые и фактические характеристики финансово-хозяйственной деятель;
— сведения о личных доходах всякого работника;
— сведения о долговых обязанностях компании, в том числе о размерах и критериях приобретенных кредитов и займов;
— механизм ценообразования (прямые Издержки, затратные расходы, норма прибыли);
— результаты исследования рынка, оценка состояния и перспектив развития рыночной конъюнктуры;
— сведения о рыночной стратегии компании и о уникальных способах продвижения продуктов;
— проекты прайс-листов и условия предоставления скидок;
— сведения о предполагаемых закупках, о приобретенных заказах и о размерах обоюдных поставок по длительным договорам;
— сведения о предприятии как о торговом партнере;
— данные обо всех контрагентах, деловых партнерах и соперниках компании, которые не содержатся в открытых источниках;
— торговые соглашения, которые по договоренности сторон числятся секретными;
— сведения о проведении, повестках денька и результатах служебных совещаний;
— сведения о подготовке и результатах переговоров с деловыми партнерами компании;
— состояние программного и компьютерного обеспечения компании;
— сведения о структуре производства, производственных мощностях, типах и размещении оборудования, припасах сырья, материалов, девайсов изделий и готовой продукции;
— направления и объемы инвестиций;
— плановые экономические характеристики;
— планы расширения либо свертывания производства разных видов продукции и их технико-экономические обоснования;
— сведения о новейших материалах и технологии их внедрения, о девайсов изделиях, которые присваивают продукции новейшие свойства;
— сведения о модернизации узнаваемых технологий, которая дозволяет повысить конкурентоспособность продукции;
— сведения о целях, задачках и программках многообещающих исследовательских работ;
— конструкционные свойства создаваемых изделий и характеристики разрабатываемых технологических действий (габариты, составляющие, режимы обработки и т. п.);
— индивидуальности конструкторско-технологических решений и дизайнерского дизайна, которые могут поменять Рентабельность изделий;
— условия тестов и черта оборудования, на котором они проводились.
При ознакомлении сторонних лиц с данными документами вероятны последующие последствия:
— разрыв (либо ухудшение) деловых отношений с партнерами;
— срыв переговоров, утрата прибыльных договоров;
— невыполнение договорных обязанностей;
— необходимость проведения доп рыночных исследовательских работ;
— отказ от решений, ставших неэффективными из-за огласки инфы, и, как следствие, денежные утраты, связанные с новенькими разработками;
— вред авторитету либо деловой репутации компании;
— наиболее твердые условия получения кредитов;
— трудности в снабжении и приобретении оборудования и т. д.
Система документооборота на предприятии заключается в последующем.
На предприятии различают три главных потока документации:
— входящие документы, поступающие из остальных организаций;
— исходящие документы, отправляемые в остальные организации;
— внутренние документы, создаваемые на предприятии и применяемые работниками компании в управленческом процессе.
Все документы, поступающие на предприятие, проходят первичную обработку, предварительное рассмотрение, регистрацию, рассмотрение управлением, передачу на выполнение.
Не вскрываются и передаются по предназначению документы с пометкой “лично”.
Предварительное рассмотрение документов проводится секретарем с целью распределения поступивших документов на:
— направляемые на рассмотрение руководителю компании;
— направляемые конкретно в структурные подразделения либо определенным исполнителям.
Без рассмотрения управляющим передаются по предназначению документы, содержащие текущую оперативную информацию либо адресованные в определенные подразделения. Это дозволяет высвободить управляющего компании от рассмотрения маленьких текущих вопросцев, решение по которым могут принимать ответственные исполнители.
На рассмотрение управления передаются документы, адресованные руководителю компании и документы, содержащие информацию по более принципиальным вопросцам деятель компании.
Если документ должен исполняться несколькими подразделениями либо должностными лицами, его размножают в подходящем количестве экземпляров.
Документы, подлежащие отправке в другую компанию, сортируют, упаковывают, оформляют как почтовое отправление и сдают в отделение связи.
Внутренние документы компании передаются исполнителям под расписку в регистрационной форме.
Регистрации подлежат все документы, требующие специального учета, выполнения и использования в справочных целях независимо от метода получения. Сам процесс регистрации — это снятие с документа характеристик (реквизитов) и занесение их в определённую регистрационную форму (журнальчик, ПЭВМ) для сотворения базы данных о документах учреждения.
Любой документ, отнесённый к числу регистрируемых, получает собственный регистрационный номер.
Документы регистрируются один раз. Регистрация внутренних документов проводится, децентрализовано по группам снутри отделов.
Для входящих, исходящих и внутренних документов ведутся раздельные регистрационные формы с самостоятельными регистрационными номерами.
К документам, содержащим секретную информацию, имеют доступ начальники отделов и их заместители. Все документы хранятся в столах у начальников отделов, передаются в остальные структурные подразделения лично начальником отдела либо его заместителем. Учет документов, содержащих секретную информацию, ведется совместно с учетом других документов. Доступ к документам в электрическом виде разграничен системой доступа к файлам.
Недочетами данной системы документооборота будет то, что нереально отследить точные маршруты прохождения документов и распределить поступающие документы по степени конфиденциальности. Секретный документ, проходя согласование, визирование у почти всех управляющих и в почти всех подразделениях, оказывается в руках огромного числа сторонних людей — секретарей, заместителей, помощников управляющих, не имеющих к нему прямого дела. Также человек, получивший доступ в кабинет начальника отдела, фактически беспрепятственно может ознакомиться с секретными документами, хранящимися в столе.
Нужен комплекс административных, процедурных и программно — аппаратных мер, направленных на минимизацию утечки инфы через служащих: уменьшить количество людей, допущенных к определенной инфы, до мало нужного, агрессивно разграничивать доступ к хранилищам инфы, надзирать, кто получил информацию, защищать процесс ее передачи.
Разработанные советы:
1.Сделать на предприятии сектор по работе с документами, содержащими секретную информацию.
2. Создать «Аннотацию по обеспечению сохранности коммерческих загадок на предприятии» (приложение А).
3.3Анализ имеющейся системы компьютерной сохранности
. Список разработанных советов по увеличению компьютерной сохранности
На предприятии существует локальная вычислительная сеть (ЛВС). ЛВС управляется операционной системой Windows 2000 Server.В качестве основного средства бухгалтерского учета на предприятии употребляется сетевая версия программки 1С, отлично зарекомендовавшая себя по всем чертам. программка поддерживается операционной системой Windows 98/2000/NT/ХР и сервисно обслуживается специально приготовленным для этого персоналом фирмы-продавца. Потому что ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ» имеет вертикальную структуру и буквально понятно, какой сотрудник и к какой инфы обязан иметь доступ, то на предприятии употребляется вариант сети с выделенным сервером. Лишь в таковой сети существует возможность администрирования прав доступа. Топология типа «звезда» представляет собой наиболее производительную структуру, любой комп, в том числе и , соединяется отдельным сектором кабеля с центральным концентратором (HAB). Главным преимуществом таковой сети является её устойчивость к сбоям, возникающим вследствие проблем на отдельных ПК (Персональный компьютер — компьютер, предназначенный для эксплуатации одним пользователем) либо из-за повреждения сетевого кабеля. установлен в особом помещении (серверной), которое удовлетворяет требованиям, другими словами уровень шума в помещении мал, помещение изолированно от остальных, как следует, доступ к серверу ограничен. В то же время наиболее комфортно проводить сервис сервера.Вся кабельная сеть проложена в пустоте меж фальш-полом и плитами перекрытия этажей.компы компании сгруппированы в рабочие группы, что дает два принципиальных достоинства сетевым админам и юзерам. Более принципиальное — серверы домена составляют единый административный блок, вместе использующий службу сохранности и информацию учетных карточек юзера. Любая рабочая группа имеет одну базу данных, содержащую учетные карточки юзера и групп, также установочные характеристики политики сохранности. Все серверы домена работают или как первичный контроллер домена, или как запасный контроллер домена, содержащий копию данной базы данных. Это значит, что админам необходимо управлять лишь одной учетной карточкой для всякого юзера, и любой юзер должен употреблять и держать в голове пароль лишь одной учетной карточки.Windows 2000 Server имеет средства обеспечения сохранности, интегрированные в операционную систему. Ниже рассмотрены более важные из их:1 Слежение за Деятельностью сети.Windows 2000 Server дает много инструментальных средств для слежения за сетевой Деятельностью и внедрением сети. ОС дозволяет просмотреть и узреть, какие ресурсы он употребляет узреть юзеров, присоединенных к истинному времени к серверу и узреть, какие файлы у их открыты; проверить данные в журнальчике сохранности; записи в журнальчике событий; и указать, о каких ошибках админ должен быть предупрежден, если они произойдут.2 Начало сеанса на рабочей станции.Каждый раз, когда юзер начинает сеанс на рабочей станции, экран начала сеанса запрашивает имя юзера, пароль и домен. Потом рабочая станция отправляет имя юзера и пароль в домен для идентификации. в домене инспектирует имя юзера и пароль в базе данных учетных карточек юзеров домена. Если имя юзера и пароль схожи данным в учетной карточке, уведомляет рабочую станцию о начале сеанса. также загружает другую информацию при начале сеанса юзера, как, к примеру, установки юзера, собственный каталог и переменные среды.По дефлоту не все учетные карточки в домене разрешают заходить в систему. Лишь карточкам групп админов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления запасным копированием разрешено это созодать.Для всех юзеров сети компании предвидено свое имя и пароль.3 Учетные карточки юзеров.Любой клиент, который употребляет сеть, имеет учетную карточку юзера в домене сети. Учетная карточка юзера содержит информацию о юзере, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать юзеров, которые имеют подобные ресурсы, в группы; группы упрощают предоставление прав и разрешений на ресурсы, довольно создать лишь одно действие, дающее права либо разрешения всей группе. Таблица 1 указывает содержимое учетной карточки юзера.
Таблица 1 — содержимое учетной карточки Учетная карточка юзера
Элемент учетной карточки
Комменты
Username
имя юзера
Неповторимое имя юзера, выбирается при регистрации.
Password
Пароль
Пароль юзера.
Full name
Полное имя
Полное имя юзера.
Logon hours
Часы начала сеанса
Часы, в течение которых юзеру позволяется заходить в систему. Они влияют на вход в систему сети и доступ к серверу. Так либо по другому, юзер обязан будет выйти из системы, когда его часы сеанса, определенные политикой сохранности, истекут.
Logon workstations
Рабочие станции
Имена рабочих станций, на которых юзеру позволяется работать. По дефлоту юзер может употреблять всякую рабочую станцию, но может быть введение ограничений.
Expiration date
Дата истечения срока
Дата в дальнейшем, когда учетную карточку автоматом исключают из базы, полезна при принятии на работу временных служащих.
Home directory
Свой каталог
Каталог на сервере, который принадлежит юзеру; юзер управляет доступом к этому каталогу.
Logon Script
Сценарий начала сеанса
Пакетный либо исполняемый файл, который запускается автоматом, когда юзера начинает сеанс.
Profile
Установки (характеристики)
файл, содержащий запись о параметрах среды десктопа юзера, о таковых, к примеру, как сетевые соединения, цвета экрана и установочные характеристики, определяющие, какие нюансы среды, юзер может поменять.
Account type
Тип учетной карточки
Тип учетной карточки – глобальный либо локальный.
4 журнальчик событий сохранности. Windows 2000 Server дозволяет найти, что войдет в ревизию и будет записано в журнальчик событий сохранности каждый раз, когда производятся определенные деяния либо осуществляется доступ к файлам. Элемент ревизии указывает выполненное действие, юзера, который выполнил его, также дату и время деяния. Это дозволяет надзирать как удачные, так и плохие пробы каких-то действий.журнальчик событий сохранности для критерий компании является неотклонимым, потому что в случае пробы взлома сети можно будет отследить источник.Таблица включает группы событий, которые могут быть выбраны для ревизии, также действия, покрываемые каждой группой. Таблица 2 — Группы событий для ревизии Категория
Действия
1
2
Начало и конец сеанса
Пробы начала сеанса, пробы конца сеанса; создание и окончание сетевых соединений к серверу
Доступ к файлам и объектам
Доступы к каталогу либо файлу, которые инсталлируются для ревизии в диспетчере файлов; внедрение принтера, управление компом
Внедрение прав юзера
Успешное внедрение прав юзера и плохие пробы употреблять права, не назначенные юзерам
Управление юзерами и группами
Создание, удаление и модификация учетных карточек юзера и групп
конфигурации полиса сохранности
Предоставление либо отменена прав юзера юзерам и группам, установка и разрыв связи доверия с иными доменами
Перезапуск, выключение и система
Остановка и перезапуск компа, наполнение контрольного журнальчика и отвержение данных проверки, если контрольный журнальчик уже полон
Трассировка процесса
Начало и остановка действий в компе
Для всякого юзера компании непременно инсталлируются свои права доступа к инфы, разрешение на копирование и восстановление файлов. 5 установка пароля и политика учетных карточек.Для домена можно найти все нюансы политики пароля: минимальную длину пароля (по дефлоту 6 знаков), малый и наибольший возраст пароля (по дефлоту устанавливается 14 и 30 дней) и исключительность пароля, который защищает юзера от конфигурации его пароля на тот пароль, который юзер употреблял не так давно (по дефлоту должен предохранить юзеров от повторного использования их крайних 3-х паролей).Дается возможность также найти и остальные нюансы политики учетных карточек:- обязана ли происходить блокировка учетной карточки;- должны ли юзеры против воли отключаться от сервера по истечении часов начала сеанса;- должны ли юзеры иметь возможность входа в систему, чтоб поменять собственный пароль.Когда разрешена блокировка учетной карточки, тогда учетная карточка блокируется в случае нескольких безуспешных попыток начала сеанса юзера, и не наиболее чем через определенный период времени меж хоть какими 2-мя безуспешными попытками начала сеанса. Учетные карточки, которые заблокированы, не могут быть применены для входа в систему. Блокировка учетной карточки непременно обязана быть установлена в предприятие, что бы предупредить пробы входа в систему.Если юзеры принудительно отключаются от серверов, когда время его сеанса истекло, то они получают предупреждение как раз перед концом установленного периода сеанса. Если юзеры не отключаются от сети, то произведет отключение принудительно. Часы сеанса в фирме установлены, потому что неприемлимо, чтоб сотрудники компании оставались на рабочем месте подольше установленного времени.Если от юзера требуется поменять пароль, то, когда он этого не сделал при просроченном пароле, он не сумеет поменять собственный пароль. При просрочке пароля юзер должен обратиться к админу системы за помощью в изменении пароля, чтоб иметь возможность опять заходить в сеть. Если юзер не заходил в систему, а время конфигурации пароля подошло, то он будет предупрежден о необходимости конфигурации, как он будет заходить. На предприятии доступ к сети веб имеют ограниченное число юзеров. При всем этом осуществляется защита вычислительных машин от вредных программ снаружи при помощи программного средства Антивирус Касперского PersonalPro, установленного на ЭВМ (Электронная вычислительная машина — комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач), имеющим доступ к сети веб. Разработанные советы:1. Потому что на рабочие станции установлены операционные системы различных версий (Windows от 95 до ХР), то лучше устанавливать антивирусные программки на любой комп. При всем этом почта будет проверяться на сервере (как это происходит в реальный момент), а интернет-трафик – на каждой отдельной рабочей станции.
2. Установить программку контроля соблюдения правил работы на индивидуальном компе.
3. Установить всепригодный замок для защиты корпуса ПЭВМ, на которых делается обработка секретной инфы, от несанкционированного вскрытия.
4. Установить систему санкционированного доступа на ПЭВМ, на которых делается обработка секретной инфы.
4 Современные способы и средства аудита информационной сохранности
Сейчас не вызывает колебаний необходимость вложений в обеспечение информационной сохранности современного большого бизнеса. Главный вопросец современного бизнеса — как оценить нужный уровень вложений в ИБ для обеспечения наибольшей эффективности инвестиций в данную сферу. Для решения этого вопросца существует лишь один метод — использовать системы анализа рисков, дозволяющие оценить имеющиеся в системе опасности и избрать лучший по эффективности вариант защиты (по соотношению имеющихся в системе рисков к затратам на ИБ).
По статистике, самым огромным препятствием на пути принятия каких-то мер по обеспечению информационной сохранности в компании являются две предпосылки:
— ограничение бюджета;
— отсутствие поддержки со стороны управления.
Обе предпосылки появляются из-за недопонимания управлением серьезности вопросца и трудности задачки для ИТ-менеджера доказать, для чего нужно вкладывать средства в информационную сохранность. Нередко считается, что основная неувязка состоит в том, что ИТ-менеджеры и руководители говорят на различных языках — техническом и финансовом, но ведь и самим ИТ-специалистам нередко тяжело оценить, на что издержать средства и сколько их требуется для обеспечения большей защищенности системы компании, чтоб эти расходы не оказались напрасными либо чрезмерными.
Если ИТ-Менеджерверно представляет, сколько компания может утратить средств в случае реализации угроз, какие места в системе более уязвимы, какие меры можно сделать для увеличения уровня защищенности и при всем этом не издержать излишних средств, и всё это доказано документально, то решение задачки уверить управление направить внимание и выделить средства на обеспечение информационной сохранности становится существенно наиболее настоящим.
Для решения данной задачки были разработаны программные комплексы анализа и контроля информационных рисков: английский CRAMM (компания Insight Consulting), южноамериканский RiskWatch (компания RiskWatch) и русский ГРИФ (компания Digital Security). Разглядим дальше данные способы и построенные на их базе программные системы.
4.1 Способ CRAMM
Способ CRAMM (CCTA Risk Analysis and Managment Method) был разработан Агентством по компам и телекоммуникациям Англии (Central Computer and Telecommunications Agency) по заданию Английского правительства и взят на вооружение в качестве муниципального эталона. Он употребляется, начиная с 1985 г , правительственными и коммерческими организациями Англии. За это время CRAMM заполучил популярность во всем мире. КомпанияInsight Consulting Limited занимается разработкой и сопровождением одноименного программного продукта, реализующего способ CRAMM.
В истинное время CRAMM — это достаточно мощнейший и всепригодный инструмент, позволяющий, кроме анализа рисков, решать также и ряд остальных аудиторских задач, включая:
— проведение обследования ИС и выпуск сопроводительной документации на всех шагах его проведения;
— проведение аудита в согласовании с требованиями Английского правительства, также эталона BS 7799:1995;
— разработка политики сохранности и плана обеспечения непрерывности бизнеса.
В базе способа CRAMM лежит полный подход к оценке рисков, сочетая количественные и высококачественные способы анализа. Способ является всепригодным и подступает как для огромных, так и для маленьких организаций, как правительственного, так и коммерческого сектора. Версии программного обеспечения CRAMM, направленные на различные типы организаций, различаются друг от друга своими базами познаний (profiles). Для коммерческих организаций имеется Коммерческий профиль (Commercial Profile), для правительственных организаций — Правительственный профиль (Government profile). Правительственный вариант профиля, также дозволяет проводить аудит на соответствие требованиям южноамериканского эталона ITSEC («Оранжевая книжка»).
Грамотное внедрение способа CRAMM дозволяет получать весьма отличные результаты, более принципиальным из которых, пожалуй, является возможность экономического обоснования расходов организации на обеспечение информационной сохранности и непрерывности бизнеса. Экономически обоснованная стратегия управления рисками дозволяет, в итоге, сберегать средства, избегая неоправданных расходов.
CRAMM подразумевает разделение всей процедуры на три поочередных шага. Задачей первого шага является ответ на вопросец: «Довольно ли для защиты системы внедрения средств базисного уровня, реализующих классические функции сохранности, либо нужно проведение наиболее детализированного анализа?» На втором шаге делается идентификация рисков и оценивается их величина. На 3-ем шаге решается вопросец о выборе адекватных контрмер.
методика CRAMM для всякого шага описывает набор начальных данных, последовательность мероприятий, анкеты для проведения интервью, списки проверки и набор отчетных документов.
На первой стадии исследования делается идентификация и определение ценности защищаемых ресурсов.
Оценка делается по десятибалльной шкале, при этом критериев оценки быть может несколько — денежные утраты, утраты репутации и т.д.
При низкой оценке по всем применяемым аспектам (3 балла и ниже) считается, что рассматриваемая система просит базисного уровня защиты (для этого уровня не требуется подробной оценки угроз ИБ) и 2-ая стадия исследования пропускается.
На 2-ой стадии идентифицируются и оцениваются опасности в сфере информационной сохранности, делается поиск и оценка уязвимостей защищаемой системы. Уровень угроз оценивается по последующей шкале: весьма высочайший, высочайший, средний, маленький, весьма маленький. Уровень уязвимости оценивается как высочайший, средний либо маленький. На базе данной инфы рассчитывается оценка уровня риска по семибальной шкале.
На третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам. Продукт дает советы последующих типов:
— советы общего нрава;
— определенные советы;
— примеры того, как можно организовать защиту в данной ситуации.
CRAMM имеет необъятную базу, содержащую описание около 1000 примеров реализации подсистем защиты разных компьютерных систем. Данные описания можно употреблять в качестве шаблонов.
Решение о внедрении в систему новейших устройств сохранности и модификация старенькых воспринимает управление организации, беря во внимание связанные с сиим расходы, их приемлемость и конечную выгоду для бизнеса. Задачей аудитора является обоснование рекомендуемых контрмер для управления организации.
В случае принятия решения о внедрении новейших контрмер и модификации старенькых, на аудитора быть может возложена задачка подготовки плана внедрения новейших контрмер и оценки эффективности их использования. Решение этих задач выходит за рамки способа CRAMM.
К недочетам способа CRAMM можно отнести последующее:
— внедрение способа CRAMM просит специальной подготовки и высочайшей квалификации аудитора;
— CRAMM в еще большей степени подступает для аудита уже имеющихся ИС, находящихся на стадии эксплуатации, нежели чем для ИС, находящихся на стадии разработки;
— аудит по способу CRAMM — процесс довольно трудозатратный и может востребовать месяцев непрерывной работы аудитора;
— программный инструментарий CRAMM генерирует огромное количество картонной документации, которая не постоянно оказывается полезной на практике;
— CRAMM не дозволяет создавать собственные шаблоны отчетов либо видоизменять имеющиеся;
— возможность внесения дополнений в базу познаний CRAMM не доступна юзерам, что вызывает определенные трудности при адаптации этого способа к потребностям определенной организации;
— программное обеспечение CRAMM существует лишь на британском языке;
— стоимость лицензии от 2000 до 5000 долл.
4.2 Программное обеспечение RiskWatch
Программное обеспечение RiskWatch является массивным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения разных видов аудита сохранности. Оно содержит в себе последующие средства аудита и анализа рисков:
— RiskWatch for Physical Security — для физических способов защиты ИС;
— RiskWatch for Information Systems — для информационных рисков;
— HIPAA-WATCH for Healthcare Industry — дляоценкисоответствиятребованиямстандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);
— RiskWatch RW17799 for ISO 17799 — для оценки требованиям эталона ISO 17799.
В способе RiskWatch в качестве критериев для оценки и управления рисками употребляются пророчество годичных утрат (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).
Семейство программных товаров RiskWatch имеет массу плюсов. RiskWatch помогает провести анализ рисков и создать обоснованный выбор мер и средств защиты. Применяемая в программке методика содержит в себе 4 фазы.
В отличие от CRAMM, программка RiskWatch наиболее нацелена на точную количественную оценку соотношения утрат от угроз сохранности и издержек на создание системы защиты. Нужно также отметить, что в этом продукте опасности в сфере информационной и физической сохранности компьютерной сети компании рассматриваются вместе.
В базе продукта RiskWatch находится методика анализа рисков, которая состоит из 4 шагов.
1-ый шаг — определение предмета исследования. тут описываются такие характеристики, как тип организации, состав исследуемой системы (в общих чертах), базисные требования в области сохранности. Для облегчения работы аналитика, в шаблонах, соответственных типу организации («коммерческая информационная система», «муниципальная/военная информационная система» и т.д.), есть списки категорий защищаемых ресурсов, утрат, угроз, уязвимостей и мер защиты. Из их необходимо избрать те, что реально находятся в организации.
к примеру, группы утрат:
— Задержки и отказ в обслуживании;
— Раскрытие инфы;
— Прямые утраты (к примеру, от поражения оборудования огнем);
— жизнь и здоровье (персонала, заказчиков и т.д.);
— Изменение данных;
— Косвенные утраты (к примеру, Издержки на восстановление);
— Репутация.
2-ой шаг — ввод данных, описывающих определенные свойства системы. Данные могут вводиться вручную либо импортироваться из отчетов, сделанных инструментальными средствами исследования уязвимости компьютерных сетей.
На этом шаге:
1. Тщательно описываются ресурсы, утраты и классы инцидентов. Классы инцидентов получаются методом сравнения группы утрат и группы ресурсов.
Для выявления вероятных уязвимостей употребляется опросник, база которого содержит наиболее 600 вопросцев. Вопросцы соединены с категориями ресурсов.
2. Задается частота появления каждой из выделенных угроз, степень уязвимости и Ценность ресурсов. Все это употребляется в предстоящем для расчета эффекта от внедрения средств защиты.
3-ий и, наверняка, самый принципиальный шаг — численная оценка. На этом шаге рассчитывается профиль рисков, и выбираются меры обеспечения сохранности. Поначалу инсталлируются связи меж ресурсами, потерями, опасностями и уязвимостями, выделенными на прошлых шагах исследования (риск описывается совокупой этих 4 характеристик).
Практически, риск оценивается при помощи математического ожидания утрат за год. к примеру, если стоимость сервера $150000, а возможность того, что он будет уничтожен пожаром в течение года, равна 0.01, то ожидаемые утраты составят $1500.
Общеизвестная формула (m=p*v , где m-математическое ожидание, p — возможность появления опасности, v — стоимость ресурса) перетерпела некие конфигурации, в связи с тем, что RiskWatch употребляет определенные южноамериканским институтом эталонов NIST оценки, именуемые LAFE и SAFE. LAFE (Local Annual Frequency Estimate) — указывает, сколько раз в год в среднем данная угроза реализуется в данном месте (к примеру, в городке). SAFE (Standard Annual Frequency Estimate) — указывает, сколько раз в год в среднем данная угроза реализуется в данной «части мира» (к примеру, в Северной Америке). Вводится также поправочный коэффициент, который дозволяет учитывать, что в итоге реализации опасности защищаемый ресурс быть может уничтожен не на сто процентов, а лишь отчасти.
Добавочно рассматриваются сценарии «что если», которые разрешают обрисовать подобные ситуации при условии внедрения средств защиты. Сравнивая ожидаемые утраты при условии внедрения защитных мер и без их можно оценить эффект от таковых мероприятий.
RiskWatch содержит в себе базы с оценками LAFE и SAFE, также с обобщенным описанием разных типов средств защиты.
4-ый шаг — генерация отчетов. Типы отчетов:
1. Короткие итоги.
2. Полные и короткие отчеты о элементах, обрисованных на стадиях 1 и
3. отчет от цены защищаемых ресурсов и ожидаемых потерях от реализации угроз.
4. отчет о опасностях и мерах противодействия.
5. Отчет о результатах аудита сохранности.
Таковым образом, рассматриваемое средство дозволяет оценить не только лишь те опасности, которые на данный момент есть у компании, да и ту выгоду, которую может принести внедрение физических, технических, программных и иных средств и устройств защиты. Приготовленные отчеты и графики дают материал, достаточный для принятия решений о изменении системы обеспечения сохранности компании.
Для российских юзеров неувязка состоит в том, что получить применяемые в RiskWatch оценки (такие как LAFE и SAFE) для наших критерий довольно проблематично. Хотя сама методология может с фуррором применяться и у нас.
Подводя результат, можно отметить, что определенную методику проведения анализа рисков на предприятии и инструментальные средства, поддерживающие ее, необходимо выбирать, беря во внимание последующие причины:
1. наличие профессионалов, способных отдать достоверные оценки размера утрат от угроз информационной сохранности;
2. наличие на предприятии достоверной статистки по инцидентам в сфере информационной сохранности;
3. Нужна ли четкая численная оценка последствий реализации угроз либо довольно оценки на высококачественном уровне.
К недочетам RiskWatch можно отнести:
1. Таковой способ подступает, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных причин.
2. Приобретенные оценки рисков (математическое ожидание утрат) далековато не исчерпывает осознание риска с системных позиций — способ не учитывает полный подход к информационной сохранности.
3. Программное обеспечение RiskWatch существует лишь на британском языке.
4. Высочайшая стоимость лицензии (от 10 000 долл. за одно рабочее пространство для маленькой компании).
4.3 Всеохватывающая система анализа и управления рисками ГРИФ
ГРИФ — всеохватывающая система анализа и управления рисками информационной системы компании. ГРИФ 2005 из состава Digital Security Office дает полную картину защищенности информационных ресурсов в системе и дозволяет избрать лучшую стратегию защиты инфы компании.
Система ГРИФ:
1. Анализирует уровень защищенности всех ценных ресурсов компании
2. Оценивает вероятный вред, который понесет компания в итоге реализации угроз информационной сохранности
3. Дозволяет отлично управлять рисками с помощью выбора контрмер, более хороших по соотношению стоимость/свойство
Как работает система ГРИФ:
Система ГРИФ 2005 предоставляет возможность проводить анализ рисков информационной системы с помощью анализа модели информационных потоков, также, анализируя модель угроз и уязвимостей — зависимо от того, какими начальными данными располагает юзер, также от того, какие данные заинтересовывают юзера на выходе.
Модель информационных потоков
При работе с моделью информационных потоков в систему вносится полная информация обо всех ресурсах с ценной информацией, юзерах, имеющих доступ к сиим ресурсам, видах и правах доступа. Заносятся данные обо всех средствах защиты всякого ресурса, сетевые связи ресурсов, также свойства политики сохранности компании. В итоге выходит полная модель информационной системы.
Шаг 1.
На первом шаге работы с программкой юзер заносит все объекты собственной информационной системы: отделы, ресурсы (специфическими объектами данной модели являются сетевые группы, сетевые устройства, виды инфы, группы юзеров, бизнес-процессы).
Шаг 2.
Дальше юзеру нужно проставить связи, т.е. найти к каким отделам и сетевым группам относятся ресурсы, какая информация хранится на ресурсе, и какие группы юзеров имеют к ней доступ. Также юзер системы показывает средства защиты ресурса и инфы.
Шаг 3.
На оканчивающем шаге юзер отвечает на перечень вопросцев по политике сохранности, реализованной в системе, что дозволяет оценить настоящий уровень защищенности системы и детализировать оценки рисков.
Наличие средств информационной защиты, отмеченных на первом шаге, {само по себе} еще не делает систему защищенной в случае их неадекватного использования и отсутствия всеохватывающей политики сохранности, учитывающей все нюансы защиты инфы, включая вопросцы организации защиты, физической сохранности, сохранности персонала, непрерывности ведения бизнеса и т.д.
В итоге выполнения всех действий по данным шагам, на выходе сформирована полная модель информационной системы исходя из убеждений информационной сохранности с учетом настоящего выполнения требований всеохватывающей политики сохранности, что дозволяет перейти к программному анализу введенных данных для получения всеохватывающей оценки рисков и формирования итогового отчета.
Модель угроз и уязвимостей
Работа с моделью анализа угроз и уязвимостей предполагает определение уязвимостей всякого ресурса с ценной информацией, и подключение соответственных угроз, которые могут быть реализованы через данные уязвимости. В итоге выходит полная картина того, какие слабенькие места есть в информационной системе и тот вред, который быть может нанесен.
Шаг 1.
На первом шаге работы с продуктом юзер заносит объекты собственной информационной системы: отделы, ресурсы (специфическими объектами для данной модели: опасности информационной системы, уязвимости, через которые реализуются опасности).
Система ГРИФ 2005 содержит необъятные интегрированные сборники угроз и уязвимостей. Для заслуги наибольшей полноты и универсальности данных каталогов, профессионалами Digital Security была разработана особая систематизация угроз, в какой реализован долголетний практический опыт в области информационной сохранности. Используя сборники угроз и уязвимостей, юзер может избрать опасности и уязвимости, относящиеся к его информационной системе. Сборники содержат около 100 угроз и 200 уязвимостей.
Шаг 2.
Дальше юзеру нужно проставить связи, т.е. найти к каким отделам относятся ресурсы, какие опасности действуют на ресурс и через какие уязвимости они реализуются.
метод системы ГРИФ 2005 анализирует построенную модель и генерирует отчет, который содержит значения риска для всякого ресурса. Конфигурации отчета быть может фактически хоть какой, таковым образом, позволяя юзеру создавать как короткие отчеты для управления, так и детальные отчеты для предстоящей работы с плодами.
Система ГРИФ 2005 содержит модуль управления рисками, который дозволяет проанализировать все предпосылки того значения риска, который выходит опосля обработки методом занесенных данных. Таковым образом, зная предпосылки, Вы будете владеть всеми данными, необходимыми для реализации контрмер и, соответственно, понижения уровня риска. Благодаря расчету эффективности каждой вероятной контрмеры, также определению значения остаточного риска, Вы можете избрать более рациональные контрмеры, которые дозволят понизить риск до нужного уровня с меньшими затратами.
В итоге работы с системой ГРИФ строится подробный отчет о уровне риска всякого ценного ресурса информационной системы компании, все предпосылки риска с подробным анализом уязвимостей и оценкой экономической эффективности всех вероятных контрмер.
Наилучшие мировые практики и ведущие международные эталоны в области информационной сохранности, а именно ISO 17799, требуют для действенного управления сохранностью информационной системы внедрения системы анализа и управления рисками.
При всем этом можно употреблять любые комфортные инструментальные средства, но, основное — постоянно верно осознавать, что система информационной сохранности сотворена на базе анализа информационных рисков, испытана и обусловлена. анализ и управление информационными рисками — главный фактор для построения действенной защиты информационной системы.
5 Охрана труда и сохранность жизнедеятельности
5.1 Охрана труда
Охрана труда – система законодательных актов, постановлений, организационных, санитарных и технических мер, обеспечивающих неопасные для здоровья условия труда на рабочем месте. Научно-технический прогресс занес конфигурации в условия производственной деятель работников интеллектуального труда. Их труд стал наиболее интенсивным, напряженным, требующим издержек интеллектуальной, чувственной и физической энергии. Это имеет непосредственное отношение и к спецам, связанным с проектированием, разработкой, эксплуатацией, сопровождением и модернизацией автоматических систем управления различного предназначения.
На рабочем месте спеца по ИБ должны быть сделаны условия для высокопроизводительного труда. Спеца по ИБ АРМ испытывает значительную нагрузку, как физическую (сидящее положение, перегрузка на глаза), так и интеллектуальную, что приводит к понижению его трудоспособности к концу рабочего денька.
Есть нормативы, определяющие удобные условия и максимально допустимые нормы запыленности, температуры воздуха, шума, освещенности. В системе мер, обеспечивающих подходящие условия труда, огромное пространство отводится эстетическим факторам: оформление производственного интерьера, оборудования, применение многофункциональной музыки и др., которые оказывают определенное действие на организм человека. Важную роль играет расцветка помещений, которая обязана быть светлой. В данном разделе дипломного проекта рассчитывается нужная освещенность рабочего места и информационная перегрузка спеца по ИБ.
Развитию утомляемости на производстве содействуют последующие причины:
— некорректная эргономическая организация рабочего места, нерациональные зоны размещения оборудования по высоте от пола, по фронту от оси симметрии и т.д.;
— нрав протекания труда.
Трудовой процесс организован таковым образом, что спеца по ИБ обязан с первых минут рабочего денька решать более сложные и трудозатратные задачки, в то время как в 1-ые минутки работы многофункциональная подвижность мозг важной для организма информаци) клеток мозга (центральный отдел нервной системы животных и человека) мала. Принципиальное работы иными.
Одним из главных вопросцев охраны труда является организация оптимального освещения производственных помещений и рабочих мест.
Для освещения помещения, в каком работает спеца по ИБ, употребляется смешанное освещение, т.е. сочетание естественного и искусственного освещения.
Естественное освещение – осуществляется через окна в внешних стенках строения.
Искусственное освещение – употребляется при недостающем естественном освещении и осуществляется при помощи 2-ух систем: общего и местного освещения. Общим именуют освещение, осветительные приборы которого освещают всю площадь помещения. Местным именуют освещение, созданное для определенного рабочего места.
Для помещения, где находится рабочее пространство оператора, употребляется система общего освещения.
Нормами для данных работ установлена нужная освещенность рабочего места ЕН=300 лк (для работ высочайшей точности, когда меньший размер объекта различения равен 0.3 – 0.5 мм).
Для исключения засветки экранов мониторов прямыми световыми потоками осветительные приборы общего освещения располагают сбоку от рабочего места, параллельно полосы зрения оператора и стенке с окнами.
Не считая того, нужно в течение 8-ми часового рабочего денька предугадать один часовой перерыв на обед, 5-ти минутные перерывы любые полчаса и 15-ти минутные перерывы любые 1.5 – 2 часа. работу нужно организовать таковым образом, чтоб более сложные задачки решались с 11:00 до 16:00 – в период большей активности человека, а не сначала денька, когда оператор еще не достигнул наибольшей активности, и не в конце денька, когда уже развивается утомление.
Потому что работа спеца по ИБ не связана с решением больших логических задач и довольно монотонна, то рекомендуется по способности чередовать виды деятельности.
5.2 Сохранность жизнедеятельности
Принципиальным моментом в комплексе мероприятий направленных на улучшение критерий труда являются мероприятия по охране труда. Сиим вопросцам с каждым годом уделяется все большее внимание, т.к. забота о здоровье человека стала не только лишь делом гос значимости, да и элементом конкуренции работодателей в вопросце вербования кадров. Для удачного воплощения в жизнь всех мероприятий по охране труда нужны познания в области физиологии (Физиология от греч. — природа и греч. — знание — наука о сущности живого) труда, которые разрешают верно организовать процесс трудовой деятельности человека.
В данном разделе дипломного проекта освещаются главные вопросцы техники сохранности и экологии труда.
Состояние критерий труда студента и его сохранности, на нынешний денек, еще не удовлетворяют современным требованиям.
Студент сталкиваются с действием таковых на физическом уровне небезопасных и вредных производственных причин, как завышенный уровень шума, завышенная температура наружной среды, отсутствие либо недостающая освещенность рабочей зоны, электронный ток, статическое электричество и остальные.
Почти все студенты соединены с действием таковых психофизических причин, как интеллектуальное перенапряжение, перенапряжение зрительных и слуховых анализаторов, монотонность труда, чувственные перегрузки. действие обозначенных неблагоприятных причин приводит к понижению работоспособности, вызванное развивающимся утомлением. Возникновение и развитие утомления соединено с переменами, возникающими во время работы в центральной нервной системе, с тормозными действиями в коре головного мозга (центральный отдел нервной системы животных и человека).
Мед обследования студентов проявили, что кроме понижения производительности труда высочайшие уровни шума приводят к ухудшению слуха. Долгое нахождение человека в зоне комбинированного действия разных неблагоприятных причин может привести к проф заболеванию.
6 Экономическое обоснование
6.1 Расчет серьезных вложений
6.1.1 Серьезные вложения, нужные для реализации данного проекта, определяются по формуле (1):
К=Кобор
+Кт
(1)
где Кобор
– стоимость оборудования;
Кт
– транспортные и заготовительно-складские расходы;
6.1.2 Расчет цены оборудования показан в таблице 3:
Таблица 3 – Расчет цены оборудования
Наименования
количество, шт
Стоимость, руб.
Сумма, руб.
монитор
1
6 880
6 880
Системный блок
1
12 390
12 390
Мышь
1
230
230
клавиатура
1
520
520
ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств) RiskWatch
1
25 000
25 000
ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств) ViPNet
1
20 000
20 000
антивирус Kaspersky
1
1 800
1 800
Итого:
66 820
6.1.3 Определяем транспортные и заготовительно-складские расходы:
Кт
=66 820*0,05=3 341 руб.
6.1.4 Определяем величину серьезных издержек:
К=66 820+3 341=70 161 руб.
Таблица 4 – Величина серьезных издержек:
Наименование характеристик
Ед. измерения
Стоимостная оценка
Стоимость оборудования
руб.
66 820
Транспортные и заготовительно-складские расходы
руб.
3 341
Итого:
70 161
6.2 Расчет расходов
В процессе разработки осуществляется деятельность, требующая расходов ресурсов. Сумма составит фактическую себестоимость либо величину расходов на разработку, включая последующие статьи расходов:
6.2.1 Издержки на оплату труда
Определяем сумму заработной платы по формуле (2):
Зпл
= окл*n*Rпрем,
(2)
где окл – оклад спеца;
n – количество месяцев на разработку проекта;
R – коэффициент учитываемой премии
Зпл
=20 000*1*1,3=26 000 руб.
Определяем сумму налоговых платежей от з/пл.
Отчисления на соц. нужды определяются по формуле (3):
ЕСН=з/пл*Сесн
/100%, (3)
где ЕСН – единый соц. налог;
з/пл – оплата (выдача денег по какому-нибудь обязательству) труда;
Сесн
– ставка одного соц. налога.
ЕСН=26 000*0,26=6 760 руб.
6.2.2 Амортизационные отчисления
Предполагается, что оборудование будет эксплуатироваться в течении 3-х лет без модернизации и демонтажа. Таковым образом, срок эксплуатации будет равен трем годам, как следует:
Нагод
=100/3=33,3%,
Амес
=к*На/100*n, (4)
где к – стоимость оборудования;
На – амортизационные нормы;
n – количество месяцев.
Амес
=70 161*33,3/100*12=1 947 руб.
6.2.3 Оплата (выдача денег по какому-нибудь обязательству) электроэнергии, применяемой оборудованием
При разработке проекта употребляется электроэнергия, расходы на которую определяются с учетом времени деяния компа, тарифа за электроэнергию и мощности применяемой техники.
Мощность компа – 0.2 кВт
Время работы компа – 45 часов
Тариф за 1 кВт – 2,71 руб.
Расходы на электроэнергию рассчитываются по формуле (5):
Рэл/эн
=Т*t*n*W, (5)
где Т – тариф на электроэнергию;
t – время работы в денек;
n – количество дней;
W – потребляемая мощность единицы оборудования в час.
Рэл/эн
=2,71*8*25*0,3=162,6 руб.
6.2.4 Остальные расходы
Сумму иных расходов примем в размере 0,1% от цены оборудования:
Рпроч
=К*0,1%/100%, (6)
Рпроч
=70 161*0,1%/100%=70,161 руб.
6.2.5 Общая сумма эксплуатационных расходов показана в таблице 5:
Таблица 5 – Сумма эксплуатационных расходов
Статьи издержек
Сумма издержек, руб.
Расходы на оплату труда
26 000
ЕСН
6 760
Амортизационные отчисления
1 947
Оплата (выдача денег по какому-нибудь обязательству) электроэнергии
162,6
Остальные расходы
70,161
Итого:
34 939,761
6.2.6 Расчет удельного веса расходов
dn
=Pn
/∑P*100% (7)
где dn
– удельный вес расходов;
Рn
– рассчитываемые серьезные статьи;
∑P – сумма расходов.
dРОТ
=26 000/34 939,761*100=74,41%.
dЕСН
=6 766/ 34 939,761*100=19,36%.
dА
=1 947/34 939,761*100=5,57%.
dЗ на
Эл
=162,6/34 939,761*100=0,47%.
dпроч. р
=70,161/34 939,761*100=0,2%.
Общая сумма удельного веса расходов показана в таблице 6:
Таблица 6 – Общая сумма удельного веса
Наименование статей расходов
Удельный вес, %
dРОТ
74,41
dЕСН
19,36
dА
5,57
dЗ на
Эл
0,47
dпроч. р
0,2
Итого:
100
Таковым образом, рассчитав смету издержек на разработку технологий аудита, можно прийти к выводу, что Издержки на его изготовка составили 34 939,761 рублей.
Заключение
В итоге реализации дипломного проекта был проведен анализ системы защиты инфы компании ОАО (форма организации публичной компании; акционерное общество) «РОСТСТРОЙ», выявивший ряд ее недочетов, оставляющих возможность реализации угроз целостности, доступности и достоверности инфы, циркулирующей в организации. На базе выявленных недочетов был разработан и внедрен профиль защиты, заключающийся в комплексе требований к организации защиты инфы, реализация которых дозволит модернизировать систему защиты и пресечь вероятные каналы утечки инфы. Данный комплекс требований обхватывает все важные составляющие системы информационной сохранности организации и предполагает введение в эксплуатацию новейших программных и аппаратных средств защиты инфы, каждое из которых дозволит понизить опасности утечки на собственном участке ответственности, формируя всеохватывающую надежную систему защиты.
В согласовании с предложенным в дипломном проекте всеохватывающим подходом к защите инфы рассмотрена многоуровневая система сохранности, включающая в себя:
— средства защиты рабочих мест и серверов ИТС;
— средства защиты сетевых устройств (коммутаторы и маршрутизаторы);
— межсетевые экраны;
— средства антивирусной защиты, встроенные как в рабочие места, так и серверы, и межсетевые экраны;
— средства криптографической защиты инфы как передаваемой по каналам связи, так и хранимой на рабочих местах и серверах.
В заключение можно сказать, что задачки дипломного проекта были выполнены полностью, а произведенная модификация системы защиты инфы организации соответствует всем предъявленным к ней требованиям.
Перечень литературы
1. Ф. Даниловский. Информационная сохранность банковских систем. Финансовая газета, N 34, август 2003 г.
2. Федеральный законРФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина) от 20 февраля 1995 г. О инфы, информатизации и защите инфы. № 24 – ФЗ. (с переменами от 10.01.2003).
3. Гостехкомиссия Рф. Руководящий документ. Защита от несанкционированного доступа к инфы. М., 1992 г.
4. Гостехкомиссия Рф. Руководящий документ. Теория защиты средств вычислительной техники и автоматических систем от несанкционированного доступа к инфы. М., 1992 г.
5. Гостехкомиссия Рф. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к инфы. характеристики защищенности от несанкционированного доступа к инфы. М., 1992 г.
6. Гостехкомиссия Рф. Руководящий документ. Автоматические системы. Защита от несанкционированного доступа к инфы. Систематизация автоматических систем и требования по защите инфы. М., 1997 г.
7. Гостехкомиссия Рф. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. защита от несанкционированного доступа к инфы. Характеристики защищенности от несанкционированного доступа к инфы. М., 1997 г.
8. Гостехкомиссия Рф. Руководящий документ. Защита от несанкционированного доступа к инфы. часть 1. Программное обеспечение средств защиты инфы. Систематизация по уровню контроля отсутствия недекларированных способностей. М., 1999 г
9. приложение А
{Инструкция} по обеспечению сохранности коммерческих загадок на предприятии
1 Общие положения
1. Реальная {инструкция} разработана в согласовании с требованиями законов РФ (Российская Федерация — компании с целью предотвращения нанесения вероятного экономического и морального вреда предприятию со стороны юридических и физических лиц, вызванного их неправомерными либо не аккуратными действиями методом безвозмездного присвоения чужой инфы либо разглашения коммерческой потаенны.
2. Под коммерческой потаенной компании понимаются не являющиеся муниципальными секретами сведения, связанные с созданием, технологической информацией, управлением, деньгами и иной деятельностью компании, разглашение (передача, утечка) которых может нанести вред его интересам. К сведениям, составляющим коммерческую тайну, относятся несекретные сведения, предусмотренные «Списком сведений, составляющих коммерческую тайну компании«, утвержденным и введенным в действие приказом управляющего компании. Коммерческая потаенна компании является его собственностью. Если она представляет собой итог совместной деятель с иными предприятиями, основанной на договорных началах, то коммерческая потаенна быть может собственностью 2-ух сторон, что обязано отыскать отражение в договоре.
3. Под разглашением коммерческой потаенны предполагается предумышленные либо неосмотрительные деяния должностных либо других физических лиц, приведшие к не вызванному служебной необходимостью либо досрочному открытому опубликованию сведений, подпадающих под категорию сведений, составляющих коммерческую тайну, также передача схожих сведений по открытым техническим каналам связи либо их обработка на некатегорированных СВТ.
4. Под открытым опубликованием таковых сведений предполагается их публикация в открытой печати, передача по радио и телевидению, оглашение на интернациональных, забугорных и открытых внутрироссийских симпозиумах, совещаниях, конференциях, съездах, при общественных вступлениях и защите диссертаций, вывоз материалов за границу либо передача их в хоть какой форме зарубежным фирмам, организациям либо отдельным лицам.
5. Необходимость открытого опубликования сведений, составляющих коммерческую тайну, их объемы, формы и время опубликования определяются управляющим компании с учетом заключения повсевременно работающей экспертной комиссии.
6. Внедрение для открытого опубликования сведений, приобретенных на договорной либо доверительной базе либо являющихся результатом совместной деятель, допускается лишь с общего согласия партнеров.
7. Меры по ограничению открытых публикаций коммерческой инфы не могут быть применены для сокрытия от общественности фактов злоупотреблений, расточительства, бесхозяйственности, нерадивой конкуренции и остальных негативных явлений в деятель компании.
8. Передача инфы посторонним организациям, с которыми предприятие не соединено прямыми служебными контактами, обязана регулироваться, как правило, договорными отношениями, предусматривающими обязательства и ответственность юзеров, включая возмещение вещественных издержек за предоставление инфы и компенсацию за нарушение договорных обязанностей.
9. Тиражированные документы и издания с грифом «КОММЕРЧЕСКАЯ ТАЙНА» («КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)») рассматриваются как материалы, содержащие сведения ограниченного распространения.
10. защита коммерческой потаенны предугадывает:
— порядок определения инфы, содержащей коммерческую тайну, и сроков ее деяния;
— систему допуска служащих компании, личных и командированных лиц к сведениям, составляющим коммерческую тайну компании;
— обязанности лиц, допущенных к таковым сведениям;
— порядок работы с документами, имеющими гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)»;
— обеспечение сохранности документов, дел и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)»;
— принципы организации и проведения контроля за обеспечением установленного порядка при работе со сведениями, составляющими коммерческую тайну;
— ответственность за разглашение сведений и утрату документов, содержащих коммерческую тайну.
11. Ответственность за компанию работы с материалами, имеющими гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», разработку и воплощение нужных мер по сохранности коммерческой потаенны управляющий компании ложит на ответственных управляющих направлений и структурных подразделений
12. Контроль за воплощением мер, обеспечивающих сохранность коммерческой потаенны, возлагается на службу информационной сохранности компании, которая контролирует, а в нужных вариантах обеспечивает учет, размножения и хранения документов, дел и изданий с грифом коммерческая потаенна»; обеспечивает сохранность коммерческой потаенны методом наибольшего ограничения круга лиц, допущенных к коммерческой тайне компании, выполнение требований при обработке инфы с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» на защищенных СВТ, также требований по конфиденциальности определенной инфы, внесенных в контракта со посторонними предприятиями – партнерами.
2 Определение инфы и обозначение документов, содержащих коммерческую тайну, и сроков ее деяния
1. Необходимость проставления грифа «Коммерческая потаенна» («КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)») определяется в согласовании с Списком, обозначенным в п.1.2 истинной Аннотации: при работе с документом-исполнителем и лицом, подписывающим документ, при работе с изданием-автором (составителем) и управляющим, утверждающим издание к печати.
2. На документах, делах и изданиях, содержащих сведения, составляющие коммерческую тайну, проставляется гриф «Коммерческая потаенна» («КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)»), а на документах и изданиях, не считая того, – номера экземпляров. Гриф и номера экземпляров, проставляются в правом верхнем углу первой странички документа, на обложке либо титульном листе издания и на первой страничке сопроводительного письма к сиим материалам. На оборотной стороне крайнего листа всякого экземпляра печатается разметка, в какой указывается: количество отпечатанных экземпляров, номер, фамилия исполнителя и его телефон, дата, фамилия машинистки и срок деяния коммерческой потаенны (регистрационный номер проставляется на любом листе документа).
3. Срок деяния коммерческой потаенны, содержащейся в документе, определяется в любом определенном случае исполнителем либо лицом, подписавшем документ, в виде определенной даты либо в виде пометок: «до заключения договора», «пожизненно» и т.п.
4. Основанием для снятия грифа «Коммерческая потаенна» является решение повсевременно работающей экспертной комиссии, оформляемым актом, утвержденным управляющим компании. К работе комиссии привлекаются представители заинтересованных структурных подразделений. один экземпляр акта совместно с делами передается в архив компании, а на самом деле неизменного хранения в муниципальных архив.
5. Гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» опосля дизайна его снятия (п. 2.4) погашается штампом либо записью о руки с указанием даты и номера акта, послужившего основанием для его снятия. Подобные отметки вносятся в описи и номенклатуры дел.
3 Организация работы с документами, имеющими гриф «Коммерческая потаенна» («КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)»)
1. Документы, имеющие гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», подлежат неотклонимой регистрации в подразделении делопроизводства службы информационной сохранности. Эти документы обязаны иметь реквизиты, предусмотренные п.2.2 и гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» (либо на сто процентов «Коммерческая потаенна»).
права на информацию, порядок использования ею, сроки ограничения на публикацию могут оговариваться добавочно в тексте документа и его реквизитах.
Отсутствие грифа «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» и предупредительных оговорок в тексте и реквизитах значит вольную рассылку и подразумевает, что создатель инфы и лицо, подписавшее либо утвердившее документ, предусмотрели вероятные последствия от вольной рассылки и несут за это ответственность.
2. Вся поступающая корреспонденция, имеющая гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» (либо остальные надлежащие этому понятию грифы, к примеру, «секрет компании, «потаенна компании» и др.) принимается и вскрывается сотрудниками компании, которым поручена работа с этими материалами. При всем этом проверяется количество листов и экземпляров, также наличие обозначенных в сопроводительном письме приложений. При обнаружении отсутствия в конвертах (пакетах) обозначенных документов составляется акт в 2-ух экземплярах: один экземпляр акта направляется отправителю.
3. Все входящие, исходящие и внутренние документы, также издания с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» подлежат регистрации и учитываются по количеству листов, а издания – поэкземплярно.
4. Учет документов и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» ведется в журнальчиках либо карточках раздельно от учета иной служебной несекретной документации. Листы журналов нумеруются, прошиваются и опечатываются. Документы, которые не подшиваются в дела, учитываются в журнальчике инвентарного учета.
Движение документов и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» вовремя отражается в журнальчиках либо карточках.
5. На зарегистрированном документе с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» (либо на сопроводительном листе к изданиям с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)») должен быть проставлен штамп с указанием наименования компании, регистрационный номер документа и дата его поступления.
6. Издания с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» регистрируются в журнальчике учета и распределения изданий.
7. Отпечатанные и подписанные документы совместно с их черновиками передаются для регистрации сотруднику подразделения делопроизводства службы информационной сохранности, осуществляющему их учет. Черновики уничтожаются исполнителем и сиим сотрудником, что подтверждается росписью обозначенных лиц в журнальчике либо на карточках учета. При всем этом проставляется дата и подпись.
8. Размножение документов и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» в типографиях и остальных множительных участках делается с разрешения и под контролем специально назначенных служащих службы информационной сохранности по заказам, подписанным управляющим компании.
Размноженные документы «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» (копии, тираж) должны быть полистно подобраны, пронумерованы поэкземплярно и, по мере необходимости, сброшюрованы (сшиты). Нумерация добавочно размноженных экземпляров, делается от крайнего номера, ранее учтенных экземпляров этого документа.
Перед размножением на крайнем листе оригинала (подлинника) проставляется запись: «Регистрационный номер. Добавочно размножено _ экз., на _ листах текста. Наряд N _ от ___. Подпись (исполнитель заказа)». сразу делается отметка о этом в соответственных журнальчиках и карточках учета.
9. Рассылка документов и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» выполняться на основании подписанных управляющим структурного подразделения разнарядок с указанием учетных номеров отправляемых экземпляров.
Пересылка пакетов с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» может осуществляться через органы спецсвязи либо фельдсвязи.
10. Документы с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» опосля выполнения группируются в отдельные дела. Порядок их группировки предусматривается специальной номенклатурой дел, в которую в неотклонимом порядке врубаются все справочные картотеки и журнальчики на документы и издания с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)».
11. Снятия рукописных, машинописных, микро- и фотокопий, электрографических и др. копий, также Создание выписок из документов и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» сотрудниками компании делается по разрешению управляющего компании и подразделений.
12. Обработка инфы с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» делается на учетных СВТ, которые имеют категорию не ниже 4-Б.
4 порядок обеспечения сохранности документов, дел и изданий
1. Все имеющие гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» документы, дела и издания должны храниться в служебных помещениях в накрепко запираемых и опечатываемых шкафах. Помещения должны отвечать требованиям внутриобъектового режима, обеспечивающего физическую сохранность находящейся в их документации.
2. дела с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», выдаваемые исполнителю, подлежат возврату в подразделение делопроизводства службы информационной сохранности (СИБ) в этот же денек. По мере необходимости, с разрешения начальника подразделения делопроизводства СИБ либо уполномоченного СИБ они могут находиться у исполнителя в течение срока, нужного для выполнения задания, при условии полного обеспечения их сохранности и соблюдения правил хранения.
3. С документацией с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» разрешается работать лишь в служебных помещениях. Для работы вне служебных помещений нужно разрешение управляющего компании либо структурного подразделения.
4. Документы, дела и издания с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» могут передаваться остальным сотрудникам, допущенным к сиим документам, лишь через делопроизводство СИБ либо уполномоченного СИБ.
5. Изъятия из дел либо перемещение документов с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» из 1-го дела в другое без санкции управляющего делопроизводства СИБ либо уполномоченного СИБ, осуществляющего их учет, запрещается.
6. Смена служащих, ответственных за учет и хранение документов, дел и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», оформляется распоряжением начальника подразделения. При всем этом составляется по случайной форме акт приема-передачи этих материалов, утверждаемый обозначенным управляющим.
7. Ликвидирование документов «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» делается комиссией в составе не наименее 3-х человек с составлением акта.
8. Печатание документов «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» разрешается в машинописном бюро либо конкретно в подразделениях. Для учета отпечатанных документов ведется особый журнальчик.
5 Порядок допуска к сведениям, составляющим коммерческую тайну компании
1. Допуск служащих к сведениям, составляющим коммерческую тайну, осуществляется управляющим компании либо руководителями его структурных подразделений.
Руководители подразделений и службы информационной сохранности должны обеспечить периодический контроль за допуском к сиим сведениям лишь тех лиц, которым они нужны для выполнения служебных обязательств.
2. К сведениям, составляющим коммерческую тайну, допускаются лица, личные и деловые свойства которых обеспечивают их способность хранить коммерческую тайну, и лишь опосля дизайна в службе информационной сохранности письменного обязательства по сохранению коммерческой потаенны.
3. Допуск служащих к работе с делами «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» осуществляется согласно оформленному не внутренней стороне обложки дела либо на отдельном листе списку за подписью управляющего компании структурного подразделения, а к документам – в согласовании с указаниями, содержащимися в резолюциях управляющих компании и подразделений.
4. Представители посторониих организаций и личные лица могут быть допущены к ознакомлению и работе с документами и изданиями с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» с письменного разрешения управляющих компании либо подразделений, в ведении которых находятся эти материалы.
Выписки из документов и изданий, содержащих сведения с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», выполняются в блокнотах (либо тетрадях), которые имеют таковой же гриф. Опосля окончания работы они высылаются в адресок той организации, которая будет указана данным представителем.
5. Выдача дел и изданий с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» исполнителям и прием от их делается под расписку в «Карточке учета выдаваемых дел и изданий».
дела и издания конкретно представителям посторониих организаций и личным лицам не выдаются. По мере необходимости с их содержанием они ознакомятся лишь с разрешения управляющего компании через уполномоченного службы информационной сохранности либо представителя заинтересованного подразделения.
6 Контроль выполнения требований внутриобъектового режима при работе со сведениями, содержащими коммерческую тайну
1. Под снутри объектовым режимом при работе с коммерческой потаенной предполагается соблюдение критерий работы, исключающих возможность утечки инфы о сведениях, содержащих коммерческую тайну.
2. Контроль соблюдения обозначенного режима осуществляется в целях исследования и оценки состояния сохранности коммерческой потаенны, выявления и установления обстоятельств недочетов, и выработки предложений по их устранению.
3. Контроль обеспечения режима при работе со сведениями, содержащими коммерческую тайну, производят служба информационной сохранности компании и управляющий структурного подразделения методом текущих и плановых проверок.
4. При проведении проверок создается комиссия, которая комплектуется из опытнейших и обученных работников в составе не наименее 2-ух человек, допущенных к работе с материалами «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)».
Роль в проверке не обязано приводить к безосновательному повышению осведомленности в этих сведениях.
5. Плановые проверки проводятся не пореже 1-го раза в год комиссиями на основании приказа либо распоряжения управляющего компании (подразделения).
6. Проверяющие имеют Право знакомиться со всеми документами, журнальчиками (карточками) и иными материалами, имеющими отношение к проверяемым вопросцам, также проводить беседы, консультироваться со спецами и исполнителями, добиваться представления письменных разъяснений, справок и отчетов по всем вопросцам, входящим в компетенцию комиссии.
7. При проверках находится управляющий структурного подразделения либо его заместитель.
8. По результатам проверок составляется акт либо справка с отражением в нем наличия документов, состояния работы с материалами «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», выявленных недочетов и предложений по их устранению. Акт утверждается управляющим компании (подразделения).
9. При выявлении случаев утраты документов либо разглашения сведений, составляющих коммерческую тайну, ставятся в известность управляющий компании и его заместитель (ассистент) по сохранности. Для расследования обозначенных случаев приказом управляющего компании создается комиссия, которая описывает соответствие содержания утраченного документа проставленному грифу «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» и выявляет происшествия утраты (разглашения). По результатам работы комиссии составляется акт.
7 Обязанности служащих компании работающих со сведениями, представляющими коммерческую тайну и их ответственность за ее разглашение
1. Сотрудники компании, допущенные к сведениям, составляющим коммерческую тайну, несут ответственность за четкое выполнение требований, предъявляемых к ним в целях обеспечения сохранности обозначенных сведений.
До получения доступа к работе, связанной с коммерческой потаенной, им нужно изучить реальную аннотацию и отдать в службе информационной сохранности письменное обязательство о сохранении коммерческой потаенны.
2. Сотрудники компании, допущенные к коммерческой тайне должны:
— строго хранить коммерческую тайну. О ставших им известной утечке сведений, составляющих коммерческую тайну, также о утрате документов с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», докладывать конкретному руководителю и в службу информационной сохранности;
— предъявлять для проверки по просьбе представителей службы информационной сохранности все числящиеся документы с грифом «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)», а в случае нарушения установленных правил работы с ними представлять надлежащие разъяснения;
— знакомиться лишь с теми документами и делать лишь те работы, к которым они допущены;
— строго соблюдать правила использования документами, имеющими гриф «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)». Не допускать их безосновательной рассылки;
— все приобретенные в делопроизводстве службы информационной сохранности либо у ее уполномоченного документы с обозначенным грифом немедля заносить во внутреннюю опись документов, в какой отводится особый раздел по учету «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)»;
— исполненные входящие документы, также документы, созданные для рассылки, подшивки в дело либо поражения сдавать в делопроизводство службы информационной сохранности либо уполномоченному службы информационной сохранности;
— делать требования снутри объектного режима: исключающие возможность ознакомления с документами «КТ (Компьютерная томография — метод неразрушающего послойного исследования внутренней структуры объекта)» сторонних лиц, включая и собственных служащих, не имеющих к обозначенным документам прямого дела;
— при ведении деловых переговоров с представителями посторониих организаций либо личными лицами ограничиваться выдачей малой инфы, вправду нужной для их удачного окончания;
— исключить внедрение ставшей известной коммерческой потаенны компании в свою личную пользу, также деятельность, которая быть может применена соперниками во вред предприятию – обладателю данной коммерческой потаенны.
3. Ответственность за разглашение сведений, составляющих коммерческую тайну компании, и утрату документов либо изделий, содержащих такие сведения, устанавливается в согласовании с работающим законодательством.
При всем этом предполагается:
1. Под разглашением сведений, составляющих коммерческую тайну – предание огласке сведений лицом, которому эти сведения были доверены по службе, работе либо стали известны другим методом, в итоге чего же они стали достоянием сторонних лиц.
2. Под утратой документов либо изделий (предметов), содержащих сведения, относящиеся к коммерческой тайне, – выход (в том числе и временный) документов либо изделий из владения ответственного за их сохранность лица, которому они были доверены по службе либо работе, являющийся результатом нарушения установленных правил воззвания с ними, вследствие чего же эти документы либо изделия стали или могли стать достоянием сторонних лиц.
]]>