Организация и средства информационных технологий обеспечения управленческой деятельности на примере ООО "Прайдекс"

10. Изъятие конфиденциальной информации из базы данных компьютера (рабочей станции) по окончании работы с ней (например, в конце рабочего дня, при длительных перерывах в работе и т.п.) и перенос информации на дискеты, подлежащие сдаче в службу конфиденциальной документации.

Рассмотрение и исполнение электронных конфиденциальных документов и электронных аналогов бумажных документов разрешается только при наличии сертифицированной системы защиты компьютеров и локальной сети, включающей комплекс программно-аппаратных, криптографических и технических мер защиты базы данных, компьютеров и линий связи. Помещения, в которых конфиденциальная информация обрабатывается на ПК, должны иметь защиту от технических средств промышленного шпионажа, надежную круглосуточную охрану и пропускной режим. Кроме того, следует учитывать, что при автоматизированной обработке объективно резко увеличивается количество носителей (источников), содержащих конфиденциальные сведения: традиционный бумажный документ, разнообразные машинограммы карточек, описей документов, многочисленные записи информации на магнитных носителях и визуальная информация на экране дисплея. Недостатком обработки информации на ПК является также необходимость постоянного дублирования информации на нескольких носителях с целью исключения опасности ее утраты или искажения по техническими причинам. Указанные выше особенности усложняют систему, но без их соблюдения нельзя гарантировать сохранность конфиденциальной информации, эффективность защиты информационных массивов в ЭВМ от несанкционированного доступа, разрушения, копирования и подмены. Безопасность информации в ЭВМ и локальной сети требует эффективной взаимосвязи машинной и внемашинной защиты конфиденциальных сведений. В связи с этим, важное актуальное значение имеет защита технических носителей конфиденциальной информации (машиночитаемых документов) на внемашинных стадиях их учета, обработки и хранения. Именно на этих стадиях особенно велика вероятность утраты машиночитаемого документа. Подобная проблема несущественна для носителей, содержащих открытую информацию. В основе обеспечения сохранности носителей электронных конфиденциальных документов, находящихся вне машины, в настоящее время эффективно используются зарекомендовавшие себя принципы и методы обеспечения безопасности документов в традиционной технологической системе. Таким образом, в настоящее время наиболее широко используют смешанную технологическую систему обработки и хранения конфиденциальных документов, совмещающую традиционную и автоматизированную технологии. Выборочно автоматизируются: справочная и поисковая работа по бумажным документам, процедура составления и изготовления документов и учетных форм, контроль исполнения, сервисные задачи. Остальные стадии и процедуры выполняются в русле традиционной, делопроизводственной технологии (распределение бумажных документов, их рассмотрение, исполнение, оперативное и архивное хранение документов). В силу специфики обрабатываемых сведений о документах и самих документов автоматизированные системы делопроизводственной ориентации имеют в большинстве случаев информационно-справочный характер.

Недостаток смешанной технологии состоит в неполном использовании преимуществ и функциональных возможностей компьютерной технологии, что порождает сохранение рутинных делопроизводственных операций и не совершенствует документооборот.

2.5 Система защиты информации в ООО «Прайдекс»

Рассмотрим защиту конфиденциальной информации в ООО «Прайдекс». Организация работы с документами, содержащими коммерческую тайну, ведется 2-мя подразделениями: общим отделом и отделом кадров.

Среди функций секретаря генерального директора есть функция "Работа с конфиденциальными документами, участие в разработке и пополнении "Перечня сведений, составляющих коммерческую тайну" и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации".

Секретарь подчиняется заместителю директора предприятия.

На отдел кадров возложено:

ѕ документирование трудовых правоотношений организации со штатным и временным персоналом;

ѕ разработка "Перечня сведений, составляющих коммерческую тайну" и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;

ѕ хранение и ведение документации по личному составу, трудовых книжек и личных дел;

ѕ защита персональных данных работников организации.

Отдел кадров является самостоятельным структурным подразделением, подчиненным непосредственно первому заместителю директора. В отделе кадров два менеджера по персоналу, один из которых занимается оформлением кадровой документации, а другой - текущими вопросами (подбором персонала, подготовкой нормативных документов, организацией корпоративных мероприятий и т.п.).

Разработка документов по защите коммерческой тайны возложена на отдел кадров. Подготовка этих документов осуществляется при содействии секретаря и юридического отдела.

Сотрудники ООО «Прайдекс» которые имеют к информации, содержащей сведения конфиденциального характера, при приеме на работу знакомятся с Перечнем сведений, содержащих коммерческую тайну, и подписывают обязательство о неразглашении коммерческой тайны.

Перечень сведений, составляющих коммерческую тайну ООО «Прайдекс», составлен с учетом ФЗ "О коммерческой тайне".

Хранение документов с грифом "Коммерческая тайна" осуществляется в сейфах и сейфовых шкафах или на металлических закрывающихся стеллажах, а также в закрытых для свободного доступа помещениях, либо, с разрешения генерального директора, в других подразделениях при обеспечении условий их гарантированной сохранности.

Выдача сотрудникам конфиденциальных документов ведется строго в соответствии со списком фамилий на обороте последнего листа документа. Движение (выдача и возврат) документов с грифом "Коммерческая тайна" отражается в журнале учета выдачи документов с грифом "Коммерческая тайна".

Если документы хранятся в подразделениях объектов, то за их выдачу, возврат и отражение данных фактов в журнале учета выдачи документов с грифом "Коммерческая тайна" отвечает руководитель подразделения. Сотрудники оповещаются о введении новых сведений, содержащих коммерческую тайну, путем ознакомления с приказом о мерах по охране коммерческой тайны.

Управлению кадров в настоящее время поручена разработка новой документации по работе с конфиденциальными документами: Положения о коммерческой тайне и корректировка Перечня сведений, содержащих коммерческую тайну.

Функции работника по обработке секретных документов и документов с грифом "Коммерческая тайна" выполняет секретарь.

К конфиденциальной информации относятся и персональные данные сотрудников ООО «Прайдекс». С персональными данными в первую очередь работают сотрудники отдела кадров.

Наиболее распространенными операциями с персональными данными являются их получение, обработка, хранение и передача.

К документам, содержащим информацию, необходимую работодателю при приеме на работу, относятся документы, предъявляемые при заключении трудового договора. Все эти документы указаны в ст.65 Трудового кодекса РФ и соответствующих положениях иных федеральных законов.

Хранятся личные дела и другие документы, отражающие персональные данные сотрудников, в сейфовых шкафах в помещении отделе кадров. Ключи от сейфовых шкафов находятся у сотрудников отдела.

Выдача персональной информации о сотрудниках осуществляется по первому их требованию, сотрудники получают полную информацию об их персональных данных и обработке этих данных, имеют свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника.

Персональных данные не сообщаются третьей стороне без письменного согласия работника, причем лица, получающие персональные данные работника, предупреждаются о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

На предприятии ведется разделение документов по типам с заведением соответствующих папок (каталогов). Например, основной каталог именуется "Документы". Следующий уровень - входящие в него подкаталоги: "Договоры", "Презентации", "Заказчики", "Конкуренты" и т.п.

В каждом подкаталоге заведены папки с различными наименованиями. В "Договорах" каждому из них присвоен № - в одной папке хранится вся документация по данному конкретному договору, для "Конкурентов" используются буквы алфавита и цифры, в них уже находятся папки с наименованием конкурента со складируемой о нем информацией и т.д.

Все сотрудники уведомлены в том, что документы не следует оставлять на рабочем столе, необходимо помещать их в соответствующую папку. Ответственность за соблюдение этого правила несет специально назначенный сотрудник.

Сотрудники, согласно установленным правилам, не должны выкидывать в мусорную корзину ненужные документы (пусть и не конфиденциальные). Для этих целей используется шредер - уничтожитель бумаг.

Для соблюдения безопасности на рассматриваемом предприятии компьютеры подключенные к Интернету поставлены отдельно (по количеству кабинетов в офисе, сотрудников, другим критериями на собственное усмотрение). Разработан порядок переноса информации с компьютеров и на них, назначен ответственный.

Съемные диски хранятся в запертом сейфе и выдаются под расписку.

Ведутся два комплекта архивов. Один, обновляемый раз месяц - в банковской ячейке, другой, повседневный - в сейфе.

Таким образом, проанализировав систему защиты информации в ООО «Прайдекс» выявлены следующие недостатки:

1. В целом законодательство о защите персональных данных соблюдается в организации практически во всех отношениях. Но пока еще только разрабатывается локальный нормативный акт, который закрепляет порядок получения, обработки, хранения и передачи персональных данных работника с учетом недавно принятых нормативно-правовых документов. Данная разработка сегодня регулируется положениями Трудового кодекса и ФЗ "О персональных данных".

2. Для документов по личному составу и постоянного срока хранения за прошедшие годы выделено помещение, не отвечающее нормам и требованиям к хранению архивных документов согласно Основным правилам работы архивов организаций.

3. Нет документа, четко устанавливающего порядок конфиденциального документооборота в организации, требования к составлению и оформлению конфиденциальных документов, а также к обработке. Не ведется учет объема конфиденциального документооборота.

4. Завод не имеет в своей структуре службы безопасности.

5. Отсутствие системы конфиденциального делопроизводства в организации.

6. На предприятии существуют устаревшие методы и принципы организации работы с документами.

3 Совершенствование безопасности информационных технологий в ООО «Прайдекс»

В третьей главе рассмотрим необходимость разработки мер для обеспечения безопасности средств информационных технологий в ООО «Прайдекс»

3.1 Обоснование необходимости внедрения информационных технологий

Информационное взаимодействие является критически важной частью деятельности любой современной организации. В нем кроется огромный резерв повышения эффективности предприятия в целом. От того, насколько четко и грамотно организована на предприятии работа с информацией, зависит конечный результат его деятельности. На понимании этого факта базируются организационные устремления руководителей: от установления элементарного порядка до применения современных методов процессного управления, управления знаниями, менеджмента качества, информационного менеджмента и соответствующих технологий.

Деятельность современного предприятия сопровождается интенсивным обменом информацией как внутри него -- между сотрудниками и подразделениями, так и снаружи -- с заказчиками, поставщиками, партнерами и т.д. При этом для исполнения каждого шага основного производственного и вспомогательных процессов необходимы: получение оперативной входящей информации, обращение к нормативной, технической и справочной информации, обработка информации на рабочих местах, и, наконец, порождение новой информации и передача ее на следующий этап.

Сегодня растущий бизнес стремится к максимальному использованию новых технологий управления, основанных на методах совместной деятельности с деловыми партнерами, взаимодействии компаний в рамках единой логистической сети с применением современных информационных технологий и средств коммуникации.

Необходимость внедрения информационных технологий обусловлена рядом причин:

Деятельность современного предприятия сопровождается интенсивным обменом информацией как внутри него -- между сотрудниками и подразделениями, так и снаружи -- с заказчиками, поставщиками, партнерами и т.д. При этом для исполнения каждого шага основного производственного и вспомогательных процессов необходимы: получение оперативной входящей информации, обращение к нормативной, технической и справочной информации, обработка информации на рабочих местах, и, наконец, порождение новой информации и передача ее на следующий этап.

Таким образом, необходимость внедрения в ООО «Прайдекс» информационных технологий обусловлена рядом причин, таких как:

· упрощение процедуры приема и регистрации входящей служебной корреспонденции;

· совершенствование процессов оформления, учета и использования грифованных документов;

· автоматизация процесса размножения (тиражирования) материалов, содержащих коммерческую тайну;

· повышение уровня контроля над исполнением служебных документов;

· упрощение процедуры отправки корреспонденции;

· повышение уровня надежности хранения документов, содержащих коммерческую тайну;

· упрощение условий архивации и уничтожения документов.

Цели применения информационных технологий в ООО «Прайдекс» можно разделить на три группы:

1. создание базы данных и базы знаний (создание среды, позволяющей осуществлять оперативный доступ к нормативной, технической, справочной и др. информации);

2. автоматизация процессов делопроизводства (внедрение системы электронного документооборота);

3. повышение информационной безопасности (создание системы управления информационной безопасности (СУИБ), соответствующей требованиям действующих стандартов).

Достижение этих целей позволит привести в соответствие современным требованиям систему бизнес-процессов: повысить надежность хранения информации, ускорить процессы получения, обработки и передачи информации, повысить эффективность контроля. Достижение поставленных целей предполагает решение ряда задач. Так, для предоставления доступа к базам данных и знаний необходимо развитие локальной сети в организации с предоставлением исполнителям рабочих мест и построением сети по принципу клиент - сервер, с возможностью выхода в Интернет. Организация электронного документооборота - внедрение технологических решений, соответствующих необходимым требованиям безопасности, сценарию и предметной области деятельности организации и позволяющего работать с программными средствами сторонних производителей. Но наиболее сложная задача - создание системы управления информационной безопасности, т.к. в область решения этой задачи входит широкий круг вопросов. Для построения СУИБ необходимо проведение тщательного анализа организации.

Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

• анализ рисков;

• комплексный анализ информационных систем (ИС) организации и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях;

• организационно-технологический анализ ИС компании;

• экспертиза решений и проектов;

• работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации;

• анализ уровня квалификации и переподготовки специалистов;

• работы, поддерживающие практическую реализацию плана защиты.

Развитие в ООО «Прайдекс» локальной вычислительной сети, внедрение информационных технологий электронного документооборота и защиты информации, а так же создание системы управление информационной безопасности позволит устранить ряд существующих на сегодняшний день недостатков в области защиты коммерческой тайны.

Развитие информационной системы позволит:

• сократить время приема, регистрации, оформления и отправки документов;

• упростить процесс использования и размножения (тиражирования) документов;

• упростить систему учета служебных документов;

• сократить время доступа к архивным документам;

• сократить время передачи документов исполнителю;

• сократить время контроля над исполнителем;

• повысить уровень контроля исполнения заданий;

• сократить время выполнения заданий;

• упростить процедуру уничтожения документов;

• повысить уровень защиты информации;

• сократить накладные расходы;

• сократить расходы на транспортировку;

• выполнять функции, которые ранее не предусматривались и т. д.

3.2 Разработка рекомендаций по обеспечению информационной безопасности в организации

Мероприятия по обеспечению информационной безопасности (ИБ), как известно, не приносят доходов, с их помощью можно лишь уменьшить ущерб от возможных инцидентов. Поэтому очень важно, чтобы затраты на создание и поддержание ИБ на должном уровне были соразмерны ценности активов организации, связанных с ее информационной системой (ИС).

Соразмерность может быть обеспечена категорированием информации и ИС, а также выбором регуляторов безопасности на основе результатов категорирования. Присвоение категорий безопасности информации и информационным системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности. Категории безопасности используются совместно с данными об уязвимостях и угрозах в процессе анализа рисков, которым подвержена организация.

В зависимости от оценки рисков, требования к обеспечению информационной безопасности можно разделить на три уровня:

· минимальный;

· умеренный;

· высокий.

Таким образом, лицо, ответственное за выбор уровня обеспечения безопасности, прежде всего, должно провести оценку стоимости информационных активов и на ее основе принять решение о применении необходимых мер с целью сохранения информации.

Для обеспечения информационной безопасности предлагается рассмотреть в качестве базового минимальный уровень безопасности. Проведенный нами анализ (без учета рисков) показал, что данный уровень безопасности является достаточным для исследуемой организации. Умеренный и высокий уровни безопасности строятся на его основе, с реализацией дополнительных мер и могут рассматриваться отдельно, в зависимости от целей и потребностей организации.

Минимальные требования безопасности охватывают административный, процедурный и программно-технический уровни ИБ:

1. Оценка рисков;

2. Планирование безопасности;

3. Закупка систем и сервисов;

4. Сертификация, аккредитация и оценка безопасности;

5. Кадровая безопасность;

6. Физическая защита;

7. Планирование бесперебойной работы;

8. Управление конфигурацией;

9. Сопровождение;

10. Целостность систем и данных;

11. Защита носителей;

12. Реагирование на нарушение информационной безопасности;

13. Информирование и обучение.

Все вышеизложенные меры строятся на разработке, распространении, периодическом пересмотре и изменении официальной политики, в которой представлены цель, охват, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству, а так же формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов.

Для поддержки процесса реагирования на нарушения ИБ эффективно применять автоматические механизмы (для содействия докладам о нарушениях информационной безопасности, для повышения доступности информации и поддержки, ассоциированной с реагированием на нарушения информационной безопасности). Необходимо постоянно прослеживать и документировать нарушения информационной безопасности ИС.

Следует конфигурировать информационную систему так, чтобы обеспечить только необходимые возможности, и явным образом запретить и/или ограничить использование определенных функций, портов, протоколов и/или сервисов:

ИС автоматически терминирует временные и аварийные счета по истечении заданного для каждого типа счетов промежутка времени;

ИС автоматически отключает неактивные счета по истечении заданного промежутка времени;

ИС идентифицирует и аутентифицирует определенные устройства, прежде чем установить с ними соединение;

ИС обеспечивает, чтобы доступ к функциям безопасности (реализованным аппаратно и/или программно) и к защитным данным предоставлялся только авторизованным лицам;

ИС проводит в жизнь присвоенные привилегии для управления информационными потоками в системе и между взаимосвязанными системами в соответствии с принятой политикой безопасности;

ИС проводит в жизнь разделение обязанностей посредством присвоения привилегий доступа;

ИС проводит в жизнь наиболее ограничительный набор прав/привилегий доступа, необходимых пользователям (или процессам, действующим от имени этих пользователей) для выполнения их задач;

ИС предотвращает дальнейший доступ к ней посредством блокирования сеанса до тех пор, пока пользователь не восстановит доступ, применяя соответствующие процедуры идентификации и аутентификации;

ИС автоматически останавливает сеанс по истечении заданного периода неактивности;

ИС обеспечивает возможность включения в регистрационные записи дополнительной, более детальной информации для протоколируемых событий, идентифицируемых по типу, месту или субъекту;

ИС предоставляет возможности редукции регистрационной информации и генерации отчетов;

ИС предоставляет метки времени для использования при генерации регистрационных записей;

ИС разделяет пользовательскую функциональность (включая сервисы пользовательского интерфейса) от функциональности управления ИС;

ИС предотвращает несанкционированную и ненамеренную передачу информации через разделяемые системные ресурсы;

ИС защищает целостность передаваемых данных;

ИС защищает конфиденциальность передаваемых данных;

ИС прерывает сетевое соединение в конце сеанса или по истечении заданного периода неактивности;

ИС применяет автоматические механизмы и вспомогательные процедуры или ручные процедуры для выработки криптографических ключей и управления ключами;

ИС запрещает удаленную активацию механизмов коллективных приложений (например, видео- или аудиоконференций) и предоставляет явные свидетельства их использования локальным пользователям (например, индикацию использования видеокамер или микрофонов).

Организация разрешает выполнение действий без идентификации и аутентификации, только если они необходимы для достижения ключевых целей организации.

Целесообразно применение автоматических механизмов, чтобы облегчить мониторинг и контроль методов удаленного доступа, шифрование -- для защиты конфиденциальности сеансов удаленного доступа. Необходимо контролировать весь удаленный доступ в управляемой точке контроля доступа.

В организации должны действовать ограничения на беспроводной доступ и мобильные устройства.

Организация:

применяет аутентификации и шифрования для защиты беспроводного доступа к ИС;

устанавливает ограничения на применение и разрабатывает руководства по использованию мобильных устройств;

документирует, отслеживает и контролирует доступ посредством подобных устройств к ИС; соответствующие должностные лица санкционируют использование мобильных устройств; применяются съемные жесткие диски или криптография для защиты данных, располагающихся в мобильных устройствах.

Необходимо регулярно изучать/анализировать регистрационную информацию с целью выявления ненадлежащей или нетипичной активности, расследовать случаи подозрительной активности или предполагаемых нарушений, докладывать о результатах соответствующим должностным лицам и предпринимать необходимые действия.

Целесообразно физически размещать общедоступные компоненты ИС (например, общедоступные web-серверы) в отдельных подсетях с отдельными физическими сетевыми интерфейсами, предотвратить публичный доступ во внутреннюю сеть, за исключением должным образом контролируемого доступа.

Организация разрабатывает и реализует политику для сертификатов и спецификацию сертификационной практики для выпуска сертификатов открытых ключей, используемых в информационной системе.

Организация:

устанавливает ограничения на применение и разрабатывает руководства по использованию технологий мобильного кода, исходя из возможности нанесения ущерба ИС при злоумышленном применении этих технологий;

документирует, отслеживает и контролирует использование мобильного кода в ИС; соответствующие должностные лица санкционируют использование мобильного кода.

Организация:

устанавливает ограничения на применение и разрабатывает руководства по использованию технологий VoIP, исходя из возможности нанесения ущерба ИС при злоумышленном применении этих технологий;

документирует, отслеживает и контролирует использование VoIP в ИС; соответствующие должностные лица санкционируют использование VoIP.

Информационные системы (уполномоченные серверы доменных имен), предоставляющие внешним пользователям сервис поиска имен для доступа к информационным ресурсам организации через Интернет, обеспечивают атрибуты для аутентификации источника данных и контроля целостности данных, чтобы дать пользователям возможность получить гарантии аутентичности и целостности сообщений при получении данных в рамках сетевых транзакций.

Для высокого уровня информационной безопасности рекомендуется применение следующих дополнительных и усиленных (по сравнению с умеренным уровнем) регуляторов безопасности.

Оценка рисков:

сканирование уязвимостей (средства сканирования уязвимостей включают возможность оперативного изменения списка сканируемых уязвимостей ИС, т.е. с заданной частотой или после появления сведений о новых критичных для ИС уязвимостях организация изменяет список сканируемых уязвимостей ИС).

Закупка систем и сервисов:

документация (следует включить в общий пакет документов документацию от изготовителя/поставщика (при наличии таковой), описывающую детали проектирования и реализации регуляторов безопасности, задействованных в ИС, со степенью подробности, достаточной для того, чтобы сделать возможным анализ и тестирование регуляторов (включая функциональные интерфейсы между компонентами регуляторов)).

управление конфигурацией разработчиком (разработчик ИС создает и реализует план управления конфигурацией, контролирующий изменения системы в процессе разработки, прослеживающий дефекты безопасности, требующий авторизации изменений, и предоставляет документацию плана и его реализации).

Физическая защита:

контроль доступа к каналам передачи данных (контролируется физический доступ к линиям распространения и передачи данных, принадлежащим ИС и расположенным в пределах охраняемых границ, чтобы предотвратить неумышленное повреждение, прослушивание, модификацию в процессе передачи, разрыв или физическое искажение линий);

мониторинг физического доступа (применяются автоматические механизмы, чтобы обеспечить выявление потенциальных вторжений и инициирование реакции на них);

протоколирование доступа (применяются автоматические механизмы, чтобы облегчить поддержку и просмотр регистрационных журналов);

аварийное электропитание (необходимо обеспечить долгосрочные альтернативные источники электропитания для ИС, способные поддерживать минимальные требуемые эксплуатационные возможности в случае долговременного выхода из строя первичного источника электропитания);

противопожарная защита (применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний, автоматически извещающие о своей активации организацию и аварийные службы);

защита от затопления (автоматические механизмы применяются, чтобы автоматически перекрыть воду в случае ее интенсивной утечки).

Планирование бесперебойной работы:

обучение (моделирование событий включается в учебные курсы, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации);

тестирование плана обеспечения бесперебойной работы (план обеспечения бесперебойной работы тестируется на запасной производственной площадке, чтобы ознакомить сотрудников с имеющимися возможностями и ресурсами и оценить способность площадки поддерживать непрерывность функционирования);

запасные места хранения (запасное место хранения конфигурируется так, чтобы облегчить своевременные и эффективные восстановительные действия; определяются потенциальные проблемы с доступом к запасному месту хранения в случае широкомасштабных аварий или стихийных бедствий и намечаются явные действия по смягчению выявленных проблем);

запасные места обработки данных (запасное место обработки данных полностью конфигурируется для поддержания минимальных требуемых эксплуатационных возможностей и готовности к использованию в качестве производственной площадки);

телекоммуникационные услуги (запасной источник телекоммуникационных услуг должен быть в достаточной степени удален территориально от основного, чтобы не подвергаться тем же опасностям; основной и запасной источники телекоммуникационных услуг имеют адекватные планы обеспечения бесперебойной работы);

резервное копирование (для восстановления функций ИС выборочно используются резервные копии как часть тестирования плана обеспечения бесперебойной работы, резервные копии ОС и другого критичного для ИС программного обеспечения хранятся в отдельном месте или в огнеупорном контейнере, расположенном отдельно от эксплуатационного ПО);

восстановление ИС (организация включает полное восстановление ИС как часть тестирования плана обеспечения бесперебойной работы).

Управление конфигурацией:

базовая конфигурация и опись компонентов ИС (применяются автоматические механизмы, чтобы поддерживать актуальную, полную, точную и легко доступную базовую конфигурацию ИС и опись компонентов ИС);

контроль изменений конфигурации (применяются автоматические механизмы, чтобы: документировать предлагаемые изменения ИС; извещать соответствующих должностных лиц; привлекать внимание к не полученным своевременно утверждающим визам; откладывать изменения до получения необходимых утверждающих виз; документировать произведенные изменения ИС);

ограничение доступа для изменений (чтобы проводить в жизнь ограничения доступа и поддерживать протоколирование ограничивающих действий, применяются автоматические механизмы);

настройки (автоматические механизмы применяются для централизованного управления, применения и верифицирования настроек);

минимизация функциональности (с заданной частотой пересматривается ИС, чтобы идентифицировать и ликвидировать функции, порты, протоколы и иные сервисы, не являющиеся необходимыми);

периодическое сопровождение (применяются автоматические механизмы, чтобы обеспечить планирование и проведение периодического сопровождения в соответствии с установленными требованиями, а также актуальность, точность, полноту и доступность регистрационных записей о необходимых и произведенных действиях по сопровождению);

средства сопровождения (необходимо: досматривать все средства сопровождения (например, диагностическое и тестовое оборудования), вносимые на территорию организации обслуживающим персоналом, на предмет видимых ненадлежащих модификаций; проверять все носители, содержащие диагностические тестовые программы (например, ПО, используемое для сопровождения и диагностики систем), на предмет наличия вредоносного ПО, прежде чем носители будут применены в ИС; подвергать проверке все оборудование, применяемое в целях сопровождения и способное сохранять информацию, чтобы удостовериться, что в оборудовании не записана принадлежащая организации информация или, что оно должным образом санировано перед повторным использованием, если оборудование не может быть санировано, оно остается на территории организации или уничтожается, за исключением случаев, явно санкционированных соответствующими должностными лицами);

удаленное сопровождение (протоколируются все сеансы удаленного сопровождения, а соответствующие должностные лица просматривают регистрационный журнал удаленных сеансов; установка и использование каналов удаленной диагностики отражаются в плане безопасности ИС; сервисы удаленной диагностики или сопровождения допустимы только в том случае, если обслуживающая организация поддерживает в своей ИС по крайней мере тот же уровень безопасности, что и обслуживаемая).

Целостность систем и данных:

защита от вредоносного программного обеспечения (ИС автоматически изменяет механизмы защиты от вредоносного программного обеспечения);

верификация функциональности безопасности (ИС в рамках технических возможностей, при старте или перезапуске системы, по команде уполномоченного пользователя и/или периодически с заданной частотой верифицирует корректность работы функций безопасности и извещает системного администратора и/или выключает или перезапускает систему в случае выявления каких-либо аномалий);

целостность ПО и данных (ИС выявляет и защищает от несанкционированного изменения ПО и данных);

защита от спама (организация централизованно управляет механизмами защиты от спама).

Защита носителей - доступ к носителям (применяются либо посты охраны, либо автоматические механизмы для управления доступом к местам хранения носителей, обеспечения защиты от несанкционированного доступа, а также регистрации попыток доступа и доступа предоставленного).

Реагирование на нарушения информационной безопасности:

обучение (в учебные курсы включается моделирование событий, чтобы способствовать эффективному реагированию сотрудников на возможные кризисные ситуации);

тестирование (для более тщательного и эффективного тестирования возможностей реагирования применяются автоматические механизмы);

мониторинг (автоматические механизмы применяются, чтобы способствовать прослеживанию нарушений безопасности, а также сбору и анализу информации о нарушениях).

Идентификация и аутентификация - идентификация и аутентификация пользователей (ИС применяет многофакторную аутентификацию).

Управление доступом:

управление счетами (применяются автоматические механизмы, чтобы обеспечить протоколирование и, при необходимости, уведомление соответствующих лиц о создании, модификации, отключении счетов);

управление параллельными сеансами (ИС ограничивает число параллельных сеансов для одного пользователя);

надзор и просмотр (автоматические механизмы применяются, чтобы облегчить просмотр пользовательской активности);

автоматическая маркировка (ИС маркирует выходные данные, используя стандартные соглашения об именовании, чтобы идентифицировать все специальные инструкции по распространению, обработке и распределению данных).

Заключение

документооборот конфиденциальный информационный

Подведем итоги нашей работы. Нами были рассмотрены средства информационных технологий в ООО «Прайдекс». Вынесли предложение для получения большего эффекта при внедрении комплексной системы автоматизации управленческой деятельностью.

Прирост эффективности экономической деятельности предприятия в результате комплексной автоматизации системы управления может проявляться различным образом. В качестве возможных факторов, определяющих совокупный эффект от автоматизации, часто рассматриваются следующие составляющие:

· качественное улучшение процессов подготовки и принятия решений;

· уменьшение трудоемкости процессов обработки и использования данных;

· экономия условно-постоянных расходов за счет возможного сокращения административно -управленческого персонала, необходимого для обеспечения процесса управления предприятием;

· переориентация персонала, высвобожденного от рутинных задач обработки данных, на более интеллектуальные виды деятельности (например, ситуационное моделирование вариантов развития предприятия и анализ данных);

· стандартизация бизнес-процессов во всех подразделениях предприятия;

· оптимизация производственной программы предприятия;

· сокращение сроков оборачиваемости оборотных средств;

· установление оптимального уровня запасов материальных ресурсов и объемов незавершенного производства;

· уменьшение зависимости от конкретных физических лиц, являющихся «держателями» информации или технологий обработки данных;

· получение автоматизированной поддержки для мероприятий по «оптимизации» налогообложения компании;

· использование незаметных (скрытых) для исполнителей технологий контроля выполняемой ими работы, не требующих предоставления справок и отчетов к определенной дате.

Все вышеперечисленные факторы повышения результатов экономической эффективности представляют лишь потенциал, который должен быть востребован управленцем. Для превращения потенциальных источников роста эффективности в реально полученные результаты необходимо выполнение ряда дополнительных условий.

Условия, необходимые для получения эффекта

КИСУ является всего лишь поставщиком и инструментом обработки информации для поддержания деятельности конкретных специалистов. Однако, наличие полной информации о различных аспектах деятельности предприятия не является достаточным условием для того, чтобы заставить менеджеров проявлять «здравый смысл» и принимать оптимальные управляющие решения. Одна только ИТ не несет в себе существенных улучшений, если она не базируется на платформе из принципов, целей, стимулов и идей: всего того, что принято называть «корпоративной философией». Если такая основа изначально отсутствует или разваливается в ходе проведения работ, вместо эффекта получается лишь освоение средств, выделенных на закупку техники и программного обеспечения под автоматизацию. На рис.4 изображена платформа, на которой, как мы считаем, должен базироваться процесс комплексной автоматизации. В основании данной платформы - план и воля хозяина.

Потенциальная угроза внедрению информационной системы может исходить от недостаточно благоприятного отношения к ней пользователей, если новшества, вносимые в их работу новыми технологиями, не соответствуют их интересам. Получение предприятием ощутимого материального эффекта от автоматизации системы управления в значительной мере определяется способностью руководителя предприятия внушить коллективу веру в то, что при движении к поставленным общим целям будут достигнуты и индивидуальные цели конкретных сотрудников, поддерживающих процесс преобразований.

Структура затрат на автоматизацию управленческой деятельности

Инвестиции в КИСУ хозяйствующим субъектом обычно предполагают следующие группы затрат:

- приобретение КИСУ;

- обучение сотрудников хозяйствующего субъекта;

- внедрение КИСУ в деятельность хозяйствующего субъекта;

- закупка технических средств автоматизации (компьютеров и др. периферийных устройств) и монтаж локальных вычислительных сетей;

- обеспечение связи для взаимодействия с удаленными территориями;

- техническое сопровождение КИСУ.

Оценка экономической выгоды, получаемой хозяйствующим субъектом от автоматизации процедур управления

С экономической точки зрения явная выгода от реализации проекта комплексной автоматизации представляется как разница между полученным эффектом и понесенными затратами. Как уже отмечалось, истинная оценка полученного эффекта может быть сделана только руководством предприятия при сопоставлении достигнутых результатов с поставленными целями совершенствования системы управления. Предварительная оценка экономической выгоды, которую может получить предприятие от автоматизации процедур управления, выполняется экспертным путем.

Экспертные оценки возможного снижения затрат и экономической выгоды от автоматизации процедур управления для конкретного предприятия обычно формируются на стадии проведения консалтинговых работ. Расчета экономической эффективности может быть основан на сравнительном анализе показателей бизнес-процессов, характеризующих конкретные источники эффективности.

На первом этапе анализа проводится опрос основных пользователей предприятия с целью сбора сведений об ожидаемых пользователями последствиях предлагаемых консультантами изменений информационных технологий. Опрос позволяет сформулировать пункт за пунктом те материальные и качественные выгоды, которых пользователи ждут от автоматизации каждого бизнес-процесса, а также имеющие место риски. Выявленные выгоды последовательно переводятся из технических терминов в экономические. Побочным результатом опроса может являться оценка персонала и подбор кандидатов в группу внедрения новых информационных технологий.

Моделирование существующих процессов, которые предстоит совершенствовать и автоматизировать, является следующим этапом в расчете экономической эффективности. Здесь оценивается:

- удельная доля каждого автоматизируемого бизнес-процесса в совокупном объеме затрат на автоматизацию;

- относительный вклад каждого автоматизируемого бизнес-процесса в совокупный эффект.

- При наличии вышеперечисленных оценок становится возможным переход к стадии планирования затрат на автоматизацию во времени:

- расчет минимального момента времени, начиная с которого возможно получение «отдачи» от вложенных в автоматизацию каждого бизнес-процесса финансовых инвестиций;

- формирование и защита оптимального план-графика затрат (в соответствии с критерием затраты/эффект).

Так же предложена система защищенного электронного документооборота, предназначенного для обработки информации, составляющей коммерческую тайну, строится на базе:

· Операционная система серверов - Microsoft Server 2012, Microsoft ISA Server 2006;

· Операционная система АРМ - Microsoft Windows 10 (SP 2).

· Общее ПО (средства разработки документов) - Microsoft Office 2010;

· Специальное ПО (средства автоматизации бизнес-процессов) - DocsVision.

Исходя из выше сказанного, предложенные рекомендации по обеспечению информационной безопасности в ООО «Прайдекс», весьма прогрессивны и имеют большой потенциал. Кроме того, они с успехом могут быть реализованы не только в отдельно взятой организации, но в других организациях различной формы собственности.

Литература

1) Ивасенко А.Г., Гридасов А.Ю., Информационные технологии в экономике и управлении 2007.

2) Гохберг Г.С., Зафиевский А.В., Короткин А.А. Информационные технологии 2004.

3) Корнеев И.К., Ксандопуло Г.Н., Машурцев В.А. Информационные технологии 2007.

4) Серов В.М., Нестерова А.В., Серов А.В. Организация и управление в строительстве 2006.

5) Кисляков Ю.Н.., Слуднов А.В. Информационные технологии Управления персоналом -2005.

6). Моисеенко Е.В., Лаврушина Е.Г. Редактор: Л.З. Анипко. - Информационные технологии в экономике.

7) Мсхалая Ж.И., Осипов Ю.В., Павлов А.Б. - Основы информационных технологий. 2006.

8) Баронов В.В, Калянов Г.Н., Попов Ю.И., Титовский И.Н.- Информационные технологии и управление предприятием 2004.

9) Черников Б.В. Информационные технологии управления. - М.: Инфра-М, 2008.

10) Никифоров С.В. Введение в сетевые технологии. Элементы применения и администрирования сетей. - М., Финансы и статистика, 2003.

11) Максимов Н.В., Попов И.И. Компьютерные сети. - М., Форум - Инфра - М, 2004.

12) Пугачев В.П. Руководство персоналом организации: учебное пособие 2005.

13) В.П. Мельников, С.А. Клейменов, А.М. Петраков. - Информационная безопасность М.: Academia, 2005.

Размещено на Allbest.ru

...