Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ

ФГБОУ ВО «ПЯТИГОРСКИЙ ГОСУДАРСТВЕННЫЙ

УНИВЕРСИТЕТ»

Кафедра информационно-коммуникационных технологий, математики и информационной безопасности

ОТЧЕТ

ПО ПРОИЗВОДСТВЕННОЙ ПРАКТИКЕ

в ООО «Евросеть-Ритейл», г. Пятигорск

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ХАРАКТЕРИСТИКА ООО «ЕВРОСЕТЬ-РИТЕЙЛ»

1.1 Структура ООО «Евросеть-Ритейл»

1.2 Предметная область деятельности организации

2. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ООО «ЕВРОСЕТЬ-РИТЕЙЛ»

2.1 Система организационно-правового обеспечения защиты информации организации

2.2 Оценка качества организационно-правовой защиты информации ООО «Евросеть-Ритейл» и выработка рекомендаций по ее совершенствованию

ЗАКЛЮЧЕНИЕ

БИБЛИОГРАФИЯ

ВВЕДЕНИЕ

Прохождение производственной практики имеет большое значение в процессе подготовки будущих специалистов. Необходимость ее для студента заключается в том, что это отличная возможность объединить знания, полученные в процессе обучения, с практическими навыками, полученными в образовательном учреждении и хорошая возможность получить первоначальный опыт, так необходимый начинающему специалисту при трудоустройстве.

Проблема защиты информации (ЗИ) существовала всегда, но в настоящее время из-за огромного скачка научно-технического прогресса она прибрела особую актуальность. Поэтому задача специалистов по защите информации заключается в овладении всем спектром приемов и способов защиты, научится моделировать и проектировать системы ЗИ.

Применяя средства активной или пассивной защиты, мы тем или иным способом уменьшаем пропускную способность каналов утечки информации. Активные средства обеспечивают это путем создания помех, а средства пассивной защиты - путем ослабления уровня информационного сигнала.

Главная цель практики заключается в закреплении и углублении практических знаний, полученных при изучении специальных дисциплин, приобретении практических навыков и умений в сфере организационно-правовой защиты информации.

Объектом прохождения производственной практики является система ЗИ в ООО «Евросеть-Ритейл».

Основной задачей производственной практики является:

· ознакомление с назначением и деятельностью ООО «Евросеть-Ритейл»;

· оценка материально-технического обеспечения ООО «Евросеть-Ритейл»;

· изучение и анализ системы организационно-правового обеспечения защиты информации организации;

· разработка предложений по совершенствованию организационно-правовой защиты информации организации.

1. ХАРАКТЕРИСТИКА ООО «ЕВРОСЕТЬ-РИТЕЙЛ»

1.1 Структура организации

Общество с ограниченной ответственностью «Евросеть-Ритейл», г. Пятигорск (далее - Общество или ООО «Евросеть-Ритейл») имеет головной офис в г. Москва, ул. Беговая, д. 3, а также множество филиалов и представительств в различных городах России (в Екатеринбурге, Самаре, Хабаровске, Краснодаре, Санкт-Петербурге, Воронеже, Новосибирске).

В Пятигорске Общество представляет собой магазин по продаже продукции сотовой связи. Магазин является самостоятельной хозяйственной единицей.

Основной целью магазина является получение прибыли, а также удовлетворение запросов потребителей. Магазин располагается на арендованных площадях крупного торгового центра, расположенном в центре города рядом с густонаселенными районами. Вокруг торгового центра предусмотрена автомобильная парковка, что очень удобно для покупателей. Режим работы позволяет охватить довольно широкий сегмент потребителей.

В магазине работают восемь человек: директор магазина, бухгалтер, два старших менеджера (управляющие магазином), которые по совместительству является продавцом-консультантом, два продавца кассира и два охранника, которые работают посменно. Они работают по заключенным с ними трудовым договорам на постоянной основе.

Для стимулирования продаж магазин использует рекламу на радио, выпускает рекламные буклеты и календари, а также предлагает скидки на отдельные группы товаров и распространяет визитные карточки.

Управление магазином организовано по линейному принципу: существует 2 уровня управления. Основные принципы функционирования линейной структуры:

· все функции управления сосредоточены у руководителя организации, которым является директор;

· прямое подчинение персонала руководителю;

· единоначалие.

Организационная структура магазина представлена ниже на рис. 1.

Рис. 1

Организационная структура магазина

План магазина сотовой связи представлен на рис.2.



Рис. 2

организационный правовой защита информация

Общий план магазина

В должностные обязанности директора магазина входит:

1. Организация работы и эффективное взаимодействие производственных единиц и структурных подразделений магазина.

2. Разработка стратегии развития организации.

3. Проведение оперативного финансового и экономического анализа деятельности магазина.

4. Работа над совершенствованием системы мотивации (вознаграждения) работников магазина и ответственность за ее реализацию.

5. Отвечать за соблюдение трудовой дисциплины, выполнение приказов и распоряжений.

6. Отвечать за правильную организацию делопроизводства магазина, юридическую и экономическую проработку договоров, контрактов, соглашений и пр.

7. Составлять оперативные планы (месячные и декадные) магазина и утверждать их.

8. Контроль деятельности подразделений по выполнению утвержденных планов.

9. Выявление и устранение недостатков в работе магазина.

Права, которыми обладает директор магазина:

1. В пределах своей компетенции подписывать и визировать документы, издавать за своей подписью распоряжения.

2. Устанавливать служебные обязанности для подчиненных работников.

3. Запрашивать от структурных подразделений организации информацию и документы, необходимые для выполнения его должностных обязанностей.

4. Обеспечивать организационно-технические условия и оформления установленных документов, необходимых для исполнения должностных обязанностей.

Менеджер (управляющий) магазина выполняет следующие должностные обязанности:

1. Обработка входящих звонков от клиентов.

2. Координация оптовых и безналичных продаж.

3. Контроль товарного учета, заказ товаров.

4. Проведение инвентаризаций.

5. Заполнение внутренней документации.

6. Доставка товаров клиентам.

Бухгалтер выполняет следующие должностные обязанности:

1. Выполняет работу по ведению бухгалтерского учета имущества, обязательств и хозяйственных операций (учет основных средств, товарно-материальных ценностей, затрат на производство, реализации продукции, результатов хозяйственно-финансовой деятельности; расчеты с поставщиками и заказчиками, за предоставленные услуги и т.п.).

2. Участвует в разработке и осуществлении мероприятий, направленных на соблюдение финансовой дисциплины и рациональное использование финансов.

3. Осуществляет прием и контроль первичной документации по соответствующим участкам бухгалтерского учета и подготавливает их к счетной обработке.

4. Отражает на счетах бухгалтерского учета операции, связанные с движением основных средств, товарно-материальных ценностей и денежных средств.

5. Составляет отчетные калькуляции себестоимости продукции (работ, услуг), выявляет источники образования потерь и непроизводительных расходов, подготавливает предложения по их предупреждению.

6. Производит начисление и перечисление налогов и сборов в федеральный, региональный и местный бюджеты, страховых взносов в государственные внебюджетные социальные фонды, платежей в банковские учреждения, средств на финансирование капитальных вложений, заработной платы рабочих и служащих, других выплат и платежей, а также отчисление средств на материальное стимулирование работников организации.

7. Участвует в проведении экономического анализа хозяйственно-финансовой деятельности магазина по данным бухгалтерского учета и отчетности в целях выявления внутрихозяйственных резервов, осуществления режима экономии и мероприятий по совершенствованию документооборота.

8. Участвует в проведении инвентаризации денежных средств, товарно-материальных ценностей, расчетов и платежных обязательств.

9. Подготавливает данные по соответствующим участкам бухгалтерского учета для составления отчетности, следит за сохранностью бухгалтерских документов, оформляет их в соответствии с установленным порядком для передачи в архив.

10. Выполняет работы по формированию, ведению и хранению базы данных бухгалтерской информации, вносит изменения в справочную и нормативную информацию, используемую при обработке данных.

11. Выполняет отдельные служебные поручения своего непосредственного руководителя.

Охранник имеет следующие должностные обязанности:

1. Несет службу по охране объектов и материальных ценностей.

2. Осуществляет контроль над работой, установленных в магазине приборов охранной и охранно-пожарной сигнализации, сообщает об их срабатывании директору магазина, а при необходимости - в орган внутренних дел или в пожарную часть.

3. Выясняет причины срабатывания сигнализации и принимает меры к задержанию нарушителей или ликвидации пожара.

4. Принимает под охрану от материально ответственных лиц оборудованные сигнализацией обособленные помещения.

5. Осуществляет задержание лиц, пытающихся незаконно вынести материальные ценности с охраняемого объекта или подозреваемых в совершении правонарушений, и сопровождение их в караульное помещение или отделение милиции.

1.2 Предметная область деятельности организации

ООО «Евросеть-Ритейл» действует согласно действующему законодательству РФ и Уставу, в котором прописано, что основными видами деятельности организации являются:

· осуществление функций исполнительного органа (управление финансово-хозяйственной деятельностью) в иных обществах на основании заключенных с ними договорах;

· розничная и оптовая торговля и реализация средств сотовой, радиотелефонной связи;

· оптовая торговля фототоварами и оптическими товарами;

· предоставление услуг сотовой и радиотелефонной связи;

· оказание транспортно-экспедиционных услуг;

· оказание услуг по перевозке грузов автотранспортом;

· торгово-закупочная деятельность;

· создание и эксплуатация сети оптовых и розничных предприятий торговли (магазинов, складов и т.п.);

· производство, закупка и реализация продукции производственно-технического назначения, товаров народного потребления.

Обработка персональных данных в организации осуществляется оператором на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых оператором персональных данных соответствует заявленным целям обработки персональных данных. Оператором принимаются необходимые меры по удалению или уточнению неполных, или неточных персональных данных.

Хранение персональных данных оператором осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Права субъектов персональных данных. Общедоступные персональные данные - доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Для реализации вышеуказанных прав субъект персональных данных может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обратиться в организацию с соответствующим запросом. Для выполнения таких запросов представителю оператора может потребоваться установить личность обратившегося и запросить дополнительную информацию.

Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в вышестоящий орган, в органы прокуратуры или в судебном порядке.

Кроме того, действующее законодательство может устанавливать ограничения и другие условия, касающиеся упомянутых выше прав субъекта персональных данных.

2. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ООО «ЕВРОСЕТЬ-РИТЕЙЛ»

Организационные меры защиты информации - это комплекс мероприятий, направленный на регламентацию деятельности персонала в процессе обработки информации.

Основные направления организационной защиты информации в организации:

1) защита от несанкционированного доступа (на прошлой практике была предложена Программа «USB Security» для блокировки портов);

2) защита информации от утечки по техническим каналам (предложена программа SecurIT Zlock для разграничения доступа к любым внешним устройствам и портам ПК);

3) защита информации от незадекларированных возможностей (например, от вредоносного программного обеспечения, для этого была предложена программа Kaspersky Internet Security 2017);

4) защита информации от иностранных технических разведок (предложен модуль защиты телефонных линий SEL-17).

Рассмотрим основные организационные мероприятия по созданию и обеспечению функционирования комплексной системы защиты информации. Их можно разделить на разовые, эпизодические и постоянно проводимые.

Разовые мероприятия - мероприятия, однократно проводимые и повторяемые только при полном пересмотре принятых решений.

К разовым мероприятиям относятся:

1. Мероприятия по созданию научно-технической и методологической основы защиты системы, в том числе концепции и руководящие документы.

2. Мероприятия, осуществляемые при проектировании, строительстве и оборудовании объекта.

3. Проведение специальных проверок всех технических средств.

Эпизодические мероприятия - мероприятия, проводимые при осуществлении или возникновении определенных изменений в защищаемой системе или внешней среде.

К эпизодическим мероприятиям относятся: мероприятия, осуществляемые при кадровых изменениях в составе персонала мероприятия, осуществляемые при ремонте и модификации оборудования, программного обеспечения и т. д.

К периодически проводимым мероприятиям относятся:

1. Распределение и разграничение реквизитов разграничения доступа (раздача паролей).

2. Анализ системных журналов и принятие мер по обнаруженным недостаткам и проблемам.

3. Анализ состояния и оценка эффективности мер защиты информации.

4. Мероприятия по пересмотру состава и перестроению системы защиты.

К постоянно проводимым мероприятиям относятся: мероприятия по обеспечению достаточного уровня физической защиты всех элементов объекта (охрана, в том числе и противопожарная, сохранность съемных носителей); явный или скрытый контроль за работой персонала системы; контроль за реализацией выбранных мер защиты; постоянно осуществляемый анализ состояния системы защиты.

Организационно-правовая защита в ООО «Евросеть-Ритейл» предназначена для регламентации деятельности пользователей информационных систем защиты информации и представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации на организации.

Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Для организации и обеспечения эффективного функционирования системы защиты информации должны быть разработаны документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в информационной системе, а также документы, определяющие права и обязанности пользователей при работе с электронными документами юридического характера.

Одним из направлений в области услуг по информационной безопасности является разработка организационно-распорядительных документов различного уровня.

Документы верхнего уровня - концепция информационной безопасности и политика информационной безопасности определяют общие взгляды и идеологию организации в области защиты информации.

Регламентирующие документы - это различные политики и регламенты, в частности политика резервного копирования, регламент доступа пользователей к сети Интернет и т. д., а также различные инструкции и положения.

Организационная защита включает в себя регламентацию:

1. Составления и регулярного обновления состава защищаемой информации организации, составления и ведения перечня защищаемых бумажных и электронных документов.

2. Разрешительной системы разграничения доступа персонала к защищаемой информации.

3. Методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников.

4. Направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации.

5. Технологии защиты, обработки и хранения бумажных и электронных документов.

6. Порядка защиты ценной информации организации от случайных или умышленных несанкционированных действий персонала.

7. Ведения всех видов аналитической работы.

8. Оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией.

9. Системы охраны территории.

10. Действий персонала в экстремальных ситуациях.

11. Организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны.

12. Работы по управлению системой защиты информации.

13. Критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Организационно-правовая основа защиты информации должна включать:

1. Определение подразделений и лиц, ответственных за организацию защиты информации.

2. Нормативно-правовые, руководящие и методические материалы (документы) по защите информации.

3. Ответственность за нарушение правил защиты.

4. Порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Так как организация обрабатывает персональные данные покупателей мобильных устройств, существует необходимость обеспечивать защиту этой информации от посягательств возможных злоумышленников.

2.1 Система организационно-правового обеспечения защиты информации организации

Организация ООО «Евросеть-Ритейл» касательно защиты информации использует в своей работе следующие нормативно-правовые акты:

1. Федеральный закон N 149 «Об информации, информационных технологиях и о защите информации» от 29 июля 2006 г.

2. «Инструкцию по антивирусной защите» от 19.12.2014 г.

3. «Инструкцию по модификации программного обеспечения и технических средств» от 17.01.2015 г.

4. «Порядок парольной защиты информационной системы персональных данных» от 23.03.2015 г.

Так как организация обрабатывает персональные данные сотрудников и клиентов, которые, согласно ФЗ № 149 «О персональных данных», являются общедоступными, следовательно, в нормативных документах должны быть прописаны правила их защиты.

Рассмотрим подробнее внутренние нормативные документы организации.

Инструкция по антивирусной защите содержит следующие положения:

1. Применение средств антивирусной защиты:

1.1. Антивирусный контроль дисков и файлов информационной системы персональных данных после загрузки компьютера должен проводиться в автоматическом режиме (периодическое сканирование или мониторинг).

1.2. Периодически, не реже одного раза в неделю, должен проводиться полный антивирусный контроль всех дисков и файлов информационной системы персональных данных (сканирование).

1.3. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая информация по телекоммуникационным каналам связи, на съемных носителях (магнитных дисках, CD(DVD)-ROM и флеш-накопителях т.п.).

1.4. Разархивирование и контроль входящей информации необходимо проводить непосредственно после ее приема.

1.5. Контроль исходящей информации необходимо проводить непосредственно перед отправкой (записью на съемный носитель).

1.6. Установка (обновление и изменение) системного и прикладного программного обеспечения осуществляется в соответствии с «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационной системы персональных данных организации».

1.7. Обновление антивирусных баз должно проводиться регулярно, но не реже, чем 1 раз в неделю.

2. Функции Администратора информационной системы персональных данных по обеспечению антивирусной безопасности. В организации данные функции выполняет системный администратор.

Администратор информационной системы персональных данных обязан:

2.1. При необходимости проводить инструктажи пользователей информационной системы персональных данных по вопросам применения средств антивирусной защиты.

2.2. Настраивать параметры средств антивирусного контроля в соответствии с руководствами по применению конкретных антивирусных средств.

2.3. Предварительно проверять устанавливаемое (обновляемое) программное обеспечение на отсутствие вирусов.

2.4. При необходимости производить обновление антивирусных программных средств или настраивать систему автоматического обновления.

2.5. Производить получение и рассылку обновлений антивирусных баз (при необходимости).

2.6. Разрабатывать инструкции по работе пользователей с программными средствами антивирусной защиты (при необходимости).

2.7. Проводить работы по обнаружению и обезвреживанию вирусов.

2.8. Участвовать в работе комиссии по расследованию причин заражения ПЭВМ.

2.9. Хранить эталонные копии антивирусных программных средств.

2.10. Осуществлять периодический контроль соблюдения пользователями ПЭВМ требований настоящей Инструкции.

3. Функции пользователей

Пользователи информационной системы персональных данных обязаны:

3.1. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) сотрудник самостоятельно или вместе с администратором информационной системы персональных данных должен провести внеочередной антивирусный контроль ПЭВМ. При необходимости он должен привлечь Администратора безопасности информационной системы персональных данных для определения факта наличия или отсутствия компьютерного вируса.

3.2. В случае обнаружения (при проведении антивирусной проверки) зараженных компьютерными вирусами файлов, сотрудники подразделений обязаны:

а) приостановить работу;

б) немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя подразделения и Администратора информационной системы персональных данных, владельца зараженных файлов, а также всех, кто использует эти файлы в работе;

в) совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования;

г) провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь Администратора безопасности информационной системы персональных данных);

д) в случае обнаружения вируса, не поддающегося лечению установленными антивирусными средствами, передать зараженный вирусом файл на съемном носителе Администратору информационной системы персональных данных для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку;

е) по факту обнаружения зараженных вирусом файлов составить служебную записку Администратору безопасности информационной системы персональных данных, в которой необходимо указать предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации и выполненные антивирусные мероприятия.

Инструкция по модификации программного обеспечения и технических средств содержит следующие положения:

Порядок проведения работ

Все изменения конфигурации автоматизированных рабочих мест (далее-АРМ) и состава программного обеспечения средств вычислительной техники организации ООО «Евросеть-Ритейл», не аттестованных по требованиям безопасности персональных данных, производятся на основании обоснованных заявок сотрудников ООО «Евросеть-Ритейл», согласованных с директором.

Те же действия, но в отношении аттестованных по требованиям безопасности персональных данных АРМ, дополнительно согласовываются с ответственным за безопасность информации. Указанное должностное лицо определяет необходимость повторной процедуры аттестации информационной системы персональных данных, о чем извещает директора.

Все изменения конфигурации технических программных средств рабочих станций организации ООО «Евросеть-Ритейл», а также перечень программного обеспечения, разрешенного к использованию на ПЭВМ, отражаются в паспорте объекта информатизации.

ЗАПРЕЩАЕТСЯ изменение состава (в том числе ввод новых) программных средств, осуществляющих обработку персональных данных на объектах информатизации, аттестованных по требованиям безопасности информации.

После согласования заявка передается начальнику для исполнения работ по внесению изменений в конфигурацию конкретного АРМ организации ООО «Евросеть-Ритейл». Право внесения изменений в конфигурацию аппаратно-программных средств рабочих станций информационной системы персональных данных организации предоставляется системному администратору.

Изменение конфигурации аппаратно-программных средств рабочих станций и серверов кем-либо, кроме системного администратора и/или ответственного за обеспечение безопасности персональных данных, ЗАПРЕЩЕНО.

Им же осуществляется установка и настройка программного средства согласно эксплуатационной документации.

Запрещается установка и использование на ПЭВМ любого программного обеспечения (ПО), не входящего в перечень программного обеспечения, разрешенного к использованию на объекте информации. Директор осуществляет контроль за отсутствием на ПЭВМ сотрудников программного обеспечения и данных, которые не связаны с выполнением должностных обязанностей.

Установка (обновление) ПО (системного, тестового и т.п.) на рабочих станциях и серверах производится с эталонных копий программных средств, хранящихся у директора. Все добавляемые программные и аппаратные компоненты должны быть предварительно проверены на работоспособность, а также отсутствие вредоносного программного кода в соответствии с «Инструкцией по организации антивирусной защиты информационной системы персональных данных организации ООО «Евросеть-Ритейл».

После установки (обновления) программного обеспечения системный администратор должен произвести настройку средств управления доступом к компонентам данной задачи (программного средства) в соответствии с требованиями к системе защиты информации и, совместно с пользователем АРМ проверить правильность настройки средств защиты.

В случае обнаружения не декларированных (не описанных в документации) возможностей программного средства, сотрудники немедленно докладывают руководителю. В этом случае использование программного средства до получения специальных указаний ЗАПРЕЩАЕТСЯ.

После завершения работ по внесению изменений в состав аппаратных средств, защищенных ПЭВМ системный блок должен быть опечатан (опломбирован, защищен специальной наклейкой).

При изъятии ПЭВМ из состава рабочих станций, обрабатывающих информацию ограниченного распространения (защищаемая информация), ее передача на склад, в ремонт или в другое подразделение для решения иных задач осуществляется только после того, как системный администратор снимет с данной ПЭВМ средства защиты и предпримет необходимые меры для затирания (уничтожения) защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется актом за подписью директора организации.

«Порядок парольной защиты информационной системы персональных данных» содержит следующие положения:

1. Функции сотрудников.

1.1. Непосредственное исполнение, организация и контроль исполнения требований настоящего порядка на предприятии ООО «Евросеть-Ритейл» осуществляется всеми пользователями информационной системы персональных данных, а именно:

· пользователь информационной системы персональных данных:

- регулярная (с частотой, установленной настоящим Порядком) смена используемой в работе парольной информации.

- выбор парольной информации с качеством, установленным настоящим Порядком.

· администратор безопасности информационной системы персональных данных:

- организационно-методическое обеспечение процессов генерации, смены и удаления паролей в информационной системы персональных данных организации ООО «Евросеть-Ритейл»;

- разработка всех необходимых инструкций по вопросам парольной защиты информационной системы персональных данных организации ООО «Евросеть-Ритейл»;

- организация доведения до пользователей информационной системы персональных данных ООО «Евросеть-Ритейл»требований по парольной защите;

- организация периодического и выборочного контроля исполнения сотрудниками организации ООО «Евросеть-Ритейл» требований настоящего Порядка;

- согласование выдачи управляющих учетных записей к информационной системы персональных данных;

- текущий контроль действий персонала организации ООО «Евросеть-Ритейл» по работе с паролями (автоматизированный контроль качества паролей - при наличии программно-технических средств);

- техническое обеспечение (при наличии программно-технических средств) процессов генерации/выбора, смены и удаления паролей, соответствующая конфигурация информационной системы персональных данных.

2. Качество и обращение парольной информации.

2.1. Пароли доступа к аппаратно-программным вычислительным средствам, информационным ресурсам организации ООО «Евросеть-Ритейл» формируются (выбираются) пользователями этих ресурсов с учетом следующих требований к качеству парольной информации (Таблица 1):

Таблица 1.

Требования к качеству парольной информации

№	Параметр качества пароля	Админи- стратор	Пользователь
1	Минимальная длина пароля в символах	10	6
2	Максимальная длина пароля в символах	32	16
3	Содержание в пароле букв верхнего и нижнего регистра	Да	Да
4	Содержание в пароле специальных символов (@, #, $, &, * и т.п.) и цифр	Рекомен- дуется	Рекомендуется
5	Содержание в пароле личных имен, фамилий, кличек домашних животных, № телефонов, дат рождения, географических названий, именований АРМ и т.п.	Нет	Нет
6	Содержание в пароле общепринятых сокращений (ПЭВМ, ЛВС, USER, SYSOP и т.д.)	Нет	Нет
7	Минимальное отличие нового пароля от предыдущего (в позициях)	3	3
8	Максимальный срок действия пароля	45 дней	90 дней
9	Минимальный срок действия пароля	Нет	Нет
11	Пароль на заставку монитора	Да	Да

2.2. Хранение сотрудником (администратором, пользователем) личных паролей допускается только в личном сейфе (запираемом шкафу, ящике), либо в сейфе (запираемом шкафу, ящике) администратора, либо в сейфе (запираемом шкафу, ящике) руководителя. При этом бумажный носитель должен быть упакован в отдельный опечатанный конверт.

2.3. Личные пароли и/или дополнительные идентификаторы (электронные ключи) пользователи и администраторы самостоятельно никому не имеют права сообщать и(или) передавать.

2.4. Внеплановая смена/удаление пароля (и при возможности учетной записи) пользователя или администратора автоматизированной системы организации Пятигорский «Водоканал» в случае прекращения его полномочий должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.

2.5. Внеплановая полная смена паролей должна производиться в случае прекращения полномочий Администратора безопасности информационной системы персональных данных, других сотрудников, которым по роду работы были предоставлены либо полномочия по управлению информационной системы персональных данных, либо полномочия по управлению подсистемой защиты информации информационной системы персональных данных.

2.6. В случае компрометации пароля доступа в информационной системы персональных данных Администратором безопасности информационной системы персональных данных, должны быть немедленно предприняты меры в зависимости от полномочий владельца скомпрометированного пароля и обстоятельств компрометации.

2.7. Все сотрудники организации ООО «Евросеть-Ритейл» обязаны по первому требованию Администратора безопасности информационной системы персональных данных предъявить значения действующего личного пароля для контроля соответствия установленным требованиям, а после проверки провести немедленную его смену.

2.8 Администратор безопасности информационной системы персональных данных, по согласованию с ответственным за обеспечение безопасности персональных данных проводит ежеквартальный выборочный контроль выполнения сотрудниками организации ООО «Евросеть-Ритейл» требований Порядка. О фактах несоответствия качества паролей и/или условий обеспечения их сохранности Администратор информационной системы персональных данных докладывает директору.

2.2 Оценка качества организационно-правовой защиты информации организации и рекомендации по ее совершенствованию

Оценивая качество защиты информации на предприятии, можно отметить, что защита информации организована на достаточном уровне. Однако нами были обнаружены некоторые недостатки в защите.

В связи с этим, рекомендуем:

- разработать и внедрить в организации «Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями»;

- а также в целях защиты данных разрешить сотрудникам использование дополнительных идентификаторов для доступа к системе.

Инструкция должна содержать следующие положения:

1. Порядок использования учетных записей пользователей.

С целью соблюдения принципа персональной ответственности за свои действия, каждому сотруднику, допущенному к работе с ИСПДн, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в системе.

В случае производственной необходимости, некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей).

Использование несколькими сотрудниками при самостоятельной работе в ИСПДн одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.

Использование сотрудником имени пользователя, сопоставленного с другим сотрудником (учетной записи другого сотрудника), при работе в ИСПДн ЗАПРЕЩЕНО.

2. Порядок предоставления пользователям прав доступа к ИСПДн.

Процедура регистрации (создания учетной записи) пользователя и предоставления (изменения) ему прав доступа к ресурсам ИСПДн инициируется приказом о допуске сотрудника к работам в ИСПДн или заявкой руководителя подразделения, в котором числится данный сотрудник. Заявка согласовывается с директором организации ООО «Евросеть-Ритейл», после чего администратором информационной безопасности ИСПДн создается учетная запись.

На основании приказа, либо при получении заявки на предоставление (изменение) прав доступа пользователя к ресурсам ИСПДн, администратор информационной безопасности ИСПДн в зависимости от характера заявки:

1. Создает учетную запись.

2. Производит изменение прав доступа учетной записи.

3. Осуществляет блокирование учетной записи.

При предоставлении сотруднику прав доступа к ресурсам необходимо руководствоваться принципом предоставления минимальных прав для решения требуемых задач.

Администратор информационной безопасности ИСПДн несет ответственность за минимальную достаточность прав доступа, имеющихся у пользователей. В случае наличия у пользователей избыточных для работы прав доступа, он вносит необходимые изменения в соответствии с настоящей Инструкцией.

При выдаче пользователю персонального идентификатора, факт выдачи должен фиксироваться в соответствующем журнале.

Целесообразно документирование прав доступа в электронном виде, для чего создается специальная база данных, в которой указываются следующие данные:

1. Фамилия, имя, отчество пользователя.

2. Учетная запись.

3. Контролируемый ресурс.

4. Права доступа.

5. Отметка об удалении учетной записи при увольнении.

Изменения в конфигурации механизмов защиты информации производятся только администратором информационной безопасности ИСПДн и только в соответствии с документацией на средства защиты информации персональных данных.

При изменении статуса пользователя (увольнение, перевод на другую должность и т.п.) права доступа пользователя должны быть изменены.

Данная инструкция обеспечит порядок использования учетных записей пользователей и порядок предоставления пользователям прав доступа к информационной системе персональных данных.

Касательно использования дополнительных идентификаторов для входа в систему (типа TM, eToken или другие электронные ключи), предлагаем включить следующие пункты в рассмотренный выше «Порядок парольной защиты информационной системы персональных данных»:

1. В целях усиления процедур идентификации и аутентификации в информационной системы персональных данных организации ООО «Евросеть-Ритейл», пользователи информационной системы персональных данных могут использовать дополнительные индивидуальные электронные идентификаторы (смарт-карты, eToken и т.д.) совместно с личным паролем доступа.

2. Дополнительные идентификаторы выдаются и учитываются в соответствии с «Инструкцией по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем персональных данных»:

- сотрудники получают дополнительные идентификаторы под роспись;

- администратор безопасности информационной системы персональных данных, по обращению к нему сотрудников, регистрирует дополнительные идентификаторы в информационной системы персональных данных и инструктирует сотрудников с учетом требований настоящего порядка и правил эксплуатации для дополнительных идентификаторов.

3. Сотрудники организации ООО «Евросеть-Ритейл», получившие в пользование дополнительные идентификаторы, лично обеспечивают надежное круглосуточное безопасное хранение и использование идентификаторов. Оставление идентификатора без присмотра запрещается.

4. В случае утери дополнительного идентификатора сотрудники немедленно ставят об этом в известность Администратора безопасности информационной системы персональных данных и своего непосредственного руководителя. Администратор организуют немедленную блокировку утерянных ключей в автоматизированных системах.

Считаем, что предложенные меры организационно-правовой защиты информации позволять повысить уровень системы ЗИ организации в целом.

ЗАКЛЮЧЕНИЕ

Местом прохождения нашей производственной практики является ООО «Евросеть-Ритейл», г. Пятигорск. В процессе прохождения практики нами была изучена структура организации ООО «Евросеть-Ритейл», ее предметная область деятельности, проанализирована существующая система организационно-правового обеспечения защиты информации. Нами были проанализированы должностные инструкции по защите информации: Инструкция по организации антивирусной защиты информационных систем персональных данных, Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств информационных систем персональных данных, а также Порядок парольной защиты в информационных системах персональных данных.

В результате пройденной производственной практики:

1. Были закреплены теоретические знания, полученные в процессе обучения в Университете.

2. Были выдвинуты предложения по совершенствованию организационно-правовой защиты информации, а именно: внедрить на предприятии «Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями», а также в целях защиты данных разрешить сотрудникам использование дополнительных идентификаторов для доступа к системе.

Предложенная «Инструкция по внесению изменений в списки пользователей и наделению их полномочиями» обеспечит порядок использования учетных записей пользователей и предоставления пользователям прав доступа к информационной системе персональных данных, а использование дополнительных идентификаторов позволит усилить процедуры идентификации и аутентификации в информационной системе.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Делопроизводство (документационное обеспечение управления) [Текст]: учебник / М. И. Басаков, О. И. Замыцкова. - Изд. 13-е, стер. - Ростов-на-Дону: Феникс, 2014. - 375 с. - (Среднее профессиональное образование). - Библиогр.: с. 367-368. - студенты СПО. - ISBN

2. Информационная безопасность [Текст]: учеб. пособие для студентов СПО / В. П. Мельников, С. А. Клейменов, А. М. Петраков. - 8-е изд., испр. - Москва: Академия, 2013. - 331, [1] с. - (Среднее профессиональное образование. Информатика и вычислительная техника). - студенты СПО. - ISBN 978-5-7695-9954-5: 566-50.

3. Конфиденциальное делопроизводство и защищенный электронный документооборот [Электронный ресурс]: учебник / под общ. ред. Н. Н. Куняева. - Москва: Логос, 2011. - 452 с. - (Новая университетская библиотека). - ISBN 978-5-98704-541-1.

4. Технические средства информатизации [Текст]: учеб. для СПО / Е. И. Гребенюк, Н. А. Гребенюк. - 8-е изд., стер. - Москва: Академия, 2013. - 349, [1] с. - (Среднее профессиональное образование. Информатика и вычислительная техника). - студенты СПО. - ISBN 978-5-4468-0149-7: 547-80.

5. Конституция Российской Федерации [Текст]. - Санкт-Петербург: Виктория плюс, 2013. - 47, [1] с. - ISBN 978-5-91673-031-9

6. Конституция Российской Федерации с комментариями для изучения и понимания [Текст] / коммент. Л. Ш. Лозовский, Б. А. Райзберг. - М.: ИНФРА-М, 2007. - 128 с. - ISBN 978-5-16-000148-7

7. Служба защиты информации: организация и управление [Электронный ресурс]: учебное пособие для вузов / В.И. Аверченков, М. Ю. Рытов. - Москва: Флинта, 2011. - 186 с. - (2-е изд., стер.). - ISBN 978-5-9765-1271-9

8. Безопасность информационных технологий. Периодическое издание

9. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями)

10. Закон о персональных данных №152-ФЗ «от 1 июля 2011 года».

11. Очаков А.К. Учебно-методический комплекс по дисциплине «Компьютерные вирусы и борьба с ними» [Текст]: для специальности 090103.65 - «Организация и технология защиты информации» / А.К. Очаков; Пятиг. гос. лингвист. ун-т - Пятигорск: ПГЛУ, 2011. - 23 с.

12. Писаренко Е.А. Информационная безопасность [Текст]: учеб. пособие / Е.А. Писаренко; Пятиг. гос. лингвист. ун-т. - Пятигорск: ПГЛУ, 2012. - 72 с.

13. Рындюк В.А. Курс лекций по дисциплине «Основы информационной безопасности» [Текст]: учеб. пособие / В.А. Рындюк; Пятиг. гос. лингвист. ун-т. - Пятигорск: ПГЛУ, 2012. - 54 с.

14. Семененко, В.А. Информационная безопасность / В.А. Семененко. - М.: МГИУ, 2010. - 277 с.

15. Смоленцев, С.В. Информационные технологии. Защита информации в корпоративных сетях / С.В. Смоленцев. - СПб.: Изд-во ГМА им. С. О. Макарова, 2009. - 200с.

16. Сердюк, В.А. Новое в защите от взлома корпоративных систем / В.А. Сердюк. - СПб: Техносфера, 2007. - 360 с.

17. Сидорин, Ю.С. Технические средства защиты информации / Ю.С. Сидорин. - СПб: Издательство Политехнического университета, 2005. - 141 с.

18. Тихонов, В.А. Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты / В.А. Тихонов, В.В. Райх. - М.: Гелиос АРВ, 2006. - 528 с.

19. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах / П.Б. Хорев. - М.: Академия, 2008. - 256 с.

Размещено на Allbest.ru

...