Разработка системы защищенного электронного документооборота на предприятии

- зачисление и перевод платежей в государственный бюджет, и внебюджетные фонды;

- отражение в бухгалтерском учете операций, сопряженных с перемещением денежных средств и товарно-материальных ценностей;

- подготовка данных по участкам бухгалтерского учета для составления отчетности;

- формирование трудовых контрактов;

Оценка трудовой деятельности каждого работника;

- перевод, повышение, снижение, сокращение в связи от результатов труда;

- профориентация и адаптация - введение набранных сотрудников в коллектив, в процесс производства;

- установление заработной платы и льгот в целях привлечения, поддержка, закрепления сотрудников;

- организация обучения кадров.

В состав бухгалтерии входят три человека: главный бухгалтер, бухгалтер, секретарь бухгалтерии.

2.2.2 Отдел по работе с клиентами

Главными вопросами работников отдела по работе с клиентами считаются:

- выполнение плана продаж;

- анализ и систематизация клиентской базы;

- контроль состояния дебиторской и кредиторской задолженностей клиентов;

- решение конфликтной ситуации с клиентами

- консультации возможных потребителей.

В состав отдела входят десять человек, в том числе руководителя отдела.

2.2.3 Приёмная директора предприятия

Единственным работником приемной руководителя считается секретарь, в прямые обязанности которого входит:

- реализация деятельности по организационно-техническому обеспечению административно-распорядительной работы руководителя;

- приём поступающей на рассмотрение руководителя корреспонденции, предоставление её в соответствии с установленным постановлением в структурные подразделения либо определенным исполнителем с целью применения в ходе деятельность или подготовки решений;

- управление делопроизводства, осуществление разных операций с использованием компьютерной техники, предназначенной для сбора, обработки и представления данных при подготовке и принятии решений;

- приём документов и индивидуальных заявлений на подпись руководителя;

- подготовка бумаг и использованных материалов, требуемых для работы руководителя;

- согласно поручению руководителя формирование писем, запросов, иных документов, организация решений авторам писем.

2.3 Анализ нормативной законодательной базы

В согласовании с особыми требованиями и рекомендациями согласно технической защите секретной информации, подтвержденными указом Гостехкомиссии Российской федерации с 30 августа 2002 годы, конфиденциальная информация - сведения с ограниченным доступом, не включающая данных, элементов муниципальную тайну, допуск к которой ограничивается в соответствии с законодательством Российской Федерации.

Список конфиденциальной информации утвержден Указом Президента Российской Федерации от 6 марта 1997 г. N 188. К настоящему периоду установлен ряд законодательных действий, в которых регулируются взаимоотношения, сопряженные с различными видами конфиденциальной информации:

- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 12 марта 2014 г. N 98-ФЗ "О коммерческой тайне";

- Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

В статье 5 Федерального закона "Об информации, информационных технологиях и защите информации" предоставляется систематизация данных в связи с режима ее распространения, законодатель разделяет сведение в последующие категории:

- информацию, свободно распространяемую;

- информацию, предоставляемую согласно договору лиц, участвующих в определенных взаимоотношениях.

- информацию, что в согласовании с федеральными законами подлежит предоставлению или распространению;

- информацию, распространение которой в Российской Федерации ограничивается либо запрещается.

В статье 9 говориться, то что Федеральными законами формируются условия отнесения информации к данным, составляющим коммерческую тайну, должностную тайну и иную тайну, необходимость соблюдения конфиденциальности такого рода данных, а кроме того ответственность за её разглашение. Далее будут рассмотрены перечисленные законы.

Коммерческая тайна в соответствии с законодательством "О коммерческой тайне" установлена равно как конфиденциальность информации. Данная тайность предоставляет возможность владельцу коммерческой тайны приобрести при одинаковых возможностях финансовую выгоду в виде сбережения на рынке, в виде увеличения прибыли и уменьшения затрат. Сущность коммерческой тайны - это финансовая, в том числе экономическая, научно-техническая, в этом числе "ноу-хау", и производственная информация.

Для того чтобы вышеуказанная информация приобрела положение коммерческой тайны, в отношении этой информации обладателем обязан быть введен порядок коммерческой тайны. Помимо этого, эта информация обязана обладать объективную либо возможную торговую значимость в силу этого, она неизвестна ни одному человеку, помимо её владельца. Кроме того, не должно быть свободного доступа к данной информации.

Режим коммерческой тайны установлен в законе как меры, которые предпринимает её владелец с целью защиты её конфиденциальности. Данные меры носят правовой, организационный, технический и другой вид.

В статье 4 закона заключается мера о том, кому принадлежит возможность регулировать, относится или нет информации к коммерческой тайне. Это возможность принадлежит владельцу такой информации с учетом положения этого закона.

Весьма важна для понимания совокупности норм закона статья 5, закрепляющая структуру данных, которые не могут составлять коммерческую тайну. Перечислим данные, которые не могут составлять коммерческую тайну:

- держащихся в учредительных документах юридического лица, бумагах, подтверждающих обстоятельство внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие муниципальные реестры;

- содержащие в документах данную информацию, предоставляющих возможность на реализацию предпринимательской работы;

- о составе собственности государственного либо городского унитарного предприятия, правительственного учреждения и о применении ими средств соответствующих бюджетов;

- о загрязнении находящейся вокруг сферы, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной ситуации, безопасности пищевых продуктов и иных факторах, оказывающих отрицательное влияние на обеспечение безопасного функционирования производственных предметов, безопасности каждого гражданина и безопасности жителей в целом;

- о численности, о составе сотрудников, о концепции оплаты труда, об условиях работы, в том числе об охране труда, о показателях производственного - травматизма и профессиональной заболеваемости, и о присутствии свободных рабочих мест;

- о задолженности работодателей по выплате заработной платы и согласно другим социальным выплатам;

- о нарушениях законодательства Российской Федерации и прецедентах привлечения к ответственности из-за осуществления данных нарушений;

- об условиях конкурсов или аукционов согласно приватизации объектов государственной либо городской собственности;

- о размерах и структуре прибыли некоммерческих учреждений, о размерах и составе их собственности, об их затратах, о численности и об оплате труда их сотрудников, о применении бесплатного труда людей в деятельности некоммерческой компании;

- о перечне лиц, обладающих возможностью функционировать в отсутствии доверенности от имени юридического лица;

- необходимость выявления которых или неприемлемость ограничения доступа, к которым определена иными федеральными законами.

Полномочия владельцев коммерческой тайны закреплены в ст.7 Закона. Сведения права приобретаются собственником с момента утверждения режима коммерческой тайны для той либо иной информации. Владелец обладает последующими полномочиями:

- определять, менять и отменять порядок коммерческой тайны;

- применять данные, составляющую коммерческую тайну, с целью своих потребностей;

- разрешать либо запрещать доступ к данным, составляющей коммерческую тайну, формулировать процедуру и требование доступа к данной информации;

- внедрять в гражданский оборот сведение, составляющую коммерческую тайну, на основе соглашений, учитывающих введение в них условий об охране конфиденциальности данной информации;

- предъявлять требования от юридических и физических лиц, получивших доступ к данным, составляющей коммерческую тайну, органов государственной власти, других муниципальных организаций, органов регионального самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязательств по охране её конфиденциальности;

- предъявлять требования от лиц, получивших доступ к информации, составляющей коммерческую тайну, вследствие операций, осуществленных случайно либо по ошибке, защиты конфиденциальности данной информации;

- защищать в установленном законодательством порядке собственные полномочия в случае разглашения, противозаконного извлечения либо противозаконного применения третьими лицами информации, составляющей коммерческую тайну, в этом числе предъявлять требования возмещения потерь, доставленных в связи с нарушением его прав.

Ст.10-13 Закона посвящены охране коммерческой тайны. Общими мерами предоставления соблюдения конфиденциальности данных считаются следующее:

- разработка перечня данных, имеющая отношение к коммерческой тайне;

- ограничение и регулирование доступа к носителям данных;

- определение круга лиц, обладающих полномочиями доступа к информации;

- создание и закрепление правил согласно регулированию взаимоотношений по применению информации, составляющей коммерческую тайну, в концепции трудовых договоров, соглашений с контрагентами;

- нанесение на документы, соглашения, образующие коммерческую тайну надписи "конфиденциальная информация", при этом следует определять владельца информации (место пребывания, название).

Уже после принятия вышеуказанных мер порядок коммерческой тайны является установленным.

Помимо этого, владелец информации, общепризнанной коммерческой тайной, имеет право использовать допустимые, не противоречащие закону, способы и средства технической защиты носителей секретной информации.

Ст.11 Закона об охране конфиденциальной информации в рамках трудовых правоотношений. Тут работодатель для защиты коммерческой тайны должен:

- сформировать список данных, составляющую коммерческую тайну;

- ознакомить с подтвержденным списком под подпись абсолютно всех работников, доступ к коммерческой тайне, который нужен по долгу службы;

- ознакомить под роспись работников с порядком коммерческой тайны и критерием ответственности за его несоблюдения;

- гарантировать требование для соблюдения порядка коммерческой тайны на трудящихся местах.

Принятие сотрудником информации, составляющих коммерческую тайну, исполняется только лишь с его согласия, за исключением происшествия, если получение подобных данных непосредственно учтено его трудовыми обязательствами.

В случае противозаконного определения порядка коммерческой тайны касательно данных, к которой сотрудник получил доступ при выполнении им своих трудовых обязательств, он может оспорить обжаловать в суде.

С целью защиты конфиденциальности данных сотрудник обязан соблюдать последующих правил. Сотрудник обязуется:

- осуществлять определенный порядок коммерческой тайны на предприятии

- ни каким образом не разглашать данные, составляющие коммерческую тайну, и никак не применять без согласия работодателя и его контрагентов данные сведения в индивидуальных целях;

- вернуть все без исключения, существующие у него документы, которые содержат сведение, составляющую коммерческую тайну;

- никак не раскрывать вышеуказанные данные уже после завершения рабочего соглашения. В случае если между сотрудником и работодателем был заключён договор о неразглашении коммерческой тайны в установленном сроком его неразглашения, в таком случае сотрудник должен хранить молчание согласно поводу коммерческой тайны, на протяжении данного времени.

При разглашении коммерческой тайны сотрудник должен компенсировать нанесенный работодателю ущерб.

Федеральный закон от 27.07.06 № 152-ФЗ “О персональных данных” регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). Проанализируем утверждения этого закона, относящиеся трудовых правоотношений.

К личным сведениям принадлежит каждая информация о физическом лице, такие как: имя, фамилия, отчество; дата и место рождения; местожительство; семейное положение; материальное состояние; образование; специальность и иные сведения.

Обработкой индивидуальных сведений признаются операции (действия). Они так же включают подготовку, систематизацию, накопление, сохранение уточнение (корректировка, изменение). Применение, продвижение (в т. ч. передачу); обезличивание, блокирование, уничтожение сведений.

Одной из основных норм закона считается обязанность оператора по обеспечению конфиденциальности индивидуальных сведений, принятых от субъекта, что предполагает недопущение распространения такого рода данных без согласия данного субъекта, к которому они принадлежат. Имеются и исключения: к примеру, на обработку доступных персональных сведений (т.е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения подобного согласия не потребуется. Кроме того, не требуется согласия субъекта и в том случае, когда обработка его индивидуальных сведений исполняется в целях выполнения договора, одной из сторон которого является данное лицо, в частности трудового соглашения. А в случае хранения руководством сведений о лицах, с которыми его не связывают договорные отношения, то обязательно требуется получить одобрение на их обработку.

Для работы со своими персональными данными субъект обязан дать разрешение, причем при необходимости, ему разрешено отозвать персональные данные. Договоренность может быть изложена как в устной форме, так и в письменной - в зависимости от характера их обработки, а также категории персональных данных.

Разрешение субъекта персональных данных в письменном виде необходимо в представленных ниже случаях:

- при обработке специальных категорий персональных данных, затрагивающих национальную, расовую принадлежности, философские или религиозные убеждения, политические взгляды, состояния здоровья, интимной жизни. Обрабатывать эти данные без письменного разрешения субъекта строго настрого запрещено (разрешается лишь в тех случаях, когда они являются общедоступными). Разрешение в письменном виде на все эти действия обязательно, даже в том случае, если оператора и субъекта персональных данных связывают договорные взаимоотношения. В религиозных организациях либо в общественных объединениях обработка специальных категорий персональных данных участников производится в том случае, если персональные данные не будут распространяться без разрешения членов (участников), данного в письменном виде;

- при обработке биометрических персональных данных - информация, которая характеризует физиологические особенности человека и при помощи этих данных, возможно, определить его личность (данные об специфики строения папиллярных узоров пальцев рук человека, о коде ДНК, сетчатки глаз и т.п.). Данное условие также обязано соблюдаться вне зависимости от наличия договорных отношений между оператором и субъектом персональных данных, помимо отношений, связанных с прохождением государственной гражданской службы;

- при передаче персональных данных субъекта оператором через Государственную границу Российской Федерации органу власти иностранного государства, юридическому или физическому лицу иностранного государства, не предоставляющему соответственную защиту прав субъекта персональных данных.

В соответствии с Законом "о персональных данных" письменное согласие субъекта на обработку его персональных данных должно включать:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- список персональных данных, при обработке которых требуется разрешение субъекта персональных данных;

- список операций с персональными данными, на реализацию которых необходимо разрешение, общее описание используемых оператором способов обработки персональных данных;

- промежуток времени, в течение которого действует согласие, а также порядок его отзыва.

Оператор должен обеспечить субъекту персональных данных доступ к его данным в любой момент согласно пожеланию субъекта. У субъекта есть право на получение следующей информации:

- подтверждение факта обработки персональных данных оператором, и для какой цели проводилась эта обработка;

- методы обработки персональных данных, используемые оператором;

- информация о лицах, которые обладают доступом к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- период обработки персональных данных, в т. ч. время их хранения;

- информация о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его данных.

Если же оператор производит обработку персональных данных с нарушением требований закона, потерпевший может обжаловать его действия в Федеральную службу по надзору в сфере связи, которая является уполномоченным органом по защите прав субъектов персональных данных, или в суд.

Что касается хранения персональных данных, то оно может реализовываться оператором, как на материальных носителях, так и путем включения данных сведений в информационные системы персональных данных. Ключевым является, что оператор при обработке данной информации должен осуществлять требуемые технические и организационные меры, в частности применять криптографические (шифровальные) средства, для обеспечения защиты персональных данных от умышленного или случайного доступа к ним, от изменения, блокирования, уничтожения, копирования на различные носители или же от распространения данных в средства массовой информации.

2.4 Анализ системы защиты конфиденциальной информации

Во время моего анализа в организации совершенно отсутствовали организационные меры по защите информации, но в оправдание можно подметить, что на предприятии представлены инженерно-технические и программно-аппаратные средства защиты информации. Из инженерно-технических мероприятий можно выделить наличие сейфа в бухгалтерии, а также установлена прочная железная дверь на входе в офисное помещение. А примеры программно-аппаратных средств защиты информации в организации мы рассмотрим ниже.

2.4.1 ФПСУ-IP/Клиент

Комплекс ФПСУ-IP/Клиент гарантирует безопасность при передаче информации, а также обеспечивает безопасность персонального компьютера пользователя при взаимодействии с автоматизированными системами Сбербанка России при помощи сети интернет.

Обеспечивает защиту от неправомерного доступа к автоматизированным системам, а также при передаче информации между клиентом и Сбербанком России обеспечивается:

- аутентификацией клиентов банка по уникальному ключу, записанному в устройство VPN-key;

- формированием криптографически защищенного VPN-туннеля между персональным компьютером клиента и комплексом ФПСУ-IP ("Фильтр пакетов сетевого уровня - IP").

Доступ к автоматизированным системам Сбербанка России при помощи сети Интернет разрешается только с применением устройства VPN-key, подключаемого к USB-порту компьютера.

Комплекс состоит из двух подсистем:

- подсистема персонального межсетевого экрана;

- подсистема создания VPN-туннеля в согласовании с алгоритмом шифрования ГОСТ 28147-89 на базе аппаратно-программного средства криптографической защиты информации "Туннель/Клиент", сертифицированного ФАПСИ по классу стойкости КНВ-2.99 (Сертификат соответствия №СФ/124-643 от 20 июня 2002 года).

В комплект поставки комплекса ФПСУ-IP/Клиент входят:

- устройство хранения ключевой информации VPN-key, содержащее уникальный ключ;

- инсталляционная дискета с программным модулем комплекса ФПСУ-IP/Клиент;

- конверты с персональными PIN (Personal Identity Number code) и PUK (Personal Unblocked Key code) кодами пользователя и администратора для работы с VPN-key.

2.4.2 АРМ "Клиент" АС "Клиент-Сбербанк"

Рабочее место «Клиент» автоматизированной системы "Клиент-Сбербанк" специализировано с целью ввода, редакции и отправки документов в банк, а также получения из банка информации о проведенных платежах, почты свободного формата, выписок по счетам и справочных данных.

Благодаря использованию в системе «Клиент-Сбербанк» кодирования передаваемых файлов и процедуры электронной подписи, предотвращает возможность перехвата, искажения и прочтения передаваемой информации. Процедура электронной подписи удовлетворяет стандартам Российской Федерации ГОСТ Р34.10-2012 «Информационная технология».

Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма и ГОСТ Р34.11-2012 «Информационная технология». Криптографическая защита информации. Функция хэширования, а процедура шифрования - требованиям ГОСТ 28147-89. При работе с системой всем возможным категориям пользователей могут быть присвоены различные права, что и позволяет гарантировать дополнительный уровень защиты от несанкционированного пользования программой. Встроенная в программное обеспечение транспортная подсистема передачи данных с банком использует стандартный протокол TCP/IP, благодаря чему возможно производить передачу данных через глобальные сети.

2.4.3 Антивирус "Dr. Web для Windows"

Антивирус Dr. Web - эффективный механизм для проведения непрерывного мониторинга состояния компьютера, защищает ПК от различных вирусов, шпионского ПО, почтовых червей, троянских программ и других всевозможных вредоносных объектов, которые норовят пробраться в систему из любых внешних источников. Антивирус Dr. Web прост в применении и нетребователен к системным ресурсам - без проблем можно его установить на все ПК, на которых установлена операционная система Windows.

Отличительные особенности Dr. Web для Windows:

- возможность работы на уже инфицированном компьютере и выдающаяся вирусоустойчивость выделяет Dr. Web из числа всех других подобных программ;

- если установить Dr. Web на уже зараженный персональный компьютер, то он может очистить его от вирусов;

- сканер Dr. Web возможно запустить с внешнего носителя без установки в системе;

- множество вирусов можно устранить при их атаке даже во время установки антивируса Dr. Web при сканировании памяти и файлов автозагрузки. Более того, непосредственно перед сканированием (в процессе установки) предусмотрена возможность обновления вирусных баз.

2.5 Анализ документооборота организации

2.5.1 Структурирование защищаемой информации на объекте

Конфиденциальная информация - информация с ограниченным доступом, в которой не имеются данные, входящие в государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В соответствии с Указом Президента РФ "Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ. К конфиденциальной информации на предприятии ООО "Торговый дом "Алдан" можно отнести следующее: личные данные персонала, данные о заработной плате, налоговые отчисления и сборы, заключение аудиторов или аудиторских организаций, бухгалтерская отчётность, протоколы совещаний, управленческие решения, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

В ООО "Торговый дом "Алдан" присутствуют документы, которые содержат информацию, подлежащую защите.

Сотрудники бухгалтерского отдела работают со следующими документами:

- счета;

- банковские выписки;

- личные карточки сотрудников;

- трудовые книжки сотрудников;

- приказы по личному составу;

- бухгалтерская отчётность.

В отделе по работе с клиентами обрабатываются следующие документы, содержащие конфиденциальную информацию:

- договора с клиентами;

- договора с поставщиками;

- счета.

Секретарь начальника ведёт деловую документацию организации, а также подготавливает и принимает документы для подписания их директором, которые включают в себя конфиденциальную информацию. Юрист компании формирует договора и занимается ревизией документов, подготовленными деловыми партнёрами компании. Руководитель компании имеет доступ абсолютно ко всем документам, которые ведёт ООО "Торговый дом "Алдан".

Нужно выделить то, что все работники без исключения ООО "Торговый дом "Алдан" используют для достижения своих целей поставленных начальством программу "1С: Предприятие", на персональных компьютерах в бухгалтерии пользуются "1С: Бухгалтерия", а на компьютерах, которых выполняют работу связанную с торговлей компании "1С: Управление торговлей", на одном из ПК бухгалтерии установлен сервер, на котором расположена база данных программы "1С: Предприятие". С персонального компьютера главного бухгалтера можно войти в АС "Клиент - Сбербанк", которая предназначена для проведения платежей и ведения сведений о банковском счёте компании. Из того что мы уже упомянули следует, что в офисе требуется разработать защиту информации, которая находится на компьютерах компании.

При работе с документами ограниченного доступа очень важно организовать режим хранения этих документов надлежащим образом, доступ к ним и их использования. Допуск к этим документам должен быть строго ограничен. К ним допускаются: руководитель организации, заместитель руководителя организации, начальник службы безопасности и сотрудники, которые имеют прямое соотношение к этим документам.

Для бумажных документов следует добавить следующие изменения грифов в организации:

- "Коммерческая тайна", это для тех документов, которые содержат засекреченную информацию, относящуюся к предприятию;

- "Конфиденциально", это те документы, в которых находится информация о персональных данных.

Уровень секретности информации, которая находится в документах отмеченных грифом "Коммерческая тайна" и "Конфиденциально" может быть равна, но придерживаясь п.5 ст.10 закона "О коммерческой тайне", на документы, в которых записаны данные относящиеся к коммерческой тайне, следует наносить гриф "Коммерческая тайна", нанесение других всевозможных вариантов грифов будут считаться нарушением.

2.5.2 Оценка рисков информационных угроз безопасности защищённого документооборота

На сегодняшний день есть несколько способов измерения рисков. Самыми востребованными способами является оценка рисков по двум и по трем факторам. В упрощенном варианте проходит оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Логичным утверждением является: чем больше вероятность происшествия и тяжесть последствий, тем риск более возможен. Это суждение можно представить в виде формулы (2.1).

Риск = Р_{происшествия} Ч Цена потери (2.1)

В тех случаях, когда необходимо измерить риск на более высокие требования, применяется модель оценки риска по трем факторам: угроза, уязвимость, цена потери. В данном способе по измерению оценки риска под понятиями "угроза" и "уязвимость" следует понимать следующее.

Угроза - совокупность условий и факторов, по причине которых может нарушиться доступность, целостность, и конфиденциальность информации.

Уязвимость - недостаток в системе защиты, который предоставляет возможность для осуществления угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней угроз и уязвимостей и выражается формулой (2.2).

P_{происшествия} = Р_угрозы Ч Р_{уязвимости} (2.2)

Следовательно, риск можно рассчитать по формуле (2.3).

Риск = Р_угрозы Ч Р_{уязвимости} Ч Цена потери (2.3)

Данное выражение можно представить в виде математической формулы, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная.

Оценим риски информации на предприятии, используя методику оценки по трём факторам. Результаты оценки приведены в таблице 2.2.

Таблица 2.2 Оценка рисков информационной безопасности

Наименование элемента информации	Цена информации	Вероятность угрозы	Вероятность уязвимости	Риск
Личные карточки сотрудников	10000	0,6	0,8	4800
Трудовые книжки сотрудников	10000	0,6	0,8	4800
Приказы по личному составу	10000	0,8	0,4	3200
Счета	50000	0,6	0,8	24000
Банковские выписки	50000	0,2	0,8	8000
Договора с клиентами	300000	0,8	0,6	144000
Договора с поставщиками	300000	0,8	0,6	144000
Бухгалтерская отчётность	50000	0,2	0,8	8000
Деловая переписка	100000	0,8	0,4	32000
Сервер	350000	0,4	0,4	56000
Компьютер с АРМ "Клиент" АС "Сбербанк-Клиент"	200000	0,4	0,4	32000
			Итого:	460800

2.5.3 Оценка общего информационного риска в организации

Как видно из представленной выше таблицы суммарный информационный риск на предприятии составляет 460800 рублей. Бюджет предприятия не позволяет принять такой риск, отсюда следует, что необходимо снизить его до приемлемого уровня.

3. Рекомендации по совершенствованию документооборота на предприятии

3.1 Организационно-правовые мероприятия

Организационно-правовые нормы обеспечения безопасности и защиты информации на любом предприятии отражаются в совокупности учредительных и организационных документов.

В Устав предприятия следует добавить дополнения, представленные ниже. В раздел "Права и обязанности" вносим следующие изменения:

1. Организация имеет право:

- формулировать структуру, размер и порядок защиты конфиденциальной информации;

- предъявлять требования к работникам по защите конфиденциальной информации;

- осуществлять контроль над соблюдением мер обеспечения экономической безопасности и защиты конфиденциальной информации.

2. Организация должна:

- предотвратить всевозможные утечки конфиденциальной информации и обеспечить экономическую безопасность.

- проводить эффективный контроль выполнения мер экономической безопасности и защиты конфиденциальной информации.

Следует так же внести пункт "Конфиденциальная информация", который будит включать представленные ниже правила:

- сотрудники создают защиту собственной конфиденциальной информации;

- структура и размер данных конфиденциального характера, и процедура их защиты формируется генеральным директором.

Введение всех этих дополнений предоставляет администрации компании возможность:

- формировать организационные структуры по защите коммерческой информации либо поручать эти функции соответствующим должностным лицам;

- издавать нормативные и распорядительные документы, характеризующие процедуру выделения данных, составляющих коммерческую тайну, и способы их защиты;

- вносить правила по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективным и совместные со смежниками);

- предъявлять требования защиты интересов предприятия перед государственными и судебными органами;

- пользоваться информацией, принадлежащей предприятию, в ущерб сотрудников компании или же начальника организации, для достижения экономических целей.

В Коллективный договор следует внести дополнения, представленные ниже. В разделе "Предмет договора" следует дополнить:

- руководство обязуется, дабы не допустить нанесения экономического ущерба сотрудником предприятия обеспечить разработку и реализацию мероприятий по защите конфиденциальной информации;

- сотрудники обязуются выполнять установленные требования, представленные организацией по защите конфиденциальной информации.

В раздел "Кадры. Обеспечение дисциплины труда" следует дополнить: руководство обязуется наказывать нарушителей условий, согласно защите конфиденциальной информации, а именно привлекать к ответственности в соответствии с законодательством Российской Федерации.

Для обеспечения защиты конфиденциальной информации на предприятии необходимо внести следующие нормативно-правовые документы:

- перечень сведений, составляющих коммерческую тайну;

- договорное обязательство о неразглашении коммерческой тайны;

- инструкция по защите коммерческой тайны.

Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации).

Самое главное необходимо создать перечень сведений, составляющий коммерческую тайну.

Данные, входящие в Перечень, обладают ограниченным характером на использование (применение). Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.

Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.

3.2 Инженерно-технические средства защиты

3.2.1 Система пожарной сигнализации

Для обеспечения защиты бумажных документов и средств вычислительной техники от пожара, необходимо на объекте установить систему пожарной сигнализации (рис 3.1).

Рис. 3.1 - Система пожарной сигнализации

На рисунке разработана стандартная система пожарной сигнализации для небольшого помещения, которая идеально подойдет предприятию ООО "Торговый дом "Алдан", так как офисное помещение небольших размеров. В эту систему входят элементы, которые представлены ниже:

- пульт контроля и управления "С2000";

- резервный источник питания аппаратуры охранно-пожарной сигнализации "РИП 24";

- прибор приёмно-контрольный охранно-пожарный "С2000-4";

- извещатель пожарный, дымовой "ДИП".

К релейным выходам предоставляется возможность подсоединить выход на пульт центрального наблюдения и звуковой или световой оповещатели.

Данная разработанная система пожарной сигнализации имеет все необходимое, чтобы уменьшить ущерб при возможном возгорании офисного помещения и в то же время является приемлемой для предприятия с экономической точки зрения, это и стало главным условием при выборе системы.

3.2.2 Система бесперебойного питания

В рассматриваемой организации самыми значимыми потребителями электроэнергии считаются сервер, так как на нем установлена база данных программы "1С: Предприятие" и персональный компьютер с установленным АРМ "Клиент" АС "Сбербанк-Клиент", все это оборудование следует защитить источниками бесперебойного питания.

Серверу следует подобрать качественный источник бесперебойного питания, с высокими потребительскими свойствами, соответствующим условиям отвечает источник бесперебойного питания Исток ИДП-1/1-1-220-Д (рис. 3.2).

Рис. 3.2 - Источник бесперебойного питания Исток ИДП-1/1-1-220-Д

Источники бесперебойного питания ИСТОК серии ИДП необходимы для осуществления защиты электрооборудования сотрудника предприятия от различных неполадок в сети, в том числе искажение либо пропадание напряжения сети, к тому же защищает от подавления высоковольтных импульсов и высокочастотных помех, поступающих из сети. ИБП ИСТОК с двойным преобразованием имеет более улучшенную технологию по предоставлению без прерывной, качественной электроэнергии в питании нагрузки при переходе с сетевого режима (питание нагрузки энергией сети) на автономный режим (питание нагрузки энергией аккумуляторной батареи), на выходе придает напряжению синусоидальную форму. ИБП ИСТОК применяются для ответственных потребителей электричества, которым необходим более высокий уровень качества электропитания (телекоммуникационного оборудования, файловые серверы, систем управления газового хозяйства, сложного технологического оборудования и т.п.).

А на персональный компьютер, на котором установлен АРМ "Клиент" АС "Сбербанк-Клиент" достаточным будит воспользоваться источником бесперебойного питания, типа: UPS 500VA Ippon Back Power Pro 500 (рис. 3.3), который является недорогим и в то же время соответствующим всем нашим требованиям.

Рис. 3.3 - UPS 500VA Ippon Back Power Pro 500

Источники бесперебойного питания (UPS) серии Back Power Pro служит для защиты персональных компьютеров и рабочих станций от представленных ниже неполадок с электропитанием:

- высоковольтных выбросов

- электромагнитных и радиочастотных помех

- понижений, повышений и полного исчезновения напряжения в электросети.

Эти ИБП (UPS) снабжены циклическим самотестированием и обладают функцией Green Power, которая при пропадании напряжения в сети и отсутствии нагрузки автоматически выключит ИБП (UPS) через 5 минут.

Все ИБП (UPS) серии Back Power Pro идут вместе с программным обеспечением на CD, которое позволяет показывать на экране монитора такие диагностические данные, как напряжение, уровень нагрузки, частота, уровень заряда аккумулятора. Программное обеспечение разработано для Windows 95/98/ME/NT/2000 и Linux 7.0.

3.2.3 Уничтожитель бумаги

С целью ликвидации бумаг, обладающих грифом "Конфиденциально" или "Коммерческая тайна" следует применять специальное устройство - уничтожитель бумаги, которое измельчает листы бумаги, разрезая их на полосы, благодаря чему прочесть информацию, находящуюся на бумажном носителе становится невозможно. При всем разнообразии устройств на отечественном рынке, целесообразным будит приобрести SHRED-ET С-06P (рис 3.1), обладающим высокой скоростью уничтожения бумаги. И к тому же с оптимальной стоимостью, что тоже является не маловажным фактором.



Рис. 3.4 - Уничтожитель бумаги SHRED-ET С-06P с корзиной

3.3 Программно-аппаратные средства защиты

3.3.1 Система резервного копирования данных

Резервное копирование - процедура формирования копии данных на носителе (жёстком диске или внешнем носителе таком как флешки, дискеты, диски и т.д.), служащим для восстановления данных в изначальном месте их расположения дабы не утратить эти данные в случае их неисправности или уничтожении.

На данном предприятии оптимально будит применить систему резервного копирования на сервере, где размещена база данных программы "1С: Предприятие", чтобы можно было произвести восстановление базы данных в случае программных либо аппаратных сбоев.

Для формирования системы резервного копирования воспользуемся программой Acronis True Image Echo. Эта программа позволяет производить резервное копирование и аварийное восстановление данных на персональном компьютере, у которого множество различных опций, например:

- способность производить резервное копирование всей системы полностью либо отдельных файлов и папок;

- аварийное восстановление отдельных файлов и папок или диска целиком;

- удаленное управление задачами резервного копирования и восстановления данных;

- восстановление систем на различное оборудование.

Применение этой программы дает возможность уменьшить вероятность угроз целостности и доступности информации, находящейся на персональном компьютере.

3.3.2 Межсетевой экран

Межсетевой экран или сетевой экран - совокупность аппаратных либо программных средств, производящий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с установленными правилами.

Главной функцией сетевого экрана считается обеспечения безопасности компьютерных сетей или отдельных узлов от неправомерного доступа. Кроме того, сетевые экраны зачастую именуют фильтрами, так как их главная цель - не давать проходить пакетам, не соответствующим под критерии, установленные в конфигурации.

На предприятии следует установить межсетевой экран на сервере, который в принципиальной схеме локальной вычислительной сети организации (рисунок 3.5) расположен между модемом и сетевым коммутатором.



Рис. 3.5 - Схема локальной вычислительной сети предприятия

безопасность документооборот программный вычислительный

На сегодняшний день в сети интернет, возможно, отыскать только два бесплатных полноценных сетевых экрана - Comodo Firewall Pro и ZoneAlarm Free другие основательные программы такого уровня стали платными. Тем не менее, по своему функционалу Comodo маловероятно, что в чём-то уступит подобным коммерческим конкурентам. Он может применяться как дома на персональных компьютерах, так и в корпоративных сетях. Программа проста в использовании, поэтому для пользователя достаточно базового уровня знаний принципов работы и защиты сетей. В организациях, где зачастую сталкиваются с глобальной сетью, установка межсетевого экрана очень важна.

Представим главные функции программы Comodo Firewall Pro:

- система правил доступа приложений к Интернету;

- анализатор поведения программ;

- мониторинг доступа к файлам программ сторонними процессами;

- средства противодействия всевозможным видам вторжений и атак, в том - числе DDoS;

- интеграция с центром безопасности Windows;

- экономное использование системных ресурсов;

- компактный дистрибутив;

- экспорт/импорт настроек программы.

3.4 Анализ разработанной системы электронного документооборота на предприятии

После проведения усовершенствования документооборота на предприятии проведем анализ рисков информации все по той же методике - оценки по трём факторам. Результаты оценки приведены в таблице 3.1.

Таблица 3.1 Оценка рисков информационной безопасности

Наименование элемента информации	Цена информации	Вероятность угрозы	Вероятность уязвимости	Риск
Личные карточки сотрудников	10000	0,5	0,7	3500
Трудовые книжки сотрудников	10000	0,5	0,7	3500
Приказы по личному составу	10000	0,7	0,4	2800
Счета	50000	0,5	0,6	15000
Банковские выписки	50000	0,2	0,6	6000
Договора с клиентами	300000	0,6	0,5	90000
Договора с поставщиками	300000	0,6	0,5	90000
Бухгалтерская отчетность	50000	0,1	0,6	3000
Деловая переписка	100000	0,6	0,3	1800
Сервер	350000	0,1	0,1	3500
Компьютер с АРМ «Клиент» АС «Сбербанк-Клиент»	200000	0,2	0,2	8000
			Итого:	227100

В итоге я получил суммарный информационный риск 227100 рублей, что в два раза уменьшило сумму риска, которая была до моего усовершенствования электронного документооборота на предприятии.

Заключение

В дипломной работе была разработана система электронного документооборота на предприятии ООО «Торговый дом «Алдан». Внедрение системы производилось комплексно, как на аппаратном, так и на программном уровне. Были введены поправки в устав предприятия, дабы устранить вероятность распространения конфиденциальной информации.

При анализе данного предприятия я выявил, что суммарная оценка рисков информационных угроз равна 460800 рублей, что является недопустимым для компании. Для их уменьшения я предложил ввести инженерно-технические и программно-аппаратные средства защиты. При внедрении нужно было учесть и тот факт, что у предприятия не большой бюджет и совершенствование электронного документооборота необходимо производить с минимальными затратами.

Ниже перечислены средства защиты:

- система пожарной сигнализации;

- система бесперебойного питания;

- уничтожитель бумаги;

- система резервного копирования данных;

- межсетевой экран.

После проделанной мною работы суммарная оценка рисков сократилась с 460800 до 227100 рублей.

Поставленная задача была решена достаточно полно, разработанные рекомендации, при следовании им обеспечат необходимый уровень безопасности документооборота на рассматриваемом предприятии.

Размещено на Allbest.ru

...