Размещено на http://www.allbest.ru/

Оглавление

Оглавление

Введение

1. Общие сведения о Енапаевской средней общеобразовательной школе

2. Анализ деятельности школы

3. Обзор информационных систем и технологий, используемых в школе

4. Анализ информационной безопасности

5. Анализ сертификации рабочего места

6. Описание модели документооборота школы

6.1 Общие положения

6.2 Документирование управленческой деятельности общеобразовательного учреждения

6.3 Учебно-педагогическая документация

6.4 Прием и регистрация документов

6.5 Контроль сроков исполнения документов

6.6 Составление номенклатуры и формирование дел

6.7 Модель документооборота AS-IS

7. Проектирование системы электронного документооборота (TO-BE)

8. Техническое задание

Выводы и предложения

Список литературы



Введение

Сегодня уже нет необходимости убеждать в важности автоматизации документооборота. Основное назначение систем управления документооборотом (или, правильнее, системы управления документами, где имеются в виду официальные документы) состоит в обеспечении юридической значимости электронных документов. Сюда входит учет поступления, регистрация, аутентичность, хранение в течение установленного времени и уничтожение либо передача на постоянное хранение. Однако система документооборота сама по себе (как, впрочем, и любая система автоматизации предприятия) не принесет ожидаемого эффекта, если ее внедрение не будет предварено исследованием, описанием, оптимизацией бизнес-процессов.

В ходе данной работы планируется исследовать бизнес-процессы и процессы управления документооборотом МОУ «Енапаевская средняя общеобразовательная школа». Не смотря на небольшой размер данной организации, проблемы эффективного управления и, в том числе, управления документами стоят перед ней достаточно остро.

Целью практики является анализ существующей и разработка новой схемы документооборота для МОУ «Енапаевская средняя общеобразовательная школа».

В ходе прохождения практики необходимо решить следующие задачи:

1) Провести общий анализ организации;

2) Провести анализ режимов информационной безопасности и условий труда;

3) Провести анализ существующей модели документооборота

4) Выявить основные недостатки существующей системы документооборота

5) Произвести проектирование системы документооборота

6) Разработать техническое задание на создание новой информационной системы документооборота.



1. Общие сведения о Енапаевской средней общеобразовательной школе

Система образования в Енапаево имеет глубокие корни и охватывает большой период времени, как историческое прошлое села, которому нынче 435 лет. По переписным данным 1826 года. в с.Енапаево была медресе, где учились шакирды с 1 по 10 класс (год). Для учебы приезжали из разных уездов: из Кунгура, Башкортостана, Бершети и т.д.

В медресе готовили мулл и других религиозных деятелей. Количество шакиртов было около 300 человек. Обучение проводилось на арабском языке. Позже была открыта начальная светская школа. Обучение проходило на русском языке.

В 1922 - 23 уч. году была открыта 4 - х классная начальная школа. В 1927 году была реорганизована в 5 - летнюю школу, обучение шло на арабском. В 1929г. открыли школу крестьянской молодежи с 7 - летним образова--нием. С 1931 - 32 уч.г. ШКМ преобразуется в начальную школу. Первый выпуск средней школы состоялся только в 1940 году. Причина - необеспеченность квалифицированными учи-тельскими кадрами. Первый послевоенный выпуск состоялся в 1950 году.

За все годы школы окончили 2372 учащихся. Подготовлено трактористов - машинистов - 901, окончили ВУЗы - 237человек, среди наших выпускников - Герой Советского Союза Сибгаттуллин Лотфулла Сибаевич, доктора и кандидаты наук, мастера спорта руководители предприятий.

В Енапаевской средней общеобразовательной школе обучаются 192 учащихся в 11 класс - комплектах, работают 23 педагогических работника. Среди них 5 учителей имеют первую, 12 педагогов - вторую квалификационную категорию. Одному присвоено почетное звание “Отличник народного образования” и второму работнику - звание “Почетный работник общего образования”. С 1998 года директором школы назначен Башаров Разиль Габдулович.

Средний возраст педагогов - 35 лет. Это творческий, дружный коллектив единомышленников, где каждый имеет возможности для самовыражения, выбора оптимальных форм и методов обучения и воспитания. Обучающиеся в 10 - 11 классах имеют возможность получать специальность машиниста - тракториста категории “В”, “С”, “Е”, “F”, водителя автотранспортных средств категории “А”, “С” и повара.

Имеются производственные мастерские, компьютерный класс, 2 спортзала актовый зал, 10 учебных кабинетов, стрелковый тир, школьный краеведческий музей, где учащиеся получают хорошие, прочные знания и приобретают начальные умения и навыки.

Свыше 38% школьников обучаются на “4” и “5”. В настоящее время в высших учебных заведениях учатся 17 человек, в средних учебных заведениях 35 человек В 2002 - 2003 учебном году 39 учащихся участвовали в районных олимпиадах (6 призовых мест), в соревнованиях - 19 учащихся (10 призовых мест), 10 учащихся участвовали во Всероссийском конкурсе - игре “Русский медвежонок” (1 районный победитель), детский фольклорный ансамбль занял 1 место на районном фестивале детского музыкального творчества.



2. Анализ деятельности школы

Организационная структура школы показана на рис. 1.

Рис. 1. Организационная структура школы

Розовым цветом ( ) - стратегический уровень, бирюзовым ( )- тактический уровень, а зеленым ( ) - оперативный уровень

В соответствие с темой практики были рассмотрены служебные обязанности сотрудников школы, которые принимают наиболее значимое участие в системе документа оборота школы - директора, заместителя директора по УВР, бухгалтера и секретаря.

Директор школы должен выполнять следующие функцииЭти и другие служебные инструкции были взяты в отделе кадров Енапаевской средней школы:

- Осуществлять общее управление деятельностью школы во всех направлениях согласно ее Уставу и законодательству РФ. Совместно с советом школы определять стратегию, цель и задачи развития школы, принимать решения о программном планировании ее работы.

- Осуществлять разработку, утверждение и внедрение программ развития учреждения, образовательных программ, учебных планов, курсов, дисциплин, годовых календарных учебных графиков, Устава и правил внутреннего распорядка школы, а также других локальных нормативных актов и учебно-методических документов.

- Определять структуру управления школой, штатное расписание. Решать научные, учебно-методические, административные, финансовые, хозяйственные и прочие вопросы, которые возникают в процессе деятельности школы.

- Планировать, координировать и контролировать работу педагогических и других работников школы.

- Осуществлять подбор и расстановку кадров, прием на работу (кроме педагогических работников).

- Определять должностные обязанности педагогических работников, создавать условия для повышения уровня их профессионального мастерства.

- Обеспечивать учебно-трудовую нагрузку работников и учащихся с учетом их психофизиологических возможностей, обеспечивать оптимальный режим работы и отдыха.

- Устанавливает надбавки и доплаты к ставкам и должностным окладам работникам школы.

- Утверждать расписание занятий учащихся, графики работы и педагогическую нагрузку работников школы, тарификационные списки и графики отпусков.

- Поощрять и стимулировать творческую инициативу работников, поддерживать благоприятный морально-психологический климат в коллективе.

- Определяет совместно с Советом школы порядок и размеры премирования работников школы.

- Обеспечивать социальную защиту и защиту прав учащихся.

- Обеспечивать государственную регистрацию общеобразовательного заведения, лицензирование образовательной деятельности, прохождение в установленном порядке государственной аттестации состояния образования и аккредитацию школы.

- Обеспечивать создание в школе необходимых условий для работы организации общественного питания и медицинских обслуживания учреждения. Контролировать их работу в целях охраны и укрепления здоровья учащихся и работников школы.

- Принимать меры совместно с профкомом, родительской общественностью по улучшению организации питания, ассортиментов продуктов, созданию условий для качественного приготовления пищи в столовой.

- Принимать меры совместно с медицинскими работниками по улучшению медицинского обслуживания и оздоровительной работы в учреждении.

- Обеспечивать эффективное взаимодействие и сотрудничество с органами местного самоуправления, предприятиями и организациями, общественностью, родителями (лицами, которые их заменяют).

- Организовывать и совершенствовать методическое обеспечение образовательного процесса, оказывать содействие деятельности учительских (педагогических) организаций, методических объединений.

- Руководить деятельностью педагогического совета школы.

- Координировать в учреждении деятельность детской организации.

- Подписывать (заключать) коллективный договор и обеспечивать его выполнение, создавать необходимые условия для нормальной работы органов общественного самоуправления, профсоюзной организации.

- Обеспечивать рациональное использование бюджетных ассигнований, а также внебюджетных средств, поступающих из других источников, предоставлять учредителю и общественности отчет об использовании финансовых и материальных средств.

- Обеспечивать привлечение с целью осуществления деятельности, предусмотренной Уставом школы, дополнительных источников финансовых и материальных средств.

- Представлять школу в государственных, местных, общественных и других органах, организациях, учреждениях.

- Обеспечивать учет, хранение и пополнение учебно-материальной базы, учет и хранение документации, организовывать работу по ведению делопроизводства в школе, бухгалтерского учета и статистической отчетности.

- Управлять на праве оперативного управления имуществом школы, полученным от учредителя, а также имуществом, являющимся собственностью школы.

- Оформлять прием новых работников только при наличии положительного заключения медицинского учреждения, контролировать своевременное проведение медицинского осмотра работников.

- Проводить мероприятия по подготовке школы к новому учебному году, подписывать соответствующие акты.

- Обеспечивать выполнение директивных и нормативных документов по охране труда, распорядительных документов управления образования, государственного надзора и технической инспекции.

- Обеспечивать безопасную эксплуатацию инженерно-технических коммуникаций, оборудования, принимать меры по приведению их в соответствие с действующими стандартами, правилами и нормами по охране труда. Своевременно организовывать осмотры и ремонт зданий общеобразовательного заведения.

- Утверждать должностные обязанности по обеспечению безопасности жизнедеятельности для педагогического коллектива.

- Принимать меры по внедрению предложений членов коллектива, направленных на дальнейшее улучшение и оздоровление условий проведения образовательного процесса.

- Выносить на обсуждение собрания трудового коллектива вопросы организации работы по охране труда.

- Отчитываться на собраниях трудового коллектива о состоянии охраны труда, выполнении мероприятий по оздоровлению работающих и учащихся, улучшению условий образовательного процесса, а также принимаемых мерах по устранению выявленных недостатков.

- Проводить профилактическую работу по предотвращению травматизма и снижению уровня заболеваемости работников и учащихся. Назначать ответственных за соблюдение требований по охране труда в классе, зале и т.п.

- Незамедлительно сообщать о групповом несчастном случае и случае со смертельным исходом непосредственно начальнику управления образования, родителям травмированного лица или лицам, которые их заменяют, принимать все возможные меры относительно устранения причин, которые вызвали несчастный случай, обеспечивать необходимые условия для проведения своевременного и объективного расследования соответственно действующим положениям.

- Заключать и организовывать совместно с профкомом выполнение ежегодных соглашений по охране труда, подводить итоги выполнения соглашения по охране труда 1 раз в полугодие.

- Утверждать по согласованию с профсоюзным комитетом инструкции для работников и учащихся по охране труда, в установленном порядке организовывать просмотр действующих инструкций.

- Проводить вводный инструктаж по охране труда с принятыми на работу лицами, инструктаж на рабочем месте с сотрудниками общеобразовательного учреждения, оформлять проведение инструктажа в журнале.

- Планировать в установленном порядке периодическое обучение работников школы по вопросам обеспечения безопасности жизнедеятельности на краткосрочных курсах, семинарах, организуемых органами управления образованием и охраной труда.

- Запрещать проведение образовательного процесса при наличии опасных условий для здоровья учащихся или работников.

- Проходить периодическое медицинское обследование.

- Соблюдать этические нормы поведения, которые отвечают общественному статусу руководителя и педагога в школе, быту и общественных местах.

Заместитель директора по учебно-воспитательной работе (УВР) выполняет следующие обязанности:

- Организует текущее и перспективное планирование деятельности образовательного учреждения.

- Координирует работу преподавателя-организатора ОБЖ, педагога-организатора, классных руководителей, других педагогических и иных работников, а также разработку учебно-методической и иной документации, необходимой для деятельности образовательного учреждения.

- Обеспечивает использование и совершенствование методов организации образовательного процесса и современных образовательных технологий, в том числе дистанционных.

- Осуществляет контроль за качеством образовательного (учебно-воспитательного) процесса, объективностью оценки результатов образовательной деятельности обучающихся, работой кружков и факультативов, обеспечением уровня подготовки обучающихся, соответствующего требованиям федерального государственного образовательного стандарта, федеральных государственных требований.

- Организует работу по подготовке и проведению экзаменов.

- Организует просветительскую работу для родителей (лиц, их заменяющих).

- Принимает родителей (лиц, их заменяющих) по вопросам организации учебно-воспитательного процесса;

- Оказывает помощь педагогическим работникам в освоении и разработке инновационных программ и технологий.

- Организует учебно-воспитательную, методическую, культурно-массовую, внеклассную работу.

- Осуществляет контроль за учебной нагрузкой обучающихся.

- Составляет расписание учебных занятий и других видов учебной и воспитательной (в том числе культурно-досуговой) деятельности.

- Ообеспечивает качественную и своевременную замену уроков временно отсутствующих учителей, ведет журнал учета пропущенных и замещенных уроков;

- Обеспечивает своевременное составление, утверждение, представление отчетной документации.

- Контролирует правильное и своевременное ведение педагогами классных журналов, другой документации;

- Оказывает помощь обучающимся в проведении культурно-просветительских и оздоровительных мероприятий.

- Осуществляет комплектование и принимает меры по сохранению контингента обучающихся.

- Участвует в подборе и расстановке педагогических кадров, организует повышение их квалификации и профессионального мастерства.

- Руководит работой методобъединений, повышает свою квалификацию;

- Вносит предложения по совершенствованию образовательного процесса и управления образовательным учреждением,

- Принимает участие в подготовке и проведении аттестации педагогических и других работников образовательного учреждения.

- Принимает меры по оснащению мастерских, учебных лабораторий и кабинетов современным оборудованием, наглядными пособиями и техническими средствами обучения, пополнению библиотек и методических кабинетов учебно-методической, художественной и периодической литературой.

- Организовывает проведение предметных олимпиад.

- организовывает работу с молодыми специалистами и учителями, вновь прибывшими в школу.

- Осуществляет разработку и реализацию программ развития образовательного учреждения, образовательной программы образовательного учреждения, учебных планов, учебных программ курсов, дисциплин, годовых календарных учебных графиков.

- Поддерживает благоприятный морально-психологический климат в коллективе.

- Координирует работу учителей и других педагогических работников по выполнению учебных планов и программ;

- Организует и координирует разработку необходимой учебно-методической документации;

- Посещает уроки и другие виды учебных занятий, проводимых педагогическими работниками школы (не менее 180 часов в учебный год), анализирует их форму и содержание, доводит результаты анализа до сведения педагогов;

- Принимает участие в подготовке наградных, конкурсных материалов педагогических работников образовательного учреждения.

- Контролирует соблюдение обучающимися Правил для учащихся;

- Ведет, подписывает и передает директору школы табель учета рабочего времени непосредственно подчиненных ему педагогов и учебно-вспомогательного состава;

- Организует работу по соблюдению в образовательном процессе норм и правил охраны труда;

- обеспечивает контроль за безопасностью используемых в образовательном процессе оборудования, приборов, технических и наглядных средств обучения;

- Организует с участием заместителя директора по административно-хозяйственной работе (завхоза)своевременное и качественное проведение паспортизации учебных кабинетов, мастерских, спортзала, а также подсобных помещений;

- Составляет на основании полученных от медицинского учреждения материалов списки лиц, подлежащих периодическим медицинским осмотрам с указанием фактора, по которому установлена необходимость проведения периодического медицинского осмотра;

- Контролирует своевременное проведение инструктажа обучающихся и его регистрацию в журнале;

- Совместно с преподавателем-организатором ОБЖ определяет методику, порядок обучения правилам дорожного движения, поведения на воде и улице, пожарной безопасности;

- осуществляет проверку знаний обучающихся;

- Проводит совместно с профкомом (профкомами) административно-общественный контроль безопасности использования, хранения учебных приборов и оборудования, химических реактивов, наглядных пособий, школьной мебели. Своевременно принимает меры к изъятию химических реактивов, учебного оборудования, приборов, не предусмотренных типовыми перечнями, в том числе самодельного, установленного в мастерских, учебных и других помещениях без соответствующего акта-разрешения, приостанавливает образовательный процесс в помещениях образовательного учреждения, если там создаются опасные условия здоровью работников, обучающихся;

- Выявляет обстоятельства несчастных случаев, происшедших с работающими, обучающимися;

- Соблюдает Устав и Правила внутреннего трудового распорядка школы, иные локальные правовые акты школы.

Бухгалтер выполняет следующие инструкции:

- Главный бухгалтер формирует учетную политику исходя из специфики условий хозяйствования, структуры, размеров, отраслевой принадлежности и других особенностей деятельности организации.

- Руководит формированием информационной системы бухгалтерского учета и отчетности в соответствии с требованиями бухгалтерского, налогового, статистического и управленческого учета, обеспечивает предоставление информации внутренним и внешним пользователям.

- Организует работу по ведению регистров бухгалтерского учета, исполнению смет расходов, учету имущества, обязательств, основных средств, материально-производственных запасов, денежных средств, финансовых, расчетных и кредитных организаций, издержек производства и обращения, продажи продукции, выполнения работ (услуг), финансовых результатов деятельности организации.

- Обеспечивает своевременное и точное отражение на счетах бухгалтерского учета хозяйственных операций, движения активов, формирования доходов и расходов, выполнения обязательств.

- Обеспечивает контроль за соблюдением порядка оформления первичных учетных документов.

- Организует информационное обеспечение управленческого учета, учет затрат на производство, составление калькуляции себестоимости продукции (работ, услуг), учет по центрам ответственности и сегментам деятельности, формирование внутренней управленческой отчетности.

- Возглавляет работу:

ь по подготовке и утверждению рабочего плана счетов бухгалтерского учета;

ь по подготовке и утверждению форм первичных учетных документов, применяемых для оформления хозяйственных операций, форм внутренней бухгалтерской отчетности в соответствии с требованиями Госкомстата России;

ь по обеспечению порядка проведения инвентаризации и оценки имущества и обязательств, документальному подтверждению их наличия, состояния и оценки;

ь по организации системы внутреннего контроля за правильностью оформления хозяйственных операций, соблюдением порядка документооборота, технологии обработки учетной информации и ее защиты от несанкционированного доступа.

- В соответствии с требованиями Налогового кодекса РФ обеспечивает своевременное перечисление налогов и сборов в федеральный, региональный и местный бюджеты, страховых взносов в государственные внебюджетные социальные фонды, платежей в кредитные организации, средств на финансирование капитальных вложений, погашение задолженностей.

- Обеспечивает контроль за расходованием средств фонда оплаты труда, организацией и правильностью расчетов по оплате труда работников.

- Обеспечивает соблюдение финансовой и кассовой дисциплины.

- Организует работу с Налоговой инспекцией, Пенсионным фондом, Фондами социального страхования, обязательного медицинского страхования и т. д.

- Участвует в оформлении документов по недостачам, незаконному расходованию денежных средств и товарно-материальных ценностей, контролирует передачу в необходимых случаях этих материалов в следственные и судебные органы.

- Обеспечивает составление отчета об исполнении бюджетов денежных средств и смет расходов, подготовку необходимой бухгалтерской и статистической отчетности, представление их в установленном порядке.

- Обеспечивает сохранность бухгалтерских документов и сдачу их в архив в установленном порядке.

- Оказывает методическую помощь руководителю и другим работникам организации по вопросам бухгалтерского учета, контроля, отчетности и анализа хозяйственной деятельности.

- Руководит работой бухгалтерии, проходит, курсы и участвует в семинарах повышения квалификации.

- Принимает участие в проведении финансового анализа и формирования налоговой политики на основе данных бухгалтерского учета и отчетности, в организации внутреннего аудита; готовит предложения по улучшению деятельности организации, устранение потерь и непроизводственных затрат.

Секретарь выполняет следующие обязанности:

- получает для директора школы и его заместителей сведения от работников школы, вызывает по поручению директора работников школы и обучающихся;

- организует телефонные переговоры директора школы;

- принимает и передаёт телефонограммы, записывает в отсутствие директора школы принятые сообщения и доводит их до его сведения;

- осуществляет работу по подготовке общих собраний работников школы, заседаний совета школы, педагогического совета, попечительского совета, а так же совещаний, проводимых директором школы (сбор необходимых материалов, оповещение участников о времени, месте, повестке дня совещания и их регистрация), по поручению директора ведёт и оформляет протоколы заседаний и совещаний;

- следит за обеспечением директора школы канцелярскими принадлежностями, средствами организационной техники, создаёт условия, способствующие эффективной работе директора;

- передаёт и принимает информацию по приёмно-переговорным устройствам;

- печатает по указанию директора школы различные документы и материалы;

- ведёт делопроизводство; формирует дела в соответствии с утверждённой номенклатурой, обеспечивает их сохранность и в установленные сроки сдаёт в архив;

- принимает поступающую на имя директора школы корреспонденцию, осуществляет её систематизацию в соответствии с принятым в школе порядком и передаёт её после рассмотрения директором по назначению конкретным исполнителям для использования в процессе их работы либо подготовки ответа, следит за сроками выполнения поручений директора школы, взятых на контроль; отправляет корреспонденцию;

- принимает личные заявления работников, обучающихся и их родителей (лиц, их заменяющих), документы на подпись директору школы;

- организует приём посетителей, содействует оперативности рассмотрения просьб и предложений работников;

- осуществляет документационное обеспечение кадровой работы в школе; ведёт книгу приказов и хранит её, ведёт журнал учёта движения трудовых книжек, хранит и ведёт в установленном порядке трудовые книжки работников.

Кроме того, в формирование документопотока в школе активно участвуют Совет Школы, Педагогический совет и Общешкольный родительский комитет. Положения по этим органам приведены в приложениях 1-3.



3. Обзор информационных систем и технологий, используемых в школе

К информационным ресурсам учреждения будем относить информацию, значимую для организации, а так же информационную систему, которая ее обрабатывает.

Информация для предприятия часто является ценным предметом, сравнимым с материальными ресурсами. Для Енапаевской средней общеобразовательной школе, ценной информацией являются данные о ее сотрудниках. Федеральный закон «О персональных данных» предписывает, что такой вид информационных ресурсов необходимо должным образом защищать. Это касается как коммерческих организаций, так и государственных учреждением.

Так же особую важность для учреждения имеет служебная информация. Стоит заметить, что носителями информации в данной организации выступают бумажные носители и телекоммуникационная система. Для защиты бумажных носителей в организации введена политика ограниченного доступа в помещения, а так же наличие огнеупорных сейфов для хранения. Так как в рамках работы рассматривается анализ рисков информационной системы, то оценка рисков для информации на бумажных носителях производиться не будет. К служебной информации рассматриваемой организации относятся электронно-цифровые подписи (Далее по тексту ЭЦП). Эта информация хранится исключительно на гибких магнитных дисках.

Помимо, информации к информационным ресурсам Енапаевской средней общеобразовательной школе так же относится информационная система и системы телекоммуникаций. Информационная система состоит из программной и аппаратной части.

Аппаратная часть:

1. Персональные компьютеры - выполняют роль рабочих станций. Используются сотрудниками организации для работы с офисными приложениями, клиент-серверными приложениями, прикладными программами. Так же для работы с сетевыми файлами, работы с электронной почтой.

2. Сервер - используется в качестве сервера хранения данных, контроллера домена, межсетевого экрана. Выполнение службы каталогов.

Программная часть:

1. Операционная система Windows XP Professional Edition SP3 - операционная система, установленная на рабочих станциях, предоставляющая пользователям сервисы для работы в сети, работы с приложениями и файлами.

2. Операционная система Windows Server 2003 - обеспечивает работу сетевых служб, службы каталогов, файлового сервера, межсетевого экрана, подключения доступа к сети Интернет.

3. Kerio Winroute FireWall - программный межсетевой экран. Служит защитой локальной сети, ограничивает доступ к запрещенным ресурсам сети.

4. ESET NOD32 Smart Security - персональный антивирус, файервол.

5. Гарант F1 - клиент-серверное приложение, являющееся базой нормативно-правовых документов.

6. MS Office 2003 -программный комплекс состоящий из офисных приложений, для работы с текстовыми файлами, таблицами и др.

7. 1С Бухгалтерия - приложение для автоматизированного ведения бухгалтерского учета.

К системе передачи данных относится локальная вычислительная сеть (далее по тексту ЛВС), сетевое оборудование:

1. Коммутатор 3COM Baseline Switch 2226 Plus - служит центральным звеном ЛВС.

2. Незащищенная витая пара (технология UTP - Unshielded twisted pair) - кабель передачи данных ЛВС.

Топология сети - типа «Звезда».

Структура сети школы показана на рис. 2.

Рис. 2. Схема компьютерной сети школы

Компьютерная техника в настоящее время используется в основном в образовательных целях. В связи с необходимостью предоставления доступа в Интернет для школьников в школе были приняты соответствующие правила (см. Приложение 4).

На данный момент существует потребность во внедрении компьютерных технологий в процесс управления школой, в т.ч. для автоматизации документооборота.



4. Анализ информационной безопасности

Для оценки рисков будет использован комбинированный метод детально описанный в ГОСТ Р ИСО/МЭК ТО 13335-3-2007. Он основывается на проведении детального анализа рисков для систем и ресурсов, которые имеют важное значение для деловой деятельности предприятия и/или подвержены высокому уровню риска, для остальных систем и ресурсов следует ограничиться базовым вариантом подхода к оценке рисков.

Если прекращение функционирования системы или нарушение безопасности ресурса может причинить ущерб или принести убытки компании, отрицательно повлиять на ее деловую деятельность и другие активы, то для оценки потенциального риска проводят детальный анализ риска. Во всех других случаях достаточная безопасность может быть обеспечена применением базового подхода.

В процессе оценки рисков должны участвовать не только владельцы активов, но и их пользователи, служащие отдела кадров, специалисты ИТ, лица отвечающие за реализацию защитных мер на предприятии, словом все те кто может оценить и ранжировать по определенным критериям те или иные проблемы. Поэтому процедура оценки рисков проводилась на основании экспертного оценивания, т.е. получения оценки на основании группового мнения специалистов. Данный метод дает более качественные оценки, так как совместное мнение обладает большей точностью, чем индивидуальное мнение каждого из специалистов.

Основным преимуществом качественного анализа является то, что он определяет приоритетность рисков и благодаря этому могут быть определены системы и ресурсы, которые требуют немедленных мер по устранению их уязвимостей и угроз. Недостаток качественного анализа заключается в том, что он не предусматривает конкретного количественного измерения величины воздействия рисков, поэтому сделать анализ затрат и выгод от любых рекомендованных мер безопасности трудно.

Основным преимуществом количественного анализа является то, что он обеспечивает измерение величины воздействий рисков, что может быть использовано при анализе затрат и выгод от рекомендованных мер безопасности. Недостатком является то, что, в зависимости от количественных оценок, используемых для выражения измерения рисков, смысл этого количественного анализа воздействия может быть неясен, и скорее всего, будет требовать дополнительного толкования в качественных величинах.

Для оценки рисков был выбран качественный метод оценки с субъективной мерой вероятности, как наименее трудоемкий, требующий меньше ресурсов, так и по причине отсутствия достаточного количества объективных оценок (статистических данных) рисков в прошлом.

В таблице 1 приведены основные защищаемые активы школы.

Для оценки будет использована шкала с показателями значимости:

- «низкий» - не зависят критически важные задачи и он может быть восстановлен с небольшими затратами времени и денег.

- «средний» - от него зависит небольшой ряд важных задач, при утрате он может быть восстановлен за время, не превышающее критически допустимое, стоимость восстановления - ощутимая.

- «высокий» - от него зависит ряд важных задач, при утрате он может быть восстановлен за время, не превышающее критически допустимое, стоимость восстановления - высокая.

Таблица 1 - Идентификация активов

№ актива	Название актива	Значимость	Зависимости
1. Информация
1.1	Сведенья о персональных данных	Высокая	3.1, 4.1, 4.2, 5.12
1.2	Служебная информация	Высокая	2.1, 2.3, 3.1, 3.3, 4.1, 4.2, 5.8, 5.9, 5.12, 5.13
1.3	Прочая информация	Низкая	все
2. Носители информации
2.1	Гибкие магнитные диски	Низкая
2.2	Оптические диски	Низкая
2.3	Накопители типа флэш	Низкая
3. Система передачи данных
3.1	Кабеля передачи данных ЛВС	Средняя
3.2	Коммутатор	Средняя
3.3	Модем	Средняя
4. Аппаратная часть ИС
4.1	Персональный компьютер	Низкая
4.2	Сервер	Средняя
5. Программная часть ИС
5.1	Операционная система Windows Server 2003	Средняя	4.2
5.2	Операционная система Windows XP Professional Edition SP3	Средняя	4.1
5.3	Программный межсетевой экран Kerio Winroute FireWall	Средняя	5.1
5.4	Персональный антивирус, файервол ESET NOD32 Smart Security	Средняя	5.1, 5.2
5.5	Серверная часть Гарант F1	Низкая	5.1
5.6	Клиентская часть Гарант F1	Низкая	5.2
5.7	MS Office 2003	Низкая	5.2
5.8	1С Бухгалтерия	Средняя	5.1, 5.2

Оценка проводилась благодаря работе экспертов и мнению персонала Енапаевской средней общеобразовательной школе. Установив зависимости, следует произвести переоценку значимости активу, руководствуясь следующими правилами:

1. Если уровни ценности зависимых активов ниже или равны уровню ценности рассматриваемого актива, то этот уровень останется прежним.

2. Если уровни ценности зависимых активов выше, то уровень ценности рассматриваемого актива необходимо повысить с учетом уровня соответствующей зависимости и уровней ценности других активов.

В случае реализации угрозы будет нанесен ущерб системе информационных технологий. Источниками угроз могут выступать как люди, так и природные явления. Угрозы так же могут носить преднамеренный и случайный характер. В процессе идентификации важно не упустить из виду ни одной угрозы, иначе дальнейшая оценка будет неверной. Идентификация и оценка угроз проводится исходя из данных полученных от сотрудников организации. Ниже приведена таблица 2, описывающая угрозы, степень их воздействия на активы, причину их возникновения. Буквой D -будем обозначить все преднамеренные действия, А - ошибки персонала, все действия, которые случайным образом могут нанести вред, Е - действия не связанные с людьми.

Таблица 2 - Анализ угроз информационной безопасности

№ угрозы	Описание угрозы	Степень воздействия	Источники угрозы	Активы, которые могут быть подвержены угрозам
1	Затопление	Высокая	D, A, E	все
2	Пожар	Высокая	D, A	все
3	Намеренное повреждение	Высокая	D	все
4	Неисправности в системе электроснабжения	Высокая	A	4.1, 4.2, 6.1-6.3 (а так же зависимые активы)
5	Неисправности в системе водоснабжения	Средняя	A	4.1, 4.2, 6.1-6.3 (а так же зависимые активы)
6	Неисправности в системе кондиционирования воздуха	Низкая	D, A	4.1, 4.2, 6.1-6.3 (а так же зависимые активы)
7	Аппаратные отказы	Высокая	A	4.1, 4.2, 6.1-6.3 (а так же зависимые активы)
8	Колебания напряжения	Средняя	A, E	4.1, 4.2, 6.1-6.3 (а так же зависимые активы)
9	Воздействие пыли	Низкая	E	4.1, 4.2, 6.1-6.3 (а так же зависимые активы)
10	Электромагнитное излучение	Средняя	D, A, E	4.1, 4.2, 6.1-6.3 (а так же зависимые активы)
11	Кража	Высокая	D	все
12	Несанкционированное использование носителей данных	Высокая	D	1.1-1.3, 2.1-2.3
13	Ухудшение состояния носителей данных	Средняя	D, A, E	1.1-1.3, 2.1-2.3
14	Ошибка при обслуживании	Высокая	D, A	все
15	Программные сбои	Средняя	D, A	5.1-5.13
16	Использование программного обеспечения несанкционированными пользователями	Средняя	D, A	1.1-1.3, 5.1-5.8
17	Использование программного обеспечения несанкционированным способом	Высокая	D, A	1.1-1.3, 5.1-5.8
18	Нелегальное проникновение злоумышленников под видом санкционированных пользователей	Высокая	D	все
19	Вредоносное программное обеспечение	Высокая	D, A	1.1-1.3, 4.1, 4.2, 5.1-5.8, 6.1-6.3
20	Ошибка операторов	Средняя	D, A	1.1-1.3
21	Доступ несанкционированных пользователей к сети	Средняя	D	1.1-1.3
22	Использование сетевых средств несанкционированным способом	Средняя	D	3.1-3.3, 6.4
23	Технические неисправности сетевых компонентов	Низкая	A	1.1-1.3, 3.1-3.3
24	Повреждение линий	Средняя	D, A	1.1-1.3, 3.1-3.3
25	Перехват информации	Высокая	D	1.1-1.3
26	Несанкционированное проникновение к средствам связи	Высокая	D	1.1-1.3, 3.1-3.3
27	Ошибки пользователей	Низкая	D, A	1.1-1.3
28	Ненадлежащее использование ресурсов	Средняя	D, A	все

Уязвимостью можно считать свойство актива, которое может использовать угроза для своей реализации. Стоит учитывать, что одна и та же уязвимость каждой угрозой может использоваться по-разному, так же для активов могут быть схожие и различные уязвимости, которые в разной степени способствуют реализации различным угрозам. Далее будет проведен анализ уязвимостей, в зависимости от активов и угроз. Для этого идентифицируем большинство возможных уязвимостей.

Таблица 3 - Идентификация уязвимостей активов

№ уязвимости	Описание уязвимости	Угрозы, которые могут использовать данную уязвимость
Среда и инфраструктура
1	Отсутствие физической защиты зданий, дверей и окон	1, 2, 3, 11, 18, 21, 24, 25, 26
2	Неправильное или халатное использование физических средств управления доступом в здания, помещения	1, 2, 3, 11, 18, 21, 24, 25, 26
3	Нестабильная работа электросети	4, 7, 8, 10
Аппаратное обеспечение
4	Отсутствие схем периодической замены	7, 23, 28
5	Подверженность колебаниям напряжения	8
6	Подверженность воздействию влаги, пыли, загрязнения	9
7	Чувствительность к воздействию электромагнитного излучения	4, 7
8	Недостаточное обслуживание/неправильная инсталляция запоминающих сред	7
9	Отсутствие контроля за эффективным изменением конфигурации	7
Программное обеспечение
10	Отсутствие тестирования или недостаточное тестирование программного обеспечения	14, 15, 16, 17, 18
11	Отсутствие механизмов идентификации и аутентификации, например, аутентификации пользователей	3, 16, 17, 18, 25
12	Незащищенные таблицы паролей	16, 18, 21
13	Плохое управление паролями	16, 18, 21
13	Неправильное присвоение прав доступа	14, 16, 18, 21, 25
15	Неконтролируемая загрузка и использование программного обеспечения	16, 17, 19, 20
16	Отсутствие регистрации конца сеанса при выходе с рабочей станции	18
17	Отсутствие резервных копий	14, 28
18	Списание или повторное использование запоминающих сред без надлежащего стирания записей	25
Коммуникации
19	Незащищенные линии связи	21, 22, 23, 24, 25, 26
20	Неудовлетворительная стыковка кабелей	21, 22, 23, 24, 25, 26
21	Незащищенные потоки конфиденциальной информации	25
22	Незащищенные подключения к сетям общего пользования	19, 25
Персонал
23	Отсутствие надзора за работой лиц, приглашенных со стороны, или за работой уборщиц	3, 11, 16, 19, 18, 21, 25, 26
24	Недостаточная подготовка персонала по вопросам обеспечения безопасности	13, 17, 20, 27, 28
25	Неправильное использование программно-аппаратного обеспечения	14, 15, 27, 28
26	Отсутствие механизмов отслеживания	15, 17, 19, 20, 23, 27, 28
Общие уязвимые места
27	Отказ системы вследствие отказа одного из элементов	14, 15
28	Неадекватные результаты проведения технического обслуживания	14, 28

Теперь необходимо оценить, насколько каждая из уязвимостей способствует реализации угрозы. Для этого будем использовать обозначения: «Н» - уязвимость обладает низкой способностью к реализации угрозы, «С» - средней, «В» - высокой.

Таблица 4 - Уязвимости среды или инфраструктуры

№ угрозы	Описание угрозы	№ уязвимости
		1	2
1	Затопление	Н	Н
2	Пожар	Н	Н
3	Намеренное повреждение	С	С
4	Неисправности в системе электроснабжения
7	Аппаратные отказы
8	Колебания напряжения
9	Воздействие пыли
10	Электромагнитное излучение
11	Кража	В	В
18	Нелегальное проникновение злоумышленников под видом санкционированных пользователей	В	В
21	Доступ несанкционированных пользователей к сети	С	С
24	Повреждение линий	С	С
25	Перехват информации	В	В
26	Несанкционированное проникновение к средствам связи	С	С

Уязвимости, связанные с аппаратным обеспечением:

№ угрозы	Описание угрозы
		4	5	6	7	8
4	Неисправности в системе электроснабжения				Н
7	Аппаратные отказы	В			Н	С
8	Колебания напряжения		В
9	Воздействие пыли			В
23	Технические неисправности сетевых компонентов	Н
28	Ненадлежащее использование ресурсов	Н

Уязвимости, связанные с программным обеспечением:

№ угрозы	Описание угрозы
		10	11	12	13	14	15	16	17
3	Намеренное повреждение		Н
14	Ошибка при обслуживании	Н				В			С
15	Программные сбои	С
16	Использование программного обеспечения несанкционированными пользователями	Н	В	С	С	В	Н
17	Использование программного обеспечения несанкционированным способом	С	Н				В
18	Нелегальное проникновение злоумышленников под видом санкционированных пользователей	Н	В	С	С	С		С
19	Вредоносное программное обеспечение						В
20	Ошибка операторов						Н
21	Доступ несанкционированных пользователей к сети			С	С	С
25	Перехват информации		С			В
28	Ненадлежащее использование ресурсов								Н

Уязвимости, связанные со средствами передачи данных

№ угрозы	Описание угрозы	№ уязвимости
		19	20	21
19	Вредоносное программное обеспечение
21	Доступ несанкционированных пользователей к сети	С	Н
22	Использование сетевых средств несанкционированным способом	Н	Н
23	Технические неисправности сетевых компонентов	Н	Н
24	Повреждение линий	В	С
25	Перехват информации	В	С	С
26	Несанкционированное проникновение к средствам связи	В	В

Уязвимости, связанные с работой персонала:

№ угрозы	Описание угрозы	№ уязвимости
		23	24	25
3	Намеренное повреждение	В
11	Кража	В
13	Ухудшение состояния носителей данных		С
14	Ошибка при обслуживании			С
15	Программные сбои			В
16	Использование программного обеспечения несанкционированными пользователями	С
17	Использование программного обеспечения несанкционированным способом		В
18	Нелегальное проникновение злоумышленников под видом санкционированных пользователей	Н
19	Вредоносное программное обеспечение	В
20	Ошибка операторов		В
21	Доступ несанкционированных пользователей к сети	С
23	Технические неисправности сетевых компонентов
24	Повреждение линий	Н
25	Перехват информации	В
27	Ошибки пользователей		В	В
28	Ненадлежащее использование ресурсов		В	В

образовательный школа документ контроль

Таблица 5 - Общие уязвимые места

№ угрозы	Описание угрозы	№ уязвимости
		1
14	Ошибка при обслуживании	В
15	Программные сбои	В
28	Ненадлежащее использование ресурсов

Для того, чтобы оценить риск необходимо учесть важность активов для организации, степень воздействия на них угроз, учитывая уязвимости. Тогда введем для показателей значимости «низкий», «средний» и «высокий» количественную оценку: 1, 2 и 3 соответственно. Оценка риска актива будет состоять из произведения степени важности актива и степени угрозы, когда в свою очередь степень угрозы будет переоценена с учетом оценок уязвимостей, способствующих реализации угрозы. Переоценка осуществляется путем произведения степени воздействия угрозы и суммы оценок уязвимостей. Таким образом получаем (детальный анализ рисков см. приложение 5).



Таблица 6 - Оценка рисков информационной безопасности

№ актива	Название актива	Мера риска
1.1	Сведения о персональных данных	1596
1.2	Служебная информация	1596
1.3	Прочая информация	532
2.1	Гибкие магнитные диски	270
2.2	Оптические диски	270
2.3	Накопители типа флэш	270
3.1	Кабеля передачи данных ЛВС	422
3.2	Коммутатор	588
4.1	Персональный компьютер	518
4.2	Сервер	1013
5.1	Операционная система Windows Server 2003	782
5.2	Операционная система Windows XP Professional Edition SP3	782
5.3	Программный межсетевой экран Kerio Winroute FireWall	782
5.4	Персональный антивирус, файервол ESET NOD32 Smart Security	782
5.5	Серверная часть Гарант F1	441
5.6	Клиентская часть Гарант F1	441
5.7	MS Office 2003	441
5.8	1С Бухгалтерия	782
6.1	Персональный компьютер главного бухгалтера с ОС	1013
6.2	Персональный компьютер менеджера по персоналу с ОС	1013
6.3	Гибкие магнитные диски для служебной информации	516
6.4	Кабель между компьютером бухгалтера и коммутатором	516

Таким образом можно сделать выводы, что наиболее уязвимыми активами являются персональные данные и сведения, содержащие служебную тайну, а также аппаратное и программное обеспечение.

В результате проведенного анализа системы информационной безопасности были выявлены основные угрозы информационной безопасности, произведена оценка риска рисков и выработаны основные меры по защите информации. Кроме того, рекомендуется разработать общую политику безопасности школы и ряд, регламентов направленных на обеспечение информационной безопасности. Также следует соблюдать ряд общих требований:

- Доступ к информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме.

- Для каждого информационного ресурса определяется владелец, отвечающий за предоставление к нему доступа и эффективное функционирование мер защиты информации.

- Сотрудники школы проходят регулярное обучение в области информационной безопасности.

- Директор школы утверждает политики безопасности.

- Отдел автоматизации (или специалист по автоматизации, в случае отсутствия отдела) отвечает за определение детальных требований информационной безопасности и контролирует их исполнение в школе.

Чтобы ограничить доступ к информации, содержащей персональные данные и служебную информацию необходимо принять следующие меры

- Решение о доступе сотрудника к определенному типу информации принимается руководством школы, в лице директора или исполняющего обязанности директора за его отсутствием.

- Специалист автоматизации обеспечивает защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому.

- Доступ к компьютерной сети школы осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается.

- Категорически запрещается снимать несанкционированные копии с носителей информации, знакомить с содержанием электронной информации лиц, не допущенных к этому.

- Доступ к персональным данным должно быть описано в «Положения о защите персональных данных»

Для обеспечения физической защиты информации:

- Все объекты критичные с точки зрения информационной безопасности (сервера, учрежденческая автоматическая телефонная станция, коммутаторы, межсетевой экран) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение от руководства школы.

- Вход в помещение осуществляется через дверь, оснащенную замком. Копии ключей находятся на вахте и у обслуживающего персонала.

- Помещение оборудовано вентиляцией и пожарной сигнализацией.

- Ключевые носители, программное обеспечение, документы и прочая конфиденциальная информация хранится в сейфах.

- Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находится в помещении только в присутствии работников, имеющих право находится в помещении в связи с выполнением своих должностных обязанностей.

Для обеспечения антивирусной защиты:

- Запрещается открывать вложения к сообщениям электронной почты, полученным из неизвестных, подозрительных или недостоверных источников, без предварительной антивирусной проверки. Если по определённым причинам проверка не возможна (отсутствуют актуальные сигнатурные базы),то такие вложения должны незамедлительно удаляться.

- Сообщения электронной почты содержащей спам, цепочки сообщений и другую нежелательную почту должны удаляться.

- Запрещается скачивать информацию из неизвестных или подозрительных источников.

- Следует избегать предоставления общего доступа к локальным логическим дискам с правами чтения/записи в случае если это не требуется в рамках выполнения основной деятельности.

- Прежде чем использовать носители информации, полученные от неизвестных или подозрительных источников, их необходимо сканировать их на отсутствие вирусов.

- Сотрудники школы перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;

- Важные данные необходимо регулярно резервировать в файловом хранилище школы.

- Конфигурации всех антивирусных средств должны быть сохранены специалистом автоматизации, в случае если потребуется восстановление конфигурации антивируса.

- Информирование специалиста автоматизации о выявленных уязвимостях должно производиться оперативно желательно в автоматическом режиме, например формированием антивирусом сообщений об инцидентах по электронной почте.

Для обеспечения безопасности при работе с Интернет:

- Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности;

- Запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;

- Сотрудники школы не должны использовать сеть Интернет для хранения корпоративных данных;

- Работа сотрудников школы с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации школы в сеть Интернет, за исключением передачи электронных сообщений;

- Специалист автоматизации имеет право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях.



5. Анализ сертификации рабочего места

При установке компьютеров в школе и работе с компьютером соблюдаются следующие правила.

Правила по электрической безопасности.

Персональный компьютер -- электроприбор. От прочих электроприборов он отличается тем, что для него предусмотрена возможность длительной эксплуатации без отключения от электрической сети. Кроме обычного режима работы компьютер может находиться в режиме работы с пониженным электропотреблением или в дежурном режиме ожидания запроса. В связи с возможностью продолжительной работы компьютера без отключения от электросети следует уделить особое внимание качеству организации электропитания.

Недопустимо использование некачественных и изношенных компонентов в системе электроснабжения, а также их суррогатных заменителей: розеток, удлинителей, переходников, тройников. Недопустимо самостоятельно модифицировать розетки для подключения вилок, соответствующих иным стандартам. Электрические контакты розеток не должны испытывать механических нагрузок, связанных с подключением массивных компонентов (адаптеров, тройников и т. п.).

Все питающие кабели и провода должны располагаться с задней стороны компьютера и периферийных устройств. Их размещение в рабочей зоне пользователя недопустимо.