Інформаційний вплив на особистість є причиною формування такої категорії, як інформаційна безпека. Це поняття на законодавчому рівні не визначено.

В. Бетелфн, В. Галатенко визначає інформаційну безпеку як «захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, що спричиняють завдання збитків власникам або користувачам інформації і підтримуючої інфраструктури» .

Інформаційну безпеку слід розуміти як систему механізмів захисту, як технологічний, правовий захист інформаційної сфери, який забезпечує її формування і розвиток в інтересах громадян, фізичних, юридичних осіб і держави в цілому та спрямований на запобігання несанкціонованого доступу до інформації, її розголошення, втрати, знищення, від зловживання владою або заміни ступеня доступності інформації, її перекручення, незаконного використання, фальсифікації, тиражування та захист інформаційних систем і підтримуючої інфраструктури та як таку, що має можливість реального впливу на стан справ в інформаційній сфері, ступінь якого відслідковується системою моніторингу показників інформаційної безпеки.

Захист має бути цілеспрямований, комплексний, універсальний, надійний, його слід розглядати в контексті із захистом комп'ютерних систем, в розрізі системного підходу (система інформаційного забезпечення повинна бути ефективною, мобільною, здатною швидко реагувати на загрози і нові умови діяльності).

Захист повинен здійснюватися відповідно до Закону України «Про захист інформації в автоматизованих системах» від 5 липня 1994 року №80/94-ВР та інших нормативно-правових актів з питань захисту інформації.

У законі викладені основні засади, в т.ч. міжнародної діяльності України в галузі захисту інформації, відповідно до якого та закону України «Про інформацію» юридичні особи з метою обміну, обробки, купівлі, продажу відкритої інформації можуть встановлювати взаємозв'язки з автоматизованими системами інших держав на принципах санкціонованого доступу та нерозповсюдження отриманої інформації без спеціального дозволу.

Захист прав людини в інформаційній сфері полягає в забезпеченні правового порядку в інформаційних відносинах і «…такого рівня доступу до інформації, за якого питання про можливість користування нею навіть не виникало б, оскільки доступ був би необмеженим з огляду на відсутність перепон до нього» .

Захист інформації є безперервний процес, що полягає в обґрунтуванні й реалізації найраціональніших методів, способів і шляхів вдосконалення та розвитку системи захисту, що забезпечує безперервний контроль стану її захищеності, виявлення слабких місць.

Управління необхідно розглядати як інформаційний процес, важливу роль у якому відіграє правова інформація (управлінське рішення).

Одним із підходів, який гарантує створення ефективної системи управління процесами є ґрунтування їх на законодавчу основу, яка буде підтримуватися надійною автоматизованою інформаційною системою, відповідною технологією з системою захисту інформації та безпеки системи.

Захист інформації та системи безпеки «забезпечення» даних при автоматизованій обробці інформації, в т.ч. захист технологій, потребує особливої нормативної «уваги», яка забезпечить недопущення порушення її цілісності та блокування, як основної можливої загрози, яка може бути зумовлена рядом причин, в т.ч. злочинною діяльністю.

До правових (універсальних) заходів захисту відносяться нормативно-правові акти, спеціальні або закони про внесення змін в адміністративний, цивільний, кримінальний кодекси України, що регламентують інформаційні відносини, правила поведінки суб'єктів з інформацією, у процесі обробки, використання інформації та встановлюють відповідальність за порушення норм, що є попереджуючим фактором для потенційного порушника.

Законотворча діяльність розвивається не ізольовано. Використання міжнародного досвіду шляхом вивчення законодавства європейських країн, проведення порівняльного аналізу, значно прискорює адаптацію національного законодавства та забезпечує відповідність його міжнародним стандартам.

Теорія правового захисту інформації набуває розвитку одночасно з формуванням інформаційного права (як комплексної галузі наукових знань, як множини правових норм, як науки) та правової інформатики - науки про закономірності автоматизації соціальних процесів, правовий статус правовідносин, пов'язаних з інформацією. При цьому формування нових правил поведінки, відносин суб'єктів в інформаційній сфері потребує щоразу публічного правового визначення, а саме теорія організації інформаційної безпеки потребує уваги як окрема дисципліна.

Підтримую думку авторів М.Я. Швець, Р.А. Калюжного, П.В. Мельника: «…є потреба формування комплексної наукової дисципліни теорії організації (тектології) інформаційної безпеки, а в її складі - субінституту захисту інформації в автоматизованих системах».

Інформаційні ресурси були та залишатимуться об'єктом недобросовісної конкуренції, тому надзвичайно важливим є формування саме системи захисту інформації, з застосуванням методів інтеграції та агрегації, напрацюванням стандартів сутності нових соціальних явищ та формування системи знань щодо інформаційної безпеки.

Практично в усіх відомствах: в Конституційному суді, Мінюсті, МВС, Генеральній прокуратурі, Верховному суді та інших розроблені і прийняті концепції, програми інформатизації з урахуванням вимог до системи безпеки інформації, що надасть можливість створити правову систему управління інформаційними ресурсами, правові гарантії забезпечення цілісності інформації, системи комплексного контролю за захистом інформаційних ресурсів та станом безпеки.

Виробник (автор) інформації є її власником, має всі майнові права на інформацію, які він отримує за фактом її створення та обнародування. Захист виключного права на інформацію регулюється механізмом здійснення авторського права. Наявність норми «виключне право» надає можливість та право на здійснення оцінки рівня захисту прав і основних свобод.

Виявлення каналів несанкціонованого витоку інформації, розрахунок матеріальних (штрафних санкцій), моральних витрат та правові заходи протидії цьому виду правопорушення зокрема, такі як документування методів несанкціонованих дій щодо доступу до автоматизованої системи та шляхів доступу, виявлення, розкриття правопорушення залишається в правовому полі неврегульованими.

Відсутність підзаконних актів (норм, правил, методик, інструкцій, положень, типових стандартизованих актів) не тільки не дає можливість здійснити оцінку якості функціонування системи захисту інформації, визначити ступінь відповідності та задоволення нормам системи захисту, в т.ч. міжнародним, але й спричиняє певні труднощі при кваліфікації, документуванні правопорушення інформаційної безпеки та при розгляді таких справ в судових органах.

Обсяг інформації про причини резонансних злочинів, про умови, що сприяють їх вчиненню зростає, відсутність інформаційної бази даних приводить до неможливості застосування діючих у міжнародній практиці сучасних автоматизованих технологій системи управління та контролю за порушниками законодавства з питань безпеки інформації в сфері оподаткування.

Важливою є необхідність гармонізації (приведення різних правових систем до загальноприйнятих вимог), адаптації законодавства України до європейського права, уніфікація юридичної термінології, що використовується в їх правових системах.

Початковим пунктом у вирішенні цього питання є систематизація національного законодавства, створення загальнодержавних довідників (класифікаторів), кодування та переведення у електронно-цифрову форму інформації з метою усунення нормативної невизначеності понять та категорій, наприклад «інформаційна безпека», «комп'ютерна безпека», «таємниця» і «таємна інформація», уніфікація інформаційного права тощо.

Входження України в Світову організацію торгівлі (СОТ) надасть можливість розвитку транскордонних відносин та зумовить необхідність вдосконалення захисту на міжнародному рівні комерційної таємниці, а на рівні міждержавних угод - міжнародний захист технологій.

Для розкриття злочинних угрупувань особливе значення має безпека інформації з питань системи розрахунків щодо великих та термінових платежів, безготівкових розрахунків. Оперативність розслідування, швидкого реагування, володіння правовою інформацією та пошук корисної інформації, її захист залежить від створення системи інформаційно-аналітичної взаємодії Національного банку, Міністерства фінансів та інших державних установ з розмежуванням та законодавчо визначеним правом доступу державних органів та підприємців до відкритої інформації, інформаційних ресурсів. Створення системи фінансово-правової інформації в такому напрямі значно, на наш погляд, забезпечить підвищення рівня безпеки інформації, так як створені «…з метою зниження конфліктних ситуацій між ними, пов'язаних з правовою ентропією (незнанням нормативно-правових актів та практики їх застосування).

Зменшити ризики впливу на безпеку інформації можливо, якщо створення системи безпеки та захисту інформації передбачити ще на етапі розробки технічного завдання на проектування інформаційних підсистем, програмного продукту.

З метою захисту інформаційних відносин, безпечного функціонування інформаційних систем здійснюються заходи щодо забезпечення правової безпеки систем, інформації, які в залежності від засобів здійснення можуть бути правові, техніко-технологічні (інженерно-технічні, програмно-математичні), організаційні (організаційно-правові, організаційно-управлінські та організаційно-технічні).

Інформаційні системи, які передбачають широкомасштабну комп'ютеризацію процесів переробки інформації та активне її використання, складають основу формування інформаційних ресурсів, які повинні являти собою сукупність розподілених баз даних, що побудовані за відомчим, територіальним принципами.

Сумісність інформаційних систем дозволяє забезпечити багаторазове використання однієї інформації, безпеку інформації, установити певні інтеграційні зв'язки, зменшити обсяг інформаційних потоків, підвищити ступінь захищеності системи.

Впровадження автоматизованих інформаційних систем забезпечить суттєве зростання питомої ваги інформаційно-аналітичної складової у структурі органів державної влади, що означає розвиток та створення на її базі корпоративної автоматизованої інформаційно-аналітичної системи державних органів в Україні.

Інформаційне законодавство є основним інструментом реалізації державної інформаційної політики, назріла необхідність проведення систематизації інформаційного законодавства з метою прийняття Інформаційного кодексу з окремим розділом «Інформаційна безпека» з визначенням його поняття, правових аспектів, правового статусу.

Окремими розділами в кодексі необхідно законодавчо визначити захист інформації в телекомунікаційних системах; створення і застосування інформаційних технологій; інформаційних ресурсів, з урахуванням специфіки правопорушень, ступеня захисту конфіденційної інформації на всіх рівнях ієрархії державного органу, визначення обмеження, в т.ч. доступу працівників державних органів до інформації з метою унеможливлювання в період розслідування використання даних в цілях, відмінних від завдання.

Україна є інформаційним суспільством, з визнанням презумпції відкритості інформації для громадян і захисту їх інформаційних прав: захист особистої інформації, захист від неправдивої, недобросовісної інформації тощо.

2.4 Розробка і реалізація політики інформаційної безпеки СЕД підприємства

Забезпечення комплексної безпеки є необхідною умовою функціонування будь-якої компанії. Ця «комплексність» полягає, передусім, в продуманості, збалансованості захисту, розробці чітких організаційно-технічних заходів і забезпеченні контролю над їх виконанням.

Всякій успішній діяльності повинен передувати етап планування. Планування забезпечення безпеки полягає в розробці політики безпеки.

Спочатку необхідно провести аудит інформаційних процесів фірми, виявити критично важливу інформацію, яку необхідно захищати.

Іноді до цієї справи підходять однобоко, вважаючи, що захист полягає в забезпеченні конфіденційності інформації. При цьому випускаються з уваги необхідність забезпечення захисту інформації від підробки, модифікації, парирування загроз порушення працездатності системи. Аудит інформаційних процесів повинен закінчуватися визначенням переліку конфіденційної інформації підприємства, ділянок, де ця інформація звертається, допущених до неї осіб, а також наслідків втрати(спотворення) цієї інформації.

Політика безпеки - це документ " верхнього рівня, в якому повинно бути вказано:

- відповідальні особи за безпеку функціонування фірми;

- повноваження і відповідальність відділів і служб відносно безпеки;

- організація допуску нових співробітників і їх звільнення;

- правила розмежування доступу співробітників до інформаційних ресурсів;

- організація пропускного режиму, реєстрації співробітників і відвідувачів;

- використання програмно-технічних засобів захисту;

- інші вимоги загального характеру.

Таким чином, політика безпеки - це організаційно-правовий і технічний документ одночасно. При її складанні потрібно завжди спиратися на принцип розумної достатності і не втрачати здорового глузду.

Принцип розумної достатності означає, що витрати на забезпечення безпеки інформації мають бути ніяк не більше, ніж величина потенційного збитку від її втрати. Аналіз ризиків, проведений на етапі аудиту, дозволяє ранжувати ці риски за величиною і захищати в першу чергу не лише найуразливіші, але і оброблювальні найбільш цінну інформацію ділянки. Якщо обмеженнями виступає сумарний бюджет системи забезпечення безпеки, то завдання розподілу цього ресурсу можна поставити і вирішити як умовне завдання динамічного програмування.

Значна увага в політиці безпеки приділяється питанням забезпечення безпеки інформації при її обробці в автоматизованих системах: автономно працюючих комп'ютерах і локальних мережах. Необхідно встановити, як мають бути захищені сервери, маршрутизатори і інші облаштування мережі, порядок використання змінних носіїв інформації, їх маркування, зберігання, порядок внесення змін до програмного забезпечення.

Можна привести із цього приводу наступні загальні рекомендації:

· в системі має бути адміністратор безпеки;

· за кожен пристрій має бути призначений відповідальний за його експлуатацію;

· системний блок комп'ютера потрібно опечатувати друком відповідального і працівника IT - служби

· жорсткі диски краще використати знімні, а після закінчення робочого дня прибирати їх в сейф;

· якщо немає необхідності в експлуатації CD - ROM, дисководів, вони мають бути зняті з комп'ютерів;

· установка будь-якого програмного забезпечення повинна робитися тільки працівником IT - служби;

· для розмежування доступу співробітників краще всього використати поєднання паролів і смарт-карт (токенов). Паролі повинні генеруватися адміністратором безпеки, видаватися користувачеві під розпис і зберігатися їм також як і інша конфіденційна інформація;

· має бути заборонене використання неврахованих носіїв інформації. На врахованих носіях виконується маркування, наприклад, гриф, номер, посада і прізвище співробітника.

Впровадження будь-якого захисту призводить до певних незручностей користувача. Проте ці незручності не мають бути істотними, інакше людина ігноруватиме існуючі правила. Наприклад, можна зажадати завести журнал користувача персонального комп'ютера, в якому він повинен відмічати час початку і кінця роботи, характер виконуваних дій, найменування створених файлів і так далі

Украй уважно потрібно віднестися до підключення своїх інформаційних ресурсів до Інтернету. У політиці безпеки це питання має бути виділене в окремий розділ. Підключення до Інтернету зазвичай переслідує наступні цілі:

· отримання інформації з Інтернету;

· розміщення в Інтернеті своєї інформації про послуги, що надаються, товари, що продаються, і так далі

· організація спільної роботи видалених офісів або працівників вдома.

В перших двох випадках ідеальним з точки зору безпеки було б виділення для Інтернету автономного комп'ютера, на якому ні в якому разі не повинна зберігатися конфіденційна інформація. На комп'ютері мають бути обов'язково встановлені антивірусні засоби захисту з актуальною базою, а також правильно налагоджений Firewall. При цьому особливий контроль потрібно приділити роботі на цьому комп'ютері зі змінними носіями інформації, а також перлюстрації вихідної пошти. У деяких організаціях уся вихідна пошта потрапляє спочатку до рук адміністратора безпеки, який контролює її і пересилає далі.

При необхідності організації розподіленої роботи співробітників фірми найбільш прийнятним рішенням є віртуальні приватні мережі (VPN). Нині є багато вітчизняних фірм-розробників, що представляють також послуги з установки і налаштування відповідного програмного забезпечення.

Незважаючи на усі вжиті заходи, порушення інформаційної безпеки можуть статися. У політиці безпеки мають бути обов'язково передбачені заходи ліквідації цих наслідків, відновлення нормальної працездатності фірми, мінімізації заподіяного збитку. Велике значення тут має застосування засобів резервування електроживлення, обчислювальних засобів, даних, а також правильна організація документообігу.

3. Розробка рекомендацій щодо реалізації комплексу засобів захисту системи електронного документообігу

3.1 Розробка комплексу адміністративних заходів забезпечення інформаційної безпеки СЕД

Вимоги забезпечення безпеки і захисту інформації мають бути відбиті в Статуті ТОВ «Тетра»:

· підприємство має право визначати склад, об'єм і порядок захисту відомостей конфіденційного характеру, вимагати від своїх співробітників забезпечення їх збереження і захисту від внутрішніх і зовнішніх загроз;

· підприємство зобов'язане забезпечити збереження конфіденційної інформації.

· Такі вимоги нададуть право адміністрації підприємства:

· створювати організаційні структури по захисту конфіденційної інформації;

· видавати нормативні і розпорядливі документи, що визначають порядок виділення відомостей конфіденційного характеру і механізми їх захисту;

· включати вимоги по захисту інформації в договори по усіх видах господарської діяльності;

· вимагати захисту інтересів підприємства з боку державних і судових інстанцій;

· розпоряджатися інформацією, що є власністю підприємства, в цілях отримання вигоди і недопущення економічного збитку колективу підприємства і власникові засобів з виробництва;

· розробити «Перелік відомостей конфіденційної інформації».

Вимоги правової забезпеченості захисту інформації мають бути передбачені в колективному договорі.

Статут ТОВ «Тетра» також повинен містити наступні вимоги:

Розділ «Права і обов'язку»:

1. Фірма має право:

· забезпечувати свою економічну безпеку, визначати склад, об'єм і порядок захисту конфіденційної інформації;

· вимагати від співробітників забезпечення економічної безпеки і захисту конфіденційної інформації;

· здійснювати контроль за дотриманням заходів забезпечення економічної безпеки і захисту конфіденційної інформації.

2. Фірма зобов'язана:

· забезпечити економічну безпеку і збереження конфіденційної інформації;

· здійснювати дієвий контроль виконання заходів економічної безпеки і захисту конфіденційної інформації.

Розділ «Конфіденційна інформація»:

Суспільство організовує захист своєї конфіденційної інформації. Склад і об'єм відомостей конфіденційного характеру, і порядок їх захисту визначаються генеральним директором.

· Колективний договір повинен містити наступні вимоги:

· Розділ «Предмет договору»:

· Адміністрація зобов'язується в цілях недопущення нанесення економічного збитку колективу забезпечити розробку і здійснення заходів по економічній безпеці і захисту конфіденційної інформації.

· Трудовий колектив переймає на себе зобов'язання з дотримання встановлених на фірмі вимог по економічній безпеці і захисту конфіденційної інформації.

Адміністрації врахувати вимоги економічної безпеки і захисту конфіденційної інформації в правилах внутрішнього трудового розпорядку, у функціональних обов'язках співробітників і положеннях про структурні підрозділи.

Розділ «Кадри. Забезпечення дисципліни праці»:

Адміністрація зобов'язується порушників вимог по економічній безпеці і захисту конфіденційної інформації притягати до відповідальності відповідно до законодавства РФ.

· Правила внутрішнього трудового розпорядку для робітників і службовців підприємства доцільно доповнити наступними вимогами:

· Розділ «Порядок прийому і звільнення робітників і службовців»

· При прийомі співробітника на роботу або при переведенні на інший роботові його в установленому порядку, пов'язану з конфіденційною інформацією, а також при звільненні адміністрація зобов'язана:

· проінструктувати співробітника про правила економічної безпеки і збереження конфіденційної інформації;

· оформити письмове зобов'язання про нерозголошування конфіденційної інформації. Адміністрація має право:

· приймати рішення про усунення від роботи осіб, що порушують вимоги по захисту конфіденційної інформації;

· здійснювати контроль за дотриманням заходів після захисту і нерозголошування конфіденційної інформації в межах підприємства.

· Розділ «Основні обов'язки робітників і службовців»

· Робітники і службовці зобов'язані:

· знати і строго дотримуватися вимог економічної безпеки і захисту конфіденційної інформації;

· дати добровільне письмове зобов'язання про нерозголошування відомостей конфіденційного характеру;

· дбайливо відноситися до зберігання особистих і службових документів і продукції, що містять відомості конфіденційного характеру. У разі їх втрати негайно повідомити про це адміністрації.

· Розділ «Основні обов'язки адміністрації»

· Адміністрація і керівники підрозділів зобов'язані:

· забезпечити суворе дотримання вимог економічної безпеки і захисту конфіденційної інформації;

· послідовно вести організаторську, економічну і виховну роботу, спрямовану на захист економічних інтересів і конфіденційної інформації;

· включати в положення про підрозділи і посадові інструкції конкретні вимоги по економічній безпеці і захисту конфіденційної інформації;

· неухильно виконувати вимоги статуту, колективного договору, трудових договорів, правил внутрішнього трудового розпорядку і інших господарських і організаційних документів в частині забезпечення економічної безпеки і захисту конфіденційної інформації.

Адміністрація і керівники підрозділів несуть пряму відповідальність за організацію і дотримання заходів по економічній безпеці і захисту конфіденційної інформації.

Особи, що порушили умови конфіденційності, можуть притягати до відповідальності відповідно до чинного законодавства.

Зобов'язання конкретного співробітника, робітника або службовця в частині захисту інформації обов'язково мають бути обумовлені в трудовому договорі(контракті).

Вимоги по захисту конфіденційної інформації можуть бути обумовлені в тексті договору, якщо договір укладається у письмовій формі.

Вищеперелічені адміністративні заходи забезпечення інформаційної безпеки не вимагають додаткових витрат на їх проведення і можуть бути проведені юристом ТОВ «Тетра» негайно.

3.2 Розробка процедурних заходів забезпечення інформаційної безпеки

До виявлених недоліків організації системи інформаційної безпеки ТОВ «Тетра» можна віднести наступні:

1) Попри те, що основні технічні засоби і системи розміщені в приміщеннях в межах контрольованої зони, активне мережеве устаткування не знаходяться в окремому закритому приміщенні з обмеженим доступом.

2) основні технічні засоби і системи виведення інформації розміщені без урахування максимального утруднення візуального перегляду конфіденційної інформації сторонніми особами.

3) не забезпечений захист від несанкціонованого доступу шляхом розмежування прав доступу суб'єктів і їх процесів до даних.

4) система конфіденційного діловодства ТОВ «Тетра» з точки зору забезпечення інформаційної безпеки організовано незадовільно

У зв'язку з цим необхідно зробити додаткові процедурні заходи, спрямовані на усунення виявлених недоліків.

Розробка заходів, спрямованих на захист активного мережевого обладнання

Для захисту активного мережевого устаткування від несанкціонованого доступу необхідно забезпечити його фізичну недоступність шляхом виділення для нього окремого закритого екранованого приміщення з обмеженим доступом.

Архітектурно-будівельні вимоги до приміщення включають наступне:

Серверна повинна розташовуватися в приміщенні, що не має зовнішніх стін будівлі. У приміщенні Серверною має бути досить місця для безперешкодної установки, експлуатації і технічного обслуговування як основного устаткування, так і розміщення засобів підтримки обчислювальної техніки, носіїв даних і обслуговуючого персоналу. Будівлі, що несуть конструкції, в приміщенні Серверної, де планується до розміщення устаткування, повинні витримувати розрахункове навантаження, що включає вагу комп'ютерного і телекомунікаційного устаткування, обслуговуючого персоналу, устаткування систем інфраструктури.

Відповідно до вимог до центрів обробки даних приміщення має бути без віконних отворів з глухими стінами. У приміщенні серверної, а також на шляху транспортування устаткування, ширина дверей має бути не менше 910 мм.

У Серверній має бути встановлений фальшпілогу. Просвіт між фальшпілогою і фальшстелею має бути не менше 2500 мм. Відстань між будівельною підлогою і фальшпідлогою має бути не менше 300 мм. (рекомендоване 400 мм.). Крутизна встановлюваного на вході в Серверну пандуса не повинна перевищувати значення 1: 10. Конструкція фальшпідлоги повинна витримувати розрахункові навантаження і складатися з легко знімних модулів(плиток). Матеріал покриття підлоги повинен мати електричний опір відносно землі від 1,0 (мінімум) до 20 МОм(максимум) при змінах відносної вологості від 20 до 60% і температури від +18 до +24°С, а також мати підвищену зносостійкість, погану займистість, підвищену стійкістю до дряпання і вифарбовування. У Серверній забороняється використання килимових покриттів. В будівельному перекритті під фальш підлогою обов'язково необхідно зробити дренаж для відтоку води у разі аварійного протікання.

У приміщенні Серверною не повинно проходити ніяких магістралей і відгалужень інженерних систем, включаючи загальну господарську каналізацію, холодне і гаряче водопостачання, загальну вентиляцію і кондиціонування, розподільна мережа електроживлення і освітлення, і інші слабкострумові системи, за винятком систем, що розташовуються в самій Серверній.

У приміщенні Серверною мають бути встановлені наступні системи:

Система електроживлення, освітлення і заземлення(СЭ), що включає:

· Підсистему гарантованого електроживлення (ПГЕ);

· Підсистему безперебійного електроживлення(ПБЕ);

· Підсистему розподілу електроживлення по споживачах(ПРЕ);

· Підсистему технологічного заземлення(ПТЗ);

· Підсистему електричного освітлення(ПЕО).

· Система забезпечення мікроклімату(СМ), що включає:

· Підсистему кондиціонування і вентиляції(ПВ);

· Підсистему моніторингу мікроклімату(ПММ).

Система організації устаткування і кабельного господарства(З), що включає:

· Підсистему фальшстель і фальшпідлог (ПФФ);

· Підсистему телекомунікаційних шаф і стойок(ПШС);

· Підсистему організації комунікацій(ПОК).

· Система безпеки(СБ), що включає:

· Підсистему контролю доступу(ПКД);

· Підсистему охоронної сигналізації(ПОС);

· Підсистему відеоспостереження(ПВН);

· Підсистему пожежної сигналізації(ППС);

· Підсистему газової пожежогасінні(ПГП);

· Підсистему газо - димовидалення (ПГВ).

ПГЕ передбачає наявність двох введень електроживлення від різних електропідстанцій (ЕП) і одну автономну дизельну електропідстанцію (АДЕ). Усі три джерела електроенергії подаються на автомат введення резерву(АВР), що здійснює автоматичне перемикання фідерів при пропажі електроживлення на основному(резервному) фідері.

Параметри ліній електроживлення, АДЕ і АВР визначаються виходячи з сумарної споживаної потужності устаткування і підсистем Серверною.

Лінії зовнішнього електроживлення мають бути виконані за п'ятидротяною схемою з жилами нерівного перерізу.

ПБЭ передбачає електропостачання устаткування і систем Серверною через джерела безперебійного живлення(ИБП).

Потужність і конфігурація ИБП розраховується з урахуванням усього живленого устаткування і запасу для майбутнього розвитку.

Час автономної роботи від ИБП розраховується з урахуванням потреб, а так само з урахуванням необхідного часу для переходу на резервні лінії, АДЭ і назад.

ИБП серверною повинен мати 100% резерв у вигляді другого аналогічного ИБП.

Кожен ИБП повинен забезпечувати не менше 30% запасу по потужності для розвитку устаткування Серверної.

ПРЭ включає розподільні щити Серверної і кабелі живлення до споживачів. Основні вимоги до підсистеми:

Усі споживачі електроживлення розбиваються на групи, щоб забезпечити можливість проводити роботи без відключення загального електроживлення;

Кожна група повинна мати свій автомат захисту мережі (АЗС);

Споживачі можуть мати свій окремий АЗС, але його номінал не повинен перевищувати номінал основного (групового) АЗС;

До кожної стойки з устаткуванням (телекомунікаційній шафі) підводиться два кабелі живлення, по одному від двох ИБП (основного і резервного);

Усередині стойок(шаф) встановлюються модулі розподілу живлення для устаткування стойки;

Усі з'єднання без використання стандартних розеток робляться в розподільних щитах, розташованих в приміщенні Серверної;

Кабелі живлення по Серверній прокладаються в металевих лотках в порожнинах фальшпідлоги/фальшстелі.

ПТЗ Серверною виконується окремо від захисного заземлення будівлі. Опір технологічного заземлення має бути менше 1 Ом.

Приєднання технологічного заземлення до захисного заземлення будівлі робиться безпосередньо у захисних електродів, розташованих в ґрунті.

Усі металеві частини і конструкції серверною мають бути заземлені. Кожна шафа(стойка) з устаткуванням заземляється окремим провідником.

Незварні металеві конструкції Серверної повинні мати заземлюючі шайби у болтових з'єднаннях, що покращують електричний контакт між частинами конструкції.

Живлення ПЭО здійснюється від системи гарантованого електроживлення серверною.

У приміщенні Серверною повинні дотримуватися наступні кліматичні умови:

· Температура повітря в приміщенні: 18-24оС;

· Допустимі відхилення температури: +/ - 2оС;

· Відносна вологість повітря: 40-50%;

· Точність підтримки вологості: +/ - 1%.

Фактична холодильна потужність системи кондиціонування повітря повинна перевищувати сумарне тепловиділення усього устаткування і систем, розміщеного в приміщенні Серверної.

Систему кондиціонування повітря Серверною виконується з використанням 100% Резервування (мінімум два незалежні кондиціонери, кожен здатний самостійно забезпечити температурний режим приміщення).

Необхідно передбачити відключення систем кондиціонування і припливно-витяжної вентиляції по сигналу пожежної сигналізації і пожежогасінні.

Система контролю параметрів призначена для контролю кліматичних і інших параметрів в серверних шафах і телекомунікаційних стойках.

Ця система дозволить здійснювати оперативний температурний контроль усередині шаф і управляти кліматичним устаткуванням для надійного відведення розсіюваної потужності.

У приміщенні Серверною має бути встановлена фальшпідлога висотою не менше 300 мм. (рекомендоване 400 мм.) від основного перекриття до рівня чистої підлоги приміщення. Простір під фальшпідлогою також використовується для організації каналів, поширення холодного повітря системи прецизійного кондиціонування.

Конструкція фальшпідлоги повинна витримувати розрахункові навантаження і складатися з легко знімних модулів(плиток). При цьому необхідно враховувати те, що окремі облаштування обчислювальної системи можуть створювати точкове навантаження на підлогу до 455 кг Матеріал покриття підлоги повинен відповідати наступним вимогам.

Передбачити установку вентиляційних грат і кабельних введень для телекомунікаційних стойок. Усі конструкції фальшпідлоги мають бути заземлені від загальної шини технологічного заземлення Серверною. Для посилення міцності передбачити установку стрингерів розрахункової потужності.

Усе устаткування Серверною передбачається розміщувати у відкритих стойках. Кількість стойок(шаф) визначається виходячи з наявного устаткування і його типорозмірів, способів монтажу.

Розподіл устаткування по стойках здійснюється з урахуванням сумісності (можливого взаємного впливу), оптимального розподілу споживаної потужності (а значить і тепловиділення), оптимальності комунікацій, габаритам і масі устаткування.

Усі комунікаційні кабелі усередині Серверної мають бути організовані в лотки, прокладені в нішах фальшпідлоги або фальшстелі. Лотки електричних кабелів і сигнальних мають бути рознесені на відстань до 50 см Допускається перетин трас під кутом 90 градусів.

Ввідні канали в телекомунікаційні шафи і стойки повинні забезпечувати вільне протягання необхідної кількості кабелів разом з крайовими роз'ємами.

Коефіцієнт заповнення кабельних каналів і застав не повинен перевищувати 50-60%.

Усередині стойок і шаф необхідно використати кабельні організатори, що запобігають звішуванню зайвою довгі кабелю.

Для спрощення комунікацій і виключення поломки роз'ємів устаткування, необхідно застосовувати патч-панелі.

Усі кабелі, кросові комунікації і патч-панелі повинні мати маркування, що дозволяє однозначно ідентифікувати кожен кабель (роз'єм, порт).

Підсистема контролю і управління доступом повинна виключити попадання в серверну осіб, в чиї обов'язки не входить монтаж, експлуатація і технічне обслуговування розміщеного в серверній устаткування.

Для блокування доступу в приміщення доцільне застосування механічних замків, оскільки їх застосування забезпечує автономність блокування приміщень від виключення електроенергії у будівлі ТОВ «Тетра».

Для ідентифікації допущених осіб доцільно застосування кодонабірних панелей в комбінації з ключами від механічних замків.

Охоронна сигналізація Серверною має бути виконана окремо від систем безпеки будівлі.

Контролю і охороні підлягають усі входи і виходи Серверною, об'єм приміщення, віконні отвори.

ПОС повинна мати власне джерело резервованого живлення.

Система охоронного відеоспостереження призначена для візуального спостереження і фіксації поточної обстановки в приміщеннях Серверною.

Камери необхідно розмістити так, щоб контролювати входи і виходи в приміщення, простір біля технологічного устаткування (ИБП, кондиціонери, серверні шафи і телекомунікаційні стойки).

Дозволи відеокамер має бути достатнім, щоб упевнено розрізняти осіб співробітників, обслуговуючих технологічне устаткування.

ППС приміщення Серверною має бути виконана окремо від пожежної сигналізації будівлі(офісу).

У приміщенні Серверною мають бути встановлені два типи сповіщувачів: температурні і димові.

Сповіщувачі повинні контролювати як загальний простір приміщень, так і порожнини під фальшпідлогою і фальшстелею.

Сигнали сповіщення ППС виводяться на окремий пульт в приміщення цілодобової охорони. ППС може бути об'єднана з ПОС Серверною.

Передбачуване місце розташування приміщення серверної у будівлі ТОВ «Тетра» і рекомендований план приміщення серверною представлений на рис. 3.1 та 3.2.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рис. 3.1. Передбачуване місцерозташування приміщення серверної у будівлі ТОВ «Тетра»

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рис. 3.2. Рекомендований план приміщення серверної

Витрати підприємства на устаткування приміщення серверною оцінені керівництвом ТОВ «Тетра» в 128835 крб. (включаючи оплату договірних робіт на установку апаратного забезпечення) і можуть бути проведені впродовж 14 календарних днів. Відповідальним за проведення цих робіт є системний адміністратор ТОВ «Тетра»

Розробка заходів, спрямованих на запобігання візуального доступу до конфіденційної інформації

З метою забезпечення максимального утруднення візуального доступу до конфіденційної інформації робочі місця користувачів ІС ТОВ «Тетра» мають бути переобладнувані так, щоб зробити неможливим перегляд інформації, що міститься на екрані монітора. З цією ж метою необхідно зобов'язати усіх користувачів ІС ТОВ «Тетра» використати програму ScreenSaver.

Ці заходи не вимагають додаткових витрат на їх проведення і можуть бути впроваджені в ТОВ «Тетра» негайно. Відповідальним за проведення цих робіт є системний адміністратор ТОВ «Тетра»

Розробка заходів, спрямованих на розмеження прав доступу суб'єктів і їх процесів до даних

В даний момент ТОВ «Тетра» використовує стандартну конфігурацію системи «1С: Підприємство», в якій не використовуються засоби розмежування доступу MS SQL і кожен користувач працює з базою з повними правами (Database Owner, DBO).

Доцільним є застосування в ІС ТОВ «Тетра» ролевої системи управління доступом. Основною ідеєю управління доступом на основі ролей є ідея про зв'язування дозволів доступу з ролями, що призначається кожному користувачеві. Ця ідея виникла одночасно з появою розрахованих на багато користувачів систем. Проте до недавнього часу дослідники мало звертали увагу на цей принцип.

Ролеве розмежування доступу є розвитком політики дискреційного розмежування доступу, при цьому права доступу суб'єктів системи на об'єкти групуються з урахуванням їх специфіки їх застосування, утворюючи ролі.

Завдання ролей дозволяє визначити чіткіші і зрозуміліші для користувачів комп'ютерної системи правила розмежування доступу. При цьому такий підхід часто використовується в системах, для користувачів яких чітко визначено коло їх посадових повноважень і обов'язків.

Розглянемо пропоновані правила розмежування доступу усіх користувачів інформаційної системи (таблиця. 3.1).

Таблиця 3.1. Правила розмежування доступу користувачів ІС ТОВ «Тетра»

Об'ект Суб'ект	1С: Бухгалтерія	1С: Торгівля	1С: Склад	1С: Зарплата	Права і групи	Регістраційний журнал вхідної кореспонденції
Директор ТОВ «Тетра»	П	П	П	П	Н	П
Бухгалтерія	ПРДУ	ПР	П	ПРДУ	Н	П
Склад	ПРДУ	ПРДУ	П	П	Н	Н
Робітники торгівельного залу	Н	ПРДУ	П	Н	Н	Н
Відділ маркетінгу	Н	П	П	Н	Н	П
Відділ збуту	Н	ПРДУ	ПРДУ	Н	Н	П
Відділ постачання	Н	ПРДУ	ПРДУ	Н	Н	П
Секретаріат	Н	Н	Н	Н	Н	ПРДУ
Системний админістратор	Н	Н	Н	Н	ПРДУ	ПРДУ

У цій таблиці приведені наступні умовні позначення:

Н - немає доступу;

П - перегляд даних;

Р - редагування;

Д - додавання даних;

У - видалення даних;

Платформа 1С працює в двох варіантах: файловому і клієнт-серверному. У першому варіанті зберігання даних прикладного рішення забезпечується на диску одного з комп'ютерів мережі у вигляді файлу. У разі, якщо користувачам операційної системи не призначені належним чином права, то будь-який той, що бажає може отримати необмежений доступ до файлу БД. Це суперечить усім принципам безпеки: доступності (файл можна знищити), конфіденційності і цілісності (при використанні утиліти для роботи з файловою ІБ 1С).

У другому варіанті система зберігає дані у БД, наприклад в MS SQL Server, підтримуються також PostgreSQL і IBM DB2. У цьому варіанті клієнтська частина взаємодіє з серверною частиною (кластером серверів) за допомогою розподілених COM викликів, а сервер - з БД за технологією OLE DB, яка ґрунтована на DCOM. Ця технологія дозволяє на стороні сервера (програми, що надає деякий функціонал) настроїти доступ на запуск і виконання сервера тільки для певного круга користувачів мережі і тільки для певних мережевих адрес. У випадку з Postgre SQL і IBM DB2 з'єднання з сервером можна організувати через ODBC. На UNIX ця технологія реалізована на рівні операційної системи і широко використовується. На додаток мережевий трафік між серверами можна тунелювати через SSH.

Таким чином, у варіанті клієнт-сервер забезпечується надійніший обмін даними - за рахунок операційної системи, а зберігання даних - за рахунок БД. Сервер бази даних також бере на себе завдання по забезпеченню цілісності і доступності даних - за рахунок досконалішого механізму транзакцій і блокувань.

Усе це справедливо, якщо виконувати ряд вимог і правил. Так при користуванні клієнт-серверним варіантом системи необхідно правильно конфігурувати і настроїти систему:

· обмежити доступ до серверів фізично і по мережі;

· призначити усім користувачам сильні паролі і виділити їм необхідний мінімум прав для роботи на локальному комп'ютері;

· настроїти SQL Server на комбінований режим авторизації: і WindowsNT, і по паролю: корисно мати хоч би одного користувача з авторизацією по паролю на випадок, якщо Active Directory виявиться не доступним;

· користувач з адміністраторськими правами на БД в роботі 1С не використовується;

· призначити усім користувачам свій обліковий запис з авторизацією по паролю, включити цей запис в не-адміністраторську роль БД;

· серверні застосування запускати під правами спеціально створених користувачів ОС

Що ж до тонкого налаштування системи 1С, то під час роботи необхідно наслідувати методичні рекомендації, що публікуються в «Інформаційно-технологічному Супроводі «1С: Підприємство» (ИТС).

Ці заходи не вимагають додаткових витрат на їх проведення і можуть бути впроваджені в ТОВ «Тетра» негайно. Відповідальним за проведення цих робіт є системний адміністратор ТОВ «Тетра»

Розробка заходів, спрямованих на вдосконалення системи конфеденційного діловодства ТОВ «Тетра»

Організації конфіденційного діловодства в інформаційній безпеці приділяється, як правило, найменша увага, хоча отримання конфіденційної інформації через пропуски в діловодстві є найбільш простим і маловитратним способом отримання інформації.

Складові частини діловодства:

· паперове діловодство;

· електронне діловодство;

· системи взаємодії і сполучення паперового і електронного діловодства.

Структурна характеристика документообігу підприємства за 2010 рік надана в таблиці 3.2.

Таблиця 3.2. Аналіз структури документообігу ТОВ «Тетра» в 2010 році

Назва документу	Кількість
Вхідні документи	240
Вихідні документи	358
Накази У тому числі: По основній діяльності По особовому складу	894 738 156
Внутрішні У тому числі: Фінансові Службові	1972 1272 700
Всього за рік	3464
В середньому на добу	12

Найбільшу актуальність з точки зору забезпечення інформаційної безпеки представляє захист від несанкціонованого доступу внутрішніх фінансових і службових документів.

При веденні конфіденційного діловодства необхідно дотримуватися наступних правил:

· привласнення і зняття грифа конфіденційності повинні здійснюватися керівництвом компанії;

· обов'язкова реєстрація і облік усіх конфіденційних документів, а також передача їх виконавцеві під розписку в реєстрі;

· контроль не лише документів, що містять конфіденційну інформацію, але і паперів з друком, штампами, бланками, особливо бланків строгої звітності, що містять унікальний номер, зареєстрованих встановленим способом і що мають спеціальний режим використання;

· організаційне виділення конфіденційного діловодства із звичайного;

· гриф конфіденційності документу привласнюється по найвищій мірі конфіденційності відомостей, в нім викладених;

· створення конфіденційних документів робиться в ізольованих, спеціально обладнаних приміщеннях, прийом і видача документів робиться через спеціальне вікно, що не виходить в загальний коридор або бар'єр, що обмежує доступ до робочих місць осіб, що створюють конфіденційні документи;

· знищення конфіденційних документів, у тому числі чернеток, в машинках для знищенні паперів(шредерах) у присутності декількох чоловік і з проставлянням відповідних позначок в журналах знищення конфіденційних документів. При великій кількості документів можливе їх спалювання;

· заборона винесення з контрольованої території конфіденційних документів;

· до роботи з конфіденційними документами допускаються тільки особи, що уклали відповідні угоди про нерозповсюдження комерційної таємниці;

· зберігання конфіденційних документів тільки в сейфах;

· в справах або в архівах конфіденційні документи повинні зберігатися окремо від відкритих, після закінчення оформлення справ на останньому листі робиться запис про кількість пронумерованих в нім листів, завірена відповідним підписом і друком;

· включати в документи тільки мінімально необхідну конфіденційну інформацію;

· розсилка конфіденційних документів має бути обґрунтованою і зведена до мінімуму;

· система обліку (ручна або комп'ютерна) конфіденційних документів повинна надавати необхідні зручності пошуку і контролю за місцезнаходженням кожного конфіденційного документу;

· організаційно виключити необґрунтоване ознайомлення з документами осіб, що не мають потрібних повноважень;

· відправку конфіденційних документів робити тільки рекомендованими або цінними листами, по каналах спеціального зв'язку або здійснювати доставку кореспонденції нарочним з числа співробітників, допущених до роботи з такими документами;

· контроль за використанням копіювально-розмножувальної техніки, а також блокування систем введення-виведення інформації на комп'ютерах, оброблювальних конфіденційну інформацію;

· організація періодичної перевірки діловодства.

Система конфіденційного електронного інформаційного сховища повинна передбачати можливість:

· систематизації документів різних видів і форм і впорядкування роботи, що поступають в сховище, з ними;

· гарантовано зберігати документи в масивах сховища, звільнивши від цієї функції співробітників;

· відстежувати рух документів, що видаються співробітникам, контролювати і забезпечувати їх повернення (фізичні документи) і знищення виданих електронних копій;

· забезпечувати ефективний пошук потрібних документів в сховищі за ідентифікаційними ознаками;

· організувати маловитратну технологію видачі документів співробітникам і повернення документів в сховищі;

· зменшити кількість документів, що одночасно знаходяться у виконавця за рахунок оперативного їх отримання з сховища;

· спростити роботу з документами, що знаходяться в сховищі, і скоротити тимчасові витрати на їх підбірку і аналіз за рахунок дружнього інтерфейсу в інтерактивному режимі;

· забезпечити режим безпеки документів в процесі їх зберігання, передачі в сховище або отримання з сховища за рахунок використання сучасних технологій і засобів інформаційної безпеки, а також розмежування доступу користувачів.

Система захисту конфіденційного електронного діловодства повинна складатися з наступних взаємозв'язаних блоків:

· блок технічних(програмних) засобів захисту електронного діловодства;

· блок технічних засобів захисту електронного діловодства, пов'язаних з нейтралізацією побічних електромагнітних випромінювань і наведень;

· блок методів захисту електронного діловодства, пов'язаних з людським чинником і вирішенням кадрових питань;

· блок організаційних методів захисту електронного діловодства.

Блок технічних (програмних) засобів захисту електронного діловодства має бути багаторубіжним. Найбільш ефективною є система, що складається з 3 рубежів:

1 рубіж - системи захисту інформації, передбачені програмним забезпеченням, на якій працює комп'ютерна мережа (засоби захисту Windows, Office і так далі);

2 рубіж - системи захисту інформації, вбудовані в саму систему електронного діловодства;

3 рубіж - системи захисту інформації, додатково встановлені в комп'ютерній мережі на сервері і на робочих місцях користувача

Блок технічних(програмних) засобів захисту електронного діловодства повинен передбачати:

· криптографічний захист комп'ютерної інформації на магнітних носіях (жорстких дисках, дискетах, Zip, CD - ROM і так далі), у тому числі створення захищених <цифрових сейфів> користувачів на сервері;

· захист інформації (у тому числі криптографічними методами) при пересилки по корпоративній комп'ютерній мережі;

· захист інформації (у тому числі криптографічними методами) при передачі по електронній пошті;

· захист комп'ютерної інформації від несанкціонованого доступу;

· захист комп'ютерної мережі при роботі в глобальній інформаційній мережі Інтернет (у ідеальному випадку для роботи з Інтернетом, а також з електронною поштою потрібний окремий комп'ютер, працюючий в автономному режимі);

· мандатний принцип доступу користувачів до інформаційних ресурсів електронного діловодства, що включає:

· контроль і захист електронного документу від перегляду;

· контроль і захист електронного документу від редагування і відміна захисту від редагування;

· контроль і захист електронного документу від копіювання і розпечатування на принтерах;

· розділення користувачів на групи і наділ кожної групи можливості роботи тільки з електронними документами певного грифа конфіденційності

· контроль цілісності і достовірності електронного документу, а також підтвердження авторства виконавця за допомогою електронного цифрового підпису;

· захист від шкідливих програм(вірусів);

· парольний захист на включення машини, на звернення до жорсткого диска і/або на відкриття файлів застосовних програм з періодичною зміною використовуваних паролів.

Системи сполучення електронного і паперового діловодства складаються з:

· системи перекладу паперового документу в електронний документ;

· системи перекладу електронного документу в паперовий документ;

системи електронного контролю за паперовим документообігом;

системи паралельного ходіння одного і того ж документу в електронному і паперовому вигляді.

Видається доцільним ходіння документу усередині ТОВ «Тетра» здійснювати в електронному вигляді. Отримані в паперовому виді документи ззовні повинні скануватися і подальша робота з ними повинна відбуватися в електронному вигляді.

Сьогодні можна виділити наступні рішення від провідних компаній-розробників, працюючих у сфері автоматизації роботи з документами: Бос-референт, ГранДок, Справа, Євфрат-документообіг, CompanyMedia, Directum, DIS - системи, DocsVision, LanDocs, Optima - Workflow.

Основні можливості цих систем електронного документообігу представлені в таблиці 3.3:

Таблиця 3.3. Основні можливості систем електронного документообігу

Сумарні витрати на придбання системи складаються з вартості ліцензій програмного продукту, бази даних, послуг, додаткових модулів системи і стороннього програмного забезпечення. За загальною вартістю серверної і призначених для користувача ліцензій, а також вартості СУБД/платформи, найбільш прийнятними являються системи ГранДок, Євфрат-документообіг і DocsVision. Вартість бази цих і програмних платформ варіюється від 900 $(MS SQL Server 2005) до 4000 $ (Lotus Notes Domino). Виключенням є система Євфрат-документообіг, що має вбудовану СУБД Ніка (0 $) (таблиця 3.4).

Таблиця 3.4. Вартість серверу та ліцензій

Важливими характеристиками СЭД є її безпека, надійність і продуктивність (таблиця 5). З таблиці 5 витікає, що системи Directum, DocsVision, Optima - Workflow і Євфрат-документообіг дозволяють забезпечити необхідний рівень надійності і безпеки електронного документообігу.