Рис. 2.12 Таблица Application

Связана с таблицей Application связью 1 ко многим, так как многие заявки могут быть одного вида.

Таблица Material (Материалы) содержит данные об используемых материалах - Название - MaterialName, Quantity - количество необходимого материала. MaterialID - уникальный номер материала связывается с таблицей Application, связь 1 ко многим - в одной заявке может быть задействовано несколько видов материалов.



Рис. 2.13 Таблица ApplicationType

Рис. 2.14 Таблица Material

Таблица Status (Статус) хранит информацию о статусе заявок. Заявки могут иметь разный статус:

· Обычная

· Срочная

· Выполненная

Рис. 2.15 таблица Status

Таблица статус связана с таблицей Заявка связью многие ко многим через таблицу Movement что бы можно было отследить процесс выполнения заявки. То есть срок подачи срок выполнения отдельно взятой заявки

Рис. 2.16 Таблица Movement

Таким образом, данная база позволяет хранить всю необходимую информацию о заявках, материалах, клиентах, пользователях, правах пользователей, изменять существующую информацию, отслеживать изменения в базе данных о правах пользователей, выполнении заявок, работать пользователям самостоятельно в базе т. к. она имеет простой и понятный интерфейс и не позволяет изменить лишнюю информацию, так же руководство может самостоятельно отслеживать работу в удаленных офисах. Система диспетчирования перестает быть необходимой, т. к. исполнителю приходит заявка автоматически от клиента. Благодаря системе распределенного доступа, возможность доступа к информации не компетентных лиц исключается.

2.3 Разработка пользовательского интерфейса

Рассмотрим формы для работы с базой заявок.

1. Авторизация пользователя

Рис. 2.17 Авторизация пользователя

База данных имеет разграниченный доступ, поэтому пользователю необходимо ввести логин пароль для работы с базой.

2. Форма просмотра заявок



Рис. 2.18 Форма просмотра заявок

Пользователь может просмотреть заявки, изменять их. Статус заявки виден наглядно: зеленая - заявка выполнена, желтая - обычная заявка, красная - срочная заявка. При просмотре возможно делать сортировку по датам или типу заявки.

3. Форма администратора

Рис. 2.19 Форма работы с базой пользователя администратор

В данной форме администратор может выбрать работу с филиалами, городами, управление пользователями, назначение прав пользователям.

4. Выбор офиса для просмотра



Рис. 2.20 Выбор офиса для просмотра

5. Просмотр городов

Рис. 2.21 Просмотр городов

В данной форме пользователь может добавлять удалять или изменять города.

6. Работа с филиалами

Рис. 2.22 Работа с филиалами

При выборе города в правом меню, появляется форма, которая представлена выше на рисунке 2.22. в данной форме можно изменить имеющиеся записи название офиса, адрес, контактное лицо, телефон, Завести новую запись или удалить.

7. Работа с пользователями

Рис. 2.23 Работа с пользователями

В предложенной форме пользователь может просмотреть всех имеющихся пользователей, изменить пароль добавить, изменить логин или удалить пользователя.

8. Список офисов для конкретного пользователя

Рис. 2.24 Список офисов конкретного пользователя

В данной форме представлены офисы, к которым данный пользователь имеет доступ. Так же можно добавить или удалить новые офисы

4. Пользовательский интерфейс для группы пользователей клиент



Рис. 2.25 Вид пользовательского интерфейса

Для пользователя группы клиент доступны функции просмотра имеющихся заявок и создания новых заявок. В правой части отображаются заявки, так же написаны правила работы с базой.

5. Создание заявки

Рис. 2.26 Создание заявки

Пользователю необходимо заполнить все предлагающиеся поля для создания заявки, выбрать тип заявки ИТ услуги или производственно хозяйственные услуги. Так же выбрать состояние заявки обычная или срочная. Дата создания заявки формируется автоматически.

6. Пользовательский интерфейс для группы пользователей исполнитель

Рис. 2.27 Пользовательский интерфейс

Для пользователя группы исполнитель доступна функция просмотра имеющихся заявок. В правой части отображаются заявки, так же написаны правила работы с базой.

С разработкой и внедрением данной системы удастся сократить время оборота заявок, что влияет на выполнение самой заявки (своевременное выполнение заявок), так же затраты на связь. Предлагаемая система проста в использовании и включает заполнение всех необходимых данных. Руководство в любое время может отследить тенденцию выполнения заявок в любом городе.

2.4 Разработка политики безопасности

Политика безопасности (ПБ) компании «АйТи-Гарант» лежит в основе организационных мер защиты информации. От их эффективности в наибольшей степени зависит успешность любых мероприятий по обеспечению информационной безопасности (ИБ).

Политика информационной безопасности компании «АйТи-Гарант» - это единый документ, отражающий требования и убеждения организации в отношении обеспечения безопасности своих информационных активов. Эта политика определяет все те структурные подразделения, персонал и операции, к которым должна применяться данная политика; а также регламентирует последствия ее нарушений. Политика информационной безопасности является одной из нескольких политик, которыми обычно руководствуется организация. Остальные, регулируют такие важные области, как кадровая политика, распоряжение производственными мощностями и финансовая деятельность. Политика информационной безопасности должна дополнять другие политики и способствовать их выполнению.

Стандарты информационной безопасности состоят из нескольких документов, касающихся всех тех областей деятельности компании «АйТи-Гарант», в которых используется информация. Эти стандарты охватывают физические, административные и логические (технические) средства контроля, предназначенные для защиты информации. Как правило, один из этих документов определяет содержание и раскладку всей документации, относящейся к вопросам корпоративной безопасности. Многие организации могут иметь десятки отдельных документов, определяющих стандарты безопасности.

Цель: Сформулировать цель и обеспечить поддержку информационной безопасности руководством организации. Высшее руководство должно поставить четкую цель и всесторонне оказывать свою поддержку информационной безопасности посредством распространения политики безопасности среди сотрудников организации.

Документ о политике информационной безопасности представляет из себя письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима информационной безопасности.

Высшее руководство должно предоставить задокументированную политику информационной безопасности всем подразделениям организации. Этот документ должен содержать, по крайней мере следующее: определение информационной безопасности, ее основные цели и область ее применения, а также ее значение как механизма, позволяющего коллективно использовать информацию.

Политика информационной безопасности организации определяет:

· какую информацию и от кого (чего) следует защищать;

· кому и какая информация требуется для выполнения служебных обязанностей;

· какая степень защиты требуется для каждого вида информации;

· чем грозит потеря того или иного вида информации;

· как организовать работу по защите информации.

Решения по этим вопросам принимают руководители организации, имеющие право решать, какой риск должен быть исключен, а на какой можно пойти, а также определять объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.

Был проведен анализ рисков для выработки политики информационной безопасности. Сначала был осуществлен сбор информации, состоящей из описания структуры организации; перечня и краткой характеристики функций, выполняемых каждым ее подразделением и работником; иерархии должностных лиц; описания функциональных связей между подразделениями и отдельными рабочими местами; перечня информационных объектов, циркулирующих в системе; перечня применяемых системных и прикладных программ (комплексов) с указанием используемых и порождаемых ими информационных объектов; описания топологии комплекса технических средств компьютерной системы.

Потом была произведена обработка и систематизация полученных данных. Информационные объекты были классифицированы по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери данной информации (или по выгоде для конкурента при ее получении), по трудоемкости ее восстановления.

Спланировано организационное обеспечение информационной безопасности. Идеальная схема предполагает наличие независимого подразделения информационной безопасности, которое подчинено одному из первых лиц организации. Основными функциями этого подразделения являются предоставление пользователям доступа к информации в соответствии с принятой в организации политикой безопасности, а также контроль за соблюдением принятой политики безопасности и ее проведение на различных уровнях.

Этап выявление рисков, заключается в определении, изучении и систематизации рисков. Также были определены требования к средствам обеспечения информационной безопасности и осуществлен выбор соответствующих программных и технических решений.

По результатам выявленных рисков составлен отчет, содержащий перечень рисков, упорядоченных по степени их “опасности”, и рекомендации по снижению вероятности возникновения опасных ситуаций. Проведенный анализ необходим руководству предприятия для принятия решений, по - возможности, альтернативных (например, принять меры, снижающие вероятность возникновения опасной ситуации и/или уменьшающие возможный ущерб в случае отказа информационной системы, а также несанкционированного доступа к данным, воздержаться от принятия определенных защитных мер и пойти на “рассчитанный” риск).

Проанализирована система обеспечения безопасности.

Следующим шагом является разработка плана обеспечения информационной безопасности -- документа, содержащего описание мер, средств и способов обеспечения информационной безопасности. Этот документ определяет и последовательность действий, направленных на реализацию комплекса мер по обеспечению информационной безопасности, которая должна быть утверждена руководством организации.

Сформированы ключевые средства контроля:

· Документ о политике информационной безопасности;

· Распределение обязанностей по обеспечению информационной безопасности;

· Обучение и подготовка персонала к поддержанию режима информационной безопасности;

· Уведомление о случаях нарушения защиты;

· Средства защиты от вирусов;

· Планирование бесперебойной работы организации;

· Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

· Защита документации организации;

· Защита данных;

· Контроль соответствия политике безопасности.

В компании «АйТи-Гарант» были реализованы:

· отчет по категориям защищаемой информации;

· отчет по рискам;

· отчет по обеспечению непрерывной работы и восстановления;

· .список групп пользователей ограничения доступа.

Таблица 2.1

Отчет по категориям защищаемой информации

Субъекты	Уровень ущерба по свойствам информации
	Конфиденциальность	Целостность	Доступность
№1	Нет	Средняя	Средняя
№2	Высокая	Средняя	Средняя
№ m	Низкая	Низкая	Низкая
В итоге	Высокая	Средняя	Средняя

Категории конфиденциальности защищаемой информации:

· «Строго конфиденциальная» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);

· «Конфиденциальная» - к данной категории относится информация, не отнесенная к категории «Строго конфиденциальная», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);

· «Открытая» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Категории целостности защищаемой информации:

· «Высокая» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи - ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов;

· «Низкая» - к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам, партнерам или сотрудникам, целостность которой должна обеспечиваться в соответствии с решением руководства (методами подсчета контрольных сумм, хеш-функции);

· «Нет требований» -- к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Требуемые степени доступности функциональных задач:

· «Беспрепятственная доступность» - доступ к задаче должен обеспечиваться в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

· «Высокая доступность» - доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

· «Средняя доступность» - доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

· «Низкая доступность» - временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

Отчет по рискам

· осуществление несанкционированного доступа со стороны сотрудников организации (уязвимостей каналов проникновения) к критичным ресурсам системы, составляющих коммерческую тайну организации, персональных данных, паролей и др.);

· заражение рабочих станций вирусами, «троянскими» и другими вредоносными программами (внедрение вредоносных и шпионских кодов);

· создание помех для (или остановка) основных производственных процессов. Способы нанесения ущерба организации (они же возможные цели злоумышленников):

· порча или утрата материального имущества (технических средств);

· искажение или утрата файлов с важной (ценной, чувствительной) информацией;

· потеря конкурентных преимуществ в результате разглашения сведений, составляющих коммерческую тайну;

· дезорганизация или снижение эффективности производственных процессов (нарушение работоспособности подсистем);

· непроизводительные траты ресурсов (материальных, информационных, операционных, рабочего времени и др.);

· судебные иски к организации, к ее руководителям и сотрудникам (со стороны государственных органов, других юридических и физических лиц);

Таблица 2.2

Отчет по обеспечению непрерывной работы и восстановления

Наименование Информационного Ресурса	Где размешается ресурс в системе	Вид резервного копирования (период возобновляемого копирования)	Ответственный зa резервное копирование и порядок создания резервной копни (используемые технические средства)	Где хранится резервная копня (ответственный, его телефон)	Порядок использования резервной копии (кто, в каких случаях)

Безопасность резервных копий обеспечивается:

· хранением резервных копий вне системы (в других помещениях, на другой территории);

· соблюдением мер физической защиты резервных копий;

· строгой регламентацией порядка использования резервных копий.

2. Также дублированию (резервированию) в АС подлежат и используемые в подсистемах АС технические средства, списки которых оформляются в виде таблиц.

Наимено-вание	Где	Вид резерва	Ответственный	Порядок	Где хранится
дублируемого	размещается	(групповой или	за готовность	использования	резервное
(резервируемого)	данное	индивидуальный,	резервного	включения,	средство
технического	средство в	холодный или	средства (период	настройки	ответственный,
Средства	системе	горячий), время готовности резерва	проверки работоспособности резервного средства средства)	резерва для Различных кризисных ситуаций)	его телефон)

Таблица 2.3

Ограничение доступа

Отдел	ФИО сотрудника	Выделенный доступ

Во второй главе была разработана база данных системы оборота заявок, так же разработан пользовательский интерфейс



Глава 3

3.1 Материальные затраты

К этой статье относятся затраты на материалы (сырье, основные и вспомогательные материалы, топливо, электроэнергию, запасные части, покупные полуфабрикаты, комплектующие и другие изделия, за вычетом возвратных отходов), износ малоценных и быстроизнашивающихся предметов, а также затраты на работы и услуги промышленного характера, выполняемыми сторонними организациями. Стоимость материалов формируется исходя из цен их приобретения.

Таблица 3.1

Затраты на расходные материалы

Наименование материальных затрат	Ед. изм.	Кол-во	Цена за единицу, руб.	Сумма, руб.
Бумага офисная A4 “Снегурочка” 500 листов	шт.	1	115	115
Картридж для принтера HP LaserJet 1018	шт.	1	1800	1800
Научно-техническая литература	шт.	1	270	540
Flash Drive 1 GB Transcend JetFlash	шт.	1	180	180
Интернет	руб.	-	400	400
Итого:				3435

Затраты на оплату труда работников

К этой статье относят все виды выплат работникам, включая основную и дополнительную заработную плату. Основные этапы выполнения данной разработки приведены в таблице 3.3.



Таблица 3.2

Основные этапы научно-исследовательской разработки

Этапы работы	Затраты времени, дней	Количество исполнителей
Разработка требований к программному продукту	4	1
Сбор информационных материалов	7	1
Составление алгоритма	21	1
Написание программы	42	2
Отладка программы	10	2
ИТОГО	84	2

Система разрабатывалась группой разработчиков - автором дипломной работы и разработчиком web-сайтов в течение 84 дней при 8-ми часовом рабочем дне. Месячный фонд времени работы инженера - программиста около 160 часов, среднемесячная заработная плата 9 000 руб.

Таким образом, основная заработная плата разработчика составила

Плата 2-го разработчика составила

Дополнительная заработная плата составляет около 20% от основной

Таким образом, стоимость разработки составляет 76875 рублей.

3.2 Анализ результатов внедрения

Таблица 3.3

Затраты на систему “как есть”

Менеджеры по продажам (2 человека)
Информирование клиентов о ходе работ	150 р.*2 чел.	10 ч.	3000 р.
Формирование коммерческого предложения		2 ч.	600 р.
Согласование параметров сделки		5 ч.	1500 р.
Поиск новых клиентов		14 ч.	4200 р.
			9300 р.
Диспетчер: Переговоры с клиентами	100 р.	5 ч.	500 р.
Оповещение исполнителей о поступивших заявках		14 ч.	1400 р.
Уведомление руководителя о ходе работы		5 ч.	500 р.
Распределение нагрузки на исполнителей		10 ч.	1000 р.
			3400 р.
Директор
Оценка соответствия сбалансированных показателей	400 р.	8 ч.	3200 р.
Анализ деятельности службы технической поддержки на удаленных точках		8 ч.	3200 р.
Тактический контроль		8 ч.	3200 р.
Контроль за соблюдением договорных обязательств		8 ч.	3200 р.
Разработка, планирование, и реализация мероприятий по развитию компании	500 р.	16 ч.	8000 р.
			20800 р.
Коммерческий директор
Подготовка прогнозов реализации	300 р.	8 ч.	2400 р.
Разработка прогнозов спроса		8 ч.	2400 р.
Составление сметы расходов	500 р.	9 ч.	3600 р.
Планирование доходности		10ч.	4000 р.
Бюджетное планирование		16ч.	8000 р.
Анализ коммерческих результатов деятельности	400 р.	16 ч.	7400 р.
			27800 р.
Исполнитель (10 человек)
Выполнение работ	150 р.	18 ч.	2700 р.
Закупка материалов		2 ч.	300 р.
Переговоры с диспетчером		3 ч.	450 р.
			34500 р.

Итого 95800 р. Затраты ежемесячные на обслуживание существующей системы

Таблица 3.4

Затраты на систему “Как должно быть”

Менеджеры по продажам (2 человека)
Информирование клиентов о ходе работ	150р.*2чел.	10 ч.	3000 р.
Формирование коммерческого предложения		2 ч.	600 р.
Согласование параметров сделки		5 ч.	1500 р.
Поиск новых клиентов		14 ч.	4200 р.
			9300 р.
Директор
Оценка соответствия сбалансированных показателей	400р.	2 ч.	800 р.
Анализ деятельности службы технической поддержки на удаленных точках		2 ч.	800 р.
Тактический контроль		2 ч.	800 р.
Контроль за соблюдением договорных обязательств		3 ч.	1200 р.
Разработка, планирование, и реализация мероприятий по развитию компании	500 р.	16 ч.	8000 р.
			11600 р.
Коммерческий директор
Подготовка прогнозов реализации	300 р.	8 ч.	2400р.
Разработка прогнозов спроса		8 ч.	2400 р.
Составление сметы расходов	500 р.	9 ч.	3600 р.
Планирование доходности		10 ч.	4000 р.
Бюджетное планирование		12 ч.	6000 р.
Анализ коммерческих результатов деятельности	400 р.	16 ч.	7400 р.
			21800 р.
Исполнитель (10 человек)
Выполнение работ	150 р.	18 ч.	2700 р.
Закупка материалов		2 ч.	300 р.
Работа с базой		1 ч.	150 р.
			30750 р.

Итого 64186 р.

Таким образом видно, что затраты на систему сокращены на 33%. Это означает что при стоимости системы 76875 р. Система полностью окупиться за три месяца и после четвертого месяца компания получит сокращение затрат.

3.3 Перспективы развития

Система оборота заявок разработана и находится на этапе тестирования и внедрения. Тестирование проходит в центральном офисе компании и одном из удаленных офисов - это составляет 5% всех обслуживаемых офисов. К началу августа 2009 года планируется завершение внедрения системы во все офисы компании. Ниже на рисунке 3.1 представлена диаграмма внедрения заявок.

Рис. 3.1 Использование системы оборота заявок

1 - система не внедрена 2 - система уже функционирует

Основными целями развития компании “АйТи-Гарант” является:

· повышение оборотов денежных средств;

· заключение контрактов с новыми клиентами;

· открытие филиалов в других городах России.

Ниже на рисунке 3.2 представлены перспективы развития компании на 2009 год.

Рис. 3.2 Увеличение количества обслуживаемых офисов

Для достижения повышения оборота денежных средств необходима слаженная работа всех отделов и филиалов компании. Необходимо правильное и своевременное выполнение работ, увеличение объема предоставляемых услуг. После внедрения системы оборота заявок затраты на обслуживание документооборота будут сокращены.



Заключение

В результате выполнения дипломной работы была разработана автоматизированная информационная система оборота заявок для сервисной компании АйТи-Гарант в соответствии с требованиями, поставленными в техническом задании (ТЗ).

В первую очередь была исследована и описана предметная область. Для этого была собрана информация о сотрудниках и деятельности фирмы, проведен анализ существующей системы оборота заявок, выявлены недостатки и сформированы требования к новой автоматизированной информационной системе оборота заявок, проанализирована безопасность локальной сети. По завершению анализа выявлено что физически и функционально безопасность локальной сети полностью отвечает требованиям руководства.

В процессе проектирования была построена модель данных, полностью удовлетворяющая решению задачи, создана база данных, разработан удобный понятный интерфейс, соответствующий различным категориям пользователей. Так же была разработана система авторизации, которая позволила разграничить пользователей согласно их требованиям к функциональным возможностям системы и одновременно защитить БД от несанкционированного вмешательства в изменение данных. При увеличении количества заявок отсутствует необходимость в наборе персонала. Инициаторы заявок самостоятельно фиксируют необходимую информацию в предложенных формах системы.

Разработанная информационная система выполняет следующие функции:

· Создание заявки;

· Автоматическое уведомление исполнителей;

· Предоставляет доступ к данным базы;

· Предоставляет возможность изменения данных;

· Предоставляет возможность контроля процесса оборота заявок руководством.

Созданная информационная система тестируется на работоспособность и будет размещена на сайте фирмы для эксплуатации. В ходе выполнения диплома так же были написаны соответствующие правила руководства пользователя и регламенты.

Список используемой литературы

1. Учебный курс "Создание и использование скриптов в ARIS" Руководство пользователя ARIS Script Версия 6.0 ноябрь 2002

2. Профессор Шеер Бизнес-процессы. Основные понятия. Теория. Методы

3. Каменова М., Громов А., Ферапонтов М., Шматалюк А. Моделирование бизнеса. Методология ARIS. - М.: Серебряные нити, 2002.

4. Войнов И.В., Пудовкина С.Г., Телегин А.И. Моделирование экономических систем и процессов. - Челябинск: Изд-во ЮУрГУ, 2002.

5. Каменова М., Громов А., Ферапонтов М., Шматалюк А. Моделирование бизнеса. Практическое руководство. М.: Весть-мета Технология, 2001.

6. Мацяшек Лешек Анализ требований и проектирование систем. Пер. с англ. - М.: Издательский дом "Вильямс", 2002. - 432 с.: ил. - Парал. тит. Англ.

7. Орлик С., Булуй Ю. Введение в программную инженерию и управление жизненным циклом ПО Программная инженерия. Программные требования.

8. Кузнецов М.В, Симдянов И.В."Самоучитель MySQL 5" издательство БХВ-Петербург, 2006 г.

9. Кузнецов М.В, Симдянов И.В., Голышев С.В. "PHP5 на примерах" издательство БХВ-Петербург, 2005 г. 10. Кузнецов М.В, Симдянов И.В., Голышев С.В. "PHP5 на примерах" издательство БХВ-Петербург, 2005 г.



Приложение 1

1.1 Общие положения

1.1.1 Настоящий документ разработан в соответствии с положениями документов ООО «АйТи-Гарант», трудового кодекса РФ, федеральных законов от 26.07.06 №149-ФЗ «Об информации, информационных технологиях и о защите информации» и №152-ФЗ «О персональных данных», а также с учетом накопленного опыта в сфере обеспечения безопасности информационных технологий.

1.1.2 Документ закрепляет следующие аспекты управления информационной безопасности в ООО «АйТи-Гарант»:

· цели и задачи системы обеспечения информационной безопасности;

· основные принципы и общие требования по обеспечению информационной безопасности;

· организацию системы обеспечения информационной безопасности.

1.2 Цели и задачи системы обеспечения ИБ

Цель системы обеспечения информационной безопасности - создание условий, при которых все риски, связанные с информационной безопасностью, либо контролируются и исключаются, либо вероятность реализации этих рисков находится на приемлемом уровне.

Безопасность информационных ресурсов можно оценить и обеспечить по следующим критериям:

· Целостность;

· Конфиденциальность;

· Доступность.

Задачи системы обеспечения информационной безопасности:

· Своевременное выявление угроз;

· Минимизация потерь при реализации угроз.

1.3 Основные принципы обеспечения ИБ

Принципы обеспечения информационной безопасности:

· Доступ к информационным ресурсам ООО «АйТи-Гарант» предоставляется для каждого в соответствующем объеме;

· Каждый сотрудник, перед началом работы в ООО «АйТи-Гарант» должен ознакомиться с требованиями по обеспечению ИБ, и поставить свою подпись в документе, подтверждающим факт ознакомления;

· Ответственность за нарушения лежит непосредственно на сотруднике, допустившим нарушения, а также на его руководителе;

· Осуществляется постоянный контроль системы обеспечения ИБ, с целью выявления слабых мест, а также для оптимизации её к изменившимся условиям;

· Для всех известных видов угроз применяются меры по обеспечению ИБ.

1.4 Модель угроз и нарушителей ИБ

Любое лицо, теоретически имеющий любой вид доступа к информационным ресурсам ООО «АйТи-Гарант», может считаться злоумышленником.

Целью злоумышленника является нарушение доступности, целостности или конфиденциальности.

Злоумышленник для достижения своих целей может использовать все оправдывающие себя способы проведения атак на ИС ООО «АйТи-Гарант».

Источники угроз ИБ:

· Ошибочные действия персонала ООО «АйТи-Гарант»;

· Вирусные атаки;

· Внешние и внутренние злоумышленники;

· Отказы и сбои оборудования и программного обеспечения.

1.5 Общие требования по обеспечению ИБ

Общие требования:

· Каждый сотрудник, в соответствии с трудовым договором, обязан выполнять требования по обеспечению ИБ;

· Каждый сотрудник обязан ознакомиться под роспись со всеми приказами, распоряжениями, а также актуальной информацией, касающимися обеспечения информационной безопасности;

· Персонал ООО «АйТи-Гарант» обучается вопросам обеспечения ИБ. Периодически проверяется и оценивается уровень компетентности сотрудников в этих вопросах;

· Управление полномочиями всех пользователей ИС осуществляется на основе ролевого управления;

· Для каждой роли назначаются минимальные полномочия;

· Ни для одной роли не назначаются полномочия единоличного управления всей системой в целом;

· Доступ к информационным ресурсам не предоставляется, если нет производственной необходимости, а также, если у сотрудника сменились обязанности, или он был уволен;

· Периодически для пользователя производится контроль на соответствие его согласованных прав реальным правам;

· Пользователи осуществляют доступ к базам данных только через экранные формы пользователей;

· Доступ к информационным ресурсам ООО «АйТи-Гарант» осуществляется только после того, как он авторизуется в системе;

· Обеспечение ИБ предусмотрено на всех этапах жизненного цикла ИС;

· Все изменения, вносимые в ИС, контролируются и документируются;

· Сотрудники должны выполнять требования антивирусной безопасности применительно к внешним носителям и сети Интернет;

· Использование сети Интернет разрешается только в производственных целях;

· Минимизируется возможность подключения внешних устройств к рабочим станциям.

Словарь понятий

Данные - представление фактов, понятий и инструкций в нормализованном виде, подходящем для передачи, интерпретации и обработки человеком или машиной.

Конфиденциальность - обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.

Целостность - поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существуют множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

Пригодность - обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

Информация - смысл, который в настоящее время придается данным, посредством соответствующих соглашений.

Информационная безопасность Защита информации, ее составляющие:

а) конфиденциальность: защита конфиденциальной информации от несанкционированного раскрытия или перехвата;

б) целостность: обеспечение точности и полноты информации и компьютерных программ;

в) доступность: обеспечение доступности информации и жизненно важных сервисов для пользователя, когда это требуется.

Управление информационной безопасностью - обеспечение механизма, позволяющего реализовать информационную безопасность.

Информационная технология - научная, технологическая и инженерная дисциплина и управление методами, используемыми для оперирования с данными и их обработки; их прикладное применение; компьютеры и их взаимодействие с человеком и машинами; а также связанные с этим социальные, экономические и культурные вопросы.

Организация - группа людей, совместно отвечающих за выполнение определенных работ.

Владелец - лицо или организация, отвечающая за определенные информационные ресурсы и за реализацию надлежащих защитных мер.

Анализ рисков - всеобъемлющий термин, включающий, во-первых, определение и анализ потенциальных угроз, которым подвергаются компьютерные системы, и их уязвимости, и, во-вторых, предоставление руководству информации, необходимой для принятия решений, связанных с оптимизацией капиталовложений в меры по обеспечению информационной безопасности.

Инцидент в системе безопасности - событие, в результате которого произошла (или могла бы произойти) потеря или повреждение информационных ресурсов организации, либо действие, которое нарушает принятые в организации правила безопасности.

Специальная привилегия - любая особенность или средство многопользовательской информационной системы, дающая возможность пользователю обойти средства контроля системы или приложения.

Пользователь - лицо или организация, использующая информационные технологии.

Политика безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно подразделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

Инцидент в системе безопасности Событие, в результате которого произошла (или могла бы произойти) потеря или повреждение информационных ресурсов организации, либо действие, которое нарушает принятые в организации правила безопасности.

Специальная привилегия - любая особенность или средство многопользовательской информационной системы, дающая возможность пользователю обойти средства контроля системы или приложения.

Пользователь Лицо или организация, использующая информационные технологии.