Принципы информационной безопасности предприятия
Описание деятельности и структуры предприятия, его территориальное расположение и режим функционирования. Классификация информации по степени конфиденциальности, существующие угрозы безопасности в данной сфере, программные средства борьбы с ними.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | отчет по практике |
Язык | русский |
Дата добавления | 19.04.2015 |
Размер файла | 41,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Введение
программный угроза информационный безопасность
Информационные ресурсы в современном обществе являются наиболее значимыми, но при этом, очень уязвимыми т.к. механизм их распространения становится все более гибким и количество возможностей их передачи растет. В связи с этим информационная безопасность -- одно из важнейших условий функционирования любой структуры, будь то государственное учреждение или частное предприятие.
Целями преддипломной практики являются:
· сбор материала, необходимого для выполнения ВКР;
· приобретение профессионального опыта;
· овладение производственными навыками, необходимыми в экспериментально-исследовательской, проектной, организационно-управленческой и эксплуатационной деятельности;
· проверка готовности будущих специалистов к самостоятельной трудовой деятельности.
Задачами преддипломной практики является практическое применение:
· методов количественного анализа процессов обработки, поиска и передачи информации;
· методов моделирования с учетом их иерархической структуры и оценки пределов применимости полученных результатов;
· методов обработки и анализа экспериментальных данных;
· методики отнесения информации к государственной и другим видам тайны и ее засекречивания;
· методики выявления и анализа потенциально существующих угроз безопасности информации, составляющей государственную и другие виды тайны;
· методов анализа и оценки риска, методов определения размеров возможного ущерба вследствие разглашения сведений, составляющих государственную и другие виды тайны;
· методов организации и моделирования комплексной системы защиты информации, составляющей государственную и другие виды тайны;
· методов управления комплексной системой защиты информации, составляющей государственную или другие виды тайны;
· методов организации и управления службами защиты информации.
1. Описание объекта защиты информации
1.1 Описание деятельности и структуры предприятия
ОАО «Ростелеком» -- одна из крупнейших в России и Европе телекоммуникационных компаний национального масштаба, присутствующая во всех сегментах рынка услуг связи и охватывающая миллионы домохозяйств в России.
Компания занимает лидирующее положение на российском рынке услуг ШПД (широкополосный доступ) и платного телевидения: количество абонентов услуг ШПД превышает 11,2 млн, а платного ТВ «Ростелекома» -- более 8,0 млн пользователей, из которых свыше 2,7 миллиона смотрит уникальный федеральный продукт «Интерактивное ТВ».
«Ростелеком» является безусловным лидером рынка телекоммуникационных услуг для российских органов государственной власти и корпоративных пользователей всех уровней.
Компания -- признанный технологический лидер в инновационных решениях в области электронного правительства, облачных вычислений, здравоохранения, образования, безопасности, жилищно-коммунальных услуг.
Основной целью «Ростелекома» является обеспечение потребностей населения, народного хозяйства, обороны Российской Федерации и других потребителей в передаче информации по каналам междугородной и международной электрической связи, радиовещания и телевидения, а также получение прибыли. Главная задача, ОАО «Ростелеком» -- вывод телекоммуникационной отрасли России на уровень высокоразвитых стран мира.
«Ростелеком» предоставляет услуги междугородной и международной электрической связи, на договорных началах обеспечивает передачу информации по магистральным и внутризоновым сетям связи, сдает в аренду (на правах услуги) линии передачи, линейные, групповые и сетевые тракты, каналы тональной частоты, каналы и средства звуковой и телевизионного вещания, радиосвязи, каналы и средства вторичных телефонной и телеграфной сетей, каналы передачи данных, организует новые международные каналы связи.
В структуру «Ростелекома» входят 83 филиала (в том числе 8 макрорегиональных филиалов) и одно представительство.
ОАО «Ростелеком» осуществляет свою деятельность через ряд филиалов, оказывающих услуги связи на всей территории России. Филиалы оказывают услуги связи от имени ОАО «Ростелеком» и проводят взаиморасчеты по установленным таксам с региональными операторами связи. Филиалы также участвуют в подключении региональных сетей связи к магистральной сети ОАО «Ростелеком». В структуру филиалов может входить одно или несколько расположенных в разных местах подразделений, оказывающих соответствующие телекоммуникационные услуги на конкретной территории.
В данном отчете рассмотрена система защиты информации на предприятии на примере Иркутского филиала ОАО «Ростелеком».
ОАО «Ростелеком» оказывает услуги на базе собственной высокотехнологичной магистральной сети, которая позволяет предоставлять голосовые услуги, а также услуги передачи данных и IP-приложений физическим лицам, корпоративным клиентам, российским и международным операторам.
На территории Иркутской области общая протяженность оптоволоконных линий связи составляет свыше 2,6 тысяч км. Иркутский филиал Компании обслуживает порядка 450 тысяч абонентов телефонии, свыше 137 тысяч пользователей Интернет и более 23 тысяч пользователей IP TV.
Телекоммуникационные услуги описаны на официальном сайте ОАО «Ростелеком»[1]. В них входит:
· услуги местной и внутризоновой связи;
· услуги дальней связи;
· услуги доступа к сети Интернет;
· услуги сети передачи данных;
· услуги IP TV;
· услуги по построению VPN-сетей;
· услуги видеоконференцсвязи;
· услуги по предоставлению в аренду физических каналов и трактов связи;
· услуги интеллектуальной сети связи;
· справочно-информационные услуги и другие.
1.2 Территориальное расположение, режим функционирования объекта защиты информации
Предприятие представляет собой 3-этажное панельно-кирпичное здание с подвалом, находящееся по адресу ул. Пролетарская, 12 (Рисунок А1). В здании имеются арендаторы: ОАО «Промсвязьбанк», расчетно-кассовый центр системы «Город», ООО «Телекомсервис». С северо-запада прилегает 4-этажное административное здание, в котором расположено представительство компании «Delphi» -- американский производитель автокомплектующих. С юго-востока прилегает 5-этажное административное здание, в котором расположены следующие организации: Иркутский областной радиотелевизионный передающий центр, Иркутский центр восстановительной медицины ООО «Байкал-Сигнал», расчетно-кассовый центр системы «Город». С запада находится внутренний охраняемый двор, в 60 метрах находится 4-этажное здание Управления Федеральной почтовой связи Иркутской области. С северо-востока в 160 метрах расположено здание цирка.
Пропускной режим: по служебным удостоверениям. Внутриобъектовый режим: рабочий день с 8.00 до 17.00.
Основным подразделением, ответственным за информационную безопасность на предприятии является отдел информационной безопасности.
1.3 Основные угрозы ИБ
В организации имеется Политика информационной безопасности [2], в которой определены основные угрозы защищаемых ресурсов:
Внешние угрозы:
· Атаки из внешних информационных сред на аппаратно-программные и технические комплексы и информационные активы Общества, в том числе компьютерные вирусы;
· Катастрофы и неблагоприятные события природного и техногенного характера;
· Террористические акты;
· Зависимость от монопольных поставщиков аппаратно-программных и технических средств, расходных материалов, услуг и т.п.
Внутренние угрозы:
· Невыполнение (или неполное выполнение) сотрудниками Общества и привлеченным персоналом, в т.ч. консультантами и специалистами фирм, привлекаемых в рамках аутсорсинга, установленных технических и/или технологических регламентов;
· Несанкционированная деятельность (включая ошибки) персонала и пользователей информационных систем, приводящая к уменьшению уровня защищенности, т.е. снижению количества (или изменению состава) выполненных требований по защите информационных систем, необходимого для отнесения данных систем к тому или иному классу защищенности информационных систем;
· Нецелевое использование информационных активов, средств вычислительной техники и сетей передачи данных Общества;
· Несанкционированный доступ к информационным активам (чтение, копирование, публикация, искажение, частичное или полное уничтожение, ввод ложной информации и т.п.);
· Сбои, отказы.
1.4 Классификация информации по степени конфиденциальности
Также Политика ИБ выделяет следующую информацию, хранящуюся, обрабатывающуюся и передающуюся в информационных системах организации:
1) Общедоступная информация
Общедоступная информация, предназначенная для официальной передачи во внешние организации, средства массовой информации и т.п., а также информация, полученная из внешних открытых источников.
2) Информация ограниченного доступа
Информация ограниченного доступа делится на категории:
· конфиденциальная информация (в том числе информация, составляющая коммерческую тайну [3] (Таблица Б1). Режим защиты информации устанавливается на основании Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (с действующими изменениями);
· персональные данные. Режим защиты информации устанавливается специальным Федеральным законом N 152-ФЗ от 27 июля 2006 года «О персональных данных».
2. Методы и средства организационно-правовой защиты информации, применяемые на предприятии
Организационно-правовая защита информации предполагает наличие регламентации прав на информацию, реализации их, контроля за процедурами реализации прав, производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
2.1 Правовая защита информации
Защита информации в РФ осуществляется на основании федеральных законодательных нормативных актов (Приложение В).
В организации также имеются следующие основные документы:
· Политика информационной безопасности ОАО «Ростелеком»;
· Политика использования корпоративной электронной почты;
· Политика использования паролей;
· Политика использования ресурсов сети Интернет;
· Политика использования съемных носителей информации;
· Политика мониторинга использования информационных систем;
· Политика управления доступом к информационным активам ОАО «Ростелеком»;
· Положение о режиме коммерческой тайны в ОАО «Ростелеком»;
· Положение об обработке и защите персональных данных работников ОАО «Ростелеком»;
· Положение об Экспертной комиссии по отнесению информации к информации, составляющей коммерческую тайну;
· Процедура инвентаризации учетных записей в информационных системах ОАО «Ростелеком»;
· Процедура по обращению с информацией, составляющей коммерческую тайну;
· Инструкция о порядке учёта материальных носителей информации с ограничительными грифами «Для служебного пользования», «Конфиденциально» и «Коммерческая тайна».
2.2 Состав и описание организационных мероприятий
1) Пропускной режим. Сотруднику создается пропуск, позволяющий ему перемещаться по территории. В случае если в пропуске более нет необходимости, он подлежит немедленному возвращению в отдел безопасности с последующим уничтожением.
2) Выдача прав на доступ к Интернету. Также отдел осуществляет выдачу прав на подключение компьютера к Интернету по заявке руководителя отдела.
3) Проведение проверок и инструктажей:
· Проведение ежеквартальных инструктажей по антитеррористической направленности;
· Ознакомление сотрудников под роспись об ответственности за разглашение конфиденциальной информации о системе охраны объекта;
· Проведение практических тренировок по эвакуации персонала (не реже 2-х раз в год);
· Проверка состояния решеток и железных дверей;
· Ежедневный осмотр помещений по окончании рабочего дня;
· Проверка работоспособности средств контроля доступа, средств охранно-пожарной сигнализации, системы видеонаблюдения.
5) Разработка инструкций и памяток о порядке действий в случае угрозы террористического акта, оформление информационных стендов по угрозе терроризма.
6) Поддержание оперативного взаимодействия с правоохранительными органами.
3. Методы и средства инженерно-технической защиты информации, применяемые на предприятии
3.1 Состав и описание существующих технических средств защиты
1) Описание охранной сигнализации. Система реализована на базе оборудования НПО «Болид», центральный пульт С-2000, объектовые приборы -- Сигнал-20П, С-2004, кабинеты защищены ИК датчиками на движение; первый этаж: СМК на окна, датчики на разбитие Стекло, на вскрытие дверей СМК.
2) Описание пожарной сигнализации. Сигнализация реализована на приборах НПО «Болид», центральный пульт С-2000, объектовые приборы Сигнал - 20, С-2004; весь объем пожарных извещателей реализован на дымовых датчиках типа ИП-212 3СУ.
3) Описание СОУЭ (Система оповещения и управления эвакуацией). СОУЭ со звуковым способом оповещения. Система реализована на приборах НПО «Болид», звуковые сирены «Свирель», автоматическое включение при поступлении на прибор сигнала пожар с дымовых датчиков или ручных извещателей.
4) Также имеется система внешнего охранного теленаблюдения: Черно-белые камеры без автодиафрагмы.
5) Имеются первичные средства пожаротушения: углекислотные огнетушители ОУ-2, 52 шт., пожарные покрывала ПП-300, песок. Здание оборудовано 10-ю пожарными кранами, укомплектованными пожарными рукавами и стволами.
3.2 Описание строительных конструкций
Ограждение внутреннего двора: шлагбаум;
Дежурное наружное освещение: имеется;;
Общая площадь объекта в кв.м.: 6753,5 кв.м.;
Материал стен: ж/б панели (толщина блока -- 300мм) и кирпичные перегородки стен (толщина - 1,5 кирпича);
Материал перекрытий: ж/б перекрытия (толщина блока -- 300мм);
Кровля: односкатная с деревянной обрешеткой;
Покрытие кровли: шифер;
Входные двери (количество): 3;
Материал дверей: Дерево, стекло, металл;
Материал окон: пластик, дерево, стекло. Остекление тройное (3мм).
4. Состав и описание существующих программных средств защиты
На ЭВМ предприятия стоит операционная система Microsoft Windows 7, сертифицированная по требованиям безопасности.
Программные средства защиты:
· Антивирус Касперского 6.0, сертифицированный по требованиям безопасности
Антивирус Касперского 6.0 обеспечивает качественный уровень защиты компьютера благодаря оптимальному сочетанию традиционных антивирусных технологий и современных проактивных методов.
Программа отличается не только безупречной интеграцией с операционными системами семейства Microsoft Windows, но и совместимостью с другими программными продуктами для защиты персональных компьютеров.
· АРМ Орион
АРМ Орион позволяет организовать рабочее место оператора, с выводом на экран монитора графических планов охраняемых помещений, организовать учет рабочего времени персонала предприятия, получать разнообразные отчеты по прошедшим событиям в системе.
· Также на предприятии используется Lotus Notes и Lotus Domino. Это программный продукт для автоматизации совместной деятельности рабочих групп, содержащий в себе средства электронной почты, персональных и групповых электронных календарей, службы мгновенных сообщений и среду исполнения приложений делового взаимодействия. Используется в качестве платформы для корпоративной ЕСЭД (единая система электронного документооборота) организации. Продукт сертифицирован ФСТЭК на соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 4 уровню контроля. Кроме того, Lotus/Domino имеет оценочный уровень доверия ОУД1 в соответствие с требованиями РД «Безопасность информационных технологий. Критерии оценки ИТ»..
5. Криптографические методы и средства защиты информации, применяемые на предприятии
Для реализации криптографических алгоритмов используется СКЗИ КриптоПро CSP версии 3.6. Предназначен для:
· авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами;
· обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты;
· обеспечение аутентичности, конфиденциальности и имитозащиты соединений TLS;
· контроля целостности, системного и прикладного программного обеспечения для его защиты от несанкционированного изменения или от нарушения правильности функционирования;
· управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Для безопасного хранения цифровых сертификатов и ЭП используется СКЗИ «Криптотокен в составе изделия «eToken ГОСТ».
Предназначен для аутентификации пользователей, генерации и защищенного хранения ключей шифрования и электронной подписи, выполнения шифрования и электронной подписи «на борту» устройства, хранения цифровых сертификатов и иных данных.
6. Программно-аппаратные методы и средства защиты информации
Для обеспечения безопасной передачи данных используется программно-аппаратный комплекс «ViPNet Coordinator HW».
Технология ViPNet -- это комплекс программно-технических средств, предоставляющий возможность создать в любой телекоммуникационной инфраструктуре распределенную виртуальную сеть, защищенную от сетевых атак и несанкционированного доступа к информации.
ПАК «ViPNet Coordinator HW» выполняет в виртуальной сети ViPNet следующие функции:
· маршрутизацию, шифрование и контроль целостности зашифрованных IP-пакетов, передаваемых между сегментами виртуальной сети;
· туннелирование (шифрование и имитозащита) открытых IP-пакетов, передаваемых между сегментами виртуальной сети;
· функции межсетевого экранирования: анализ, фильтрация, регистрация открытого IP-трафика на границе сегмента виртуальной сети;
· маршрутизацию почтовых сообщений, передаваемых почтовыми клиентами корпоративной электронной почты.
7. Индивидуальное задание. Возможности использования электронной подписи при организации защищенного электронного документооборота
7.1 Электронный документооборот и значение электронной подписи
Эффективная работа любой организации в настоящее время немыслима без организации электронного документооборота. Работа с документами в электронной форме позволяет быстро и удобно хранить, обрабатывать и передавать документы в информационной системе организации. Однако системы электронного документооборота могут быть потенциально подвержены следующим атакам:
· нарушение конфиденциальности передаваемых документов;
· несанкционированное искажение электронных документов;
· отправка ложного электронного документа от имени легального пользователя системы.
Организация, имеющая сложную интегрированную, территориально-распределенную структуру, сталкивается с такими проблемами, как:
· разрозненность финансовой и управленческой информации;
· запаздывание поступающих из отдаленных филиалов данных с вытекающими затруднениями в принятии оперативных решений;
· несбалансированность информационных потоков.
В условиях территориально-распределенной структуры возникают сложные схемы организации документооборота между юридическими лицами одной организации, удаленными подразделениями одного юридического лица, центральной компании и ее филиалами, и дочерними компаниями.
Основными проблемами в документообороте между удаленными структурными единицами являются:
· многократная регистрация одного документа;
· утрата документов;
· невозможность осуществления контроля за исполнением документов и сроков их согласования и подписания;
· отсутствие единого полного реестра изданных и полученных документов с целью осуществления их оперативного поиска и сбора статистических данных;
· многократное копирование одного документа с целью его рассылки удаленным адресатам организации;
· длительные сроки согласования проектов документов и принятия управленческих решений.
Система электронного документооборота направлена на решение перечисленных проблем. В системе для передачи сообщений и документов между пользователями используется открытая телекоммуникационная сеть -- Интернет. Доступ к данным, проходящим через Интернет, не может быть физически ограничен. С другой стороны, информация, которой обмениваются пользователи, является конфиденциальной, составляет коммерческую тайну или персональные данные. Таким образом, остро встает вопрос защиты этой информации от несанкционированного доступа третьих лиц.
Все электронные документы, циркулирующие между организациями, требуют юридической значимости для того, чтобы каждая из сторон была уверена в исполнении другой стороной своих обязательств. Юридически значимый электронный документ -- это электронный документ, обладающий такими свойствами, что права и обязательства каждой из сторон, вытекающие из этого электронного документа, защищены действующим законодательством, в нашем случае, законодательством РФ. Юридическая значимость электронного документа обеспечивается с помощью электронной подписи.
7.2 Организация защиты электронного документооборота в Иркутском филиале ОАО «Ростелеком»
В ОАО «Ростелеком» защиту документов обеспечивает Lotus Notes и Domino. В издании для пользователя [4] написано, что это распределённая объектная документо-ориентированная клиент-серверная СУБД в сочетании с почтовой системой. Lotus Domino -- это сервер приложений, а Lotus Notes -- это клиент для выполнения бизнес-приложений, работы с информацией и документами, в том числе и в режиме offline.
Основные функции:
· среда исполнения приложений автоматизации групповой деятельности;
· криптозащита (шифрование и электронная подпись);
· клиент электронной почты;
· сервер приложений;
· почтовый сервер;
· групповой календарь, планировщик задач;
· клиент среды обмена мгновенными сообщениями;
· веб сервер -- для предоставления доступа к приложениям Lotus Notes через браузер;
· репликация -- синхронизация между дистанционно удалёнными экземплярами баз данных.
Защита данных происходит путем шифрования:
· баз данных и отдельных документов -- при хранении, по команде пользователя, так и автоматически при создании;
· передаваемой почты -- при передаче, на всём протяжении;
· трафика через выбранный сетевой интерфейс (сетевой протокол);
· трафика для соединения с заданным абонентом.
Личный шифр пользователя автоматически генерируется в момент регистрации. Личный шифр состоит из двух чисел (ключей), одно из которых используется для шифрации данных, а другое для дешифрации. Это т.н. открытый и закрытый ключи.
Открытый ключ используется другими пользователями, чтобы:
· шифровать отправляемую данному пользователю почту;
· проверять пришедшие от данного пользователя данные на подлинность.
Закрытый ключ используется:
· для расшифровки входящей почты;
· для цифровой подписи исходящих данных.
Под исходящими/пришедшими данными имеется в виду не только почта, но вообще любые документы из любых баз.
Хотя открытый и закрытый ключи связаны между собой определенной взаимооднозначной зависимостью, гарантируется, что вычисление закрытого ключа по известному открытому будет очень трудоёмким.
В Notes используется популярная шифросистема RSA.
Наряду с несимметричным шифрованием в Notes используется и симметричное. При одинаковой надежности симметричное шифрование, как правило, работает быстрее, чем несимметричное. Под надежностью здесь подразумевается сложность расшифровки без знания ключа.
В Notes используются симметричные шифросистемы RC2 и RC4.
Поскольку один и тот же ключ используется не только для шифрации, но и для дешифрации данных, сам по себе такой шифр не может использоваться в случаях, подобных шифрованию почты, т.к. адресант сможет читать зашифрованные сообщения.
Поэтому в тех случаях, где необходимо сохранить и приватность, и скорость шифрования, применяется комбинированная схема: Notes генерирует случайный RC2-шифр, шифрует им данные, потом шифрует RC2-шифр открытым ключом пользовательского RSA-шифра и дописывает его к данным.
RC2 используется самостоятельно для шифрозащиты коллективных данных, таких как документы в досках объявлений.
Для внутреннего документооборота используется корпоративная ЕСЭД (единая система электронного документооборота). ЕСЭД работает на базе Lotus как дополнительный модуль (расширение).
ЕСЭД описана в руководстве пользователя ЕСЭД[5].
Чтобы приступить к работе в ЕСЭД, необходимо знать регистрационное имя пользователя и пароль.
ЕСЭД предназначена для автоматизации следующих видов деятельности:
· работа с организационно-распорядительными документами -- создание и размещение в хранилище проектов документов, согласование документов с использованием типовых маршрутов прохождения документов, рассылка документов между подразделениями, хранение и архивирование документов;
· работа с закупочными документами -- предоставление пользователям системы возможности согласовывать и хранить заявки на реализацию закупки в рамках требований Федерального закона РФ от 18.07.2011 г. № 223-ФЗ; сокращение сроков согласования заявок на закупку; создание единого хранилища документов по закупочной деятельности;
· делопроизводство -- регистрация входящей, исходящей и внутренней корреспонденции с автоматическим присвоением документам регистрационных номеров, контроль процесса согласования, формирование структурированного оперативного хранилища документов, контроль целостности документов и сохранности реквизитов документов, поиск документов в хранилище, формирование отчетов по движению и исполнению документов по заданным формам, списание документов в дело;
· работа с поручениями (заданиями) -- формирование поручений и назначение исполнителей по ним, маршрутизация поручений (с использованием шаблонов маршрутов), автоматическая доставка исполнителям уведомлений о поручениях, контроль исполнения поручений и резолюций по документам, формирование и доставка отчетов исполнителей и т.п.
В системе можно увидеть, какой пользователь и когда создал документ, а также отследить его состояние. Пользователь, создавший документ, может установить права доступа и разрешенные операции. Например, пользователь не сможет изменить документ, который прислан только для ознакомления им.
На данный момент в Иркутском филиале ОАО «Ростелеком» не используется ЭП. Поэтому документы на утверждение директору предоставляются в бумажном варианте. Чтобы утвержденный документ существовал в электронном виде, сотрудники отдела делопроизводства сканируют его и вносят в ЕСЭД.
Порядок обращения с документами описан в таких документах организации как инструкция по ведению внутреннего и входящего электронного документооборота [6], инструкция по ведению исходящего электронного документооборота [7], инструкция по контролю исполнения документов с использованием ЕСЭД [8].
Передача внутреннего документа, его рассмотрение, внесение резолюций, внесение отметки об исполнении производится посредством ЕСЭД, за исключением документов с грифом «Конфиденциально» и «Коммерческая тайна», которые оформляются на бумажном носителе и регистрируются в отделе обеспечения защиты государственной тайны.
Наряду с электронными документами допускается создание документа на бумажном носителе, при этом могут использоваться электронные листы согласования.
В случае ухода работника в отпуск, выезда в командировку, перехода на другую должность или увольнения, изменения в ЕСЭД вносятся администратором, на основании представленной заявки самим работником или делопроизводителем подразделения работника в отдел прикладной поддержки пользователей корпоративных систем управления.
Количество лицензий на использование Lotus ограничено, а т.к. пользователей в ОАО «Ростелеком» очень много, сотрудники более низкого звена (например, операторы) используют Microsoft Outlook для взаимодействия через корпоративную почту.
Сервис (услуга) корпоративной электронной почты предоставляется сотрудникам исключительно для выполнения их должностных обязанностей. Сообщения корпоративной почты проходят следующие проверки:
· проверка сообщения на наличие вредоносного программного обеспечения;
· проверка сообщения на наличие спама;
· проверка сообщения на наличие файлов запрещённого типа (система контентного анализа);
· обработка сообщений, не поддающихся контентному анализу;
· проверка на допустимый максимальный размер почтового сообщения.
В Политике использования корпоративной электронной почты [9] указано, что при отправке информации адресатам пользователь обязан контролировать отправляемые сообщения и файлы на возможность наличия в них коммерческой тайны, конфиденциальной или любой другой критичной для бизнеса Общества информации. Организация оставляет за собой право осуществлять, в порядке контроля, выборочную проверку правильности использования корпоративной почты без предварительного уведомления сотрудников
До 2014 года взаимодействие с внешними организациями обеспечивалось Lotus с использованием ЭП.
С весны 2014 изменилась структура обработки документов, изменился регламент. Реорганизация обеспечила решение следующих задач:
· оптимизации административных и управленческих расходов за счет эффекта масштаба, централизации управления и устранения дублирующих функций;
· повышении оперативности принятия и эффективности исполнения управленческих решений благодаря сокращению количества уровней управления.
Т.е. путем оптимизации сократили дублирующих работников на всех местах. Все приказы издаются в макрорегиональном филиале «Сибирь» ОАО «Ростелеком» в Новосибирске и пересылаются для ознакомления в Иркутск. Расчет заработной платы и бухгалтерия ведется также в Новосибирске. Соответственно, т.к. головное предприятие в Новосибирске, то и все отчеты делаются и сдаются в Новосибирске. Поэтому и ЭП в Иркутском филиале ОАО «Ростелеком» не используется.
В настоящее время отправка документов в сторонние организации осуществляется по факсу, электронной почте, нарочно, почтовой фельдъегерской, специальной связью, а также посредством курьерских компаний (экспресс-почта). Для отправки документов исполнителю необходимо представить документ в Отдел делопроизводства. При отправке документов почтовой связью исполнитель прикладывает к документу заполненный акт приёма-передачи документов на отправку почтовой связью.
Сотрудник Отдела делопроизводства, осуществляющий отправку документов на бумажном носителе, делает отметку об отправке в акте приёма приёма-передачи документов на отправку (1 экземпляр акта возвращается исполнителю).
Отправка документов посредством экспресс-почты осуществляется также при условии оформления акт приёма-передачи документов на отправку почтовой связью.
Заключение
С точки зрения правовой защиты информации, объект защищен в соответствии с обрабатываемой информацией. В организации имеются нормативные документы, регулирующие отношения в сфере обработки, передачи и хранения конфиденциальной информации и персональных данных, а также по мере необходимости разрабатываются новые и вносятся поправки в устаревшие документы в соответствии с современными требованиями.
С точки зрения технической защиты, в целом, объект защищен в соответствии с характером используемой информации, но необходима установка пропускной и внутриобъектовой систем на базе приборов НПО «Болид», АРМ «Орион», а также установка видеорегистратора, дополнительных видеокамер для усовершенствования СКУД (Система контроля и управления доступом) и СОТН (Система охранного теленаблюдения).
С точки зрения криптографической защиты объект защищен в соответствии с характером используемой информации.
В целом, СЗИ на предприятии налажена и соответствует характеру обрабатываемой информации и требованиям стандартов. Режимы, установленные на предприятии, соблюдаются.
Главной выявленной проблемой является отсутствие защищенного электронного документооборота как такового, а именно ЭП. Необходимо внедрить ЭП для упрощения процедуры документационного взаимодействия между филиалами предприятия, а также со сторонними организациями.
Библиографический список
1. Иркутский филиал [Электронный ресурс] / Официальный сайт ОАО «Ростелеком» // http://www.rostelecom.ru/about/branches/siberia/about/branches/irkutsk/.
2. Политика информационной безопасности ОАО «Ростелеком» от 31.10. 2008 г. № 426 (редакция 1).
3. Перечень информации, составляющей КТ № 07 от 30.05.2012.
4. Илья Евсеев. Электронное издание «Lotus Notes для пользователя» [Электронный ресурс] // http://ilya-evseev.narod.ru/lotus/book/00_lnotes.html.
5. Руководство пользователя ЕСЭД «Ростелеком» от 22.09.2012г.
6. Инструкция по ведению внутреннего и входящего электронного документооборота в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 2) от «19» апреля 2011г. № 39.
7. Инструкция по ведению исходящего электронного документооборота в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 2) 2013г.
8. Инструкция по контролю исполнения документов с использованием ЕСЭД в Макрорегионе «Сибирь» ОАО «Ростелеком» (Редакция 1) от 19.02.2013г. № 01/07/92-13.
9. Политика использования корпоративной электронной почты в Макрорегиональном филиале «Сибирь» ОАО «Ростелеком» (Редакция 1) от 30.09.2011г. №459.1.
Размещено на Allbest.ru
Подобные документы
Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.
презентация [63,6 K], добавлен 21.05.2015Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
курсовая работа [1,1 M], добавлен 21.04.2015Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011