Разработка корпоративной информационной системы на примере ООО "Сибирский центр программного обеспечения"
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?ационным ресурсам ООО iПО предоставляется для каждого, предоставляется в необходимом для работы объёме;
Каждый сотрудник, перед началом работы в ООО iПО ознакамливается с требованиями по обеспечению ИБ, и ставит свою подпись в документе, подтверждающим факт ознакомления;
Ответственность за нарушения лежит непосредственно на сотруднике, допустившим нарушения, а также на его руководителе;
Осуществляется постоянный контроль системы обеспечения ИБ, iелью выявления слабых мест, а также для оптимизации её к изменившимся условиям;
Для всех известных видов угроз применяются меры по обеспечению ИБ.
2.5.4 Разработка модели угроз и нарушителей ИБ в ООО iПО
Любое лицо, теоретически имеющий любой вид доступа к информационным ресурсам ООО iПО, может считаться злоумышленником.
Целью злоумышленника является нарушение доступности, целостности или конфиденциальности.
Злоумышленник для достижения своих целей может использовать все оправдывающие себя способы проведения атак на ИС ООО iПО.
Источники угроз ИБ:
Ошибочные действия персонала ООО iПО;
Вирусные атаки;
Внешние и внутренние злоумышленники;
Отказы и сбои оборудования и программного обеспечения.
2.5.5 Создание общих требований по обеспечению ИБ
Общие требования:
Каждый сотрудник, в соответствии с трудовым договором, обязан выполнять требования по обеспечению ИБ;
Каждый сотрудник обязан ознакомиться под роспись со всеми приказами, распоряжениями, а также актуальной информацией, касающимися обеспечения информационной безопасности;
Персонал ООО iПО обучается вопросам обеспечения ИБ. Периодически проверяется и оценивается уровень компетентности сотрудников в этих вопросах;
Управление полномочиями всех пользователей ИС осуществляется на основе ролевого управления;
Для каждой роли назначаются минимальные полномочия;
Ни для одной роли не назначаются полномочия единоличного управления всей системой в целом;
Доступ к информационным ресурсам не предоставляется, если нет производственной необходимости, а также, если у сотрудника сменились обязанности, или он был уволен;
Периодически для пользователя производится контроль на соответствие его согласованных прав реальным правам;
Пользователи осуществляют доступ к базам данных только через экранные формы пользователей;
Доступ к информационным ресурсам ООО iПО осуществляется только после того, как он авторизуется в системе;
Обеспечение ИБ предусмотрено на всех этапах жизненного цикла ИС;
Все изменения, вносимые в ИС, контролируются и документируются;
Сотрудники должны выполнять требования антивирусной безопасности применительно к внешним носителям и сети Интернет;
Использование сети Интернет разрешается только в производственных целях;
Подразделениям ООО iПО разрешается обмениваться информацией через Интернет, только при наличии защищенного канала передачи данных;
Минимизируется возможность подключения внешних устройств к рабочим станциям;
2.6 Разработка инструкции по безопасности для ООО iПО
2.6.1 Описание функций администратора ИС iПО
На администратора информационной системы возлагаются следующие функции и задачи:
Инструктаж сотрудников по общим вопросам обеспечения информационной безопасности в соответствии с требованиями по обеспечению безопасности;
Инструктаж сотрудников по соблюдению правил антивирусной безопасности, порядку обращения с антивирусным ПО и порядку своевременного обновления антивирусных баз;
Ознакомление сотрудников с перечнем конфиденциальной информации, которая будет доступна им в ходе выполнения функциональных обязанностей;
Обучение сотрудников предоставлению каталогов файловой системы рабочей станции для совместного доступа с других рабочих станций;
Обучение сотрудников работе со средствами защиты информации, используемыми в их подразделении;
Контроль выполнения антивирусных мероприятий;
Контроль использования сотрудниками на автоматизированных рабочих местах программного обеспечения, соответствующего лицензионному или аттестованного и принятого в эксплуатацию установленным порядком;
Контроль выполнения сотрудниками правил хранения и использования криптографических ключей и персональных идентификаторов;
Контроль подключения сотрудниками внешних устройств к рабочим станциям;
Контроль проведения службой автоматизации профилактических и ремонтных работ.
Ведение учета информационных ресурсов, доступ к которым предоставляется сотрудникам подразделения;
Взаимодействие с администратором сервера, при необходимости разблокировать учётную запись пользователя.
2.6.2 Описание документации администратора ИБ
Администратор информационной безопасности обязан вести следующую документацию:
Инструкции по информационной безопасности;
Учёт доступа сотрудников к информационным ресурсам;
Перечень внешних связей подразделения, реализованных с помощью глобальных сетей передачи данных;
Перечень рабочих станций, на которых подключены FDD, CD-ROM приводы, модемы, перечень используемых Com, LPT, USB-портов.
2.6.3 Определение прав администратора ИБ