Построение системы защиты территориальной информационной системы и функционирование в виртуальной среде

В существующей системе информационной безопасности ООО «Автотранс-Новосибирск» отмечены следующие проблемы:

необходимость системы протоколирования действий пользователей;

— отсутствие системы защиты от НСД на рабочих станциях пользователей;

— отсутствие контроля за сменой паролей и парольной документацией (нет контроля сложности паролей и сроков их смены — не реже 1 раза в год);

— необходимость модернизации системы видеонаблюдения.

2.3.

2. Предложения по совершенствованию системы информаицонной безопасности1. Система защиты от несанкционированного доступа

В рамках данного проекта рекомендовано внедрение системы защиты от несанкционированного доступа — электронные ключи и биометрические сканеры. На рабочих станциях, где производистя обработка персональных данных — внедрение системы КСЗИ «Панцирь-К"Электронный ключ eToken (от англ. electronic — электронный и англ. token — признак, жетон) — персональное средство аутентификации. Различные модели eToken выпускаются фирмой Aladdin Knowledge Systems и российской компанией Aladdin (рисунок 10).eToken — персональное средство строгой аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП. eToken выпускается в двух форм-факторах: USB-ключа и смарт-карты.eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure).eToken может выступать в качестве единой корпоративной карты, служащей для визуальной идентификации сотрудника, для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL), для проведения финансовых транзакций. Проблем использования в DOS приложениях просто нет, потому что он в них не работает, так как используется распознавание активных окон. Поэтому работа осуществляется с ОС выше WIN2000 SP4. Недостаток использования данной системытакже состоит в том, что если окно без фокуса, то оно так же не будет захватываться (примером может служить «ПК Рабочее место приема оператора»). Так же если есть красный клиент новелл или он ставиться, то необходимо при установке клиента не заменить окно регистрации eToken. Следующим узким моментом является ограниченное количество памяти.

Все-таки хотелось бы его использовать как и флеш-накопитель.Удобство использования заключается в том, что при наборе одного пароля, осуществляется ввод всех остальных. Это значительно экономит время и положительно влияет на рабочий процесс. Так же отдельно хочется отметить работу с WEB приложениями при аутентификации — быстро и удобно. В настоящее время таких программ становится все больше и больше. Рисунок 10- Функциональная схема работы электронного ключа

Биометрические сканеры BioLink целесообразно применять при аутентификации на объектах, функционирование которых определяет работу автоматизированной системы в целом (VPN-серверы, серверы баз данных). КСЗИ «Панцирь-К». Данные программный комплекс предназначен для защиты информации, обрабатываемой на рабочих станциях, как включенных в локальные, либо корпоративные сети, так и полностью автономных. Также данный программный продукт может использоваться для эффективного противодействия атакам на защищаемые информационные ресурсы, что достигается путем устранения архитектурных недостатков защиты современных операционных систем. Данное ПО может использоваться для защиты, как от внешних, так и от внутренних угроз информационной безопасности, путем обеспечения эффективного противодействия сетевым атакам, а также инсайдерскоцй активности. КСЗИ «Панцирь-К» также может применяться для противодействия вирусной активности, а также активности шпионского ПО. Дополнительную защиту обеспечивают возможности очистки остаточной информации, содержащейся на рабочих станциях пользователей. Система имеет программную реализацию, включающую серверную и клиентскую части, систему управления в форме АРМа Администратора. Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).Основные механизмы защиты, реализованные в КСЗИ «Панцирь-К"[14, c.97]: система разграничения доступа к ресурсами сети, объектам реестра, внешним носителям информации;

автономная система разграничения доступа на уровне ПО;управление подключением внешних устройств;

контроль целостности объектов;

система авторизации с использованием внешних аппаратных устройств;

контроль целостности аутентификации пользователя;

противодействие вредоносным программным и аппаратным закладкам.

2. Совершенствование системы парольной защиты

Внедрение программного продукта управления паролями pwd. exe, что позволит:

автоматически генерировать пароли с использованием метода мнемонических фраз, что обеспечит запоминаемость пароля, а также будет удовлетворят требованиям к его сложности;

— контролировать сроки смены паролей.

3. Внедрение системы резервного копирования Symantec, что позволит снизить риски потери данных. Предлагается к внедрению в информационную систему ООО «Автотранс-Новосибирск» систему резервного копирования: — Symantec Backup Exe;

— Symantec NetBackup. Данные программные продукты предназначены для использования в средних и крупных сетях. Указанное ПО включает в себя весь необходимый инструментарий для реализации задач резервного копирования информации (дедупликация, автоматическая целевая репликация, миграция между компьютерами, работа с физическими и виртуальными устройствами, работа в гетерогенной среде и т. д.). Данные программные продукты могут работать с различными системами хранения данных.

4. Установка системы видеонаблюдения, охранно-пожарной сигнализации для возможности слежения за объектами, в которых производится обработка коммерчески значимой информации, а также для возможности расследования инцидентов, связанных с использованием системы информационной безопасности. Для данного типа помещений оптимальным решением будет система видеонаблюдения ORION, являющейся универсальным решением в области охранно-пожарной сигнализации и видеонаблюдения.

3 Выбор и обоснование методики расчёта экономической эффективности3.

1 Выбор и обоснование методики расчёта экономической эффективности

В данном дипломном проекте будет, рассматривается одна из наиболее известных методик экономической эффективности это — методика оценки совокупной стоимости владения (ССВ) компании «Gartner Group» применительно к системе ИБ, особенности использования этой методики в отечественных условиях. Эта методика применима в случаях, когда используется первый подход к обоснованию затрат на ИБ. В обосновании затрат на ИБ существует два основных подхода. Первый подход состоит в освоении и последующем применении на практике необходимого инструментария измерений уровня информационной безопасности. Для реализации требований данного подхода необходимо привлечения руководства, либо собственника компании к оценке стоимости информационных активов, определению оценки потенциально возможного ущерба от нарушений в области информационной безопасности. Результаты данных оценокопределяют дальнейшую деятельность менеджеров в области информационной безопасности. При минимальной стоимости информационных активов нет необходимости применения мер информационной безопасности и капиталовложений в данную область. Если стоимость информационных активов достаточно ощутима для компании, тогда необходимапостановка вопроса о внесении в бюджет предприятия расходов на подсистему информационной безопасности. В данном случае необходима поддержкаменеджмента компании в осознании проблем системы информационной безопасности и необходимости построенияархитектуры защиты информации. Вторым подходом в оценке затрат на создание системы информационной безопасности является метод совокупной стоимости. Описание методики

Методика определения совокупной стоимости позволяет провести расчет всей расходной части информационных активов предприятия, включая прямые и косвенные затраты на программные и аппаратные средства, проведение организационных мероприятий, обучение и повышение квалификации сотрудников в области информационной безопасности, введение в штатное расписание специалистов по обеспечению информационной безопасности, а также корректировку должностных инструкций специалистов в соответствии с требованиями защиты информации. Указанная методика может быть использована для обоснования экономической эффективности существующих систем информационной безопасности. Она также позволяет менеджменту в области информационной безопасности проводить обоснование бюджета на мероприятия в области защиты информации, а также доказывать эффективность функционирования службы ИБ. Поскольку появляются возможности измерения параметров оценка экономической эффективности корпоративной системы защиты информации, становится возможным оперативное решение задач контроля и коррекции параметров экономической эффективности в также показателя ССВ. Основные положения данной методики[21, c.15]: ИБ обеспечивается комплексом мер на всех этапах жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимостиследующих компонент:

выполнения проектных работ;

— обучения специалистов;

— аудита информационной безопасности;

— администрирования систем безопасности;

— модернизации системы информационной безопасности. Показатель ССВ включает в себя сумму прямых и косвенных затрат, связанных с организацией (реорганизацией), эксплуатацией и сопровождением системы защиты информации в течение года. ССВ является ключевым количественным показателем эффективности организации системы информационной безопасности в компании, так как позволяет не только оценить суммарную величину затрат на систему информационной безопасности, но проводить управление этими затратами для достижения необходимого уровня защищенности информационной системы предприятия. При этом под прямыми затратамиподразумеваются как компоненты капитальных затрат, так и трудозатрат, учитывающихся в категориях управления операциями. Под косвенными затратамипонимают влияние автоматизированных систем и подсистем информационной безопасности на сотрудников предприятий посредством оценки значений таких параметров как время простоев, отказов системы, систем информационной безопасности и автоматизированной информационной системы предприятия в целом, финансовые затраты поддержку их функционирования (не отнесенные к прямым затратам). Зачастую косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на информационную безопасность, а их выявлениепроизводится в последствии, что в конечном итоге приводит к увеличению «скрытых» затрат организаций на систему информационной безопасности. Проведем расчет, используя следующую эмпирическую зависимость ожидаемых потерь (рисков) от i-й угрозы информации:, где: Si — коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi — коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта необходимо использовать следующие значения коэффициентов Si и Vi, приведенные в таблице 25. Таблица 25 -Значения коэффициентов Si и ViОжидаемая (возможная)

частота появления угрозы

Предполагаемое значение SiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год)

51−2 раза в неделю (примерно 100 раз в год)

63 раза в день (1000 раз в год)

7Значение возможного ущербапри проявлении угрозы, руб. Предполагаемое значение Vi30030013 230 3 300 43 000 530 000 6 300 000 0007

Выбранные для расчетов коэффициенты, взяты на основании, статистических данных в архиве ООО «Автотранс-Новосибирск». Ri1 =104+5−4 = 100 000Ri2 =105+4−4 = 100 000Ri3 = = 10 000Ri4 = = 10 000Ri5 = = 10 000Теперь определим суммарную величину потерь по формуле: R = 230 000 (руб.) Полученные значения приведены в таблице 26. Таблица 26 -Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации

АктивУгроза

Величина потерь (руб.)Сервера

Кража, повреждения100 000БДНесанкционированный доступ (кража)

100 000ПОНесанкционированный доступ (кража)

10 000Документы

Кража, повреждения10 000Пользовательские компьютеры

Кража, повреждения10 000Суммарная величина потерь230 0003.

2 Расчёт показателей экономической эффективности проекта

Риск владельца информации определяется уровнем системы инженерно-технической защиты информации, определяемый ресурсами системы. Для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):

расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;

величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;

Данные по ресурсам необходимым для ИБ представлены в таблицах 27 и 28. Суммарное значение ресурса, выделяемого на защиту информации исходя из расчетов, составил: 98 355 + 38 640 = 136 995 (руб.)Рассчитанная величина ущерба составила: 230 000 (руб.)Таблица 27 -Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия№ пп

Выполняемые действия

Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час) Стоимость, всего (руб.)

1Закупка утвержденных начальником отдела безопасности и руководством ПиАСИБ30 082 4002

Монтаж и установка аппаратных и программных СЗИ200 244 8003

Настройка и отладка установленных средств ИБ30 082 4004

Проведение занятий по обучению и использованию данных СЗИ с сотрудниками отдела35 041 4005

Контроль и мониторинг работоспособности системы защиты информации1 508 813 200Стоимость проведения организационных мероприятий, всего24 200Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов

Стоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.)

1Цветная купольная видеокамера AV Tech MC272620615 7202Ai-D365 16-канальный регистратор в корпусе из сплава алюминия14 435 114 4353″ Гром-ЗИ-4Б", система защиты информации11 444 000Стоимость проведения мероприятий инженерно-технической защиты74 155Объем разового ресурса, выделяемого на защиту информации98 355Прогнозируемые данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации приведены в таблице 29. Данные получены, после анализа работы программных и аппаратных СЗИ, в СТД предприятия, после одного года службы. Статистические данные выданы заместителем начальника ООО «Автотранс-Новосибирск». Таблица 28 -Содержание и объем постоянного ресурса, выделяемого на защиту информации

Организационные мероприятия№ пп

Выполняемые действия

Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час) Стоимость, всего (руб.)

1Выполнение плановых мероприятий администратора ИБ (сотрудника отдела безопасности)

2 008 817 6002

Физическая охрана помещений, где установлены СЗИ200 223 4003

Своевременное обслуживания программных и аппаратных средств защиты информации35 041 400Стоимость проведения организационных мероприятий, всего22 400Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов

Стоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.)

1Цветная купольная видеокамера AV Tech MC27262025 2402″ Гром-ЗИ-4Б", система защиты информации11 111 000Стоимость проведения мероприятий инженерно-технической защиты16 240Объем постоянного ресурса, выделяемого на защиту информации38 640После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации, возможно, определить срок окупаемости системы (Ток).Это выполняется аналитическим способом, с использованием приведенной ниже формулы:

Ток = R∑ / (Rср — Rпрогн) где:(R∑) — суммарное значение ресурса выделенного на защиту информации = 136 995(Rср) — объем среднегодовых потерь предприятия из-за инцидентов информационной безопасности в периоде одного года до введения СЗИ = 230 000(Rпрогн) — прогнозируемый ежегодный объем потерь, после введения СЗИ = 58 000Ток = 136 995 / (230 000 — 58 000) = 136 995 / 172 000 = 0,8 (года) Таблица 29 -Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информации

АктивУгроза

Величина потерь (руб.)Сервера

Кража, повреждения50 000БДНесанкционированный доступ (кража)

5 000ПОНесанкционированный доступ (кража)

1 000Документы

Кража, повреждения1 000Пользовательские компьютеры

Кража, повреждения1 000Суммарная величина потерь58 000Также необходимо оценить динамику величин потерь за период не менее 1 года (таблица 30).Таблица 30 -Оценка динамики величин потерь1 кв. 2 кв.3 кв. 1 год

До внедрения СЗИ57 500 115 172 500 230 000После внедрения СЗИ14 50 029 43 50 058 000Снижение потерь43 86 000 129 172 000Графическое представление о динамике потерь на рисунке 11: Рисунок 11 — Диаграмма динамики потерь.

4. Безопасность жизнедеятельности4.

1. Задачи и права федеральной службы «Ростехнадзора» Проектирование системы охраны труда и техники безопасности на предприятии должно соответствовать регламентирующим документам Ростехнадзора. Рассмотрим основные функции данной федеральной службы. В настоящее время в соответствии с Постановлением Правительства Российской Федерации от 30.

07.04 г N 401 (15) Ростехнадзор является [31]: а) органом государственного регулирования безопасности при использовании атомной энергии <1>;б) специально уполномоченным органом в области промышленной безопасности;

в) органом государственного горного надзора;

г) специально уполномоченным государственным органом в области экологической экспертизы в установленной сфере деятельности;

д) органом государственного энергетического надзора;

е) специально уполномоченным органом в области охраны атмосферного воздуха;

ж) федеральным органом исполнительной власти, уполномоченным на осуществление государственного строительного надзора. В компетенцию Ростехнадзора отнесены вопросы, связанные с государственной политикой в области радиационной, промышленной, экологической, энергетической и строительной безопасности. К полномочиям в установленной сфере деятельности Ростехнадзора, определенным упомянутым Постановлением Правительства Российской Федерации и касающимся всех или нескольких видов надзора, относятся:

внесение в Правительство Российской Федерации проектов федеральных законов, нормативных правовых актов по вопросам, относящимся к сфере его ведения, а также проект ежегодного плана работы и прогнозные показатели деятельности;

самостоятельное принятие нормативных правовых актов и нормативных документов;

осуществление контроля и надзора;

лицензирование отдельных видов деятельности;

выдача разрешений на определенные виды деятельности;

проведение проверки (инспекции) соблюдения юридическими и физическими лицами требований законодательства, нормативных правовых актов, норм и правил;

руководство в составе единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций деятельностью функциональных подсистем контроля за опасными объектами;

обобщение практики применения законодательства, в том числе анализ эффективности санкций за нарушения установленных требований безопасности;

организация приема граждан, рассмотрение письменных и устных обращений граждан;

организация профессиональной подготовки работников Ростехнадзора, их переподготовка, повышение квалификации и стажировка;

взаимодействие с органами государственной власти иностранных государств и международными организациями;

осуществление функции главного распорядителя и получателя бюджетных средств;

ведение архива документов. Кроме перечисленных выше общих функций, Ростехнадзор выполняет специфичные функции в качестве соответствующего уполномоченного органа федеральной исполнительной власти. Так, в качестве органа государственного регулирования безопасности при использовании атомной энергии Ростехнадзор:

осуществляет контроль и надзор за соблюдением выполнения федеральных законов, федеральных правил и норм в области обеспечения ядерной и радиационной безопасности объектов использования атомной энергии;

осуществляет контроль и надзор за физической защитой ядерных установок, радиационных источников, пунктов хранения ядерных материалов и радиоактивных веществ, за системами единого государственного учета и хранения ядерных материалов, радиоактивных веществ, радиоактивных отходов;

согласовывает перечни радиоизотопной продукции, ввоз и вывоз которой не требуют лицензий;

организует и обеспечивает функционирование системы контроля за объектами использования атомной энергии при возникновении ЧС (аварийное реагирование).В качестве специально уполномоченного органа в области промышленной безопасности Ростехнадзор:

регистрирует опасные производственные объекты и ведет государственный учет таких объектов;

утверждает заключения экспертизы промышленной безопасности;

обеспечивает учет разработанных деклараций промышленной безопасности;

определяет порядок расследования аварий на опасных производственных объектах. В качестве органа государственного горного надзора Ростехнадзор:

согласовывает условия действия лицензий, технические проекты на пользование недрами, на разработку месторождений полезных ископаемых, нормативы потерь полезных ископаемых при их добыче и первичной переработке. В качестве специально уполномоченного государственного органа в области экологической экспертизы органы Ростехнадзорарешают следующие задачи [31]: — установление лимитов размещения отходов;

— ведение государственного учета объектов, связанных с негативным воздействием на окружающую среду и загрязнениями на атмосферного воздуха;

— ведение государственного кадастра отходов и государственного учета в области обращения с отходами, включая федеральный классификационный каталог отходов, государственный реестр объектов размещения отходов, а также банк данных об отходах и о технологиях использования и обезвреживания отходов различных видов, а также проводит работы по паспортизации опасных отходов;

— организация и проведение государственной экологической экспертизынормативных документов, материалов, технико-экономических обоснований, проектов и иных видов документации в установленной сфере деятельности;

— выдача заключений о соответствии экологическим нормам и требованиям производственных и (или) складских помещений организаций, намечающих осуществление лицензируемой деятельности, связанной с производством и (или) оборотом этилового спирта, алкогольной и спиртосодержащей продукции. В качестве органа государственного энергетического надзора Ростехнадзор осуществляет технический контроль и надзор в электроэнергетике. В качестве федерального органа исполнительной власти, уполномоченного на осуществление государственного строительного надзора, Ростехнадзор осуществляет надзор при строительстве, реконструкции, капитальном ремонте объектов в установленной сфере деятельности. Распоряжением Правительства Российской Федерации от 30.

07.04 N 1024-р Ростехнадзору были подчинены управления округов, управления и инспекции Госгортехнадзора России и межрегиональные территориальные округа Госатомнадзора России. В настоящее время структура Ростехнадзора включает центральный аппарат, 8 межрегиональных территориальных управлений технологического и экологического надзора (МТУ — выполняют сводно-аналитические, информационные и контрольные функции в соответствующих федеральных округах), 69 территориальных управлений по технологическому и экологическому надзору (УТЭН), 7 межрегиональных территориальных округов по надзору за ядерной и радиационной безопасностью (МТО ЯРБ) и 1 межрегиональный территориальный округ по информатизации и защите информации (МТОИЗИ). На местном уровне инспекционную деятельность осуществляют отделы (в том числе территориально обособленные) УТЭН и инспекции МТО ЯРБ Ростехнадзора. Кроме того, в ведении Ростехнадзора в настоящее время находится 17 подведомственных организаций, в том числе центры лабораторного анализа и технических измерений (ЦЛАТИ), имеющие более 100 филиалов в субъектах Российской Федерации. Под эгидой Ростехнадзора, Торгово-промышленной палаты и Российской академии наук запущено функционирование Единой системы оценки соответствия (ЕС ОС) объектов, подконтрольных ФСТЭК, включающая более 3000 аккредитованных организаций — участниц Единой системы оценки соответствия.

4.2. Разработка, учет и пересмотр инструкций по охране труда в организации

В рамках работы над дипломным проектом мной было проведено изучение инструкций по охране труда ООО «Автотранс — Новосибирск». В силу того, что исследуемая организация является предприятием — перевозчиком, основными положениями инструкции являются:

обеспечение безопасности грузоперевозок;

— обеспечение эксплуатации автотранспортных средств;

— обеспечение техники безопасности при эксплуатации гаражей и производственных помещений. На предприятии ведена штатная единица инженера по охране труда, который разрабатывает нормативные документы и инструкции в области своей деятельности согласно стандартам, принятым в области охраны труда. Согласно Постановлению Минтруда РФ от 17.

12.2002 N 80 работодатель должен обеспечить сотрудников следующими инструкциями: 1. Общие требования охраны труда. 2. Требования охраны труда перед началом работы. 3. Требования охраны труда во время работы. 4.

Требования охраны труда в аварийных ситуациях. 5. Требования охраны труда по окончании работы. В разделе «Общие требования охраны труда» рекомендуется отражать: — указания о необходимости соблюдения правил внутреннего распорядка;

по выполнению режимов труда и отдыха;

опасных и вредных производственных факторов, которые могут воздействовать на работника в процессе работы;

спецодежды, спецобуви и других средств индивидуальной защиты, выдаваемых работникам в соответствии с установленными правилами и нормами;

уведомления администрации о случаях травмирования работника и неисправности оборудования, приспособлений и инструмента;

личной гигиены, которые должен знать и соблюдать работник при выполнении работы. В раздел «Требования охраны труда перед началом работы» рекомендуется включать: — порядок подготовки рабочего места, средств индивидуальной защиты;

проверки исправности оборудования, приспособлений и инструмента, ограждений, сигнализации, блокировочных и других устройств, защитного заземления, вентиляции, местного освещения и т. п.; - порядок проверки исходных материалов (заготовки, полуфабрикаты);

приема и передачи смены в случае непрерывного технологического процесса и работы оборудования. В разделе «Требования охраны труда во время работы» рекомендуется предусматривать: — способы и приемы безопасного выполнения работ, использования оборудования, транспортных средств, грузоподъемных механизмов, приспособлений и инструментов;

безопасного обращения с исходными материалами (сырье, заготовки, полуфабрикаты);

по безопасному содержанию рабочего места;

направленные на предотвращения аварийных ситуаций;

предъявляемые к использованию средств индивидуальной защиты работников. В разделе «Требования охраны труда в аварийных ситуациях» рекомендуется излагать: — перечень основных возможных аварийных ситуаций и причины, их вызывающие;

работников при возникновении аварий и аварийных ситуаций;

по оказанию первой помощи пострадавшим при травмировании, отравлении и других повреждениях здоровья. В разделе «Требования охраны труда по окончании работ» рекомендуется отражать: — порядок отключения, остановки, разборки, очистки и смазки оборудования, приспособлений, машин, механизмов и аппаратуры;

уборки отходов, полученных в ходе производственной деятельности;

соблюдения личной гигиены;

извещения руководителя работ о недостатках, влияющих на безопасность труда, обнаруженных во время работы.

ЗАКЛЮЧЕНИЕ

В рамках данной работы был проведен аудит организации защиты информации на примере центра обработки данных ООО «Автотранс-Новосибирск», проведена оценка рисков, угроз активам. Рассмотрены теоретические основы и нормативная база систем информационной безопасности. Определен перечень информации, отнесенной к разряду персональных данных, перечень документов, образующихся в работе организации, работающих с персональными данными. Рассмотрена классификация типов конфиденциальной информации по методике ФСТЭК, защищенности автоматизированных информационных систем, проанализировано документационное и организационное обеспечения выполнения требований законодательства относительно определенного класса конфиденциальности информации. Проведен анализ организации процесса защиты информации применительно к структуре ООО «Автотранс-Новосибирск». Приведена модель угроз безопасности конфиденциальной информации, для каждого из типов угроз. Для автоматизированной системы ООО «Автотранс-Новосибирск» определен класс обрабатываемых персональных данных и класс защищенности информационной системы.

Проанализировано выполнение требований, предъявляемых к автоматизированной информационной системе данного класса. Проанализирован перечень документов, обеспечивающих организационно-технические меры по защите персональных данных, рассмотрены технологические решения в виде программно-аппаратных средств. В ходе проведения аудита информационной системы установлено, что класс обрабатываемых персональных данных в информационной системе предприятия относится по классификации ФСТЭК к классу К3, а информационная система обработки данных к классу 1 Г. В соответствии с требованиями, предъявляемыми законодательством к данному классу информационных систем необходимо проведения ряда организационных мер по защите персональных данных. Необходимо наличие документационного обеспечения согласно перечню, утвержденному действующим законодательством.

Согласно данным требованиям проведен анализ имеющегося документационного обеспечения, а также организационных и технологических мер по защите персональных данных. Показано, что документационное и программно-техническое обеспечение работы с персональными данными соответствует требованиям действующего законодательства. Показано, что действующая информационная система ООО «Автотранс-Новосибирск» не имеет целостного подхода к защите информационных ресурсов — политики защиты информации на каждом информационном ресурсе уникальны, что увеличивает трудозатраты специалистов на выполнение требований защиты информации, снижая общую защищенность системы. После анализа документационного обеспечения защиты информации сделан вывод о чрезмерности количества документации различного типа.

Показано, что одни и те же организационные процессы могут регламентироваться различными документами, зачастую противоречащими друг другу. Для оптимизации работы с документацией в области защиты информации необходима разработка единого документа, содержащего требования по защите информации в структуре ООО «Автотранс-Новосибирск». Результатом работы проекта явилась выработка предложений по совершенствованию системы защиты информации исследуемого предприятия.

СПИСОК ЛИТЕРАТУРЫ

Бабаш, А. В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А. В. Бабаш, Е. К. Баранова, Ю. Н. Мельников. — М.: Кно

Рус, 2013. — 136 c. Баймакова, И. А. Обеспечение защиты персональных данных/И.А.Байсмакова — М.: Изд-во 1С-Паблишинг, 2010. — 216 с. Гафнер, В. В. Информационная безопасность: Учебное пособие / В. В. Гафнер. — Рн/Д: Феникс, 2010. ;

324 c. Громов, Ю. Ю. Информационная безопасность и защита информации: Учебное пособие / Ю. Ю. Громов, В. О. Драчев, О. Г. Иванова. — Ст. Оскол: ТНТ, 2010. ;

384 c. Емельянова, Н. З. Защита информации в персональном компьютере/ Н. З. Емельянова, Т. Л. Партыка, И. И. Попов. — М.: Форум, 2009. — 368 с. Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л. Л. Ефимова, С. А. Кочерга. — М.: ЮНИТИ-ДАНА, 2013.

— 239 c. Завгородний, В. И. Комплексная защита в компьютерных системах: Учебное пособие/ В. И. Завгородний. — М.: Логос; ПБОЮЛ Н. А. Егоров, 2001. — 264 с. Корнеев, И. К. Защита информации в офисе/И.К. Корнеев, Е. А. Степанов. -

М.: ТК Велби, Проспект, 2012. — 336 с. Максименко, В. Н. Защита информации в сетях сотовой подвижной связи/В.Н. Максименко, В. В. Афанасьев, В. В. Волков. — М.: Горячая Линия — Телеком, 2007.

— 360 с. Малюк, А. А, Введение в защиту информации в автоматизированных системах/А.А.Малюк, С. В. Пазизин, Н. С. Погожин. — М.: Горячая Линия — Телеком, 2011. — 146 с. Малюк, А. А. Информационная безопасность. Концептуальные и методологические основы защиты информации.

Учебное пособие/ А. А. Малюк — М.: Горячая Линия — Телеком, 2004. — 280 с. Партыка, Т. Л. Информационная безопасность: Учебное пособие / Т. Л. Партыка, И. И. Попов. — М.: Форум, 2012.

— 432 c. Петраков, А. В. Основы практической защиты информации. Учебное пособие/ А. А. Петраков — М.: Солон-Пресс, 2005. — 384 с. Петров, С. В. Информационная безопасность: Учебное пособие / С. В. Петров, И. П. Слинькова, В. В. Гафнер. — М.: АРТА, 2012.

— 296 c. Семененко, В. А. Информационная безопасность: Учебное пособие / В. А. Семененко. — М.: МГИУ, 2010. — 277 c. Хорев, П. Б. Методы и средства защиты информации в компьютерных системах/ П. Б. Хорев. -

М.: Академия, 2008. — 256 с. Хорев, П.Б. Программно-аппаратная защита информации/П.Б.Хорев. — М.: Форум, 2009. — 352 с. Шаньгин, В. Ф. Комплексная защита информации в корпоративных системах/ В. Ф. Шаньгин. -

М.: Форум, Инфра-М, 2010. — 592 с. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В. Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c.

Ярочкин, В. И. Информационная безопасность: Учебник для вузов / В. И. Ярочкин. — М.: Акад. Проект, 2008. — 544 c. Акулов, О. А., Медведев, Н. В.

Информатика. Базовый курс: учебник / О. А. Акулов, Н. В. Медведев.

— Москва: Омега-Л, 2009. — 557 с. Велихов, А.

С. Основы информатики и компьютерной техники: учебное пособие / А. С. Велихов. — Москва: СОЛОН-Пресс, 2007.

— 539 с. Гвоздева, В. А. Информатика, автоматизированные информационные технологии и системы: учебник / В. А.

Гвоздева. — Москва: Форум: Инфра-М, 2011. — 541 с. Информатика: учебник для студентов вузов, обучающихся по специальности 80 801 «Прикладная информатика» и другим экономическим специальностям /[В. В. Трофимов и др.]; под ред.

проф. В. В. Трофимова.

М.: Юрайт, 2010.-910 с. Информационные системы и технологии в экономике и управлении: [учеб. для вузов по специальности «Прикладная информатика (по обл.)» и др. экон. специальностям] /[В. В. Трофимов и др.]; под ред. В. В. Трофимова.

М.: Высш. образование, 2010.-480 с. Информационные технологии: [учеб. для студентов вузов, обучающихся по специальности 80 801 «Прикладная информатика» и др. экон. специальностям / В. В.

Трофимов и др.]; под ред. проф. В. В. Трофимова.

М.: Юрайт, 2009.-624 с. Исаев, Г. Н. Информационные технологии: Учебное пособие / Г. Н. Исаев. — М.: Омега-Л, 2013. — 464 c. Карпова, И. П. Базы данных: Учебное пособие / И. П. Карпова.

— СПб.: Питер, 2013. — 240 c. Кириллов, В.В.

Введение

в реляционные базы данных.

Введение

в реляционные базы данных / В. В. Кириллов, Г. Ю. Громов.

— СПб.: БХВ-Петербург, 2012. — 464 c.Ростехнадзор. Основные задачи. [ Электронный ресурс].

Режим доступа:

http://www.bestpravo.ru/rossijskoje/kz-dokumenty/h4w.htm