Анализ системы обеспечения информационной безопасности и защиты информации
В ИС ЗАО «Консультант Плюс» допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО. Защита от хакерских атак. Современные хакеры… Читать ещё >
Анализ системы обеспечения информационной безопасности и защиты информации (реферат, курсовая, диплом, контрольная)
В ЗАО «Консультант Плюс» функционирует политика безопасности.
В компании действуют следующие нормативно-правовые документы в области защиты информации и информационной безопасности (ИБ):
- — Положение о конфиденциальной информации
- — Положение об использовании программного обеспечения
- — Положение об использовании электронной почты
- — Положение об использовании сети Интернет
- — Положение об использовании мобильных устройств и носителей информации
- — Правила внутреннего трудового распорядка
- — Приказ о введении политики информационной безопасности
- — Приказ о введении Правил внутреннего трудового распорядка
- — Приказ о введении внутриобъектового пропускного режима
За исполнение этих нормативно-правовых документов отвечают начальник службы безопасности и начальник отдела системного администрирования.
В трудовых договорах сотрудников предприятия есть пункт, посвященный неразглашению конфиденциальной информации в течение срока действия договора, а также трех лет после его прекращения. Сотрудники обязаны выполнять все относящиеся к ним требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны и иной конфиденциальной информации Работодателя, соблюдению внутриобъектового и пропускного режимов.
При использовании сотрудниками электронной почты запрещено:
- 1) Использовать электронную почту в личных целях.
- 2) Передавать электронные сообщения, содержащие:
a. конфиденциальную информацию,.
b. информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя.
c. информацию, защищенную авторскими или другим правами, без разрешения владельца.
d. Информацию, файлы или ПО, способные нарушить или ограничить функциональность программных и аппаратных средств корпоративной сети.
- 3) Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
- 4) По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
- 5) Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т. п.).
- 6) Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
- 7) Шифровать электронные сообщения без предварительного согласования с администраторами ИС.
При использовании сети Интернет запрещено:
- 1) Использовать предоставленный Организацией доступ в сеть Интернет в личных целях.
- 2) Использовать специализированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет.
- 3) Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Организации.
- 4) Публиковать, загружать и распространять материалы содержащие:
a) Конфиденциальную информацию,.
b) Информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности.
- 5) Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
- 6) Вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности аппаратных и программных средств, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию.
- 7) Фальсифицировать свой IP-адрес, а также прочую служебную информацию.
В ЗАО «Консультант Плюс» разрешено применение ограниченного перечня коммерческого ПО (согласно Реестру разрешенного к использованию программного обеспечения) и бесплатного ПО (необходимого для выполнения производственных задач). Пользователям запрещается устанавливать на свои ПК прочее программное обеспечение.
В ИС ЗАО «Консультант Плюс» допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО.
На программном уровне предпринимается управление доступом на основе ролей в службе каталогов Microsoft Active Directory, а также при доступе к СУБД. Эта же служба осуществляет управление паролями пользователей: у каждого пароля есть срок действия, по истечении которого пользователь вынужден задать другой пароль; система не позволяет ввести слишком короткий или слишком простой пароль. Таким образом достигается защита от несанкционированного доступа к системе.
Для защиты ЛВС и компьютеров от внешних угроз используется пакет Kaspersky Enterprise Space Security, который выполняет следующие функции:
- 1) Защита от хакерских атак. Современные хакеры используют для атак кейлоггеры (клавиатурные шпионы) и руткиты — программы, которые позволяют получить несанкционированный доступ к данным и при этом избежать обнаружения. Антивирусное ядро эффективно нейтрализует эти угрозы, предотвращая несанкционированный доступ к компьютерам корпоративной сети.
- 2) Защита от фишинга. База URL-адресов фишинговых сайтов постоянно пополняется; с ее помощью распознаются и блокируются подозрительные ссылки, а также фильтруются фишинговые электронные сообщения, повышая уровень защиты ЛВС.
Парус.
Учет основных складских операций: приход, разгрузка, воз-врат, резервирование, внутреннее перемеще-ние, инвентаризация.
Да.
Да.
Да.
Справочник номенклатуры с группировкой.
Нет.
Да.
Нет.
Подготовка отчета о состоянии склада.
Да.
Да.
Да.
Управление остатками товаров.
Нет.
Нет.
Нет.
Совместимость с модулем Бухгалтерия программы Парус.
Нет.
Да.
Да.
Обмен данными с программами отдела снабжения и сбыта.
Нет.
Нет.
Нет.
Выводы:
- 1) Функционал рассмотренных систем не полностью соответствует потребностям предприятия. С одной стороны, в этих программных средствах предложены функции, которые будут не востребованы ЗАО «Консультант Плюс», что усложнит работу пользователей с системой. С другой стороны, ни одна из программ не поддерживает функцию управления остатками товаров, и только программа Фолио WinСклад из рассмотренных поддерживает группировку номенклатуры.
- 2) Ни одна из рассмотренных систем не обеспечит обмен данными с информационными системами бухгалтерии, отдела сбыта и отдела снабжения ЗАО «Консультант Плюс».
Проектируемая система будет полностью поддерживать специфику складского учета ЗАО «Консультант Плюс»:
- — проектируемая система обеспечит функции приемки товара, комплектации заказа, отгрузки товара, управления остатками, подготовки отчетов;
- — проектируемая система обеспечит взаимодействие с информационными системами отделов сбыта, снабжения и бухгалтерии;
- — карточки учета материалов будет вестись автоматически.