На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


Курсовик Краткая характеристика и анализ нормативной законодательной базы ООО Торговый дом Алдан. Структурирование защищаемой информации на объекте. Оценка информационного риска и угроз безопасности в организации. Пути совершенствования документооборота фирмы.

Информация:

Тип работы: Курсовик. Предмет: Менеджмент. Добавлен: 26.09.2014. Сдан: 2010. Страниц: 2. Уникальность по antiplagiat.ru: --.

Описание (план):


Федеральное агентство по образованию
БРЯНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Кафедра “Компьютерные технологии и системы”
КУРСОВОЙ ПРОЕКТ
по дисциплине
“Защита и обработка конфиденциальных документов”
Разработка системы защищенного документооборота ООО «Торговый дом «Алдан»


Выполнил:
студент гр. 05-ОЗИ С.С. Должкин
Проверил:
к.т.н., доцент А.А. Тищенко
Брянск 2009
Аннотация

Объёктом разработки данной курсовой работы является система защищённого документооборота ООО «Торговый дом «Алдан», цель работы состоит в анализе существующей системы документооборота на предприятии и внесение предложений по её усовершенствованию. В ходе проведения работы была дана краткая характеристика ООО «Торговый дом «Алдан», проанализирована законодательная база в области защиты конфиденциальной информации, проведено структурирование защищаемой информации на рассматриваемом объекте, оценены риски угроз информационной безопасности. Результатом работы являются выработанные рекомендации по совершенствованию системы защищённого документооборота для ООО «Торговый дом «Алдан».
Содержание

    Введение
    Глава 1 Описание исследуемого объекта
      1.1 Краткая характеристика ООО «Торговый дом «Алдан»
      1.2 План исследуемого объекта
        1.2.1 Бухгалтерия
        1.2.2 Отдел по работе с клиентами
        1.2.3 Приёмная директора предприятия
      1.3 Анализ нормативной законодательной базы
      1.4 Анализ системы защиты конфиденциальной информации
        1.4.1 ФПСУ-IP/Клиент
        1.4.2 АРМ «Клиент» АС «Клиент-Сбербанк»
        1.4.3 Антивирус «Dr.Web для Windows»
    Глава 2 Анализ документооборота организации
      2.1 Структурирование защищаемой информации на объекте
      2.2 Оценка рисков информационных угроз безопасности защищённого документооборота
      2.3 Оценка общего информационного риска в организации
    Глава 3 Рекомендации по совершенствованию документооборота на предприятии
      3.1 Организационно-правовые мероприятия
      3.2 Инженерно-технические средства защиты
        3.2.1 Система пожарной сигнализации
        3.2.2 Система бесперебойного питания
    3.2.3 Уничтожитель бумаги
      3.3.1 Система резервного копирования данных
        3.3.2 Межсетевой экран
    Заключение
    Список используемых источников
    Приложение А План-схема офисного помещения ООО «Торговый дом «Алдан»
    Приложение Б Принципиальная схема локальной вычислительной сети ООО «Торговый дом «Алдан»
    Приложение В Характеристика конфиденциальной информации, циркулирующей в ООО «Торговый дом «Алдан»
    Приложение Г Перечень сведений, составляющих коммерческую тайну ООО «Торговый дом «Алдан»
    Приложение Д Положение о режиме коммерческой тайны ООО «Торговый дом «Алдан»

Введение

Организации конфиденциального документооборота в системе информационной безопасности предприятия уделяется, как правило, наименьшее внимание, хотя получение конфиденциальной информации через пробелы в делопроизводстве является наиболее простым и малозатратным способом получения информации. В связи с вышесказанным актуальной на сегодняшний день является задача создания системы конфиденциального документооборота на предприятии составными частями которой являются: бумажный документооборот, электронный документооборот, системы взаимодействия и сопряжения бумажного и электронного документооборота.

Глава 1 Описание исследуемого объекта

1.1 Краткая характеристика ООО «Торговый дом «Алдан»

Краткая характеристика ООО «Торговый дом «Алдан» приведена в таблице 1.1.

Таблица 1.1 - Описание предприятия

Название
«Торговый дом «Алдан»
Форма собственности
Общество с ограниченной ответственностью
Вид деятельности
Оптовая и розничная торговля строительными материалами
Руководитель
Сергей Анатольевич Иванов
Юридический адрес
241037, г.Брянск, Советский район, пр-т Станке Димитрова, д. 5-б
Количество штатных единиц
16
В соответствии с федеральным законом «Об обществах с ограниченной ответственностью» (Об ООО) от 08.02.1998 N 14-ФЗ обществом с ограниченной ответственностью признается учрежденное одним или несколькими лицами хозяйственное общество, уставный капитал которого разделен на доли определенных учредительными документами размеров; участники общества не отвечают по его обязательствам и несут риск убытков, связанных с деятельностью общества, в пределах стоимости внесенных ими вкладов.
Особенностью ООО по сравнению с другими формами собственности является то, что учредители общества не отвечают по его обязательствам и несут риск убытков связанных с деятельностью общества, в пределах стоимости внесенных ими вкладов. За текущую деятельность отвечают должностные лица (Генеральный директор, Главный бухгалтер).
Структурная схема организации представлена на рисунке 1.1.

Рисунок 1.1 - Структурная схема ООО «Торговый дом «Алдан»

На рассматриваемом предприятии отсутствует служба безопасности, так как для предприятия таких масштабов содержание данного подразделения экономически не целесообразно.

1.2 План исследуемого объекта

План-схема офисного помещения ООО «Торговый дом «Алдан» представлена на рисунке А.1. Далее рассмотрим отделы предприятия, и определим, какие функции выполняют сотрудники описанных отделов.
Закрытая информация циркулирует повсеместно, во всех отделах фирмы. Рассмотрим деятельность каждого отдела в отдельности.

1.2.1 Бухгалтерия
Основными задачами данного подразделения на исследуемом предприятии являются:
1. осуществление приема и контроля первичной документации по соответствующим участкам бухгалтерского учета;
2. учет основных средств, товарно-материальных ценностей, затрат на производство, реализации продукции, результатов хозяйственно-финансовой деятельности;
3. начисление и перечисление платежей в государственный бюджет и внебюджетные фонды;
4. отражение в бухгалтерском учете операций, связанных с движением денежных средств и товарно-материальных ценностей;
5. подготовка данных по участкам бухгалтерского учета для составления отчетности.
Также на предприятии бухгалтерия выполняет функции отдела кадров, такие как:
1. оформление трудовых контрактов;
2. оценка трудовой деятельности каждого работника;
3. перевод, повышение, понижение, увольнение в зависимости от результатов труда;
4. профориентация и адаптация - включение набранных работников в коллектив, в процесс производства;
5. определение заработной платы и льгот в целях привлечения, сохранение, закрепления кадров;
6. организация обучения кадров.
В состав бухгалтерии входят три человека: главный бухгалтер, бухгалтер, секретарь бухгалтерии.

1.2.2 Отдел по работе с клиентами
Основными задачами сотрудников отдела по работе с клиентами являются:
1. выполнение плана продаж;
2. анализ и систематизация клиентской базы;
3. контроль состояния дебиторской и кредиторской задолженностей клиентов;
4. разрешение конфликтных ситуации с клиентами;
5. консультации потенциальных покупателей.
В состав отдела входят десять человек, включая начальника отдела.

1.2.3 Приёмная директора предприятия
Единственным сотрудником приемной директора является секретарь, в обязанности которого входит:
1. осуществление работы по организационно-техническому обеспечению административно-распорядительной деятельности руководителя;
2. приём поступающей на рассмотрение руководителя корреспонденции, передача ее в соответствии с принятым решением в структурные подразделения или конкретным исполнителем для использования в процессе работы либо подготовки ответов;
3. ведение делопроизводства, выполнение различных операций с применением компьютерной техники, предназначенной для сбора, обработки и представления информации при подготовке и принятии решений;
4. приём документов и личных заявлений на подпись руководителя;
5. подготовка документов и материалов, необходимых для работы руководителя;
6. по поручению руководителя составление писем, запросов, других документов, подготовка ответов авторам писем;

1.3 Анализ нормативной законодательной базы

В соответствии со специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30 августа 2002 года, конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации
Перечень конфиденциальной информации утвержден Указом Президента Российской Федерации от 6 марта 1997 г. N 188. К настоящему времени принят ряд законодательных актов, в которых регулируются отношения, связанные с различными видами конфиденциальной информации:
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";
- Федеральный закон от 27 июля 2006 г.. N 152-ФЗ "О персональных данных".
В статье 5 Федерального закона "Об информации, информационных технологиях и защите информации" даётся классификация информации в зависимости от порядка её распространения, Законодатель разделяет информацию на следующие группы:
1. информацию, свободно распространяемую;
2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.
В статье 9 говориться, что Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Ниже будут рассмотрены упомянутые законы.
Коммерческая тайна в соответствии с законом "О коммерческой тайне" определена как конфиденциальность информации. Данная конфиденциальность дает возможность обладателю коммерческой тайны получить при равных возможностях экономическую выгоду в виде сохранения на рынке, в виде увеличения доходов и сокращения расходов. Содержание коммерческой тайны -- это экономическая, в том числе финансовая, научно-техническая, в том числе «ноу-хау», и производственная информация.
Чтобы вышеуказанная информация получила статус коммерческой тайны, в отношении этой информации обладателем должен быть введен режим коммерческой тайны. Кроме того, эта информация должна иметь действительную или потенциальную коммерческую ценность в силу того, она неизвестна никому, кроме ее обладателя. Также не должно быть свободного доступа к этой информации.
Режим коммерческой тайны определен в законе как меры, которые предпринимает ее обладатель для охраны ее конфиденциальности. Эти меры носят правовой, организационный, технический и иной характер.
В статье 4 закона содержится норма о том, кому принадлежит право решать, относится или нет информация к коммерческой тайне. Данное право принадлежит обладателю такой информации с учетом положения данного Закона.
Весьма важна для понимания совокупности норм закона статья 5, закрепляющая состав сведений, которые не могут составлять коммерческую тайну. Перечислим сведения, которые не могут составлять коммерческую тайну:
1. содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2. содержащихся в документах, дающих право на осуществление предпринимательской деятельности;
3. о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4. о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5. о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;
6. о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7. о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;
8. об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
9. о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
10. о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11. обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Права обладателей коммерческой тайны закреплены в ст. 7 Закона. Данные права приобретаются владельцем с момента установления режима коммерческой тайны для той или иной информации. Обладатель имеет следующие права:
1. устанавливать, изменять и отменять режим коммерческой тайны;
2. использовать информацию, составляющую коммерческую тайну, для собственных нужд;
3. разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;
4. вводить в гражданский оборот информацию, составляющую коммерческую тайну, на основании договоров, предусматривающих включение в них условий об охране конфиденциальности этой информации;
5. требовать от юридических и физических лиц, получивших доступ к информации, составляющей коммерческую тайну, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена информация, составляющая коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;
6. требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, в результате действий, осуществленных случайно или по ошибке, охраны конфиденциальности этой информации;
7. защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.
Ст. 10-13 Закона посвящены охране коммерческой тайны. Общими мерами обеспечения соблюдения конфиденциальности информации являются следующие:
- разработка перечня информации, относящейся к коммерческой тайне;
- ограничение и регламентирование доступа к носителям информации;
- определение круга лиц, имеющих права доступа к информации;
- разработка и закрепление правил по регулированию отношений по использованию информации, составляющей коммерческую тайну, в системе трудовых договоров, договоров с контрагентами;
- нанесение на документы, договора, составляющие коммерческую тайну надписи «конфиденциальная информация», при этом необходимо указывать обладателя информации (место нахождения, наименование).
После принятия вышеуказанных мер режим коммерческой тайны считается установленным.
Кроме того, обладатель информации, признанной коммерческой тайной, вправе применить разрешенные, не противоречащие закону, методы и средства технической защиты носителей конфиденциальной информации.
Ст. 11 Закона посвящена охране конфиденциальной информации в рамках трудовых правоотношений. Здесь работодатель для охраны коммерческой тайны обязан:
- составить перечень информации, составляющей коммерческую тайну;
- ознакомить с указанным перечнем под роспись всех сотрудников, доступ к коммерческой тайне которых необходим по долгу службы;
- ознакомить под роспись сотрудников с режимом коммерческой тайны и мерой ответственности за его нарушение;
- обеспечить условия для соблюдения режима коммерческой тайны на рабочих местах.
Получение работником сведений, составляющих коммерческую тайну, осуществляется только с его согласия, за исключением случая, когда получение таких сведений прямо предусмотрено его трудовыми обязанностями. В случае незаконного установления режима коммерческой тайны относительно информации, к которой работник получил доступ при исполнении им своих трудовых обязанностей, он может обжаловать это в суде.
Для защиты конфиденциальности информации работник должен придерживаться следующих правил. Он обязуется:
- выполнять установленный в организации режим коммерческой тайны;
- не разглашать сведения, составляющие коммерческую тайну, и не использовать без согласия работодателя и его контрагентов эти сведения в личных целях;
- вернуть все имеющиеся у него документы, содержащие информацию, составляющую коммерческую тайну;
- не разглашать вышеуказанные сведения после окончания трудового договора. Если между работником и работодателем было заключено соглашение о неразглашении коммерческой тайны с указанием срока такого неразглашения, то работник обязан хранить молчание по поводу коммерческой тайны в течение этого срока. Если данное соглашение не заключалось, то в течение трех лет с момента прекращения трудового договора.
При разглашении коммерческой тайны работник обязан возместить причиненный работодателю ущерб.
Федеральный закон от 27.07.06 № 152-ФЗ “О персональных данных” регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). Рассмотрим положения данного Закона, касающиеся трудовых правоотношений.
К персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия (операции) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.
Одной из важнейших норм Закона является обязанность оператора по обеспечению конфиденциальности персональных данных, полученных от субъекта, что подразумевает недопущение распространения такой информации без согласия на это субъекта, к которому они относятся. Есть и исключения: например, на обработку общедоступных персональных данных (т. е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения такого согласия не требуется. Также не требуется согласия субъекта и в том случае, если обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является данный субъект, в частности трудового договора. Что же касается хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, то получение согласия на их обработку обязательно.
На обработку своих персональных данных субъект должен дать согласие, причем он имеет право его отозвать в любой момент. Согласие может быть выражено в устной или письменной форме - в зависимости от категории персональных данных, а также характера их обработки.
Согласие субъекта персональных данных в письменной форме требуется в следующих случаях:
- при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обрабатывать такие сведения без письменного согласия субъекта категорически запрещено (за исключением случаев, когда они являются общедоступными). Письменное согласие на подобные действия необходимо, даже если субъекта персональных данных и оператора связывают договорные отношения. В общественных объединениях или религиозных организациях обработка специальных категорий персональных данных членов (участников) осуществляется при условии, что персональные данные не будут распространяться без согласия субъектов, данного в письменной форме;
- при обработке биометрических персональных данных - сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (сведения об особенностях строения папиллярных узоров пальцев рук человека, сетчатки глаз, о коде ДНК и т. д.). Это требование также должно соблюдаться независимо от наличия договорных отношений между субъектом персональных данных и оператором, кроме отношений, связанных с прохождением государственной гражданской службы;
- при передаче персональных данных субъекта оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства, не обеспечивающему адекватную защиту прав субъекта персональных данных.
В соответствии с Законом "о персональных данных" письменное согласие субъекта на обработку его персональных данных должно включать:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Оператор обязан предоставить субъекту персональных данных доступ к его данным в любой момент по просьбе субъекта. У субъекта есть право на получение следующей информации:
1. подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2. способы обработки персональных данных, применяемые оператором;
3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4. перечень обрабатываемых персональных данных и источник их получения;
5. сроки обработки персональных данных, в т. ч. сроки их хранения;
6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его данных.
В том случае, если оператор осуществляет обработку персональных данных с нарушением требований закона, субъект вправе обжаловать его действия в Федеральную службу по надзору в сфере связи, которая является уполномоченным органом по защите прав субъектов персональных данных, или в суд.
Что касается хранения персональных данных, то оно может реализовываться оператором как на материальных носителях, так и путем включения данных сведений в информационные системы персональных данных. Важно, что оператор при обработке подобной информации обязан принимать необходимые организационные и технические меры, в частности использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, от уничтожения, изменения, блокирования, копирования, распространения.

1.4 Анализ системы защиты конфиденциальной информации

На момент анализа на предприятии абсолютно не были реализованы организационные меры по защите информации, однако были представлены программно-аппаратные и инженерно-технические средства защиты информации. Из инженерно-технических мероприятий стоит отметить наличие сейфа в бухгалтерии, а также наличие железной двери на входе в офисное помещение. Программно-аппаратные средства защиты информации на предприятии представлены ниже.

1.4.1 ФПСУ-IP/Клиент

Комплекс ФПСУ-IP/Клиент обеспечивает защиту информационного обмена, а также защиту персонального компьютера клиента при взаимодействии с автоматизированными системами Сбербанка России через сеть интернет.

Общая схема применения комплекса на примере подключения клиентов к АС «Клиент - Сбербанк» представлена на рисунке 2.

Рисунок 1.2 - Общая схема функционирования «ФПСУ-IP/Клиент»

Защита от несанкционированного доступа к автоматизированным системам, а также самого информационного обмена между клиентом и Сбербанком России обеспечивается:
- аутентификацией клиентов банка по уникальному ключу, записанному в устройство VPN-key;
- созданием криптографически защищенного VPN-туннеля между персональным компьютером клиента и комплексом ФПСУ-IP («Фильтр пакетов сетевого уровня - IP»).
Подключение к автоматизированным системам Сбербанка России через сеть Интернет возможно только с использованием устройства VPN-key, подключаемого к USB-порту компьютера.
Комплекс состоит из двух подсистем:
- подсистема персонального межсетевого экрана;
- подсистема создания VPN-туннеля в соответствии с алгоритмом шифрования ГОСТ 28147-89 на базе аппаратно-программного средства криптографической защиты информации «Туннель/Клиент», сертифицированного ФАПСИ по классу стойкости КНВ-2.99 (Сертификат соответствия №СФ/124-643 от 20 июня 2002 года).
В комплект поставки комплекса ФПСУ-IP/Клиент входят:
- устройство хранения ключевой информации VPN-key, содержащее уникальный ключ;
- инсталляционная дискета с программным модулем комплекса ФПСУ-IP/Клиент;
- конверты с персональными PIN (Personal Identity Number code) и PUK (Personal Unblocked Key code) кодами пользователя и администратора для работы с VPN-key.

1.4.2 АРМ «Клиент» АС «Клиент-Сбербанк»
Рабочее место "Клиент" автоматизированной системы "Клиент-Сбербанк" предназначено для ввода, редакции и отправки документов в банк, а так же получения из банка информации о проведенных платежах, выписок по счетам, справочных данных и почты свободного формата.
Применяемые в системе "Клиент-Сбербанк" процедуры электронной подписи и шифрования передаваемых файлов исключают злоумышленный перехват, прочтение и искажение передаваемой информации. Процедура электронной подписи удовлетворяет стандартам Российской Федерации ГОСТ Р34.10-94 “Информационная технология.
Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма” и ГОСТ Р34.11-94 “Информационная технология. Криптографическая защита информации. Функция хэширования”, а процедура шифрования - требованиям ГОСТ 28147-89. При работе с системой различным категориям пользователей могут быть назначены различные права, что обеспечивает дополнительный уровень защиты от несанкционированного использования программы. Встроенная в программное обеспечение транспортная подсистема обмена данными с банком использует стандартный протокол TCP/IP, что позволяет устанавливать сеанс связи через глобальные сети.
Внешний вид окна АРМ «Клиент» АС «Сбербанк-Клиент» представлен на рисунке 1.3.

Рисунок 1.3 - АРМ «Клиент» АС «Сбербанк-Клиент»
1.4.3 Антивирус «Dr.Web для Windows»
Антивирус Dr.Web - эффективный инструмент для постоянного мониторинга состояния компьютера, надежно блокирующий попытки вирусов, троянских программ, почтовых червей, шпионского ПО и других вредоносных объектов проникнуть в систему из любых внешних источников. Антивирус Dr.Web удобен в использовании и нетребователен к системным ресурсам - может быть установлен на любой ПК, на котором установлена ОС Windows.
Отличительные особенности Dr.Web для Windows:
- возможность работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ;
- может быть установлен на уже инфицированный компьютер и способен вылечить его;
- сканер Dr.Web можно запустить с внешнего носителя без установки в системе;
- большинство атаковавших систему вирусов могут быть устранены уже во время установки антивируса Dr.Web при сканировании памяти и файлов автозагрузки. Более того, непосредственно перед сканированием (в процессе установки) предусмотрена возможность обновления вирусных баз.
Глава 2 Анализ документооборота организации

2.1 Структурирование защищаемой информации на объекте

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. В соответствии с Указам Президента РФ «Об утверждении перечня сведений конфиденциального характера», к конфиденциальной информации на рассматриваемом предприятии можно отнести сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, а также сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.
Выделим в каких отделах ООО «Торговый дом «Алдан» циркулируют документы, содержащие информацию, подлежащую защите.
Сотрудники бухгалтерии работают со следующими документами:
1. счета;
2. банковские выписки;
3. личные карточки сотрудников;
4. трудовые книжки сотрудников;
5. приказы по личному составу;
6. бухгалтерская отчётность.
В отделе по работе с клиентами обрабатываются следующие документы, содержащие конфиденциальную информацию:
1. договора с клиентами;
2. договора с поставщиками;
3. счета.
Сотрудник приемной директора работает с деловой перепиской предприятия, а также принимает документы на подпись директора, которые могут содержать конфиденциальную информацию. Юрист предприятия занимается разработкой договоров а также проверкой документов, разработанных деловыми партнёрами предприятия. Директор предприятия имеет доступ ко всем документам, циркулирующим в ООО «Торговый дом «Алдан».
Стоит отметить, что все сотрудники ООО «Торговый дом «Алдан» пользуются для выполнения своих должностных обязанностей программой «1С:Предприятие», на компьютерах в бухгалтерии установлена «1С:Бухгалтерия», а на компьютерах в других отделах предприятия «1С:Управление торговлей», один из компьютеров бухгалтерии является сервером на котором хранится база данных программы «1С:Предприятие». С компьютера главного бухгалтера можно получить доступ к АС «Клиент - Сбербанк», которая используется для осуществления платежей, а также получения информации о банковском счёте предприятия. Из сказанного выше следует, что на данном объекте необходимо обеспечить защиту информации, содержащейся на компьютерах предприятия.
Для бумажных документов целесообразно ввести на предприятии следующие грифы:
1. «Коммерческая тайна», для документов, содержащих сведения, отнесённые на предприятии к коммерческой тайне;
2. «Конфиденциально», для документов, содержащих персональные данные.
Степень конфиденциальности сведений, содержащихся в документах имеющих грифы «Коммерческая тайна» и «Конфиденциально» может быть равна, однако, в соответствии со п. 5 ст. 10 закона «О коммерческой тайне», на документы содержащие коммерческую тайну необходимо наносить гриф «Коммерческая тайна», а не какой-либо другой.
Характеристика конфиденциальной информации, циркулирующей в ООО «Торговый дом «Алдан», приведена в таблице В.1.
Движение документов, содержащих конфиденциальные сведения, внутри организации, отражено на рисунке 2.1.
Рисунок 2.1 - Движение документов внутри ООО «Торговый дом «Алдан»

2.2 Оценка рисков информационных угроз безопасности защищённого документооборота

Сегодня существует ряд подходов к измерению рисков. Наиболее распространенные из них оценка рисков по двум и по трем факторам. В простейшем случае производится оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой (1).
Риск = Рпроисшествия Ч Цена потери (1)
В методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери. В этих методиках под понятиями «угроза» и «уязвимость» понимается следующее.
Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.
Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней угроз и уязвимостей и выражается формулой (2).
Pпроисшествия = Ругрозы Ч Руязвимости (2)
Соответственно, риск рассчитывается по формуле (3).
Риск = Ругрозы х Руязвимости Ч Цена потери (3)
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная.
Оценим риски информации на предприятии, используя методику оценки по трём факторам. Результаты оценки приведены в таблице 2.1.
Таблица 2.1 _ Оценка рисков информационной безопасности
Наименование элемента информации
Цена информации
Вероятность угрозы
Вероятность уязвимости
Риск
1
2
3
4
5
Личные карточки сотрудников
10000
0,6
0,8
4800
Трудовые книжки сотрудников
10000
0,6
0,8
4800
Приказы по личному составу
10000
0,8
0,4
3200
Счета
50000
0,6
0,8
24000
Банковские выписки
50000
0,2
0,8
8000
Договора с клиентами
300000
0,8
0,6
144 и т.д.................


Перейти к полному тексту работы



Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.