Управління якістю послуг підприємства Інтернет зв’язку (на прикладі People.net)

·     Немає відповідального за розмежування доступу до локальних і мережних ресурсів АРМ. Розмежуванням доступу займається користувач АРМ.

·     Доступ до ресурсів на сервері обмежується штатними засобами операційної системи

·     Відповідальним за розмежування доступу до ресурсів на сервері є старший системний адміністратор

·     Призначення прав користувачів виробляється за вказівкою технічного директора або заступника директора відповідно до посадових обов'язків співробітника

·     Кожний комп'ютер підключений через джерело безперебійного харчування, що дозволяє забезпечити безперервну роботу протягом 10-15 хвилин при відсутності електрики

·     У серверній кімнаті встановлено кілька джерел безперебійного харчування високої ємності, а також дизельна міні електростанція

·     Доступ в Інтернет здійснюється через проксі-сервер

·     Правила обігу з конфіденційною інформацією відсутні

·     Фільтрація змісту електронної пошти, що переглядаються сайтів не здійснюється

·     Зберігання договорів із клієнтами здійснюється в шафі.

·     Розмежування доступу приміщення залежно від відділів немає.

На підставі проведеного аналізу фактичної захищеності необхідно скласти перелік вимог до створюваної комплексної системи захисту інформації. Дані вимоги повинні відповідати реальному стану захищеності інформації в організації. Вимоги повинні бути оформлені у вигляді Технічного завдання на створення комплексної системи захисту інформації.

Вимоги до захищеності інформації

1. Організаційно-правова складова

Організаційні заходи є однієї з найважливішої складової комплексної системи захисту інформації в організації.

1.  Перелік конфіденційних відомостей повинен відповідати реальному стану організації й вимогам законодавства України.

2.  Повинен бути забезпечений повний пакет документів, пов'язаних із забезпеченням інформаційної безпеки в організації.

3.  Організаційними мірами забезпечити конфіденційність інформації при проведенні конфіденційних нарад і переговорів.

4.  Повинен бути підготовлений пакет документів, що регламентують правила обігу з конфіденційною інформацією.

5.  Розмежування прав користувачів на доступ як до локальних, так і до мережних ресурсів повинне бути контрольованим і документованим процесом.

2. Інженерно-технічна складова

1.  Повинні застосовуватися технічні засоби контролю доступу в приміщення.

2.  Для захисту серверної кімнати повинні застосовуватися додаткові технічні засоби контролю доступу.

3.  Повинні застосовуватися технічні засоби захисту акустомовної інформації при проведенні конфіденційних нарад і переговорів у тому випадку, якщо неможливо забезпечити конфіденційність переговорів за допомогою організаційних мір.

4.  За допомогою технічних засобів повинна забезпечуватися захист від витоку конфіденційної інформації.

5.  Повинна бути забезпечена безперебійна робота ПК співробітників у випадку відключення електрики не менш, ніж на 10 хвилин.

6.  Повинна забезпечуватися безперебійна робота основного встаткування й технічних засобів, установлених у серверній на весь строк відсутності основного енергопостачання.

3. Програмно-апаратна складова

1.  Зміст веб-сайтів, що переглядаються повинен відповідати наступним вимогам:

a.   Не повинні містити матеріалів, заборонених законодавством України;

b.  Повинні бути безпечним (не містити віруси, шкідливі скрипти);

c.   Не повинні містити матеріали, що не відносяться до робочого процесу;

2.  Обмін інформацією за допомогою різних програмних засобів не повинен завдавати шкоди конфіденційності, цілісності, доступності інформації.

3.  За допомогою програмно-апаратних засобів повинен забезпечуватися захист від НСД до конфіденційної інформації, що зберігається на АРМ співробітників і на сервері.

4. Об'єкти поставки

Організаційно-правова підсистема:

·     Перелік конфіденційних відомостей

·     Перелік конфіденційних документів

·     Політика безпеки

·     Технічне завдання

·     Положення про конфіденційний документообіг

·     Інструкції про порядок обігу з конфіденційною інформацією

Інженерно-технічна підсистема:

·     Металеві двері типу « Сейф-Двері»

·     Датчики пожежної сигналізації

·     Датчики охоронної сигналізації

·     Відеокамери кольорові із системою нічного бачення

·     Монітори відеоспостереження

·     Відеореєстратор з обсягом диска для зберігання відеозапису не менш 5 діб

·     Генератор виброакустичного шуму Соната АВ

·     Вибровипрмінювачі

·     Акустовипрмінювачі

·     Пристрій блокування стільникових телефонів

·     Джерела безперебійного харчування

·     Генератор електромагнітного шуму

·     Считувачі пластикових карт

·     Металеві ґрати

·     Двері з тамбуром

Програмно-апаратна підсистема:

·     Програмний комплекс для автоматизації документообігу

·     Програмно-апаратний комплекс для захисту від НСД «SecretNet 5.0»

·     Міжмережевий екран «Континент»

·     Сервер.

Дані заходи реалізуються шляхом виконання ряду послідовних робіт, які представлені в додатку А.

5. Структурна схема організації

Структурна схема організації дозволяє виявити ієрархічні зв'язки між співробітниками організації. Надалі дана схема дозволяє скласти матрицю відповідальності, з якої можна визначити, який співробітник, за які заходи відповідає.

Рис. 3.1 Організаційна структура

6. Матриця відповідальності

Матриця відповідальності дозволяє визначити конкретних виконавців того або іншого заходу (табл.. 3.1).

Таблиця 3.1

Матриця відповідальності

7. Розрахункова вартість пропонованих мір

Страницы: 1, 2, 3, 4, 5, 6