Разработка и внедрение политики безопасности ИС на предприятии

Внутри ЦИТОИСа действует еще один социальный проект под названием «Радуга» с поддержкой МАОУ ООШ № 14, с которой заключен договор. Он направлен на работу с детьми с диагнозом ДЦП.

На этот учебный год были проведены шесть конкурсов: «Хэллоуин»; «Президентские состязания»; «Компфест»; «Веселые старты»; «Галерея настроений»; «Мама, пап и я – спортивная семья!»

Наиболее популярным из этих конкурсов является «Мама, папа и я – спортивная семья!», целью которого является – формирование у дошкольников здорового образа жизни

Чтобы записаться на занятия дополнительного образования или в Летнюю (Зимнюю) Компьютерную Школу, можно сделать двумя способами: на официальном сайте в Интернет-приемной, подойти в приемную к секретарю на записи на занятия и ЛКШ.

 Также можно  выпускникам 11-ци классов сдать  ЕГЭ по определенным предметам

 

 

 

2.2.Существующая политика  на предприятии. Положение защиты персональных данных. Виды защиты информации.

В Политике МАОУ ДОД ЦТР и ГО «Информационные технологии»( описаны введение и 9 глав объемом в 16 листов.

Содержание Политики безопасности:

1. Термины и определения.
2. Цели, задачи и основополагающие принципы.
3. Объекты обеспечения информационной безопасности.
4. Меры обеспечения безопасности.
5. Угрозы информационной безопасности.
6. Техническое обеспечение информационной безопасности Центра.
7. Организационное обеспечение информационной безопасности.
8. Программа создания системы безопасности.
9. Разделение полномочий и ответственность.

Политика информационной безопасности имеет подпункты в каждой главе и раскрывает вопрос поставленный в содержании

Во введении описаны общие вопросы: какая нормативно – правовая база была взята за основу для разработки данной Политики, к кому она относится и т.п.

В первой главе этого нормативного документа описываются следующие термины и понятия: аутентификация; безопасность информации; доступность; информационная безопасность (ИБ); информационная система (ИС); конфиденциальность; несанкционированное действие; пользователь; сеть; угроза; уязвимость; целостность информации; шифрование.

Во второй главе описываются цели, задачи и основополагающие принципы.

Основной целью данной Политики Центра – защита информационной системы Центра от нанесения материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на ИС, носители, а также ее процессов и передачи.

Основные задачи: отнесение информации к категории несекретной, распространение которой будет ограничено; прогнозирование и свое временное выявление угроз безопасности ИС; создание условий работ с наименьшим процентом атаки безопасности ИС; создание механизма оперативного реагирования на случаи атак с внешней стороны; построение системы обеспечения безопасности ИС.

Основные принципы: законности; системности; целесообразности; непрерывности; взаимодействии и координации; непрерывности.

В третьей главе описываются объекты данной Политики и основными являются: информационные ресурсы, средства и системы информатизации, программные средства, помещения.

Информация, которая подлежит защите может находиться: на бумажных носителях, в электронном виде, передаваться по телефону, телефаксу и т.п.

В четвертой главе описаны меры обеспечения безопасности, которые приведены в таблице 2.

правовые	морально-этические	организационные	физические	технические
законы	нормы поведения	обработка данных	применение разных электронно-механических устройств	использование различных устройств
указы	неписаные (нормы честности)	использование ресурсов
нормативные акты	писаные (свод правил)

таблица 2

В пятой главе идет речь о видах угроз, которые могут негативно воздействовать на информацию и информационную систему в общем. Они приведены в таблице 3.

 

виды	определение
утрата и модификация защищаемой информации	бесконтрольный выход информации за пределы ИС или круга лиц, которым оны была доверена по службе или стала известна в процессе работы
утечка	несанкционированное ознакомление с информацией посторонних лиц
недопустимость информации в результате ее блокирования	создание недоступности, невозможности ее использования в результате запрещения дальнейшего выполнения команд
отсутствие планирования и контроля
низкая степень надежности ПО
недостаточная осведомленность персонала

 

таблица 3

 

На основе указанных выше видов угроз могут возникнуть следующие последствия:

• финансовые и репутационные потери, которые связаны с утечкой или разглашением защищаемой ИС;
• финансовые и репутационные потери, которые связаны с уничтожением и восстановлением утраченной ИС;
• ущерб от дезорганизации деятельности данной организации.

Шестая глава рассказывает про техническое обеспечение информационной безопасности Центра. Она содержит двенадцать пунктов.

Пункты 6.1-6.4 описывают общие вопросы обеспечения безопасности ИС организации.

Пункт 6.5 предусматривает следующие вопросы:

• реализация единой системы разрешения доступа работников к информации и ко всей ИС в целом;
• помещения, в которых обрабатывается и хранится ИС ставится ограничение доступа для посторонних лиц;
• разграниченный доступ пользователям к АИС Центра;
• учет и контроль пользователей ИС за несанкционированные доступ и действия пользователей ИС;
• предотвращение внедрения вирусного ПО.

Пункт 6.6 предусматривает защиту ИС от НДС следующие вопросы: единая централизованная политика; обоснованность доступа; персональная ответственность; надежность хранения информации; централизованный контроль за действиями работников с конфиденциальными данными; целостность технической и программной среды.

Пункт 6.7 описывает условие надежности хранения ИС и с помощью каких видов их реализует: оборудование помещений и использования криптографического преобразования данных.

Пункт 6.8 рассматривает систему контроля за действиями работников. Она в себя включает следующие меры:

• организационные меры и технические средства контроля при работе с конфиденциальными документами и сведениями;
• регистрация действий пользователей с помощью информационных и программных ресурсов данной организации.

Пункты 6.9 и 6.10 определяют использование средств криптографической защиты информации и обеспечение качества работ и используемых средств защиты, нормативной базой которого является система стандартов и других нормативных правовых актов по информационной безопасности.

Пункт 6.11 рассматривает вопрос применения аутентификации и в автоматизированных системах.

Целью пункта 6.12 является защита участников информационного обмена от стороннего вмешательства путем взаимного идентификации и важной мерой защиты ИС – шифрование.

В седьмой главе речь идет об  организационном обеспечении информационной безопасности. Основными пунктами в ней являются задачи, организационные меры и административные меры, которые приведены в таблице. 

Задачи	Организационные меры	Административные меры
Разработка и осуществление разрешительной системы доступа работников к работе с документами	Заключение трудовых договоров и получение у работников добровольного согласия на соблюдение требований, регламентирующих режим информационной безопасности	Обеспечение физической сохранности автоматизированной системы и дополнительного оборудования
Установление единого порядка хранения и обращения конфиденциальной информации	Проведение периодического обучения и повышения квалификации в области информационной безопасности	Организация контроля доступа и режима выполнения работ персоналом подразделения IT-отдела
Координация работ по защите информации		Инспектирование правильности и полноты выполнения персоналом подразделения информационных технологий мер по обеспечению сохранности необходимых дубликатов файлов, библиотек программ, оборудования системы
		Практическая проверка функционирования отдельных мер защиты (предотвращение недозволенных изменений программ и оборудования, контроль всех процедур, производимых с файлами на носителях и т.п.)

 

Таблица 4

 

Глава девятая рассказывает о разделении полномочий и ответственности.

Также к данной Политике информационной безопасности ЦИТОИСа прилагается Положение о защите персональных данных в МАОУ ДОД ЦТР и ГО «Информационные технологии», состоящее из девяти глав и одного приложения.

Содержание Положения:

1.Общие положения.

2. Понятие и  состав персональных данных.

3.Обязанности  Образовательного учреждения.

4.Обязанности  работников Образовательного учреждения.

5.Права субъекта  персональных данных.

6.Сбор, обработка  и хранение персональных данных.

7.Доступ к  персональным данным.

8.Защита персональных  данных

9.Ответственность  за разглашение персональных  данных, связанных с персональными  данными.

10. Приложение 1 «Соглашение  о не разглашении Персональных  данных»

Как и Политика информационной безопасности имеет подпункты в каждой главе и раскрывает вопрос, поставленный в содержании Положения.

Глава первая «Общие положения» описывает обще вопросы, относящиеся к защите персональных данных:

• цель данного Положения – защита персональных данных;
• сбор, хранение, использование и распространение информации и сотрудника без его письменного разрешения;
• режим  безопасной обработки личной информации сотрудника снимается в случаях обезличивания или по истечению 75 лет срока хранения;
• должностные лица, ведущие защиту персональных данных, должны обеспечить каждому сотруднику возможность ознакомления с документами и материалами, которые затрагивают его права и свободу;
• персональные данные не могут быть использованы в целях экономического и социального вреда граждан. Ограничение прав граждан Российской Федерации на основе использования их персональных данных запрещено и карается в соответствии с законодательством Российской Федерации;
• юридические и физические лица, владеющие персональными данными, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка их использования;
• неправомерность работы органов государственной власти и организаций по сбору персональных данных должна быть установлена в судебном порядке по требованию субъекта, действующих на основании статей 14 и 15 ФЗ и законодательства о персональных данных;
• настоящее положение является одним из обязательных нормативных документов для исполнения всех работников Центра, имеющие доступ к персональным данным каждого работника.

Глава вторая раскрывает такие вопросы, как: понятие и состав персональных данных.

Персональные данные – это информация о физическом лице (далее - субъект), необходимая организации в связи с исполнением трудовых и прочих договорных отношений и касающаяся конкретного человека.

Состав персональных данных: анкетные и биографические данные, образование, сведения о трудовом и общем стаже, сведения о составе семьи, паспортные данные, сведения о социальных льготах, адрес места жительства, домашний или мобильный телефон, место работы или учебы членов семьи и родственников, личные дела, копии отчетов, направляемые в органы статистики.