Разработка проекта информационной безопасности на предприятии Кемеровское открытое акционерное общество "Азот" - Курсовая работа

бесплатно 0
4.5 208
Классы информационных объектов, а также производственные системы и процессы на предприятии, подлежащих защите. Предполагаемые угрозы и нарушители информационной безопасности, внешние и внутренние. Защита от несанкционированного доступа в организации.


Аннотация к работе
Разработка проекта безопасности ориентирована на создание защиты внутренних информационных ресурсов предприятия (бумажные и электронные носители), внутренней локально-вычислительной сети, системы автоматизированного управления предприятием. Создаваемые правила информационной безопасности будут носить абстрактный характер; это делается для более «безболезненного» внедрения их на предприятии, для возможности использовать различные механизмы в зависимости от текущей ситуации. Инцидент информационной безопасности - событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности предприятия, приводящее к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости. Если у сотрудника нет доступа на данный объект, но он является сотрудником предприятия, сотрудник охраны предупреждает проходящего человека, что у него нет доступа на данный объект. Если сотрудник, без доступа на данный объект должен попасть туда по профессиональным обязанностям, сотрудник охраны звонит начальнику объекта и выясняет - поступала ли заявка на данного сотрудника.В настоящее время информационная безопасность - одна из актуальных проблем, стоящих не только перед коммерческими предприятиями, но и почти перед каждым человеком, живущим в современном обществе.

Введение
информационный угроза безопасность защита

В данной курсовом проекте рассматривается процесс разработки проекта информационной безопасности на предприятии «Кемеровское открытое акционерное общество «Азот»».

Разработка проекта безопасности ориентирована на создание защиты внутренних информационных ресурсов предприятия (бумажные и электронные носители), внутренней локально-вычислительной сети, системы автоматизированного управления предприятием.

В процессе разработки проекта будут учтены действующее законодательство, нормативные акты и устав и уже существующие нормы безопасности, принятые на предприятие.

Создаваемые правила информационной безопасности будут носить абстрактный характер; это делается для более «безболезненного» внедрения их на предприятии, для возможности использовать различные механизмы в зависимости от текущей ситуации.

С рассматриваемыми в процессе работы вопросами можно ознакомиться, прочитав оглавление. Среди них можно выделить такие как: установление целей политики информационной безопасности, ее правила, физическая информационная безопасность и безопасность в сети.

1. Термины и определения

Информационная безопасность - состояние защищенности информационных активов КОАО «Азот» в условиях угроз в информационной сфере.

Политика информационной безопасности - свод правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется КОАО «Азот» в своей деятельности.

Инцидент информационной безопасности - событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности предприятия, приводящее к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.

Риск - неопределенность, предполагающая возможность потерь (ущерба).

Угроза информационной безопасности - совокупность условий и факторов, создающих опасность несанкционированного доступа к информации, циркулирующей в автоматизированных системах.

Конфиденциальная информация - это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических личностей и распространяются за их желанием в соответствии с предвиденными ими условиями.

Служебная тайна - служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;

Профессиональная тайна - сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.);

Коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;

Сведения о сущности изобретения - сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Используемые сокращения

УИС - управление информатизации и связи

СБ - служба безопасности

СИБ - подразделение СБ - служба информационно безопасности

ГО и ЧС - гражданская оборона и чрезвычайные ситуации

ЦПУ - центральный пост управления

АТС - автоматическая телефонная станция

ЧОП - частное охранное предприятие

ИБП - источник бесперебойного питания

ПК - персональный компьютер

ПО - программное обеспечение

2. Производственные системы и процессы подлежащие защите

Классы информационных объектов, подлежащих защите u Персональный компьютер u Сервер и серверная комната u Бухгалтерские документы u Контракт с поставщиком / покупателем u Учетная карточка сотрудника предприятия u Внутренняя накладная на ремонт / модернизацию. u Наряд-допуск на работу u Карта памяти usb flash u Чертеж химического аппарата u Технологическая схема химического процесса u Пропуск на предприятие u Документ о химическом реактиве / инвентаре u Автоматизированная система допуска на предприятие u Телефонный абонент u Официальная переписка предприятия

Производственные системы и процессы подлежащие защите u Химический процесс (обобщенно) u Автоматизированное управление химическим производством u Система ГО и ЧС u Пропускная система предприятия u Система видеонаблюдения u Аварийная система (аварийная блокировка) u АТС предприятия u Локальная сеть предприятия

3. Предполагаемые угрозы и нарушители информационной безопасности предприятия

Внешние угрозы

O Воздействия конкурентов.

O Утечка конфиденциальной информации

O Попытка украсть собственные технологические наработки предприятия, изобретения

O Несанкционированный доступ к носителям информации

O Несанкционированное проникновение на объект

O Стихийные бедствия

O Попытка нарушения химического производства (например, терроризм)

O преднамеренные и непреднамеренные действия поставщиков услуг по обеспечению безопасности и поставщиков технических и программных продуктов.

O Отключение электричества

O Вандализм со стороны местных жителей

Внутренние угрозы

O Неквалифицированные или халатные действия персонала при работе с информацией

O Предательство персонала

O Возможность появления на предприятии засланного агента конкурентов, недоброжелателей.

O Химическая авария на предприятии

O Пожар

O Отказ оборудования

Угрозы для химического производства

Химическое производство на КОАО «Азот» разделяется на цеха и производства. Каждое производство имеет свое ЦПУ. На ЦПУ аппаратно-программные комплексы под контролем операторов-инженеров управляют химическим процессом (аппараты работают без непосредственного участия человека).

Отсюда вытекают следующие возможные угрозы: физические - нарушения работы аппаратной инфраструктуры и программные - установка зловредных программ, искажающих химический процесс со всеми вытекающими последствиями.

Кроме того в памяти данных комплексов хранятся технологические наработки, данные о сырье / продукте и прочая конфиденциальная, т.е. возможна ее утечка, нарушение ее целостности и ввод ложных данных.

Еще возможен вариант, когда вместо оператора-инженера решения может принимать злоумышленник (удаленно либо каким-либо образом находясь физически на ЦПУ).

Угрозы системе ГО и ЧС

Выше перечисленные внешние и внутренние угрозы могут вызвать сбои в работе системе предупреждения об опасности. Здесь может быть как и ложное срабатывание системы, так и вывод ее из строя террористами, либо по неосторожности, что может привести к материальным и людским потерям, в случае реальной аварии.

Угрозы локальной системе предприятия

В данном контексте рассматриваются угрозы утечки конфиденциальной информации, несанкционированный доступ. Возможна угроза подмены данных или нарушения их целостности, что может повлиять на производственные процессы.

Угроза нарушения работы связи

На предприятии работает своя АТС. Здесь может возникнуть угроза установки прослушки (особенно это касается управленческих подразделений). Также злоумышленники, либо неосторожные действия персонала могут привести к отказу телефонной сети, что будет мешать принятию экстренных и плановых решений в управлении производством.

Нарушение охранной системы видеонаблюдения.

Неосторожные действия либо злой умысел могут привести к нарушению, либо полному отказу систем видеонаблюдения. В этом случае вероятность успеха у злоумышленников возрастет в разы.

4. Политика информационной безопасности

Данный документ является обязательным к изучению и исполнению всеми сотрудниками предприятия. Главным ответственным за исполнение перечисленных правил назначить начальника СБ. Техническую поддержку должен осуществлять УИС.

Документ построен в следующем формате: цель информационной безопасности, соответствующее ей правило, указания и пояснения к выполнению для данного правила сотрудниками.

Защита от несанкционированного доступа на предприятие

1. Вокруг территории предприятия должен быть бетонный забор высотой 3 метра. На верхней части забора необходимо установить колючую проволоку. Установить сигнализацию, на случай обрыва колючей проволоки и использования лестниц

2. В тех местах, где над забором проходят производственные коммуникации (эстакады с различными трубопроводами) установить камеры видеонаблюдения. В ночное время должны работать мощные осветительные прожекторы. Патрулирование.

3. Использовать ЧОП «Азот-К» в качестве охранного подразделения. Сотрудники должны быть вооружены резиновыми дубинками, использовать автомобильные транспорт.

4. Организовать проходную систему для сотрудников предприятия. На проходных организовать автоматические турникеты.

5. На проходных организовать вахту из числа сотрудников ЧОП «Азот-К» (по 2 охранника на проходную)

6. На проходных должно вестись видеонаблюдение

7. Каждый сотрудник предприятия должен иметь пропуск установленного образца. Пропуск на территорию предприятия может выдавать только бюро пропусков.

8. Пропуски на территорию предприятия должны быть двух видов: однодневный и многолетний. Многолетние пропуска менять каждые 5 лет.

9. В случае утраты или повреждения пропуска работник обращается в СБ и пишет заявление установленного образца. Далее происходит процедура выдачи нового пропуска.

10. При выдаче пропуска сотрудник бюро пропусков проверяет паспорт работника, и наличие других документов согласно установленных правил.

11. На территории предприятия сотрудник обязан носить с собой пропуск.

12. Запрещается оставлять свой пропуск на рабочем месте и в других местах.

13. Сотрудники охраны проводят периодическое патрулирование территории. Производится выборочная проверка персонала на предмет наличия пропуска.

14. Если сотрудник предприятия находит чужой пропуск, он сдает его в бюро пропусков.

15. Каждая проходная предприятия оборудуется автоматической системой проверки пропуска (турникет).

1) Порядок пропуска на предприятие

1. При входе / выходе с территории предприятия, сотрудник предприятия подносит свой пропуск к считывающему устройству на турникете. Если у сотрудника есть доступ, то турникет открывается, световая сигнализация загорается зеленым светом.

2. Если пропуск поддельный, то сотрудники ЧОП «Азот-К» принимают меры по предотвращению несанкционированного доступа, в соответствии с законодательством РФ.

3. Если у сотрудника нет доступа на данный объект, но он является сотрудником предприятия, сотрудник охраны предупреждает проходящего человека, что у него нет доступа на данный объект.

4. Если сотрудник, без доступа на данный объект должен попасть туда по профессиональным обязанностям, сотрудник охраны звонит начальнику объекта и выясняет - поступала ли заявка на данного сотрудника.

5. В случае наличия заявки на работу, охрана пропускает сотрудника.

6. Сотрудник СБ следит через видеокамеры за территорией вокруг пропускного пункта.

2) Пропуск транспорта

1. Для пропуска автомобильного транспорта на территорию предприятия на проходных оборудовать пропускные ворота со шлагбаумом.

2. Для проезда на предприятие сотрудники охраны проверяют пропуск и документы на автомобиль. Охрана проводит осмотр кузова и салона автомобиля.

3. Водитель и пассажиры транспортного средства для прохода на предприятие или выхода с него должны покинуть транспортное средство и воспользоваться турникетом.

4. Сотрудники охраны должны следить за состоянием шлагбаумов.

5. Техническое обеспечение шлагбаумов и пропускных систем проводит УИС.

6. Для пропуска железнодорожного транспорта на предприятие и используется специальный контрольно-пропускной пункт.

7. Машинист поезда предъявляет документы разрешающие ввоз / вывоз состава на территорию. Документы должны соответствовать установленному образцу. Контроль производят дежурные сотрудники СБ.

8. Во время проезда состава сотрудники охраны проводят визуальный осмотр проезжающих вагонов.

9. Сотрудники охраны следят за тем, чтобы на вагонах зацепом не проникали на территорию посторонние люди, местные жители и др.

10. На крыше железнодорожного КПП установить видеонаблюдение. Дежурный сотрудник СБ проверяет чтобы в момент проезда состава не было людей на крыше вагонов, в кузовах полувагонов и пр.

2. Защита химического производства

1. Для предотвращения несанкционированного доступа от внутренних угроз на каждом химическом объекте должно вестись видеонаблюдение.

2. Особо опасные объекты должны иметь дополнительную внутреннюю охрану. Для этой цели возвести вокруг таких объектов забор с колючей проволокой.

3. Для прохода персонала на особо опасные объекты организовать проходные. На проходной должен быть размещен пост охраны. На посту охраны задействовать сменного охранника из числа сотрудников ЧОП «Азот-К». На посту должно вестись видеонаблюдение.

4. Сотрудники, выполняющие профессиональные обязательства на химически опасных объектах должны иметь разрешение подписанное начальником особо опасного химического объекта, по заявке поданной начальником проходящего на объект сотрудника.

5. Для предотвращения воровства и вандализма на химических объектах и цехах, на территории цеха установить видеокамеры. Видеонаблюдение производить сотрудниками СБ.

6. Аппаратура и лица, занимающиеся видеонаблюдением должны находиться в помещении ЦПУ цеха.

7. Для выявления и предотвращения прочих нарушений на территории предприятия вести периодическое круглосуточное патрулирование. Для этой цели привлечь сотрудников ЧОП «Азот-К»

Защита автоматизированного управления химическим производством

1. Аппаратно-программные комплексы управления производством разместить в помещениях ЦПУ.

2. Для защиты от несанкционированного доступа помещения ЦПУ круглосуточная смена инженеров-операторов, а также начальник смены химического объекта должны следить за приходящими на объект людьми. В случае появления посторонних сообщить в СБ.

3. Аппаратное обеспечение поместить в стальные шкафы с замками. Ключ от такого шкафа должен быть в 2 экземплярах. Первый экземпляр должен храниться у начальника смены химического объект. Второй у начальника сервисного обслуживания пользователей УИС.

4. Программное обеспечение устанавливать строго сотрудникам УИС.

5. Программное обеспечение должно быть лицензионным, от проверенных поставщиков.

6. Перед использованием программного обеспечения сотрудники УИС и сотрудники химического цеха совместно с диспетчером проводят тестирование аппаратно-программного комплекса в целом.

7. Тестирование проводить летом, в период остановки цеха на капитальный ремонт.

8. Сотрудникам химического цеха запрещается делать скриншоты, фотографии ЦПУ. Запрещается использование сотрудникам ЦПУ личных съемных информационных носителей.

9. Сотрудник СБ, находящийся на ЦПУ занимается видеонаблюдением, следит за появлением посторонних лиц, а также за действиями сотрудников и инженеров-операторов.

10. Для защиты от кражи, подмены либо исключения информации, поступающей от датчиков химического процесса к программно-аппаратным комплексам сотрудник СБ, находящийся на ЦПУ следит за датчиками с помощью систем видеонаблюдения.

11. В случае невозможности видеонаблюдения за датчиком, установить сигнализацию, либо иные алгоритмы слежения за валидностью поступающей от датчиков информации.

12. Установить дублирующие аппаратно-программные комплексы.

3. Защита систем ГО и ЧС

1. Информационные системы предупреждения об опасности должны быть дублированы.

2. Центральный диспетчерский пункт должен быть оборудован видеонаблюдением. Видеонаблюдение проводит дежурный сотрудник СБ.

3. Раз в месяц проводить учебные тревоги для проверки работоспособности системы.

4. Средства аудио оповещения разместить вне зоны свободного доступа людей.

4. Защита пропускной системы предприятия

1. Сотрудники охраны следят за тем, чтобы не было случаев обхода турникетов.

2. Охрана следит за состоянием работоспособности пропускной системы, предотвращает взлом системы безопасности.

3. В случае повреждения пропускной системы, охрана сообщает об этом центральному диспетчеру. Пропуск людей осуществляет вручную, путем сравнения лица человека с фотографией на предъявляемом пропуске.

5. Защита системы связи (АТС предприятия)

1. Помещение с телефонными коммутаторами должно быть оборудовано стальной дверью с замком.

2. Ключ от коммутаторной должен быть в 2 экземплярах. Один экземпляр хранится у начальника цеха связи, второй у центрального диспетчера.

3. Помещение коммутаторной, а также дверь должны находиться под постоянным видеонаблюдением.

4. Для видеонаблюдения привлечь сотрудников СБ.

5. Для защиты от прослушки цех связи должен установить средства защиты от прослушки.

6. Для учета аппаратов связи должна производиться ежегодная инвентаризация.

7. Сотрудники цеха связи обязаны следить за возможной утечкой информации.

8. В случае обнаружения прослушки и других действий злоумышленников, сотрудники цеха связи обязаны сообщить об инциденте в СБ и центральному диспетчеру. Далее происходит устранение вредных воздействий.

9. Центральный диспетчер должен оповещать о проводимых ремонтных работах средств связи.

10. В случае обнаружения действий злоумышленников центральный диспетчер также проводит оповещение тех сотрудников, на которых направлено действие.

11. В случае обнаружения прослушки, сотрудникам запрещается использовать средства связи до устранения.

12. Сотрудники СБ обязываются проводить служебные расследования вредных воздействий.

13. Для надежности связи, связь с особо важными объектами должна быть продублирована.

14. Цех связи должен отслеживать ситуацию на рынке средств защиты от прослушки и при появлении новых разработок уведомлять руководство СБ о возможности применения таких средств на КОАО «Азот»

15. Для восстановления связи с важными объектами в цеху связи должна быть введено круглосуточное дежурство ремонтного персонала.

6. Защита локальной сети и информационных ресурсов сети предприятия

1) Общие правила пользования ресурсами сети предприятия

1. Доступ к сети и к любому компьютеру в сети предприятия, разрешен только при наличии личной учетной записи сотрудника.

2. Учетная запись выдается пользователю согласно Действующей политике информационной безопасности.

3. Пароль личной учетной записи должен меняется каждые 3 месяца

4. Сотрудник обязан хранить свой пароль в тайне. Запрещается сообщать пароль своим коллегам и другим сотрудникам, родным и др. лицам.

5. Запрещено записывать свой пароль на бумажный или электронный носитель. Сотрудник обязан помнить свой пароль наизусть.

6. Сотрудникам запрещается пользователями личными информационными носителями. Контроль за соблюдениями данного пункта осуществляет СБ с помощью систем видеонаблюдения.

7. Сотрудникам запрещается устанавливать ПО и менять настройки операционной системы.

8. После завершения работы на компьютере, пользователь обязан выполнить операцию выхода из системы, либо завершения работы.

9. В случае обнаружения на предприятии вредительских действий, виновным признается тот, с чьей учетной записи были произведены вредные действия, кроме тех случае, когда пользователь докажет, что отсутствовал на территории предприятии, либо в районе нахождения компьютера с IP-адресом, с которого были произведены вредные действия.

2) Ограничение доступа

Ввести следующие классы доступа: 1. Доступ к внутренним веб-ресурсам предприятия и документам общего характера

2. Доступ к Базам данных

3. Доступ к управлению химическим производством

4. Доступ к бухгалтерским документам

5. Доступ к сети интернет

6. Доступ к учетным записям и настройкам ИС

3) Роли пользователей

Ввести следующие роли пользователей: 1. Пользователь - имеет доступ к согласно пункту 1 раздела «Ограничение доступа» Правил информационной безопасности. К данному типу пользователей относить работников и стажеров.

2. Привилегированный пользователь. Имеет доступ согласно различным пунктам 1-5 раздела» Правил информационной безопасности. К данному типу пользователей относят сотрудников и определяют класс доступа согласно решению начальника подразделения пользователя и представителя СБ.

3. Администратор. Имеет доступ согласно пунктам 1-6 раздела» Правил информационной безопасности. Данными правами налагаются пользователи работающие в УИС и занимающиеся настройкой компьютеров, сетей.

4. Системный администратор. Имеет доступ согласно пунктам 1-6 раздела» Правил информационной безопасности. Данными правами налагаются пользователи работающие в УИС и занимающиеся настройкой компьютеров, сетей и учетных записей.

5. Главный системный администратор. Обладает правами супер пользователя. Может действовать только по согласованию с руководством предприятия и СБ.

4) Использование сети интернет

1. Сеть Интернет используется предприятием для: информационно-аналитической работы в интересах КОАО «Азот»; обмена электронными сообщениями, например, почтовыми через сеть интернет.

2. Использование сети Интернет в неустановленных целях запрещено.

3. Предоставление доступа к сети Интернет осуществляется решением СБ. При этом она должна руководствоваться разделом «Роли пользователей» Правил информационной безопасности.

5) Порядок регистрации сотрудника в сети

1. Получить разрешение у начальника своего подразделения. Начальник определяет, какую роль требуется дать сотруднику в сети, определяет необходимость доступа к сети Интернет. На основании этой информации начальник составляет анкету установленного образца

2. Сотрудник идет с данной анкетой в службу безопасности. СБ проверяет запросы к ресурсам, которые указал в анкете начальник и делает вывод о допуске сотрудника к информационным ресурсам.

3. СБ проводит собеседование с сотрудником, на котором производится инструктаж и знакомство с выдержками из Действительной политики информационной безопасности. Сотруднику выдается справка СБ о том что он готов к использованию информационных ресурсов предприятия

4. Сотрудник отправляется в отделение УИС, где при помощи специалиста создает новую учетную запись, вводит свой пароль

5. После этого пользователь зарегистрирован и может приступать к работе.

6) Техническая поддержка и сопровождение сети

1. Обязать УИС заниматься технической поддержкой сети и сетевых ресурсов предприятия.

2. Программное обеспечение устанавливается строго сотрудниками УИС.

3. Программное обеспечение должно быть лицензионным и от проверенных СБ поставщиков.

7) Антивирусная защита

1. На всех рабочих станциях пользователей и серверах устанавливаются лицензионные средства антивирусной защиты.

2. Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях и серверах.

3. Обновления антивирусных баз производится ежедневно, в автоматическом режиме.

4. Сотрудники службы информационной безопасности регулярно проводят аудит сообщений антивирусных средств.

7. Защита от внешних угроз

1. Сотрудникам запрещается выносить информацию на любых носителях за территорию предприятия, кроме случаев, оговоренных Правилами информационной безопасности.

2. Запрещается выносить компьютеры, детали компьютеров за пределы предприятия, кроме случаев, оговоренных Правилами информационной безопасности.

3. Категорически запрещается выносить чертежи, технологические схемы и иные конфиденциальные документы, кроме случаев, оговоренных Правилами информационной безопасности.

4. Для соблюдения правил от защиты внешних угроз привлекаются сотрудники охраны «Азот-К»

5. Дежурные охранники на проходной проверяют проходящих сотрудников на предмет нарушений правил 1-4 данного раздела политики информационной безопасности.

6. В случае необходимости выноса на территорию предприятия объектов, оговоренных в пунктах 1-4, составляется служебная записка, в которой необходимо указать инвентарный номер объекта, дату и лицо осуществляющее вынос объекта. Служебная записка регистрируется в подразделении сотрудника, осуществляющего вынос и в СБ. Охранник проверяет наличие объекта в служебной записке, а также звонит на центральный пост. После этого разрешается вынос объекта.

7. Защита от стихийных бедствий предупреждается на стадии проектирования объектов предприятий

8. Компьютеры, серверы, аппаратно-программные комплексы, пропускная система, система видеонаблюдения и АТС должны быть подключены к источникам бесперебойного питания. Техническим сопровождением ИБП должно заниматься специальное подразделение УИС.

9. Отдел кадров должен проводить собеседования с соискателями работы, на предмет засылки агента конкурирующих сторон.

8. Защита от внутренних угроз

1. Сотрудники предприятия должны проходить обучение пользованию информационными ресурсами предприятия

2. Каждый работник, в случае подозрения или прямого свидетельства предательства, несанкционированного доступа, кражи информации и действий запрещенных настоящей политикой информационной безопасности должен незамедлительно сообщить о данном факте в СБ

3. СБ обязана незамедлительно реагировать на сообщения о нарушениях и пресекать их.

4. Все работы, проводимые вблизи коммуникаций информационной сети или средств связи, должны проводиться с согласования УИС или Цеха связи.

5. В случае отказа оборудования, связанного с информацией, УИС и СБ должны быть оповещены начальником подразделения, в котором произошел отказ.

9. Меры по защите информационных объектов

1) Персональные компьютеры

1. Каждый компьютер на предприятии должен иметь инвентарный номер и номер служебного обслуживания. Данные номера должны храниться в базе данных информационного обслуживания, ведомую сотрудниками УИС.

2. Каждый год должна проводиться инвентаризация персональных компьютеров.

3. В помещениях, в которых находятся персональные компьютеры, должно вестись видеонаблюдение сотрудниками СБ.

4. Работа на ПК должна проводиться по индивидуальным учетным записям, выданным согласно настоящим правилам информационной безопасности.

5. На компьютерах должно быть установлено антивирусное ПО

6. ПО на ПК должно устанавливаться строго сотрудниками УИС

7. ПК должен быть подключен к ИБП

8. Доступ к BIOS компьютера должен осуществляется строго по паролям. Пароли должны храниться у сотрудников УИС.

2) Сервер

1. Серверное помещение расположить в помещении УИС

2. Ограничить доступ в помещение лиц, в чьи обязанности не входят монтаж, эксплуатация и техническое обслуживание оборудования, находящегося в серверном помещении

3. Оснастить серверное помещение системой пожаро-охранной сигнализации

4. Оборудовать серверную автоматической установкой газового пожаротушения (АУГП)

5. Установить в серверной систему вентиляции воздуха

6. Оборудовать серверное помещение системой кондиционирования воздуха

3) Конфиденциальные документы

1. Каждое подразделение предприятия должно хранить документы в специальных архивах.

2. Для хранения документов в архивах должны быть установлены несгораемые сейфы с замочной, либо парольной защитой.

3. Ключи от сейфов и пароли должны храниться у начальника подразделения. В случае отсутствия дежурного начальника, должны сдаваться на пост охраны.

4. Сейфы должны иметь инвентарный номер. Должна проводиться ежегодная инвентаризация мест хранения документов.

5. Сотрудникам запрещается оставлять без присмотра или брать с собой конфиденциальные документы, кроме случаев, оговоренных в настоящей политике информационной безопасности.

6. В помещениях, где происходит работа с документами должно вестись видеонаблюдение.

Вывод
В настоящее время информационная безопасность - одна из актуальных проблем, стоящих не только перед коммерческими предприятиями, но и почти перед каждым человеком, живущим в современном обществе. В наше время повсеместной автоматизации, доступ злоумышленников к информации предприятия может привести поистине к катастрофическим последствиям. Поэтому защите надо уделять очень большое внимание.

В процессе выполнения данной курсовой работы была разработана политика информационной безопасности для КОАО «Азот». Были проанализированы цели политики информационной безопасности и выработаны правила информационной безопасности.

Список литературы
1. Теоретические основы компьютерной безопасности: учеб. пособие для вузов / Л.Н. Девянин, О.О. Михальский, Д.И. Правиков и др. - М.: Радио и связь, 2009. - 192 с.

2. Ярочкин, В.И. Информационная безопасность: учебник для студентов вузов / В.И. Ярочкин. - М.: Академический проект; Гаудеамус, 2-е изд., 2004. - 544 с.

3. Бармен, С. Разработка правил информационной безопасности: пер. с англ. / С. Бармен. - М.: Изд. дом. «Вильямс», 2012. - 208 с.

4. Горбатов, В.С. Информационная безопасность. Основы правовой защиты: учеб. пособие / В.С. Горбатов, Т.А. Кондратьева. - Изд. 2-е, испр. и доп. - М.: МИФИ, 2009.

5. Кландер, Л. Haker-prof: полное руководство по безопасности компьютера: пер. с англ. / Л. Кландер. - Минск: Изд-во «Поппури», 2010. - 688 с.

Размещено на .ru
Заказать написание новой работы



Дисциплины научных работ



Хотите, перезвоним вам?