Файл: Понятие и классификация информационных ресурсов.pdf

Девятый сервер работает на операционной системе Microsoft Windows Server 2008 R2 Enterprise, он также является файловым сервером. На этом сервере установлен Kaspersky Administration Kit, который позволяет управлять антивирусными системами на рабочих станциях.

В основном здании компании установлено 153 автоматизированных рабочих места, 12 МФУ и 11 принтеров от компании Hewlett Packard.

Рабочие станции функционируют под управление операционных систем Microsoft Windows 7 Professional. Стандартный пакет установленного программного обеспечения включает:

• свободный файловый архиватор 7zip;
• пакет офисных приложений OpenOffice.org или Microsoft Office для работы с текстовыми файлами и электронными таблицами;
• программа Pandion для обмена мгновенными сообщениями внутри корпоративной сети;
• программа Adobe Reader для просмотра pdf-файлов;
• Антивирус Касперского Endpoint Security 10 для обеспечения антивирусной защиты;
• программа 1С: Предприятие версии 8.3.

Для функционирования локальной вычислительной сети компании используются 4 коммутатора Allied Telesyn AT-GS950/48 с 48 портами, а также коммутаторы D-link DGS-1008D с 8 портами. Доступ в глобальную сеть Интернет осуществляется при помощи маршрутизатора Cisco 2901.

Схематичная карта сети представлена на рис. 5.

Рис. 5. Схематическая карта сети

2.3 Анализ информационных ресурсов предприятия

На предприятии ООО «ЭЛ-ПРАЙМ ЭЛЕКТРОНИКС» используются следующие информационные ресурсы, классифицированные по категории доступа (п. 1.2):

• общедоступные;
• с ограниченным доступом.

К категории «С ограниченным доступом» относятся:

• персональные данные сотрудников;
• ресурсы, представляющие коммерческую тайну.

Персональные данные.

Эти данные содержат информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения.

Согласно Федеральному закону № 152-ФЗ «О персональных данных» существует четыре категории персональных данных, которые различаются по степени информативности:

• 1 категория - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• 2 категория - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• 3 категория - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• 4 категория - обезличенные и (или) общедоступные персональные данные.

Исходя из данной классификации, можно определить, что персональные данные, обрабатываемые в информационной системе компании, будут относиться ко второй категории.

В компании обрабатываются персональные данные сотрудников, такие как:

• фамилия, имя, отчество, дата и место рождения;
• данные документа, удостоверяющего личность;
• адрес места жительства (по паспорту и фактический);
• номера контактных телефонов;
• сведения об образовании, квалификации и о наличии специальных знаний или специальной;
• сведения о повышении квалификации и переподготовке;
• сведения о трудовой деятельности;
• сведения о номере, серии и дате выдачи трудовой книжки, и записях в ней;
• содержание и реквизиты трудового договора с работником компании или гражданско-правового договора с гражданином;
• сведения о заработной плате (номера счетов для расчета с работниками);
• сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу;
• сведения о семейном положении;
• сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
• сведения об идентификационном номере налогоплательщика.

Структура информационной системы локальная. Это такая структура, в которой комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа.

Имеются подключения к сетям связи общего пользования и сетям международного информационного обмена.

Режим обработки персональных данных в информационной системе - многопользовательский.

Осуществляется разграничение прав доступа пользователей.

Местонахождение информационной системы персональных данных целиком в пределах Российской Федерации.

Коммерческая тайна.

Для компании следующая информация составляет коммерческую тайну:

Планы:

• планы развития предприятия;
• планы инвестиций предприятия;
• план закупок и продаж;
• объем предстоящих закупок по срокам, ассортименту, ценам, фирмам.

Финансы:

• стоимость товарных запасов;
• бюджет;
• обороты;
• сведения о финансовых операциях;
• банковские операции;
• состояние банковских счетов предприятия и производимых операций;
• уровень выручки;
• долговые обязательства;
• источники кредитов и условия по ним.

Рынок:

• результаты маркетинговых исследований;
• сведения, содержащие выводы и рекомендации специалистов по стратегии и тактике деятельности организации;
• коммерческие замыслы, коммерческо-политические цели фирмы.

Партнеры:

• коммерческие связи;
• места закупки товаров;
• сведения о поставщиках.

Переговоры:

• внутренний порядок проработки предложений партнеров;
• сроки, выделенные для проработки и заключения сделки;
• сведения о фактах подготовки и ведения переговоров;
• директивы по проведению переговоров, включая тактику, границы полномочий должностных лиц по ценам, скидкам и другим условиям;
• сведения и документы, относящиеся к деловой политике и позиции организации по конкретным сделкам;
• материалы и приложения к предложениям при прямых переговорах;
• сведения, раскрывающие тактику ведения переговоров при заключении контрактов или соглашений на закупку товаров, уровень максимально сторгованных цен, объемы имеющихся средств и другие конкурентные материалы, используемые для повышения эффективности сделки;
• сведения о мероприятиях, проводимых перед переговорами;
• сведения о ходе и результатах коммерческих переговоров.

Контракты:

• условия по сделкам и соглашениям;
• условия контрактов, включая цены;
• особые условия контрактов (скидки, рассрочки платежей и т. д.).

Цены:

• сведения о методике расчетов конкурентных цен, а также при оценке стоимости работ и услуг;
• расчеты цен;
• внутренние прейскуранты и тарифы;
• сведения о себестоимости и контрактных ценах товаров, услуг.

Совещания:

• результаты совещаний и заседаний органов управления.

Общедоступные.

К общедоступным информационным ресурсам в компании относятся:

• данные корпоративного сайта компании;
• мировые данные;
• СМИ.

2.4 Выводы по главе

Во второй главе нами рассмотрена краткая характеристика предприятия ООО «ЭЛ-ПРАЙМ ЭЛЕКТРОНИКС», его организационная структура. Выполнен анализ информационных ресурсов предприятия и рассмотрены группы ресурсов, относящиеся к категории «С ограниченным доступом». Согласно проведенному анализу к этой категории относятся персональные данные сотрудников и ресурсы, представляющие коммерческую тайну.

3. Принципы соединения сотрудников компании с информационными ресурсами

3.1 Соединение пользователей с общедоступными ресурсами

Основная задача распределенных систем - облегчить пользователям доступ к удаленным ресурсам и обеспечить их совместное использование, регулируя этот процесс. Ресурсы могут быть виртуальными, однако традиционно они включают в себя принтеры, компьютеры, устройства хранения данных, файлы и данные. Web-страницы и сети также входят в этот список. Существует множество причин для совместного использования ресурсов. Одна из очевидных — это экономичность. Например, гораздо дешевле разрешить совместную работу с принтером нескольких пользователей, чем покупать и обслуживать отдельный принтер для каждого пользователя. Точно так же имеет смысл совместно использовать дорогие ресурсы, такие как суперкомпьютеры или высокопроизводительные хранилища данных.

Соединение пользователей и ресурсов также облегчает кооперацию и обмен информацией, что лучше всего иллюстрируется успехом Интернета с его простыми протоколами для обмена файлами, почтой, документами, аудио- и видеоинформацией. Связь через Интернет в настоящее время привела к появлению многочисленных виртуальных организаций, в которых географически удаленные друг от друга группы сотрудников работают вместе при помощи систем групповой работы (groupware) - программ для совместного редактирования документов, проведения телеконференций и т. п.

Однако по мере роста числа подключений и степени совместного использования ресурсов все более и более важными становятся вопросы безопасности. В современной практике системы имеют слабую защиту от подслушивания или вторжения по линиям связи. Пароли и другая особо важная информация часто пересылаются по сетям открытым текстом (то есть незашифрованными) или хранятся на серверах, надежность которых не подтверждена ничем, кроме нашей веры. Здесь имеется еще очень много возможностей для улучшения.

Другая проблема безопасности состоит в том, что прослеживание коммуникаций позволяет построить профиль предпочтений конкретного пользователя. Подобное отслеживание серьезно нарушает права личности, особенно если производится без уведомления пользователя. Связанная с этим проблема состоит в том, что рост подключений ведет к росту нежелательного контента, такого как получаемые по электронной почте бессмысленные письма, так называемый спам. Единственное, что можно сделать в этом случае, это защитить себя, используя специальные информационные фильтры, которые сортируют входящие сообщения на основании их содержимого.

3.2 Использование сотрудниками информационных ресурсов с ограниченным доступом

Высшим руководством организации ООО «ЭЛ-ПРАЙМ ЭЛЕКТРОНИКС», в лице директора, было выработано четкое положение об информационной политики безопасности для всех подразделений организации. Политика безопасности является результатом совместной деятельности технического персонала, возложенного на системного администратора, способного понять все аспекты политики и ее реализации, а также директора, способного влиять на проведение политики в жизнь.

В одном из пунктов данного положения говорится, что для обеспечения поддержания информационной безопасности на высоком уровне, один раз в год будет проводиться проверка внутренним аудитом, которая построена на полном соответствии правовых и законодательных документах по аудиторской деятельности Российской Федерации. В ходе проверки будет применяться детальный анализ риска, который включает в себя оценку уязвимости активов.

Уязвимостью информации называется возможность возникновения таких состояний, при которых появляются условия для реализации угрозы безопасности данным. Сама по себе наличие уязвимости не наносит ущерба, так как для этого необходимым является наличие соответствующих угроз. Наличие уязвимостей при отсутствии таких угроз не требует использования защитных мер, но уязвимости должны быть зафиксированы и в дальнейшем проверены на случаи изменений ситуации.

Такие виды оценок предполагают идентификацию уязвимости в окружающей среде, организациях, процедурах, персонале, менеджменте, администрации, аппаратных средствах, программном обеспечении или аппаратуре связи, которые могут быть использованы источниками угроз для нанесения ущерба активу и деловому функционированию организации, которые осуществляются с их применением. Стоит отметить, что некорректно применяемые, а также неправильно работающие защитные меры могут сами по себе быть источником появления уязвимости. Понятие «уязвимости» может быть отнесено к свойствам или атрибутам активов, которые используются другим образом или для другой цели, чем та, для которой приобретались или изготавливались данные активы. Начальные данные для оценки уязвимостей должны получаться от владельца или пользователя активов, специалиста по обслуживающим устройствам, эксперта по программным и аппаратным средствам систем информационных технологий.