Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Анализ системы обеспечения информационной безопасности и защиты информации

Читайте также:
  1. I. Анализ кормления, содержания и использования животных
  2. I. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ - ОТ ТЕХНОЛОГИЙ К ИНФОРМАЦИИ
  3. II. АНАЛИЗ РЕАЛИЗАЦИИ СТРАТЕГИИ СОЦИАЛЬНО-ЭКОНОМИЧЕСКОГО РАЗВИТИЯ СОЛИКАМСКОГО ГОРОДСКОГО ОКРУГА ДО 2018 ГОДА
  4. II. Анализ состояния и проблемы библиотечного дела Карелии.
  5. II. Анализ урока литературы
  6. III. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ УЧАСТНИКОВ И ЗРИТЕЛЕЙ
  7. III. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ УЧАСТНИКОВ И ЗРИТЕЛЕЙ, МЕДИЦИНСКОЕ ОБЕСПЕЧЕНИЕ, АНТИДОПИНГОВОЕ ОБЕСПЕЧЕНИЕ СПОРТИВНЫХ СОРЕВНОВАНИЙ

В ЗАО «Консультант Плюс» функционирует политика безопасности.

В компании действуют следующие нормативно-правовые документы в области защиты информации и информационной безопасности (ИБ):

- Положение о конфиденциальной информации

- Положение об использовании программного обеспечения

- Положение об использовании электронной почты

- Положение об использовании сети Интернет

- Положение об использовании мобильных устройств и носителей информации

- Правила внутреннего трудового распорядка

- Приказ о введении политики информационной безопасности

- Приказ о введении Правил внутреннего трудового распорядка

- Приказ о введении внутриобъектового пропускного режима

За исполнение этих нормативно-правовых документов отвечают начальник службы безопасности и начальник отдела системного администрирования.

В трудовых договорах сотрудников предприятия есть пункт, посвященный неразглашению конфиденциальной информации в течение срока действия договора, а также трех лет после его прекращения. Сотрудники обязаны выполнять все относящиеся к ним требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны и иной конфиденциальной информации Работодателя, соблюдению внутриобъектового и пропускного режимов.

При использовании сотрудниками электронной почты запрещено:

1) Использовать электронную почту в личных целях.

2) Передавать электронные сообщения, содержащие:

a. конфиденциальную информацию,

b. информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя.

c. информацию, защищенную авторскими или другим правами, без разрешения владельца.

d. Информацию, файлы или ПО, способные нарушить или ограничить функциональность программных и аппаратных средств корпоративной сети.

3) Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.

4) По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).

5) Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).

6) Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.

7) Шифровать электронные сообщения без предварительного согласования с администраторами ИС.

При использовании сети Интернет запрещено:

1) Использовать предоставленный Организацией доступ в сеть Интернет в личных целях.

2) Использовать специализированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет.

3) Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Организации.

4) Публиковать, загружать и распространять материалы содержащие:

a) Конфиденциальную информацию,

b) Информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности.

5) Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.

6) Вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности аппаратных и программных средств, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию.

7) Фальсифицировать свой IP-адрес, а также прочую служебную информацию.

В ЗАО «Консультант Плюс» разрешено применение ограниченного перечня коммерческого ПО (согласно Реестру разрешенного к использованию программного обеспечения) и бесплатного ПО (необходимого для выполнения производственных задач). Пользователям запрещается устанавливать на свои ПК прочее программное обеспечение.

В ИС ЗАО «Консультант Плюс» допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО.

На программном уровне предпринимается управление доступом на основе ролей в службе каталогов Microsoft Active Directory, а также при доступе к СУБД. Эта же служба осуществляет управление паролями пользователей: у каждого пароля есть срок действия, по истечении которого пользователь вынужден задать другой пароль; система не позволяет ввести слишком короткий или слишком простой пароль. Таким образом достигается защита от несанкционированного доступа к системе.

Для защиты ЛВС и компьютеров от внешних угроз используется пакет Kaspersky Enterprise Space Security, который выполняет следующие функции:

1) Защита от хакерских атак. Современные хакеры используют для атак кейлоггеры (клавиатурные шпионы) и руткиты — программы, которые позволяют получить несанкционированный доступ к данным и при этом избежать обнаружения. Антивирусное ядро эффективно нейтрализует эти угрозы, предотвращая несанкционированный доступ к компьютерам корпоративной сети.

2) Защита от фишинга. База URL-адресов фишинговых сайтов постоянно пополняется; с ее помощью распознаются и блокируются подозрительные ссылки, а также фильтруются фишинговые электронные сообщения, повышая уровень защиты ЛВС.

3) Сетевой экран. Сетевой экран нового поколения, а также встроенная в него система обнаружения и предотвращения вторжений, обеспечивают защиту пользователей при работе в сети.

4) Безопасная работа с электронной почтой. Весь поток почтовых сообщений сканируется на уровне протоколов передачи данных (POP3, IMAP, MAPI и NNTP для входящей почты и SMTP для исходящей), включая SSL-соединения. Сканируются в том числе файлы и ссылки, передаваемые через программы мгновенного обмена сообщениями (ICQ, MSN и др.). Проверка почтовых сообщений осуществляется в режиме реального времени. Зараженные объекты подвергаются лечению или удаляются.

5) Контроль использования съемных устройств. Вредоносные программы могут проникнуть на компьютеры корпоративной сети через USB-носители, а также внешние устройства ввода/вывода и хранения данных. Kaspersky Enterprise Space Security позволяет проводить антивирусную проверку таких устройств и контролировать их использование, предотвращая заражение сети.

6) Защита от массовых спам-рассылок. В приложении для защиты почты, входящем в состав Kaspersky Enterprise Space Security, реализованы передовые технологии эвристического и лингвистического анализа сообщений, а также эффективные методы выявления спама, поступающего в виде изображений. Kaspersky Enterprise Space Security также поддерживает работу с системой мгновенного обнаружения угроз (UDS), содержащей сведения о новейших угрозах, обновляемые в режиме реального времени. Это позволяет отфильтровывать более 99% нежелательных электронных сообщений.

 

1.3. Анализ существующих разработок и выбор стратегии автоматизации «КАК ДОЛЖНО БЫТЬ»


Дата добавления: 2015-09-06; просмотров: 421 | Нарушение авторских прав


Читайте в этой же книге: I Аналитическая часть | Характеристика предприятия и его деятельности | Организационная структура управления предприятием | Программная и техническая архитектура ИС предприятия | Определение места проектируемой задачи в комплексе задач и ее описание | Анализ и отчетность | Выбор и обоснование стратегии автоматизации задачи | Выбор и обоснование способа приобретения ИС для автоматизации задачи | Обоснование проектных решений по техническому обеспечению | Экранные формы |
<== предыдущая страница | следующая страница ==>
Обоснование необходимости использования вычислительной техники для решения задачи| Анализ существующих разработок для автоматизации задачи

mybiblioteka.su - 2015-2024 год. (0.011 сек.)