Разработка организационно-правового обеспечения системы проектирования информационных систем

Стандарты оформления проектной документации. Организационно-правовые аспекты защиты информации. Государственная политика в сфере обеспечения безопасности. Структура организационно-правового обеспечения системы проектирования информационных систем.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 29.02.2020
Размер файла 216,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Российский государственный гуманитарный университет» (РГГУ)

Институт информационных наук и технологий безопасности

Факультет информационных систем и безопасности

Кафедра информационных технологий и систем

Курсовая работа

РАЗРАБОТКА ОРГАНИЗАЦИОННО-ПРАВОВОГО ОБЕСПЕЧЕНИЯ СИСТЕМЫ ПРОЕКТИРОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ

КОСТИН СЕРГЕЙ ДМИТРИЕВИЧ

Москва 2017

Содержание

Введение

1. Формирование требований к организационно-правовому обеспечению системы проектирования ИС

1.1 Правовое обеспечение

1.2 Организационное обеспечение

1.3 Стандарты оформления проектной документации

Выводы

2. Организационно-правовые аспекты защиты информации

2.1 Нормативно-правовая база

2.2 Основные положения государственной политики в сфере обеспечения безопасности

2.3 Закон о персональных данных

Выводы

3. Структура организационно-правового обеспечения системы проектирования ИС

3.1 Обеспечение ИС

3.2 Структура правового обеспечения

3.3 Пример

Выводы

Заключение

Список источников и литературы

Приложения

Введение

информационный система правовой проектный

Создание ИС и Информационных технологий представляет собой сложный процесс проектирования. Целью проектирования являются подготовка проектных документов и внедрение человеко-машинной системы управления организацией. В процессе проектирования выявляются наиболее существенные характеристики экономического объекта, изучаются его внешние и внутренние информационные потоки, создаются математические и физические аналоги исследуемой системы и её элементов, ставят условия взаимодействия человека и технических средств управления.

Качество проектирования ИС в значительной мере определяется уровнем решения задач по организации и управлению проектированием ИС.

При проектировании и создании информационных систем необходимо также создать организационно правовую документацию для успешного использования ИС.

Актуальность:

Актуальность этой работы состоит в том, что правовое и организационное обеспечение является неотъемлемой частью ИС. Без разработки организационно-правового обеспечения невозможно эффективное функционирование ИС.

Цели работы:

- Провести обзор требований к организационно-правовому обеспечению.

- Составить структуру обеспечения ИС.

- Дать понять, что представляет собой организационно-правовое обеспечение.

Задачи работы:

- Изучить научную и юридическую литературу, связанную с разработкой организационно-правового обеспечения.

- Рассмотреть основные аспекты организационно-правового обеспечения.

- Привести пример организационного обеспечения ИС.

1. Формирование требований к организационно-правовому обеспечению системы проектирования ИС

1.1 Правовое обеспечение

Правовое обеспечение - представляет собой совокупность правовых норм, регламентирующих правоотношения при создании и внедрении ИС и ИТ.

Главной целью правового обеспечения является укрепление законности.

В состав правового обеспечения входят: законы, указы, постановления государственных органов власти, приказы, инструкции и другие нормативные документы министерств, ведомств, организаций, местных органов власти.

В правовом обеспечении можно выделить общую часть, регулирующую функционирование любой информационной системы, и локальную часть, регулирующую функционирование конкретной системы.

Правовое обеспечение этапов разработки информационной системы включает нормативные акты, связанные с договорными отношениями разработчика и заказчика и правовым регулированием отклонений от договора.

1.2 Организационное обеспечение

Организационной основой адаптации и функционирования информационных технологий (ИТ) является организационно-методическое обеспечение в виде подсистемы ИТ. Подсистема «Организационно-методическое обеспечение ИТ - это совокупность проектно-технической, нормативно-методической документации, регламентирующая порядок организации работы персонала, оборудования, программ по внедрению и функционированию ИТ».

Эта часть обеспечения ИТ включает в себя:

- комплект проектно-технической документации по описанию и порядку применения ИТ и её отдельных компонентов в решении задач пользователя в рамках автоматизированной ИС, построенной на базе ИТ;

- организационная и технологическая документация по эксплуатации ИТ, в том числе по технике безопасности работы, регламентирующая нормативы и методику по поддержанию нормальной работоспособности оборудования;

- инструктивные и нормативно-методические материалы по организации работы штатного персонала в рамках конкретной ИТ., обеспечения управленческой деятельности.

Организационная и технологическая документация ИТ определяется областью использования ИТ, которая достаточно обширна. Поэтому необходимо говорить о нормативно-правовой базе ИТ, применительно к различным сферам деятельности человека, охватывающим его жизненное пространство.

Обозначим некоторые основные нормативные документы, регулирующие процесс информатизации в РФ. Это, прежде всего, Федеральный закон, Закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.06 г. В нём даётся характеристика основных понятий, используемых в условиях информатизации общества и, в частности, образования. Закон также содержит положения о правах граждан на информацию, информационные ресурсы и информационные системы, правила доступа к информации различного уровня, и порядок защиты информации.

Настоящий Федеральный закон регулирует отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании ИТ и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Государственная политика в сфере формирования информационных ресурсов и информатизации направлена на создание условий для эффективного и качественного информационного обеспечения решения стратегических и оперативных задач социального и экономического развития Российской Федерации.

Федеральный закон от 4 июля 1996 г. N 85-ФЗ «Об участии в международном информационном обмене» (с изменениями от 30 июня 2003 г., 29 июня 2004 г.) имеет своей целью создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства. Кроме того, закон направлен на защиту интересов Российской Федерации, субъектов Российской Федерации и муниципальных образований при международном информационном обмене, защиту интересов, прав и свобод физических и юридических лиц при международном информационном обмене. В законе определены обязанности государства, юридических и физических лиц в сфере международного информационного обмена.

В частности, органы государственной власти Российской Федерации:

- содействуют внедрению современных ИТ, обеспечивающих эффективное участие Российской Федерации, субъектов Российской Федерации, муниципальных образований, физических и юридических лиц Российской Федерации в международном информационном обмене;

- стимулируют расширение взаимовыгодного международного информационного обмена документированной информацией и охраняют законные интересы Российской Федерации, субъектов Российской Федерации, муниципальных образований, физических и юридических лиц в Российской Федерации;

- создают условия для защиты отечественных собственников и владельцев документированной информации, информационных ресурсов, информационных продуктов, средств международного информационного обмена, пользователей от некачественной и недостоверной иностранной информации, недобросовестной конкуренции со стороны физических и юридических лиц иностранных государств в информационной сфере.

Эргономика. Важным аспектом работы с ИТ и, особенно, программными и техническими средствами, является создание комфортных условий работы с ними штатного персонала ИТ. В практической реализации ИТ задействуется определённый перечень категорий работников. В состав штатного персонала, в зависимости от характера ИТ, могут быть включены следующие категории: системный программист, прикладной программист, сетевой администратор, администратор баз данных, эксперт предметной области ИТ, инженер по знаниям, инженер по комплексу технических средств, инженер по качеству и развитию, оператор ЭВМ, директор информационно-вычислительного центра (ИВЦ), его заместитель, а также технический персонал. Каждая из указанных категорий работников должны иметь соответствующую нормативную документацию, в частности, положение о структурном подразделении ИВЦ, должностные и рабочие инструкции, технологические карты.

Создание комфортных условий вышеуказанных категорий работников достигается соблюдением норм освещения, отопления, вентиляции и кондиционирования, использованием дизайна помещений и специальной мебели, а также за счёт выполнения санитарных, противопожарных и других требований. Первоочередным аспектом названной проблемы считается организация эргономичных, то есть комфортных, научно организованных рабочих мест, защищённых от различных вредных воздействий.

Эргономика - это научная дисциплина, изучающая функциональные возможности человека в трудовых процессах, выявляющая возможности и закономерности создания оптимальных условий для высокопроизводительного труда и обеспечения необходимых удобств работникам. С точки зрения использования новых ИТ и современных технических средств под эргономикой принято понимать область науки, занимающуюся «человеческим фактором», «человеко-машинным интерфейсом», т.е. разработкой оборудования, с которым человек находится в непосредственном взаимодействии, с учётом стандартов по безопасности, эффективности, комфорту и условий эксплуатации такого оборудования.

Компьютер, как любой инструмент, оказывает определённое воздействие на работников. Режим труда и отдыха, работающих на компьютере определяется «Санитарно-эпидемиологическими правилами и нормативами СанПиН 2.2.2/2.4.1340-03» (Постановление Главного государственного врача РФ №118 от 13. 06. 2003 г.). В них представлены гигиенические требования к персональным ЭВМ и организации работ.

Эргономичность ИТ предполагает также и обеспечение комфорта для конкретного пользователя. Комфорт - это совокупность удобств: благоустроенность и уют жилищ, общественных учреждений, рабочих мест и прочих условий для социума и индивидуумов. В первую очередь рабочее место характеризуется используемой мебелью. Стол и стул должны быть подобраны в соответствии с особенностями роста таким образом, чтобы при работе за компьютерной техникой предплечья по отношению к плечу и голень по отношению к бедру были под прямым или под тупым углом. Значение имеют цвет и отражающая способность поверхности стола. Предпочтительно пользоваться специальными полумягкими компьютерными креслами с подъёмно-поворотными устройствами, имеющими подлокотники, основание на колёсиках, возможность регулировать высоту сидения и угол наклона спинки.

Освещение бывает естественным и искусственным. В последнем случае используют различные светильники. При этом освещённость помещений бывает общей, когда светильники размещены на потолке и стенах, местной - при использовании настольных ламп и смешанной (комбинированной).

Кроме того, необходимо в рабочей зоне ЭВМ поддерживать рациональный микроклимат. Климат - это совокупность всех условий погоды в данной местности за период в несколько десятков лет. Микроклимат - это местный климат, т.е. образующийся или устанавливаемый над земной поверхностью, в зданиях и помещениях. С позиций микроклимата состояние воздушной среды в рабочих помещениях определяется следующими параметрами:

- температуры воздуха,

- относительная влажность, представляющей отношение количества водяного пара, находящегося в воздухе данного состояния, к его количеству, насыщающему воздух при данной температуре,

- подвижность воздуха, то есть скорость его перемещения без учёта направления,

- средневзвешенная температура окружающих поверхностей предметов.

Для поддержания параметров микроклимата в помещениях используются системы теплоснабжения, вентиляции и кондиционирования воздуха.

В организациях, использующих ИТ, компьютерные программно-технические средства и телекоммуникации, организуют системы: климат-контроля, автоматизированных систем пожаротушения, автономного электропитания с аккумуляторными источниками бесперебойного питания и дизель-генераторами, мониторинга состояния оборудования и каналов связи, видеонаблюдения и контроля доступа, в том числе авторизации с использованием контроля биометрических параметров потенциальных пользователей ИС.

Комплекс организационной и технологической документации сопровождения ИТ. Комплекс этого вида технической документации является обязательным компонентом ИТ. Следует различать минимальный и расширенный объем технической документации. Как правило, минимальный объем документации входит в так называемый «коробочный» вариант поставки программного обеспечения ИТ. Он включает инструкцию по инсталляции программы, лицензионное соглашение, описание программы, справочно-информационную систему в виде «помощи» («справки»).

Расширенный комплект документации включает проектно-техническую документацию на ИТ, контракт на внедрение и авторское сопровождение, рабочие и должностные инструкции, порядок администрирования ИТ, Положение о выводе системы из аварийных ситуаций и др.

Принципиальным вопросом организационно-методического обеспечения ИТ является Положение (инструкция) о выводе ИТ из нештатных ситуаций. Целью Положения является минимизация потерь при появлении сбоев и отказов компонентов ИТ в период эксплуатации. Положение должно содержать максимально возможный перечень сбойных и отказных ситуаций. По каждой ситуации пользователю предоставляется информацию по идентификации ситуации, её причине (причинам). Кроме того, должны быть указаны методы и средства корректировки негативной ситуации во время работы ИТ с минимальными издержками.

1.3 Стандарты оформления проектной документации

Конкретные нормативные требования к информационным технологиям содержатся в технической документации. Так, например, в соответствии с логикой создания и сопровождения информационных технологий комплекс её техдокументации регламентируется стандартом оформления проектной документации - ГОСТ 19.701-90 и ГОСТ 34.601-90

В ГОСТ 34.601-90 входят стандарты, регламентирующие стадии создания автоматизированных систем (Таблица 1.1).

Таблица 1.1

Стадии

Этапы работ

1. Формирование требований к АС

1.1. Обследование объекта и обоснование необходимости создания АС

1.2. Формирование требований пользователя к АС

1.3. Оформление отчёта о выполненной работе и заявки на разработку АС (тактико-технического задания)

2. Разработка концепции АС

2.1. Изучение объекта

2.2. Проведение необходимых научно-исследовательских работ

2.3. Разработка вариантов концепции АС и выбор варианта концепции АС, удовлетворяющего требованиям пользователя

2.4. Оформление отчёта о выполненной работе

3. Техническое задание

3.1. Разработка и утверждение технического задания на создание АС

4. Эскизный проект

4.1. Разработка предварительных проектных решений по системе и её частям

4.2. Разработка документации на АС и её части

5. Технический проект

5.1. Разработка проектных решений по системе и ею частям

5.2. Разработка документации на автоматические системы и её части

5.3. Разработка и оформление документации на поставку изделий для комплектования АС и (или) технических требований (технических заданий) на их разработку

5.4. Разработка заданий на проектирование в смежных частях проекта объекта автоматизации

6. Рабочая документация

6.1. Разработка рабочей документации на систему и её части

6.2. Разработка или адаптация программ

7. Ввод в действие

7.1. Подготовка объекта автоматизации к вводу АС в действие

7.2. Подготовка персонала

7.3. Комплектация АС поставляемая изделиями (программными и техническими средствами, программно-техническими комплексами, информационными изделиями)

7.4. Строительно-монтажные работы

7.5. Пусконаладочные работы

7.6. Проведение предварительных испытаний

7.7. Проведение опытной эксплуатации

7.8. Проведение приёмочных испытаний

8. Сопровождение АС

8.1. Выполнение работ в соответствии с гарантийными обязательствами

8.2. Послегарантийное обслуживание

В документе ГОСТ 34.201 содержится более подробное описание правил составления различной документации разрабатываемой в ходе создания АС. Например, там указанно, что каждому разработанному документу должно быть присвоено самостоятельное обозначение. Документ, выполненный на разных носителях данных, должен иметь одно обозначение. К обозначению документов, выполненных на машинных носителях, добавляют букву "М"

Выводы

В первой главе были выдвинуты основные требования к организационно правовому обеспечению системы проектирования ИС.

Также были указаны ГОСТы необходимые для правильного составления документации.

И были упомянуты условия работы системы необходимые для достижения оптимального результата.

2. Организационно-правовые аспекты защиты информации

2.1 Нормативно-правовая база

Не менее важным моментом при разработке организационно правового обеспечения является защита информации.

С нормативно-правовой точки зрения использование защита от информационных атак должна подкрепляться соответствующими документами, определяющими необходимость и возможность применения данного средства защиты в автоматизированной системе. Данный вопрос особенно актуален для предприятий государственного сектора экономики.

На сегодняшний день существует большое количество различных документов, регламентирующих вопросы информационной безопасности. В общем случае они могут быть сгруппированы в следующие категории (рис. 2.2):

- федеральные правовые документы, которые включают в себя кодексы и законы, указы и распоряжения Президента РФ, а также постановления Правительства РФ;

- отраслевые нормативные документы, включающие в себя российские и международные стандарты, а также специальные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, касающиеся вопросов защиты информации;

- локальные организационно-распорядительные документы, которые действуют в рамках отдельно взятой организации, например, должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности.

Рис. 2.2 Нормативно-правовая основа концепции информационной безопасности

Правовую основу информационной безопасности обеспечивают:

- Конституция Российской Федерации

- Гражданский и Уголовный Кодекс

- Федеральные законы "О безопасности" (№ 15-ФЗ от 07.03.2005)

- "О Государственной тайне" (№ 122-ФЗ от 22.08.2004)

"Об информации, информатизации и защите информации" (№ 149-ФЗ от 27.07.2006)

- "Об участии в международном информационном обмене" (№ 85-ФЗ от 04.07.1996)

- "О коммерческой тайне" (№98-ФЗ от 29.07.2004)

- "О персональных данных" (№ 152-ФЗ от 27.07.2006)

- "О техническом регулировании" (№ 45-ФЗ от 09.05.2005)

- Доктрина информационной безопасности

- Указы Президента и другие нормативные правовые акты Российской Федерации.

Соблюдение правовых норм, установленных законодательными актами Российской Федерации, должно являться одним из основополагающих принципов при создании любой комплексной системы защиты от информационных атак.

2.2 Основные положения государственной политики в сфере обеспечения безопасности

Общие правовые основы обеспечения безопасности личности, общества и государства определены в Федеральном законе "О безопасности". Этим же законом определено понятие системы безопасности и её функций, установлен порядок организации и финансирования органов обеспечения безопасности и правила контроля и надзора за законностью их деятельности.

Основные положения государственной политики в сфере обеспечения безопасности изложены в Доктрине информационной безопасности Российской Федерации. В Доктрине определены следующие основные задачи, которые необходимо учитывать при реализации комплекса мер по информационной безопасности:

- обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

- укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности, создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

- запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;

- защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развёрнутых, так и создаваемых на территории России;

- обеспечение защиты сведений, составляющих государственную тайну.

В России также было принято несколько государственных стандартов (ГОСТ), включающих термины и определения к ним, а также общие положения в области информационной безопасности. К таким стандартам относятся ГОСТ Р 50922-96 "Защита информации. Основные термины и определения" и ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".

2.3 Закон о персональных данных

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских организаций, как государственных, так и коммерческих. Это обусловлено тем, что 26 января 2007 года вступил в силу Федеральный закон "О персональных данных", в котором сформулированы требования по защите персональных данных. Необходимо отметить, что требования данного закона являются обязательными как для коммерческих, так и государственных организаций. При этом согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Для создания и внедрения системы защиты персональных данных необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные этапы работ:

- проведение обследования с целью определения степени оценки соответствия компании требованиям Федерального закона "О персональных данных";

- классификация информационных систем, обрабатывающие персональные данные;

- разработка модели угроз безопасности персональных данных и модели нарушителя;

- проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные;

- разработка пакета организационно-распорядительной документации;

- внедрение системы защиты персональных данных;

- аттестация информационной системы, обрабатывающей персональных данных.

Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг.

Выводы

Во второй главе, были рассмотрены законодательные и правовые основы защиты информации, в том числе один из самых актуальных на сегодняшний день регулирующих документов - "Закон о персональных данных". А также рассмотрены этапы работ по созданию и внедрению системы защиты персональных данных.

3. Структура организационно-правового обеспечения системы проектирования ИС

3.1 Обеспечение ИС

Обеспечение информационных систем подразделяется на: информационное, техническое, математическое и программное, методическое, лингвистическое, правовое и организационное (Рис.3.1)

Размещено на http://www.allbest.ru/

Рис.3.1 Обеспечение ИС

1)Техническое обеспечение - комплекс ТС, предназначенных для работы ИС, документация на эти средства и технологические процессы.

2)Математическое обеспечение - совокупность математических методов, моделей, алгоритмов обработки информации, используемых при решении функциональных и проектных задач в ИС.

3)Лингвистическое обеспечение - совокупность языков общения персонала ИС и пользователей с программно-техническим и информационным обеспечением, а также сумму терминов, используемых в ИС.

4)Информационное обеспечение включает совокупность данных, методы построения БД, а также проектных решений по объёмам, размещению, формам организации информации, циркулирующей в ИС организации.

5)Методическое и организационное обеспечение - комплекс методов, средств и документов, регламентирующих взаимодействие персонала ИС с программно-техническими средствами (ПТС) и между собой в процессе разработки и эксплуатации ИС.

6)Правовое обеспечение - правовые нормы, используемые для соблюдения законности (законы, указы, постановления государственных органов власти, приказы и инструкции вышестоящих органов и руководителей организации).

7)Программное обеспечение - совокупность программ для реализации целей, задач ИС и нормального функционирования как отдельных, так комплекса ТС.

3.2 Структура правового обеспечения

Правовое обеспечение на этапе функционирования информационной системы определяет:

-- статус информационной системы.

Статус ИС - в общем смысле обозначает совокупность стабильных значений параметров информационной системы. То есть её состояние, либо позиция, ранг в любой иерархии, структуре, системе.

-- права, обязанности и ответственность персонала.

Права и обязанности персонала регулируются Трудовым кодексом РФ. А также трудовым договором между работником и работодателем.

-- правовые положения отдельных видов процесса управления;

Сюда входят должностные инструкции, в том числе инструкция по обеспечению безопасности при возникновении нештатных ситуаций.

-- порядок создания и использования информации и др.

3.3 Пример

Примером единицы организационного обеспечения информационной системы может являться: «Инструкция по обеспечению безопасности при возникновении нештатных ситуаций, в информационных системах» (см. приложение 1).

Этот документ имеет чётко упорядоченную структуру (Рис 3.2).

Рис 3.2 Структура инструкции

В общих положениях прописаны основные понятия, встречающиеся в документе, такие как: информационная система, пользователь ИС, на кого распространяется данная инструкция. А также чем руководствовались при создании данного документа.

В главе 2, «Общий порядок действий при возникновении нештатных ситуаций» разъясняется какие ситуации можно причислить к нештатным. А также первичные действия при обнаружении неполадки (сообщить администратору по безопасности, после чего тот принимает меры по устранению).

В третьей главе даются более подробные инструкции, на каждую проблему находят конкретное решение.

В четвёртой главе даются указания по предупреждению проблемы, меры безопасности и профилактические мероприятия.

Выводы

В данной главе была рассмотрена структура обеспечения ИС.

Ещё было рассмотрено назначение правового обеспечения ИС.

А также приведён пример документа организационного обеспечения информационной системы. На основе анализа «Инструкции пользователя», мы можем заключить, что при формировании организационного обеспечения, важно учитывать все возможные ситуации, возникающие в ИС.

Заключение

В данной работе была затронута тема разработки организационно-правового обеспечения системы проектирования ИС. Были сформированы основные требования к организационно-правовому обеспечению и перечислены стадии создания автоматизированных систем.

Также произведён обзор нормативно правовой базы защиты информации и были выделены основные этапы проведения мероприятий по защите персональных данных в информационной системе.

Был рассмотрен пример документа организационного обеспечения ИС.

Список источников и литературы

1. Академия Microsoft: Технологии и продукты Microsoft в обеспечении информационной безопасности. [эл. ресурс, текст]/ Сергей Авдошин, Александра Савельева; intuit.ru. - Режим доступа: http://www.intuit.ru/studies/courses/600/456/lecture/10192 (дата последнего обращения: 27.05.17)

2. ГОСТ 19.502-78 ЕСПД. Общее описание. Требования к содержанию и оформлению.

3. ГОСТ 19.701-90. ЕСПД. Схемы алгоритмов, программ, данных и систем. Условные обозначения и правила выполнения.

4. ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.

5. ГОСТ Р 50922-96 "Защита информации. Основные термины и определения"

6. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".

7. ГОСТ Р ИСО/МЭК 12207-- 99 Информационная технология. Процессы жизненного цикла программных средств.

8. Исаев Г.Н. Информационные системы: учебное пособие. -- М.: ИМСГС, 2006.

9. Об авторском праве и смежных правах: Федеральный закон от 09 июля 1993 г. № 5351-1.

10. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. № 149-ФЗ.

11. Об обеспечении единства измерений: Федеральный закон от 27 апреля 1993 г. № 4871-1.

12. О правовой охране программ для электронных вычислительных машин и баз данных: Федеральный закон от 23 сентября 1992 г. № 3523-1.

13. О сертификации продукции и услуг: Федеральный закон от 10 июня 1993 г. № 5151-1.

14. Проектирование информационных систем [эл. ресурс, текст]/ Владимир Грекул; intuit.ru. - Режим доступа: http://www.intuit.ru/studies/courses/2195/55/lecture/1634 (дата последнего обращения: 27.05.17)

Приложения

Приложение 1

УТВЕРЖДАЮ

Генеральный директор

____________________

________________ _________

«___» ______________ 2017г.

ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ

по обеспечению безопасности при возникновении нештатных ситуаций, в информационных системах ____________________

1. Общие положения

1.1 Настоящая инструкция разработана в соответствии с требованиями:

- Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»;

- постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- приказа ФСТЭК России от 18.02.2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке и информационных системах персональных данных».

1.2 Данная инструкция определяет порядок действий пользователя при возникновении нештатной ситуации при работе с персональными данными в информационной системе персональных данных (далее - ИС) ____________________ и по реагированию на нештатные ситуации, связанные с работой в ИС.

1.3 Пользователем ИС (далее - Пользователь) является сотрудник ____________________, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИС согласно приказу списка лиц, которым необходим доступ к персональным данным, обрабатываемым в ИС, для выполнения своих должностных обязанностей.

1.4 Пользователь в своей работе руководствуется, кроме должностных и технологических инструкций, действующими нормативными, организационно-распорядительными документами по вопросам информационной безопасности.

1.5 Положения инструкции обязательны для исполнения всеми пользователями и доводятся до сотрудников под роспись. Пользователь должен быть предупреждён о возможной ответственности за её нарушение.

2. Общий порядок действий при возникновении нештатных ситуаций

2.1. В настоящем документе под нештатной ситуацией понимается происшествие, связанное со сбоем в функционировании элементов ИС, предоставляемых пользователям ИС, а так же с вероятностью потери защищаемой информации.

2.2. К нештатным ситуациям относятся следующие ситуации:

- сбой в работе программного обеспечения («зависание» компьютера, медленная скорость работы программы, ошибки в работе программы и т. п.);

- отключение электричества;

- сбой в локальной вычислительной сети (отсутствие доступа в локальную сеть, отсутствие доступа в интернет, отсутствие связи с сервером и т. п.);

- выход из строя сервера;

- потеря данных (отсутствие возможности сохранить внесённые данные, отсутствие связи с сервером, повреждение файлов и т. п.);

- обнаружен вирус;

- обнаружена утечка информации (взлом учётной записи пользователя, обнаружение посторонних устройств в системном блоке, обнаружена попытка распечатывания или сканирования документов на принтере и т. п.);

- взлом системы (web-сервера, файл-сервера и др.) или несанкционированный доступ;

- попытка несанкционированного доступа (обнаружены попытки подбора пароля, доступ постороннего лица в помещение и т. п.);

- компрометация ключей (утеря носителя ключевой информации (Rutoken, E-token и т. п.), несанкционированный доступ постороннего лица в место физического хранения носителя информации, к устройству хранения информации, визуальный осмотр носителя информации посторонним лицом или подозрение, что данные факты имели место, взлом учётной записи пользователя);

- компрометация пароля (взлом учётной записи пользователя, визуальный осмотр посторонним лицом клавиатуры при вводе пароля пользователем и т. п.);

- физическое повреждение ЛВС или ПЭВМ (не включается ПК, при попытке включения отображается синий или чёрный экраны, повреждены провода и т. п.);

- стихийное бедствие;

- иные нештатные ситуации, не включённые в данный список, но влекущие за собой повреждение элементов ИС и возможность потери защищаемой информации, и названные таковыми пользователем ИС или администратором безопасности ИС.

2.3. При возникновении нештатных ситуаций во время работы сотрудник, обнаруживший нештатную ситуацию, немедленно ставит в известность администратора безопасности. В случае если поставить в известность администратора не представляется возможным (администратор безопасности отсутствует на рабочем месте), пользователем, обнаружившим нештатную ситуацию, составляется служебная записка в свободной форме с описанием нештатной ситуации, и передаётся руководителю подразделения.

2.4. Администратор безопасности ИСПДн проводит предварительный анализ ситуации и, в случае невозможности исправить положение, ставит в известность своего непосредственного начальника для определения дальнейших действий. Здесь и далее - в случае отсутствия администратора безопасности, все действия и меры в отношении нештатной ситуации, описанные в настоящей инструкции, выполняет сотрудник отдела, временно назначенный начальником отдела, либо сам начальник.

2.5. По факту возникновения и устранения нештатной ситуации заносится запись в «Журнал учёта нештатных ситуаций ИС, выполнения профилактических работ, установки и модификации программных средств на рабочих станциях и серверах ИС ____________________

2.6. При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению её причин.

3. Особенности действий при возникновении наиболее распространённых нештатных ситуаций

3.1. Сбой программного обеспечения. Администратор безопасности ИСПДн совместно с сотрудником отдела, у которого произошла нештатная ситуация, выясняют причину сбоя. Если исправить ошибку своими силами не удалось, разработчику ПО направляется информационное сообщение с сопроводительными материалами о возникшей ситуации.

3.2. Отключение электричества. Администратор безопасности ИСПДн совместно с сотрудником отдела, у которого произошла нештатная ситуация, проводят анализ на наличие потерь и (или) разрушения данных и ПО, а так же проверяют работоспособность оборудования. В случае необходимости, производится восстановление ПО и данных из последней резервной копии.

3.3. Сбой в локальной вычислительной сети (ЛВС). Администратор безопасности ИСПДн проводит анализ на наличие потерь и (или) разрушения данных и ПО. В случае необходимости, производится восстановление ПО и данных из последней резервной копии.

3.4. Выход из строя сервера. Администратор безопасности ИСПДн, ответственный за эксплуатацию сервера, проводит меры по немедленному вводу в действие резервного сервера (если есть) для обеспечения непрерывной работы ____________________. При необходимости производятся работы по восстановлению ПО и данных из резервных копий.

3.5. Потеря данных. При обнаружении потери данных Администратор безопасности ИСПДн проводит мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости, производится восстановление ПО и данных из резервных копий.

3.6. Обнаружен вирус. При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить «заражённый» компьютер от ЛВС и провести анализ состояния компьютера. Анализ проводится компетентным в этой области сотрудником. Результатом анализа может быть попытка сохранения (спасения данных), так как после перезагрузки ЭВМ данные могут быть уже потеряны. После успешной ликвидации вируса, сохранённые данные также необходимо подвергнуть проверке на наличие вируса. При обнаружении вируса следует руководствоваться «Инструкцией по организации антивирусной защиты», инструкцией по эксплуатации применяемого антивирусного ПО. После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех ЭВМ ____________________ с применением обновлённых антивирусных баз. При необходимости производится восстановление ПО и данных из резервных копий. Проводится служебное расследование по факту появления вируса в ЭВМ (ЛВС).

3.7. Обнаружена утечка информации. При обнаружении утечки информации ставится в известность Администратор безопасности ИСПДн. Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищённости системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения.

3.8. Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). При обнаружении взлома сервера ставится в известность Администратор безопасности ИСПДн. Проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер. Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных из эталонного архива и резервных копий. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ЛВС ____________________, после чего провести аналогичные работы по проверке и восстановлению ПО и данных на других ЭВМ. По факту взлома сервера проводится служебное расследование.

3.9. Попытка несанкционированного доступа (НСД). При обнаружении утечки информации ставится в известность Администратор безопасности ИСПДн. При попытке НСД проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД (данный журнал ведётся автоматизированным способом средствами защиты информации от несанкционированного доступа). По результатам анализа, в случае необходимости, принимаются меры по предотвращению НСД, если есть реальная угроза НСД. Так же рекомендуется провести внеплановую смену паролей. В случае появления обновлений ПО, устраняющих уязвимости системы безопасности, следует применить такие обновления.

3.10. Компрометация ключей. При обнаружении утечки информации ставится в известность Администратор безопасности и начальник подразделения. При компрометации ключей следует руководствоваться инструкциями к применяемой системе криптозащиты.

3.11. Компрометация пароля. При обнаружении утечки информации ставится в известность Администратор безопасности и начальник отдела __________. При компрометации пароля необходимо немедленно сменить пароль, проанализировать ситуацию на наличие последствий компрометации и принять необходимые меры по минимизации возможного (или нанесённого) ущерба (блокирование счетов пользователей и т.д.). При необходимости, проводится служебное расследование.

3.12. Физическое повреждение ЛВС или ПЭВМ. Ставится в известность Администратор безопасности ИСПДн. Определяется причина повреждения ЛВС или ПЭВМ и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование. Проводится проверка ПО на наличие вредоносных программ-закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных из резервных копий.

3.13. Стихийное бедствие. При возникновении стихийных бедствий следует руководствоваться документами, регламентирующими поведение в чрезвычайных ситуациях, принятых в учреждении.

4. Меры против возникновения нештатных ситуаций

4.1. Администратором безопасности ИСПДн периодически, не реже 1 раза в год, должен проводиться анализ зарегистрированных нештатных ситуаций для выработки мероприятий по их предотвращению.

4.2. В общем случае, для предотвращения нештатных ситуаций необходимо чёткое соблюдение требований нормативных документов Министерства и инструкций по эксплуатации оборудования и ПО.

4.3. Рекомендации по предотвращению некоторых типичных нештатных ситуаций:

- Сбой программного обеспечения - применять лицензионное ПО, регулярно проводить антивирусный контроль и профилактические работы на ЭВМ (проверка диска и др.).

- Отключение электричества - использовать источники бесперебойного питания на критически важных технологических участках Министерства.

- Сбой ЛВС - обеспечение бесперебойной работы ЛВС путём применения надёжных сетевых технологий и резервных систем.

- Выход из строя серверов - применять надёжные программно-технические средства. Допускать к работе с серверным оборудованием только квалифицированных специалистов.

- Потеря данных - периодически проводить анализ системных журналов работы ПО с целью выяснения «узких» мест в технологии и возможной утечки (или потери) информации. Проводить с администраторами информационной безопасности (и сотрудниками) разъяснительные и обучающие собрания. Обеспечить резервное копирование данных.

- Обнаружение вируса - соблюдать требования «Инструкции по организации антивирусной защиты».

- Утечка информации - применять средства защиты от НСД. Регулярно проводить анализ журналов попыток НСД и работы по совершенствованию системы защиты информации.

- Попытка несанкционированного доступа (НСД) - по возможности, установить регистрацию попыток НСД на всех технологических участках, где возможен несанкционированный доступ, с оповещением Администратора информационной безопасности о попытках НСД.

- Компрометация паролей - соблюдать требования «Инструкции по организации парольной защиты».

- Физическое повреждение ЛВС или ПЭВМ - физическая защита компонентов сети (серверов, маршрутизаторов и др.), ограничение доступа к ним.

- Стихийное бедствие - проводить обучающие собрания и тренировки персонала ____________________ по вопросам гражданской обороны.

Размещено на Allbest.ru


Подобные документы

  • Развитие информационных систем. Современный рынок финансово-экономического прикладного программного обеспечения. Преимущества и недостатки внедрения автоматизированных информационных систем. Методы проектирования автоматизированных информационных систем.

    дипломная работа [1,5 M], добавлен 22.11.2015

  • Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.

    курсовая работа [132,1 K], добавлен 28.07.2015

  • Основные области проектирования информационных систем: базы данных, программы (выполнение к запросам данных), топология сети, конфигурации аппаратных средств. Модели жизненного цикла программного обеспечения. Этапы проектирования информационной системы.

    реферат [36,1 K], добавлен 29.04.2010

  • Методология структурного анализа и проектирования информационных систем. Базовый стандарт процессов жизненного цикла программного обеспечения. Цели и принципы формирования профилей информационных систем. Разработка идеальной модели бизнес-процессов.

    презентация [152,1 K], добавлен 07.12.2013

  • Изучение методов обеспечения безопасности информации. Основные подходы к построению и анализу защищенных систем. Описание комплекса организационно-технологических и программно-технических мер по обеспечению защищенности информации в компьютерной системе.

    реферат [1,1 M], добавлен 16.11.2010

  • Виды обеспечения автоматизированных информационных систем. Составление технического задания, разработка информационной системы, составление руководства пользователя к программе. Средства программирования распределенных систем обработки информации.

    отчет по практике [1,1 M], добавлен 16.04.2017

  • Анализ тенденций развития информационных технологий. Назначение и цели применения систем автоматизированного проектирования на основе системного подхода. Методы обеспечения автоматизации выполнения проектных работ на примере ЗАО "ПКП "Теплый дом".

    курсовая работа [210,0 K], добавлен 11.09.2010

  • История развития информационных технологий. Классификация, виды программного обеспечения. Методологии и технологии проектирования информационных систем. Требования к методологии и технологии. Структурный подход к проектированию информационных систем.

    дипломная работа [1,3 M], добавлен 07.02.2009

  • Жизненный цикл информационных систем, методологии и технологии их проектирования. Уровень целеполагания и задач организации, классификация информационных систем. Стандарты кодирования, ошибки программирования. Уровни тестирования информационных систем.

    презентация [490,2 K], добавлен 29.01.2023

  • Методологии разработки информационных систем в отечественной и зарубежной литературе. Государственные и международные стандарты в области разработки программного обеспечения. Разработка фрагмента информационной системы "Учебно-методический ресурс".

    курсовая работа [364,6 K], добавлен 28.05.2009

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.