Анализ системы защиты информации в НАН ЧОУ ВО "Академия маркетинга и социально-информационных технологий – ИМСИТ"

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Анализ объекта защиты

1.1 Краткая характеристика НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ»

1.2 Информационные ресурсы в НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ»

1.3 Анализ угроз конфиденциального характера

2. Анализ системы защиты в Академии

2.1 Организационные средства системы защиты информации Академии

2.2 Инженерно-технические средства системы защиты информации в Академии

2.3 Программные средства системы защиты информации в колледже

2.4 Недостатки системы защиты информации

3. Рекомендации по совершенствованию системы защиты информации

3.1 Анализ системы защиты информации

3.2 Меры защиты электронного документооборота

3.3 Введение новой должности техника по защите информации

Заключение

Список использованных источников

Введение

Производственная практика является частью учебного процесса и направлена на получение первоначальных практических профессиональных умений в рамках профессионального модуля ПМ.01 Выполнение работ по одной или нескольким профессиям рабочих, должностям служащих, в результате которой происходит формирование общих и профессиональных компетенций по модулю.

В ходе практики проводится обучение основным приёмам, операциям и способам выполнения процессов, характерных для соответствующей профессии и необходимы для последующего освоения общих и профессиональных компетенций по избранной профессии.

Объектом исследования практики - образовательное учреждение НАН ЧОУ ВО «Академия маркетинга и социально информационных технологий - ИМСИТ».

Предметом исследования практики - система защиты информации и предложение по улучшению конфиденциального документооборота.

Целью производственной практики - анализ системы защиты информации в области конфиденциального документооборота в НАН ЧОУ ВО «Академия маркетинга и социально информационных технологий - ИМСИТ».

В ходе освоения программы производственной практики обучающийся должен выполнить следующие задачи:

1) провести анализ объекта защиты деятельность НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ»;

2) проанализировать организационную структуру НАН ЧОУ ВО АКАДЕМИИ ИМСИТ;

3) изучить информационные ресурсы Академии;

4) провести исследование по выявлению оценки угроз конфиденциального характера;

5) провести характеристику по средствам системы защиты конфиденциального документооборота;

6) выявить недостатки системы защиты конфиденциального документооборота;

7) внедрить средство системы защиты конфиденциального документооборота.

1. Анализ объекта защиты

1.1 Краткая характеристика НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ»

НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ» занимается подготовкой соответствующего уровня и профиля, конкурентоспособного на рынке труда, компетентного, ответственного, свободно владеющего своей профессией и ориентированного в смежных областях деятельности, способного к эффективной работе по специальности на уровне мировых стандартов, готового к постоянному профессиональному росту, социальной и профессиональной мобильности, удовлетворение потребностей личности в получении соответствующего образования [1].

НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ» выполняет следующие задачи:

- обеспечение единства учебной, научной, инновационной деятельности, позволяющего обучающимся приобрести глубокие научные знания, профессиональные навыки, умения учиться и получать новые знания, в полной мере реализовывать свой творческий потенциал;

- обеспечение реализации системы непрерывного и многоуровневого образования;

- обеспечение высокого уровня требований к обучающимся, преподавателям, образовательным технологиям, гарантирующего высокое качество подготовки специалистов;

- поиск новых, нестандартных путей в развитии образовательных и научных технологий, приводящих к оптимальному решению проблем, стоящих перед вузом;

- переход от предметно-ориентированного подхода к личностно - ориентированным формам организации образовательного процесса и созданию системы элитной подготовки выпускников, что обеспечит вузу дополнительные конкурентные преимущества;

- обеспечение фундаментальности образования по всем циклам подготовки и, в первую очередь, по профессиональным дисциплинам и дисциплинам специализации;

- создание и развитие современных образовательных технологий, активная поддержка научно-педагогических школ и инновационных идей, создание учебников и учебных пособий, отражающих последние достижения науки, техники и технологий;

- открытие и развитие новых более востребованных специальностей;

- обеспечение трудоустройства обучающихся;

- расширение образовательных услуг за счет активной реализации современных программ дополнительного образования, а также обеспечения второго высшего образования;

- создание соответствующей инфраструктуры и технологий для обучения людей с ограниченными возможностями;

- развитие системы дистанционного образования, которое обеспечит академии новую образовательную нишу, даст возможность существенно расширить географический рынок образовательных услуг, позволит осуществлять активную маркетинговую политику вуза по продвижению образовательных услуг в регионах;

- создание базы для перехода на двуязычную (русский и английский) систему обучения, расширение возможностей освоения обучающимися иностранных языков, как европейских, так и азиатских на уровне, соответствующем современным мировым стандартам;

- внедрение кредитно-модульной системы учета объема изучаемых дисциплин;

- совершенствование системы маркетинга образовательных услуг в России и за рубежом;

- совершенствование системы до вузовской подготовки;

- укрепление кадрового потенциала и материальной базы учебных подразделений, совершенствование методического и информационного обеспечения образовательного процесса для реального перехода к созданию и реализации новых образовательных технологий.

На рисунке 1 представлена организационная структура НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ» [2].

Рисунок 1 - Организационная структура НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ»

На рисунке 1 можно увидеть организационную структуру Академии, а именно:

- совет учредителей -- высшим законодательным органом управления вузом является Совет Учредителей, который руководствуется Уставом вуза, Законом об образовании РФ и документами Правительства РФ, инструкциями и рекомендациями Минобразования России;

- президент -- руководитель холдинга;

- ученный совет - коллективный орган управления вузом;

- ректор -- руководитель высшего учебного заведения;

- директор академического колледжа - директор колледжа;

- проректор -- заместитель ректора высшего учебного заведения по какому-либо направлению работы вуза;

- заведующие кафедрами -- руководители кафедрами в высших учебных заведениях, а именно программная инженерия, менеджмент, финансы и кредит;

- заведующие отделением -- руководители отделениями в среднем профессиональном образовании, а именно инженерно-информационное отделение, кафедра математики и вычислительной техники считается выпускающей по ниже перечисленным образовательным программам, кафедра бизнес-процессов и экономической безопасности считается выпускающей по ниже перечисленным образовательным программам.

1.2 Информационные ресурсы в НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ»

90 персональных компьютеров, 5 комбинированных лабораторий, каждая из которых оснащена локальной сетью, вся учебная информация находится на сервере [3].

Для наиболее комфортной работы студентов Академия маркетинга и социально-информационных технологий, предоставляет компьютеры, а также программное обеспечение:

- видеоадаптер: NVIDIA GeForce 820M,

- процессор: IntelI CoreI i5-337U CPU @ 1.80GHz,

- операционная система: Windows 8.1 - x 64 разрядная система,

- оперативная память (ОЗУ): 4,00 ГБ,

- жёсткий диск: ST500LT012-1DG142.

Каждый рабочий кабинет оснощен профессиональным пакетом программ, а именно:

Microsoft Office 2019 Home and Student (лицензия) -- текстовый процессор, предназначенный для создания, просмотра, редактирования и форматирования текстов статей, деловых бумаг, а также иных документов, с локальным применением простейших форм таблично-матричных алгоритмов [4].

OpenOffice Writer -- текстовый процессор и визуальный (WYSIWYG) редактор HTML, входит в состав OpenOffice.org и является свободным программным обеспечением.

Dr.Web Cureit -- лечащая утилита Dr.Web CureIt! Вылечит инфицированную систему однократно, но она не является постоянным средством для защиты компьютера от вирусов.

7-Zip -- бесплатный архиватор, который можно без ограничений использовать на домашних компьютерах, и компьютерах коммерческих организаций.

Chrome -- браузер, разрабатываемый компанией Google на основе свободного браузера Chromium и движка Blink. Первая публичная бета-версия для Windows вышла 2 сентября 2008 года, а первая стабильная - 11 декабря 2008 года.

Visio -- программное обеспечение для рисования различных диаграмм: блок-схем, организационных диаграмм, планов зданий, поэтажных планов, диаграмм потоков данных, технологических схем, моделирования бизнес-процессов, swim lane блок-схем, 3D-карт.

Paint -- это программа, поставляемая в комплекте с Windows и предназначенная для создания и редактирования на экране изображении [5].

В аудиторской фирме хранится следующая конфиденциальная информация:

- коммерческая тайна,

- служебная тайна,

- профессиональная тайна,

- персональные данные сотрудников,

- маркетинг,

- финансы,

- учредительный договор.

На рис. 2 представлена схема разработки компьютерной лаборатории.

Рисунок 2 - Схема разработки компьютерной лаборатории

План помещения состоит из входной двери одностворчатой, одно окно (открывается во внутрь), решёток на окнах нет. В помещении находятся: 19 ПК, каждый компьютер оснащён: системным блоком, клавиатурой, мышкой, монитором. Компьютерная лаборатория оснащена: 19 рабочими местами, в которые входят: доска для записей, 19 стульев и парт [6].

Схема локальной сети состоит из: коммутатора позволяющий подключить маршрутизатор и произвести беспроводной соединение каждого ПК. Тем самым бес проводная сеть позволяет передавать данные на сервер, который подключается к брандмауэру [7].

На рисунке 3 представлена разработка схемы локальной сети в компьютерной лаборатории.

Рисунок 3 - Схема локальной сети в компьютерной лаборатории

Схема локальной сети состоит из коммутатора S5860-20SQ, который подключается к серверу и который позволяет произвести соединение каждого ПК по локальной сети. И также сервер подключается к брандмауэру Palo Alto, который производит дополнительную защиту для сервера [8].

1.3 Анализ угроз конфиденциального характера

В образовательном учреждении можно выделить следующие информационные активы:

- данные о студентах - содержит в себе полную информацию о студентах, обучающихся в Академии. Это могут быть ФИО, паспортные данные, данные о месте проживания, номера телефонов и т.д.;

- программное обеспечение - это все программы, которые используются в Академии;

- государственные сведения об Академии, имеющие юридическую важность.

В соответствии с ГОСТ Р ИСО/МЭК 27005-2010 «Методы и средства обеспечения безопасности. «Методы риска информационной безопасности». Выберем три информационных актива для колледжа. Cоставим таблицы типичных угроз информационных активов - уязвимостей информационных активов, оценки рисков информационных активов.

В таблице 1 представлены типичные угрозы информационных активов колледжа.

Таблица 1 - Типичные угрозы информационных активов колледжа

Информационный актив	Вид угрозы	Происхождение
Сеть	Передача паролей в незашифрованном виде	Хищение носителей, данных или документов
Выход из строя электроприборов	Нарушение нормальной работы ПК, из-за не знания компьютерной грамотности	Нарушение работоспособности
Студенты	Удаление важной информации, заражение вредоносного программного обеспечения, в сетевом пространстве, подмена информации, воровство аппаратного и программного обеспечения	Хищение и повреждение конфиденциальных данных

Были выделены следующие важнейшие информационные активы: сеть, выход из строя электроприборов, студенты. Вид угроз: передача паролей, нарушение нормальной работы ПК, удаление важной информации, заражение вредоносного программного обеспечения, в сетевом пространстве, подмена информации, воровство аппаратного и программного обеспечения. Происхождение: хищение носителей, данных или документов, нарушение работоспособности [9].

В таблице 2 представлены уязвимости информационных активов.

Таблица 2 - Уязвимости информационных активов колледжа

Информационный актив	Уязвимости
Сеть	Отсутствие тестирования ПО, незащищенные таблицы паролей, передача паролей в незашифрованном виде, недостаточное осознание безопасности.
Выход из строя электроприборов	Недостаточное техническое обслуживание, отсутствие периодической замены оборудования, чувствительность к влажности и загрязнению, некорректное размещение оборудования, незащищенное хранение оборудования.
Студенты	Не достаточное осознание студентов, при использовании ПК, а также всей сущности ИБ.

Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации (определение сформулировано на основе документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»). То есть уязвимыми являются компоненты системы, наиболее подверженные к угрозам.

Оценка уязвимостей активов - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации (определение сформулировано на основе документа ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»).

Оценки уязвимостей активов, бывают: среда и инфраструктура, аппаратное обеспечение, программное обеспечение, коммуникации, документооборот, персонал, общие уязвимые места.

Ценность актива 0-10 (для организации и работы колледжа): Сеть-5; Студенты-8; Выход из строя электроприборов-7.

Классификации угроз. 0-незначительно -- 10 может нанести огромный или непоправимый ущерб всей организации:

- дистанционный шпионаж - 6,

- ошибка при использовании - 2,

- нарушение функционирования ПО - 5,

- физический ущерб - 8,

- природные явления - 10,

- кража оборудования - 9,

- нарушение сопровождения сервиса - 6,

- несанкционированное использование - 7,

- фальсификация прав - 6.

Внимание к уязвимости. 0 - очень сложно спровоцировать угроз, 10-легко спровоцировать угрозу:

- отсутствие тестирования - 3,

- незащищенные таблицы паролей - 8,

- передача паролей в не зашифрованном виде - 9,

- не достаточное осознание безопасности - 2,

- недостаточное техническое обслуживание - 6,

- отсутствие периодической замены оборудования - 5,

- чувствительность к влажности и загрязнению - 4,

- некорректное размещение оборудования - 8,

- не защищенное хранение - 10,

- широко известные дефекты ПО - 9,

- повторное использование списанного оборудования - 8,

- отсутствие резервных копий - 8,

- ненадежная сетевая архитектура - 9,

- некорректная идентификация пользователя на сервере - 10.

В таблице 3 представлена оценка рисков угроз для информационных активов колледжа, в который представлены: информационные активы, ценность актива, угрозы актива, внимание к уязвимости актива, а также оценка рисков угроз для активов [10].

В первую очередь нужно оценить: информационный актив, ценность, угрозы актива и внимание к уязвимости актива. Затем следует произвести оценку актива, в зависимости от рода деятельности предприятия [11].

Таблица 3 - Оценка рисков угроз для информационных активов Академии

Информационный актив	Ценность актива	Угрозы актива	Внимание к уязвимости актива
Сеть	5	1--6; 2--2; 3--5.	1--3; 2--8; 3--9; 4--2.
Выход из строя электроприборов	8	4--8; 5--10; 6--9.	5--6; 6--5; 7--4; 8--8; 9--10.
Студенты	7	7--6; 8--7; 9--6.	10--9; 11--8; 12--8; 13--9; 14--10.

информация угроза электронный документооборот

2. Анализ системы защиты в Академии

2.1 Организационные средства системы защиты информации Академии

Организационные средства системы защиты информации -- это регламентация производственной деятельности и взаимоотношений деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

В НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ» используются следующие организационные средства для защиты информации:

- проверка на бесперебойность компьютерной сети,

- идентификация и проверка полномочий при осуществлении действий,

- обеспечение защиты файлов,

- проверка на исправность компьютеров,

- защита ОС и программ сотрудников,

- шифрование и дешифрование трафика компьютерной сети,

- уничтожение остатков информации в компьютерной сети,

- регистрация обращений к системе,

- видеонаблюдение помещений.

2.2 Инженерно-технические средства системы защиты информации в Академии

Инженерно-технические средства защиты информации -- это совокупность средств, инженерно-технической защиты территорий и помещений, объекта, средств обнаружения и защиты информации, организованная направленность применения которых состоит в создании системы охраны и защиты информации на объектах и элементах информационной системы организации от угроз ее хищения, модификации или уничтожения [12].

В каждой аудитории НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ» используются следующие инженерно-технические средства защиты информации:

- 1 камера видеонаблюдения FX-C8F-IR,

- 1 блок питания CARDDEX,

- 2 дымовых извещается Рубеж ИП 212/101-64 PR прот. R3 IP40,

- 1 световой оповещать ПКИ-1 Иволга,

- сетевой кабель на 10 метров molded solid,

- 15 сетевых фильтров Supra Mains Block MD-06EU Switchp.

2.3 Программные средства системы защиты информации в колледже

Программные средства системы защиты информации -- это специальные программы и программные комплексы, предназначенные для защиты информации в информационной системе [13].

Говоря о защите конфиденциальных данных, нельзя обойти стороной использование комплексного подхода. Практика показывает, что, если делать ставку только на одну из систем нельзя добиться полной защищенности информации. Неудивительно, что сегодня системы технических средств, направленных на контроль за информацией, постоянно совершенствуются.

НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ» на 1 компьютере используются следующие программные средства:

1) одно встроенное средство защиты информацииWindows Defender,

2) один антивирус ESET NOD32 Parental Control,

3) один база данных 1C,

4) единое подключение к серверу Dell PowerEdge R740.

Наиболее подходящие средства защиты информации для НАН ЧОУ ВО «Академия маркетинга и социально-информационных технологий - ИМСИТ» являются инженерно-технические средства защиты информации так как постороннее лицо не получит допуск к помещению, где хранятся конфиденциальная информация и в здании будет вестись видеонаблюдение за коридором и аудиториями [14].

2.4 Недостатки системы защиты информации

Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности[13].

Проанализировав информационную безопасность колледжа можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:

- отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных),

- нерегулярное обновление баз программы антивируса и сканирование рабочих станций,

- большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях [14],

- не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области,

- не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя,

- отсутствие политики информационной безопасности,

- отсутствие системного администратора.

Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности информационно-инженерного отделения [15].

Поэтому для улучшения системы защиты информации будет введена новая должность техника по защите информации, будет составлена его инструкция, в которых будут указаны его обязанности. Техник по защите информации может установить пароли, разграничить права доступа, будет проверять актуальность программ и лицензии.

Так же будет введен журнал, где будет перечень документов с конфиденциальной информацией. Это нужно для того, чтобы в случае утери важного документа, быстро среагировать, потому что документы часто лежат в папках и их могут украсть.

3. Рекомендации к усовершенствованию системы защиты информации

3.1 Анализ системы защиты информации

Пользование информационными ресурсами ИМСИТ регламентируется в соответствии с Федеральным законом «Об образовании в Российской Федерации» от 29 декабря 2012 г. № 273-ФЗ. Доступ педагогических работников и обучающихся к информационным ресурсам обеспечивается в целях качественного осуществления образовательной и иной деятельности, предусмотренной Уставом колледжа [16]. Исследуемое предприятие содержит следующие информационные ресурсы:

- информация, относящаяся к коммерческой тайне: заработная плата, договоры с поставщиками и арендаторами,

- защищаемая информация: личные дела работников и обучающихся, трудовые договора, личные карты работников, содержание регистров бухгалтерского учета и внутренней? бухгалтерской отчетности, прочие разработки и документы для внутреннего пользования,

- открытая информация: буклеты, учредительный документ, устав, перечень образовательных программ и т. д.

Доступ к информационно-телекоммуникационным сетям: доступ педагогических работников к информационно-телекоммуникационной сети Интернет в колледже осуществляется с персональных компьютеров (ноутбуков и т.п.), подключенных к сети Интернет. Для доступа к информационно-телекоммуникационным сетям в колледже педагогическому работнику предоставляются идентификационные данные (логин и пароль / учётная запись). Предоставление доступа осуществляется системным администратором колледжа [17].

Установлен порядок доступа педагогических работников к информационно-телекоммуникационным сетям и базам данных, учебным и методическим материалам, материально-техническим средствам обеспечения образовательной деятельности. Система обеспечения информационной безопасности в колледже осуществляется комплексно и включает в себя меры следующих уровней:

Нормативно-правовой, включающий законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации 25 ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил[18]. Основными законодательными актами, регулирующими вопросы информационной безопасности колледжа, являются:

- Гражданский кодекс РФ ст.139,

- Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183,

- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152- ФЗ «О персональных данных» в действующей редакции,

- Федеральный закон Российской Федерации от 27 июля 2006 г. № 149 - ФЗ «Об информации, информационных технологиях и о защите информации» в действующей редакции,

- Постановление Правительства Российской Федерации от 1 ноября 2012? года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты[19]. Организационные меры защиты информации в колледже реализованы следующим образом:

- нормализован контроль, соблюдение временного режима труда и пребывания сотрудников колледжа на территории организации,

- организована работа с документами и документированной? информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации; администрирование сети и разграничением прав пользователей.

Политика безопасности домена предписывает пользователям регулярно изменять свои пароли, контролирует не повторяемость и непохожесть паролей.

В качестве недостатков данного уровня защиты можно указать следующие факты. В колледже отсутствует обучение пользователей ИС, периодические инструктажи, наказания/поощрения пользователей, что ведет к небрежности сотрудников, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения и студентов, заключающаяся в частоте блокирование системы из-за неправильности введенных данных.

А также на административном уровне политика информационной безопасности пока не утверждена.

Программно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации. В колледже осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами колледжа. Программно-аппаратные средства защиты информации:

SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум 27 медным парам в режиме «точка-точка» с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS).

Антивирусной системой Kaspersky Anti-Virus для защиты от компьютерных вирусов производится нерегулярное обновление баз и сканирование рабочих станций[20].

Для защиты безопасности конфиденциальной информации, которая сдержится на сервере или в документах отделения, следует ввести нового сотрудника. Техник по защите информации может установить пароли, разграничить права доступа, будет проверять актуальность программ и лицензии[21].

Будет введен журнал по учету конфиденциальных документов, который будет храниться в отделении и вести его будет секретарь, где будет перечень документов с конфиденциальной информацией. Это нужно для того чтобы в случае утери важного документа, быстро среагировать, потому что документы часто лежат в папках и их могут украсть.

3.2 Введение должности техника по защите информации

Каждый новый или вновь назначенный служащий нуждается в некоторой форме введения в должность. Процедура введения в должность позволяет предупредить возможные негативные последствия передвижения уже работающего либо наем нового сотрудника. Ее основная задача -- помочь сотруднику адаптироваться в новой обстановке и достичь необходимой эффективности трудовых функций в наиболее короткий срок[].

Для этого разрабатываются инструкции для новых должностей.

В этой инструкции для техника по защиты информации есть разделы:

- общие положения,

- должностные обязанности,

- права,

- ответственность.

В общих положениях рассматриваются требования к технику по защите информации, в должностных обязанностях, что он должен делать для защиты системы безопасности, так же указаны его права и рамки свободы действий и ответственность, если он будет некомпетентно работать.

3.3 Формирование журнала по учету конфиденциальных документов

Журнал будет создан с критериями данных, которые содержатся в документах с конфиденциальной информацией. Сам журнал будет вести секретарь, который будет заполнять его при поступлении подобного файла. При карточном способе учета документов (как и носителей) необходимо вести контрольный журнал, предназначенный для регистрации карточек и обеспечения последовательности проставления их номеров, контроля за местонахождением документов, находящихся в обращении, ускорения их поиска, а также для проставления отметок о проверках наличия документов. Контрольный журнал заводится по каждому виду кар точного учета документов. Он имеет следующую форму, представленную в приложении 2 Журнал учета конфиденциальных документов.

Заключение

По итогам выполнения программы производственной практики по профессиональному модулю ПМ.01 «Участие в планировании и организации работ по обеспечению защиты объекта» были выполнены следующие задачи:

- проанализирована деятельность Негосударственного аккредитованного некоммерческого частного образовательного учреждения высшего образования «Академия маркетинга и социально - информационных технологий - ИМСИТ»,

- изучена организационная структура Негосударственного аккредитованного некоммерческого частного образовательного учреждения высшего образования «Академия маркетинга и социально - информационных технологий - ИМСИТ»,

- рассмотрены угрозы конфиденциального характера,

- выявлены недостатки системы защиты,

- проанализированы подразделения конфиденциального делопроизводства.

Отчет состоит из введения, 3 разделов, заключения и списка использованных источников.

В аналитической части представлено описание базы практики, организационной структуры, описание аппаратного и программного обеспечения и анализ угроз конфиденциального характера.

В проектной части представлено описание организационных, инженерно-технических и программных средств системы защиты информации, а также в данном разделе был проведён анализ конфиденциального документооборота в образовательном учреждении и предоставлены рекомендации по проведению различных тренингов.

В реализации проведен анализ конфиденциального документооборота и описаны понятия, задачи и особенности конфиденциального документооборота [20].

Список использованных источников

1. Гришина Н.В. Информационная безопасность предприятия: Учебное пособие / Гришина Н.В., - 2-е изд., доп - М.:Форум, НИЦ ИНФРА-М, 2019. - 240 с.

2. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / Шаньгин В. Ф. - 2019. - 416 с.

3. Баранова Е.К. Моделирование системы защиты информации: Практикум: Учебное пособие / Е.К. Баранова, А.В. Бабаш - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2019 - 120 с.

4. Моделирование системы защиты информации: Практикум: Учебное пособие - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2016 - 120 с.

5. Баранова Е.К. Информационная безопасность и защита информации: Учебное пособие/Баранова Е.К., Бабаш А.В., 3-е изд. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2018. - 322 с.

6. Жук А.П. и др. Защита информации: учеб. пособие. - М.: ИНФРА-М, 2018. - 392 с.

7. Баранов А.П., Зегжда Д.П., Ивашко А.М., Корт С.С. Теоретические основы информационной безопасности (дополнительные главы). Учебное пособие - ЦОП СпбГУ, Санкт-Петербург, 2019.

8. Олифер, Виктор Григорьевич. Компьютерные сети, Принципы, технологии, Учебное пособие - ЦОП СпбГУ, Санкт-Петербург, 2018.

9. Платонов В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей - М: Академия, 2019. - 322 с.

10. Проскурин В.Г., Крутов С.В., Мацкевич И.В. Программно-аппаратные средства обеспечения информационной безопасности: Защита в операционных системах. - М.: Радио и связь, 2018.

11. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М: Инфра-М, 2019 - 244 с.

12. Ищейнов В.Я. Основные положения информационной безопасности: Учебное пособие - М.: Форум, НИЦ ИНФРА-М, 2019. - 208 с.

13. Партыка Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - 5-e изд., перераб, и доп. - 2018. - 432 с.

14. Васильков А.В. Безопасность и управление доступом в информационных системах: учебное пособие / Васильков А.В., Васильков И.А. - М.: Форум, НИЦ ИНФРА-М, 2018. - 368 с.

15. Мельников, В.П. и др. Информационная безопасность: учеб. пособие для СПО/Мельников, В.П., Клей - 8-е изд., стереотип. - М.: Академия,2019. -336 с.

16. Кузнецов И.Н. Бизнес-безопасность/ И.Н. Кузнецов. - 3-е изд. - М.: Дашков и К, 2019. - 416 с.

17. Куняев Н.Н. Конфиденциальное делопроизводство и защищенный электронный документооборот, Н.Н. Куняев, А.С. Дёмушкин, А.Г. Фабричнов;

18. Гугуева Т.А. Конфидициальное делопроизводство: учеб. пособие. - М.: ИНФРА-М, 2019. - 192 с

19. Васильков А.В. Безопасность и управление доступом в информационных системах: учебное пособие / Васильков А.В., Васильков И.А. - М.: Форум, НИЦ ИНФРА-М, 2018. - 368 с.

20. Ищейнов В.Я., Мецатунян М.В. Защита конфиденциальной информации: учеб. пособие. - М.: ФОРУМ, 2019. - 208 с.

Размещено на Allbest.ru