Пользователь несет персональную ответственность за сохранение в тайне основного пароля. Запрещается сообщать пароль другим, записывать его, а так же пересылать открытым текстом в электронных сообщениях.

Пользователь обязан не реже одного раза в месяц производить смену основного пароля, соблюдая требования.

Восстановление забытого основного пароля пользователя осуществляется системным администратором путем изменения (сброса) основного пароля пользователя на первичный пароль на основании письменной либо электронной заявки пользователя.

Для предотвращения угадывания паролей системный администратор обязан настроить механизм блокировки учетной записи при трехкратном неправильном вводе пароля.

Разблокирование учетной записи пользователя осуществляется системным администратором на основании заявки владельца учетной записи.

Административный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная системному администратору (администратору БД, администратору приложения), используемая при настройке служебных учетных записей, учетных записей служб и сервисов, а так же специальных учетных записей.

Личные пароли должны соответствовать следующим требованиям:

1) длина пароля должна быть не менее 8 символов;

2) в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

3) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

4) при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях; личный пароль пользователь не имеет права сообщать никому.

Антивирусы

При работе с современным персональным компьютером пользователя может подстерегать множество неприятности: потеря данных, зависание системы, выход из строя отдельных частей компьютера. Одной из причин этих проблем наряду с ошибками в программном обеспечении и неумелыми действиями самого оператора ПЭВМ могут быть проникшие в систему компьютерные вирусы.

Для защиты от вирусов можно использовать [6]:

1) Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

2) Профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

3) Специализированные программы для защиты от вирусов. Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих методов защиты [25.]:

4) Резервное копирование информации, т.е. создание копий файлов и системных областей дисков на дополнительном носителе;

5) Разграничение доступа, предотвращающее несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов :

1) Программы - детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов

2) Программы - доктора, или фаги, восстанавливают зараженные программы, убирая из них тело вируса, т.е. программа возвращается в то состояние, в котором она находилась до заражения вирусом.

3) Программы - ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.

4) Доктора - ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.

5) Программы - фильтры располагаются резидентно в оперативной памяти компьютера, перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить выполнение соответствующей операции.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Поэтому наилучшей стратегией защиты от вирусов является многоуровневая защита.

Средствами разведки в защите от вирусов является программы - детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На первом уровне защиты находятся программы для защиты от вируса. Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программы и диска.

Второй уровень защиты составляют программы - ревизоры, программы - доктора и доктора - ревизоры. Ревизоры обнаруживают нападение тогда, когда вирус сумел пройти сквозь первый уровень. Программы - доктора применяются для восстановления зараженных программ, если ее копий нет в архиве, но они не всегда лечат правильно. Доктора - ревизоры обнаруживают нападения вируса и лечат зараженные файлы, причем контролируют правильность лечения. информация защита безопасность профессиональный

Третий уровень защиты - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В резерве находятся архивные копии информации и эталонные диски с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

Среди наиболее распространенных антивирусных пакетов следует отметить NOD 32, Kaspersky Antivirus, DrWeb, Adinf. Перечисленные средства могут оказать серьезную помощь в обнаружении вирусов и восстановлении поврежденных файлов, однако не менее важно и соблюдение сравнительно простых правил антивирусной безопасности.

1) Следует избегать пользоваться нелегальными источниками получения программ. Наименее же опасен законный способ покупки фирменных продуктов.

2) Осторожно следует относиться к программам, полученным из сети Internet, так как нередки случаи заражения вирусами программ, распространяемых по электронным каналам связи

3) Всякий раз, когда дискета (диск, флешка) побывала в чужом компьютере, необходимо проверить дискету с помощью одного или двух антивирусных средств

4) Необходимо прислушиваться к информации о вирусных заболеваниях на компьютерах в своем районе проживания или работы и о наиболее радикальных средствах борьбы с ними.

В ТОО «Фирма «Комтеко»» для устранения вирусов в системе используются антивирусная система Dr.Web Anti-Virus.

Dr. Web -- антивирусы этого семейства предназначены для защиты от почтовых и сетевых червей, руткитов, файловых вирусов, троянских программ, стелс-вирусов, полиморфных вирусов, бестелесных вирусов, макровирусов, вирусов, поражающих документы MS Office, скрипт-вирусов, шпионского ПО (spyware), программ-похитителей паролей, клавиатурных шпионов, программ платного дозвона, рекламного ПО (adware), потенциально опасного ПО, хакерских утилит, программ-люков, программ-шуток, вредоносных скриптов и других вредоносных объектов, а также от спама, скаминг-, фарминг-, фишинг-сообщений и технического спама.

Характерной особенностью антивируса Dr. Web является возможность установки на зараженную машину. В процессе установки производится сканирование памяти и файлов автозагрузки, перед сканированием производится обновление вирусной базы. При этом выпуски обновлений вирусных баз производятся с периодичностью в несколько часов и менее.

История разработки антивируса Игоря Данилова начинается с 1991 году, а под маркой Dr. Web антивирусы разрабатываются и распространяются с 1994.

По результатам теста самозащиты антивирусных продуктов (январь 2009), проведённого сайтом www.anti-malware.ru Dr. Web единственный из всех участников набрал максимально возможное число баллов (38) и получил Platinum Self-Protection Award.

Рисунок 4: Динамика изменения возможностей антивирусов по лечению активного заражения

Как видно из рисунка 4, устойчивую положительную динамику от теста к тесту демонстрируют лишь Avast, Антивирус Касперского и Антивирус DrWeb. Результаты других антивирусов или балансируют на неудовлетворительном уровне или, что хуже для пользователей, снижаются.

Обеспечение безопасности в корпоративных сетях

Информационные системы, в которых средства передачи данных принадлежат одной компания, используются только для нужд этой компании, принято называть сеть масштаба предприятия корпоративная компьютерная сеть (КС). КС-это внутренняя частная сеть организации, объединяющая вычислительные, коммуникационные и информационные ресурсы этой организации и предназначенная для передачи электронных данных, в качестве которых может выступать любая информация Тем самым основываясь на вышесказанное можно сказать, что внутри КС определена специальная политика, описывающая используемые аппаратные и программные средства, правила получения пользователей к сетевым ресурсам, правила управления сетью, контроль использования ресурсов и дальнейшее развитие сети. Корпоративная сеть представляет собой сеть отдельной организации [10].

Несколько схожее определение можно сформулировать исходя из концепции корпоративной сети приведенной в труде Олифера В.Г. и Олифера Н.Д. “Компьютерные сети: принципы, технологии, протоколы”: любая организация - это совокупность взаимодействующих элементов (подразделений), каждый из которых может иметь свою структуру. Элементы связаны между собой функционально, т.е. они выполняют отдельные виды работ в рамках единого бизнес процесса, а также информационно, обмениваясь документами, факсами, письменными и устными распоряжениями и т.д [11]. Кроме того, эти элементы взаимодействуют с внешними системами, причем их взаимодействие также может быть как информационным, так и функциональным. И эта ситуация справедлива практически для всех организаций, каким бы видом деятельности они не занимались - для правительственного учреждения, банка, промышленного предприятия, коммерческой фирмы и т.д.

Такой общий взгляд на организацию позволяет сформулировать некоторые общие принципы построения корпоративных информационных систем, т.е. информационных систем в масштабе всей организации.

Корпоративная сеть - система, обеспечивающая передачу информации между различными приложениями, используемыми в системе корпорации [12]. Корпоративной сетью считается любая сеть, работающая по протоколу TCP/IP и использующая коммуникационные стандарты Интернета, а также сервисные приложения, обеспечивающие доставку данных пользователям сети. Например, предприятие может создать сервер Web для публикации объявлений, производственных графиков и других служебных документов. Служащие осуществляют доступ к необходимым документам с помощью средств просмотра Web.

Серверы Web корпоративной сети могут обеспечить пользователям услуги, аналогичные услугам Интернета, например работу с гипертекстовыми страницами (содержащими текст, гиперссылки, графические изображения и звукозаписи), предоставление необходимых ресурсов по запросам клиентов Web, а также осуществление доступа к базам данных. В этом руководстве все службы публикации называются “службами Интернета” независимо от того, где они используются (в Интернете или корпоративной сети).

Корпоративная сеть, как правило, является территориально распределенной, т.е. объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга. Принципы, по которым строится корпоративная сеть, достаточно сильно отличаются от тех, что используются при создании локальной сети. Это ограничение является принципиальным, и при проектировании корпоративной сети следует предпринимать все меры для минимизации объемов передаваемых данных. В остальном же корпоративная сеть не должна вносить ограничений на то, какие именно приложения и каким образом обрабатывают переносимую по ней информацию. Характерной особенностью такой сети является то, что в ней функционируют оборудование самых разных производителей и поколений, а также неоднородное программное обеспечение, не ориентированное изначально на совместную обработку данных [14].

Для подключения удаленных пользователей к корпоративной сети самым простым и доступным вариантом является использование телефонной связи. Там, где это, возможно, могут использоваться сети ISDN. Для объединения узлов сети в большинстве случаев используются глобальные сети передачи данных. Даже там, где возможна прокладка выделенных линий (например, в пределах одного города) использование технологий пакетной коммутации позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с существующими глобальными сетями.

Подключение корпоративной сети к Internet оправдано, если вам нужен доступ к соответствующим услугам. Во многих работах бытует мнение по поводу подключения к Internet-у: Использовать Internet как среду передачи данных стоит только тогда, когда другие способы недоступны и финансовые соображения перевешивают требования надежности и безопасности. Если вы будете использовать Internet только в качестве источника информации, лучше пользоваться технологией "соединение по запросу" (dial-on-demand), т.е. таким способом подключения, когда соединение с узлом Internet устанавливается только по вашей инициативе и на нужное вам время. Это резко снижает риск несанкционированного проникновения в вашу сеть извне [15].

Для передачи данных внутри корпоративной сети также стоит использовать виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода - универсальность, гибкость, безопасность

В результате изучения структуры информационных сетей (ИС) и технологии обработки данных разрабатывается концепция информационной безопасности ИС. В концепции находят отражение следующие основные моменты:

1) Организация сети организации

2) существующие угрозы безопасности информации, возможности их реализации и предполагаемый ущерб от этой реализации;

3) организация хранения информации в ИС;

4) организация обработки информации;

5) регламентация допуска персонала к той или иной информации;

6) ответственность персонала за обеспечение безопасности.

Развивая эту тему, на основе концепции информационной безопасности ИС, приведенной выше, предлагается схема безопасности, структура которой должна удовлетворять следующие условия:

Защита от несанкционированного проникновения в корпоративную сеть и возможности утечки информации по каналам связи [16].

Разграничение потоков информации между сегментами сети.

Защита критичных ресурсов сети.

Криптографическая защита информационных ресурсов.

Для подробного рассмотрения вышеприведенных условий безопасности целесообразно привести мнение: для защиты от несанкционированного проникновения и утечки информации предлагается использование межсетевых экранов или брандмауэров. Фактически брандмауэр - это шлюз, который выполняет функции защиты сети от несанкционированного доступа из вне (например, из другой сети).

Различают три типа брандмауэров:

Шлюз уровня приложений Шлюз уровня приложений часто называют прокси - сервером (proxy server) - выполняет функции ретранслятора данных для ограниченного числа приложений пользователя. То есть, если в шлюзе не организована поддержка того или иного приложения, то соответствующий сервис не предоставляется, и данные соответствующего типа не могут пройти через брандмауэр.

Фильтрирующий маршрутизатор. Фильтрующий маршрутизатор. Точнее это маршрутизатор, в дополнительные функции которого входит фильтрование пакетов (packet-filtering router). Используется на сетях с коммутацией пакетов в режиме дейтаграмм. То есть, в тех технологиях передачи информации на сетях связи, в которых плоскость сигнализации (предварительного установления соединения между УИ и УП) отсутствует (например, IP V 4). В данном случае принятие решения о передаче по сети поступившего пакета данных основывается на значениях его полей заголовка транспортного уровня. Поэтому брандмауэры такого типа обычно реализуются в виде списка правил, применяемых к значениям полей заголовка транспортного уровня.

Шлюз уровня коммутации. Шлюз уровня коммутации - защита реализуется в плоскости управления (на уровне сигнализации) путем разрешения или запрета тех или иных соединений.

Особое место отводится криптографической защите информационных ресурсов в корпоративных сетях. Так как шифрование является одним из самых надежных способов защиты данных от несанкционированного ознакомления. Особенностью применения криптографических средств является жесткая законодательная регламентация. В настоящее время в корпоративных сетях они устанавливаются только на тех рабочих местах, где хранится информация, имеющая очень высокую степень важности.

Так согласно классификации средств криптографической защиты информационных ресурсов в корпоративных сетях они делятся на:

Криптосистемы с одним ключом, их часто называют традиционной, симметричной или с одним ключом. Пользователь создает открытое сообщение, элементами которого являются символы конечного алфавита. Для шифрования открытого сообщения генерируется ключ шифрования. С помощью алгоритма шифрования формируется шифрованное сообщение

Приведенная модель предусматривает, что ключ шифрования генерируется там же, где само сообщение. Однако, возможно и другое решение создания ключа - ключ шифрования создается третьей стороной (центром распределения ключей), которой доверяют оба пользователя. В данном случае за доставку ключа обоим пользователям ответственность несет третья сторона. Вообще говоря, данное решение противоречит самой сущности криптографии - обеспечение секретности передаваемой информации пользователей.

Криптосистемы с одним ключом используют принципы подстановки (замены), перестановки (транспозиции) и композиции. При подстановке отдельные символы открытого сообщения заменяются другими символами. Шифрование с применением принципа перестановки подразумевает изменение порядка следования символов в открытом сообщении. С целью повышения надежности шифрования шифрованное сообщение, полученное применением некоторого шифра, может быть еще раз зашифровано с помощью другого шифра. Говорят, что в данном случае применен композиционный подход. Следовательно, симметричные криптосистемы (с одним ключом) можно классифицировать на системы, которые используют шифры подстановки, перестановки и композиции.

Криптосистема с открытым ключом. Она имеет место только еесли пользователи при шифровании и дешифровании используют разные ключи KО и KЗ. Эту криптосистему называют асимметричной, с двумя ключами или с открытым ключом.

Получатель сообщения (пользователь 2) генерирует связанную пару ключей:

KО - открытый ключ, который публично доступен и, таким образом, оказывается доступным отправителю сообщения (пользователь 1);

KС - секретный, личный ключ, который остается известным только получателю сообщения (пользователь 1).

Пользователь 1, имея ключ шифрования KО, с помощью определенного алгоритма шифрования формирует шифрованный текст.

Пользователь 2, владея секретным ключом Kс, имеет возможность выполнить обратное действие.

В этом случае пользователь 1 готовит сообщение пользователю 2 и перед отправлением шифрует это сообщение с помощью личного ключа KС. Пользователь 2 может дешифрировать это сообщение, используя открытый ключ KО. Так как, сообщение было зашифровано личным ключом отправителя, то оно может выступать в качестве цифровой подписи. Кроме того, в данном случае невозможно изменить сообщение без доступа к личному ключу пользователя 1, поэтому сообщение решает так же задачи идентификации отправителя и целостности данных.

Напоследок хотелось бы сказать, что посредством установки криптографических средств защиты можно достаточно надежно защитить рабочее место сотрудника организации, который непосредственно работает с информацией, имеющей особое значение для существования этой организации, от несанкционированного доступа.

2.4 Рекомендации по обеспечению информационной безопасности профессиональной деятельности ТОО «Фирма «Комтеко»»

Количество атак, по статистике, снижается, злоумышленники становятся более квалифицированными, а масштабы ущерба растут. Под угрозой находятся как индивидуальные компьютеры, так и системы предприятий. В погоне за повышением эффективности труда человечество оказалось в заложниках информационных технологий. Они управляют не только высокотехнологичными производствами, но и процессами обеспечения жизнедеятельности - в медицине, на транспорте, в электроэнергетике и т.п. На любом предприятии любой отрасли существует множество подобных систем, безопасность которых необходимо обеспечить.

Важно место в системе организационных, административных, правовых и других мер, позволяющих качественно решать задачи информационного обеспечения научно-производственной и коммерческой деятельности, физической сохранности материальных носителей закрытых сведений, предотвращения их утечки, сохранения коммерческой тайны занимает разрешительная система доступа исполнителей к классифицированным документам и сведениям.

С учетом Закона РК «О частном предпринимательстве» руководитель предприятия (фирмы) вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность.

В системе мер безопасности существенное значение имеет оптимальное распределение производственных, коммерческих и финансово-кредитных сведений, оставляющих тайну предприятия, между конкретными исполнителями соответствующих работ и документов. При распределении информации, с одной стороны, необходимо обеспечить предоставление конкретному сотруднику для качественного и своевременного выполнения порученных ему работ полного объема данных, а с другой стороны, исключить ознакомление исполнителя с излишними, не нужными ему для работы классифицированными сведениями.

В целях обеспечения правомерного и обоснованного доступа исполнителя к сведениям, составляющим коммерческую тайну фирмы, рекомендуется разрабатывать и внедрять на предприятиях соответствующую разрешительную систему [4].

Под доступом понимается получение письменного разрешения руководителя фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).

Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данного предприятия или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не установлены ограничения на ознакомление со стороны производственно-коммерческих партнеров по совместному производству и т.п. Так, в ТОО «Фирма «Комтеко»» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках), следующими сотрудниками:

1) учредитель фирмы.

2) директор фирмы.

3) секретарь директора.

Санкцию на доступ к информации другим сотрудникам могут давать только учредитель и директор фирмы.

Доступ к информации о текущих сделках с клиентами должны иметь все перечисленные выше сотрудники и менеджеры, которые ведут эти сделки. Исходная информация о закупочных ценах на оборудование должна быть так же ограничена. Доступ к ней имеют только учредитель, директор фирмы, которые остальным сотрудникам предоставляют только уже проработанные цены (с различными «накрутками»), а так же секретарь, который ведет весь документооборот в организации.

Эффективная работа разрешительной системы возможна только при соблюдении определенных правил:

Разрешительная система в качестве обязательного для выполнения правила включает в себя дифференцированный подход к разрешению доступа, учитывающий важность классифицированных сведений, в отношении которых решается вопрос о доступе.

Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было (за исключением руководителя предприятия) не имеют юридической силы. Это требование относится и к руководителям всех уровней, работающих с классифицированной информацией и ее носителями. Таким образом, только письменное разрешение руководителя (в рамках полномочий) является разрешением для выдачи тому или иному лицу охраняемых сведений.

Следует строго соблюдать принцип контроля. Каждое разрешение должно иметь дату его оформления и выдачи. Широкое распространение имеет такой традиционный вид разрешения как резолюция руководителя на самом классифицированном документе. Такое разрешение должно содержать перечень фамилий сотрудников, обязанных ознакомиться с документами или их исполнить, срок исполнения, другие указания, подпись руководителя и дату. Руководитель может при необходимости предусмотреть ограничения в доступе конкретных сотрудников к определенным сведениям [5].

Резолюция, как вид разрешения, применяется главным образом для оперативного доведения до заинтересованных лиц закрытой информации, содержащихся в документах и изделиях, поступаемых извне и создаваемых на предприятии.

Руководитель предприятия может дать разрешение на доступ в распорядительных документах: приказах, указаниях, распоряжениях по предприятию. В них должны содержать фамилии, должности лиц, конкретные классификационные документы и изделия, к которым они могут быть допущены (ознакомлены).

Другой вид разрешений - по фамильные списки лиц, имеющих право знакомиться и производить какие-либо действия с классифицированными документами и изделиями. По фамильные списки утверждаются директором предприятия или в соответствии с действующей разрешительной системой руководителями, занимающими, как правило, должности не ниже руководителей соответствующих подразделений.

По фамильные списки лиц могут использоваться при организации доступа к классифицированным документам и изделиям, имеющим особо важное значение для предприятия. В по фамильных списках могут быть определены конкретные руководители, которые допускаются руководителем ко всем закрытым документам и изделиям без соответствующих письменных разрешений. В них указывается Ф.И.О. исполнителя работ, отдел, занимаемая должность, категория документов и изделий, к которым он допущен. На практике применим и вариант должностных списков, в которых указывается: должность исполнителя, объем документов (категории документов) и типы изделий, которыми необходимо пользоваться работникам предприятий, занимающим соответствующую списку должность. Следует отметить, что для предприятий с небольшим объемом классифицированных документов и изделий может оказаться достаточным использование таких видов разрешения, как резолюция руководителя на самом документе, по фамильные списки, должностные списки.

Разрешительная система должна отвечать следующим требованиям: распространяться на все виды классифицированных документов и изделий, имеющихся на предприятии, независимо от их место нахождения и создания; определять порядок доступа всех категорий сотрудников, получивших право работать с КТ, а также специалистов, временно прибывших на предприятие и имеющих отношение к совместным закрытым заказам; устанавливать простой и надежный порядок оформления разрешений на доступ к охраняемым документам и изделиям, позволяющий незамедлительно реагировать на изменения в области информации на предприятии; четко разграничивать права руководителей различных должностных уровней в оформлении доступа соответствующих категорий исполнителей; исключать возможность бесконтрольной и несанкционированной выдачи документов и изделий кому бы то ни было; не разрешать лицам, работающим с классифицированной информацией и объектами, вносить изменения в четные данные, а также подменять учетные документы.

При разработке разрешительной системы особое внимание должно быть уделено выделению главных, особо ценных для предприятия сведений, что позволит обеспечить к ним строго ограниченный доступ [8]. При наличии совместных работ с другими предприятиями (организациями), иностранными фирмами или их отдельными представителями, необходимо предусмотреть порядок доступа этих категорий к коммерческой тайне предприятия. Целесообразно определить порядок взаимодействия с представителями обслуживающих государственных организаций: технадзором, санэпидемстанцией и др.

В положение о разрешительной системе фирмы необходимо указать, что передача классифицированных документов и изделий от исполнителя к исполнителю возможна только в пределах структурного подразделения и с разрешения его руководителя. Передача, возврат таких документов изделий производится по установленному на фирме порядку и только в течение рабочего времени данного дня.

Вся классифицированная документация и изделия, поступившие на предприятие и разработанные на нем, принимаются и учитываются руководством среднего звена и секретарем. После регистрации документация передается на рассмотрение руководителю предприятия под расписку.

Важно подчеркнуть, что установление на фирме определенного порядка обращения с закрытой информацией и изделиями существенным образом повышает надежность защиты коммерческой тайны, снижает вероятность разглашения, утраты носителей этих сведений.

Для обеспечения сохранности документации предлагается закупить соответствующую мебель, которая позволяет надежно запирать документы. Так же необходимо каждый день, перед уходом, опечатывать шкафы.

Ключи от сейфа и шкафов должны сдаваться службе безопасности под роспись. Так же рекомендуется приобрести специальный тубус для хранения ключей и так же его опечатывать.

Особое внимание необходимо уделить вопросам приема новых сотрудников на работу. Сегодня во многих организациях практикуется ужесточенный подход к этому процессу, что связано с желанием сохранить информацию внутри фирмы и не дать ей выйти за ее пределы из-за «человеческого фактора».

В проекте предлагается 3 этапа приёма на работу:

1. Руководить знакомиться с резюме кандидатов, выбирая наиболее подходящих, и приглашает к себе на собеседование. Собеседование носит личностный характер и предполагает нестандартные вопросы (например, что человек любит есть, какое у него хобби и т.п.) Таким образом, руководитель получает информацию для принятия решения о том, насколько для него подходит этот человек, прогнозирует возможные проблемы, с которыми он может столкнуться при общении с этим кандидатом.

2. Тестирование. Здесь уже определяется уровень интеллекта сотрудника, составляется его психологический портрет на основе различных тестов. Но сначала необходимо определить, каким хотят видеть нового сотрудника его руководитель и коллеги.

3. Проверка кандидатов в различных инстанциях (привлекался ли к суду, отбывал ли срок в местах лишения свободы, стоит ли на учете в наркологическом диспансере, соответствуют ли действительности сведения, которые он предоставил о предыдущих местах работы).

И только после того, как кандидат прошел все эти три стадии, можно принимать решение - брать ли его на работу или нет.

После того, как вынесено положительное решение, сотруднику устанавливается испытательный срок (по законодательству РК он может варьироваться от 1 месяца до трех, но рекомендуется не меньше 2 месяцев, а лучше 3). В течение испытательного срока руководство и служба безопасности должны присматриваться к новому сотруднику, наблюдать за его деятельностью.

Кроме того, сразу же при приеме на работу необходимо наряду с заключением трудового договора, подписание соглашения о неразглашении коммерческой тайны. Рекомендуемые пункты этого соглашения:

1) Не распространять информацию о клиентах и поставщиках среди тех, кто не является сотрудником фирмы.

2) Не распространять какую-либо информацию о сделках (ее участниках, суммах).

3) Не распространять информацию о заработной плате сотрудников фирмы.

4) Не выносить за пределы офиса какую-либо документацию без письменного разрешения руководства.

5) Не распространять информацию о специфике и особенностях работы фирмы.

6) Не распространять информацию о продукции фирмы.

7) Не пересылать по электронной почте компьютерные файлы без разрешения на то руководства фирмы.

8) Не копировать какую-либо информацию (в печатном или электронном виде) без письменного разрешения руководства.

Это не полный перечень того, что может быть включено в соглашение.

Практические рекомендации в области защиты информации для главного инженера-программиста

1) Установить программы ограничения доступа к информации на каждую рабочую станцию. Предлагается 2 программы:

1. Windows Security Officer 7.3.2.2. Windows Security Officer - программа для ограничения доступа к компьютеру. Позволяет установить пароль на вход в систему, заблокировать рабочий стол, ввести несколько уровней ограничений к ресурсам компьютера, ограничить время работы (можно установить временной интервал, когда компьютер будет доступен). Кроме этого, программа позволяет ввести ограничение на dial-up доступ и запретить пользоваться CD-ROMом.



Рисунок 5. Окно программы Windows Security Officer

2. Access Administrator 4.8: ограничение доступа к компьютеру

Программы, которая позволяет устанавливать права доступа пользователей на использование файлов, папок, приложений и других ресурсов компьютера. При помощи программы можно закрыть доступ в интернет, ограничить использование компьютера запуском только определенных приложений, а также составить расписание работы с ПК. Например, разрешить пользователю играть в игры и просматривать фотографии только после 18 часов вечера, а в рабочее время позволить запускать только офисные приложения. При помощи Access Administrator можно также установить пароль на доступ к файлам и папкам.



Рисунок 6. Окно программы Access Administrator

2) Регулярно читать специальную и периодическую литературу по проблеме безопасности и ЗИ, а полученные сведения об угрозах, средствах защиты, т.п. «трансформировать» на свои объекты защиты.

3) Совершенствовать СЗ и СЗИ согласно новейшим достижениям науки и техники.

4) При создании или проверке существующих СЗ их необходимо рассматривать с точки зрения предложенных принципов, так как при детальном анализе СЗ можно проявить нештатные ситуации, которыми может воспользоваться ЗЛ.

5) Изложенные принципы применимы для создания разных концепций защиты объектов, начиная от пожарно-охранной безопасности и заканчивая СЗИ.

6) При проектировании или усовершенствовании существующих СЗ для их объективной оценки следует привлекать сторонние организации, которые имеют лицензии на соответствующие виды деятельности.

7) Данные принципы оказывают существенную помощь в процессе контроля защищенности объектов при условии их детализации применительно к конкретным условиям.

8) Проводить регулярный и комплексный контроль всех мероприятий по обеспечению безопасности и ЗИ.

9) Подготовить и проводить в жизнь мероприятия по «защите персонала».

10) Составить подробный перечень возможных угроз для каждой технологии работы с объектами защиты.

11) Определить перечень внештатных ситуаций и меры по их ликвидации.

12) Готовить персонал к регламентированным действиям во внештатных ситуациях.

13) Проводить регистрацию и анализ текущей деятельности с целью определения возможных угроз и внештатных ситуаций.

14) Выпустить специальные памятки для всех сотрудников предприятия и организации.

15) Проводить разъяснительную работу и учебу с персоналом, используя разные средства (тренинг, инструктаж, наглядная агитация, профилактические проверки и т.д.).

16) Планировать и вести обучение, а также специальные проверки персонала по всем вопросам безопасности и ЗИ.

17) Проведение работ по обеспечению безопасности необходимо выполнять согласно действующей в стране нормативно-правовой системе.

Вывод: Количество атак, по статистике, снижается, злоумышленники становятся более квалифицированными, а масштабы ущерба растут. Под угрозой находятся как индивидуальные компьютеры, так и системы предприятий. В ТОО «Фирма «Комтеко»» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках). Доступ к информации о текущих сделках с клиентами должны иметь все перечисленные выше сотрудники и менеджеры, которые ведут эти сделки. Исходная информация о закупочных ценах на оборудование должна быть так же ограничена. Но это всё не предусматривается в ТОО «Фирма «Комтеко»».

3. Анализ состояния охраны труда и техники безопасности на предприятии

3.1 Значение и задачи безопасности труда

Охрана труда - система законодательных актов, социально-экономических, организационных, технических, гигиенических и лечебно-профилактических мероприятий и средств, обеспечивающих безопасность, сохранение здоровья и работоспособности человека в процессе труда. Научно-технический прогресс внес серьезные изменения в условия производственной деятельности работников умственного труда. Их труд стал более интенсивным, напряженным, требующим значительных затрат умственной, эмоциональной и физической энергии. Это потребовало комплексного решения проблем эргономики, гигиены и организации труда, регламентации режимов труда и отдыха.

Охрана здоровья трудящихся, обеспечение безопасности условий труда, ликвидация профессиональных заболеваний и производственного травматизма составляет одну из главных забот человеческого общества. Обращается внимание на необходимость широкого применения прогрессивных форм научной организации труда, сведения к минимуму ручного, малоквалифицированного труда, создания обстановки, исключающей профессиональные заболевания и производственный травматизм [21].

Проектирование рабочих мест, снабженных видеотерминалами, относится к числу важнейших проблем эргономического проектирования в области вычислительной техники.

Рабочее место и взаимное расположение всех его элементов должно соответствовать антропометрическим, физическим и психологическим требованиям. Большое значение имеет также характер работы. В частности, при организации рабочего места программиста должны быть соблюдены следующие основные условия:

1) оптимальное размещение оборудования, входящего в состав рабочего места;

2) достаточное рабочее пространство, позволяющее осуществлять все необходимые движения и перемещения;

3) необходимо естественное и искусственное освещение для выполнения поставленных задач;

4) уровень акустического шума не должен превышать допустимого значения.

5) достаточная вентиляция рабочего места;

Эргономическими аспектами проектирования видеотерминальных рабочих мест, в частности, являются: высота рабочей поверхности, размеры пространства для ног, требования к расположению документов на рабочем месте (наличие и размеры подставки для документов, возможность различного размещения документов, расстояние от глаз пользователя до экрана, документа, клавиатуры и т.д.), характеристики рабочего кресла, требования к поверхности рабочего стола, регулируемость рабочего места и его элементов.

Создание благоприятных условий труда и правильное эстетическое оформление рабочих мест на производстве имеет большое значение, как для облегчения труда, так и для повышения его привлекательности, положительно влияющей на производительность труда [22]. Окраска помещений и мебели должна способствовать созданию благоприятных условий для зрительного восприятия, хорошего настроения. В служебных помещениях, в которых выполняется однообразная умственная работа, требующая значительного нервного напряжения и большого сосредоточения, окраска должна быть спокойных тонов - малонасыщенные оттенки холодного зеленого или голубого цветов.

На постоянных рабочих местах должны быть обеспечены микроклиматические параметры, уровни освещенности, шума и состояния воздушной среды, определенные действующими санитарными правилами и нормами.

3.2 Общие требования техники безопасности

Эксплуатация комплекса предполагается на ПЭВМ. Источником питающего напряжения является сеть переменного тока с напряжением 220 вольт.

В соответствии с требованиями для предупреждения поражений электрическим током необходимо [23]:

1) чётко и в полном объёме выполнять правила производства работ и правила технической эксплуатации;

2) исключить возможность доступа оператора к частям оборудования, работающим под опасным напряжением, неизолированным частям, предназначенным для работы при малом напряжении и не подключенным к защитному заземлению;

3) применять изоляцию, служащую для защиты от поражения электрическим током, выполненную с применением прочного сплошного или многослойного изоляционного материала, толщина которого обусловлена типом обеспечиваемой защиты;

4) подводить электропитание к ПЭВМ от розетки здания при помощи специальной вилки с заземляющим контактом;

5) защитить от перегрузок по току, рассчитывая на мощность, потребляемую от сети; а также защитить от короткого замыкания оборудование, встроенное в сеть здания;

6) надёжно подключить к заземляющим зажимам металлические
части, доступные для оператора, которые в результате повреждения изоляции
могут оказаться под опасным напряжением;

7) проверить, что защитный заземляющий проводник не имеет
выключателей и предохранителей, а также надёжно изолирован.

Пожарная безопасность помещений, имеющих электрические сети, регламентируется ГОСТ 12.2.007-75. Работа оператора ЭВМ должна вестись в помещении, соответствующем категории Д пожарной безопасности -негорючие вещества и материалы в холодном состоянии. Огнестойкость здания должна соответствовать I степени - стены выполнены из искусственного или натурального камня и являться несущими, в перекрытиях здания отсутствовать горючие материалы.

В конструкции дисплеев используются специальные разъемы, уменьшающие переходное сопротивление, и, соответственно, нагрев. ЭВМ нельзя располагать вблизи источников тепла или термоизлучателей, на экраны дисплеев не должны падать прямые солнечные лучи. Устанавливать ЭВМ необходимо так, чтобы задняя и боковые стенки отстояли не менее чем на 0.2 м от других предметов. Для соблюдения теплового режима в корпусе ЭВМ предусмотрены вентиляционные отверстия и охлаждающий вентилятор. Внутренний монтаж выполнен проводом с повышенной теплостойкостью.

Пожарная безопасность объекта обеспечивается [23]:

1) системой предотвращения пожара;

2) системой противопожарной защиты;

3) организационно-техническими мероприятиями.

Предотвращение пожара в помещении достигается минимальным количеством предметов из горючих материалов, их безопасным расположением, а также отсутствием легковоспламеняющихся материалов.

Противопожарная защита помещения обеспечивается применением автоматической установки пожарной сигнализации, наличием средств пожаротушения, применением основных строительных конструкций здания с регламентированными пределами огнестойкости, организацией своевременной эвакуации людей, применением средств коллективной и индивидуальной защиты людей.

Организационно-технические мероприятия должны включать организацию обучения служащих правилам пожарной безопасности.

В рабочих помещениях организации основными источниками акустических шумов являются шумы ПЭВМ. ЭВМ являются также источниками шумов электромагнитного происхождения (колебания элементов электромеханических устройств под влиянием переменных магнитных полей). Кроме того, в данных помещениях, возникает структурный шум, то есть шум, излучаемый поверхностями колеблющихся конструкций стен, перекрытий, перегородок здания в звуковом диапазоне частот.

Требования к уровню шума (ГОСТ 12.1.003-83. Шум).

Систематический шум может вызвать утомление слуха и ослабление звукового восприятия, а также значительное утомление всего организма. Однако не все шумы вредны. Так, привычные не резко выраженные шумы, сопровождающие трудовой процесс, могут благоприятно влиять на ход работы; нерезкие шумы, характеризующиеся периодичностью звуков, например, музыка, в силу своей ритмичности не только не отвлекают от работы, но и вызывают положительные эмоции, способствуют повышению эффективности труда [24].

Для устранения или ослабления неблагоприятных шумовых воздействий целесообразно изолировать рабочие помещения, размещая их в частях здания, наиболее удаленных от городского шума - расположенных в глубине здания, обращенных окнами во двор и т.п. Шум ослабевает также благодаря зеленым насаждениям, поглощающим звуки.

Допустимый уровень шума при умственном труде, требующем осредоточенности, - 50дБ. Для уменьшения шума и вибрации в помещении оборудование, аппараты и приборы устанавливаются на специальные фундаменты и амортизирующие прокладки. Если стены и потолки помещения являются источниками шумообразования, они должны быть облицованы звукопоглощающим материалом.

В целях борьбы с пылью и загрязнением в рабочем помещении каждый день должна проводится влажная уборка.

Наиболее значительным фактором производительности и безопасности труда является производственный микроклимат, который характеризуется температурой и влажностью воздуха, скоростью его движения, а также интенсивностью радиации.

Для поддержания необходимых температуры и влажности рабочее помещение должно быть оснащено системами отопления и кондиционирования, обеспечивающими постоянный и равномерный нагрев, циркуляцию, а также очистку воздуха от пыли и вредных веществ.

Для поддержания в помещениях нормального, отвечающего гигиеническим требованиям состава воздуха, удаления из него вредных газов, паров и пыли используют вентиляцию.

Требования к параметрам микроклимата и воздушной среды (ГОСТ 12.1.005-88. Общие санитарно-гигиенические требования к воздуху рабочей зоны).

Механическая вентиляция обеспечивается вентиляторами, забирающими воздух из мест, где он чист, и направляющих его к любому рабочему месту или оборудованию, а также удаляющими загрязнённый воздух. При механической вентиляции воздух перед его потреблением можно подвергнуть обработке: подогреть, увлажнить или подсушить, очистить от пыли и т.д., а также очистить перед выбросом в атмосферу.

Обращается внимание на необходимость широкого применения прогрессивных форм научной организации труда, сведения к минимуму ручного, малоквалифицированного труда, создания обстановки, исключающей профессиональные заболевания и производственный травматизм.

Определение оптимальных условий труда инженера - программиста [25]

Проектирование рабочих мест, снабженных видеотерминалами, относится к числу важнейших проблем эргономического проектирования в области

вычислительной техники.

Рабочее место и взаимное расположение всех его элементов должно

соответствовать антропометрическим, физическим и психологическим

требованиям. Большое значение имеет также характер работы. В частности, при организации рабочего места программиста должны быть соблюдены

следующие основные условия:

1) оптимальное размещение оборудования, входящего в состав рабочего места;

2) достаточное рабочее пространство, позволяющее осуществлять все необходимые движения и перемещения;

3) необходимо естественное и искусственное освещение для выполнения поставленных задач;

4) уровень акустического шума не должен превышать допустимого значения,

5) достаточная вентиляция рабочего места.

Требования эргономики и технической эстетики (ГОСТ 12.2.032-78. Рабочее место при выполнении работ сидя).

Эргономическими аспектами проектирования видеотерминальных рабочих мест, в частности, являются: высота рабочей поверхности, размеры пространства для ног, требования к расположению документов на рабочем месте (наличие размеры подставки для документов, возможность различного размещения документов, расстояние от глаз пользователя до экрана, документа, клавиатуры и т.д.), характеристики рабочего кресла, требования к поверхности рабочего стола, регулируемость рабочего места и его элементов.

Главными элементами рабочего места программиста являются письменный стол и кресло. Основным рабочим положением является положение сидя.рабочая поза сидя вызывает минимальное утомление программиста. Рациональная планировка рабочего места предусматривает четкий порядок и постоянство размещения предметов, средств труда и документации. То, что требуется для выполнения работ чаще, расположено в зоне легкой досягаемости рабочего пространства.

Рассмотрим оптимальное размещение предметов труда и документации в зонах досягаемости рук:

1) дисплей размещается в зоне максимальной досягаемости (в центре);

2) клавиатура - в зоне оптимального пространства для грубой ручной работы, оптимального пространства для тонкой ручной работы

3) системный блок размещается в зоне досягаемости пальцев при вытянутой руке; (слева);

4) принтер находится в зоне максимальной досягаемости (справа); документация

5) в зоне легкой досягаемости ладони - (слева) - литература и документация, необходимая при работе;

6) в выдвижных ящиках стола - литература, неиспользуемая постоянно.

Моторное поле - пространство рабочего места, в котором могут осуществляться двигательные действия человека.

Максимальная зона досягаемости рук - это часть моторного поля рабочего места, ограниченного дугами, описываемыми максимально вытянутыми руками при движении их в плечевом суставе [24].

Оптимальная зона - часть моторного поля рабочего места, ограниченного дугами, описываемыми предплечьями при движении в локтевых суставах с опорой в точке локтя и с относительно неподвижным плечом.

При проектировании письменного стола следует учитывать следующее:

1) высота стола должна быть выбрана с учетом возможности сидеть свободно, в удобной позе, при необходимости опираясь на подлокотники;

2) нижняя часть стола должна быть сконструирована так, чтобы программист мог удобно сидеть, не был вынужден поджимать ноги;

3) поверхность стола должна обладать свойствами, исключающими появление бликов в поле зрения программиста;

4) конструкция стола должна предусматривать наличие выдвижных

5) ящиков (не менее 3 для хранения документации, листингов, канцелярских принадлежностей, личных вещей).

Высота рабочей поверхности рекомендуется в пределах 680-760 мм. Высота рабочей поверхности, на которую устанавливается клавиатура, должна быть 650 мм.