Анализ информационной системы и ее безопасности в ООО "Компания "Тензор"

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

1. ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ И АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

1.1 КРАТКАЯ ХАРАКТЕРИСТИКА ООО «КОМПАНИЯ «ТЕНЗОР»

1.2 АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ЕЕ БЕЗОПАСНОСТИ В ООО «КОМПАНИЯ «ТЕНЗОР»

2. РАЗРАБОТКА ИНСТРУКЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗИЩИТЕ ИНФОРМАЦИИ ПО ПРОДЛЕНИЮ ЭП ДЛЯ МЕНЕДЖЕРА

ЗАКЛЮЧЕНИЕ

БИБИЛИОГРАФИЧЕСКИЙ СПИСОК

ВВЕДЕНИЕ

Обеспечение безопасности - это процесс, заключающийся в реализации наиболее рациональных способов и путей совершенствования и развития системы защиты, а так же непрерывном контроле ее состояния и выявлении угроз безопасности. Обеспечение безопасности информационной системы должно являться одной из важнейших задач любой организации, использующей ее в своей работе.

Не может вызывать сомнений актуальность проблемы защиты информации. Успешное развитие компании сегодня в наибольшей степени зависит от использования информационных технологий и, соответственно, от степени обеспечения информационной безопасности. Только при комплексном использовании на всех этапах обработки информации всех имеющихся средств защиты может быть обеспечена информационная безопасность компании.

Целями стажировки являются:

Подготовка к профессиональной деятельности в сфере информационной безопасности.

Проверка и применение на практике знаний, полученных за время теоретического обучения.

Для достижения этих целей были поставлены следующие задачи:

получение и формирование представления об эффективных методах обеспечения информационной безопасности;

участие в процессе работы по обеспечению информационной безопасности в организации;

работа с автоматизированными системами сбора, обработки и хранения информации;

изучение перспективных, инновационных методов обеспечения информационной безопасности;

исследование и анализ эффективности действующей системы информационной безопасности в организации;

разработка конкретизированных решений и предложений по совершенствованию защиты информации на объекте применительно к реальным практическим условиям.

Объектом исследования является ООО «Компания «Тензор».

Предмет исследования - разработка инструкции по информационной безопасности и защите информации по продлению ЭП для менеджера.

Рабочее место - Обособленное Подразделение в г. Рязань.

Руководитель стажировки от базы стажировки - Строкова Ирина Юрьевна, руководитель Обособленного Подразделения.

В первой части данного отчета по стажировке описана краткая характеристика ООО «Компания «Тензор», изучена организационно-управленческая структура и проведен анализ информационной безопасности информационной системы ООО «Компания «Тензор».

Вторая часть отчета содержит разработанные рекомендации в осуществлении деятельности по информационной безопасности и защите информации в ООО «Компания «Тензор».

1. ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ И АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕЁ ИНФОРМАЦИОННОЙ СИСТЕМЫ

1.1 КРАТКАЯ ХАРАКТЕРИСТИКА ООО «КОМПАНИЯ «ТЕНЗОР»

«Компания «Тензор» - это крупный холдинг, который активно продвигает и внедряет целый комплекс IT-решений, которым пользуются более 800 000 крупных предприятий и представителей малого бизнеса. Филиалы находятся во всех регионах России, а число партнеров свыше 800.

Компания выдает и обслуживает 40 000 сертификатов электронных подписей ежемесячно. Разрабатывает программное обеспечение для автоматизации управления предприятием, для бухгалтерского и налогового учета, для работы с отчетностью, для сфер торговли и общественного питания. А так же организует электронный документооборот с госорганами и компаниями по защищенным каналам связи.

Полное название организации: Общество с ограниченной ответственностью «Компания «Тензор». Юридический и почтовый адрес: 150001, ОБЛАСТЬ ЯРОСЛАВСКАЯ, ГОРОД ЯРОСЛАВЛЬ, ПРОСПЕКТ МОСКОВСКИЙ, 12.

Число сотрудников компании около 4000 человек.

К основным нормативно-правовым документам, регламентирующим деятельность компании можно отнести:

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ;

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ

«ГОСТ Р 51275-2006. Национальный стандарт Российской Федерации. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;

Приказ ФАПСИ от 13.06.2001 N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

Внутренние инструкции и приказы ООО «Компания «Тензор».

Основной вид деятельности ООО Компания «Тензор» - это разработка компьютерного программного обеспечения, также компания имеет 16 дополнительных видов деятельности.

Основными направлениями деятельности организации являются:

Удостоверяющий центр.

УЦ выпускает и обслуживает сертификаты ключей электронной цифровой подписи, используемые для участия в электронных закупках, обмене документами между госорганами и организациями, в том числе, для сдачи налоговой и бухгалтерской отчетности. Удостоверяющий центр является доверенным удостоверяющим центром ФНС, ПФР, ФСС и Росстат, аккредитован Ассоциацией электронных торговых площадок.

Программное обеспечение.

Компания разработала и выпустила на рынок линейку программных продуктов семейства СБиС, которые на сегодняшний день входят в лидирующую тройку систем, обеспечивающих электронный документооборот с госорганами. Кроме того, компания является официальным партнером ведущих мировых производителей программного обеспечения. Помимо подбора и установки ПО, выполняется полное сопровождение всех продуктов.

Компьютеры и офисная техника.

Серийные модели от ведущих мировых производителей, компьютеры уникальной конфигурации, собранные под заказ, периферийные устройства, комплектующие, расходные материалы. Клиенты компании имеют возможность приобретать технику самым удобным для них способом: оптовые поставки, корпоративные продажи, заказ товара через Интернет, покупка в розничной сети.

Серверное оборудование и сети.

Компания осуществляет полный комплекс услуг: подбор, установка и запуск серверного оборудования, составление сложных вычислительных кластеров и центров обработки данных. Специалисты компании владеют сетевыми технологиями различного уровня сложности. Они создают и настраивают структурированные кабельные системы, системы IP-телефонии и видеонаблюдения.

Торговое и банковское оборудование.

Компания помогает не просто приобрести торговое и банковское оборудование, но и объединяет в систему все процессы от пробивания чека до фиксирования выручки и остатков на складе.

Сервисный центр и ЦТО.

Только авторизованные сервисные центры (АСЦ), сотрудничающие с производителями оборудования, занимаются гарантийным ремонтом. Тензор имеет статус АСЦ всех основных марок кассовой техники.

Краткий обзор проектов компании.

СБИС. СБИС объединяет в себе ряд сервисов для полноценного управления предприятием. Включает в себя следующие сервисы. Электронный документооборот (ЭДО) - электронная подпись и обмен документами. Отчетность через интернет - подготовка, проверка и сдача отчетности во все госорганы. Все о компаниях и владельцах - реквизиты, владельцы, финансовое состояние, стоимость бизнеса и другие актуальные сведения. Поиск и анализ закупок - актуальные данные и аналитика со всех торговых площадок, оценка шансов на победу, все для работы тендерного отдела. ОФД и онлайн- кассы - сервис оператора фискальных данных, регистрация ККТ, анализ продаж, мониторинг торговых точек. Точка продаж - автоматизация магазинов и сферы услуг с поддержкой ОФД, ЕГАИС, систем маркировки, оснащение кассовых мест «под ключ», четкая логистика и легкий бухучет. Заказы и поставки (EDI) - обмен заказами, документами и прайсами о товарах между торговыми сетями и поставщиками. Корпоративная социальная сеть - единое пространство и удобные инструменты для совместной работы и коммуникаций, управление бизнес процессами, видео-коммуникации. Управление персоналом, расчет зарплаты и учет кадров и многое другое.

Квеста. Аудиторские услуги, бухгалтерские услуги, автоматизация учета, отраслевые решения.

Синто. Главным вектором развития компании является системная интеграция - разработка и реализация комплексных решений для создания, сопровождения и модернизации ИТ-инфраструктуры предприятия.

Вирт. Сервисный центр Вирт - крупнейший сервисный центр на территории Ярославля и Ярославской области. Более 100 специалистов обладающих профессиональными навыками и опытом ремонта сложной компьютерной и бытовой техники. Занимается гарантийным и постгарантийным обслуживанием оборудования, а также осуществляет установку, доставку, выездной ремонт любой техники по желанию заказчика.

Основные отделы и службы в ООО «Компания «Тензор»:

Головной офис

Технологии и маркетинг

Федеральная клиентская служба

Администрация

Продвижение СБИС

Разработка

Служба эксплуатации

Федеральный центр продаж. Call-центр.

Служба персонала

Сопровождение информационных систем.

На рис.1 отображена структура управления компанией, во главе которой стоит генеральный директор Уваров С.В.

Рисунок 1. Структура управления ООО «Компания «Тензор».

В ООО «Компания «Тензор» применяется дивизионально-региональная структура, то есть отделы компании поделены на дивизионы, что облегчает решение проблем, связанных с местными особенностями законодательства и социально-экономической средой региона.

Обособленное подразделение (филиал) в г. Рязань относится к отделу «Продвижение СБИС» к 1 дивизиону. Руководителем ОП в г.Рязань является Строкова Ирина Юрьевна, в ее подчинении находятся два подразделения- менеджеры и инженеры.

Структура филиальной сети в любом из регионов, как правило, состоит из трех подразделений:

филиал

call-центр продаж

служба тех. поддержки клиентов

Для того чтобы работа каждого подразделения была эффективной, между ними существует четкое разделение задач:

Call-центр:

Обзвон холодной базы потенциальных клиентов

Приема входящих звонков клиентов

Переадресация клиентов в техподдержку по вопросам работы с программой

Тех.поддержка:

Консультации клиентов по вопросам работы в программе

Аудит отношения клиентов к компании

Филиал:

Консультации клиентов по работе в программе

Проведение семинаров и акций в госорганах

Обзвон холодной базы потенциальных клиентов

Техобслуживание госорганов

Работа с партнерами

Установка программ у клиента

Проведение выездных презентаций у клиента

Аудит отношения клиентов к компании

Филиал находятся непосредственно в регионе, тех. поддержка в г. Ярославле, а 2 call-центра компании расположились в Ярославле и Костроме. Все три подразделения объединены в единое телефонное пространство и звонки, приходящие в филиал, могут перебрасываться в call-центр или тех.поддержку, как будто это осуществляется в пределах одного офиса.

На рис.2 отображен процесс обмена данными между этими тремя подразделениями. Все филиалы и головной офис обмениваются данными между собой по аналогичной схеме.



Рисунок 2. Процесса обмена данными между отделами в ООО «Компания «Тензор».

информационная безопасность программный

ИТ-окружение в компании состоит из нескольких основных составляющих:

сеть и оборудование сети;

компьютеры и оргтехника;

сервисы и ресурсы компании - корпоративные порталы и почта;

IP-телефония.

Основной задачей работников IT-отдела является поддержание бесперебойной работы всей техники компании, а так же организация и проведение мероприятий по сопровождению информационных технологий, комплексов вычислительных и телекоммуникационных средств.

Планировка отделов организации с указанием рабочих мест, а так же схема прокладки информационных кабелей и мест расположения коммутирующего и другого сетевого оборудования в офисах менеджеров и инженеров отражены на рис.3 и рис.4 соответственно.



Рисунок 3. Схема прокладки информационных кабелей и сетевого оборудования в офисе менеджеров ООО «Компания «Тензор».

Рисунок 4. Схема прокладки информационных кабелей и сетевого оборудования в офисе инженеров ООО «Компания «Тензор».

1.2 АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ЕЁ БЕЗОПАНОСТИ В ООО «КОМПАНИЯ «ТЕНЗОР»

Конфиденциальность - необходимость предотвращения разглашения и утечки какой-либо информации. Одними из видов конфиденциальной информации согласно Указу Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера» являются:

коммерческая тайна - сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами;

персональные данные - сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Правовое регулирование вопросов обработки персональных данных в ООО «Компания «Тензор» осуществляется на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных» и принятых в исполнение его положений, нормативно-правовых актов и методических документов.

Высокий уровень безопасности и технической защиты, обеспечиваемый компанией, подтвержден соответствующими лицензиями:

Лицензия ФСБ дает право ООО «Компания «Тензор» на разработку, производство, распространение и техническое обслуживание шифровальных средств.

Лицензия ФСТЭК дает право ООО «Компания «Тензор» на деятельность по технической защите конфиденциальной информации.

Данные документов, предоставленные клиентом - паспорт, СНИЛС и ИНН, проверяются по базам МВД, ПФР и ФНС.

В ООО «Компания «Тензор» предусмотрен внутренний документ, обязывающий сотрудников выполнять требования по неразглашению информации, составляющей коммерческую тайну, в том числе и персональные данные сотрудников компании, а так же работников контрагентов, партнеров, представителей клиентов, обрабатываемых в информационных корпоративных системах.

В ООО «Компания «Тензор» проводится внутренний аудит согласно внутреннему документу (Положению) в целях выявления и своевременного устранения нарушений требований по обеспечению безопасности персональных данных и конфиденциальной информации. Мероприятия по осуществлению внутреннего аудита за процессом обработки и обеспечения безопасности персональных данных и конфиденциальной информации направлены на:

Обеспечение соблюдения пользователями внутренних документов ООО Компания «Тензор», а так же нормативных правовых актов, регулирующих сферу обработки персональных данных;

Оценку компетентности персонала, задействованного в обработке персональных данных и конфиденциальной информации и, при необходимости, проведение соответствующего обучения;

Обеспечение соответствия условий эксплуатации технических средств и средств защиты информации требованиям технической и эксплуатационной документации;

Выявление изменений технологического процесса обработки персональных данных и конфиденциальной информации, новых угроз их безопасности;

Сбор информации, необходимой для анализа выявленных нарушений требований по обработке, хранению и обеспечению безопасности персональных данных и конфиденциальной информации, а так же выработки предложений и принятия решений по совершенствованию порядка обработки и обеспечения безопасности персональных данных и конфиденциальной информации.

Текущий контроль по обеспечению соблюдения пользователями безопасности обработки персональных данных и конфиденциальной информации, согласно соответствующему приказу, осуществляет руководитель обособленного подразделения Строкова И.Ю, а также является ответственной за обеспечение информационной безопасности в обособленном подразделении в г. Рязань.

Для всех сотрудников, работающих с персональными данными в ООО «Компания «Тензор» соответствующей инструкцией предусмотрены правила защиты информации:

При отсутствии на рабочем месте необходимо блокировать доступ к компьютеру.

Запрещается разглашать защищаемую информацию третьим лицам, а также копировать её на внешние носители без разрешения системных администраторов.

Установку стороннего ПО на рабочий компьютер необходимо согласовать с системными администраторами. Нельзя привлекать посторонних лиц для ремонта или настройки рабочего места.

Запрещается без согласования с руководителем и системными администраторами открывать общий доступ к папкам на своем рабочем компьютере.

Средства защиты информации могут быть отключены только сотрудниками Технической поддержки, нельзя самостоятельно вносить изменения в настройки.

Нельзя передавать посторонним лицам личные ключи и атрибуты доступа к источникам персональных данных.

На рабочих местах сотрудников установлены ПК, состоящие из системного блока и внешних устройств, таких как монитор, клавиатура, мышь. Так же имеются веб-камеры, принтеры и сканеры. На компьютерах установлена операционная система Linux. Для организации доступа пользователей (сотрудников) к работе на их ПК должна быть создана индивидуальная учетная запись, защищенная логином и паролем.

Принятое в ООО «Компания «Тензор» ПО для рабочих мест сотрудников регламентируется внутренней инструкцией. К такому ПО можно отнести следующие программы:

антивирус Kaspersky Endpoint Security;

браузеры Google Chrome и Mozilla FireFox;

архиватор файлов 7-zip;

Adobe Flash Player - плагин, позволяющий просматривать Flash-медиаконтент на веб-страницах;

Adobe Reader - программа для просмотра и печати PDF-документов;

ПО компании, например, СБИС Плагин, который необходим для работы на корпоративных порталах, таких как: https://oline.sbis.ru, https://reg.tensor.ru, https://sbis.ru/help/, на сайте компании https://tensor.ru, а так же в корпоративной почте.

В целях защиты от несанкционированного доступа, при работе на корпоративных порталах, для каждого сотрудника должна быть создана учетная запись, защищенная логином и паролем. А так же на порталах существует ограничение доступа к определенной информации для подразделений, сотрудников и партнеров, не имеющих на это право.

На компьютерах всех сотрудников компании установлен антивирус Kaspersky Endpoint Security 10. Он обеспечивает комплексную защиту компьютера от различного вида угроз, сетевых и мошеннических атак. Каждый тип угроз обрабатывается отдельным компонентом. К компонентам контроля относятся следующие компоненты программы:

Контроль запуска программ. Компонент отслеживает попытки запуска программ пользователями и регулирует запуск программ.

Контроль активности программ. Компонент регистрирует действия, совершаемые программами в операционной системе, и регулирует деятельность программ исходя из того, к какой группе компонент относит эту программу. Для каждой группы программ задан набор правил. Эти правила регламентируют доступ программ к персональным данным пользователя и ресурсам операционной системы.

Мониторинг уязвимостей. Мониторинг уязвимостей в режиме реального времени проверяет программы, запущенные на компьютере пользователя, а также проверяет программы в момент их запуска.

Контроль устройств. Компонент позволяет установить гибкие ограничения доступа к устройствам, являющимся источниками информации (например, жесткие диски, съемные диски), инструментами передачи информации (например, модемы), инструментами превращения информации в твердую копию (например, принтеры) или интерфейсами, с помощью которых устройства подключаются к компьютеру (например, USB, Bluetooth).

Веб-Контроль. Компонент позволяет установить гибкие ограничения доступа к веб-ресурсам для разных групп пользователей.

В специальной инструкции ООО «Компания «Тензор» описаны правила работы в сетях общего доступа:

При работе по сети должны быть включены средства защиты информации (антивирус и др.).

Запрещается нецелевое использование подключения к сети.

При передаче защищенной информации по сети необходимо использовать средства шифрования.

Запрещено скачивать по сети программное обеспечение и другие файлы без уведомления системных администраторов.

Нельзя посещать сайты сомнительной репутации.

При обработке данных в компании осуществляется четыре основных информационных процесса: сбор и регистрация, обмен, обработка, накопление и хранение информации. Так как в компании практически вся информация хранится на корпоративных порталах, то часть процессов автоматизирована - используется компьютер и телефон. Таким образом, собранная информация регистрируется сотрудниками в компьютерах на корпоративных порталах и там же обрабатывается не только пользователями, но и системой. Обмен данными между сотрудниками, партнерами и клиентами так же происходит на корпоративных порталах и электронной почте. Но, помимо дистанционной передачи по каналам связи, используется еще и пересылка по почте, доставка курьером. С хранением и накоплением информации непосредственно связан поиск данных, т. е. отбор по параметрам необходимых данных из хранимой информации. Процедура поиска информации выполняется автоматически на основе составленного пользователем или компьютерной системой запроса на нужную информацию. Но, не смотря на автоматизацию процессов, определенную информацию всё же необходимо хранить в бумажном архиве.

Под угрозой конфиденциальной информации понимают потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция.

Наиболее значимыми угрозами безопасности информации автоматизированной информационной системы ООО «Компания «Тензор» являются:

нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а так же персональных данных;

нарушение работоспособности (дезорганизация работы) автоматизированной информационной системы, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;

нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов автоматизированной информационной системы, а так же фальсификация документов.

Основными источниками угроз безопасности информации автоматизированной информационной системы ООО «Компания «Тензор» считаются:

преднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а так же требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений компании при эксплуатации автоматизированной информационной системы компании, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или автоматизированной информационной системы компании в целом;

преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений компании, допущенных к работе с автоматизированной информационной системой компании, а так же сотрудников подразделений компании, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты информации и обеспечения безопасности информации;

воздействия из других логических и физических сегментов автоматизированной информационной системы компании, со стороны сотрудников других подразделений компании, в том числе программистов - разработчиков прикладных задач, а так же удаленное несанкционированное вмешательство посторонних лиц телекоммуникационной сети компании и внешних сетей общего назначения (прежде всего internet) через легальные и несанкционированные каналы подключения сети Компании к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам автоматизированной информационной системы компании.

Защита от несанкционированного доступа к конфиденциальной информации в ООО «Компания «Тензор» обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию несанкционированного доступа.

Никакая система защиты информации не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту. Организация защиты информации - содержание и порядок действий по обеспечению защиты информации. Комплексная система защиты информации должна быть: целенаправленной, непрерывной, конкретной, активной, надежной, плановой, и тд.

2. РАЗРАБОТКА ИНСТРУКЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗИЩИТЕ ИНФОРМАЦИИ ПО ПРОДЛЕНИЮ ЭП ДЛЯ МЕНЕДЖЕРА.

ООО «Компания «Тензор» является лицензированным удостоверяющим центром, изготавливающим и выдающим электронные подписи различного назначения. Сотрудники ежедневно обрабатывают персональные данные клиентов, контрагентов, их работников и представителей. В связи с этим в компании принята Политика обработки персональных данных, в которой описано, что обработка персональных данных осуществляется только с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ в области персональных данных.

В соответствии с локальными нормативными актами ООО «Компания «Тензор», регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Компания «Тензор», устанавливаются меры для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

К примеру, при работе с заявками на продление электронных подписей клиенты дают согласие на обработку их персональных данных, которое может быть отозвано в любой момент путем направления письменного заявления. В большинстве случаев, для продления подписей клиентам нет необходимости готовить новый комплект документов, так как заявки на продление формируются автоматически, на основании заявки по ранее полученной электронной подписи с истекающим сроком действия, и все реквизиты уже заполнены. А документы, такие как паспорт и СНИЛС уже подгружены. Клиентам остается только проверить данные заявки и подписать заявление на изготовление электронной подписи. В заявлении указываются данные юридического и/или физического лица владельца электронной подписи и дается согласие на обработку его персональных данных. С заявкой работает как менеджер, так и сам клиент. При работе с заявочной системой клиенту и менеджеру необходимо соблюдать конфиденциальность информации. Менеджер не должен допускать возможность любого разглашения, утечки или использования полученной информации, так как она является конфиденциальной. Клиент, в свою очередь, не должен использовать информацию, а так же подгруженные документы с целью передачи информации третьим лицам или ее утечки в корыстных побуждениях.

Статья 24 закона № 152-ФЗ «О персональных данных» определяет виды ответственности за нарушение требований федерального закона. Лица, виновные в нарушении требований закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Для защиты информации менеджер должен предупредить клиента об ответственности за нарушение законодательства по обработке персональных данных, а так же при работе с персональными данными не использовать нелегальное ПО, не посещать подозрительные сайты, работать с включенной антивирусной защитой, чтобы исключить возможность несанкционированного доступа к персональным данным, обеспечивать сохранность носителей ключевой информации и других документах о ключах, выдаваемых с ключевыми носителями. В случае компрометации ключа, немедленно поставить в известность удостоверяющий центр. Передавать информацию о клиенте (сотруднике) по просьбе другой организации или физ.лицам, а так же ее публикацию на каких-либо посторонних ресурсах, только в том случае, если клиент (работник) дал согласие на передачу таких сведений. А так же не хранить информацию о доступе в личный кабинет (логин и пароль) в открытом доступе для третьих лиц.

При работе с заявкой менеджеру доступна информация о юридическом адресе, телефоне и электронной почте клиента, которую он не вправе разглашать третьим лицам без согласия клиента. Таким образом, для защиты персональных данных необходимо соблюдать конфиденциальность информации не только самим сотрудникам компании, но и клиентам, пресекать любую возможность нарушения законодательства в области персональных данных, а так же периодически проводить обучение сотрудников работе с персональными данными.

ЗАКЛЮЧЕНИЕ

«Компания «Тензор» - это крупный холдинг, который является разработчиком ПО, активно продвигает и внедряет целый комплекс IT-решений. Основными направлениями деятельности являются:

Удостоверяющий центр

Программное обеспечение

Компьютеры и офисная техника

Серверное оборудование и сети

Торговое и банковское оборудование

Сервисный центр и ЦТО.

Организация защиты информации - содержание и порядок действий по обеспечению защиты информации. Для достижения целей по защите информации необходимо сочетать правовые, организационные и технические меры, определяемые конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. Недостаток или отсутствие любого способа приведет к нарушению защищенности, так как каждая мера дополняет другую, поэтому эффективны они только в комплексе. Комплексная система защиты информации должна быть: целенаправленной, непрерывной, конкретной, активной, надежной, плановой, и тд.

Во время прохождения стажировки были выполнены следующие задачи: дана общая характеристика компании, произведен анализ эффективности действующей системы информационной безопасности в компании, а так же разработаны решения и предложения по совершенствованию системы защиты информации.

БИБИЛИОГРАФИЧЕСКИЙ СПИСОК

1. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

2. Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи».

3. Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

4. Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».

5. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

6. Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) «Об утверждении Перечня сведений конфиденциального характера»

7. Гафнер, В.В. Информационная безопасность: Учебное пособие. - Ростов на Дону: Феникс, 2010.

8. Погуляев В.В. "Комментарий к Федеральному закону от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне". М.: Юстицинформ, 2010.

9. Партыка, Т.Л. Информационная безопасность: Учебное пособие. - М.: Форум, 2012.

10. Таненбаум Э. Компьютерные сети. 5-е изд. - СПб.: Питер, 2015.

11. Руссинович М., Соломон Д., Ионеску А. Внутреннее устройство Microsoft Windows. Основные подсистемы ОС. 6-е изд. СПб.: Питер, 2013.

12. Шаньгин В.Ф. «Защита информации в компьютерных системах и сетях». - М.: ДМК Пресс, 2012.

13. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013.

Размещено на Allbest.ru