Управление персоналом. ОРМ

Под управлением персоналом понимается непосредственно индивидуальная работа с каждым сотрудником организации и со всем коллективом организации в целом. То есть у каждого сотрудника в производственном процессе имеются свои права и обязанности, с которыми он должен быть ознакомлен и согласен с ними. Это могут быть должностные инструкции, перечень информации, СВТ и программных продуктов, с которыми он имеет право работать.

В рамках данного курсового проекта необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой.Созданиетакого пакета документов во многом обусловлено проведенными законодательными и административными мерами и, как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации.

Для защиты ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» рекомендуется утвердить следующие организационные мероприятия:

Регламент об осуществлении охраны помещения оперативно-диспетчерской службы, в которой находятся СВТ и работы с ними.

1.1. Сотрудники ОДС организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.

1.2. Обеспечение физической недоступности к системному блоку (опечатывание/опломбирование). Использование «хранителей экрана».

1.3. Необходимо назначение ответственного лица за каждую единицу информационного обеспечения и за все периферийные устройства, соединенные с ним.

1.4. В случаях, когда сторонние субъекты (специалисты, консультанты и т.п.) в соответствии с документальным соглашением с организацией получают доступ в информационную сеть, к конкретному сетевому ресурсу или СВТ, субъекты должны быть ознакомлены с правилами информационной безопасности, в частности по системе.

1.5 Для обеспечения нормального функционирования СВТ и всей сети сотрудник должен строго следовать правилам, порядкам и другим нормативным документам, регламентирующим части и разделы работы сотрудников.

Регламент о ведении журнала диспетчеров, в котором они будут обязаны расписываться при приеме и сдаче смены. Это обусловлено их сменной работой. По выбранному классу защищенности ИС данный регламент реализует требования регистрации и учета: входа/выхода субъектов доступа в/из системы.

Регламент на использование и защиту паролей.

3.1. Минимальная длина пароля;

3.2. Минимальный срок жизни пароля;

3.3. Максимальное количество ошибок при вводе пароля;

3.4. Поддержка истории паролей;

3.5. При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;

Регламент о разграничении прав доступа к данным на сервере баз данных. Права доступа назначаются администратором и утверждаются генеральным директором.

4.1. Регламент об организации матрицы доступа: матрица доступа пользователей к различным объектам системы.

4.2 Регламента по изменению прав доступа при приеме на работу, перемещениях и увольнениях работников.

Регламент выхода во внешние сети (Интернет) / получения электронной почты.

Регламент по очистке оперативной памяти после работы с конфиденциальной информацией (перезагрузка компьютера).

Регламент о резервном копировании и архивировании.

7.1. Выполнение функций резервного копирования и архивирования должны быть закреплены за ответственным лицом.

7.2. Резервное копирование и архивирование должно производиться на внешние носители - CD/RW.

7.3 Резервные копии должны быть в двух экземплярах и должны храниться в различных местах не с сервером.

Регламент на проведение инвентаризации (не реже 1 раза в год).

Регламент о конфигурации рабочего места пользователя. Должен быть запрет на установку постороннего оборудования.

Регламент о запрете установки постороннего ПО на рабочую станцию.

Регламент на использование антивирусных программных средств на рабочих станциях пользователей и на сервере (мониторинг оперативной памяти).

Регламент о работе администратора.

К функциям администратора создаваемой ИС относятся:

12.1 Проведение тестирования процедур и механизмов безопасности (дружеский взлом, тестирование аварийного плана).

12.2 Обновление, настройка и изменение конфигураций функционирующего ПО.

12.3 Настройка и изменение конфигураций функционирующего АО.

12.4 Порядок подключения и работы пользователей в сети.

12.5 Расчет отказоустойчивости и надежности системы. Выводы.

12.6 Учет всех заявок пользователей о возникающих проблемах.

12.7 Тестирование, отладка, документирование вводимых информационных систем.

Регламент по работе с конфиденциальной информацией.

Регламент о службе контроля работы администратора по защите информации (или лица, контролирующего его работу).

Регламент о синхронизации времени на всем сетевом оборудовании.

Регламент по работе пользователей с СВТ.

Регламент поведения администратора при атаках, как внешних, так и внутренних.

Регламент восстановления работоспособности системы при экстренных ситуациях/авариях.

Регламент о наличии эталонной копии на неизменяемые объекты БД (к примеру, схемы БД) и на проведение сличения с целью выявления фальсификаций.

Регламент по ремонту /замене СВТ

При нарушениях любых из вышеперечисленных требований необходимо предусмотреть карательные меры от лишения премиальных и вплоть до увольнения с работы. При особо серьезных нарушениях, предусмотренных в государственных законопроектах и положениях, – заведение уголовного дела.

Необходимым также является периодическое проведение семинаров для сотрудников организации с целью повышения их уровня знаний в области информационных технологий, а также защиты информации и информационных систем, поскольку зачастую сами же сотрудники организации допускают ошибки по незнанию или своей некомпетентности.

Разделение полномочий

Необходимо ввести контролирующее подразделение за соблюдением ОРМ или назначить сотрудника для снижения злоупотребления сотрудниками организации своими полномочиями.

Предоставить администратору информационной системы создание ролей прав доступа, а контролирующему лицу (администратору безопасности) предоставить выдачу пользователям этих ролей, в результате чего снизится возможность утечки или нелегального использования конфиденциальной информации злоумышленниками.

Запретить администратору информационной системы иметь права работы с объектами системы, но иметь доступ к регистрационному журналу для трассировки значимых событий. А администратору безопасности дать возможность просмотра журнала с целью выявления несанкционированных действий со стороны администратора системы (контроль его действий).

Проверка контролирующим лицом записей в журналах учета работы пользователей с конфиденциальной информации. Соответствие прав пользователей.

При введении в эксплуатацию МСЭ следует выделить отдельную штатную единицу для его администрирования, поскольку это очень серьезная и ответственная работа.

Физическая защита

Методы и средства физической защиты в организации: