Комплексная система защиты информации в условиях ООО (название типографии)

В рамках данного проекта использовано следующее оборудование для системы видеонаблюдения:

1. Возможные решения для подключения цветных купольных видеокамер: а) AV Tech MC27 (4 шт.)Радиус ИК-подсветки до 10 м. Матрица: H.R. Color CCD, 1/3 дюйма. Разрешение (PAL): 752*582.Функция «день-ночь», AES, AGC, AWB, Видеосигнал: композитный, 1 В, 75 Ом. б) CNB LBM-21VF (4 шт.)Радиус ИК-подсветки до 15 м. Матрица: H.R. Color CCD, ½ дюйма. Разрешение (PAL): 752*582, AES, AGC, AWB, DNR, SBLCФункция «день-ночь», Видеосигнал: композитный, 1 В, 75 Ом. Более предпочтительным решением является установка CNB LBM-21VF2. Видеорегистраторы 1. STR-1688.

Цифровой видеорегистратор H.264; 16 каналов с характеристиками: Количество жестких дисков: 1, объем — 1ТВ.

2. DVR1604LE-AS, Количество каналов: 16, Релейныевых.: 3 канала, 30VDC, 1A, NO/NC.Оптимальным решением является установка DVR1604LE-AS.III Выбор и обоснование методики расчёта экономической эффективности3.

1 Выбор и обоснование методики расчёта экономической эффективности.

В рамках данной работы в качестве методики оценки затрат будет рассматриваться одна из наиболее известных технологий расчета экономической эффективности — методология оценивания совокупной стоимости владения (ССВ) применительно к системе информационной безопасности, разработанная фирмой GartnerGroupc учётом особенностей ее использования в отечественных условиях. Для обоснования затрат на систему информационной безопасности принято два подхода. Первый подход предполагает необходимость освоения и последующего практического применения необходимых инструментов состояния информационной безопасности. Для выполнения требований указанного подхода необходимо привлечение руководителей, либо собственников компании для оценки стоимости активов информационной системы, расчету оценки ущерба, который может быть нанесен вследствие нарушений требований информационной безопасности. Полученные в результате этого оценки позволяют определить комплекс мероприятий в области информационной безопасности. Если информационные активы имеют небольшую стоимость, то вкладывать большие ресурсы в их защиту нет большой необходимости. Если стоимость активов информационной системы является ощутимой, то необходимо вложение средств в обеспечение их сохранности.

В данном случае необходима организация поддержки менеджмента фирмы в понимании проблем системы защиты информации и необходимости построения соответствующей архитектуры. Второй подход оценки затрат на создание системы информационной безопасности предполагает использование метода совокупной стоимости. Методология определения совокупной стоимости предполагает проведение расчета всей расходной части информационных активов организации, что включает необходимость прямых и косвенных затрат на комплекс программных и аппаратных средств, организационные мероприятия, включая обучение и повышение квалификации работников в области защиты информации, введение в штат предприятия специалистов, курирующих вопросы организации защиты информации, а также корректировку должностных инструкций сотрудников в соответствии с требованиями защиты информации. Указанная методика может быть применяться для оценки экономической эффективности существующей системы защиты информации. Ее использование также дает возможность специалистам в области информационной безопасности осуществлять обоснование бюджетных затрат на проводимые мероприятия в области информационной безопасности, а также доказывать эффективность функционирования службы ИБ. Поскольку появляются возможности измерения параметров оценка экономической эффективности корпоративной системы защиты информации, становится возможным оперативное решение задач контроля и коррекции параметров экономической эффективности в также показателя ССВ. Основные положения данной методики:

Информационная безопасность обеспечивается рядом мероприятий на всех стадиях жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости следующих составляющих:

проектирование системы информационной безопасности;

— проведение технических учеб со специалистами;

— проведение аудита системы информационной безопасности предприятия;

— организацию администрирования систем безопасности;

— модернизацию системы защиты информации. Параметр ССВ предполагает суммирование прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение системы информационной безопасности в течение года. Параметр ССВ представляет собой ключевой количественный показатель эффективности организации системы защиты информации в организациях, так как позволяет не только производить оценивание суммарной величины вложений в функционирование системы информационной безопасности, но и осуществлять управление данными затратами для достижения необходимого уровня защищенности информационной системы организации. Прямые затраты представляют собой компоненты капитальных затрат, так и трудозатрат, учитываемые в категориях оперативного ООО «Альтиграфика». Косвенные затраты предполагают влияние информационных систем и подсистем защиты информации на сотрудников предприятий посредством оценивания вероятности отказов системы, времени ее простоя, что потенциально вызывает прямые убытки организации. Зачастую косвенные затраты играют значительную роль, так как они обычно изначально не отражены в бюджете на информационную безопасность, а их выявление производится в последствии, что в конечном итоге приводит к увеличению «скрытых» затрат организаций на систему информационной безопасности. Проведем расчет, с использованием используя следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информационной безопасности:, где: Si — характеристика частоты возникновения угрозы защиты информации;Vi -характеристика возможного ущерба при возникновении инцидента информационной безопасности;i — номер вида угрозы. Результат оценивания приведем в таблице 3.

1.Таблица 3.

1.Значения коэффициентов Si и ViОжидаемая (возможная).

частота появления угрозы.

Предполагаемое значение SiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год).

51−2 раза в неделю (примерно 100 раз в год).

63 раза в день (1000 раз в год).

7Значение возможного ущербапри проявлении угрозы, руб. Предполагаемое значение Vi30030013 230 3 300 43 000 530 000 6 300 000 0007.

Выбранные для расчетов коэффициенты, взяты на основании, статистических данных, полученных в результате анализа протоколов работы системы ООО «Альтграфик». Ri1 =104+5−4 = 100 000Ri2 =105+4−4=105 = 100 000Ri3 =103+5−4 =104 = 10 000Ri4 = 103+5−4 =104 = 10 000Ri5 = 103+5−4 =104 = 10 000Далее проведем определение суммарной величины потерь с использованием формулы: R = 230 000 (руб.) Полученные значения приведены в таблице 3.

2.Таблица 3.

2. Величины потерь (рисков) для критичных информационных ресурсов в отсутствие системы защиты информации.

АктивУгроза.

Величина потерь (руб.)Сервера.

Кража, повреждения100 000БДНесанкционированный доступ (кража).

100 000ПОНесанкционированный доступ (кража).

10 000Документы.

Кража, повреждения10 000Пользовательские компьютеры.

Кража, повреждения10 000Суммарная величина потерь230 0003.

2 Анализ структуры затрат на обеспечение информационной безопасности ООО «Альтграфик"Риски владельца информации определяются состоянием системы инженерно-технической защиты информации, определяемым ресурсами системы. При анализе структуры расходов на обеспечение информационной безопасности используем следующие критерии:

расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;

величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации. Данные по ресурсам необходимым для ИБ представлены в таблицах 3.3 и 3.

4.Таблица 3.

3.Содержание и объем ресурсов, выделяемых на обеспечение защиты информации.

Организационные мероприятия№ пп.

МероприятиеСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час) Стоимость, всего (руб.).

1Закупка утвержденных начальником отдела безопасности и руководством ПиАСИБ350 828 002.

Монтаж и установка аппаратных и программных СЗИ25 024 100 003.

Настройка и отладка установленных средств ИБ350 828 004.

Занятия по обучению и использованию данных СЗИ с сотрудниками предприятия350 621 005.

Контроль и мониторинг состояния систем информационной безопасности2 007 014 000.

Стоимость выполнения организационных мероприятий, итого31 700.

Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов.

Стоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.).

1Установка цветной купольной видеокамеры AV Tech MC2732005160002.

Установка 16-канального регистратора в алюминиевом корпусе154 561 154 563.

Установка СЗИ «Гром-ЗИ-4Б» 17 458 000.

Стоимость проведения мероприятий инженерно-технической защиты89 456.

Объем денежного ресурса, выделяемого на защиту информации121 156.

Данные о прогнозируемой величине потерь для критичных ресурсов после внедрения/модернизации системы информационной безопасности приведены в таблице 3.

5. Статистические данные выданы заместителем начальника ООО «Альтрафик».Таблица 3.

4.Содержание и объем постоянного ресурса, выделяемого на защиту информации.

Организационные мероприятия№ пп.

Выполняемые действия.

Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час) Стоимость, всего (руб.).

1Деятельность администратора ИБ 250 120 300 002.

Затраты на сотрудников охраны помещений15 080 120 003.

Техническое обслуживание СЗИ400 104 000.

Стоимость проведения организационных мероприятий, итого46 000.

Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов.

Стоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.).

1Установка цветной купольной видеокамеры AV Tech MC275000150002.

Установка СЗИ «Гром-ЗИ-4Б» 850 018 500.

Стоимость проведения мероприятий инженерно-технической защиты13 500.

Объем постоянного ресурса, выделяемого на защиту информации38 640Итоговая сумма затрат на обеспечение информационной безопасности составила: 121 156+46000+38 640=205796р.С учетом обязательности допущения о постоянности частоты возникновения угроз, а также о неизменности уровня параметров надежности созданной системы информационной безопасности, становится возможным определение срока окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием следующей формулы:

Таблица 3.

5.Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информации.

АктивУгроза.

Величина потерь (руб.)Сервера.

Кража, повреждения80 000БД клиентов.

Несанкционированный доступ (кража).

15 000ПОНесанкционированный доступ (кража).

Файлы заказов клиентов.

Кража, повреждения4500.

Пользовательские компьютеры.

Кража, повреждения8000.

Итоговая величина потерь132 500 (Rср) — объем среднегодовых потерь предприятия из-за инцидентов информационной безопасности в периоде одного года до введения СЗИ = 23 0000(Rпрогн) — прогнозируемый ежегодный объем потерь, после введения СЗИ = 132 500.

Ток = 205 796 / (230 000 — 132 500) = 3года Также необходимо оценить динамику величин потерь за период не менее 1 года: Таблица 3.

6.Оценка динамики величин потерь1 кв. 2 кв.3 кв. 1 год.

Без СЗИ57 500 115 000 172 501 532 672.

После внедрения СЗИ331 256 625 099 375 116 288.

Снижение потерь24 375 487 507 312 599 040.

Графическое представление о динамике потерь на рисунке:

Рисунок 24 — Диаграмма динамики потерь. Далее рассмотрим параметры эффективности при использовании системы защиты информации в условиях ООО «Альтрафик».Единовременные затраты, связанные с закупкой системы, были осуществлены в первый год. Расчёт ЧДДпр (величины чистого дисконтированного дохода проекта) представлен в таблице 3.

6.Таблица 3.6 Расчет величины чистого дисконтированного дохода проекта.

ПоказательГодtнtк2 016 201 720 182 019 241 017 344.

Единовременные затраты (инвестиции), тыс. руб.

Прирост прибыли, тыс. руб. 734.

1 734.

1 734.

1 734.

1 734.

013. Амортизация ПО, тыс. руб. 185.

4185.

4185.

4185.

4185.

44. Остаточная стоимость ПО, тыс. руб. (1−3); (4−3) 741.

6556.

2370.

8185.

405. Налог на имущество (2,2% от остаточной стоимости), тыс. руб. 14.

8311.

127.

415.

Налогооблагаемая прибыль, тыс. руб. (2−5) 719.

21 722.

89 726.

6728.

45 734.

017. Налог на прибыль (20% от налогооблагаемой прибыли), тыс. руб. 143.

842 144.

578 145.

32 145.

69 146.

Чистая прибыль, тыс. руб. (6−7)-575.

368 578.

312 581.

28 582.

76 587.

Чистый годовой доход, тыс. руб. (8+3)-927 760.

768 763.

712 766.

68 768.

16 772.

Накопленный чистый доход, тыс. руб. (9+10)-927−166.

232 597.

481 364.

162 132.

322 904.

Коэффициент дисконтирования10.

860.

740.

640.

550.

Годовой дисконтированный доход, тыс. руб. 654.

26 566.

20 490.

423.

23 366.

Накопленный дисконтный доход, тыс. руб. (13+12)-927−272.

74 293.

46 783.

461 206.

691 573.66Как видно из таблицы 3.6, чистый дисконтированный доход, полученный в результате экономии от внедрения системы, составит 1573.

66 тыс. руб. Изучив данные таблицы 3.5, можно сделать вывод о сроке окупаемости капитальных вложений Ток — он составит примерно 2 года. С четвертого года использование модернизированной системы учёта продукции обеспечит экономию. Кроме того, срок окупаемости Ток определяется графически по рисунку25. Рисунок 25 — Определение срока окупаемости проекта.

Используя полученные данные, определим ВНР (внутреннюю норму рентабельности проекта) графическим способом рисунок 25. Из рисунка видно, что ВНР составляет 0,8. Данная величина означает предельно допустимую ставку по кредиту при реализации проекта за счет заемных средств, при которой ЧДДпр будет неотрицательным. Найдем КОК (коэффициент отдачи капитала) по формуле:

Рисунок 26 — Расчёт ВНР графическим способом.

КОК = 1573 / 927 + 1 = 2.69Коэффициент отдачи капитала больше единицы (КОК > 1), значит, вложение средств в данный проект принесет прибыль. Таким образом, на основе предложенной методики оценки экономической эффективности проекта выполнены расчеты единовременных затрат, экономии эксплуатационных затрат и обобщающих показателей. В результате проведённых расчётов определены итоговые показатели экономической эффективности проекта: чистый дисконтированный доход проекта (ЧДДпр = 1573 тыс. руб.), внутренняя норма рентабельности (ВНР = 80%), период возврата капитальных вложений (Ток = 2 года) и коэффициент отдачи капитала (КОК = 2.69).Анализируя полученные значения показателей, можно сделать вывод о рентабельности системы ООО «Альтграфик». В условиях текущей экономической ситуации реализация разработанного проекта является прибыльной.

Заключение

.

В рамках данной работы был проведено изучение системы информационной безопасности на примере структуры ООО «Альтграфик», проведена оценка рисков, угроз активам. В рамках работы над теоретической частью работы проведено рассмотрение теоретических основ и нормативной базы систем защиты информации. Было проведено определение перечня информации, отнесенной к разряду конфиденциальных данных, перечня документов, образующихся в работе типографии ООО «Альтрафик», в которых фигурирует конфиденциальная информация. Проведен анализ классификации типов конфиденциальныхданных с использованием методики ФСТЭК, оценки степеней защищенности автоматизированных информационных систем, документационного и организационного обеспечения исполнения требований законодательных актов относительно класса конфиденциальности информации, определенного для информационной системы ООО «Альтграфик». Далее проведено рассмотрение организации защиты информации применительно к структуре ООО «Альтграфик», определение бизнес-процессов организации, связанных с обработкой конфиденциальной информации. Приведена модель угроз безопасности конфиденциальной информации, для каждого из типов угроз. Определена ценность каждого из ресурсов информационной системы, оценены степени риска их утраты и стоимость информационных активов. В рамках требований, предъявляемыхнормативными актами к классу информационных систем, соответствующему данным, обрабатываемым в ООО «Альтграфик», необходимо исполнение ряда организационных мер по защите конфиденциальной информации.

Необходимо также наличие локальных документов согласно перечню, утвержденному действующим федеральным законодательством. Согласно указанным требованиям проведен анализ существующего документационного обеспечения, а также организационных и технологических мер по защите конфиденциальной информации. Показано, что в условиях ООО «Альтграфик» организационные меры и локальные нормативные акты, а также программное и инженерно-техническое обеспечение соответствуют требованиям стандартов защиты информации. Вместе с этимпоказано, что существующая информационная система ООО «Альтграфик» не имеет целостного подхода к защите информационных ресурсов, поскольку политики защиты информации для каждого информационного ресурса являются уникальными, что приводит к росту трудозатрат сотрудников на исполнение требований защиты информации, снижая общую защищенность системы. Далее проведено рассмотрение системы ООО «Альтиграфика» видеонаблюдением и охранно-пожарной сигнализацией.

Показано, что в настоящее время управление данными ресурсами осуществляется на аппаратном уровне, что имеет ряд недостатков. Предложено внедрение ПО «Орион», что позволяет реализовать управление пожарной сигнализацией и видеосистемой в едином режиме, что в целом повышает эффективность физической защиты объектов ООО «Альтграфик». Оценка экономической эффективности проекта показала срок окупаемости системы в 2 года, что является приемлемым результатом. Список источников и литературы.

Бабаш, А. В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А. В. Бабаш, Е. К. Баранова, Ю. Н. Мельников. — М.: Кно.

Рус, 2013. — 136 c. Баймакова, И. А. Обеспечение защиты персональных данных- М.: Изд-во 1С-Паблишинг, 2010. — 216 с. Гафнер, В. В. Информационная безопасность: Учебное пособие / В. В. Гафнер. ;

Рн/Д: Феникс, 2010. — 324 c. Гашков С. Б., Применко Э. А., Черепнев М. А. Криптографические методы защиты информации. -.

М.: Академия, 2010. — 304 с.

5. Герасименко, В. А. Основы защиты информации/ В. А. Герасименко, А. А. Малюк — М.: МИФИ, 1997.

Грибунин В. Г. Комплексная система защиты информации на предприятии/ В. Г. Грибунин, В. В. Чудовский. — М.: Академия, 2009. — 416 с. Гришина Н. В. Комплексная система защиты информации на предприятии. — М.: Форум, 2010. -.

240 с. Громов, Ю. Ю. Информационная безопасность и защита информации: Учебное пособие / Ю. Ю. Громов, В. О. Драчев, О. Г. Иванова. — Ст. Оскол: ТНТ, 2010. — 384 c. Емельянова, Н. З. Защита информации в персональном компьютере/ Н. З. Емельянова, Т. Л. Партыка, И. И. Попов — М.: Форум, 2009. -.

368 с. Ефимова, Л. Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л. Л. Ефимова, С. А. Кочерга. — М.: ЮНИТИ-ДАНА, 2013. ;

239 c. Завгородний, В. И. Комплексная защита в компьютерных системах: Учебное пособие/ В. И. Завгородний — М.: Логос; ПБОЮЛ Н. А. Егоров, 2001. — 264 с. Корнеев, И. К. Защита информации в офисе /И.К. Корнеев, Е. А. Степанова — М.: ТК Велби, Проспект, 2008. — 336 с. Максименко, В. Н. Защита информации в сетях сотовой подвижной связи/ В. Н. Максименко, В. В. Афанасьев, Н. В. Волков — М.: Горячая Линия — Телеком, 2007. -.

360 с. Малюк, А.А.

Введение

в защиту информации в автоматизированных системах/ А. А. Малюк, С. В. Пазизин, Н. С. Погожин — М.: Горячая Линия — Телеком, 2011. — 146 с. Малюк, А. А. Информационная безопасность. Концептуальные и методологические основы защиты информации/А.А.Малюк — М.: Горячая Линия — Телеком, 2004. — 280 с. Партыка, Т. Л. Информационная безопасность: Учебное пособие / Т. Л. Партыка, И. И. Попов. — М.: Форум, 2012.

— 432 c. Петраков, А. В. Основы практической защиты информации. Учебное пособие/ А. В. Петраков — М.: Солон-Пресс, 2005. — 384 с. Петров, С. В. Информационная безопасность: Учебное пособие / С. В. Петров, И. П. Слинькова, В. В. Гафнер. — М.: АРТА, 2012. ;

296 c. Семененко, В. А. Информационная безопасность: Учебное пособие / В. А. Семененко. — М.: МГИУ, 2010. — 277 c. Проектирование экономических систем: Учебник / Г. Н. Смирнова, А. А. Сорокин, Ю. Ф. Тельнов — М.: Финансы и статистика, 2003.

Сурис М.А., Липовских В. М. Защита трубопроводов тепловых сетей от наружной коррозии. — М.: Энергоатомиздат, 2003. — 216 с. Хорев, П. Б. Методы и средства защиты информации в компьютерных системах/ П. Б. Хорев — М.: Академия, 2008. — 256 с. Хорев, П.Б. Программно-аппаратная защита информации/ П. Б. Хорев — М.: Форум, 2009. -.

352 с. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В. Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. ;

416 c. Ярочкин, В. И. Информационная безопасность: Учебник для вузов / В. И. Ярочкин. — М.: Акад. Проект, 2008.

— 544 c. Приложение 1Скриншоты программных продуктов, используемых в условиях ООО «Альтиграфик». Здесь также приведем режимы администрирования пользовательских учетных записей. Рисунок А.1 — Вход в БД «1С: Предприятие"Рисунок А.2 — Режим журнала операций 1СНа рисунке А3 приведен список пользовательских режимов конфигурации. На рисунке А4 показан режим назначения ролей пользователей при работе с конфигурацией. Далее рассмотрим режим установки и настройки тонкого клиента. Окно установщика режима тонкого клиента показано на рисунке А5, на рисунке А6 показан режим настройки компонент тонкого клиента.

На рисунке А6 показан режим ввода пользователя для режима тонкого клиента. В параметрах «Прочие» устанавливаются опции доступа к режимам тонкого клиента. Рисунок А.3- Список пользовательских режимов.

Рисунок А4- Назначение ролей пользователей конфигурации.

Рисунок А5 — Настройки пользователя Рисунок А6 — Права доступа к тонкому клиенту.

Приложение 2Должностная инструкция администратора базы данных ООО «Альтиграфик» Утверждаю.

Директор ООО «Альтиграфика"___________________________ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ Администратора базы данных ООО «Альтиграфика"1. ОБЩИЕ ПОЛОЖЕНИЯ1.

1.Администратор БД ООО «Альтиграфика» назначается и освобождается от должности генеральным директором по согласованию с начальником отдела информационных технологий. Администратор БД подчиняется директору ООО «Альтиграфика», методически — директору ООО «Альтиграфика». Администратор БД должен знать методические, нормативные и другиеруководящие документы, относящиеся к вопросам адаптации, внедрения и эксплуатации программного обеспечения — автоматизированных рабочих мест (АРМ) специалистов ООО и прикладных программ, созданных и рекомендованных к внедрению отделом ИТ, а также иметь необходимые знания и навыки для организации эксплуатации аппаратных средств вычислительной техники.

2. ФУНКЦИИПолучение в ИТ-отделе, проверка, установка и сопровождение программных средств (АРМ, прикладных программ).Обеспечение пользователей программных средств ООО «Альтиграфика» полученными инструкциями, разработка при необходимости собственных инструкций на базе полученных централизованно. Консультирование пользователей — специалистов ООО «Альтиграфика» по вопросам эксплуатации применяемых программно-аппаратных средств. Установка версий программного обеспечения, связанного с вопросами информационной безопасности, техническое сопровождение процесса защиты информации. Организация работы с программным обеспечением в области полиграфии.

2.6. Оказание практической помощи пользователям программных средств по бухгалтерско-экономическим расчетам, кадровому, полиграфии по их запросу.

2.7. Выполнение работ по обеспечению сохранности информации, резервное копирование баз данных согласно регламентам.

2.8. Организация, поддержка в рабочем состоянии, контроль эксплуатации имеющейся на предприятии компьютерной техники.

9.Диагностирование неисправностей, при необходимости совместно со специалистами по техническому обслуживанию, компьютерной техники, проведение мелкого ремонта, подготовка к передаче в ремонт обслуживающим организациям согласно договору. Контроль за поддержанием в рабочем состоянии и соблюдением правил эксплуатации пользователями компьютерной техники. Своевременное составление заявок на расходные материалы и комплектующие для ремонта к модернизации. Администрирование баз данных программных комплексов, определенных приказами директора ООО «Альтиграфика».Разработка планов работ по автоматизации.

3.ОБЯЗАННОСТИАдминистратор БД обязан: 3.

1. Организовать работу по использованию программно-аппаратных средств в соответствии с инструктивно-методическими документами.

3.2. Проводить обучение пользователей основам работы с программно-аппаратными средствами.

3.3. Своевременно сообщать директору ООО «Альтиграфика» об обнаруженных ошибках в программном обеспечении.

3.4. Вносить предложения директору ООО «Альтиграфика» по совершенствованию организации эксплуатации программно-аппаратных средств.

3.5. Своевременно сообщать директору ООО «Альтиграфика» о нарушениях условий эксплуатации компьютерной техники (сбои электрического напряжения, температурный режим и т. п.).З.6 Соблюдать требования по защите информации в соответствии с действующими документами отдела Защиты Информации.

3.7. Знать Конституцию Российской Федерации, основы федерального законодательства в области защиты информации, порядок ведения делопроизводства, предоставления отчётности, порядок работы со служебной информацией, правила делового этикета, правила и нормы охраны труда, техники безопасности и противопожарной защиты.

3.8. Иметь высокий уровень исполнительской дисциплины и ответственности, навыки делового письма.

3.9. Уметь планировать и рационально использовать рабочее время, ориентироваться в потоке информации.

4.ПРАВАСпециалист имеет право:

Своевременно получать от начальника ООО «Альтиграфика» информацию, необходимую для выполнения своих обязанностей. Осуществлять контроль за выполнением пользователями средств вычислительной техники требований и правил работы с программно-аппаратными средствами. Участвовать в разработке планов и руководящих документов по вопросам эксплуатации средств вычислительной техники и программных комплексов, предоставлять отчётность в соответствии с требованиями предприятия. Направлять предложения по совершенствованию организации работ по информационной безопасности руководителю предприятия. Разрабатывать и внедрять прикладные программы для нужд ООО «Альтиграфика».Вносить предложения директору ООО «Альтиграфика» по принятию мер к пользователям, регулярно нарушающим требования по эксплуатации программно-аппаратных средств. По согласованию с начальником ООО «Альтиграфика» взаимодействовать с другими организациями по вопросам автоматизации работ. Работать с конфиденциальной информацией, необходимой для выполнения должностных обязанностей.

Производить резервное копирование конфиденциальной информации на отчуждаемые носители5. ОТВЕТСТВЕННОСТЬ5.

1. Администратор БД несет ответственность за качество и своевременность выполнения возложенных на него настоящей должностной инструкцией обязанностей.

5.2. За соблюдение инструкции по внутриобъектовому режиму, установленной на предприятии, правил техники безопасности, за сохранность закрепленного за ним имущества.

5.3 За разглашение или использование в собственных интересах или в интересах третьих лиц конфиденциальной информации, которая станет известна ему по характеру работы, в соответствии с законодательством Российской Федерации, вплоть до уголовной5.

4 За соблюдение требований «Положения о порядке работы с документированной информацией конфиденциального характера"6. КВАЛИФИКАЦИОННЫЕ ТРЕБОВАНИЯ6.

1. На должность главного специалиста-эксперта по автоматизации назначается специалист с высшим образованием, имеющий не менее двух лет стажа работы по специальности, связанной с разработкой и организацией эксплуатации программно-аппаратных средств вычислительной техники.

6. 2. Администратор БД должен обладать знаниями в области сопровождения программных средств и в предметной области, в которой проводится автоматизация. Ознакомлен:

Приложение 3Положение о порядке работы с документами, содержащими информацию конфиденциального характера в ООО «Альтиграфика"Общие положения.

Настоящее Положение разработано в соответствии с Федеральными законами от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», № 152 «О персональных данных», «Перечнем сведений конфиденциального характера», утвержденным Указом Президента Российской Федерации от 06 марта 1997 № 188, c изменениями и дополнениями. Положение регламентирует единый порядок обращения с документами, содержащими информацию конфиденциального характера, и является обязательным для выполнения всеми сотрудниками ООО «Альтиграфика».Документированная информация конфиденциального характера или документ конфиденциального характера — это конфиденциальная информация, зафиксированная на материальном носителе (бумага, металл, магнитный носитель и т. д.). Сохранность документированной информации конфиденциального характера обеспечивается комплексным использованием административно-правовых, организационных, программно-технических мероприятий и применением других мер защиты. В ООО «Альтиграфика» ограничение доступа к конфиденциальной документированной информации (документам) обеспечивается:

Директором и его заместителями;

начальниками отделов при распределении функциональных обязанностей между сотрудниками и определении поручений подчиненным сотрудникам на ознакомление и исполнение документов конфиденциального характера;

выполнением всеми сотрудниками-исполнителями документов конфиденциального характера, своих обязанностей, изложенных в должностных инструкциях и нормативных актах о порядке работы с документами конфиденциального характера;

определением оптимальных сроков хранения отработанных документов конфиденциального характера в номенклатуре дел ООО «Альтиграфика»;осуществлением постоянного контроля за выполнением всеми сотрудниками ООО «Альтиграфика» требований по особенностям работы с документами конфиденциального характера. Предоставление информации, включенной в «Перечень сведений конфиденциального характера в ООО Альтиграфика» (далее — Перечень сведений), органам государственной власти, физическим и юридическим лицам допускается на основании разрешения руководства. Решение о снятии ограничения доступа с документов, содержащих сведения конфиденциального характера, возникшее в результате реализации совместных с органами государственной власти, иными организациями договоров или соглашений, может быть принято только по согласованию с лицом (органом), по инициативе которого сведения были отнесены к категории конфиденциального характера. Порядок передачи конфиденциальной информации.

Представление сведений конфиденциального характера органам государственной власти, физическим и юридическим лицам может осуществляться:

в части сведений, в отношении которых предприятие является владельцем — в объёме и порядке, определяемым действующим законодательством Российской Федерации на основании совместных соглашений по официальным мотивированным письменным запросам;

в части сведений, в отношении которых предприятие не является владельцем, — в объеме и порядке, установленным юридическим лицом, которое первоначально отнесло свою информацию к категории конфиденциального характера, при этом в соглашениях между предприятием и юридическими лицами отражаются соответствующие условия и возможные санкции за их нарушения. Передача баз данных ООО «Альтиграфика» с конфиденциальной информацией различным организациям, включая и правоохранительные органы, действующим законодательством Российской Федерации не предусматривается. Обязанности должностных лиц по обеспечению сохранности документированной информации конфиденциального характера, порядок допуска к ней сотрудников:

Руководители подразделений несут ответственность за обеспечение сохранности конфиденциальной информации в подчиненных им подразделениях, а также за выполнение полного комплекса мероприятий по их защите;

сотрудники, допущенные к конфиденциальной информации, несут персональную ответственность за соблюдение ими установленного режима защиты информации;

функциональные обязанности сотрудников подразделений при работе с документами конфиденциального характера, их ответственность за сохранность информации должны быть определены должностными инструкциями;

допуск сотрудников к конфиденциальной информации осуществляется после изучения ими требований нормативных документов ООО «Альтиграфика» по защите информации в части, их касающейся, проверки знаний указанных требований администраторами защиты информации и подписания обязательства по неразглашению сведений. Сотрудники структурных подразделений ООО «Альтиграфика» обязаны:

знать и выполнять требования настоящего Положения; знать Перечень сведений конфиденциального характера в части, их касающейся; хранить в тайне известные им сведения конфиденциального характера, информировать начальника своего структурного подразделения и отдел по защите информации ООО «Альтиграфика» о фактах нарушения порядка обращения со сведениями конфиденциального характера, о попытках несанкционированного доступа к информации; строго соблюдать правила пользования документами, порядок их учета и хранения, исключить доступ к ним посторонних лиц; знакомиться только с теми документами, к которым получен доступ в силу исполнения прямых служебных обязанностей; о допущенных нарушениях установленного порядка работы, учета и хранения документов, а также о фактах разглашения сведений конфиденциального характера представлять письменные объяснения начальнику отдела по защите информации ООО «Альтиграфика».При работе с конфиденциальной информацией сотрудникам ООО «Альтиграфика» запрещается:

использовать сведения конфиденциального характера при ведении переговоров по городской телефонной сети;

использовать сведения конфиденциального характера в открытой переписке, статьях и выступлениях;

передавать документы конфиденциального характера по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта с использованием Интернет адресов);использовать сведения конфиденциального характера в неслужебных целях, в разговорах с лицами, не имеющими отношения к этим сведениям;

снимать копии с документов и других носителей информации, содержащих сведения конфиденциального характера, или производить выписки из них, а также использовать различные технические средства (видеои звукозаписывающую аппаратуру) для записи сведений конфиденциального характера без разрешения руководителя подразделения;

выполнять на дому работы, связанные со сведениями конфиденциального характера, выносить документы и другие носители информации, содержащие сведения конфиденциального характера, из здания предприятия, без разрешения руководителя;

лица, командированные, допускаются к сведениям конфиденциального характера разрешением начальника соответствующего отдела в объеме выполнения командировочного задания и с соблюдением требований настоящего Положения. Порядок ведения делопроизводства с документами конфиденциального характера. Ведение делопроизводства с документами, содержащими сведения конфиденциального характера, осуществляется в соответствии с требованиями ГОСТа Р 6.30−2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», и настоящего Положения. Документы, которые относятся к конфиденциальным, вносятся в «Реестр документов, образующихся в деятельности предприятия, относящихся к утвержденному Перечню сведений конфиденциального характера» (Реестр документов). Реестр документов обновляется ежегодно после обновления номенклатуры дел ООО «Альтиграфика» на очередной календарный год. В случае передачи документов сторонним организациям, на документах и на их проектах, содержащих информацию конфиденциального характера, в соответствии с Перечнем сведений, проставляется пометка «Конфиденциально». Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа, на обложке и титульном листе издания, а также на первой странице сопроводительного письма к таким документам. Определение необходимости проставления на документах и на их проектах, содержащих информацию конфиденциального характера, пометки «Конфиденциально» производится на основании Реестра документов или Перечня сведений исполнителем и лицом, подписывающим документ. Приём и учёт (регистрация) документов, содержащих информацию конфиденциального характера, осуществляется общим отделом (специалистом по делопроизводству).Документы с пометкой «Конфиденциально»:учитываются совместно с другими несекретными документами. К регистрационному номеру (индексу) документа добавляется буква «К» ;после регистрации передаются на исполнение сотрудникам предприятия;

при направлении документов в стороннюю организацию, на последнем листе исполненного документа (как правило — на обратной стороне) должны быть указаны: количество отпечатанных экземпляров, фамилия исполнителя, номер его телефона и дата печатания документа. Отпечатанные и подписанные документы передаются для регистрации в общий отдел (специалисту по делопроизводству) для учета;

пересылаются сторонним организациям заказными или ценными почтовыми отправлениями;

размножаются (тиражируются) с письменного разрешения руководителя подразделения, учет размноженных документов осуществляется поэкземплярно;

хранятся в надежно запираемых шкафах (ящиках, хранилищах), или в выделенных помещениях, с особым порядком обращения с ключами и нахождения в них. Требования пунктов 3.1 — 3.5 распространяются на машинные носители информации (машиночитаемые документы), содержащие сведения конфиденциального характера. Передача конфиденциальной информации может также осуществляться в электронном виде по защищенным каналам связи в среде LotusNotes на внутренние адреса или по деловой почте ViPNet. При необходимости направления документов с пометкой «Конфиденциально» в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправляемых документов. Указатель рассылки подписывается руководителем структурного подразделения, ответственным за подготовку документа. Исполненные документы с пометкой «Конфиденциально» группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства, совместно с другими несекретными документами. На обложке дела, в которое помещены такие документы, также проставляется пометка «Конфиденциально». Доступ сотрудников подразделений к этим делам для ознакомления с подшитыми документами осуществляется на основании визы руководителя. При большом объеме документов со сведениями конфиденциального характера их целесообразно группировать в дела отдельно от несекретных документов. Уничтожение дел и документов с пометкой «Конфиденциально», утративших свое практическое значение и не имеющих исторической ценности, производится в соответствии с Инструкцией по делопроизводству. Передача документов и дел с пометкой «Конфиденциально» из одного структурного подразделения в другое, не имеющее ранее отношения к ним, осуществляется по согласованию руководителей этих подразделений с отметкой о движении документа в регистрационно-контрольной карточке в общем отделе (через специалиста по делопроизводству).При смене работника, ответственного за хранение документов с пометкой «Конфиденциально», передача документов осуществляется через руководителя соответствующего структурного подразделения. Снятие документов с особого учета производится по указанию начальника соответствующего структурного подразделения по истечению срока действия конфиденциальности информации. При этом зачеркивается пометка «Конфиденциально» .Аннулирование пометки «Конфиденциально» отражается в учетных документах. О снятии ограничения извещаются другие организации, в которые рассылался данный документ. Начальник структурного подразделения имеет право снятия пометки «Конфиденциально» с документированной информации, не включенной в Перечень сведений, о чем информируются исполнители документов. Ответственность за разглашение сведений конфиденциального характера, утрату документов, содержащих такие сведения, и нарушение порядка работы с ними.

Разглашение сведений конфиденциального характера является чрезвычайным происшествием и влечет за собой последствия, предусмотренные действующим законодательством, а также договорными обязательствами между руководством и принятым на работу лицом. Ответственность за разглашение сведений конфиденциального характера несет персонально каждый работник, имеющий доступ к этим сведениям и допустивший их разглашение. По факту разглашения сведений конфиденциального характера директором назначается служебное расследование, которое проводится назначенной по приказу комиссией. Комиссия устанавливает:

обстоятельства разглашения сведений конфиденциального характера;

соответствие разглашенных сведений перечню сведений, конфиденциального характера;

виновных в разглашении сведений конфиденциального характера;

причины и условия, способствующие разглашению сведений конфиденциального характера. Служебное расследование проводится в минимально короткий срок, но не более одного месяца со дня обнаружения факта разглашения. Одновременно с работой комиссии принимаются меры по локализации нежелательных последствий из-за разглашения сведений конфиденциального характера. При необходимости ставятся в известность соответствующие местные органы государственной власти. По результатам работы комиссии составляется акт, с указанием наименования утраченных (разглашенных) документов (дел, изданий) с пометкой «Конфиденциально». Соответствующие записи вносятся в учетные документы. В случае применения к виновным лицам дисциплинарных мер воздействия, руководство обязано принять решение не позднее месяца после обнаружения факта разглашения сведений конфиденциального характера. При наличии в действиях лица, разгласившего сведения конфиденциального характера, признаков административного правонарушения или преступления руководство имеет право обращаться в правоохранительные органы для привлечения его к ответственности, в соответствии с действующим законодательством Российской Федерации.