Доступность настроек, особенно при построении сетей на персональных компьютерах, как правило, имеющих избыточные и не нужные простому пользователю автономные возможности по их администрированию, доступные большому числу пользователей, администраторов систем и программистов.
Решением в данной ситуации является переход к централизованной обработке и централизованному управлению безопасностью, развитие аудита событий в системе с обязательным оперативным разбором информации с целью обеспечения их прозрачности для службы безопасности, а также усиление административного компонента в управлении персоналом. Именно это демонстрируют крупнейшие ИТ-корпорации, которые добились практически полной централизации не только обработки, но и администрирования ресурсов, исключив из этого процесса собственно пользователей и поставив под контроль и аудит администраторов.
Это, в свою очередь, требует наличия понятной и логичной политики безопасности, разработанной для конкретной организации и с учетом ресурсов, которые являются для нее критическими. Так, в организации, предоставляющей услуги передачи межбанковских платежей, защищаемый ресурс будет одним, а в банках, которые пользуются этой системой, — совершенно иным. Естественно, что и политики безопасности в этих организациях отличаются, включая в первом случае одну группу уровней модели, а во втором — другую группу. Но в таком случае они отличаются и по видам угроз, и по агентам этих угроз, и по методам защиты, и по критериям оценки безопасности. При кажущейся внешней схожести и общей сфере деятельности двух этих организаций, безопасность информационных систем в них разительно различается.
6 Обеспечение биологической безопасности пользователей в организации
Приказ Министерства здравоохранения и медицинской промышленности РФ
« О порядке проведения предварительных периодических медицинских осмотров и регламентация доступа к профессии».
Данный приказ подтверждает:
-перечень вредных и опасных веществ и производственных факторов;
- цели периодических осмотров врачей-специалистов;
- список профессиональных заболеваний;
- обязанности руководства по соблюдению допустимых норм на предприятии.
В соответствие с данным приказом для пользователей ИС можно выделить следующие неблагоприятные факторы:
1)электромагнитное излучение формируется вокруг любых приборов , работающих на электрическом токе. В первую очередь вокруг мониторов.
Высокий уровень электромагнитного излучения может вызвать различные заболевания органов зрения, поражать нервную и сосудистую систему . К профессиональным заболеваниям относятся: котакарта, останический синдром и тд.
2) работы, требующие длительного зрительного напряжения. Наблюдение за экраном монитора свыше 50 % времени рабочей смены. Данные работы снижают остроту зрения , вызывают различные заболевания органов зрения ,к профессиональным заболеваниям относится профессирующая близорукость.
3) работы, связанные с локальным напряжением мышц кистей и пальцев рук. Работа с клавиатурой и манипуляторами, выполнение за смену более 40000 операций.
Данные работы могут вызывать хронические заболевания нервной системы, болезни суставов , кистей рук.
4)Газ озон. Озон выделяется при работе лазерных принтеров и сканеров. Данный газ может вызывать различные аллергические заболевания верхних дыхательных и бронхолегочной системы.
Неблагоприятные факторы допускаются ,если они не превышают предельно допустимой нормы. Замер уровня неблагоприятного воздействия факторов осуществляют специальные СЭС с помощью специальных приборов. По результатам проверки специалисты составляют единое заключение.
Кроме того, рекомендуется в паспорт АРМ, в которой наряду с программно-техническими характеристиками указывать и уровень воздействия неблагоприятных факторов.
Подлежат нормированию:
1)уровень ЭМИ, который замеряется на расстоянии 50см от рабочего оборудования;
2)параметры монитора .Современные сертифицированные мониторы выпускаются с соблюдением всех допустимых норм. Лазерные мониторы более безопасные и рекомендуются для установления в офисе;
3)микроклимат помещений с ЭВМ, равномерное освещение рабочих мест и офисов в целом, возможно совмещение как естественного так и искусственного освещения.
Допустимый уровень шума: приборы производящие шум должны быть вынесены в отдельные помещения , при необходимости стены и потолки могут покрываться звукопоглащающими материалами.
Средства снижения неблагоприятного воздействия:
- соблюдение предельно допустимых норм неблагоприятных факторов. Обязанность за их соблюдение лежит на руководстве организации;
- соблюдение режима труда и отдыха. Все пользователи ЭВМ деляться на 3 группы:
1 группа- воздействие неблагоприятных факторов превышает допустимые нормы;
2 группа- влияние неблагоприятных факторов близко к предельно допустимым, но не превышает их;
3 группа – пользователи работают с ЭВМ в творческом режиме.
- использование специальных защитных средств:
* увлажнители воздуха;
*кондиционеры;
*специальные фильтры , поглощающие ЭМИ
* использование приборов со специальными защитными корпусами, использование специальных клавиатур и тд;
- применение специальных комплексов физических упражнений ,которые можно выполнить на рабочем месте.
7 Аудит информационной системы
Аудит ИС направлен не столько на проверку достоверности бухгалтерской отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности ИС, анализ и прогнозирование ее состояния, управления рисками в ИС.
Далее рассматривается простейшая методика аудита ИС, доступная для пользователей не обладающих специальными знаниями .Для более детального аудита рекомендуется привлекать квалифицированных специалистов-аудиторов ИС. Вопросам аудита ИС посвящены несколько зарубежных стандартов и специальный российский стандарт «Аудит в условиях компьютерной обработки данных» Цели аудита ИС:
• Оценка рисков в ИС
• Содействие предотвращению и смягчению последствий сбоев в ИС.
• Контроль за деятельностью ИС.
• Правильная организация управления ИС.
Технология аудита ИС.
При проведении аудита ИС внимание проверяющих обычно направлено на три основных блока:
• Техническое обеспечение ИС
• Программное обеспечение ИС
• Технология организации компьютерной обработки данных
При проверке технического обеспечения (ТО) отслеживают:
1. способность ТО функционировать без сбоев и остановок
2. надежность хранения данных на компьютерных носителях, практику резервного копирования
3. ограничение физического доступа к ТО
4. возможность наращивания и обновления ТО
5. достаточность мощности ТО для осуществления обработки данных
6. соблюдение принципов экономической эффективности ТО (соотношение затрат на ТО и экономического эффекта получаемого от его использования).
При контроле программного обеспечения (ПО) проверке подлежат:
1. лицензированность ПО
2. разграничение прав доступа к ПО
3. порядок обновления ПО
4. протоколирование действий пользователя
5. надежность ПО, наличие антивирусной защиты
6. достаточность функциональных возможностей ПО, удобство пользовательского интерфейса
7. корректность настроек ПО
8. корректность ведения справочников
9.корректность алгоритмов и процедур используемых в ПО.
Направления проверки технологий организации компьютерной обработки данных:
1. наличие необходимых внутренних документов ИС («Стратегия развития ИС», «Техническая политика», «Архитектура ИС», «Бюджет ИС», «Политика информационной безопасности», «Соглашение о взаимодействии бизнес-подразделения (бухгалтерии) и обслуживающего персонала», протоколы заседаний ИС-комитета, планы-графики развития ИС, журнал регистрации обращений пользователя, должностные инструкции, документы на эксплуатацию ТО, инструкции по работе в программах, лицензионная документация на ПО)
2. оценка системы поддержки пользователей ИС
3. существование плана развития ИС и его реализация
4. существование политики информационной безопасности и ее исполнение.
5. соответствие деятельности персонала с планами развития ИС и политикой информационной безопасности
6. работа особо критичных участков
7. регламентация деятельности персонала в критических ситуациях.
Практика информационного менеджмента в издательстве ЗАО «Коммерсант»
Сегодня можно сказать, «Коммерсант» был первым по-настоящему рыночным изданием, развивавшем активную экспансию на рынке СМИ.
Двадцать лет назад вышел нулевой (пилотный) номер тогда еще еженедельной газеты «Коммерсант». А с 8 января 1990 года газета стала выходить в регулярном режиме. К чему это привело, знают сегодня не только сотни тысяч читателей изданий с логотипом «Ъ», но и сотни тысяч читателей других газет и журналов, возникших за последнее десятилетие. Новые технологии издательского дома «Коммерсант» оказали влияние на весь рынок российской прессы, а команды коммерсантовской школы сегодня участвуют в производстве большинства популярных российских СМИ.
«Коммерсант», как известно, произошел из кооператива «Факт». Это был один из самых первых кооперативов в стране – зарегистрированный 15 июня 1988 года, вскоре после выхода закона о кооперации. Основатель «Факта» Владимир Яковлев работал тогда корреспондентом в журнале «Огонек». В те времена бытовала фраза: «Кто владеет информацией – владеет миром». Но мало кто знал, где эту информацию взять и кому и почем ее потом можно предложить. У Яковлева возникла идея создать информационную службу для поддержки первых кооперативов. Эдакую телефонную справочную, которая давала интересующимся телефоны кооперативов, а также издавала справочную литературу, нормативные акты и документы, оказывала юридическую поддержку и консультировала.