Руководителем является управляющий директор. В подчинении у управляющего директора находятся главный бухгалтер, главный экономист, главный агроном, начальник цеха молочного животноводства, начальник молочного завода, главный инженер и главный строитель. Заместители управляющего директора, контролируют работу управлений, которым подчинены различные отделы. Каждый отдел подчиняется начальнику отдела и действует строго в соответствии с пунктом 4 "ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ" правил внутреннего трудового распорядка УК "Ашатли".
Конкретная служба по защите информации на предприятии отсутствует. Поэтому ответственность за защищаемую информацию несет специалист по управлению персоналом. Данная документация обрабатываются путем строгого контроля изъятия и возвращения документов под расписку уполномоченного работника. За информацию, относящуюся к коммерческой тайне, несут ответственность следующие служащие предприятия: начальники, бухгалтера, экономисты, инженеры.
Исследуемое предприятие содержит следующие информационные ресурсы:
информация, относящаяся к коммерческой тайне:
· заработная плата,
· договоры с поставщиками и покупателями,
· технологии производства;
защищаемая информация:
· личные дела работников,
· трудовые договора,
· личные карты работников,
· содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,
· прочие разработки и документы для внутреннего пользования;
открытая информация:
· буклеты,
· информация на web-сайте www.ashatli-agro.ru,
· учредительный документ,
· устав,
· прайс-лист продукции.
Угрозы и уязвимости на предприятии
1. Автоматизированное рабочее место сотрудника
| Угроза | Уязвимости |
| 1. Физический доступ нарушителя к рабочему месту | 1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам |
| 2. Отсутствие системы видеонаблюдения на предприятии | |
| 2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации | 1. Отсутствие соглашения о неразглашении между работником и работодателем |
| 2. Нечеткая регламентация ответственности сотрудников предприятия | |
| 3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов | 1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети |
2. Конфиденциальная информация
| Угроза | Уязвимости |
| 1. Физический доступ нарушителя к носителям | 1. Неорганизованность контрольно-пропускного режима в организации |
| 2. Отсутствие видеонаблюдения в организации | |
| 2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны | 1. Отсутствие соглашения о неразглашении конфиденциальной информации |
| 2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации | |
| 3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации | 1. Нечеткая организация конфиденциального документооборота в организации |
| 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике |
На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.
1. Угрозами доступности информации являются:
разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);
отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.
Мерами предотвращения данных угрозы может являться следующее:
- Установка программы антивируса.
- Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.
- Установка аварийных источников бесперебойного питания.
- Подвод электроэнергии не менее от двух независимых линий электропередачи.
- Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.
2. Угрозами целостности информации являются:
нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;
потеря информации на жестких носителях;
угрозы целостности баз данных;
угрозы целостности программных механизмов работы предприятия.
Мерами предотвращения данной угрозы может являться следующее:
- Введение и частая смена паролей.
- Использование криптографических средств защиты информации.
3. Угрозами конфиденциальности являются:
кражи оборудования;
делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;
открытие портов;
установка нелицензионного ПО;
злоупотребления полномочиями.
Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:
1. Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет;
2. Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;
3. Внутренний отказ информационной системы, т.е. отказ программного или аппаратного обеспечения, повреждение аппаратуры;
4. Угрозы технического характера;
5. Угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях;
6. Несанкционированный доступ к информации (использование ресурсов без предварительно полученного разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации;
7. Кража программно-аппаратных средств и т.д.
Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:
1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:
- Гражданский кодекс РФ ст.139;
- Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;
- Закон Российской Федерации "Об информации, информатизации и защите информации";
- Закон Российской Федерации "О коммерческой тайне".
2. Административный уровень информационной безопасности.
Политика информационной безопасности пока не утверждена.
3. Организационный уровень защиты информации.
Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.
Организационные меры защиты информации на предприятии реализованы следующим образом:
- Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;
- Организована работа с документами и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.
В качестве недостатков данного уровня защиты можно указать следующие факты.
Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.
Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.
4. Программно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации.
На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации.
Программно-аппаратные средства защиты информации:
1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.
SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме "точка-точка" с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS).