Смекни!
smekni.com

Управління якістю послуг підприємства Інтернет звязку на прикладі People.net (стр. 8 из 12)

Стандарт визначає умови, що забезпечують, щоб продукція стабільно відповідала вимогам споживача (у тому числі, при їхній зміні). Аналогічні підприємства, що працюють на різних сегментах ринку з різними категоріями споживачів, можуть робити продукцію з різними технічними характеристиками — це цілком допускається стандартом ІSO 9001. Крім того, стандарт ІSO 9001 вимагає, щоб підприємство відслідковувало законодавчі і нормативні вимоги до продукції і забезпечувало їхнє виконання. Тому неправильно говорити, що "продукція відповідає стандарту ІSO 9001". Правильно сказати, що "Система управління якістю підприємства щодо його виробництва і продажу продукції (наданню послуг) відповідає стандарту ІSO 9001”.

Для того щоб підтвердити здатність підприємства стабільно виконувати установлені вимоги, стандарт ІSO 9001:2000 вимагає наявності документації, що описує виконання визначених процесів. Рівень деталізації цих документів залежить від складності процесів і кваліфікації персоналу. Визначені дії можуть не описуватися, якщо вони стабільно виконуються без дефектів і збоїв і досягають установлених цілей. Але якщо при виконанні цих дій виникають проблеми, документи повинні бути розроблені або конкретизовані.

Наявність документованих описів процесів допомагає в рішенні багатьох питань, вони:

- сприяють прозорості й ефективності діяльності організації, її організаційної структури і структури процесів підприємства;

- сприяють ранньому визначенню слабких його місць;

- дозволяють скоординувати діяльність окремих співробітників і підрозділів, запобігають виникненню між ними конфліктів;

- конкретизують відповідальність окремих співробітників;

- виступають як навчальні матеріали, особливо при прийомі на роботу або внутрішні переміщення співробітників;

- полегшують запровадження змін у процес.

Система керування документацією повинна забезпечити використання персоналом тільки затверджені й актуалізовані екземпляри документів.

Виконання вимог документації системи управління якістю є абсолютно обов'язковим для всіх співробітників підприємства. Неможливо на свій розсуд або за вказівкою керівника порушувати порядок виконання документації, навіть якщо є впевненість, що це не погіршить результат, що досягається. Якщо є потреба в удосконаленні процесу, доцільно внести відповідні зміни в документ системи.

3.2 Створення комплексної системи захисту інформації Інтернет-провайдера «People.net»

Створення системи захисту інформації для організацій, що займаються наданням телематических послуг, є обов'язкової складової діяльності організації Інтернет-Провайдеру.

Дана необхідність обумовлена тим, що подібні організації обробляють великий обсяг конфіденційних відомостей, у тому числі персональні дані, захист яких обов'язкова по вимогах законодавства.

Тверда конкуренція на ринку приводить до того, що конфіденційна інформація, який володіє організація, може дати значну конкурентну перевагу.

Також комплексна система захисту інформації дозволить забезпечити безперебійне функціонування сервісів, запобігти прямим матеріальним втратам від витоку або втрати конфіденційної інформації, а також запобігти можливому збитку репутації компанії.

Для того, щоб визначити доцільність створення КСЗИ, зону й глибину її охоплення варто провести детальний аналіз організації, що включає:

· Аналіз діяльності підприємства

· Положення організації на ринку

· Виявлення конфіденційної інформації й ресурсів, що захищаються

· Аналіз погроз, уязвимостей і потенційного збитку від реалізації погрози

На основі отриманої інформації про діяльність організації й уразливих місць у діючій системі захисту необхідно скласти технічне завдання на створення комплексної системи захисту інформації.

Виходячи з існуючого технічного завдання, варто визначити практичні міри для його реалізації. Сукупність цих мір складе проект впровадження комплексної системи захисту інформації.

У ході виконання даної роботи необхідно

· Виявити вимоги, пропоновані до створюваної комплексної системи захисту інформації

· Скласти детальний список заходів, необхідних для впровадження комплексної системи захисту інформації

· Призначить відповідальних за проведені заходи

· Зробити оцінку витрат ресурсів на впроваджувані заходи

· Оцінити ефективність проведених заходів

Опис інформаційної системи організації:

1. АС організації складається з 10 автоматизованих робочих місць і 6 серверів:

- 1 АРМ являє собою комп'ютер Mac mini із установленої ОС MAC OS.

- На трьох АРМ установлена операційна система на базі Linux.

- На всіх іншим установлена ОС Windows XP.

- На всіх АРМ зберігається й обробляється конфіденційна інформація.

- На серверах установлена операційна система на базі Linux.

2. На АРМ менеджерів установлене наступне ПО:

- ОС на базі Windows

- Офісне програмне забезпечення

- ПО для роботи в мережі Інтернет: поштовий клієнт, браузер

- Антивірусне ПО

- Спеціалізовані програми: Дельфін, Дубль-гис

3. На АРМ консультантів технічної підтримки встановлене ОС на базі Linux, офісне програмне забезпечення, ПО для роботи в мережі Інтернет: поштовий клієнт, браузер.

Стан фактичної захищеності організації

Перелік конфіденційної інформації існує й затверджений:

· Всі співробітники, при прийманні на роботу підписують зобов'язання про нерозголошення конфіденційної інформації

· У всіх приміщеннях установлені датчики охоронної й пожежної сигналізації. У неробочий час приміщення здаються під охорону

· Охорона здійснюється приватним охоронним агентством

· Існує перелік осіб, що мають доступ у серверну кімнату

· Серверна кімната постійно закрита, крім тих випадків, коли співробітникам, що мають відповідні права доступу, необхідно робити певні роботи

· Права доступу до локальних і мережних ресурсів АРМ обмежуються штатними засобами операційної системи

· Немає відповідального за розмежування доступу до локальних і мережних ресурсів АРМ. Розмежуванням доступу займається користувач АРМ.

· Доступ до ресурсів на сервері обмежується штатними засобами операційної системи

· Відповідальним за розмежування доступу до ресурсів на сервері є старший системний адміністратор

· Призначення прав користувачів виробляється за вказівкою технічного директора або заступника директора відповідно до посадових обов'язків співробітника

· Кожний комп'ютер підключений через джерело безперебійного харчування, що дозволяє забезпечити безперервну роботу протягом 10-15 хвилин при відсутності електрики

· У серверній кімнаті встановлено кілька джерел безперебійного харчування високої ємності, а також дизельна міні електростанція

· Доступ в Інтернет здійснюється через проксі-сервер

· Правила обігу з конфіденційною інформацією відсутні

· Фільтрація змісту електронної пошти, що переглядаються сайтів не здійснюється

· Зберігання договорів із клієнтами здійснюється в шафі.

· Розмежування доступу приміщення залежно від відділів немає.

На підставі проведеного аналізу фактичної захищеності необхідно скласти перелік вимог до створюваної комплексної системи захисту інформації. Дані вимоги повинні відповідати реальному стану захищеності інформації в організації. Вимоги повинні бути оформлені у вигляді Технічного завдання на створення комплексної системи захисту інформації.

Вимоги до захищеності інформації

1. Організаційно-правова складова

Організаційні заходи є однієї з найважливішої складової комплексної системи захисту інформації в організації.

1. Перелік конфіденційних відомостей повинен відповідати реальному стану організації й вимогам законодавства України.

2. Повинен бути забезпечений повний пакет документів, пов'язаних із забезпеченням інформаційної безпеки в організації.

3. Організаційними мірами забезпечити конфіденційність інформації при проведенні конфіденційних нарад і переговорів.

4. Повинен бути підготовлений пакет документів, що регламентують правила обігу з конфіденційною інформацією.

5. Розмежування прав користувачів на доступ як до локальних, так і до мережних ресурсів повинне бути контрольованим і документованим процесом.

2. Інженерно-технічна складова

1. Повинні застосовуватися технічні засоби контролю доступу в приміщення.

2. Для захисту серверної кімнати повинні застосовуватися додаткові технічні засоби контролю доступу.

3. Повинні застосовуватися технічні засоби захисту акустомовної інформації при проведенні конфіденційних нарад і переговорів у тому випадку, якщо неможливо забезпечити конфіденційність переговорів за допомогою організаційних мір.

4. За допомогою технічних засобів повинна забезпечуватися захист від витоку конфіденційної інформації.

5. Повинна бути забезпечена безперебійна робота ПК співробітників у випадку відключення електрики не менш, ніж на 10 хвилин.

6. Повинна забезпечуватися безперебійна робота основного встаткування й технічних засобів, установлених у серверній на весь строк відсутності основного енергопостачання.

3. Програмно-апаратна складова

1. Зміст веб-сайтів, що переглядаються повинен відповідати наступним вимогам:

a. Не повинні містити матеріалів, заборонених законодавством України;

b. Повинні бути безпечним (не містити віруси, шкідливі скрипти);

c. Не повинні містити матеріали, що не відносяться до робочого процесу;

2. Обмін інформацією за допомогою різних програмних засобів не повинен завдавати шкоди конфіденційності, цілісності, доступності інформації.

3. За допомогою програмно-апаратних засобів повинен забезпечуватися захист від НСД до конфіденційної інформації, що зберігається на АРМ співробітників і на сервері.