Информационный менеджмент в современной организации

Должен  существовать свод корпоративных морально-этических  требований, четко регламентирующих правила поведения сотрудника, позволяющих  выявить "конфликт интересов" и  дающих возможность руководству  применить, в случае необходимости, административные меры взыскания.

С персоналом должна проводиться воспитательная работа, целью которой является выработка  у людей этики корпоративного поведения и отношения к ресурсам организации.

Для организации  нет ничего опасней в сфере  безопасности, как формальное следование предложениям по использованию тех  или иных продуктов и услуг  без разработки качественной и адекватной политики безопасности, разработки и  внедрения в повседневную практику комплекса организационных, административных и технических мер, а главное  без осознания в общем комплексе  задач организации роли и места  службы безопасности.

Отношения организации с себе подобными  строятся на основе норм гражданского права (на договорной основе), а с  государством, в лице органов государственного управления, — на основе административных правоотношений.

Безопасность  информационных систем не является основным видом деятельности организации.

Обеспечение безопасности информационных систем относится  к числу основных функциональных задач, направленных на достижение организацией своих главных целей.

Служба  безопасности, как правило, не производит сама средства безопасности, а является заказчиком и потребителем услуг, представляемых рынком в этой сфере.

Семь  уровней безопасности

На каждом уровне иерархии специалисты, работающие с информационными ресурсами, используют свою, присущую только этому уровню терминологию. Из нее и формируется  понятийный аппарат в области  безопасности. При этом такой аппарат  не может быть применен на соседнем уровне, а специалисты I и VII уровней просто не понимают друг друга. Действительно, можно ли требовать от специалиста, осуществляющего регистрацию документа, даже в электронной форме, чтобы он знал и понимал, в чем выражается, что означает и каким должно быть переходное затухание сигнала при совместном пробеге кабелей связи?

Многоуровневая  модель позволяет учесть и присутствие  легального пользователя. При этом с каждым следующим уровнем данный фактор становится все значительнее.

Очевидно  и то, что говорить о каких-либо гарантиях безопасности без конкретной привязки к конкретному уровню модели бессмысленно. Хотелось бы отметить в  этой связи, что говорить о равнопрочности защиты можно только в том случае, если необходимый уровень безопасности достигнут на каждом «этаже». Ну а  уровень безопасности достигается  путем применения набора адекватных модели угроз и свойственных рассматриваемому уровню инструментов защиты. Таким  образом, многое зависит от имеющегося инструментария.

До III уровня дела обстоят совсем неплохо. Вопросы технической защиты от НСД неплохо проработаны, имеются достаточно эффективные сертифицированные средства обеспечения безопасности. Вопрос только в их стоимости и удобстве эксплуатации. Дальше ситуация серьезно меняется. На уровнях выше III практически нет специальных сертифицированных средств защиты, безопасность целиком базируется на программных настройках систем управления доступом, аудита, обеспечения целостности программ и штатности бизнес-процессов. На устойчивость обеспечивающих безопасность настроек влияет две группы факторов.

Качество  работы администраторов систем, которые  должны отслеживать все изменения  административной политики подразделения, своевременно внося изменения в  настройки системы управления доступом. Практика показывает, что со временем это качество ослабевает, а политика управления доступом, предоставленные  пользователям права и пароли перестают соответствовать административной политике.

Доступность настроек, особенно при построении сетей на персональных компьютерах, как правило, имеющих избыточные и не нужные простому пользователю автономные возможности по их администрированию, доступные большому числу пользователей, администраторов систем и программистов.

Решением  в данной ситуации является переход  к централизованной обработке и  централизованному управлению безопасностью, развитие аудита событий в системе  с обязательным оперативным разбором информации с целью обеспечения  их прозрачности для службы безопасности, а также усиление административного  компонента в управлении персоналом. Именно это демонстрируют крупнейшие ИТ-корпорации, которые добились практически  полной централизации не только обработки, но и администрирования ресурсов, исключив из этого процесса собственно пользователей и поставив под  контроль и аудит администраторов.

Это, в  свою очередь, требует наличия понятной и логичной политики безопасности, разработанной для конкретной организации  и с учетом ресурсов, которые являются для нее критическими. Так, в организации, предоставляющей услуги передачи межбанковских  платежей, защищаемый ресурс будет  одним, а в банках, которые пользуются этой системой, — совершенно иным. Естественно, что и политики безопасности в  этих организациях отличаются, включая  в первом случае одну группу уровней  модели, а во втором — другую группу. Но в таком случае они отличаются и по видам угроз, и по агентам  этих угроз, и по методам защиты, и по критериям оценки безопасности. При кажущейся внешней схожести и общей сфере деятельности двух этих организаций, безопасность информационных систем в них разительно различается.

6  Обеспечение биологической  безопасности пользователей  в организации

Приказ  Министерства здравоохранения и  медицинской промышленности РФ

« О  порядке проведения предварительных  периодических медицинских  осмотров и регламентация доступа к  профессии».

Данный  приказ подтверждает:

-перечень  вредных и опасных веществ  и производственных  факторов;

- цели  периодических осмотров врачей-специалистов;

- список  профессиональных заболеваний;

- обязанности руководства по соблюдению допустимых норм на предприятии.

В соответствие с данным приказом для пользователей  ИС можно выделить следующие неблагоприятные  факторы:

1)электромагнитное  излучение формируется вокруг  любых приборов , работающих на  электрическом токе. В первую  очередь вокруг мониторов.

Высокий уровень электромагнитного излучения  может вызвать различные заболевания  органов зрения, поражать нервную  и сосудистую систему . К профессиональным заболеваниям относятся: котакарта, останический синдром и тд.

2) работы, требующие длительного зрительного  напряжения. Наблюдение за экраном  монитора свыше 50 % времени рабочей  смены. Данные работы снижают  остроту зрения , вызывают различные  заболевания органов зрения ,к  профессиональным заболеваниям  относится профессирующая близорукость.

3) работы, связанные с локальным напряжением  мышц кистей и пальцев рук.  Работа с клавиатурой и манипуляторами, выполнение за смену более  40000 операций.

Данные  работы могут вызывать хронические  заболевания нервной системы, болезни  суставов , кистей рук.

4)Газ  озон. Озон выделяется при работе  лазерных принтеров и сканеров. Данный газ может вызывать различные аллергические заболевания верхних дыхательных и бронхолегочной системы.

Неблагоприятные факторы допускаются ,если они не превышают предельно допустимой нормы. Замер уровня неблагоприятного воздействия факторов осуществляют специальные СЭС с помощью  специальных приборов. По результатам  проверки специалисты составляют единое заключение.

Кроме того, рекомендуется  в паспорт  АРМ, в которой наряду с программно-техническими характеристиками указывать и уровень  воздействия неблагоприятных факторов.

Подлежат  нормированию:

1)уровень ЭМИ, который замеряется на расстоянии 50см от рабочего оборудования;

2)параметры монитора .Современные сертифицированные мониторы выпускаются с соблюдением всех допустимых норм. Лазерные мониторы более безопасные и рекомендуются для установления в офисе;

3)микроклимат  помещений с ЭВМ, равномерное  освещение рабочих мест и офисов  в целом, возможно совмещение  как естественного так и искусственного  освещения.

Допустимый  уровень шума: приборы производящие шум должны быть вынесены в отдельные  помещения , при необходимости стены  и потолки могут покрываться  звукопоглащающими материалами.

Средства  снижения неблагоприятного воздействия:

- соблюдение  предельно допустимых норм неблагоприятных  факторов. Обязанность за их соблюдение  лежит на руководстве организации;

- соблюдение  режима труда и отдыха. Все  пользователи ЭВМ деляться на 3 группы:

1 группа- воздействие неблагоприятных факторов  превышает допустимые нормы;

2 группа- влияние неблагоприятных факторов  близко к предельно допустимым, но не превышает их;

3 группа  – пользователи работают с  ЭВМ  в творческом режиме.

- использование  специальных защитных средств:

* увлажнители  воздуха;

*кондиционеры;

*специальные  фильтры , поглощающие ЭМИ

* использование  приборов со специальными защитными  корпусами, использование специальных  клавиатур и тд;

-  применение  специальных комплексов физических  упражнений ,которые можно выполнить  на рабочем месте. 
 

7  Аудит информационной  системы

Аудит ИС направлен не столько на проверку достоверности бухгалтерской отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности ИС, анализ и прогнозирование ее состояния, управления рисками в ИС.

Далее рассматривается простейшая методика аудита ИС, доступная для пользователей  не обладающих специальными знаниями .Для более детального аудита рекомендуется  привлекать квалифицированных специалистов-аудиторов ИС. Вопросам аудита ИС посвящены несколько зарубежных стандартов и специальный российский стандарт «Аудит в условиях компьютерной обработки данных» Цели аудита ИС:

• Оценка рисков в ИС
• Содействие предотвращению и смягчению последствий сбоев в ИС.
• Контроль за деятельностью ИС.
• Правильная организация управления ИС. 
  Технология аудита ИС.

При проведении аудита ИС внимание проверяющих обычно направлено на три основных блока:

• Техническое обеспечение ИС
• Программное обеспечение ИС
• Технология организации компьютерной обработки данных 
  При проверке технического обеспечения (ТО) отслеживают:

1. способность ТО функционировать без сбоев и остановок

2. надежность хранения данных на компьютерных носителях, практику резервного копирования
3. ограничение физического доступа к ТО
4. возможность наращивания и обновления ТО
5. достаточность мощности ТО для осуществления обработки данных
6. соблюдение принципов экономической эффективности ТО (соотношение затрат на ТО и экономического эффекта получаемого от его использования).

При контроле программного обеспечения (ПО) проверке подлежат:

1. лицензированность ПО
2. разграничение прав доступа к ПО
3. порядок обновления ПО
4. протоколирование действий пользователя
5. надежность ПО, наличие антивирусной защиты
6. достаточность функциональных возможностей ПО, удобство пользовательского интерфейса
7. корректность настроек ПО
8. корректность ведения справочников

9.корректность алгоритмов и процедур используемых в ПО. 
Направления проверки технологий организации компьютерной обработки данных: