Коммуникационные возможности сетевых компьютерных технологий. Глобальная сеть Internet и ее основные сервисы. Intranet и Extranet системы
Скачать 55.9 Kb.
|
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «ДОНСКОЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ» (ДГТУ) Факультет «Социально-гуманитарный» Кафедра «Документоведение и языковая коммуникация» ЛАБОРАТОРНАЯ РАБОТА № 3 Тема: «Коммуникационные возможности сетевых компьютерных технологий. Глобальная сеть Internet и ее основные сервисы. Intranet и Extranet системы» Дисциплина «Информационные технологии в документационном обеспечении управления и архивном деле» Направление подготовки 46.03.02 Документоведение и архивоведение Профиль Документирование деятельности органов государственной власти и местного самоуправления Обозначение лабораторной работы ИТ.930000.000 Группа ГД41 Обучающийся Г.А. Акопян подпись, дата Руководитель работы: доцент М.В. Бабенко должность подпись, дата Ростов-на-Дону 2022 Содержание Введение 8 1.Теоретическая часть 9 2. Политика безопасности информационной системы в ГБОУ СОШ № 113 г. Санкт-Петербург 15 Политика информационной безопасности Государственного бюджетного общеобразовательного учреждения средней общеобразовательной образовательного учреждения №113 с углубленным изучением информационно-технологического профиля Приморского района Санкт-Петербурга (далее – образовательное учреждение) определяет цели и задачи системы обеспечения информационной безопасности и устанавливает совокупность правил, процедур, практических приемов, требований и руководящих принципов в области информационной безопасности, которыми руководствуются работники образовательного учреждения при осуществлении своей деятельности. 15 Основной целью Политики информационной безопасности образовательного учреждения является защита информации образовательного учреждения при осуществлении уставной деятельности, которая предусматривает принятие необходимых мер в целях защиты информации от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных. 16 Политика информационной безопасности разработана в соответствии с: 16 - Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»; 16 - Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; 16 - Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи»; 16 - Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера», 16 - Постановлением Правительства РФ от 01.11.2012. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 16 - Постановлением Правительства от 15.09.2008 РФ №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; 16 - Приказом ФСТЭК от 18.02.2013 № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 17 - иными нормативными правовыми актами в сфере защиты информации. 17 Выполнение требований Политики информационной безопасности является обязательным для всех структурных подразделений образовательного учреждения. 17 Ответственность за соблюдение информационной безопасности несет каждый сотрудник образовательного учреждения. На лиц, работающих по договорам гражданско- правового характера, положения настоящей политики распространяются в случае, если это обусловлено в таком договоре. 17 Основными целями политики информационной безопасности являются: 17 - сохранение конфиденциальности критичных информационных ресурсов; 17 - обеспечение непрерывности доступа к информационным ресурсам образовательного учреждения; 17 - защита целостности информации с целью поддержания возможности образовательного учреждения по оказанию услуг высокого качества и принятию эффективных управленческих решений; 17 - повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами образовательного учреждения; 17 - определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности; 17 - повышение уровня эффективности, непрерывности, контролируемости мер по защите от реальных угроз информационной безопасности; 17 - предотвращение и/или снижение ущерба от инцидентов информационной безопасности. 17 Основными задачами политики информационной безопасности являются: 17 - разработка требований по обеспечению информационной безопасности; 18 - контроль выполнения установленных требований по обеспечению информационной безопасности; 18 - повышение эффективности, непрерывности, контролируемости мероприятий по обеспечению и поддержанию информационной безопасности; 18 - разработка нормативных документов для обеспечения информационной безопасности образовательного учреждения; 18 - выявление, оценка, прогнозирование и предотвращение реализации угроз информационной безопасности образовательного учреждения; 18 - организация антивирусной защиты информационных ресурсов образовательного учреждения; 18 - защита информации образовательного учреждения от несанкционированного доступа и утечки по техническим каналам связи; 18 - организация периодической проверки соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки директору образовательного учреждения. 18 Политика информационной безопасности образовательного учреждения направлена на защиту информационных ресурсов (активов) от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий сотрудников образовательного учреждения, технических сбоев автоматизированных систем, неправильных технологических и организационных решений в процессах поиска, сбора хранения, обработки, предоставления и распространения информации и обеспечение эффективного и бесперебойного процесса деятельности. 18 Наибольшими возможностями для нанесения ущерба обладает собственный персонал образовательного учреждения. 18 Риск аварий и технических сбоев в автоматизированных системах определяется состоянием аппаратного обеспечения, надежностью систем энергоснабжения и телекоммуникаций, квалификацией сотрудников и их способностью к адекватным и незамедлительным действиям в нештатной ситуации. 18 Стратегия обеспечения информационной безопасности образовательного учреждения заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий сотрудников образовательного учреждения. 19 Основными принципами обеспечения информационной безопасности: 19 - постоянный и всесторонний анализ автоматизированных систем и трудового процесса с целью выявления уязвимости информационных активов образовательного учреждения; 19 - своевременное обнаружение проблем, потенциально способных повлиять на информационной безопасности образовательного учреждения, корректировка моделей угроз и нарушителя; 19 -разработка и внедрение защитных мер; 19 -контроль эффективности принимаемых защитных мер; 19 -персонификация и разделение ролей и ответственности между сотрудниками образовательного учреждения за обеспечение информационной безопасности образовательного учреждения исходит из принципа персональной и единоличной ответственности за совершаемые операции. 19 Объектами защиты с точки зрения информационной безопасности являются: 19 - информационный процесс профессиональной деятельности; 19 - информационные активы образовательного учреждения. 19 Защищаемая информация делится на следующие виды: 19 - информация по финансово-экономической деятельности образовательного учреждения; 19 - персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; 20 - другая информация, не относящаяся ни к одному из указанных выше видов, которая отмечена грифом «Для служебного пользования» или «Конфиденциально». 20 В отношении всех собственных информационных активов образовательного учреждения, активов, находящихся под контролем образовательного учреждения, а также активов, используемых для получения доступа к инфраструктуре образовательного учреждения, должна быть определена ответственность соответствующего сотрудника образовательного учреждения. 20 Все работы в пределах образовательного учреждения должны выполняться в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в управлении. 20 Внос в здание и помещения образовательного учреждения личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш- карты и т.п.), а также вынос их за пределы образовательного учреждения производится только при согласовании с администратором локально-вычислительной сети (ЛВС). 20 Все данные (конфиденциальные или строго конфиденциальные), составляющие тайну образовательного учреждения и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. 20 Ответственные лица должны периодически пересматривать права доступа сотрудников и других пользователей к соответствующим информационным ресурсам. 20 В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля. 21 Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким. 21 В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут. 21 Каждый сотрудник обязан немедленно уведомить администратора ЛВС обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети. 21 Доступ третьих лиц к информационным системам образовательного учреждения должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам образовательного учреждения должен быть четко определен, контролируем и защищен. 21 Сотрудникам, использующим в работе портативные компьютеры образовательного учреждения, может быть предоставлен удаленный доступ к сетевым ресурсам образовательного учреждения в соответствии с правами в корпоративной информационной системе. 21 Сотрудникам, работающим за пределами образовательного учреждения с использованием компьютера, не принадлежащего образовательному учреждению, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ. 21 Сотрудники, имеющие право удаленного доступа к информационным ресурсам образовательного учреждения, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети образовательного учреждения и к каким-либо другим сетям, не принадлежащим образовательного учреждения. 21 Все компьютеры, подключаемые посредством удаленного доступа к информационной сети образовательного учреждения, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления. 22 Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности. 22 Администратор ЛВС имеет право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях. 22 Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится информация образовательного учреждения. 22 Компьютерное оборудование, предоставленное образовательным учреждением, является ее собственностью и предназначено для использования исключительно в производственных целях. 22 Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности. 22 Все программное обеспечение, установленное на предоставленном образовательным учреждением компьютерном оборудовании, является собственностью образовательного учреждения и должно использоваться исключительно в производственных целях. 22 Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено директору образовательного учреждения. 22 На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации: 23 - персональный межсетевой экран; 23 - антивирусное программное обеспечение; 23 - программное обеспечение шифрования жестких дисков; 23 - программное обеспечение шифрования почтовых сообщений. 23 Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной администратором ЛВС. 23 Сотрудники образовательного учреждения не должны: 23 - блокировать антивирусное программное обеспечение; 23 - устанавливать другое антивирусное программное обеспечение; 23 - изменять настройки и конфигурацию антивирусного программного обеспечения. 23 Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан: 23 - проинформировать администратора ЛВС; 23 - не пользоваться и не выключать зараженный компьютер; 23 - не подсоединять этот компьютер к компьютерной сети образовательного учреждения до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование администратором ЛВС. 23 Сотрудникам образовательного учреждения запрещается: 23 - нарушать информационную безопасность и работу сети образовательного учреждения; 23 - сканировать порты или систему безопасности; 23 - контролировать работу сети с перехватом данных; 23 - получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности; 23 - использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства; 24 - передавать информацию о сотрудниках или списки сотрудников образовательного учреждения посторонним лицам; 24 - создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение. 24 Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. 24 Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения. 24 Только администратор ЛВС на основании заявок руководителей подразделений может создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним. 24 Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ. 24 Правила использования сети Интернет в ГБОУ СОШ №113 г. Санкт-Петербург: 24 - сотрудникам образовательного учреждения разрешается использовать сеть Интернет только в служебных целях; 24 - запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности; 24 - сотрудники образовательного учреждения не должны использовать сеть Интернет для хранения корпоративных данных; 25 - работа сотрудников образовательного учреждения с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации образовательного учреждения в сеть Интернет; 25 - сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем образовательному учреждению; 25 - сотрудники образовательного учреждения перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов; 25 - запрещен доступ в Интернет через сеть образовательного учреждения для всех лиц, не являющихся сотрудниками образовательного учреждения, включая членов семьи сотрудников образовательного учреждения. 25 Заключение 25 Введение Цель работы: Рассмотреть основные функциональные возможности сетевых компьютерных технологий. Изучить основные сервисы глобальной сети Internet. Выявить преимущества Intranet и Extranet систем по сравнению с ранее существующими. Задание: Рассмотреть сетевые компьютерные технологии. Проанализировать значение сетевых компьютерных технологий в организации. Рассмотреть Политику безопасности в организации. Теоретическая часть 1. Что такое Интранет-системы? Интранет, или интрасеть — это внутренняя сеть для сотрудников, работающая по тем же принципам, что и интернет, закрытая для посторонних пользователей. Технически наполнение этого виртуального пространства «для своих» может быть любым: например, небольшой сайт (или даже несколько для разных отделов), набор документов для внутреннего пользования или общая база клиентов, доступная только сотрудникам. От обычной локальной сети интрасеть отличает использование web-технологий, то есть возможность входа пользователя через обычный интернет-браузер. Функции Интранет-систем: Создание общего информационного пространства. Пользователи корпоративного портала смогут иметь под рукой все необходимые рабочие документы, в любой момент времени, из любой точки земного шара и практически с любого современного устройства, что очень важно для компаний с несколькими филиалами или удаленных сотрудников. Обучение персонала. Многие компании формируют собственную «базу знаний», которая поможет новичкам быстрее освоить уникальные техники, применяемые в отделе, изучить принятую в фирме терминологию, проникнуться корпоративным духом. Формирование корпоративной культуры. Даже простейшие возможности интранета, например, наличие карточек сотрудников, помогут любому работнику лучше узнать структуру компании, своих коллег и их функции. Оповещения о предстоящих днях рождения сотрудников, интерактивные голосования, объявления и онлайн-обсуждения важных тем помогут превратить рабочий коллектив в команду. Коммуникации. Еще недавно для передачи задания или сообщения к сотруднику необходимо было подойти лично или отправить e-mail. С интрасетью такой подход в прошлом: планировщики задач решают эту проблему. На интранет-портале можно найти контакты любого сотрудника и во многих случаях даже позвонить ему прямо через встроенный сервис. Не нужно тратить время на поиск работника, отвечающего за тот или иной вопрос, искать его по этажам здания, выяснять, кто заменил этого сотрудника на время отпуска и т.д.: все можно быстро увидеть на портале. Контроль. Для руководителей фирм немаловажной является возможность контролировать рабочий процесс. Корпоративный портал позволяет сделать это в любой момент времени: проверить, какую задачу в данный момент выполняет отдел или конкретный сотрудник, какое количество времени было затрачено на ту или иную деятельность. Безопасность. Интрасеть может быть и не способна на сто процентов защитить данные компании от проникновения хакеров, но она гораздо безопаснее, чем бесплатные почтовые сервисы или мессенджеры, которыми неизбежно пользуется большинство сотрудников при отсутствии корпоративных. Что такое Экстранет? Экстранет (англ. extranet) — защищённая от несанкционированного доступа корпоративная сеть, использующая Интернет-технологии для внутрикорпоративных целей, а также для предоставления части корпоративной информации и корпоративных приложений деловым партнерам компании. Вопросы обеспечения безопасности в Экстранет намного серьёзнее, чем в Интранет. Для сети Экстранет особенно важны аутентификация пользователя (который может и не являться сотрудником компании) и, особенно, защита от несанкционированного доступа, тогда как для приложений Интранет они играют гораздо менее существенную роль, поскольку доступ к этой сети ограничен физическими рамками компании. Корпоративное применение Экстранета — это закрытые корпоративные порталы, на которых размещаются закрытые корпоративные материалы и предоставляется доступ уполномоченным сотрудникам компании к приложениям для коллективной работы, системам автоматизированного управления компанией, а также доступ к ограниченному ряду материалов партнерам и постоянным клиентам компании. Кроме того, в Экстранете возможно применение и других сервисов Интернета: электронной почты, FTP и т.д. 3. Что такое Экстранет–решения? Экстранет–решения — это системы совместной работы и доступа к информации для сотрудников самой организации и партнеров организации Экстранет–система позволяет реализовать следующие функции: 1. Закупка товаров, сырья и комплектующих 2. Продажа готовой продукции 3. Маркетинговая поддержка 4. Техническая поддержка 5. Электронный документооборот с партнерами Использование автоматизированных процессов документооборота позволяет увеличить скорость обработки запросов потребителей и сосредоточиться на сложных и нестандартных задачах, тем самым повышая качество обслуживания клиентов и тем самым повышая конкурентоспособность вашего предприятия или организации. 4. Что такое Экстранет–система? Экстранет-система - это объединение интрасетей двух или более компаний для совместного использования внутренней информацией этих компаний. При создании Экстранет-системы объединение сетей обычно не бывает полным, т.е. часть информации каждой компании остается закрытой для других компаний-участников экстрасети. Это и понятно - даже если компании являются партнерами, они все равно имеют коммерческие тайны. Поэтому при создании экстрасети определяются права доступа каждого сотрудника компании к определенным информационным ресурсам другой компании. Экстрасети создаются компаниями, которые находятся в партнерских отношениях, например, производители и поставщики., вузы и их филиалы. При этом компании не только совместно используют базы данных, но и организуют безбумажный документооборот. Электронный документооборот существенно сокращает накладные расходы и делает отношения партнеров «прозрачными». Размещение технической информации в Экстранет–системе позволяет оперативно вносить изменения и оповещать об этом партнеров. 5. Какие функции позволяет реализовать Экстранет–система? Экстранет способен обеспечить множество потребностей. Например, большие объемы данных могут передаваться между сторонами через внешние сети, что облегчает совместную работу. Подобные инструменты, предназначенные для совместной работы, особенно полезны для компаний, которым необходимо проводить мозговые штурмы и часто общаться с клиентами и заказчиками, и позволяют сильно экономить время по сравнению с электронной почтой и телефоном. Экстранет также отслеживает и устраняет потенциальные ошибки или проблемы, которые могут возникнуть с продуктами или услугами компании, то есть выполняет функцию встроенного контроля качества. Экстранет предлагает компаниям высокий уровень контроля и безопасности при обмене знаниями и информацией с внешними заинтересованными сторонами, позволяя отслеживать доступ и использование своих данных. В настоящее время компании используют три типа экстранета: – Экстранет компании-потребителя. Данная внешняя сеть похожа на клиентский портал, где клиенты могут войти в систему, чтобы проверить состояние своих заказов. Если у них есть какие-либо вопросы, они могут связаться со службой поддержки в экстранете. – Компания/деловой партнер экстранета. В данном случае экстранет выступает в качестве пространства для совместной работы, где объединяются все заинтересованные стороны компании. Информация и доступ также предоставляется на базе специального разрешения. – Отраслевой экстранет. Подобный тип экстранета создается одной компанией, но доступ к инструментам и ресурсами предоставляется всем компаниям отрасли. Целью данной платформы является обеспечение общего обмена идеями для разработки более качественных продуктов и услуг. Существует много причин, по которым компаниям было бы полезно внедрить внешние сети: 1. Во-первых, экстранет позволяет оптимизировать повторяющиеся бизнес-процессы. Например, компания регулярно работает с одним конкретным поставщиком, используя электронную почту или телефон в качестве канала связи. С хорошо разработанным экстранетом все заказы могут осуществляться через защищенную частную сеть в виртуальном пространстве. Взаимодействие с поставщиками происходит в режиме реального времени, и экстранет позволяет хранить счета и другую сопутствующую информацию в одном месте, что облегчает отслеживание истории совершенных заказов. 2. Во-вторых, экстранет позволяет повышать уровень удовлетворенности клиентов. Одним из его ключевых преимуществ является круглосуточная доступность как для самой компании, так и для посредников и клиентов для совместной работы. Клиенты могут круглосуточно загружать документы, задавать вопросы или утверждать проекты и концепции, тем самым разрушая барьеры, часто вызываемые жесткими графиками работы. 3. В качестве еще одного преимущества можно выделить высокую безопасность при правильной разработке. В некоторых отраслях (медицина, страхование и т.д.) безопасность имеет первостепенное значение, и ее нарушение может привести к катастрофическим последствиям для компании. Во многих отношениях электронная почта и другие инструменты, часто используемые для передачи документов, не защищены от возможных нарушений и сбоев. Грамотно и эффективно спроектированный экстранет позволяет решить подобные проблемы. Таким образом, программное обеспечение экстранета играет неотъемлемую роль для компаний, которые ведут бизнес с другими организациями. Обмен большими объемами информации, совместная работа над проектами и обсуждение частной информации с людьми за пределами компании может быть сделано в одном цифровом пространстве, что ускоряет реализацию проектов и создает приятное впечатления для клиентов и партнеров. 6. Что такое сервисная поддержка партнеров? Сервисная поддержка партнеров — это организация процесса доступа к технической литературе и распространения технической информации среди партнеров плюс организация процессов гарантийного обслуживания и ремонта оборудования. Создание источника технической информации является весьма и весьма полезным инструментом поддержки партнеров. Особенно если этот источник будет обладать авторитетом и компетентностью. Такой инструмент может значительно повысить конкурентоспособность вашей организации или вашего предприятия. В сетях Интранет и Экстранет, позволяющей подключать всех сотрудников, включая сотрудников региональных отделений, к Интернету, организовывать доступ к базам данных, системам электронной бухгалтерии, складского учета, электронную почту, обмен файлами, предприятие может само зарегистрировать нужное количество самостоятельных пользователей с правом внутреннего администрирования, сможет иметь свой представительский и внутренний веб-сайт, а также построить системы работы с партнерами, поставщиками и клиентами. Все это значительно повышает эффективность работы предприятия. 2. Политика безопасности информационной системы в ГБОУ СОШ № 113 г. Санкт-Петербург Политика информационной безопасности Государственного бюджетного общеобразовательного учреждения средней общеобразовательной образовательного учреждения №113 с углубленным изучением информационно-технологического профиля Приморского района Санкт-Петербурга (далее – образовательное учреждение) определяет цели и задачи системы обеспечения информационной безопасности и устанавливает совокупность правил, процедур, практических приемов, требований и руководящих принципов в области информационной безопасности, которыми руководствуются работники образовательного учреждения при осуществлении своей деятельности. Основной целью Политики информационной безопасности образовательного учреждения является защита информации образовательного учреждения при осуществлении уставной деятельности, которая предусматривает принятие необходимых мер в целях защиты информации от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных. Политика информационной безопасности разработана в соответствии с: - Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»; - Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; - Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи»; - Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера», - Постановлением Правительства РФ от 01.11.2012. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; - Постановлением Правительства от 15.09.2008 РФ №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; - Приказом ФСТЭК от 18.02.2013 № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; - иными нормативными правовыми актами в сфере защиты информации. Выполнение требований Политики информационной безопасности является обязательным для всех структурных подразделений образовательного учреждения. Ответственность за соблюдение информационной безопасности несет каждый сотрудник образовательного учреждения. На лиц, работающих по договорам гражданско- правового характера, положения настоящей политики распространяются в случае, если это обусловлено в таком договоре. Основными целями политики информационной безопасности являются: - сохранение конфиденциальности критичных информационных ресурсов; - обеспечение непрерывности доступа к информационным ресурсам образовательного учреждения; - защита целостности информации с целью поддержания возможности образовательного учреждения по оказанию услуг высокого качества и принятию эффективных управленческих решений; - повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами образовательного учреждения; - определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности; - повышение уровня эффективности, непрерывности, контролируемости мер по защите от реальных угроз информационной безопасности; - предотвращение и/или снижение ущерба от инцидентов информационной безопасности. Основными задачами политики информационной безопасности являются: - разработка требований по обеспечению информационной безопасности; - контроль выполнения установленных требований по обеспечению информационной безопасности; - повышение эффективности, непрерывности, контролируемости мероприятий по обеспечению и поддержанию информационной безопасности; - разработка нормативных документов для обеспечения информационной безопасности образовательного учреждения; - выявление, оценка, прогнозирование и предотвращение реализации угроз информационной безопасности образовательного учреждения; - организация антивирусной защиты информационных ресурсов образовательного учреждения; - защита информации образовательного учреждения от несанкционированного доступа и утечки по техническим каналам связи; - организация периодической проверки соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки директору образовательного учреждения. Политика информационной безопасности образовательного учреждения направлена на защиту информационных ресурсов (активов) от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий сотрудников образовательного учреждения, технических сбоев автоматизированных систем, неправильных технологических и организационных решений в процессах поиска, сбора хранения, обработки, предоставления и распространения информации и обеспечение эффективного и бесперебойного процесса деятельности. Наибольшими возможностями для нанесения ущерба обладает собственный персонал образовательного учреждения. Риск аварий и технических сбоев в автоматизированных системах определяется состоянием аппаратного обеспечения, надежностью систем энергоснабжения и телекоммуникаций, квалификацией сотрудников и их способностью к адекватным и незамедлительным действиям в нештатной ситуации. Стратегия обеспечения информационной безопасности образовательного учреждения заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий сотрудников образовательного учреждения. Основными принципами обеспечения информационной безопасности: - постоянный и всесторонний анализ автоматизированных систем и трудового процесса с целью выявления уязвимости информационных активов образовательного учреждения; - своевременное обнаружение проблем, потенциально способных повлиять на информационной безопасности образовательного учреждения, корректировка моделей угроз и нарушителя; -разработка и внедрение защитных мер; -контроль эффективности принимаемых защитных мер; -персонификация и разделение ролей и ответственности между сотрудниками образовательного учреждения за обеспечение информационной безопасности образовательного учреждения исходит из принципа персональной и единоличной ответственности за совершаемые операции. Объектами защиты с точки зрения информационной безопасности являются: - информационный процесс профессиональной деятельности; - информационные активы образовательного учреждения. Защищаемая информация делится на следующие виды: - информация по финансово-экономической деятельности образовательного учреждения; - персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; - другая информация, не относящаяся ни к одному из указанных выше видов, которая отмечена грифом «Для служебного пользования» или «Конфиденциально». В отношении всех собственных информационных активов образовательного учреждения, активов, находящихся под контролем образовательного учреждения, а также активов, используемых для получения доступа к инфраструктуре образовательного учреждения, должна быть определена ответственность соответствующего сотрудника образовательного учреждения. Все работы в пределах образовательного учреждения должны выполняться в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в управлении. Внос в здание и помещения образовательного учреждения личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш- карты и т.п.), а также вынос их за пределы образовательного учреждения производится только при согласовании с администратором локально-вычислительной сети (ЛВС). Все данные (конфиденциальные или строго конфиденциальные), составляющие тайну образовательного учреждения и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. Ответственные лица должны периодически пересматривать права доступа сотрудников и других пользователей к соответствующим информационным ресурсам. В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля. Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким. В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут. Каждый сотрудник обязан немедленно уведомить администратора ЛВС обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети. Доступ третьих лиц к информационным системам образовательного учреждения должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам образовательного учреждения должен быть четко определен, контролируем и защищен. Сотрудникам, использующим в работе портативные компьютеры образовательного учреждения, может быть предоставлен удаленный доступ к сетевым ресурсам образовательного учреждения в соответствии с правами в корпоративной информационной системе. Сотрудникам, работающим за пределами образовательного учреждения с использованием компьютера, не принадлежащего образовательному учреждению, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ. Сотрудники, имеющие право удаленного доступа к информационным ресурсам образовательного учреждения, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети образовательного учреждения и к каким-либо другим сетям, не принадлежащим образовательного учреждения. Все компьютеры, подключаемые посредством удаленного доступа к информационной сети образовательного учреждения, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления. Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности. Администратор ЛВС имеет право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях. Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится информация образовательного учреждения. Компьютерное оборудование, предоставленное образовательным учреждением, является ее собственностью и предназначено для использования исключительно в производственных целях. Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности. Все программное обеспечение, установленное на предоставленном образовательным учреждением компьютерном оборудовании, является собственностью образовательного учреждения и должно использоваться исключительно в производственных целях. Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено директору образовательного учреждения. На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации: - персональный межсетевой экран; - антивирусное программное обеспечение; - программное обеспечение шифрования жестких дисков; - программное обеспечение шифрования почтовых сообщений. Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной администратором ЛВС. Сотрудники образовательного учреждения не должны: - блокировать антивирусное программное обеспечение; - устанавливать другое антивирусное программное обеспечение; - изменять настройки и конфигурацию антивирусного программного обеспечения. Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан: - проинформировать администратора ЛВС; - не пользоваться и не выключать зараженный компьютер; - не подсоединять этот компьютер к компьютерной сети образовательного учреждения до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование администратором ЛВС. Сотрудникам образовательного учреждения запрещается: - нарушать информационную безопасность и работу сети образовательного учреждения; - сканировать порты или систему безопасности; - контролировать работу сети с перехватом данных; - получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности; - использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства; - передавать информацию о сотрудниках или списки сотрудников образовательного учреждения посторонним лицам; - создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение. Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения. Только администратор ЛВС на основании заявок руководителей подразделений может создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним. Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ. Правила использования сети Интернет в ГБОУ СОШ №113 г. Санкт-Петербург: - сотрудникам образовательного учреждения разрешается использовать сеть Интернет только в служебных целях; - запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности; - сотрудники образовательного учреждения не должны использовать сеть Интернет для хранения корпоративных данных; - работа сотрудников образовательного учреждения с Интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации образовательного учреждения в сеть Интернет; - сотрудникам, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем образовательному учреждению; - сотрудники образовательного учреждения перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов; - запрещен доступ в Интернет через сеть образовательного учреждения для всех лиц, не являющихся сотрудниками образовательного учреждения, включая членов семьи сотрудников образовательного учреждения. Заключение Таким образом, в результате проделанной работы были рассмотрены основные функциональные возможности сетевых компьютерных технологий, изучены основные сервисы глобальной сети Internet, а также выявлены преимущества Intranet и Extranet систем по сравнению с ранее существующими. Интранет представляет собой цифровое рабочее место, где сотрудники напрямую общаются с коллегами, получают доступ к информации отдела и реализуют различные проекты максимально эффективно и успешно. Если интранет является цифровым пространством для внутренних коммуникаций, то экстранет является платформой для внешних коммуникаций. Таким образом, экстранет представляет собой частную сеть, в которой сторонние участники (клиенты, поставщики, партнеры и т.д.) могут общаться с сотрудниками компании в закрытом цифровом рабочем пространстве. Технологии Интранет и Экстранет позволяют сотрудникам и партнерам компании: • эффективнее управлять бизнес-процессами; • ввести и соблюдать единые стандарты на отчеты и другую документацию; • совместно пользоваться контактной информацией, необходимой для общения с клиентами и партнерами; • получать доступ к данным, находящимся в корпоративной сети, с мобильных беспроводных устройств. |