нальні дані), а також інформація, обмеження на поширення якої введені рішеннями керівництва організації (комерційна таємниця ), розголошення якої може привести до тяжких фінансово-економічних наслідків для організації аж до банкрутства (нанесенню тяжкого шкоди життєво важливим інтересам його клієнтів, кореспондентів, партнерів або співробітників);
«Конфіденційна» - до даної категорії відноситься інформація, не віднесена до категорії «Строго конфіденційна», обмеження на поширення якої вводяться рішенням керівництва організації відповідно до наданих йому як власнику (уповноваженому власником особі) інформації чинним законодавством правами, розголошення якої може призвести до значних збитків і втрати конкурентоспроможності організації (нанесенню відчутного збитку інтересам його клієнтів, кореспондентів, партнерів або співробітників);
«Відкрита» - до даної категорії відноситься інформація, забезпечення конфіденційності (введення обмежень на поширення) якої не потрібно.
Відомості становлять комерційну таємницю:
Клієнти:
П.І.Б., адресу проживання, дані паспортного і медичного обліку
Персонал:
відомості про працівників, що містяться в їх особових справах, облікових картках,
матеріали з атестації та перевіркам;
відомості про штатний розклад, заробітну плату працівників, умови оплати праці;
матеріали персонального обліку працівників (П.І.Б., адресу проживання, склад сім'ї, домашній телефон, дані паспортного та медичного обліку);
Організаційно-розпорядча інформація:
посадові інструкції;
внутрішні накази, розпорядження, інструкції; протоколи нарад і переговорів.
До критичних для ІС об'єктів можна віднести:
Сервера і зберігається на них інформація.
Відомості конфіденційного характеру (комерційна, службова таємниці), персональні дані.
Що зберігається в базі даних інформація.
Процедури доступу до інформаційних ресурсів.
1.3 Категорії користувачів, режими використання і рівні доступу до інформації
Так як в «АйТіПартнёр» проявляється довільне керування доступом, то всі права доступу користувачів встановлюються адміністратором. Адміністратор має необмежені права доступу до всіх комп'ютерних ресурсів підприємства
Адміністратор надає директору підприємства права суперкористувача, тому директор має широкий доступ до документів підприємства, але не має доступу до системних ресурсів, до програмних файлів і баз паролів.
Головний бухгалтер має користувальницький доступ тільки до документів бухгалтерії.
Співробітник по роботі з кадрами має доступ до персональних даних співробітників компанії, а так само до різних кадрових документів.
Менеджери мають доступ користувачів тільки до документів, необхідних для їх роботи.
Продавці магазинів мають користувальницький доступ до документів і програмам, що дозволяє їм здійснювати торгові операції.
2. Аналіз політики інформаційної безпеки ВАТ «АйтіПартнёр»
.1 Оцінка ризиків підприємства
Ідентифікація ресурсів
Ресурси - це те, що має цінність для організації, її ділових операцій та їх безперервності. Тому ресурси необхідно захищати для того, щоб забезпечити коректність ділових операцій і безперервність бізнесу. Належне управління та облік ресурсів є життєво важливими і повинні бути основним обов'язком для керівництва всіх рівнів.
Важливі ресурси організації повинні бути чітко ідентифіковані і належним чином оцінені, а реєстри цих ресурсів повинні бути зібрані разом і підтримуватися в актуальному стані. Об'єднання схожих або пов'язаних ресурсів в керовані набори дозволяють полегшити зусилля, витрачені на процес оцінки ризиків.
Підзвітність за ресурси дозволяє забезпечити підтримку адекватної інформаційної безпеки. Для кожного з ідентифікованих ресурсів або групи ресурсів повинен бути визначений їх власник, і відповідальність за супровід відповідних механізмів безпеки повинна бути покладена на цього власника.
Джерела вимог:
У будь-якій організації, вимоги безпеки відбуваються з трьох основних джерел:
· Унікальний набір загроз і вразливостей, які можуть призвести до значних втрат, у разі їх реалізації.
· Застосовні до організації...