Категория: Инструкции
Отчет
по проверке состояния информационных технологий
Проверка проводилась выборочным порядком по следующим вопросам:
Организация и планирование информационных технологий;
Разработка, тестирование и внедрение программного обеспечения;
Политика информационной безопасности;
Предоставление прав доступа к информационным ресурсам;
Обеспечение безопасности при подключении к сети Интернет;
Резервное копирование и архивирование;
Система электронного документооборота;
Обеспечение непрерывности бизнеса.
1. Организация и планирование информационных технологий
в штате ОИТ числилось 2 человека.
В соответствии с Положением об Отделе информационных технологий, утверждённым Исполнительным директором, ОИТ выполняет следующие основные задачи:
Разработка и внедрение проектов совершенствования информационно-технологического управления.
Экономия средств за счет применения высокотехнологичных систем управления
Выявление и оперативное устранение перебоев в работе оборудования и пользователей.
1.2. Концепция автоматизации в не разрабатывалось, что может привести к несоответствию целей и задач ИТ бизнес-стратегии, и, как следствие, к неэффективному использованию бюджета ИТ.
Положением об ОИТ предусмотрено участие в подготовке планов проектирования и внедрения автоматизированных систем управления, однако текущие годовые планы работы ОИТ по автоматизации деятельности не составлялись.
Рекомендация:
В целях уменьшения риска принятия не достаточно обоснованных и последовательных решений по приобретению и вводу в эксплуатацию вычислительной техники и программного обеспечения, а также возникновения ограничений в производительности и обеспечении достаточных функциональных возможностей программно-аппаратного комплекса .рассмотреть вопрос о разработке и утверждении концепции автоматизации.
Обеспечить составление годовых планов работ по автоматизации деятельности. Ввести в практику проведение периодических отчетов перед руководством о выполнении этапов годового плана работ.
1.3. На момент проверки не были регламентированы следующие процессы в части ИТ:
o процессы приобретения, сопровождения и внедрения программного обеспечения;
o порядок администрирования серверов, локальной сети и прикладных автоматизированных систем;
o порядок ведения архива программ и программной документации;
o порядок ведения, анализа и хранения журналов аудита прикладного и системного программного обеспечения;
o порядок защиты локальной сети от угроз из сети Интернет и анализа атак из сети Интернет;
o порядок анализа журналов антивирусных программ и предпринимаемых действий;
o политика информационной безопасности;
o порядок ведения и актуализации перечня информационных ресурсов;
o порядок предоставления доступа к информационным ресурсам;
o порядок восстановления программно-аппаратного комплекса в случае нештатных ситуаций, планы по обеспечению непрерывности бизнеса и порядок проверки их выполнимости;
что повышает риски в части обеспечения надежности функционирования автоматизированной системы организации и возможности ее дальнейшего развития в соответствии с потребностями бизнеса.
Рекомендация:
В целях снижения рисков в части обеспечения надежности функционирования автоматизированной системы разработать и утвердить установленным образом документы, регламентирующие процессы приобретения, внедрения и сопровождения прикладного программного обеспечения (п. А.10.3.2 ISO/IEC 27001-2005), а также порядки ведения архива программ и программной документации (п. А.10.1.1 ISO/IEC 27001-2005), анализа журналов антивирусных программ и предпринимаемых действий, проверки выполнимости планов по обеспечению непрерывности бизнеса, ведения и актуализации перечня информационных ресурсов
1.4. В Положении об ОИТ и должностных инструкциях отражены основные функции, выполняемые сотрудниками отдела. Вместе с тем, содержание должностных инструкций нуждается в уточнении в связи с отсутствием в них информации об обязанностях по администрированию оборудования и автоматизированных систем.
Не были назначены приказами администраторы серверов, локальной вычислительной сети, а также используемых в автоматизированных систем.
Работы по настройке автоматизированных систем и других программных продуктов, эксплуатируемых. а также представление доступа к домену и автоматизированным системам выполнялись ОИТ на основании служебных записок за подписью начальников подразделений. Сроки выполнения работ документально не согласовывались.
Рекомендация:
Следует актуализировать должностные инструкции сотрудников ОИТ в части выполнения задач и функций отдела, сопровождения и администрирования конкретных программных и аппаратных систем. Назначить приказами администраторов серверов, локальной вычислительной сети, а также используемых в автоматизированных систем.
Разработать и утвердить форму заявки на предоставление доступа к информационным ресурсам и задачам
1.5. На момент проверки администраторов информационной безопасности (АИБ) назначено не было. Функции АИБ выполнял начальник ОИТ. В соответствии с положениями Федерального закона «Об информации, информатизации и защите информации» АИБ в организациях вводятся в целях контроля режима информационной безопасности в подразделениях, соответствия полномочий и прав доступа сотрудников к информационным ресурсам организации их служебным обязанностям. На АИБ должна быть возложена обязанность оформления заявок на предоставление/изменение прав доступа в автоматизированных системах (АС).
Начальник ОИТ фактически выполняет функции администрирования (включая предоставление пользователям полномочий и прав доступа к информационным ресурсам) целого ряда автоматизированных систем. Таким образом, функции по составлению заявок на доступ к АС, их исполнению и контролю предоставленных прав должностным обязанностям пользователей ряда АС исполняются одним сотрудником. Таким образом, в результате совмещения исполнительских и контрольных функций, контроль был формальным.
Рекомендация:
По мнению проверяющих, следует рассмотреть возможность подготовки и назначения новых АИБ из числа сотрудников пользовательских подразделений с целью разделения полномочий руководителя ОИТ по администрированию автоматизированных систем и контролю режима информационной безопасности.
Утверждённая политика информационной безопасности отсутствует. Обеспечение ИБ возложено на сотрудников ОИТ, при этом контроль их действий в том, что касается ИБ (изменение настроек межсетевого экрана, антивирусного ПО, системы централизованного управления портами ввода-вывода, системы резервного копирования) не осуществляется.
Отсутствует модель угроз активам (персональным данным участников, денежным средствам на счетах и т.д.).
Возможные искажения электронных платёжных поручений выявляются лишь последующим контролем.
Резервные копии хранятся в помещении, что увеличивает риск полной утраты данных в случае чрезвычайных ситуаций.
По сообщению начальника ОИТ сотрудники предупреждаются о недопустимости пересылки на внешние почтовые адреса служебной информации. Сотрудники, ответственные за работу с системами электронного документооборота, предупреждаются о мерах по предотвращению компрометации ключей.
Ограничение доступа к данным на компьютерах пользователей осуществляется следующим образом.
Для входа в ОС требуется ввести пароль, аппаратные идентификаторы (например, ТМ) не требуются, модуль доверенной загрузки не используется. Корпуса компьютеров голографическими наклейками не опечатываются. Пароли на вход в BIOS не устанавливаются.
В ЛВС установлены требования к неповторяемости, максимальному сроку действия, минимальной длине и сложности паролей. В тоже время подобные требования отсутствуют для паролей ИС 1С. Таким образом, единая парольная политика отсутствует.
У большинства пользователей отключены порты ввода-вывода (USB, оптические приводы и т.д.) используется ПО GFI EndPointSecurity, позволяющее централизованно управлять портами ввода-вывода на компьютерах пользователей. Порты ввода-вывода подключаются по заявке, на указанное в заявке время. Действия сотрудников с подключёнными портами ввода-вывода протоколируются.
Подключение к Интернету.
Документ, регламентирующий деятельность сотрудников в Интернете отсутствует.
один канал подключения к сети Интернет (пропускная способность 4 096 Кбит/с), резервный канал отсутствует.
используются межсетевой экран и система обнаружения вторжений (МСЭ) Kerio control. МСЭ установлен на выделенном компьютере, размещающемся в серверной. Возможность менять настройки МСЭ имеют начальник ОИТ и его заместитель; в их должностных инструкциях данные задачи не прописаны. Утверждённая политика настроек МСЭ отсутствует. Процесс изменения настроек МСЭ не регламентирован.
По сообщению начальника ОИТ, изменение настроек производится по заявкам, подписанным Исполнительным директором; утверждённый формат заявки отсутствует, как правило, это письмо по электронной почте от Исполнительного директора.
Все изменения настроек протоколируются. По сообщению начальника ОИТ, он ежедневно просматривает журнал событий МСЭ с целью проверки вносившихся изменений, однако данный процесс не регламентирован.
Действия начальника ОИТ по изменению настроек МСЭ никем не контролируются.
3.4. Антивирусная политика.
На АРМ сотрудников и на файловом сервере установлено антивирусное ПО Kaspersky Workspace security и Kaspersky Anti-Virus for Windows File Server EE. В филиалах используется антивирусное ПО Eset Nod32.
Пользователи не имеют возможности отключить антивирусное ПО или изменить его настройки. Доступ к настройкам и журналам событий антивирусного ПО есть только у сотрудников ОИТ.
Использование электронной почты.
На момент проверки утверждённое положение о работе с электронной почтой отсутствовало. Сотрудники предупреждаются о недопустимости пересылки служебной информации на сторонние адреса. Электронные сообщения не проверяются на наличие служебной информации.
Руководством ОИТ рассматривается возможность внедрения автоматизированной системы SearchInform, позволяющей контролировать содержимое почтовых сообщений и документов, выводимых на печать.
Доступ к информационным ресурсам.
Доступ к ЛВС и ИС предоставляется сотрудникам по заявкам. Типового формата заявок на предоставление доступа к ресурсам нет.
Заявки на предоставление доступа к ИС поступают сотрудникам ОИТ от владельцев данных ИС по электронной почте.
При увольнении сотрудника происходит отзыв прав доступа к ЛВС и ИС. О необходимости удалить соответствующие учётные записи сотрудники ОИТ узнают из обходного листа, выдаваемого увольняемому сотруднику.
Регламент уничтожения данных на списываемых носителях отсутствует.
Обеспечение непрерывности бизнеса
6.1. Порядок действий при возникновении нештатных ситуаций в процессе эксплуатации программно-технического комплекса и план мероприятий по восстановлению бизнеса в случае чрезвычайных ситуаций не регламентированы.
Серверное помещение, по мнению проверяющих, не имеет достаточной защиты от несанкционированного доступа (входная дверь – деревянная), а также не в полной мере защищено с точки зрения пожарной безопасности (для пожаротушения используется вода) вследствие чего возрастает риск утраты критичной для работы информации.
Резервная серверная отсутствует, что снижает уровень обеспечения непрерывности бизнеса и может привести к нарушению режима функционирования в случае выхода из строя основного оборудования.
Рекомендации:
В целях повышения уровня обеспечения непрерывности бизнеса рассмотреть вопрос о целесообразности создания резервной серверной комнаты в дополнительном помещении.
К основным недостаткам, которые повышают риски принятия не достаточно обоснованных решений по информационным технологиям, несанкционированного доступа к информационным ресурсам, нарушения целостности программного обеспечения и данных, а также риски, связанные с обеспечением непрерывности бизнеса можно отнести низкий уровень документирования ключевых процессов в области ИТ. В ходе проверки отмечено, что отсутствуют внутренние регламенты и документирование большинства направлений деятельности отдела информационных технологий.
В такой ситуации существенно затруднён контроль за функционированием ИТ и их эффективностью. Кроме того, отсутствие надлежащей документации повышает риск зависимости от ключевых сотрудников службы ИТ, их опыта и знаний.
По мнению проверяющих, необходимо разработать и утвердить процедуры документирования для основных процессов в области ИТ и осуществлять регулярный контроль за их выполнением со стороны руководства.
Эксперт
Департамента внутреннего контроля
Локальные акты, регламентирующие работу в сети Интернет
1) Приказ о назначении сотрудника ОУ, ответственного за обеспечение работы точки доступа к сети Интернет;
2) Приказ об учёте использования Интернет-ресурсов;
3) График обучения работников работе в сети Интернет;
4) Правила (регламент) использования сети Интернет;
5) Приказ об утверждении должностной инструкции (или инструкции) сотрудника ОУ, ответственного за обеспечение работы точки доступа к сети Интернет и внедрение средств контентной фильтрации;
6) Инструкция по локальной диагностике работоспособности (сервер включительно);
7) Инструкция по запуску и обновлению антивирусного программного обеспечения;
8) Журнал программного учета выхода в сеть Интернет работников ОУ;
9) Регламент учета и контроля Интернет-трафика в ОУ;
10) Приказ о назначении ответственного лица за внедрение системы контентной фильтрации;
10) Приказ о системе контентной фильтрации сети Интернет в ОУ с кратким описанием системы;
11) Графики работы с ресурсами сети Интернет учащихся и работников, размещённые на доске объявлений ОУ;
12) Договор с компанией интернет-провайдером на предоставление услуги Интернет и приложение с регистрационными данными ОУ.
по работе с ресурсами сети Интернет.
Глобальная сеть Интернет предоставляет доступ к ресурсам различного содержания и направленности. Сотрудникам ЗАО «Рога и копыта» запрещается использовать ресурсы сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей. Отдел ИТ ЗАО «Рога и копыта» оставляет за собой право ограничивать доступ к этим ресурсам сети Интернет, а так же к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.
При работе с ресурсами сети Интернет недопустимо:
- разглашение коммерческой и служебной информации ЗАО «Рога и копыта», ставшей известной сотруднику компании по служебной необходимости либо иным путем;
- распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;
- публикация, загрузка и распространение материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также размещения ссылок на вышеуказанную информацию;
При работе с ресурсами Интернет запрещается:
- использовать внешние почтовые серверы (mail.ru и т.п.)
- загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным пакетом.
- использовать анонимные прокси-серверы.
Также интересно:Перечень документации, необходимой в школе при использовании информационных технологий.
Документация по ИКТ в школе едина, но можно выделить 3 группы:
- Административные локальные акты, регламентирующие работу в сети Интернет (с подписью директора);
- Административные локальные акты общего характера (с подписью директора);
- Документация кабинета информатики и кабинетов в ОУ, оснащённых средствами ИКТ.
1. Административные локальные акты, регламентирующие работу в сети Интернет
1) Приказ о назначении сотрудника ОУ, ответственного за обеспечение работы точки доступа к сети Интернет;
2) Приказ об учёте использования Интернет-ресурсов;
3) График обучения работников работе в сети Интернет;
4) Правила (регламент) использования сети Интернет;
5) Приказ об утверждении должностной инструкции (или инструкции) сотрудника ОУ, ответственного за обеспечение работы точки доступа к сети Интернет и внедрение средств контентной фильтрации;
6) Инструкция по локальной диагностике работоспособности (сервер включительно);
7) Инструкция по запуску и обновлению антивирусного программного обеспечения;
8) Журнал программного учета выхода в сеть Интернет работников ОУ;
9) Регламент учета и контроля Интернет-трафика в ОУ;
10) Приказ о назначении ответственного лица за внедрение системы контентной фильтрации;
10) Приказ о системе контентной фильтрации сети Интернет в ОУ с кратким описанием системы;
11) Графики работы с ресурсами сети Интернет учащихся и работников, размещённые на доске объявлений ОУ;
12) Договор с компанией интернет-провайдером на предоставление услуги Интернет и приложение с регистрационными данными ОУ.
2. Административные локальные акты общего характера
1) Должностная инструкция инженера (системного администратора) школы ;
2) Положение о мультимедиатеке школы;
3) Положение об информационно-аналитической службе школы
4) Положение об информационо-ресурсном узле (сайте) школы
5) Положение об обработке персональных данных в информационных системах ОУ (Положение о защите персональных данных работников и учащихся при размещении их на информационном ресурсе (сайте школы) и использования в иных информационных системах (общедоступные на сайт и конфеденциальные пд в личное дело или базу данных)
6) Должностная инструкция учителя Информатики;
7) Инструкция для сотрудников ОУ о порядке действий при осуществлении контроля использования обучающимися сети Интернет (2-й экземпляр в кабинет информатики, в кабинетах, оснащенных выходом в Интернет);
8) Положение о Совете образовательного учреждения по вопросам регламентизации доступа к информации в сети Интернет(2 экземпляр в кабинет информатики)
9) Приказ о назначении зам. директора по информатизации в ОУ (если есть);
10) Должностная инструкция заместителя директора ОУ по информатизации.
3. Документация кабинета информатики и и кабинетов в ОУ, оснащённых средствами ИКТ
1) Правила эксплуатации персональных компьютеров;
2) Инструкция для сотрудников ОУ о порядке действий при осуществлении контроля использования обучающимися сети Интернет;
3) Требования правил техники безопасности и охраны труда к кабинету информатики;
4) Положение о кабинете информатики;
5) Правила использования сети Интернет в ОУ;
6) Регламенты работы по запуску и обновлению антивирусного программного обеспечения;
7) Инструкция по охране труда при работе в кабинете информатики, включая переферийные устройства (для учащихся и для педагогов отдельно);
8) Инструкция по ознакомлению с нормативными актами, регламентирующими доступ к сети Интернет (для учащихся и для педагогов могут быть различными)
9) Паспорт учебного кабинета информатики;
10) Справка о техническом состоянии кабинета информатики;
11) Тематическое планирование по информатике и ИКТ;
16) Инструкция по оказанию первой помощи при поражении электрическим током
?План МАУО ДО ЦТТиПО на 2015-2016 учебный год [ Открыть в PDF ]
? Распоряжение Правительства Российской Федерации от 02.12.2015 № 2471-р "Об утверждении Концепции информационной безопасности детей" [ Открыть в PDF ]
Приказ Министерства образования и науки Мурманской области от 12.10.2015 №1812 "Об утверждении Комплекса мер, направленных на совершенствование работы по информационной безопасности и безопасному использованию глобальной сети Интернет в образовательных организациях Мурманской области в 2015/2016 учебном году" [ Открыть в PDF ]
Письмо от 18.08.2015 № 17-09/6057-ИК "О направлении примерных нормативно-правовых актов, регламентирующих деятельность образовательных организаций в сети Интернет" [ Открыть Архив в ZIP ]
Комплект примерных нормативно-правовых актов, регламентирующих работу образовательных организаций в сети Интернет
Комплект включает следующие документы:
- правила использования сети Интернет в ОО;
- порядок действий для сотрудников ОО и членов Совета ОО при осуществлении контроля за использованием обучающимися сети Интернет;
- регламент работы педагогов и учащихся в сети Интернет;
- положение о Совете ОО по вопросам регламентации доступа к информации в сети Интернет;
- должностные обязанности Уполномоченного лица за использование Интернет в ОО;
- классификатор информации, распространение которой запрещено в соответствии с законодательством Российской Федерации;
- приложения (лист ознакомления и согласия с Правилами использования сети Интернет в ОО, журнал регистрации случаев обнаружения Интернет-ресурсов, не совместимых с задачами образования и воспитания обучающихся, телефоны «горячих» линий для обращения сотрудников ОО, журнал учета доступа в сеть Интернет, журнал контроля контентной фильтрации).
