Формулирование требований аудита информационной безопасности в компании
НОУ ВПО Московская финансово-промышленная академия
Кафедра
Информационных систем
ПРАКТИКУМ
по интегрированному курсу «Аудит информационной безопасности»
формы обучения
заочная
вечерняя
сокращённая
Автор:
Преподаватель Горобец А.В.
Москва 2009 г.
Описанием деятельности компании
Компания "1С:Сервистренд" организована в 2000 году для оказания услуг в области комплексной автоматизации предприятий на базе программных продуктов фирмы «1С». Компания образована коллективом менеджеров и программистов, имеющих опыт автоматизации предприятий с 1996 года.
В настоящий момент компания 1С:Сервистренд входит в 10-ку крупнейших франчайзи фирмы «1С». Компания является 1С:Франчайзи (Сертификат №Ф07090001), Авторизованным центром обучения фирмы «1С» (Сертификат УС 0310001), Авторизованным центром сертификации фирмы «1С» (Сертификат ЦС 01100001), Сервис-центром фирмы «1С». Фирма 1С:Сервистренд является лидером проекта Информационно-технологического сопровождения программ «1С» по России и обслуживает на регулярной основе в рамках данного проекта более 1600 организаций.
Фирма 1С:Сервистренд принимает активное участие в проекте аттестации франчайзинговой сети фирмы «1С» по системе качества. В августе 2001 года компания 1С:Сервистренд успешно прошла сертификацию на соответствие системы менеджмента компании международному стандарту качества ISO 9001-2000 и стала 4-ой компанией-партнером фирмы «1С» получившей данный сертификат. Сертификация проводилась международной сертификационной компанией DNV.
Отдел продаж
Сотрудники отдела продаж качественно консультируют по вопросам приобретения ПП 1С, подписок на сопровождение, внедрение и вызова специалиста-консультанта. Оформляют необходимые документы и выставляют счета. Заносят в базу поступивший на склад товар.
Отдел сопровождения
Сотрудники отдела сопровождения производят установку ПП 1С, обновления форм отчетности (для программ с бухгалтерскими компонентами), обновления релизов конфигураций непосредственно в офисе у заказчика.
Департамент внедрения
Сотрудники отдела внедрения производят настройку ПП 1С под конкретного пользователя, обновление настроенных версий программ, производит сложные сетевые установки.
Все разработки ведутся в соответствии с международным стандартом ISO 9001-2000;
При работе над крупными проектами участвует команда специалистов различного профиля: консультанты, проектировщики, кодировщики…
Для снижения стоимости разработки/сопровождения решения используются отраслевые и специализированные наработки компании Сервистренд, а также других компаний-партнеров 1С.
Проектный департамент
Программисты проектного департамента разрабатывают новые конфигурации на базе платформы 1С 77 или 81 как для внутренних нужд компании так и для конкретных клиентов.
Линия консультации
Специалисты данного отдела оказывают помощь пользователям ПП 1С. Одним из самых удобных способов получения оперативной помощи является бесплатная телефонная Линия Консультаций «Сервистренд». Также по просьбе клиента может выехать специалист компании.
Финансовая служба
Основными задачами финансовой службы компании является:
1. Ведение бухгалтерского и налогового учета финансово-хозяйственной деятельности компании
2. Текущий контроль за целевым и экономическим использованием материальных, трудовых и финансовых ресурсов компании
3. Своевременное проведение расчетов с юридическими и физическими лицами.
4. Контроль за сохранностью денежных средств и материальных ценностей в местах их хранения и эксплуатации.
5. Правильное начисление и перечисление налогов и сборов в бюджеты, страховых взносов в государственные внебюджетные социальные фонды, платежей в банковские учреждения.
6. Составление и представление в установленном порядке и в предусмотренные сроки бухгалтерской, налоговой и статистической отчетности
7. Взаимодействие с банками по вопросам размещения свободных финансовых средств на банковских депозитных вкладах, контроль за проведением учетных операций с депозитными и кредитными договорами, ценными бумагами.
8. Своевременное и правильное оформление документов.
9. Обеспечение строгого соблюдение штатной и, финансовой и кассовой дисциплины.
10. Начисление и выплата в установленные сроки заработанной платы, бонусов, премий.
Отдел кадров
Сотрудники отдела кадров осуществляют подбор персонала. Проводят собеседование и определяют уровень профессионализма сотрудника. Производит обновление данных по персоналу. Организуют проведение праздничных мероприятий.
Формируют документы для передачи в пенсионный фонд РФ. Принимают заявления от работников на отпуск, перевод, увольнение.
Отдел маркетинга
Сотрудники отдела маркетинга осуществляют разработку и подготовку рекламных текстов, эскизов, макетов, каталогов, буклетов, проспектов. Производят разработку фирменного стиля предприятия, подготовку сувенирных рекламных продуктов полиграфического и промышленного исполнения (блокнотов, календарей, канцелярских принадлежностей с логотипами компании). Заключают договора с оргкомитетами выставок, ярмарок. Составляют смету рекламных расходов
IT отдел
Сотрудники IT отдела выполняют технические функции по обеспечению бесперебойной работы офисной техники. Контролируют чтобы было настроено рабочее место (персональный компьютер) сотрудника компании под выполнение им своих должностных обязанностей. Устраняет неисправности в программном обеспечении компьютерной и офисной техники. Готовят предложения для Генерального директора компании по усовершенствованию, и закупки дополнительной техники. Осуществляют сопровождение внедренных программ и программных средств.
Формулирование требований аудита информационной безопасности в компании
Основная цель проведения комплексного аудита и информационной безопасности являются получение реальной и независимой оценки текущего состояния уровня информационной безопасности. Кроме этого материалы аудита являются информационно-аналитической базой для разработки Концепции и политик информационной безопасности.
Для обеспечения экономической безопасности предпринимательской деятельности и противодействие внутренним и внешним угрозам коммерческим интересам фирмы важнейшее значение принадлежит контролю правильного функционирования системы защиты безопасности компании.
Аудит информационной безопасности – это деятельность, направленная на проверку, контроль, анализ и оценку текущего положения в области информационной безопасности компании.
На этапе формирования требований к политике безопасности определяются требования защищенности имеющейся информационной системы компании.
Под аудитом подразумевается оценка текущего состояния безопасности на соответствие некому стандарту или предъявленным при выработки политики безопасности требованиям. В настоящее время в практике российских предприятиях и компаниях часто применяется схема проведения аудита на соответствие британскому стандарту BS 7799.
В процессе проведения аудита анализируется и оценивается следующие положения:
- Организационная инфраструктура информационной безопасности на местах ( распределение обязанностей сотрудников по обеспечению безопасности)
- Документированная политика безопасности компании, и в частности:
Подход к оцениванию и управлению рисками в рамках всей компании
- Обоснование выбора средств защиты
- Процедура принятия уровня остаточного риска
- Результаты оценивания рисков по информационной системе предприятия
- Контр меры для противодействия выявленным рискам
- Эффективность использования контр и результаты их тестирования
В итоге работы аудиторы должны проанализировать все существующие аспекты информационной безопасности с учетом величины проверяемой организации и спецификации ее деятельности, учесть ценность информации, подлежащей защите. Как следствие, опыт и компетентность аудитора являются весьма существенными факторами, оказывающими влияние на итоговый результат.
Безопасность паролей:
· Пароль должен состоять из букв алфавита, цифр и специальных знаков минимальный размер 6 символов.
· Пароль не должен легко отгадываться.
· Пароль не должен содержать последовательных одинаковых символов
· Пароль не должен повторяться и не должен быть похож на предыдущие пароли.