Планы мер по обеспечению защиты данных относят, как правило, к документам, с индивидуальным доступом, их учитывают и хранят обычно в службе безопасности компании, по такой схеме, какая установлена по документам такой степени защищенности.

Создание и внедрение планов по обеспечению защиты данных, как правило, осуществляется службой безопасности организации, либо, если такой службы нет, то тогда за это отвечает подходящий специалист в информационной и технической сфере. При разработке такого плана, данная служба, либо специалист должны учитывать различные рациональные предложения остальных отделов и структурных подразделений компании, как правило, для того, чтобы не усложнять работу сотрудникам и не затруднять взаимодействие с клиентами [25].

От качества организационно-планирующей документации как раз-таки и зависит продуктивность мер, направленных на то, чтобы обезопасить конфиденциальную информацию, исключить утечку данных и улучшить производительность работы в компании.

Структура и основное содержание плана мероприятий по защите конфиденциальной информации.

Самым важным документом, организационно-планирующего характера, направленного на защиту информации, является план мероприятий по защите данных на календарный год. Этот план разносторонне отражает те меры по защите данных, которые будут реализованы в течение данного календарного года, при условии параллельной каждодневной деятельности компании при проведении данных мер. Вместе с тем, при составлении данного плана учитывается и нормативно-правовая база вышестоящих органов государственной власти по этому вопросу [21].

С планом мер по защите корпоративных и частных данных в компании на календарный год, ознакомляется руководитель компании, если его план не устраивает, он указывает замечания и его уносят на доработку, а если руководитель считает данный план эффективным, то он его утверждает. Так же, если есть необходимость, план отдают на согласование соответствующему органу безопасности. Уже с утвержденным планом ознакомляется заместитель руководителя, руководители структурных подразделений и остальные должностные лица, ответственные за реализацию мер, указанных в плане.

Основные разделы, содержащиеся в плане мероприятий по защите конфиденциальной информации на календарный год.

Организаторские меры административной ячейки компании - разрабатывать организационно-планирующую документацию параллельно с каждодневной работой компании и не в ущерб эффективности работы сотрудников. Предоставлять в вышестоящую организацию или в орган государственной власти донесения или доклады о статусе защиты данных; создание и внедрение приказов руководства компании по вопросу в области защиты корпоративных и частных данных и т. п.

Проведение мероприятий с работниками по вопросам защиты данных - создание и проведение занятий с разноплановыми сотрудниками в плане должности и с учетом классификации тех работ, которые они выполняют; быть в курсе различных положений в нормативных и методических документах в сфере защиты информации и, если есть необходимость, ознакомить с данными положениями и требованиями сотрудников под расписку; проведение занятий, собеседований, с новыми сотрудниками, либо с сотрудниками получившими новую должность; меры по обучению работников в образовательных учреждениях различного типа.

Когда создается план мер по защите данных, берут в расчет всевозможные неблагоприятные ситуации, которые могут произойти в компании. Меры по защите информации, если возникает чрезвычайная ситуация, отражаются, на календарный месяц в специальном разделе плана работы компании. В таком разделе также указываются:

• Ф.И.О., адрес прописки, либо фактического проживания и телефоны (домашний, мобильный) отдельно взятого работника, который принимает участие в устранении последствий неблагоприятных ситуаций на объектах компании;

• порядок очередности оповещения всех работников, которые участвуют в работах по выполнению устранений последствий неблагоприятных (чрезвычайных) ситуаций;

• обязанности каждого сотрудника предприятия и последовательность выполнения им мероприятий (работ) в соответствии с конкретным планом действий;

• список средств и сил (в том числе транспорт, связь), которые привлекают для решения задач устранения последствий чрезвычайных ситуаций;

• места остановок, маршрут движения транспорта, который перевозит носители частных и корпоративных данных;

• маршруты места сброса этих самых носителей, место их установки, сосредоточения, порядок охраны носителей, силы, привлекаемые для охраны и так далее [37].

2 Анализ состояния информационной системы в компании «ПрофИТ»

2.1 Общая характеристика компании

Компания «ПрофИТ» была создана в 2012 году и начала свою деятельность с предоставления своих услуг лишь нескольким офисам.

Более чем за пять лет работы на рынке IT- аутсорсинга в городе Хабаровске она сильно выросла и видоизменилась.

«Профит» предоставляет следующие виды услуг:

• IT-аутсорсинг – абонентское обслуживание компьютерной техники, серверов и организационной техники.

• проектирование и монтаж кабельных сетей;

• видеонаблюдение от проектирования, закупки и монтажа, до сопровождения и настройки оборудования, программного обеспечения и серверов;

• IP- телефония;

• сопровождение программ 1С;

• создание сайта и его последующее продвижение;

В 2017 году «ПрофИТ» ввел абсолютно новую услугу – аутстафинг. Сейчас, специалист от компании может всегда быть в непосредственной близости для решения актуальных проблем. И вместе с этим, обслуживаемая организация получает все достоинства IT-аутсорсинга. «ПрофИТ» ставит цели, сопровождает и вместе с этим проверяет сотрудника. Дает ему все, что нужно для выполнения поставленных задач. При этом обслуживаемая организация по услуге аутстафинга может получить весь штат специалистов, при решении каких-либо нетипичных задач или при развертки сложных систем.

При этом компания «ПрофИТ» является партнером организаций, занимающихся поставкой и производством компьютерного оборудования, ПО и серверов, таких как «Microsoft», противовирусных «dr. Web», «Лаборатория Касперского», сетевой техникой «MicroTik» и «D-link», серверами «HP», «Lenovo», «Supermicro», техникой и ПО для видеонаблюдения «Vesta», «Macroscop», «Hikvision» и др. Компания занимается подбором, согласованием и покупкой всего требуемого оборудования для обслуживаемой организации.

Миссия компании «ПрофИТ» - предоставлять совокупное обслуживание в сфере информационных технологий. Компания занимается проектированием, закупкой, постройкой, настройкой, сопровождением и поддержкой проекта. Задача «ПрофИТ», заключается в высвобождении всех доступных ресурсов обслуживаемой организации для их основной деятельности, для этого и занимается обеспечением постоянной работы при помощи производительных, актуальных и соответствующих решений, которые принимают масштаб и потребности компании-заказчика.

За то время, что компания «Профит» занимается работой в сфере обслуживания компьютерных сетей и информационных технологий, она закрепила и придерживается нижеприведенных принципов.

Комплексный подход.

Компания «ПрофИТ» возьмет на себя все задачи, которые связаны с IT в компании-заказчике. Это минимизирует число контактов на данном предприятии и поэтому, освобождается время на какую-либо другую деятельность, так же, получаемые решения являются более согласованными и эффективными.

Персональный подход.

Компания с усердием относится к пониманию бизнес-процессов, которые происходят в компании-заказчике, для того, чтобы можно было знать, что является предельно важным и на чем сосредоточить свою работу для максимизации результативности деятельности компании-заказчика и последующую работу с ним.

Мониторинг инфраструктуры.

Компания «ПрофИТ» занимается постоянной проверкой и мониторингом всей IT инфраструктурой для существенного сокращения непредвиденных ситуаций в работе, т. к. компания предпочитает заранее предотвратить ошибку, чем незапланированно её решать

Ориентированность на будущее.

«ПрофИТ» не только обслуживает, а стабильно модернизирует и улучшает IT-инфраструктуру компании-заказчика. Ищет болезненные точки и занимается рекомендациями вариативности усовершенствования по части защиты информации, усиления эффективности техники, сокращении сбоев, ускорении быстроты обмена информацией среди служащих и в разных других вопросах. Так же, при реализации разного рода задач, компания занимается и вопросом расчетливости, т. е. результативности решений. Компания предлагает предельно легкие решения, без приобретения дополнительной техники, только в случае, если того не будет требовать поставленная задача. «ПрофИТ» усердно внедряет оптимальные решения и постоянно оценивает рациональность вложенных средств.

Оперативность.

Компания «ПрофИТ» гарантирует:

• полностью сохранить информацию компании-заказчика, т.к. считает это обязательным фактором для работы;

• публичность и ясность проводимых работ, для этого компания ведет журнал заявок и отражает в нем результат этих работ.

Более чем за пять лет работы, компания собрала большой опыт в сфере информационных технологий, ведь она эксплуатирует большое количество техники, ПО, собрала самые различные реализованные решения и общается с различными пользователями. Их специалисты каждодневно знакомятся с выполнением различных задач. И это дает компании быть намного результативными, скорее выполнять поставленные задачи и предугадывать возможные проблемные участки в проекте.

Компания всегда прогрессирует и совершенствуется. Постоянно увеличивает количество различных специалистов в самых разных областях информационных технологий и правильно разделяет роли между ними. Так же компания занимается и обучением сотрудников, это так же является существенной частью их работы.

Компания увеличивается и географически. На данный момент у неё есть партнеры или представители в г. Владивостоке, г. Якутске, г. Южно-Сахалинске, г. Петропавловске-Камчатском. За 2017 год, «ПрофИТ» планирует выйти на рынок в таких городах как Благовещенск и Биробиджан.

2.2 Анализ текущего состояния информационной системы в компании

Головной офис компании, имеет в своем распоряжении 20 персональных компьютеров и четыре сервера следующих типов: сервер базы данных, web-сервер, файловый сервер и почтовый сервер. Компьютеры компании объединены в одну общую сеть, построенную по типу топологии «звезда». Проведя мониторинг способов передачи информации в компании и общий анализ информационной безопасности, был выявлен ряд недостатков:

• отсутствие контроля в серверных помещениях;

• отсутствие контроля доступа к информации, находящейся на персональных компьютерах компании;

• отсутствие использования защитных протоколов, при передаче данных;

• удаленная работа осуществляется посредством общей сети;

• в офисном помещении слабая защита от несанкционированного доступа (НСД);

• отсутствие переговорной комнаты в головном офисе компании (важно при личной встрече с клиентами и рабочих совещаний с работниками).

Используя данные недостатки, теоретически злоумышленник может осуществить несанкционированное проникновение в сеть с целью получения информации, или ее искажения.

Но в компании имеются также и сильные стороны по обеспечению информационной безопасности. Например, вход в офисное помещение компании осуществляется с помощью идентификаторов iButton, также имеется система наружного видеонаблюдения и ряд камер на входе и в уличном помещении.

В компании используется только лицензионное программное обеспечение. Производится постоянное плановое обновление программного обеспечения и ОС. На всех персональных компьютерах установлены антивирусные программы, для предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (вирусами). Обновление программных продуктов и антивирусных программ производится ежемесячно.

Угроза может осуществиться из-за несанкционированной установки программного обеспечения внутренними нарушителями или внешними угрозами, что может привести к нарушению конфиденциальности данных, их целостности и доступности, хоть и в компании осуществляется контроль за установкой программного обеспечения, посредством разграничения прав пользователей, никогда нельзя исключать возможность проникновения во внутреннюю сеть или банальный человеческий фактор.

Также нельзя исключать и возможности непреднамеренного нарушения безопасности или угрозы внешних факторов (сбой в электроэнергии, стихийные бедствия, сбой аппаратуры, утрата iButton идентификатора по которому осуществляется вход в офисное помещение компании и тому подобное).

В компании осуществляется плановое резервное копирование данных с месячной периодичностью. Так же все работники введены в курс того, как стоит обращаться с персональными данными. Ежемесячно проходят мероприятия по усвоению данного материала, посредством профилактической беседы или тематического теста.

Основная угроза корпоративной и частной информации заключается в способе обмена информацией при удаленной работе с клиентом. Не используются меры безопасности данных при осуществлении удаленной работы или подключения к внутренней сети.

3 Разработка мероприятий по повышению уровня ИБ в компании

Для того чтобы обезопасить конфиденциальную информацию компании «ПрофИТ» от внешних и внутренних угроз, необходимо провести следующие мероприятия по защите информации:

• внедрение программно-аппаратного средства защиты информации;

• использование шифрованных протоколов, для более безопасного обмена данными и защиты информации, оставляемой клиентами на сайте;

• использование виртуальных частных сетей, при удаленной работе с конфиденциальной информацией;

• внедрение ЭЦП в компании для подтверждения подлинности пересылаемой документации;

• создание закрытой переговорной комнаты в головном офисе компании для проведения совещаний и личных встреч с клиентами.

3.1 Предлагаемые мероприятия по информационной безопасности

В последнее время все больше организаций сталкивается с несанкционированным доступом и внешними угрозами к своей внутренней информации в корпоративных сетях. В связи с этим необходимо их обезопасить от внешнего и внутреннего воздействия, именно поэтому и организуются мероприятия по информационной безопасности в различных организациях. Ниже изложены предлагаемые мероприятия для обеспечения информационной безопасности в компании «ПрофИТ».

Протокол SFTP.

FTP ("File Transfer Protocol" - протокол передачи файлов) - это довольно распространенный способ передачи файлов между двумя удаленными системами.

SFTP ("SSH File Transfer Protocol" или "Secure File Transfer Protocol") - это отдельный протокол с SSH, он работает таким же образом и вместе с тем использует защищенное соединение. Превосходством данного протокола является то, что он может взаимодействовать по защищенному соединению на обеих файловых системах, локальной и удаленной, для передачи данных.
В большинстве случаев, SFTP более предпочтительней, чем FTP, из-за того, что в SFTP встроена поддержка шифрования. FTP протокол не гарантирует вам безопасности передачи данных и исключение её перехвата, этот протокол следует использовать в той сети, которой вы полностью доверяете.