Разработка политики безопасности

    6. Запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.

    Информационная база на предприятии Монреаль относиться к коммерческой и не относится к государственной. Исходя из этого, они включают в себя:

    1. Если иное не установлено федеральными  законами, оператором информационной  системы является собственник  используемых для обработки содержащейся  в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

    2. Права обладателя информации, содержащейся  в базах данных информационной  системы, подлежат охране независимо от авторских и иных прав на такие базы данных.

    3. Установленные настоящим Федеральным  законом требования к государственным  информационным системам распространяются  на муниципальные информационные  системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении.

    4. Особенности эксплуатации государственных  информационных систем и муниципальных  информационных систем могут  устанавливаться в соответствии  с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающих решения о создании таких информационных систем.

    5. Порядок создания и эксплуатации  информационных систем, не являющихся  государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами. 
 
 
 
 
 
 

   Описание предприятиЯ 

   Туристическая фирма «Монреаль» образовалась как турагенство Екатеринбурга на базе группы компаний «Монреаль» - сильного известного агентства недвижимости Екатеринбурга.

   Еще в далеком 1995 году, когда создавалась первая фирма группы компаний «Монреаль», ставка делалась на профессионализм, на индивидуальность подхода к каждому клиенту. С тех пор многое изменилось, компания завоевала ведущие позиции на рынке недвижимости Екатеринбурга, стала работать сфере зарубежной недвижимости открыла туристическую фирму в Екатеринбурге, был накоплен бесценный опыт, но все так же компания ориентирована на долгосрочное сотрудничество с клиентами, стремится учитывать их потребности, проблемы, пожелдания.

   «Монреаль» как передовое туристическое агентство Екактеринбурга, предлагает все виды туристических поездок жителям, а так же гостям города. Несмотря на то, что турфирма находится в Екатеринбурге, она сотрудничает с ведущими туроператорами, поэтому может отправить вас в любую страну мира как из Екатеринбурга, так и из других городов России, необходимо просто быбрать точку на карте.

   Филиал турагентства в Екатеринбурге занимается всеми видами услуг в сфере туризма, основные из них:

1. работа по абсолютно всем направлениям, включая Россию и Урал, как из Екатеринбурга, так и других городов России;
2. бронирование гостиниц и отелей , размещение в санаториях и на турбазах;
3. индивидуальные программы и массовые направления, такие как Египет, Турция, Гоа, ОАЭ, Таиланд, горнолыжные курорты и экскурсионная программа по Европе;
4. работа с корпоративными клиентами по программе обслуживания.

   Специалисты турфирмы в Екатеринбурге обладают бесценным багажом знаний и могут подать любую страну с еще неизвестной стороны.

   Турфирма «Монреаль» планирует и стремится быть лидером рынка с хорошо проработанной технологией оказания высококачественных услуг с четкой кадровой политикой и системой обучения, с характерной открытостью, оперативностью, помощью в решении любых вопросов в сфере туризма, постоянной работой по внедрению передовых технологий ведения бизнеса.

   Индустрия туризма постоянно развивается, поэтому здесь, как ни в одной другой сфере услуг постоянно существует потребность в новых кадрах. Тем не менее, подбор персонала для турфирм производится тщательно, и все более высокие требования предъявляются к претендентам на ту или иную должность. В турфирме «Монреаль» работает коллектив состоящий из 9 человек по следующим специальностям:

1. директор туристического агентства;
2. менеджер по туризму;
3. бухгалтер;
4. гид/экскурсовод;
5. менеджер по приему иностранных туристов;
6. менеджер по работе с корпоративными клиентами;
7. курьер;
8. системный администратор;
9. охрана;

Перечень защищаемых информационных ресурсов 

    Для отлаженной работы турфирмы, используется программный комплекс «ТурОнлайн» предназначенный для организации взаимодействия туроператора и заказчиков (агентов и клиентов) и может применяться для автоматизации офиса небольшого туроператора, специализируещегося на организации индивидуальных и корпоративных поездок, оформление проездных документов и визовом обслуживании. ПК «ТурОнлайн» обеспечивает организацию хранения информации о заказах агентов и клиентов оператора в удаленной базе данных, с возможностью авторизуемого доступа к ней пользователей (менеджеров оператора и заказчиков) с помощью любого компьютера, подключенного к интернету, и совершения определенных действий с предоставлением уровня доступа.

    Так же используется программный комплекс «Мастер-тур» охватывает все основные аспекты деятельности туристической фирмы – от создания прайс-листа и катологов до реализации турпродукта, от расчета реальной себестоимости до ведения взаиморасчетов с поставщиками, от оперативного учета до управленческого.  Особенность и уникальность в ПК «Мастер-тур» - это гибкость в настройках, которая позволяетработать как многопрофильным туроператорам по разным направлениям, так и операторам работающих с индивидуальными туристами, компании занимающиеся круизами и автобусными турами, небольшие гостиницы и пансионаты.

     В данной фирме установлено 5 компьютеров, на каждом из них установлен пакет  программ "ТурОнлайн", "Мастер-тур", в котором настроен вход в систему каждого зарегистрированного пользователя. Регистрацию пользователя проводит системный администратор, в соответствии с занимаемой должностью он расставляет права пользователя, доступа к каждому ресурсу. В данных пакетах программ используется информация: 

     1) ФИО клиента;

     2) паспортные данные;

     3) данные о здоровье клиента;

     4) бухгалтерский учет;

     5) начисление заработной платы;

     6) расчет стоимости путевок;

     7) информация о путевках;

     8) информация об отелях, гостиницах и пансионатах;

     9) информация о наличии неоплаченных  штрафах. 
 
 
 
 
 

ОПИСАНИЕ  УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ 

    Модель  угроз предназначена для выявления  актуальных угроз информационной безопасности ИС с целью последующей разработки требований, определяющих организационно-режимные и технические мероприятия по защите информации ограниченного распространения, обрабатываемой в типовой ИС, а также передаваемой техническими средствами типовой  ИС по незащищенным каналам передачи данных.

    Источники угроз. Источник угрозы безопасности ИС - это субъект, материальный объект или физическое явление, создающий угрозу безопасности защищаемой информации.

    Источники делятся на субъективные (зависят  от действий персонала и, в основном, устраняются организационными мерами и программно-аппаратными средствами) и объективные (зависят от особенностей построения и технических характеристик оборудования, применяемого в ИС).

К субъективным источникам угроз относятся:

1) внешние субъективные источники угроз - деятельность внешних нарушителей, направленная на совершение НСД к защищаемой информации ИС, в частности, посредством:

1. внесения аппаратных закладок в технические средства, предполагаемые к применению в ИС;
2. удаленного внедрения вредоносного ПО в программные средства ИС;
3. перехвата защищаемой информации в каналах передачи данных, незащищенных от НСД организационно-техническими мерами;
4. подбора аутентифицирующей информации пользователей ИС;

2)  внутренние субъективные источники угроз безопасности информации - действия лиц, имеющих доступ к работе со штатными средствами ИС и (или) допуск в пределы контролируемой зоны.

К объективным  источникам относятся:

1) стихийные источники потенциальных угроз информационной безопасности, которые являются внешними по отношению к ИС и под которыми понимаются прежде всего природные явления (пожары, землетрясения, наводнения и т.п.);

2)    источники, связанные с техническими средствами ИС, которые являются внутренними по отношению к ИС и включают в себя:

1. передачу информации по проводным и волоконно-оптическим каналам передачи данных;
2. дефекты, сбои и отказы технических средств ИС (средств обработки информации и программно-технических средств защиты информации ИС);
3. отказы и сбои программных средств обработки информации.

Виды угроз. Угрозы информационной безопасности ИС можно разделить на следующие виды:

1. атаки;
2. угрозы, не являющиеся атаками.

Атака является целенаправленным действием  нарушителя с использованием технических  и (или) программных средств, с целью  нарушения заданных характеристик безопасности защищаемых ресурсов ИС или с целью создания условий для этого.

Атаки на информационные ресурсы ИС подразделяются на следующие виды:

1. атаки, реализуемые через каналы, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой в ИС (технические каналы утечки информации);
2. атаки, реализуемые за счет несанкционированного доступа к защищаемой информации в ИС с применением программных и программно-аппаратных средств.

Угрозы, не являющиеся атаками, могут быть следующими:

1. угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления);
2. угрозы социально–политического характера (забастовки, саботаж, локальные конфликты и т.д.);
3. угрозы техногенного характера (отключение электропитания, системы заземления, разрушение инженерных сооружений, неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания, заземления, помехи и наводки, приводящие к сбоям в работе аппаратных средств и т.д.);
4. ошибочные или случайные действия и (или) нарушения тех или иных требований лицами, взаимодействующими с ресурсами ИС в рамках своих полномочий (непреднамеренные действия пользователей ИС).

Атаки и угрозы, не являющиеся атаками, способны привести к  совершению НСД к защищаемым ресурсам ИС и нарушению принятых для ИС характеристик безопасности, а именно:

1. нарушению конфиденциальности защищаемой информации;
2. нарушению целостности защищаемой информации и (или) аппаратно-программных средств ИС;
3. нарушению доступности защищаемой информации и (или) аппаратно-программных средств ИС.

В связи  с тем, что модель угроз предназначена  для разработки требований, определяющих организационно-режимные и технические  мероприятия по защите информации в  ИС, а все факторы воздействия, характерные для  угроз, несвязанных с деятельностью человека, также могут быть вызваны действиями нарушителя, угрозы, не связанные с деятельностью человека (стихийные бедствия и природные явления, угрозы техногенного и социально–политического характера), в рамках данной модели не рассматриваются.