"Человек - самое уязвимое место в системе безопасности.."

Положение об использовании программного обеспечения

  1. Термины и сокращения
  2. Порядок использования программного обеспечения
  3. Аудит реализации программного обеспечения

Термины и сокращения

  • Автор — создатель ПО
  • АРМ — автоматизированное место работника
  • Администратор ИС — тех. специалист, который реализует поддержку эксплуатации ПО
  • ИТ — набор процессов и методов, которые реализуют обработку и хранение информации с реализацией компьютерной техники
  • ИС — информационная система, где проходит ИТ
  • Паспорт ПК — документ, где находится список аппаратного и программного обеспечения АРМ
  • Лицензионное соглашение — документ, где указаны права сотрудника на использование ПО
  • ПК — персональный компьютер
  • Пользователь ИС — сотрудник предприятия, который использует информационную систему и другие сервисы для реализации своих служебных обязанностей
  • ПО — программное обеспечение для реализации конкретных задач
    • ПО бесплатное
    • ПО коммерческое
    • ПО прикладное — ПО разработанное в рамках предприятия
  • ПО системное — ОС, антивирус, админ. сервисы и тд
  • ПО специализированное — ПО для управление процессами на предприятии
  • Реестр — документ, которые имеет список ПО разрешимого для использования на предприятии на определенное время (рис.1)

Порядок использования программного обеспечения

Для автоматизации управленческой, производственной и другой деятельности, на предприятии должен быть реестр разрешимого ПО. Для каждого АРМ должно выделяться список ПО для реализации поставленных задач. ПО не входящее в реестр, может быть установлено только с согласованием ИТ отдела и отдела ИБ.

Настройка ПК и список установленного ПО записывается в паспорт ПК (рис.2) и подписывается: администратором ИС, руководителем конкретного отдела, отдела ИТ и ИБ. Такая процедура подтверждает согласие сторон на:

  • комплектацию ПК на аппаратное и программное обеспечение
  • Факт передачи ответственность за использование нелицензионного ПО или изменение настроек АРМ от предприятия конкретному сотруднику

Все схемы по установке, поддержки и удалению ПО на АРМ реализуются при участии администратора ИС. Алгоритм эксплуатации ПО на предприятии складывается из:

  • Определения потребности в ПО
  • Приобретение ПО
  • Установка ПО
  • Поддержка ПО
  • Удаление ПО

Определение потребности в ПО

Запрос на установку ПО может быть по инициативе Руководителя структурного отдела или администратора ИС.

Запрос от руководителя возможен в случаях:

  • Нужда предприятия АРМ для нового сотрудника
  • Нужда в решении сотрудником новых задач с помощью нового ПО
  • Появление обновленного или другого более качественного ПО

В таких случаях есть положение о порядке согласования установки ПО (Рис.3):

  • Руководитель отдела готовит запрос на установку ПО
  • При наличии на предприятии нужного ПО, специалист из ИТ реализует его установку, и за пользователем АРМ закрепляется лицензия
  • При отсутствии на предприятии свободных лицензий на ПО (из реестра), руководитель готовит заявку на покупку ПО (рис.4)
  • Если заявленного ПО нету в списке реестра, то:
    • Руководитель ИТ определяет возможность реализации данного ПО в ИС предприятия
    • Руководитель отдела пишет заявку на покупку ПО
    • Далее вносится правка в реестр на следующий год, с учетом данного ПО

Запрос администратора ИС на установку ПО возможен по причине:

  • устранение дыр в системе информационной безопасности предприятия
  • плановая замена реализуемого ПО на АРМ
  • внедрение новых решений

Приобретение ПО

Покупка ПО реализуется относительно действующим правилам покупок предприятия. Покупка ПО принимается к учету в бухгалтерии, и передается для ввода в жизнь отделу ИТ

Установка ПО

Руководитель отдела ИТ реализует быстрый учет лицензий для нового ПО, создает условия для установки ПО на АРМ (Рис.5). Администратор ИС создает Паспорт ПК, реализует 2 копии Паспорта ПК на бумажном носителе, подписывает его и отдает на подпись: Руководителю отдела, отдела ИТ и пользователю ИС. Одна копия сохраняется в архиве отдела ИТ, а другая остается у руководителя отдела.

При установке ПО, руководитель ИТ отдела реализует справку о сроке использование ПО для бухгалтерии и акт ввода в эксплуатацию (рис.6). Аппаратные ключи, сертификаты передаются пользователю ИС вместе с АРМ.

Поддержка ПО

Поддержка реализуется тех. специалистами: админами или программистами. Поддержка выражается в следующих видах работ:

  • Установка обновлений
  • Настройка совместимости ПО
  • Создание резервных копий ПО и данных пользователя
  • Устранение неисправностей
  • Консультирование пользователей

Любая модификация в списке установленного ПО, должна отображаться в паспорте ПК.

Удаление ПО

ПО удаляется по следующим причинам:

  • конец лицензионного времени ПО
  • замена ПО на другое
  • Прекращение использование ПО из-за отсутствия надобности

Аудит реализации программного обеспечения

Аудит реализации ПО нужен для выявление несоответствий реального состояние АРМ и паспорта ПК. Такой аудит реализуется администратором ИС, назначаемый руководителем ИТ. Также аудио может проводить специальное ПО. При выявлении несоответствий, аудитор может создать служебное расследование. Аудитор должен выявить следы нарушения, и выявить лица которые нарушили политику безопасности. По факту складывается акт расследования инцидента. Плановый аудит реализуется раз в 6 месяцев.

Сотрудники, которые нарушили политику безопасности, несут ответственность относительно локальных нормативных актов предприятия или законодательством страны.Реестр разрешенного к использованию программного обеспечения

Рисунок — 1 — Реестр разрешенного к использованию программного обеспечения

Паспорт персонального компьютера

Рисунок — 2 — Паспорт персонального компьютера

Заявка на установку удаление программного обеспечения АРМ

Рисунок — 3 — Заявка на установку удаление программного обеспечения АРМ

Заявка на приобретение программного обеспечения

Рисунок — 4 — Заявка на приобретение программного обеспечения

Журнал регистрации текущих дополнений к реестру разрешенного к использованию программного обеспечения

Рисунок — 5 — Журнал регистрации текущих дополнений к реестру разрешенного к использованию программного обеспечения

Акт ввода в эксплуатацию программного обеспечения

Рисунок — 6 — Акт ввода в эксплуатацию программного обеспечения