Организационная структура ООО "Информбезопасность" и анализ информационных ресурсов

Получение и обработка персональных данных. Анализ программного обеспечения и информационных потоков. Модель угроз информационной безопасности. Основные плюсы и минусы от внедрения системы защиты, содержащих персональные данные сотрудников организации.

Рубрика Менеджмент и трудовые отношения
Вид курсовая работа
Язык русский
Дата добавления 23.04.2015
Размер файла 382,0 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

ООО «Информбезопасность» занимается вопросами защиты информации. Разрабатывает проекты для малых фирм и больших организаций. Организация работает с государственными учреждениями, юридическими и физическими лицами. ООО «Информбезопасность» имеет лицензии ФСБ на работу со специализированным программным обеспечением, сотрудники сертифицированные специалисты в области информационной безопасности. Организационная структура ООО «Информбезопасность» сформированная с целью обеспечения достижения целей Общества, построена по функциональному признаку. Руководителем организации является бывший преподаватель ОГИМа с кафедры Информационной безопасности.

Данная тема всегда является актуальной т.к. все предприятия содержат персональные данные сотрудников. Правильная организация конфиденциального делопроизводства в фирме является составной частью комплексного обеспечения безопасности информации и имеет важное значение в достижении цели ее защиты. Как известно, специалисты, занимающиеся в области информационной безопасности утверждают, что порядка 80% конфиденциальной информации находится в документах делопроизводства. Поэтому вопросы конфиденциального документооборота в фирме несомненно играют важную роль в достижении ею экономических успехов. На сегодняшний день одной из важнейших проблем, стоящих как в государственных, так и в негосударственных структурах, является проблема построения защищенного документооборота. Под защищенным документооборотом понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности как носителя информации, так и самой информации. Проблема защиты информационных ресурсов организации гораздо более сложная и многоплановая чем может показаться на первый взгляд, и для её успешного решения необходимо использовать не только силы и средства, имеющиеся в распоряжении службы информационных технологий, но и возможности и опыт, накопленный другими службами организации. С моей точки зрения на каждом предприятии должны защищаться все информационные ресурсы организации, в этой работе должны участвовать все сотрудники организации, и для достижения требуемого уровня безопасности должны активно применяться кадровая политика, разнообразные организационные меры, обучение и переподготовка персонала и т.п. Сейчас в организациях вопросами управления и защиты информации занимается целый ряд служб. Служба информационных технологий традиционно обеспечивает работоспособность, защиту электронных систем от несанкционированного доступа, в то время как служба Документационного обеспечения управления - работает в основном с бумажными документами. Правда, в последние 10 лет, большинство крупных предприятий в г. Оренбурге пытаются перейти на безбумажный документооборот, что получается пока далеко не у всех предприятий. Кроме того, есть ещё юридический отдел, отдел информационной безопасности. Различная подчинённость и статус этих служб, незнакомство с методами работы друг друга, отсутствие единой терминологии становятся серьёзной помехой в решении поставленных перед ними задач.

Целью курсовой работы является анализ и разработка системы защиты документов содержащих персональные данные сотрудников организации ООО «Информбезопасность». Объектом исследования является организация защищенного документооборота на предприятии. Предмет исследования это проектирование системы защиты документов содержащих персональные данные сотрудников организации ООО.

Информационной базой исследования были данные предприятия, нормативно правовые акты, нормативно справочные материалы и информационные ресурсы Интернет.

1. АНАЛИЗ НОРМАТИВНО ПРАВОВОЙ БАЗЫ ПО ДАННОМУ ВОПРОСУ

1.1 Понятие персональных данных

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Согласно ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В Трудовом кодексе РФ не уточняется, какая именно информация о работнике требуется работодателю. Исходя из этого можно сделать вывод, что работодатель имеет право затребовать от работника только ту информацию, которая характеризует последнего именно как сторону трудового договора, а не как личность. Следовательно, работодатель не может требовать от работника предоставления персональных сведений, которые не связаны с осуществлением его трудовой деятельности в конкретной организации.

Однако, исходя из определения персональных данных, которое приведено в Законе о персональных данных, можно сделать вывод, что персональные данные - это любая информация, которая позволяет идентифицировать конкретного человека.

Таким образом, для определения состава персональных данных, необходимых работодателю в рамках трудовых отношений, рекомендуется руководствоваться формулировкой, приведенной в Трудовом кодексе РФ.

Персональные данные могут содержать следующую информацию:

· фамилия, имя, отчество;

· пол, возраст;

· физиологические особенности человека;

· образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

· состояние здоровья и сексуальная ориентация;

· принадлежность лица к конкретной нации, этнической группе, расе;

· место жительства;

· привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);

· семейное положение, наличие детей, родственные связи;

· факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

· религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в т.ч. в профсоюзе, и др.);

· финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);

· деловые и иные личные качества, которые носят оценочный характер;

· прочие сведения, которые могут идентифицировать человека.

Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.

В процессе трудовой деятельности работника работодатель копит и хранит документы, содержащие персональные данные работника. Исходя из определения персональных данных, которое дано в ст. 85 ТК РФ и в ст. 3 Закона о персональных данных, такие сведения могут содержаться в следующих документах:

· анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу. В этих документах содержатся анкетные и биографические данные работника;

· копия документа, удостоверяющего личность работника. Здесь указываются фамилия, имя, отчество, дата рождения, адрес регистрации, семейное положение, состав семьи работника, а также реквизиты этого документа;

· личная карточка Т-2. В ней указываются фамилия, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и пр.;

· трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;

· копии свидетельств о заключении брака, рождении детей. Такие документы содержат сведения о составе семьи, которые могут понадобиться работодателю для предоставления работнику определенных льгот, предусмотренных трудовым и налоговым законодательством;

· документы воинского учета. Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;

· справка о доходах с предыдущего места работы. Нужна работодателю для предоставления работнику определенных льгот и компенсаций в соответствии с налоговым законодательством;

· документы об образовании. Подтверждают квалификацию работника, обосновывают занятие определенной должности;

· документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;

· трудовой договор. В нем содержатся сведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника;

· подлинники и копии приказов по личному составу. В них содержится информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника;

· при необходимости - иные документы, содержащие персональные данные работников.

Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.

1.2 Получение и обработка персональных данных

В соответствии с п. 3 ст. 86 ТК РФ все персональные данные работника следует получать у него лично. Если такие данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению данных и последствиях отказа работника дать письменное согласие на их получение.

Данная норма исключает сбор сведений о работнике без его ведома. В соответствии с п. 1 ст. 9 Закона о персональных данных субъект персональных данных принимает решение о предоставлении своих данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Указанный Закон также возлагает на работодателя обязанность представить доказательство получения согласия на обработку персональных данных, а в случае обработки общедоступных данных - обязанность доказать, что эти данные являлись общедоступными (п. 3 ст. 9 Закона о персональных данных). Однако следует учитывать, что в силу п. 5 ч. 1 ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поскольку работник является стороной трудового договора, то письменное согласие на получение его персональных данных не нужно.

Согласно п. 3 ст. 86 ТК РФ если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере таких данных и последствиях отказа работника дать письменное согласие на их получение. При отказе работника от ознакомления с уведомлением о предполагаемом получении его персональных данных у иного лица составляется акт, который должен быть подписан лицами, предъявившими работнику соответствующее уведомление.

В уведомлении необходимо указать цели получения персональных данных работника у иного лица, предполагаемые источники информации (лица, у которых будут запрашиваться данные), способы получения данных, их характер, а также те последствия, которые наступят, если работник откажет работодателю в получении персональных данных у иного лица.

Целями получения персональных данных работника у третьего лица в соответствии с п. 1 ст. 86 ТК РФ являются исключительно соблюдение законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества. Следовательно, запрашивать иную информацию, не имеющую отношения к вышеназванным целям, от третьих лиц работодатель не вправе даже с согласия работника.

В соответствии со ст. 3 Закона о персональных данных обработка персональных данных - это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Согласно ст. 5 Закона о персональных данных при обработке персональных данных должны соблюдаться следующие принципы:

· обработка должна осуществляться на законной и справедливой основе;

· обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных;

· не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

· обработке подлежат только те персональные данные, которые отвечают целям обработки;

· содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки;

· при обработке должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

· форма хранения персональных данных должна позволять определять субъекта этих данных. Хранение не должно длиться дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Следует также учитывать положения ст. 86 ТК РФ, в соответствии с которой обработка персональных данных работника может осуществляться исключительно в целях соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения их личной безопасности, контроля количества и качества выполняемой работы и сохранности имущества.

1.3 Хранение и использование персональных данных

Согласно п. 7 ст. 86 ТК РФ защиту персональных данных работника от неправомерного их использования или утраты работодатель должен обеспечивать за счет своих средств. В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Из данных норм следует, что работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под роспись.

Пунктом 10 ст. 86 ТК РФ предусмотрено, что работодатели и их представители должны совместно вырабатывать меры защиты персональных данных работников. Подробнее об этом см. п. 4 настоящего материала.

Поскольку на работодателя возложена обязанность соблюдать режим конфиденциальности персональных данных, то целесообразно вести журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам.

В журнале учета внутреннего доступа к персональным данным (доступа работников организации к персональным данным других работников) следует указывать такие сведения, как дата выдачи и возврата документов (личных дел), срок пользования, цели выдачи, наименование выдаваемых документов (личных дел). Лицо, которое возвращает документ (дело), должно обязательно присутствовать при проверке наличия всех имеющихся документов по описи, если выданные документы составлены более чем на одном листе.

Лицо, которое получает личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Помимо этого, также следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Система учета персональных данных также может предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи необходимо ведение журнала проверок наличия документов, содержащих персональные данные работника.

Исходя из требований п. 7 ст. 86 и ст. 87 ТК РФ на работодателя возложена обязанность по защите персональных данных работников. Защита персональных данных включает в себя установление особого режима доступа в те помещения, где хранятся такие данные, направленного на защиту последних от несанкционированных доступа, изменений или распространения.

Действующим законодательством не предусмотрено конкретных требований к оборудованию помещения, где должны храниться персональные данные. Однако исходя из требований Трудового кодекса РФ во избежание несанкционированного доступа к персональным данным работников следует оборудовать помещение, где хранятся такие данные, запирающимися шкафами для хранения информации на бумажных носителях. Работодатель должен установить в локальном нормативном акте требования к помещению, где хранятся персональные данные работников, и условия их хранения. Следует также учитывать, что персональные данные работника хранятся в документированной форме, характер которой определяется работодателем.

Перечень документов по учету труда и его оплаты установлен Постановлением Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты". Работодатель должен обеспечивать сохранность такой документации в соответствии со сроками ее хранения (см. Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденного Приказом Минкультуры РФ от 25.08.2010 N 558).

Защита персональных данных представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивающий безопасность информации в процессе управленческой и производственной деятельности компании.

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

· установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;

· установить особый порядок выдачи пропусков и удостоверений работников;

· использовать технические средства охраны;

· использовать программно-технический комплекс защиты информации на электронных носителях и пр.

Для обеспечения внутренней защиты персональных данных работников работодатель должен предпринять следующее:

· граничить и регламентировать состав работников, функциональные обязанности которых требуют доступа к персональным данным других работников;

· избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными;

· рационально размещать рабочие места для исключения бесконтрольного использования защищаемой информации;

· регулярно проверять знание работниками, имеющими отношение к работе с персональными данными, требований нормативно-методических документов по защите таких данных;

· создавать необходимые условия для работы с документами и базами данных, содержащими персональные данные работников;

· определять состав работников, имеющих право доступа (входа) в помещения, в которых хранятся персональные данные;

· организовать порядок уничтожения информации;

· своевременно выявлять и устранять нарушения установленных требований по защите персональных данных работников;

· проводить профилактическую работу с должностными лицами, имеющими доступ к персональным данным работников, по предупреждению разглашения таких сведений.

2. АНАЛИЗ ООО «ИНФОРМБЕЗОПАСНОСТЬ»

2.1 Организационная структура ООО «Информбезопасность» и анализ информационных ресурсов

ООО "Информбезопасность" занимается вопросами защиты информации. Разрабатывает проекты для малых фирм и больших организаций. Организация работает с государственными учреждениями, юридическими и физическими лицами. ООО " Информбезопасность " имеет лицензии ФСБ на работу со специализированным программным обеспечением, сотрудники сертифицированные специалисты в области информационной безопасности. Решения по защите разрабатываются на основе применения продуктов компании Infotecs.

Организационная структура ООО "Информбезопасность" сформированная с целью обеспечения достижения целей Общества, построена по функциональному признаку. Предприятие осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации и Уставом предприятия.

Руководителем является генеральный директор. В подчинении у управляющего директора находится его заместитель. Заместитель управляющего директора, контролирует работу управлений, которым подчинены различные отделы: ОТЗИ, ОКЗИ, бухгалтерия, отдел кадров. Каждый отдел подчиняется начальнику отдела и действует строго в соответствии с иерархией организации(см. Прил. А).

Основная задача отдела технической защиты информации является обеспечение безопасности предприятия с помощью технических средств защиты. А именно:

· определение границ контролируемой зоны с учётом возможностей технических средств;

· определение номенклатуры технических средств, используемых для передачи, приёма и обработки конфиденциальной информации в пределах охраняемой зоны;

· обследование защищённых помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации в пределах охраняемой зоны;

· выявление и оценки степени опасности технических каналов утечки информации и т.д.;

Основные задачи отдела криптографической защиты информации:

· защита информационной системы от целенаправленных атак со стороны злоумышленника с помощью криптографических средств;

· настройка криптографических средств защиты информации;

· обеспечение целостности и конфиденциальности данных;

В организации ООО "Информбезопасность" информационная система представлена технологией виртуальной частной сети или VPN. VPN -- обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений, передаваемых по логической сети сообщений).

Информационная система состоит из(см. Прил. Б):

· автоматизированных рабочих мест с установленными на них ПО VipNet Client;

· администратора сети;

· маршрутизатора;

· глобальной сети интернет;

· иных клиентов сети ViPNet;

По степени распределенности ИС является локальной , в которой все компоненты (БД, клиентские приложения) находятся на каждом компьютере. По характеру обработки данных ИС является справочной. По охвату задач (масштабности) относится к групповой.

Таблица1.1- Анализ информационных ресурсов

Наименование документа

Срок хранения

Вид носителя документа

Место хранения

Вид конфиденциальной информации

Место обработки

1

2

3

4

5

6

2.2 Анализ программного обеспечения и информационных потоков

Формирование структуры информационной системы современного предприятия необходимо начинать с качественного анализа информационного поля предприятия, которое можно подразделить на внутреннее и внешнее. Внутреннее информационное поле объединяет следующую информацию:

· первичные документы;

· данные внутреннего документооборота (бумажного и электронного), включая приказы и распоряжения руководителя и менеджеров всех звеньев;

· данные бухгалтерского учета и другой обязательной отчетности за текущий и прошлые периоды;

· результаты анализа финансово-хозяйственной деятельности; другие данные.

Качество внутреннего информационного поля предприятия зависит от четкости организационной структуры управления, рациональности распределения функциональных обязанностей, надежности учета, достаточной эффективности схемы документооборота. Внутреннее информационное поле формируется за счет собственных источников информации, которые можно проверить на полноту и достоверность.

Количество разновидностей внешней информации и ее источников весьма значительно, основными являются следующие виды:

· нормативные акты федерального, регионального, местного уровня;

· отраслевые нормативно-справочные документы;

· данные о состоянии отрасли, основных рынков сбыта и сырья;

· данные о состоянии мировой экономики;

· реклама и информация партнеров и конкурентов;

· информация от клиентов;

· выводы консультантов и экспертов, результаты аудиторских проверок.

Рисунок 1.1- Основные информационные потоки предприятия

Можно выделить два основных информационных потока на предприятии. Информационный поток, обслуживающий движение материального потока. Материальный поток двигается от первичного источника (например, поставщика сырья) через цепь производственных, транспортных и посреднических звеньев к конечному потребителю. На каждом этапе своего движения материальный поток сопровождается определенными первичными документами, которые фиксируют хозяйственные операции, и содержат информацию о состоянии материального потока. Например, приход сырья и материалов на предприятие сопровождается обменом документами между предприятием и поставщиком: договорами, счетами, счет-фактурами, накладными, доверенностями, актами и т.д.

Второй основной информационный поток это информационный поток, обслуживающий процесс управления. Этот поток обслуживает основные функции управления предприятием: прогнозирование, планирование, организацию, регулирование, координацию, контроль, принятие решений и т.д. Для этого он выдает информацию о движении материального потока, но не в виде первичных документов, а в виде полученных на их основе сводных (агрегированных) показателей хозяйственной деятельности предприятия. Предоставление таких данных в информационную систему - это основная функция бухгалтерского (финансового и управленческого) учета, а также блока экономического анализа.

Весь комплекс программного обеспечения предприятия разделяется на две основные группы:

· системное ПО;

· прикладное ПО.

К системному программному обеспечению предприятия относится операционная система Microsoft Windows 7.

К прикладному ПО относится:

· ViPNet Client;

· ESET NOD 32;

· Secret Net;

· ViPNet Administrator;

· Microsoft Office 2008

· 1С: Зарплата управление персоналом.

Таблица1.2- Анализ программного обеспечения

Наименование ПО

Функции

Место установки

Microsoft Windows 7

ОС

все АРМ

1С: Зарплата управление персоналом

ИС кадрового учета и расчета заработной платы

компьютер директора и бухгалтера

ESET NOD 32

антивирус

все АРМ

Secret Net

аутентификация

все АРМ

Microsoft Office 2008

пакет офисных программ

все АРМ

ViPNet Administrator

администрирование VPN

все АРМ, кроме компьютера директора и бухгалтера

TeamSpeak 3 Client

видео связь

все АРМ, кроме компьютера директора и бухгалтера

Важное значение имеет прикладное ПО 1С: Зарплата управление персоналом т.к. именно в этой программе обрабатываются иные категории ПДн.

2.3 Модель угроз информационной безопасности

Модель угроз - специальный нормативный документ, содержащий описательное представление свойств или характеристик угроз безопасности информации. Для начала определим исходную степень защищенности информационной системы ПДн.

Таблица1.3- Показатели исходной защищенности ИС

Технические и эксплуатационные характеристики ИС

Уровень защищенности

По территориальному размещению

Средний

По наличию соединения с сетями общего пользования

Низкий

По встроенным (легальным) операциям с записями баз персональных данных

Средний

По разграничению доступа к персональным данным

Средний

По наличию соединений с другими базами иных ИС

Высокий

По уровню обобщения (обезличивания) ПДн

Низкий

По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

Средний

На основании показателей исходной защищенности ИС(см. Табл. 1.3) ИСПДн имеет средний уровень исходной защищенности(Y1 = 5).

Далее построим модель нарушителя. Нарушителем является субъект доступа, осуществляющий доступ к информации с нарушением правил разграничения доступа, а также лицо, осуществляющее перехват информации по техническим каналам утечки. Нарушитель рассматривается как один из источников угроз НСД в ИС и утечки информации по техническим каналам. Описание потенциальных нарушителей ИС необходимо для формирования перечня источников угроз и является неотъемлемой частью процесса составления полного перечня потенциально реализуемых угроз в рассматриваемой ИС.

В соответствии с рекомендациями, изложенными в Базовой модели ФСТЭК России, а также в Методических рекомендациях ФСБ России, к потенциальным нарушителям безопасности, могут быть отнесены следующие группы нарушителей:

· разведывательные службы государств;

· криминальные структуры;

· конкуренты;

· внешние субъекты (физические лица);

· сотрудники организации;

· сотрудники сторонних организаций, которым предоставляется доступ в контролируемую зону в соответствии с договорными обязательствами (например, программисты-разработчики или поставщики услуг и технических средств, обеспечивающие сопровождение систем) (сотрудники недобросовестных партнеров);

· операторы связи, предоставляющие в аренду каналы связи.

Нарушители первых двух групп не имеют мотивации осуществления деятельности, связанной с нарушением характеристик безопасности информации на данном предприятии.

Таблица1.4- Модель нарушителя

Нарушитель

Цель

Средства

1

2

3

1. Уволенные сотрудники

Месть, личная выгода

Доступные в свободной продаже технические средства и программное обеспечение

2. Профессиональные хакеры

Личная выгода, саботаж

Доступные в свободной продаже технические средства и программное обеспечение, специально разработанные технические средства и программное обеспечение

3. Конкуренты

Подрыв авторитета фирмы

Доступные в свободной

продаже технические средства и программное обеспечение, специально разработанные технические средства и программное обеспечение

4. Субъекты, которым предоставлен доступ в КЗ в силу служебных обязанностей (электрики, сантехники и др.)

Личная выгода

Доступные в свободной продаже технические средства и программное обеспечение, штатные средства

5. Зарегистрированные пользователи ИС.

Личная выгода, неудовлетворенное тщеславие

Штатные средства

6. Операторы связи, предоставляющие в аренду каналы связи

Личная выгода

Доступные в свободной продаже технические средства и программное обеспечение

Для составления перечня актуальных угроз производится дифференциация угроз в соответствии с объектами среды, в которой обрабатывается информация, после чего для каждой из выделенных угроз выполняется следующая последовательность действий :

· определяется вероятность реализации угрозы;

· определяется коэффициент реализуемости угрозы и его вербальная интерпретация;

· оценивается опасность каждой угрозы;

· определяется актуальность угрозы.

Актуальные угрозы безопасности персональных данных - это совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Далее представлены результаты оценки актуальности угроз безопасности информации(см. Табл. 1.5).

Таблица1.5- Модель угроз

Название угрозы

Источник угрозы

Y2

Вербальная интерпретация коэффициента реализуемости угрозы

Показатель опасности угрозы

Актуальность угрозы

1

2

3

4

5

6

7

1

Перехват информации, передаваемых по каналам связи

1, 2, 3

10

Очень высокая

Средняя опасность

Актуальная

2

Перехват парольной информации, передаваемой по каналам связи. При необходимости их последующая расшифровка. Парольная информация используется непосредственно для доступа к сетевым сервисам или для реализации replay-атак

2, 3

0

Средняя

Средняя опасность

Актуальная

3

Загрузка ОС с внешнего носителя информации. Получение доступа к файловой системе, включая файлы БД, содержащие информацию

4, 5

5

Высокая

Средняя опасность

Актуальная

4

Загрузка ОС с внешнего носителя информации. Получение доступа к файловой системе, включая файлы системы безопасности. Расшифровка хешей паролей и использование паролей для доступа к ИС

4, 5

5

Высокая

Средняя опасность

Актуальная

5

Кража съемных носителей информации, содержащих информацию

4, 5, 1

2

Средняя

Высокая опасность

Актуальная

6

Запись информации, содержащей информацию, на внешние носители информации нарушителем

1, 4, 5

5

Высокая

Высокая опасность

Актуальная

7

Съем информации, содержащих информацию, при подключении накопителя к АРМ, управляемому потенциальным нарушителем

4, 5

2

Средняя

Высокая опасность

Актуальная

8

Получение доступа к ИС в обход правил разграничения доступа по логическим именам терминалов, технических средств, узлов сети, каналов связи

1, 2

10

Высокая

Высокая опасность

Актуальная

9

Получение доступа к интерфейсам ИС в обход правил фильтрации сетевых пакетов

2, 6

10

Очень высокая

Высокая опасность

Актуальная

10

Получение доступа к интерфейсам ИС в обход механизма аутентификации доступа к сети

2, 3, 4

10

Очень высокая

Высокая опасность

Актуальная

11

Получение доступа к интерфейсам ИС путем компрометации учетной записи с привилегиями администратора МЭ. Аутентификация на МЭ под учетной записью администратора и внесение модификаций

2, 3, 4

10

Очень высокая

Высокая опасность

Актуальная

12

Получение доступа к интерфейсам ИС из-за сбоев и отказов МЭ

2, 3

2

Средняя

Высокая опасность

Актуальная

13

Подбор паролей к средствам удаленного управления (и другим сетевым сервисам). Эксплуатация уязвимостей, позволяющих повысить привилегии в системе

2

5

Высокая

Высокая опасность

Актуальная

14

Подбор паролей к учетной записи ОС при прямом доступе к ПК

4, 5

2

Средняя

Высокая опасность

Актуальная

15

Получение несанкционированного доступа к томам, каталогам, файлам БД

2, 4, 5

2

Средняя

Высокая опасность

Актуальная

16

Получение несанкционированного доступа к информации путем доступа к неочищенным освобождаемым областям оперативной памяти

1, 4

2

Средняя

Средняя опасность

Актуальная

17

Внедрение вредоносных программ при наличии физического доступа к системе. Использование вредоносных модулей для перехвата передаваемой информации, перехвата паролей, организации удаленного доступа к системе

2, 4, 5, 6

2

Средняя

Высокая опасность

Актуальная

18

Внесение изменений в логику работы ПО путем подмены библиотек и / или патчинга приложения и / или изменения конфигурационных файлов приложения

2, 6

5

Высокая

Высокая опасность

Актуальная

19

Получение доступа к содержимому БД в обход существующих правил разграничения доступа путем эксплуатации уязвимостей СУБД

2, 3, 4

5

Высокая

Высокая опасность

Актуальная

20

Получение доступа к содержимому БД в обход существующих правил разграничения доступа путем эксплуатации уязвимостей прикладного ПО

2, 3

2

Средняя

Высокая опасность

Актуальная

21

Получение несанкционированного доступа к содержимому отдельных записей и полей записей БД, содержащей информацию

2, 4

5

Высокая

Средняя опасность

Актуальная

22

Вывод информации, содержащей информацию, путем распечатывания экранных форм

4

5

Высокая

Средняя опасность

Актуальная

23

Получение доступа к ИС ввиду некорректной настройки средств защиты на отдельных программных и программно-аппаратных средствах в составе ИС

2, 3, 4, 5, 6

2

Средняя

Высокая опасность

Актуальная

24

Использование уязвимостей системного ПО

2, 3, 4

5

Высокая

Средняя опасность

Актуальная

3. ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОТРУДНИКОВ ОРГАНИЗАЦИИ ООО «ИНФОРМБЕЗОПАСНОСТЬ»

3.1 Внедрение программно-технических мероприятий

В ходе анализа мероприятий по защите информации на предприятии ООО «Информбезопасность»(см. Табл. 2.1) выделены следующие не реализованные меры.

Таблица2.1- Анализ мероприятий по защите информации

№ и название угрозы

Мероприятия по нейтрализации угрозы

Выполнение

1

2

3

1 Перехват информации, передаваемых по каналам связи

СКЗИ для защиты информации, передаваемых по каналам связи, выходящим за пределы КЗ

Выполнено

2 Перехват парольной информации, передаваемой по каналам связи. При необходимости их последующая расшифровка. Парольная информация используется непосредственно для доступа к сетевым сервисам или для реализации replay-атак

СЗИ от НСД, обеспечивающие идентификацию и проверку подлинности пользователя при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов, или применение смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей,

Выполнено

3 Получение доступа к файловой системе

Настройка BIOS

Не выполнено

4 Загрузка ОС с внешнего носителя

СЗИ от НСД

Выполнено

5 Кража съемных носителей информации, информацию

СЗИ от НСД, обеспечивающие контроль использования внешних

Частично выполнено

накопителей или СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей или СКЗИ для защиты информацию, хранимых на внешних накопителях.

6 Запись информации, содержащей информацию, на внешние носители информации нарушителем

СЗИ от НСД, обеспечивающие идентификацию внешних устройств по логическим именам или СЗИ от НСД, обеспечивающие контроль использования внешних накопителей

Не выполнено

7 Съем информации, содержащих информацию, при подключении накопителя к АРМ, управляемому потенциальным нарушителем

СЗИ от НСД, обеспечивающие контроль использования внешних накопителей или СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей или СКЗИ для защиты информации, хранимых на внешних накопителях

Частично выполнено

8 Получение доступа к ИС в обход правил разграничения доступа по логическим именам терминалов, технических средств, узлов сети, каналов связи

СЗИ от НСД, обеспечивающие идентификацию терминалов, технических средств, узлов сети, каналов связи, внешних устройств по логическим именам и целостность программных средств системы защиты информации, а также неизменность программной среды

Выполнено

9 Доступ к ИС в обход правил фильтрации трафика

Установка средства межсетевого экранирования

Не выполнено

10 Получение доступа к интерфейсам ИС

Установка средства межсетевого экранирования

Не выполнено

11 Аутентификация в ИС под записью администратора

Установка средства межсетевого экранирования

Не выполнено

12 Получение доступа к ИС

Организационный контроль

Не выполнено

13 Эксплуатация уязвимостей позволяющих повысить привилегии

Использование генератора паролей

Выполнено

14 Подбор паролей к учетной записи ОС при прямом доступе к ПК

Использование генератора паролей

Выполнено

15 Получение несанкционированного доступа к томам, каталогам, файлам БД

СЗИ от НСД, обеспечивающие идентификацию программ, томов, каталогов, файлов по именам и контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа и регистрацию попыток доступа программных средств к дополнительным защищаемым объектам доступа

Выполнено

18 Получение НСД к информации путем доступа к неочищенным освобождаемым областям оперативной памяти

СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти

Не выполнено

17 Внедрение вредоносных программ

Средства антивирусной защиты

Выполнено

18 Внесение изменений в логику работы ПО путем подмены библиотек и / или патчинга приложения и / или изменения конфигурационных файлов приложения

СЗИ от НСД, обеспечивающие регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам (в параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла) и целостность программных средств системы защиты информации

Выполнено

19 Получение доступа к БД путем эксплуатации уязвимостей в СУБД

Средства (системы) анализа защищенности или средства (системы) обнаружения вторжений

Выполнено

20 Получение доступа к БД путем эксплуатации уязвимостей прикладного ПО

Средства (системы) анализа защищенности или средства (системы) обнаружения вторжений) и СЗИ от НСД

Выполнено

21 Получение несанкционированного доступа к содержимому отдельных записей и полей записей БД, содержащей информацию

СЗИ от НСД, обеспечивающие идентификацию записей, полей записей по именам и контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа и регистрацию попыток доступа программных средств к дополнительным защищаемым объектам доступа

Выполнено

22 Вывод информации, содержащей информацию, путем распечатывания экранных форм

СЗИ от НСД, обеспечивающие регистрацию выдачи печатных (графических) документов на бумажный носитель (в параметрах регистрации указываются дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ

Выполнено

23 Получение доступа к ИС ввиду некорректной настройки средств защиты на отдельных программных и программно-аппаратных средствах в составе ИС

Средства централизованного управления системой защиты системой защиты информации

Выполнено

24 Использование уязвимостей системного ПО

Регулярная установка обновлений системного ПО

Выполнено

На основании этого можно выделить следующие мероприятия, которые необходимо реализовать:

· установка пароля при запуске BIOS и параметры загрузки ОС только с жесткого диска;

· СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей;

· установку средства межсетевого экранирования;

3.2 Расчет затрат на внедрение системы защиты

Для расчета затрат на внедрение системы защиты конфиденциальной информации на организации рассмотрим возможные варианты решения поставленных задач(см. Табл. 2.2). Для этого рассмотрим ценовые показатели мероприятия по защите информации и определим минусы.

Таблица2.2- Анализ альтернативных мероприятий по ЗИ

Мероприятие

Функции

Цена, руб

Минусы

1

2

3

4

Установка пароля при запуске BIOS и параметры загрузки ОС только с жесткого диска

Ограничения доступа к параметрам BIOS

Бесплатно

Не выявлено

Установка ПО Acronis Drive Cleanser 6.0

СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей

700

Высокая цена

Установка ПО File Shredder 2000 v 3.4

СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних дисков

Бесплатно

Отсутствие функции очистки реестра

Установка ПО CCleaner

СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей

Бесплатно

Не выявлено

Установка ПО BCWipe 3.0

СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей

1000

Отсутствие очистки приложений

Установка ПО Ultracl

СЗИ от НСД, обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей

Бесплатно

Сбои в работе

ССПТ-2-81

Средство межсетевого экранирования

120900

Высокая стоимость

ССПТ-2-06

Средство межсетевого экранирования

105000

Высокая стоимость

ССПТ-2-69

Средство межсетевого экранирования

93000

Высокая стоимость

SUSE-2-213

Средство межсетевого экранирования

30000

Не выявлено

SUSE-2-414

Средство межсетевого экранирования

40000

Отсутствие регистрации запуска программ и процессов (заданий, задач)

персональный данные защита информационный

Настройка параметров доступа BIOS производится вручную администратором сети. Из всего перечня программ обеспечивающие очистку (обнуление, обезличивание) освобождаемых областей памяти внешних накопителей наиболее оптимальным решением является CCleaner т.к. она бесплатная и не уступает по функциональности другим приложениям. Для выбора наилучшего средства межсетевого экранирования определим необходимые функции, которые должны выполнятся:

· фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

· фильтрацию с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

· функции прокси-сервера;

· идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

· регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

· регистрацию запуска программ и процессов (заданий, задач); контроль целостности своей программной и информационной части.

Наилучшим средством межсетевого экранирования выполняющим заявленные функции и обладающей минимальной ценой является модель SUSE-2-213. Цена модели и установки МЭ равна 30000 рублей.

3.3 Плюсы и минусы от внедрения системы защиты, содержащих персональные данные сотрудников организации

Поскольку на предприятии организационные меры защиты информации выполняются в полной мере, то внедрение разработанных мероприятий позволит почти полностью исключить утечку конфиденциальной информации по каналам связи ИС, а так же угрозу НСД. Установка пароля при запуске BIOS и параметры загрузки ОС только с жесткого диска позволит исключить угрозу загрузка ОС с внешнего носителя информации. Установленный межсетевой экран должен выполняет функции:

· анализировать, контролировать и регулировать трафик (функция фильтрации);

· играть роль логического посредника между внутренними клиентами и внешними серверами (функция прокси-сервера);

· фиксировать все события, связанные с безопасностью (функция аудита).

· антивирусной защиты;

· шифрование трафика;

· фильтрации сообщений по содержимому, включая типы передаваемых файлов, имена DNS и ключевые слова;

· предупреждение и обнаружение вторжений и сетевых атак;

· функции VPN;

· трансляция сетевых адресов.

МЭ не решает все проблемы безопасности корпоративной сети. Кроме описанных выше достоинств МЭ, существуют ограничения в их использовании и угрозы безопасности, от которых МЭ не могут защитить. Отметим наиболее существенные из этих ограничений:

· возможное ограничение пропускной способности - традиционные МЭ являются потенциально узким местом сети, так как все соединения должны проходить через МЭ и в некоторых случаях изучаться МЭ;

· отсутствие встроенных механизмов защиты от вирусов - традиционные МЭ не могут защитить от пользователей, загружающих зараженные вирусами программы для ПЭВМ из интернетовских архивов или при передаче таких программ в качестве приложений к письму, поскольку эти программы могут быть зашифрованы или сжаты большим числом способов;

· отсутствие эффективной защиты от получаемого из Internet опасного содержимого (апплеты Java, управляющие элементы ActiveX, сценарии JavaScript и т. п.). Специфика мобильного кода такова, что он может быть использован как средство для проведения атак. Мобильный код может быть реализован в виде:

· вируса, который вторгается в ИС и уничтожает данные на локальных дисках, постоянно модифицируя свой код и затрудняя тем самым свое обнаружение и удаление;

· агента, перехватывающего пароли, номера кредитных карт и т. п.;

· программы, копирующей конфиденциальные файлы, содержащие деловую и финансовую информацию и пр.;

· МЭ не может защитить от ошибок и некомпетентности администраторов и пользователей;

· традиционные МЭ являются по существу средствами, только блокирующими атаки. В большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. Более эффективным было бы не только блокирование, но и упреждение атак, т. е. устранение предпосылок реализации вторжений. Для организации упреждения атак необходимо использовать средства обнаружения атак и поиска уязвимостей, которые будут своевременно обнаруживать, и рекомендовать меры по устранению “слабых мест” в системе защиты.

Для защиты информационных ресурсов распределенных корпоративных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства МЭ и компенсировать их недостатки с помощью других средств безопасности. Так же очень важно поддерживать высокий уровень организационной защиты конфиденциальной информации на предприятии.

В ходе работы по проектированию системы защиты документов, содержащих ПДн сотрудников организации разработаны мероприятия необходимые для обеспечения защищенности конфиденциальных данных и рассчитана стоимость внедрения СЗИ.

Заключение

На современном этапе развития общества наибольшую ценность приобретает не новый, но всегда ценный, ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Практически любая деятельность в нынешнем обществе тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается в основном за счет интенсивного информационного обмена. Поэтому в новых условиях возникает масса проблем, связанных с обеспечением сохранности и конфиденциальности коммерческой информации как вида интеллектуальной собственности.

Целью курсовой работы был анализ и разработка системы защиты документов содержащих персональные данные сотрудников организации ООО «Информбезопасность». В ходе написания работы была проанализирована нормативно правовая база по данному вопросу, организационная структура предприятия, информационные ресурсы и потоки, программное обеспечение, схема расположения и структура сети. Был определен уровень исходной защищенности, относящийся к среднему. Во второй главе была построена модель нарушителя, содержащая шесть видов нарушителей, их возможные цели и средства. Далее была построена модель актуальных угроз содержащая


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.