Защита коммерческой тайны на предприятии

ВВЕДЕНИЕ


Современные информационные технологии играют важнейшую роль в коммерции и бизнесе, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты персональных данных граждан и сведений, составляющих коммерческую тайну, – персональных данных клиентов, поставщиков, сотрудников организации. Актуальность проблемы защиты персональных коммерческих данных сегодня не вызывает сомнений. Доступ физических лиц к базам персональных данных усиливают риск вторжения в сферу частной жизни и нарушения права на ее неприкосновенность. Защита персональных коммерческих данных является одной из наиболее острых проблем в информатизации организаций коммерческой области.
Защита персональных данных, в связи с требованиями федерального закона 152-ФЗ «О персональных данных», в последнее время занимает умы не только специалистов IT-подразделений, но и всех граждан, чьи персональные данные закон охраняет. С одной стороны, с принятием закона, значительно вырос рынок услуг по обеспечению информационной безопасности, технических и программных средств защиты. С другой стороны, для операторов персональных данных наступили тяжелые времена. И чем более не проработаны вопросы защиты персональных данных в законе и подзаконных актах, тем сложнее их защитить.
Поэтому актуальной проблемой остается вопрос минимизации затрат по защите персональных данных в соответствии с требованиями федерального закона «О персональных данных». Этот закон поставил перед большинством российских коммерческих компаний сложнейшую задачу. Серьезность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Между тем, сегодня далеко не все коммерческие учреждения, обрабатывающие персональные данные, осознают необходимость их защиты и до конца понимают реальность и масштаб рисков невыполнения закона.
Закон 152-ФЗ несет в себе еще одну угрозу – дает дополнительный инструмент недобросовестным конкурентам. Что мешает подать заявление от лица субъекта персональных данных о нарушении его прав компанией, которой он сообщил личную информацию? Предприятие ждет еще одна проверка, отвлекающая силы от основного бизнеса. Поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий департамента информационной безопасности. Ведь невыполнение требований закона несет угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза для нормального функционирования самого бизнеса.
В качестве предметной области для дипломного проекта задана область деятельности хозяйствующего субъекта ООО «Пегас». Целью данной дипломной работы является разработка системы защиты персональных данных в ООО «Пегас».
В ходе дипломной работы будут решены следующие задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
2. Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях.
3. Разработка комплексной системы защиты персональных данных, включающую разработку организационных мер, а так же инженерно-технических решений, направленных на повышение уровня информационной безопасности.
4. Разработка рекомендаций по внедрению системы защиты персональных данных.
5. Оценка экономической эффективности предлагаемых решений.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы и приложения.
Первая глава посвящена анализу рассматриваемой информационной системы, составлению модели актуальных угроз. Во второй главе даны проектные решению по созданию комплексной системы защиты. Разработаны рекомендации по устранению угроз. В третьей главе рассматривается механизм внедрения системы защиты и дано технико-экономическое обоснования целесообразности внедрения разработанной системы защиты персональных данных.
 

ВВЕДЕНИЕ 3
1. АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ ХОЗЯЙСТВУЮЩЕГО СУБЪЕКТА КАК ОБЪЕКТА ЗАЩИТЫ 6
1.1 Анализ организационно-функциональной структуры управления предприятием 6
1.2 Анализ локально вычислительной сети организации 9
1.3 Анализ информационных потоков организации 13
1.4 Анализ и разработка модели угроз и нарушителя 15
Выводы 29
2. РАЗРАБОТКА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ 31
2.1 Анализ нормативно-правовой базы защиты конфиденциальной информации в информационной системе и на автоматизированных рабочих местах 31
2.2 Разработка комплекса организации правовых документов 36
2.3 Разработка комплекса технических мероприятий 36
2.4 Разработка комплекса программно-аппаратных средств 45
Вывод 47
3. ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ 48
3.1 Апробация технических средств 48
3.2 Рекомендации по внедрению и настройке средств 52
3.3 Политика безопасности 62
3.4 Экономическое обоснование 64
Выводы 67
ЗАКЛЮЧЕНИЕ 68
СПИСОК ЛИТЕРАТУРЫ 71
Приложение А Модель угроз 77

ЗАКЛЮЧЕНИЕ

В ходе выполнения дипломной работы были достигнуты все поставленные задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, поставщиках товаров, отчетах о продажах и персональных данных сотрудников предприятия. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных.
2. Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях.
Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы, рассматриваемой в дипломном проекте, в соответствие со всеми требованиями является основной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов компании ООО «Пегас». Соответствие требованиям особо актуально ввиду обработки данных касающегося персональных данных клиентов, поставщиков, и сотрудников.
Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Для устранения списка угроз необходимо создание комплексной системы защиты, а именно решения по обеспечению комплексной безопасности конфиденциальной информации при ее обращении в информационной системе ООО «Пегас».
3. Разработка рекомендаций по изменению структуры информационной системы.
На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе которой, с использованием руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети.
4. Разработка системы защиты персональных данных.
В первом разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требованиям государственных нормативных регуляторов.
5. Разработка рекомендаций по внедрению системы защиты персональных данных.
В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информационной системы персональных данных. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации ООО «Пегас». Оценена сумма совокупного владения системой. Для рассматриваемой системы были выбраны следующие технические средства:
– система защиты информации Secret Net 6.5;
– аппаратно-программный комплекс шифрования «Континент»;
– сервер контроля доступа TrustAccess;
– антивирус Security Studio Endpoint Protection .

 

СПИСОК ЛИТЕРАТУРЫ

1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.)
2. Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с.
3. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.
4. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с
5. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.
6. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
7. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.
8. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с
9. Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.
10. Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: ил
11. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
12. ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;
13. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
14. ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
15. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.
16. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум - Москва, 2014. - 368 c.
17. Защита информации в системах мобильной связи; Горячая Линия - Телеком - , 2013. - 176 c.
18. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум - Москва, 2011. - 256 c.
19. Кузнецов А. А. Защита деловой информации; Экзамен - Москва, 2013. - 256 c.
20. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
21. Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ - Москва, 2010. - 368 c.
22. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
23. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л.А., Писеев В.М.МИЭТ
24. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТ
25. Некраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект - , 2011. - 224 c.
26. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)
27. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)
28. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
29. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
30. Положение «О методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010г №58
31. Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20/
32. Постановление правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
33. Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»
34. Постановление Правительства РФ № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
35. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
36. Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
37. Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
38. Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
39. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
40. РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
41. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
42. Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
43. Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
44. Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz)
45. Северин В. А. Комплексная защита информации на предприятии; Городец - Москва, 2013. - 368 c.
46. Сергеева Ю. С. Защита информации. Конспект лекций; А-Приор - Москва, 2011. - 128 c.
47. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
48. Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь - Москва, 2012. - 192 c.
49. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.
50. Федеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2»
51. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
52. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
53. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
54. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
55. Хорев П. Б. Программно-аппаратная защита информации; Форум - Москва, 2014. - 352 c.
56. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях; ДМК Пресс - Москва, 2012. - 592 c.
57. Шаньгин В. Ф. Комплексная защита информации в корпоративных системах; Форум, Инфра-М - Москва, 2010. - 592 c.
58. Шаньгин В.Ф. Защита компьютерной информации; Книга по Требованию - Москва, 2010. - 544 c.
59. Шаньгин, В.Ф. Защита компьютерной информации; М.: ДМК Пресс - Москва, 2011. - 544 c.
60. Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996