Разработка системы защиты персональных данных в организации

Актуальность выбранной темы обусловлена необходимостью защиты персональных данных, а также коммерческой информации и инфраструктурных элементов.
Новизна выполненной работы заключается в проведении исследовательской деятельности в области обеспечения безопасности информации и разработке способов совершенствования защитных мер безопасности информации ООО «Газпром межрегионгаз Ульяновск».
Объектом исследования в работе является система защиты персональных данных компании ООО «Газпром межрегионгаз Ульяновск».
Конфиденциальную информацию ООО «Газпром межрегионгаз Ульяновск» составляет информация, содержащая сведения, составляющие коммерческую тайну организации, а также персональные данные сотрудников и клиентов.
В данной выпускной квалификационной работе рассматривается опыт организации защиты обрабатываемой информации на примере ООО «Газпром межрегионгаз Ульяновск».
Предметом исследования являются документы и информационные потоки, содержащие сведения, составляющие коммерческую тайну и персональные данные организации.
Целью данной работы является разработка предложений по совершенствованию системы защиты информации на примере ООО «Газпром межрегионгаз Ульяновск».
Задачами выполненной работы являются:
 проведение анализа функционального процесса организации;
 раскрытие особенностей построения локальной вычислительной сети компании;
 проведение идентификации информационных активов;
 оценка угроз активам;
 выбор комплекса задач обеспечения информационной безопасности;
 определение места проектируемого комплекса задач в комплексе задач предприятия;
 осуществление выбора инженерно-технических мер;
 обзор нормативно-правовой основы создания системы обеспечения информационной безопасности;
 раскрытие структуры программно-аппаратного комплекса информационной безопасности;
 описание контрольного примера реализации проекта и расчет показателей экономической эффективности проекта.
Практическая значимость выполненной работы заключается в возможности применения выбранных средств защиты для обеспечения информационной безопасности коммерческих организаций.

СОДЕРЖАНИЕ
ВВЕДЕНИЕ 5
I АНАЛИТИЧЕСКАЯ ЧАСТЬ 8
1.1. Технико-экономическая характеристика предметной области и предприятия 8
1.1.1. Общая характеристика предметной области 9
1.1.2. Организационно-функциональная структура организации 15
1.2. Анализ рисков информационной безопасности 18
1.2.1. Идентификация и оценка информационных активов 18
1.2.2. Оценка уязвимостей активов 21
1.2.3. Оценка актуальности угроз 25
1.2.4. Оценка рисков 26
1.3. Выбор защитных мер 29
1.3.1. Выбор организационных мер 29
1.3.2. Выбор аппаратно-программных средств защиты персональных данных предприятия 30
II ПРОЕКТНАЯ ЧАСТЬ 35
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации на предприятии 35
2.1.1. Отечественная и международная нормативно-правовая основа создания системы защиты персональных данных предприятия 35
2.1.2. Организационно-административная основа создания системы защиты персональных данных предприятия 36
2.2. Комплекс проектируемых программно-аппаратных средств защиты персональных данных 39
III ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ 41
ЭФФЕКТИВНОСТИ ПРОЕКТА 41
3.1. Выбор и обоснование методики расчета экономической эффективности 41
3.2. Расчет показателей экономической эффективности проекта 41
ЗАКЛЮЧЕНИЕ 51
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 52
ПРИЛОЖЕНИЯ 57

На сегодняшний день очень стремительно развиваются информационные технологии. Это развитие способствует тому, что появляется много программных продуктов для любых отраслей деятельности. Такое программное обеспечение способно упростить работу предприятий и их подразделений. Ведь сейчас сотрудникам большого числа организаций приходится иметь дело с огромным количеством информации, которая постоянно изменяется. Обработать вручную ее становится практически невозможно, поэтому появляется необходимость в автоматизации многих аспектов деятельности.
В параллели с автоматизацией, информацию, содержащуюся в программных продуктах, необходимо защищать. Защита информации является одним из ключевых аспектов развития информационных систем в ближайшей перспективе, так как информация в современном мире представляет одну из главных ценностей.
Так в следствии пандемии и неготовности многих компаний к переходу на удаленную работу участились случаи кибератак на юридических лиц (компании). По отчетам различных аналитических компаний на первом месте оказались атаки, направленные на кражу персональных данных.
С начала года в России высокими темпами растет число инцидентов с утечками персональных данных – на фоне общемирового уменьшения утечек персональных данных.
В результате зарегистрированных случаев «утекло» 9,93 млрд записей персональных (ПДн) и платежных данных. По сравнению с аналогичным периодом 2019 г. в целом (в мире) число утечек снизилось на 7,4%, а число скомпрометированных записей – на 1,4%.
Не смотря на такие данные по атакам на персональные данные, стратегия защиты компаний прежде всего направлена на защиту проектов, разрабатываемых в компании, защиту среды и инфраструктуры большей части «для заказчика», однако, многие компании недостаточно сильный уклон делают на защиту персональных данных хранящихся у них: данные по договорам, актам, суммы проектов, ПДн ответственных лиц и т.д.. Данная проблема, на мой взгляд не менее важна и актуальна.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Нормативно-правовые источники
1. «Об информации, информационных технологиях и о защите информации»: Федеральный закон от 27 июля 2006 г. №149 - ФЗ // «Российская газета» от 29 июля 2006 г;
2. «О персональных данных»: Федеральный закон от 27.07.2006 г. № 152-ФЗ // «Российская газета» от 29 июля 2006 г;
3. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 5 декабря 2016 г. №646);
4. Постановление Правительства Российской Федерации от 21.03. 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
5. Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
6. Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»;
7. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Учебники, монографии, брошюры
8. Альтерман, А.Д. Современное программное и аппаратное обеспечение / А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 19 с.
9. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2015 - 312 с.
10. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.
11. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.
12. Воронов А.А. Обеспечение системы управления рисками при возникновении угроз информационной безопасности / А.А. Воронов, И.Я. Львович, Ю.П. Преображенский, В.А. Воронов // Информация и безопасность. 2016. – 234 с.
13. Гафнер, В. В. Информационная безопасность / В.В. Гафнер. - М.: Феникс, 2010. - 336 c.
14. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c.
15. Денисов Ю. Экономьте время и деньги. Часть 1. Построение локальной сети. // «Системный администратор», №7-8, 2011 г. - 74 с.
16. Дибров, М.В. Компьютерные сети и телекоммуникации. Маршрутизация в IP-сетях в 2-х частях. Часть 1. Учебник и практикум для СПО / М.В. Дибров. - М.: Юрайт, 2015. - 174 c.
17. Дибров, М.В. Компьютерные сети и телекоммуникации. Маршрутизация в IP-сетях в 2-х частях. Часть 2. Учебник и практикум для СПО / М.В. Дибров. - М.: Юрайт, 2017. - 229 c.
18. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.: ТИД Диа Софт, 2012;
19. Завгородний, И.В. Комплексная защита информации // Логос, 2011г. - 370с.
20. Исакова, А.И. Основы информационных технологий: учебное пособие /А.И. Исакова. – Томск: ТУСУР, 2016 – 206 с.
21. Кучинская Е., Рыжко А., Лобанова Н., Рыжко Н. Экономика информационных систем // 2-е изд., испр. и доп. Учебное пособие для бакалавриата и магистратуры, 2018г. - 168 с.
22. Лушников, Н.Д. Комплексная установка элементов системы безопасности предприятий / Н.Д. Лушников, А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 74 с.
23. Лушников, Н.Д. Современные технические средства борьбы с хакерскими атаками / Н.Д. Лушников, А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 80 с.
24. Львович И.Я. Применение методологического анализа в исследовании безопасности / И.Я. Львович, А.А. Воронов // Информация и безопасность. 2011. – 470с.
25. Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации // М.: Горячая линия - Телеком, 2013г.
26. Мищенко, Е.С. Организационные структуры управления (современное состояние и эволюция): учебное пособие / Е.С. Мищенко. – Тамбов: Изд-во ГОУ ВПО ТГТУ, 2018. – 104 с. – 450 экз.
27. Нойкин, С.А. Анализ и оценка внешней среды организации /С.А. Нойкин // Вестник Пензенского государственного университета. - 2017. - №3(11). - С. 44-49.
28. Семенов, Ю. А. Алгоритмы телекоммуникационных сетей. В 3 частях. Часть 2. Протоколы и алгоритмы маршрутизации в Internet / Ю.А. Семенов. - М.: Бином. Лаборатория знаний, Интернет-университет информационных технологий, 2019. - 832 c.
29. Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2016. - 304 c.
30. Солдатов М.А., Анализ угроз информационной безопасности. Теория и практика экономики и предпринимательства / Солдатов М. А., Бойко Е. В. – М., 2016 – 272с.
31. Торокин А.А. Инженерно-техническая защита информации // М.: Гелиос АРВ, 2015г. - 958 с.
32. Труфанов А. И. Политика информационной безопасности как предмет исследования // Проблемы Земной цивилизации. - Вып. 9. - Иркутск: ИрГТУ, 2014 / library.istu.edu/civ/default.htm
33. Трофимова, Н.О. Анализ угроз информационной безопасности. Экономика и социум / Трофимова, Н. О., Фахрутдинова, И. Р // М., 2016 – 556с.
34. Хорев, А.А. Защита информации от утечки по техническим каналам. Технические каналы утечки информации: учеб. пособие //А. А. Хорев; Гостехкомиссия России, 2008г.- 320 с.
35. Хорев А. А. Способы и средства защиты информации: учеб. пособие // М.: МО РФ, 2010г.
36. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2011. - 416 c.
37. Черников С.Ю. Использование системного анализа при управлении организациями / С.Ю. Черников, Р.В. Корольков // Моделирование, оптимизация и информационные технологии. 2014. – 350с.
38. Эпельфельд И.И., Сухотерин А.И. Рекомендации по внедрению защищенного документооборота на предприятии // Ресурсам области - эффективное использование / Сборник материалов XV Ежегодной научной конференции студентов Финансово-технологической академии. Часть 1. - Королёв: Финансово, 2017. - С. 175-183.
39. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М: Академический Проект, Парадигма, 2015. 544 с
Электронные ресурсы
40. Электронный ресурс. Научная электронная библиотека. http://www.elibrary.ru
41. Электронный ресурс. Национальный открытый Универсистет НОУ «ИНТУИТ». http://www.intuit.ru