Методика оценки эффективности системы защиты информационной системы персональных данных предприятия

В настоящее время с развитием информационных технологий появляются возможности копирования обработки больших массивов информации. Общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность. Объектом обработки данных становится финансовая информация, информация, составляющая коммерческую тайну, а также данные о личной жизни и состоянии здоровья людей. Утечка информации, содержащей коммерческую тайну, может привести к прямым убыткам, а в некоторых случаях поставить под угрозу само существование организации. Все чаще становятся известными случаи, когда утечка персональной информации приводила к совершениям неправомерных операций злоумышленниками (выдача кредитов, снятие наличных средств). Недостаточная защищенность электронных учетных записей также зачастую приводит к утечкам денежных средств со счетов граждан. Все вышесказанное показывает актуальность внедрения технологий защиты информации во все сферы, связанные с работой в автоматизированных системах.
Развитие информационных технологий, накопление больших массивов данных корпоративными автоматизированными системами и расширение круга доступа специалистов, допущенных к её обработке делает актуальной задачу разработки требований к соблюдению требований конфиденциальности при автоматизированной обработке информации. Так как отрасль информационных технологий в настоящее время переживает бурное развитие, нормативно-правовая база в области защиты конфиденциальной информации претерпевает большие изменения, меняются требования к ведению документооборота, нормативной базе организаций. Разработка информационные систем, использующих в своей работе персональные данные и их использование в различных сегментах деятельности предприятий привела к необходимости регламентирования порядка работы с данным типом информации. Регламенты работы с персональными данными должны включать в себя:
- порядок доступа специалистов к работе в программных комплексах, содержащих персональные данные;
- порядок организации системы разграничения доступа;
- порядок копирования и хранения информации, содержащей персональные данные;
- использование средств информационной безопасности при обработке персональных данных.
При этом необходимо проводить классификацию по типам, объемам персональных данных, обрабатываемым в информационных системах.
Данные задачи регламентируются как федеральными законами (152-ФЗ «О персональных данных»), так и нормативными актами ФАПСИ, ФСБ и других федеральных, а также отраслевых структур, а также государственными стандартами.
Внедрение автоматизированных систем в технологию работы предприятий в различные сегменты функционала специалистов приводит к тому, что специалисты, работающие в программных комплексах, зачастую не осознают необходимости соблюдения требований к конфиденциальности информации. Часто наблюдается картина, когда работая в программах, где обрабатывается серьезная информация, связанная с денежными операциями или персональными данными, пользователи передают свои пароли другим сотрудникам или хранят пароли в открытом доступе. Зачастую такое пренебрежение требованиями к защите данных авторизации может привести к серьезным последствиям как в виде утечки данных, так и прямым материальным потерям. Таким образом, в настоящее время актуальным становится вопрос разработки системы совершенствования технологии аутентификации и авторизации в программных комплексах.
Цель этой работы заключается в анализе системы защиты персональных данных в информационной системе предприятия.
Задачи работы:
- анализ нормативно-правовых актов и основных требований к системам информационной безопасности;
- анализ структуры информационной системы ООО «Профсервис»;
- определение уровня защищенности персональных данных;
- оценка существующей системы защиты персональных данных на предприятии, определение ее уязвимостей;
- разработка методики оценки защиты персональных данных;
- разработка совершенствования системы защиты персональных данных на предприятии.
Объект исследования: информационная система ООО «Профсервис»
Предмет исследования: организация работы с персональными данными.
 

Введение 2
1.Теоретические основы технологии работы с персональными данными 6
1.1. Анализ нормативных документов в области защиты информации 6
1.2. Общие положения классификации систем защиты информации 14
2.Описание предметной области 22
2.1. Общая характеристика предприятия 22
2.2. Характеристика структуры автоматизированной системы ООО "Профсервис" 25
2.3. Анализ системы информационной безопасности ООО "Профсервис" 33
2.4. Общая характеристика существующей системы защиты персональных данных ООО «Профсервис» 39
2.4.1. Анализ системы защиты персональных данных при их автоматизированной обработке в АИС ООО «Профсервис» 40
2.4.2. Характеристика организации системы защиты персональных данных в условиях ООО «Профсервис» 43
3. Проектная часть 44
3.1. Разработка методики оценки защищенности персональных данных 44
3.2. Совершенствование организационной системы защиты персональных данных в условиях ООО «Профсервис» 50
3.3. Внедрение системы аутентификации с использованием электронных ключей 51
3.4. Совершенствование системы защиты персональных данных с использованием КСЗИ «Панцирь-К» 58
3.5. Настройка антивирусного ПО для обеспечения защиты персональных данных 63
4.Практическое использование разработанной методики 71
Заключение 77
Список использованных источников 79

В соответствии с поставленными задачами в рамках данной работы было выполнено:
1. Проанализированы нормативные акты, регулирующие область информационной безопасности;
2. Проведен анализ организационной структуры и структуры информационной системы ООО «Профсервис»;
3. Определен перечень информационных систем, в которых производится обработка персональных данных, определен уровень защищенности ИСПДн ООО «Профсервис»;
4. Проведено изучение локальных нормативных документов ООО «Профервис» в области защиты информации;
5. Проведена разработка методики оценки защищённости ИСПДн и в соответствии с ней проведена оценка состояния защищенности ИСПДн ООО «Профсервис»;
6. Даны рекомендации по совершенствованию ИСПДн ООО «Профсервис».
Показано, что система защиты персональных данных включает в себя организационные и технологические решения. Пренебрежение какой-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом. Аудит информационной системы показал, что существующая система персональных данных относится к уровню защищенности 3.
Был проведен анализ системы защиты персональных данных в условиях работы информационной системы предприятия. Были выявлены системные проблемы, связанные с наличием ряда уязвимостей. Первая группа уязвимостей связана с отсутствием системного подхода в системе разграничения доступа пользователей. Выявлено, что у некоторых пользователей наблюдается превышение уровня допустимого доступа (необоснованно задаются права администратора), факты выдачи прав доступа к программным комплексам, содержащим персональные данные не документируются. Вторая группа уязвимостей связана с отсутствием контроля обращения внешних носителей информации, что дает возможность несанкционированного копирования персональных данных, не контролируется функционирование рабочих станций, работающих с персональными данными. Существует ряд проблем, связанных с работой пользователей в программных комплексах: отмечаются многочисленные факты передачи паролей между пользователями, нарушения режима хранения парольных карточек, отсутствует контроль сроков смены паролей, а также их сложности, не отключены встроенные локальные учетные записи. Все перечисленные недостатки в сумме повышают уязвимость системы защиты персональных данных предприятия.
В качестве мер совершенствования системы защиты персональных данных были предложены:
- усовершенствовать систему документационного обеспечения системы защиты персональных данных;
- использовать персональные аутентификатороы – электронных ключи, что позволит решить проблемы многофакторной аутентификации, дает возможности централизованного управления учетными записями и самими электронными ключами;
- использовать систему КСЗИ «Панцирь-К» для совершенствования системы информационной безопасности в части управления процессом аутентификации (администратор определяет только тех пользователей, которые могут работать с указанной рабочей станцией), а также ряд других возможностей;
- настроить антивирусную систему для отключения возможности копирования информации на неучтенные носители.

1. Баймакова, И.А.. Обеспечение защиты персональных данных– М.: Изд-во 1С-Паблишинг, 2010. – 216 с.
2. Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы защиты информации. – М.: Академия, 2010. – 304 с.
3. Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 1997.
4. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2009. – 416 с.
5. Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.
6. Демин, Ю.М. Делопроизводство, подготовка служебных документов - С-Пб, 2003. – 201 с.
7. Дудихин В.В., Дудихина О.В. Конкурентная разведка в Internet. Советы аналитика – М:. ДМК Пресс, 2002. – 192 с.
8. Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.
9. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.
10. Защита информации в системах мобильной связи. Учебное пособие. – М.: Горячая Линия - Телеком, 2005. – 176 с.
11. Комплексная система защиты информации на предприятии. Часть 1. – М.: Московская Финансово-Юридическая Академия, 2008. – 124 с.
12. Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.
13. Кузьмин, И. Внимание! Сведения конфиденциальные // Российская юстиция. 2002 - 4
14. Куракин П.В. Контроль защиты информации // Кадровое дело. 2003 - 9
15. Максименко В.Н., Афанасьев, В.В. Волков Н.В. Защита информации в сетях сотовой подвижной связи. – М.: Горячая Линия - Телеком, 2007. – 360 с.
16. Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.
17. Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.
18. Петраков А.В. Основы практической защиты информации. Учебное пособие. – М.: Солон-Пресс, 2005. – 384 с.
19. Проектирование экономических систем: Учебник / Г.Н. Смирнова, А. А.Сорокин, Ю. Ф. Тельнов – М.: Финансы и статистика, 2003.
20. Ситникова, Е. Дисциплинарная ответственность работника // Кадровое дело. 2003 - 1
21. Степанов, Е. Защита информации при работе с ЭВМ // Кадровое дело. 2001 - 2
22. Сурис М.А., Липовских В.М. Защита трубопроводов тепловых сетей от наружной коррозии. – М.: Энергоатомиздат, 2003. – 216 с.
23. Трудовой кодекс Российской Федерации: федер. закон от 30 дек. 2001 г. № 197-ФЗ (ред. от 30.12.2006)//СЗРФ.—2002.—№ 1 (ч. 1).—Ст. 3
24. Федоров А. В. Проектирование информационных систем. М.: Финансы и статистика, 2003.
25. Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2008. – 256 с.
26. Хорев П.Б. Программно-аппаратная защита информации. – М.: Форум, 2009. – 352 с.
27. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: Форум, Инфра-М, 2010. – 592 с.
28. Услуги по сертификации в г.Санкт-Петербурге. ООО «Профсервис». [Электронный ресурс]. Режим доступа: http://profsert-spb.ru/service/