Методика оценки эффективности системы защиты информационной системы персональных данных предприятия

В соответствии с поставленными задачами в рамках данной работы было выполнено:
1. Проанализированы нормативные акты, регулирующие область информационной безопасности;
2. Проведен анализ организационной структуры и структуры информационной системы ООО «Профсервис»;
3. Определен перечень информационных систем, в которых производится обработка персональных данных, определен уровень защищенности ИСПДн ООО «Профсервис»;
4. Проведено изучение локальных нормативных документов ООО «Профервис» в области защиты информации;
5. Проведена разработка методики оценки защищённости ИСПДн и в соответствии с ней проведена оценка состояния защищенности ИСПДн ООО «Профсервис»;
6. Даны рекомендации по совершенствованию ИСПДн ООО «Профсервис».
Показано, что система защиты персональных данных включает в себя ор ...

Введение 2
1.Теоретические основы технологии работы с персональными данными 6
1.1. Анализ нормативных документов в области защиты информации 6
1.2. Общие положения классификации систем защиты информации 14
2.Описание предметной области 22
2.1. Общая характеристика предприятия 22
2.2. Характеристика структуры автоматизированной системы ООО "Профсервис" 25
2.3. Анализ системы информационной безопасности ООО "Профсервис" 33
2.4. Общая характеристика существующей системы защиты персональных данных ООО «Профсервис» 39
2.4.1. Анализ системы защиты персональных данных при их автоматизированной обработке в АИС ООО «Профсервис» 40
2.4.2. Характеристика организации системы защиты персональных данных в условиях ООО «Профсервис» 43
3. Проектная часть 44
3.1. Разработка методики оценки защищенности персональных данных 44
3.2. Совершенствование организационной системы защиты персональных данных в условиях ООО «Профсервис» 50
3.3. Внедрение системы аутентификации с использованием электронных ключей 51
3.4. Совершенствование системы защиты персональных данных с использованием КСЗИ «Панцирь-К» 58
3.5. Настройка антивирусного ПО для обеспечения защиты персональных данных 63
4.Практическое использование разработанной методики 71
Заключение 77
Список использованных источников 79

В настоящее время с развитием информационных технологий появляются возможности копирования обработки больших массивов информации. Общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность. Объектом обработки данных становится финансовая информация, информация, составляющая коммерческую тайну, а также данные о личной жизни и состоянии здоровья людей. Утечка информации, содержащей коммерческую тайну, может привести к прямым убыткам, а в некоторых случаях поставить под угрозу само существование организации. Все чаще становятся известными случаи, когда утечка персональной информации приводила к совершениям неправомерных операций злоумышленниками (выдача кредитов, снятие наличных средств). Недостаточная защищенность электронных учетных записей также зачастую приводит к утечкам денежных средств со счетов граждан. Все вышесказанное показывает актуальность внедрения технологий защиты информации во все сферы, связанные с работой в автоматизированных системах.
Развитие информационных технологий, накопление больших массивов данных корпоративными автоматизированными системами и расширение круга доступа специалистов, допущенных к её обработке делает актуальной задачу разработки требований к соблюдению требований конфиденциальности при автоматизированной обработке информации. Так как отрасль информационных технологий в настоящее время переживает бурное развитие, нормативно-правовая база в области защиты конфиденциальной информации претерпевает большие изменения, меняются требования к ведению документооборота, нормативной базе организаций. Разработка информационные систем, использующих в своей работе персональные данные и их использование в различных сегментах деятельности предприятий привела к необходимости регламентирования порядка работы с данным типом информации. Регламенты работы с персональными данными должны включать в себя:
- порядок доступа специалистов к работе в программных комплексах, содержащих персональные данные;
- порядок организации системы разграничения доступа;
- порядок копирования и хранения информации, содержащей персональные данные;
- использование средств информационной безопасности при обработке персональных данных.
При этом необходимо проводить классификацию по типам, объемам персональных данных, обрабатываемым в информационных системах.
Данные задачи регламентируются как федеральными законами (152-ФЗ «О персональных данных»), так и нормативными актами ФАПСИ, ФСБ и других федеральных, а также отраслевых структур, а также государственными стандартами.
Внедрение автоматизированных систем в технологию работы предприятий в различные сегменты функционала специалистов приводит к тому, что специалисты, работающие в программных комплексах, зачастую не осознают необходимости соблюдения требований к конфиденциальности информации. Часто наблюдается картина, когда работая в программах, где обрабатывается серьезная информация, связанная с денежными операциями или персональными данными, пользователи передают свои пароли другим сотрудникам или хранят пароли в открытом доступе. Зачастую такое пренебрежение требованиями к защите данных авторизации может привести к серьезным последствиям как в виде утечки данных, так и прямым материальным потерям. Таким образом, в настоящее время актуальным становится вопрос разработки системы совершенствования технологии аутентификации и авторизации в программных комплексах.
Цель этой работы заключается в анализе системы защиты персональных данных в информационной системе предприятия.
Задачи работы:
- анализ нормативно-правовых актов и основных требований к системам информационной безопасности;
- анализ структуры информационной системы ООО «Профсервис»;
- определение уровня защищенности персональных данных;
- оценка существующей системы защиты персональных данных на предприятии, определение ее уязвимостей;
- разработка методики оценки защиты персональных данных;
- разработка совершенствования системы защиты персональных данных на предприятии.
Объект исследования: информационная система ООО «Профсервис»
Предмет исследования: организация работы с персональными данными.
 

Таблица 6 - Особенности функционирования программного обеспечения ООО «Профсервис»Название ПОПлатформа, СУБДРазмещение, режим доступа1С Предприятие: Бухгалтерский учет1С ПредприятиеФайловый сервер, тонкий клиент1С Предприятие: Зарплата и Управление Персоналом1С ПредприятиеФайловый сервер, тонкий клиентСБИС++DbaseФайловый серверАИС «Центр Сертификации»MS SQL ServerФайловый серверУчет оргтехникиMS SQL ServerФайловый серверAutoCadРабочие станции пользователейРис. 2.4. Схема программной архитектуры ООО «Профсервис»Таблица 7 - Перечень сведений конфиденциального характера в ООО «Профсервис»№.№ п/пСодержание сведенийСрок действия ограничения1231. Служебные сведения1.1Штатные расписания 1.2Сведения из нормативных актов по вопросам внутренней деятельности3 года после отмены1.3Годовой отчет специалиста по кадрам по воинскому учету и бронированиюПостоянно2. Сведения, составляющие коммерческую тайну2.1Содержание договоров, контрактов, соглашений, протоколов с организациями на выполнение строительных, ремонтных работ, закупку оборудования, программных продуктов, предоставление различных услуг, прежде всего – на конкурсной основе, если условие о конфиденциальности присутствует в самом тексте договораВ соответствии с условиями договора2.2Информация, представляемая на рассмотрение конкурсных комиссий по закупке материальных средств и услугиДо окончания торгов2.3Сведения, раскрывающие перспективные направления деятельности ООО «Профсервис» и др.10 лет2.4Экономические расчеты и прогнозы развития организаций, выбранных для сотрудничества с ООО «Профсервис»10 лет2.5Сведения, раскрывающие систему оплаты труда (кроме заработной платы) в ООО «Профсервис»Постоянно2.6Сведения о технологии работы с деньгами и ценными бумагамиПостоянно2.7Содержание регистров бухгалтерского учёта и внутренней бухгалтерской отчётности Постоянно3. Сведения, составляющие банковскую тайну3 1Договоры и соглашения, заключенные между ООО «Профсервис» и банкамиВ соответствии с условиями договоров3.2Образцы подписей руководства ООО «Профсервис» и оттисков печатей для банков1 год после смены руководства3.3Сведения, передаваемые ООО «Профсервис» банкам и наоборот, как конфиденциальные и касающиеся взаимоотношений между сторонамиВ соответствии с договоренностью3.4Расчетно-денежные документы ООО «Профсервис» и банков5 лет4. Сведения о создании и функционировании информационных технологий 7.1Проектная, эксплуатационно-техническая документация на Автоматизированную информационную систему ООО «Профсервис»До окончания эксплуатации7.2Прикладные программные средства, прошедшие соответствующие проверки (испытания) и переданные в эксплуатациюДо окончания эксплуатации7.3Планы перспективного развития сотрудничества с различными организациями по развитию автоматизированной информационной системы10 лет7.4Программы, методики по проведению компьютерного аудита (проверок, испытаний), разработанные в интересах автоматизированной информационной системы 3 года после утверждения новых7.5Планы перспективного развития защищенной автоматизированной информационной системы ООО «Профсервис», совершенствования технологий обработки информации10 лет8. Сведения о системе защиты информации в ООО «Профсервис»8.1Сведения, раскрывающие принятую систему защиты конфиденциальной информации (используемые методы, способы и средства защиты информации)Постоянно8.2Характеристики используемых в ООО «Профсервис» средств защиты информации1 год после принятия новых8.3Сведения о системе охраны объектов ООО «Профсервис» и организации пропускного режимаПостоянно8.4Сводные сведения об инженерных коммуникациях зданий ООО «Профсервис»Постоянно8.5Сводные данные о системах жизнеобеспечения, видеонаблюдения, охранной и пожарной сигнализации зданий ООО «Профсервис»1 год после коренной реорганизации8.6Ключевая, парольная документация средств защиты и повышения достоверности информации, используемых в системе ООО «Профсервис»До замены новыми8.7Методика обследования выделенных помещений ООО «Профсервис» и оценки степени защищенности информации, обрабатываемой в нихПостоянно8.8Результаты инструментального контроля выделенных помещений ООО «Профсервис»Постоянно8.9Данные из паспортов-формуляров о состоянии защищенности выделенных помещенийПостоянно8.10Документы по эксплуатации средств защиты автоматизированной информационной системыДо замены новыми8.11Акты, предписания, выданные по результатам проведенных спец проверок и спец исследований технических средств обработки информации импортного производстваДо окончания эксплуатации8.12Специальные требования к системе защиты ПЭВМ и автоматизированной информационной системы ООО «Профсервис» применительно к установленным для них категории и классуДо окончания эксплуатации8.13Информация о порядке разграничения доступа пользователей к информационным ресурсам баз данных До утверждения нового8 14Распорядительная и эксплуатационно-техническая документация обслуживающему персоналу и пользователям информации защищенной автоматизированной информационной системыДо окончания эксплуатации8.15Сведения по результатам стендовых испытаний о степени защищенности средств электронно-вычислительной техники, основным характеристикам средств защиты после их доработки, модернизации, ремонтаДо окончания эксплуатации9. Сведения о руководящих работниках ООО «Профсервис»9.1Персональные данные из личных дел и базы данных автоматизированной программы 1С «Зарплата и кадры» ООО «Профсервис»3 года после увольненияРассмотрев структуру информационной системы ООО «Профсервис», можно сделать выводы:- автоматизированная система центра сертификации ООО «Профсервис» содержит персональные данные, относящиеся к уровню защищённости 3;- обработка персональных данных осуществляется как в автоматизированной, так и в неавтоматизированной форме;- в работе организации используются технологии электронного документооборота, включающего информацию, содержащую персональные данные;- в качестве электронных хранилищ персональных данных выступают: файловые хранилища серверов в виде электронных документов, а также баз данных, внешние носители информации, используемые для хранения резервных копий;- персональные данные также хранятся на бумажных носителях (данные клиентов, указанные в документах на предоставление услуг сертификации, данные сотрудников в личных делах).2.3. Анализ системы информационной безопасности ООО "Профсервис"Организационные меры защиты информации в ООО «Профсервис» включают в себя:- документационное оформление процессов защиты информации;- организацию пропускного и внутриобъектового режима;- организацию защиты от несанкционированного доступа.В целях обеспечения безопасности информации АИС ООО «Профсервис» принимаются меры правового, организационного, технического и морально-этического характера.Организационные меры защиты – это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).К мерам морально-этического характера, призванным повысить эффективность защиты, относятся меры по привитию работникам определенных нравственных норм. Соблюдение этих норм, в том числе и не утверждаемых нормативными актами, должно поощряться, повышать авторитет работников и уважение к ним, быть престижным как для работников, так и для трудовых коллективов. Морально-этические нормы могут быть и документально оформленными в виде устава, свода правил или кодекса профессиональной этики. Эти меры должны подкрепляться постоянной работой по созданию и поддержанию здорового морального климата в трудовых коллективах.В соответствии со сформулированными угрозами, в подразделениях ООО «Профсервис» были приняты организационные меры, определенные в локальных документах, перечень которых приведен в таблице 8. Каждому из типов угроз сопоставлено технологическое решение, подкрепленное документационным обеспечением.Таблица 8 - Документационное обеспечение защиты конфиденциальной информацииУгрозаТехнология защитыДокументационное обеспечениеВредоносная программаАнтивирусное программное обеспечение«Положение об антивирусной защите в в подразделениях ООО «Профсервис»Вторжение в ИСПД по информационно-телекоммуникационным сетямТехнология VipNet«Аппаратный журнал VipNet Coordinator»Закладка аппаратнаяТестирование аппаратных средств«Акт ввода в эксплуатацию средств вычислительной техники»Закладка программнаяТестирование программных средств«Положение о Фонде Алгоритмов и Программ в в подразделениях ООО «Профсервис»Произвольное копирование баз данныхРазграничение доступа«Таблицы разграничения доступа к информационным ресурсам в подразделениях ООО «Профсервис»,«Инструкция о резервном копировании информационных ресурсов в подразделениях ООО Накопление данных пользователем ИСПДОграничение прав доступа«Обязательство о неразглашении информации конфиденциального характера»Программные ошибкиИнформирование разработчиков«Акт ввода в промышленную эксплуатацию»Ошибочные действия персоналаПрограммные средства защиты«Лист ознакомления пользователя с инструкцией по работе с программой»Стихийное бедствие, катастрофаРезервное копирование«Инструкция о порядке хранения, обращения МНИ»Компрометация ЭЦПГенерация новых ключей, расследование причин компрометации«Инструкция по работе с криптографическими средствами»Компрометация пароляСмена пароля, расследование причин компрометации«Инструкция по парольной защите»Визуальный съём отображаемой информации (присутствие посторонних лиц при обработке данных специалистом)Блокировка экрана с помощью электронного ключа«Инструкция о пропускном и внутриобъектовом режиме в подразделениях ООО «Профсервис»Таким образом, в подразделениях ООО «Профсервис» проведено документационное обеспечение противодействию угрозам конфиденциальности информации при её обработке в автоматизированный информационной системе. В таблице 9 приведено распределение обязанностей по специалистам в области защиты конфиденциальности информации в в подразделениях ООО «Профсервис». Таблица 9 - Функциональные обязанности специалистов в области защиты конфиденциальной информации в подразделениях ООО «Профсервис»ДолжностьФункцииОтветственностьРуководитель подразделенияКонтроль за соблюдением требований законодательства защиты конфиденциальной информации, подписание документов в области защиты конфиденциальной информацииОтветственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности предприятия (дисциплинарная, административная, уголовная) Заместитель руководителя подразделенияВозглавляет комиссии, необходимые при проведении работ по обеспечению требований защиты конфиденциальной информации, подписывает акты по технологическим операциямОтветственность за работу комиссии по обеспечению требований защиты информацииАдминистратор защиты информации (назначается из числа специалистов)Практическая реализация комплексной защиты информации, ведение документации по защите информации, разработка нормативных актов, внесение предложений, выявление фактов нарушения требований защиты информации Ответственность за организацию защиты информацииНачальник отделаКонтроль за выполнением требований защиты информации в возглавляемом отделе.Ответственность за нарушение требований защиты информации в отделеСпециалист отделаКонтроль за выполнением требований защиты информации на рабочем местеОтветственность за нарушение требований защиты информацииДля ознакомления пользователей с требованиями защиты информации под роспись предлагаются следующие документы:Временная инструкция по авторизации пользователей АИС ООО «Профсервис»Памятка пользователям информационной системы ООО «Профсервис» по вопросам информационной безопасности.Памятка руководителям структурных подразделений ООО «Профсервис» по вопросам информационной безопасности.Инструкция о порядке учёта, хранения и обращения машинных носителей информации в подразделениях ООО «Профсервис».Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях ООО «Профсервис».Инструкция о пропускном и внутриобъектовом режиме охраны здания и внутренних помещений в подразделениях ООО «Профсервис».Положение о работе с персональными данными работников в подразделениях ООО «Профсервис».Положение о порядке отнесения информации в подразделениях ООО «Профсервис» к конфиденциальной.Реестр документов, образующихся в деятельности в подразделениях ООО «Профсервис», относящихся к утвержденному перечню сведений конфиденциального характера.Листы ознакомления с данными документами передаются специалисту отдела кадров.При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении».Перечень документов, регламентирующих деятельность предприятия в области защиты персональных данных, приведен в таблице 10. Таблица 10 - Перечень документов, регламентирующих деятельность ООО «Профсервис» в области персональных данныхНаименование документаГде издано«Инструкция по пропускному и внутриобъектовому режиму»Руководство ООО«Инструкция по авторизации пользователей»Руководство ОООПоложение о порядке отнесения информацииООО «Профсервис» к конфиденциальнойРуководство ОООПеречень сведений конфиденциального характера, образующихся в результате деятельности ООО «Профсервис»подразделения ОООПеречень защищаемых информационных и коммуникационных ресурсовлокальной вычислительной сети подразделения ООО «Профсервис»подразделения ОООПоложение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях ООО «Профсервис»подразделения ОООПоложение по защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях ООО «Профсервис»подразделения ОООПамятка пользователям информационной системы по вопросам информационной безопасностиподразделения ОООПоложение о работе с персональными данными работников ООО «Профсервис»подразделения ОООДля технологического обеспечения требований защиты конфиденциальности информации в подразделениях ООО «Профсервис» используются средства автоматизации, описание которых приведено в таблице 11. Введение в эксплуатацию каждого из программно-технических средств определяется локальным документом. Таблица 11 - Описание технологических средств защиты информацииНазвание программно-технического средстваФункцияРегламентирующий документСредства криптозащиты (Verba, VipNet)Защита данных при передаче по каналам связи, использование электронно-цифровой подписи«Положение об использовании средств криптографической защиты информации в подразделениях ООО «Профсервис», «Акты ввода в эксплуатацию криптосредства»ПО «Учет объектов защиты информации»Ведение учета объектов защиты информации«Положение об использовании средств криптографической защиты информации в подразделениях ООО «Профсервис»Биометрический сканер BioLinkЗащита от несанкционированного доступа на уровне сканирования отпечатка пальцев«Положениепо защите информационных ресурсов от несанкционированного доступа (НСД) в подразделениях ООО «Профсервис»Ежегодно специалистами отдела по защите информации проводится обучение пользователей информационной системы технологии работы по соблюдению конфиденциальности информации с использованием программных средств с последующим проведением тестирования. Данные мероприятия регламентируются «Порядком организации занятий с сотрудниками ООО «Профсервис», по вопросам защиты информации».2.4. Общая характеристика существующей системы защиты персональных данных ООО «Профсервис»Как было показано выше, технология работы с ИСПДн ООО «Профсервис» предполагает обеспечение физической защиты помещений, где производится обработка персональных данных, обеспечение учета и сохранности носителей персональных данных, сертификацию используемого программного обеспечения, документационное обеспечение технологии обработки персональных данных.2.4.1. Анализ системы защиты персональных данных при их автоматизированной обработке в АИС ООО «Профсервис»Программное обеспечение, в котором производится обработка персональных данных, должно иметь достаточный уровень защиты от несанкционированного доступа, включая систему разграничения доступа, а также систему аутентификации пользователей. Разграничение доступа выполняется пользователями, имеющими права администраторов с использованием средств программного обеспечения.Рассмотрим существующую технологию идентификации и аутентификации пользователей в информационной системе ООО «Профсервис».В таблице 12 приведено описание технологии авторизации пользователей ООО «Профсервис».Таблица 12 - Описание технологии авторизации пользователей ООО «Профсервис».№Уровень авторизацииТип авторизацииСфера использования1Вход в BIOSПарольНастройка рабочих станций2Вход в доменПарольРабочие станции пользователей3Вход в программные комплексыПарольРабочие станции пользователей4Авторизация в криптографических системахПин-кодРабочие станции пользователей, работающих с криптографическими системами5Авторизация на сервере (терминальный доступ)ПарольРабочие станции пользователей 1С, ИТ-специалистов6Авторизация в системе администрирования системы видеонаблюдения, СКУД ПарольРабочие станции ИТ-специалистов7Вход в настройки антивирусного ПОПарольРабочие станции пользователей, ИТ-специалистовВ ходе анализа существующей технологии идентификации и аутентификации пользователей в автоматизированных системах обработки персональных данных были отмечены следующие недостатки:- необоснованное наделение правами администраторов сотрудников (многие специалисты, в технологии работы которых предусмотрена только работа оператора, имеют права администратора);- большинство пользователей домена имеют права локальных администраторов;- доступ пользователей к обработке персональных данных должен оформляться документами: приказ на допуск пользователя к обработке ПДн, а также оформлением заявки на доступ к информационным ресурсам. В условиях ООО «Профсервис» приказ на допуск пользователей к обработке ПДн актуализируется ежегодно, однако допуск к конкретному ресурсу информационной системы не оформляется документально;- многофакторная аутентификация. Каждому пользователю приходится набирать множество паролей в каждый из используемых программных комплексов, а также для входа в домен;- отмечены случаи передачи пользовательских паролей между специалистами (на период отсутствия основного специалиста замещающие входят в систему под паролем отсутствующего пользователя, что является грубым нарушением требований конфиденциальности и показателем формального отношения пользователей к требованиям информационной безопасности);- отсутствие контроля сроков действия паролей, что приводит к компрометации паролей и снижает общую защищенность системы;- отсутствие контролей сложности паролей (зачастую пользователи устанавливают себе пароли, соответствующие дате рождения или просто в виде имен или цифровых значений);- отсутствие контроля оборота парольной документации. Вследствие многочисленности паролей пользователи хранят парольные карточки на видном месте, тем самым значительно повышая уязвимость системы;- возможность авторизации пользователей на рабочих станциях, где их не предусмотрена их технология работы, что повышает уязвимость системы от инсайдерской активности;- не отключена учетная запись Гостя, отсутствие пароля на вход локального администратора;- доменные имена и учетные записи пользователей не формализованы, что затрудняет процесс анализа активности пользователей; - отсутствие усиленной авторизации на серверах.Таким образом, в условиях ООО «Профсервис» хоть и присутствует система разграничения доступа и аутентификации пользователей в программных продуктах, где производится обработка персональных данных, но ее работу нельзя признать эффективной, так как не обеспечивается полномерное выполнение задач, для которых она предназначена.