Оглавление

Введение

Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" обязывает оператора при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных (ПДн) от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Персональными данными является любая информация, относящаяся к определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Защита персональных данных является актуальной задачей для российских организаций. Так, 52% компаний-респондентов обрабатывают более 10 тыс. записей о персональных данных, а 15,3% – более 1 млн. записей, говорится в отчете компании Perimetrix по результатам исследования "Персональные данные в России 2008", проведенного совместно с порталом Bankir.Ru, проектом Information Security и сообществом ABISS.

Наибольшую угрозу конфиденциальности персональных данных (ПД), как выявило исследование, представляет ИТ-персонал, топ-менеджмент и аналитические службы. Доступ к массивам ПД имеют соответственно 57,6%, 21,9% и 18,5% этих подразделений.

Защита ПД – системная задача, требующая разработки единого подхода и формализации взаимодействий между операторами. Только 64,3% компаний имеют монопольный доступ к обрабатываемым ПД, остальные допускают к информации дочерние или материнские структуры либо партнеров. Для 13,1% операторов это зарубежные фирмы.

1 Аналитическая часть

1.1Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)

1.1.1 Общая характеристика предметной области

В дипломном проекте рассматривается деятельность общества с ограниченной ответственностью «Джилианс».

Основная Миссия компании – создание глобальных информационных ресурсов Общества и Государства.

Компания была создана 5 сентября 2003 года и уже пять лет успешно работает на рынке Казахстана. Компания прочно занимает место на рынке Казахстана, предоставляет своим клиентам комплексные решения по построению полностью оборудованных центров по цифровой обработке документов по всей Республике Казахстан, созданию, наполнению и оснащению электронных архивов, поставки профессиональной техники.

Основные направления:

• 
  Консалтинг и проектирование в сфере создания и использования информационных ресурсов
  
• 
  Создание и наполнение электронных архивов
  
• 
  Комплексное оснащение центра ввода документальных данных
  
• 
  Поточное сканирование и индексация документов
  
• 
  Корпоративные хранилища данных
  
• 
  Продажа оборудование для построения электронного архива
  
• 
  Сервисное обслуживание специализированной техники и комплексов
  

В портфолио компании имеются законченные проекты в таких организациях и государственных органах как: Музей первого Президента РК, Министерство Культуры и Информации РК с проектом «Национальное наследие», АО "КазТрансОил", АО "Интергаз Центральная Азия".

Компания предлагает комплексные услуги по созданию и наполнению электронного архива документов.

Основные технологические этапы:

1. Подготовка и экспертиза документов, определение объемов массивов для различного уровня обработки разработка технологии обработки для документов различного типа.

На этом этапе осуществляется: сортировка документов, при необходимости архивная обработка, удаление скрепок и скоб степлера с их последующим восстановлением, разброшюрование папок документов с последующим их восстановлением; выделение листов нестандартных размеров и поврежденных листов для их последующего «ручного» сканирования через планшетные сканеры, либо доведения до единого формата.

2. Поточное массовое сканирование и восстановление архивных документов.

На этом этапе производится подбор параметров сканирования для получения максимальной четкости изображения, фильтрацию фона для старых архивных документов, печать уникальных архивных номеров для простой однозначной идентификации документов

3. Ввод данных, распознавание и индексирование документа

Пожалуй, один из самых трудоёмких этапов. На этом этапе ведется: обработка образов документов и распознавание текста; создание базы данных документов, индексирование и запись на электронные носители; проверка правильности распознанной информации (включая проверку идентификатора исполнителя и его полномочий); ввод текстовых документов с использованием систем распознавания текстов, ввод таблиц, ввод примечаний к рисункам и схемам, визуальная проверка правильности ввода информации; ввод форм и бланков заполненных от руки с использованием систем распознавания текстов или ручной ввод данных в электронный архив бумажных документов.

4. Сохранение и выгрузка индексной информации в базу данных и создание массива электронных образов и передача электронных документов заказчику, интеграция в информационную систему

На заключительном этапе производится: сохранение изображений в форматах TIFF, JPEG, PDF, BMP,сжатие размеров изображений, полное соответствие структуры бумажных документов и в электронном виде,

1.2Анализ рисков информационной безопасности

1.2.1 Идентификация и оценка информационных активов

При определении информационной безопасности компании часто используют понятие информационных активов. Под этим будем понимать совокупность методических и информационно-коммуникационных решений компании, направленных на обеспечение выполнения бизнес-процессов с целью получения прибыли. Информационные активы, как представляется на основании опыта практической работы, включают в себя следующие пять основных составляющих элементов [1]:

а). Информационная модель компании.

б). Информационные ресурсы компании в их материальном воплощении, то есть информационные системы и соответствующие хранилища данных.

в). Персонал информационных служб .

г). Инфраструктура (программно-аппаратный комплекс.

д). Информационные регламенты реализации бизнес-процессов компании.

Оценку таких информационных активов производят посредством информационного обследования, в ходе которого с помощью специальных вопросников выявляется текущее состояние и степень их использования. Вопросники должны охватывать основные направления влияния информационно-коммуникационных технологий на конкурентоспособность компании более детально, обращая особое внимание на источники данных, организацию информационной работы в компании, функциональное покрытие бизнес-процессов сервисами информационных систем, инфраструктуру, приложения, внутренние информационные процессы, регламенты работы ИТ-служб, предоставляющих сервисы, с внутренними и внешними потребителями информации и др. При разработке вопросников в части информационных моделей основное внимание целесообразно уделять степени формализации и совершенства описания информационных потоков, периодичности обновления

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1Выбор комплекса задач обеспечения информационной безопасности

Сложившаяся система защиты информации является фрагментарной и не учитывает все возможные угрозы информации при попытках несанкционированного доступа к ней. Прежде всего это касается информации, содержащей персональные данные клиентов и сотрудников компании.

Источниками угроз НСД в информационной системе обработки персональных данных (ИСПДн) могут быть:

• 
  нарушитель;
  
• 
  носитель вредоносной программы;
  
• 
  аппаратная закладка.
  

При обработке ПДн в ИСПДн ООО «Джилианс» возможна реализация следующих УБПДн:

• 
  угрозы утечки по техническим каналам;
  
• 
  угрозы НСД к ПДн.
  

К угрозам утечки по техническим каналам относятся угрозы утечки видовой информации;

Угрозы НСД к ПДн в ИСПДн АС включают в себя:

• 
  угрозы, реализуемые в ходе загрузки операционной системы, направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода/вывода (BIOS), перехват управления загрузкой;
  
• 
  угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текста в текстовых файлах и т.п.);
  
• 
  угрозы внедрения вредоносных программ;
  
• 
  угрозы "Анализ сетевого трафика" с перехватом передаваемой по сети информации;
  
• 
  угрозы сканирования, направленные на выявление открытых портов и служб, открытых соединений и др.
  
• 
  угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных;
  
• 
  угрозы типа "Отказ в обслуживании";
  
• 
  угрозы выявления паролей;
  
• 
  угрозы удаленного запуска приложений;
  
• 
  угрозы внедрения по сети вредоносных программ.
  

Угрозы НСД связаны с действиями нарушителей, рассмотренных выше, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн (внутренний нарушитель), а так же нарушителями, не имеющими непосредственного доступа к ИСПДн (внешний нарушитель).

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

Защиту персональных данных можно обеспечить только в той информационной системе, где злоумышленник не может вмешаться в работу ее базовых элементов – сетевых устройств, операционных систем, приложений и СУБД. Рассмотрим, какие средства и способы должны применяться для защиты персональных данных

• 
  Антивирусы.
  

1.4 Выбор защитных мер

1.4.1 Выбор организационных мер

Стратегия ИБ – это единый документ, утвержденный руководством организации, который определяет подходы к обеспечению информационной безопасности на продолжительный срок. Она определяет цели и задачи системы обеспечения ИБ, принципы ее организации, функционирования и управления, а также основные направления создания и развития целостной системы обеспечения безопасности информации заказчика.

Стратегия ИБ включает в себя правовые, оперативные, технологические, организационные, технические и физические меры по защите информации, которые находятся в тесной взаимосвязи между собой.

В соответствии с Законом №152-ФЗ, организационные меры по обеспечению безопасности персональных данных при их обработке в ИСПДн должно предусматривать:

• 
  оценку обстановки;
  
• 
  обоснование требований по обеспечению безопасности ПДн и формулирование задач их защиты;
  
• 
  разработку замысла обеспечения безопасности ПДн.
  

1.4.2 Выбор инженерно-технических мер

Содержание инженерно-технических мер по защите персональных данных включает в себя прежде всего инженерно-техническую защиту помещений, в которых персональные данные обрабатываются или хранятся.

Инженерно-технические средства физической защиты состоят из технических средств и физических барьеров.

К техническим средствам физической защиты относятся:

• 
  средства охранной сигнализации, размещенные по периметру охраняемых зон, зданий, сооружений и иных объектов предприятия, а также служебных помещений в этих объектах;
  
• 
  средства контроля прохода (доступа), установленные на контрольно-пропускных пунктах, в охраняемых зданиях, как дома в Болгарии, сооружениях (объектах) предприятия и в служебных помещениях;
  
• 
  средства наблюдения за периметрами охраняемых зон, контрольно-пропускными пунктами, охраняемыми зданиями, сооружениями предприятия, а также служебными помещениями;
  
• 
  средства специальной связи (в том числе - экстренной);
  
• 
  средства обнаружения проноса (провоза) запрещенных предметов, взрывчатых веществ, и предметов из металла (в том числе носителей конфиденциальной информации);
  
• 
  средства систем жизнеобеспечения (электропитания, освещения и др.).
  

Перечисленными средствами необходимо оборудовать периметры охраняемых зон, охраняемые здания, сооружения и помещения, а также контрольно-пропускные пункты.

В качестве основного программного комплекса обеспечения информационной безопасности на основании анализа основных угроз будет использовать систему защиты от утечек конфиденциальной информации в результате реализации внутренних угроз –DLP (Data Loss Prevention).

На российском рынке к началу 2009 года появился вполне представительный набор решений класса DLP, способный удовлетворить требования самых взыскательных заказчиков. Причем, помимо специализированных DLP, на российском рынке доступны и технические решения смежного функционала, также обеспечивающие защиту корпоративной информации от утечек. Среди них решения DLP выделяются тем, что объединяют управление инцидентами (утечки информации по всем возможным каналам ее передачи) в единой, хорошо проработанной, среде.

1.5Основные компетенции, приобретенные в ходе прохождения практики

В результате прохождения практики мной были приобретены следующие навыки:

• 
  Анализ систем обеспечения информационной безопасности;
  
• 
  Исследование и анализ информационной системы компании;
  
• 
  Обзор рынка средств защиты информации;
  
• 
  Анализ основных информационных активов, их уязвимостей и рисков;
  
• 
  Рассмотрение угроз информационным активам;
  
• 
  Определение организационных и инженерно-технических мер по защите информации.
  

Заключение

Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных, регламентируемое сегодня Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и "Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденным Постановлением Правительства Российской Федерации от 17 ноября 2007 г. №781, направлено на решение следующих задач:

• 
  предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
  
• 
  своевременное обнаружение фактов НСД к ПДн;
  
• 
  недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
  
• 
  обеспечение возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
  
• 
  постоянный контроль за обеспечением уровня защищенности ПДн.
  

В отчете о прохождении были рассмотрены вопросы, касающиеся различных мер по обеспечению защиты персональных данных, в том числе административных (политика безопасности) и инженерно-технических.

Список использованной литературы

1. 
   Автоматизированные информационные технологии в экономике: Учебник / Под ред. проф. Г.А. Титоренко. - М.: ЮНИТИ, 2005 г.- 399 с.
   
2. 
   Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.
   
3. 
   Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.
   
4. 
   Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с.
   
5. 
   Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.
   
6. 
   Малюк А.А., Пазизин СВ., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учебное пособие для вузов. -2-е изд.-М.: Горячая линия-Телеком.-2004.- 147 с.
   
   1. 
      Мельников В. Защита информации в компьютерных системах. – М.: Финансы и статистика, 2008.
      
7. 
   Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие-М.: Радио и связь, 2001г.-368с.
   
8. 
   Стандарт ЦБ РФ "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", (принят и введен в действие распоряжением ЦБ РФ от 18 ноября 2004 г. N Р-609).