Совершенствование системы защиты персональных данных в АО ЦКБА г. Тула

ВВЕДЕНИЕ
Развитие информационных технологий, накопление больших массивов данных корпоративными автоматизированными системами и расширение круга
доступа специалистов, допущенных к её обработке делает актуальной задачу разработки требований к соблюдению требований конфиденциальности
при автоматизированной обработке информации. Так как отрасль информационных технологий в настоящее время переживает бурное развитие,
нормативно-правовая база в области защиты конфиденциальной информации претерпевает большие изменения, меняются требования к ведению
документооборота, нормативной базе организаций. Разработка информационные систем, использующих в своей работе персональные данные, и их
использование в различных сегментах деятельности предприятий привела к необходимости регламентирования порядка работы с данным типом
информации.
1.Теоретические основы технологии работы с персональными данными
В рамках работы рассматривается вопрос проектирования системы защиты персональных данных в центре сертификации АО ЦКБА г. Тула.
Проведем обзор нормативных актов и технологических аспектов вопросов информационной безопасности и защиты персональных данных.
С развитием автоматизированных средств обработки данных становится возможной утечка больших массивов информации по определенной тематике, в
том числе и содержащей информацию персонифицированного характера. Современные носители информации малогабаритны, и при этом позволяют
хранить региональные или даже федеральные базы данных. Распространены случаи продаж баз данных, содержащих большие объемы информации, в
том числе через сеть Интернет.
Объектами защиты информации в автоматизированных системах являются:
коммерческая информация, в том числе коммерческая тайна;
персональные данные, так как работа с данным видом информации в настоящее время регламентируется федеральным законодательством;
криптографическая информация, используемая в технологиях электронного документооборота;
информация автоматизированной системы предприятия, так как ее потеря приведет к дополнительным трудозатратам, необходимым на
восстановление данных.
3
Нормативной базой технологии систем информационной безопасности являются: федеральное законодательство, нормативные правовые акты
Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и
экспортному контролю (ФСТЭК России) и ФСБ России, регулирующие вопросы безопасности информации.
В соответствии с нормативными документами в области защиты информации, каждое предприятие и организация, в которой производится обработка
персональных данных, обязано принять ряд организационных и технологических мер по обеспечению защиты информации.
2.Описание предметной области
2.1. Общая характеристика предприятия
Объектом исследования в рамках данной работы является центр сертификации АО ЦКБА г. Тула. Профилем деятельности компании является
проектирование радиотехнических систем управления в оборонном комплексе.
В рамках данной работы было проведено изучение бизнес-процессов предприятия, связанных с технологиями защиты персональных данных. Объектом
защиты информации являются персональные данные, содержащиеся в автоматизированной системе предприятия, включающие информацию о
сотрудниках, относящуюся к различным категориям. Определим основные бизнес-процессы АО ЦКБА г. Тула, связанные с обработкой персональных
данных.
В таблице 4 приведены бизнес-процессы АО ЦКБА г. Тула, связанные с обработкой персональных данных.
2.2. Характеристика структуры автоматизированной системы «АО ЦКБА г. Тула»
В рамках выполнения данной работы мной было проведено изучение структуры информационной системы предприятия.
В информационной системе предприятия используется локальная вычислительная сеть Ethernet, в которую включены:
- 98 рабочих станций специалистов и продавцов, в т.ч. терминалы продаж;
- 35 сетевых принтеров;
- 2 файловых сервера.
4
Соединение осуществляется через коммутаторы, находящиеся в помещении серверной.
Схема локальной сети АО ЦКБА г. Тула приведена на рисунке 2.3.
Системное программное обеспечение основано на:
- серверная операционная система Windows 2012 Server, в работе которых используются возможности контроля учетных записей пользователей
средствами ActiveDirectory.
2.3. Анализ системы информационной безопасности «АО ЦКБА г. Тула"
Организационные меры защиты информации в АО ЦКБА г. Тула включают в себя:
- документационное оформление процессов защиты информации;
- организацию пропускного и внутриобъектового режима;
- организацию защиты от несанкционированного доступа.
В целях обеспечения безопасности информации АИС АО ЦКБА г. Тула принимаются меры правового, организационного, технического и моральноэтического характера.
Организационные меры защиты – это меры административного, управленческого характера, регламентирующие процессы функционирования системы
обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой
таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их
реализации).
2.4. Характеристика организации системы защиты персональных данных в условиях АО ЦКБА г. Тула
Организационные меры защиты включают в себя административные, управленческие меры, определяющие порядок работы систем по обработке
данных, использованию ее ресурсов, деятельности обслуживающего персонала, а также технологии по взаимодействию пользователей с системой таким
образом, чтобы минимизировать вероятность реализации угроз безопасности персональных данных (либо максимально снизить размер ущерба при их
реализации).
5
В соответствии с определенными выше угрозами, в подразделениях организаций необходимо принятие ряда организационных мер, определяемых в
локальных документах, перечень которых приведен в таблице 10. Каждому из типов угроз сопоставлено технологическое решение, подкрепленное
документационным обеспечением.
3.Проектная часть
3.1. Разработка методики оценки защищенности персональных данных
Проанализируем перечень нормативных актов в рамках обеспечения требований по защите персональных данных АО ЦКБА г. Тула согласно уровню
защищенности 3.
В качестве параметров оценки выберем степень реализации мер согласно Приказу ФСТЭК России № 21 от 18.02.2013.
1.ИАФ - Идентификация и аутентификация субъектов доступа и объектов доступа
ИАФ 1. Идентификация и аутентификация пользователей, являющихся работниками оператора
6.Защита информационной системы (ЗИС)
ЗИС1. Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению
(администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы
ЗИС 2. Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
ЗИС 3. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих
изменению в процессе обработки персональных данных
ЗИС 4. Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер или внутри
разрешенных сетевых протоколов
ЗИС 5. Защита Wi-Fi
ЗИС 6. Сегментирование ИСПДн.
6
3.2. Совершенствование организационной системы защиты персональных данных в условиях АО ЦКБА г. Тула
В рамках совершенствования системы организации защиты персональных данных в условиях АО ЦКБА г. Тула предлагается принятие ряда
организационных мер.
1. Документирование учета носителей информации. Пример формы Журнала учета внешних носителей, используемых для работы с персональными
данными, информации приведен в Приложении 1.
2. Определение приказом рабочих станций, используемых для работы с персональными данными. Станции должны опечатываться специальными
защитными знаками, номера которых указываются в данном журнале.
ЗАКЛЮЧЕНИЕ
В соответствии с поставленными задачами в рамках данной работы было выполнено:
1. Проанализированы нормативные акты, регулирующие область информационной безопасности;
2. Проведен анализ организационной структуры и структуры информационной системы АО ЦКБА г. Тула;
3. Определен перечень информационных систем, в которых производится обработка персональных данных, определен уровень защищенности
ИСПДн АО ЦКБА г. Тула;
4. Проведено изучение локальных нормативных документов «Профервис» в области защиты информации;
5. Проведена разработка методики оценки защищённости ИСПДн и в соответствии с ней проведена оценка состояния защищенности ИСПДн АО
ЦКБА г. Тула;
6. Даны рекомендации по совершенствованию ИСПДн АО ЦКБА г. Тула.