- Журнал учета применяемых средств ЗИ, эксплуатационной и технической документации ПДн и Инструкция по учету применяемых средств ЗИ, эксплуатационной и технической документации ПДн

- Заключение о возможности эксплуатации средств защиты информации

- Электронный журнал учета запросов лиц на получение ПДн и Инструкция по учету запросов лиц на получение ПДн

- Журнал учета носителей ПДн и Инструкция по учету носителей ПДн

- Договор по обеспечению конфиденциальности ПДн и безопасности ПДн при их обработке в ИС

- Эксплуатационная и техническая документация средств ЗИ

- Правила пользования средствами ЗИ при обеспечении безопасности ПДн, согласованные с ФСТЭК и ФСБ РФ

- Журнал учета проведения мероприятий, по обеспечению безопасности ПДн при их обработке в ИС и Инструкция по учету проведения мероприятий, по обеспечению безопасности ПДн при их обработке в ИС

- Заключение по фактам несоблюдения условий хранения носителей ПДн, использования средств ЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям.

инвестиционный защита персональный данные

Объект представляет собой ИСПДн «Бухгалтерия» ООО «Информбюро». Защищаемая информация - персональные данные, обрабатываемые в ИСПДн «Бухгалтерия».

Целью является внедрение системы защиты информации с целью предотвращения потенциального ущерба в случае нарушения конфиденциальности защищаемой информации. Объект инвестиций - система защиты информации в главном офисе, источники инвестиций собственные.

Определим норму дисконта как годовую рентабельность предприятия, которая составляет 0,2 и рассчитаем коэффициент дисконтирования.

E=0,2 (17)

=1/(1+0,2)=0,833 (18)

3.2.1 Оценка ущерба

Всего в ИСПДн «Бухгалтерия» обрабатываются ПДн 35 сотрудников. Рассчитаем сумму возможного ущерба от невыполнения требований по защите ПДн.

Незаконное распространение и утрата ПДн может произойти по нескольким причинам:

1. Ущерб от НСД

· Статья 13.11 КоАП. Нарушение порядка сбора, хранения, использования или распространения ПДн. Штраф для юр лиц 5-10 т.р.

· Статья 5.27 КоАП. Нарушение законодательства о труде. Штраф для юр лиц 30-50 т.р.

· Статья 234 ТК. Ненадлежащее хранение и использование ПДн, повлекшее за собой ущерб работнику => возмещение материального вреда в полном объеме, морального по решению суда (исходя из судебной практики последних лет, возьмем сумму равную 25 т.р.). См. Приложение Д.

На предприятии 35 сотрудников, поэтому

Ущерб = 10000+50000+35*25000=1810000 руб. (19)

2. Ущерб от отказа аппаратной части

· Восстановление информации с HDD 7000 руб.

· Новый системный блок 25000 руб.

Ущерб = 7000+25000=32000 руб. (20)

3. Ущерб от чрезвычайных ситуаций (пожар, землетрясение и т.д.)

· Закупка нового ПК 50000 руб

· Сбор ПДн 35 сотрудников и создание БД

В организации 35 сотрудников. На занесение ПДн одного сотрудника в базу затрачивается в среднем 1500 знако-команд. В соответствии с «Нормами времени и выработки на набор, правку и верстку газет» [12] на набор 1000 знако-команд затрачивается 6 минут. Общее количество знако-команд, которые необходимо внести в базу 52 500, следовательно на это будет затрачено 5,25 часов. По нормам безопасности жизнедеятельности после каждых 45 минут (3/4 часа) работы за компьютером необходимо делать перерыв 15 минут (1/4 часа). [13] Таким образом общее время на внесение данных в БД составит 7 часов.

Поскольку ПДн обрабатываются в ИСПДн «Бухгалтерия», и права доступа к ней имеет ограниченный круг лиц, то работу по восстановлению ПДн будет выполнять бухгалтер. Заработная плата бухгалтера составляет 30 000 руб., в месяце 22 рабочих дня, продолжительность рабочего дня 8 часов, следовательно за час бухгалтер получает 170,5 руб. Путем умножения заработной платы за час на необходимое количество времени получаем, что за данную работу бухгалтер получит 1193,5 руб. Также учтем социальные перечисления, получим 1600 руб.

· Штраф по ст. 13.11 КоАП 10000 руб.

Ущерб = 50000+1600+10000=61600 руб. (21)

Таблица 3

Рассчитаем вероятный ущерб

Ув1=0,5*0=0 (22)

Ув2=0,3*1810000=543000 (23)

Ув3=0,15*32000=4800 (24)

Ув4=0,05*61600=3080 (25)

Ув=М1+М2+М3+М4=550880 руб. (26)

3.2.2 Расчет экономической эффективности системы защиты

Предлагаемый вариант защиты обеспечивает все требования нормативных документов, но нельзя считать защиту 100 процентной. Примем уровень защиты равный 0,9.

Рассчитаем сумму предотвращенного ущерба

Уп=Ув*0,9=495792 руб. в год (27)

Уп=41316 руб. в месяц (28)

Стоимость создания системы защиты составляет 50000 руб. Спецификация представлена в приложении Г.

За расчетный период возьмем 3 года - срок действия аттестата соответствия системы защиты персональных данных.

Рассчитаем основные показатели экономической эффективности.

Показатели экономической эффективности инвестиционного проекта:

- Инвестиции 50 000 руб.

- Ставка дисконтирования 20%

- ЧДДН.И. = 56 399 руб. 56 коп.

- ИД = 1,43

- ВНД = 0,86

- Дисконтированный срок окупаемости 4 месяца

Видим что: ЧДД > 0, ВНД > E (0,833), срок окупаемости 4 месяца, что меньше расчетного периода, индекс доходности больше 1, следовательно, проект эффективен и финансово реализуем.

Заключение

- Обследован объект защиты и предпринятые на объекте меры по защите информации;

- Определены актуальные угрозы безопасности информации и возможные каналы утечки информации;

- Проведена классификацию ОИ, сформировать требования к системе защиты;

- Выбрана систему защиты, удовлетворяющую требованиям;

- Определены затраты на создание системы защиты;

- Рассчитана экономическая эффективность проекта.

По результатам расчета значения показателей экономической эффективности проекта равны:

- Инвестиции 50 000 руб.

- Ставка дисконтирования 20%

- ЧДДН.И. = 56 399 руб. 56 коп.

- ИД = 1,43

- ВНД = 0,86

- Дисконтированный срок окупаемости 4 месяца

Таким образом, видим что: ЧДД > 0, ВНД > E (0,833), срок окупаемости 4 месяца, что меньше расчетного периода, индекс доходности больше 1, следовательно, проект эффективен и финансово реализуем.

Поставленную цель написания работы можно считать достигнутой.

Список использованных источников

1. Финансовый менеджмент. (Учебное пособие) Морозко Н.И. (ВГНА Минфина РФ; 2009)

2. Финансовый менеджмент. (Учебное пособие) Новашина Т.С, Карпунин В.И, Волнин В.А. (МФПА, 2005)

3. Финансовый менеджмент. (Учебно-метод. компл.) Ронова Г.Н., Ронова Л.А. (ЕАОИ, 2008)

4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

5. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. № 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"

6. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» № 734 от 15.02.2008г. Утверждены Заместителем директора ФСТЭК России.

7. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

8. РД. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации.

9. Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г. № 781

10. Приказ МПТР РФ от 12 мая 2000 г. № 104 «Об утверждении норм времени и выработки на набор, правку и верстку газет на персональном компьютере»

11. Фатхутдинова Л.М. Физиологическое обоснование допустимой продолжительности работы за видеотерминалом. ? Медицина труда и промышленная экология. 1994.

Приложение А

АКТ

классификации информационной системы персональных данных

«Бухгалтерия»

Комиссия в составе:

Председатель - должность, Ф.И.О.;

Члены комиссии - должность, Ф.И.О.;

должность, Ф.И.О.

Рассмотрев исходные данные об информационной системе персональных данных:

1) категория персональных данных вторая, Хпд=2;

2) объем обрабатываемых персональных данных до 1000 субъектов персональных данных и в пределах конкретной организации, Хнпд=3;

3) заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе в соответствии с требованиями подпункта г) пункта 11 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781: СПЕЦИАЛЬНАЯ;

4) структура информационной системы: АВТОНОМНАЯ;

5) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: ЕСТЬ;

6) режим обработки персональных данных: ОДНОПОЛЬЗОВАТЕЛЬСКИЙ;

7) режим разграничения прав доступа пользователей информационной системы:

БЕЗ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА;

8) местонахождение технических средств: В ПРЕДЕЛАХ РОССИЙСКОЙ ФЕДЕРАЦИИ.

В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20 и на основании анализа исходных данных, РЕШИЛА:

информационной системе персональных данных «Бухгалтерия» установить класс: К3.

Председатель комиссии: Ф.И.О.

Члены комиссии: Ф.И.О.

Ф.И.О.

«__» __________ 20__г.

Приложение Б

УТВЕРЖДАЮ

Должность

Ф.И.О.

"____" _________ 201__ г.

ИНСТРУКЦИЯ

по организации парольной защиты в информационной системе персональных данных «Бухгалтерия»

1. Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в информационной системе персональных данных «Бухгалтерия» (далее - ИСПДн), а также контроль за действиями пользователей при работе с паролями.

2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями пользователей при работе с паролями возлагается на администратора информационной безопасности ИСПДн.

3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:

- длина пароля должна быть не менее 6 символов;

- в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.);

- символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа (НСД) «Secret Net», должны вводиться в режиме латинской раскладки клавиатуры;

- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);

- при смене пароля новое значение должно отличаться от предыдущего;

- личный пароль пользователь не имеет права сообщать никому.

4. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

5. При наличии в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте (пенале) передавать на хранение администратору информационной безопасности ИСПДн или уполномоченному лицу. Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей.

6. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 3 месяца.

7. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться администратором информационной безопасности ИСПДн немедленно после окончания последнего сеанса работы данного пользователя с системой на основании письменного указания начальника секретной части.

8. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администраторов информационной безопасности ИСПДн.

9. В случае компрометации под компрометацией понимается утеря, передача другому лицу пароля. личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 5 или п. 6 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

10. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в сейфе администратора информационной безопасности АС или начальника спецчасти.

11. Контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора информационной безопасности ИСПДн.

Администратор информационной безопасности ИСПДн -

должность

Ф.И.О

ПРИЛОЖЕНИЕ В