Разработка и внедрение политики безопасности информационной системы на предприятии

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Содержание

информационный безопасность dallas lock

Введение

Глава 1.Предмет информационной безопасности

1.1 Понятие информационной безопасности. Признаки. Составные части

1.2 Методическая документация. Стандарты. Государственные органы и службы РФ

1.3 Способы и средства обеспечения информационной безопасности

Глава 2.Существующая политика безопасности на организации

2.1 Сведения об организации

2.2 Существующая политика на предприятии. Положение защиты персональных данных. Виды защиты информации

Глава 3.Рекомендация по улучшению безопасности персональных данных

3.1 Dallas Lock - наилучшее решение для защиты персональных данных в МАОУ ДОД ЦТР и ГО «Информационные технологии»

Заключение

Приложения

Введение

В XXI веке безопасность информации является одним из важнейших направлений в IT-сфере, поскольку в наше время утечка информации может навредить большой экономический и технический вред предприятию.

Целью данной дипломной работы является:

-повышение безопасности персональных данных.

Задачей данной дипломной работы является:

-изучить политики безопасности ИС на предприятии;

- рассмотреть все возможные варианты политики информационной безопасности на организации;

-разработать и внедрить рекомендацию по совершенствованию информационной безопасности персональных данных.

Объектом является безопасность персональные данные организации сферы образования.

Предметом - способы обеспечения безопасности персональных данных.

Внедрение наиболее благоприятной политики безопасности ИС на предприятии в дальнейшем будет приносить больше пользы, чем вред.

В наше время безопасность информации очень быстро развивается. Появляются все новые и новые системы ее защиты в связи с появлением новых угроз утечки информации с предприятия.

Все больше и больше создаются вредоносных ПО для кражи ИС. Но наиболее распространено кража персональных данных о сотруднике в каждой организации. Этим охотно пользуются злоумышленники в своих корыстных целях: вымогательство, шантаж, слежка и т. д.

Политика безопасности лежит в основе организационных мер защиты информации. От ее эффективной работы зависит успешность любых организационных моментов в работе организации.

Термин «Политика безопасности» может применяться в широком и в узком смыслах этого слова.

В широком смысле, Политика безопасности - система документированных управленческих решений по обеспечению безопасности организации.

В узком смысле, Политика безопасности - локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий. а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения информационной безопасности.

Таким образом, изучение и внедрение новых и наиболее благоприятных политик безопасности ИС на предприятии позволит не только обеспечить качественное хранение информации на предприятии, но и обеспечит хорошего развития этого предприятия.

Глава 1.Определение информационной безопасности

1.1 Понятие. Признаки. Составные части

Информационная безопасность - это политика сохранности ресурсов информатизации страны (государства) и защищенности прав личности и общества в IT-сфере. Словарь экономических терминов

В настоящее время существует две составляющие IT-сферы: информационно-техническая, которая представляет собой искусственно созданный человеком мир техники и стандартов, и информационно-психологическую, то есть естественный мир живой природы, в который входит и сам человек. Из этого можно отметить, что информационная безопасность представлена двумя составными частями. Это информационно-техническая безопасность и информационно-психологическая безопасность.

Одними из признаков стандартной модели безопасности являются три категории:

Конфиденциальность (confidence-доверие) - обеспечение доступа к информации только автоматизированным пользователям. Учебник «Основы компьютерной безопасности», А.А. Варфоломеев, с.9

Эта категория имеет директиву «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (№ 95/46/EC), которая затрагивает вопрос конфиденциальности в своей области. Согласно данной директиве, «оператор» - физическое или юридическое лицо, определяющее цели и способы обработки персональных данных, когда цели и способы определены законодательством. Лаб Трейд

Целостность - обеспечение достоверности и полноты информации и методов ее обработки. Учебник «Основы компьютерной безопасности», А.А. Варфоломеев, с.27

Эту категорию используют в криптографии, компьютерных сетях, корпоративных информационных системах.

Основные методы: обеспечение процессов отказов (резервирование, дублирование); Связь и телекоммуникации в России обеспечение безопасного восстановления (резервное копирование). Связь и телекоммуникации в России

Доступность-обеспечение доступа к информации и связанные с ней активами авторизованных пользователей по мере необходимости. Учебник «Основы компьютерной безопасности», А.А. Варфоломеев, с.26

Основные методы: системы бесперебойного питания; резервирование и дублирование мощностей; планы непрерывности бизнес-процессов.

Иногда выделяют дополнительные категории информационной безопасности: неотказуемость (апеллируемость) - способность удостоверить имеющее место действия или событие так, чтобы они не могли быть позже отвергнуты; подотчетность - обеспечение аутентификации субъекта доступа и регистрации его действий; достоверность - способность сходства, которому предусмотрено поведение или результат; аутентичность (подлинность) -способность, при котором есть гарантия, что субъект или ресурс будут идентичны заявленным

Системный подход к описанию информационной безопасности предлагает выделить следующие составные части информационной безопасности: Конституция Российской Федерации, общепризнанные принципы и нормы международного права, Концепция безопасности Союза Беларуси и России; Исследовательский центр Концепция национальной безопасности РФ; Исследовательский центр организационно-технические и режимные меры и методы (Политика информационной безопасности); программно-технические способы и средства обеспечения информационной безопасности.

Основной целью реализации безопасности объекта на предприятии является Система обеспечения информационной безопасности данного объекта (СОИБ). Для этого был разработан план действий, по которому нужно следовать:

выявить требования защиты информации, специфичные для данного объекта защиты;

учесть требования национального и международного Законодательства;

использовать наработанные практики (стандарты);

определить между отделами области ответственности в осуществлении требований СОИБ;

на основе рисков информационной безопасности выявить общие положения, технические и организационные требования, составляющие политику безопасности объекта защиты;

реализовать менеджмент безопасности (СМИБ):

Система менеджмента информационной безопасности (СМИБ) - это часть общей системы менеджмента, которая основывается на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. Академик

используя СМИБ, установить организацию регулярного контроля эффективности СОИБ.

1.2 Методические рекомендации. Стандарты и государственные службы РФ

Методическими документами государственных органов Российской Федерации являются:

доктрина информационной безопасности РФ:

Доктрина информационной безопасности РФ - совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Электронная версия информационно-правового портала ГАРАНТ Является одним из основных документов по информационной безопасности, изучение которого обязательно.

Составляющие в доктрине:

обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею;

развитие современных информационных технологий отечественной индустрии.

руководящие документы ФСТЭК (Гостехкомиссии России):

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности. Нормативные документы ФСТЭК России

Документами ФСТЭК являются: нормативно-правовые акты; ФСТЭК России. Федеральная служба по техническому и экспортному контролю организационно-распорядительные документы; ФСТЭК России. Федеральная служба по техническому и экспортному контролю нормативные и методические документы; ФСТЭК России. Федеральная служба по техническому и экспортному контролю подготовленные проекты документов по технической защите информации; ФСТЭК России. Федеральная служба по техническому и экспортному контролю приказы ФСБ.

Приведенные далее приказы показывают значимость защиты информации в государственных службах:

приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31.08.2010 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» (Зарегистрировано в Минюсте РФ 13.10.2014 №18704). Электронная версия Консультант

приказ ФСБ РФ от 27.02.2009 № 75 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по лицензированию деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и(или) оказанием услуг по защите государственной тайны» (Зарегистрировано в Минюсте РФ 06.04.2009 № 13686). Электронная версия Консультант

приказ ФСБ РФ от 30 .07.2009 № 365 «Об утверждении Административного регламента Федеральной безопасности РФ по исполнению государственной функции по принятию решений о ввозе в РФ и вывозе из РФ специальных технических средств. Предназначенных для негласного получения информации». Электронная версия Консультант

постановление «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

Данное положение определяет распространение шифровальных (криптографических) средств, техническое обслуживание шифровальных (криптографических) средств, предоставление услуг в сфере шифрования информации, разработку, производство шифровальных (криптографических) средств

Данные приказы являются лишь малой частью того, что разработано для защиты информационной системы и ее частей.

Стандартами информационной безопасности являются:

Международные стандарты;

Одним из важных международных стандартов является:

«Финансовые услуги. Рекомендации по информационной безопасности. ГОСТ Р»

Государственные (национальные) стандарты РФ;

Одним из ведущих национальных стандартов РФ является:

«Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2008»(принят и введен в действие Распоряжением Банка России от 25.12.2008 № Р-1674).

Рекомендации по стандартизации:

Одной из основных рекомендаций по стандартизации среди стран СНГ является:

решение Совета глав правительств «О придании федеральному государственному унитарному предприятию «Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации» статуса базовой организации государств-участников Содружества Независимых Государств по методическому и организационно-техническому обеспечению работ в области информационной безопасности и подготовке специалистов в этой сфере» Электронная версия Консультант

Методические указания.

Деятельность информационной безопасности определяется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы и службы РФ
государственные органы	службы
Комитет Государственной Думы по безопасности	Служба экономической безопасности
Совет безопасности РФ	Служба безопасности персонала
Федеральная служба по техническому и экспортному контролю (ФСТЭК России)	Кадровая служба
Федеральная служба безопасности РФ (ФСБ России)	Служба информационной безопасности
Федеральная служба РФ (ФСО России)
Служба внешней разведки РФ (СВР России)
Министерство обороны РФ (Минобороны России)
Министерство внутренних дел РФ (МВД России)

Таблица 1.

1.3 Способы и средства обеспечения защиты информационной безопасности. Виды атак на информацию предприятия

Наиболее популярными способами и средствами защиты информационных систем на предприятии являются:

авторизация (предоставление определенному лицу или группе лиц прав на выполнение определенных действий, а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий);

антивирусные программы (программа, которая специлизируется по выявлению вирусов и нежелательных программ. Самыми популярными антивирусными программами являются Eset Smart Security, Microsoft Security Essentials и антивирус Касперского); СтудентБанк

-межсетевые экраны (совокупность программно-технических средств, осуществляющее контроль и проходимость сетевых пакетов через него в соответствии с заданными правилами. Наиболее известный межсетевой экран - брандмауэр Windows); IT-сектор

пароль (случайный набор букв или цифр, предназначение которого является подтверждение личности или полномочий); Информационная безопасность для всех

грифы секретности (реквизиты, которые свидетельствуют о степени секретности сведений, которые находятся на носителе, стоящий прямо на носителе или в прилагающей к нему документации); Академик

криптография (наука, изучающая методы обеспечения секретности и подлинности); Алгоритмы методы исходники

Видами атак на систему организации являются:

подключение через удаленный доступ (этот вид позволяет управлять удаленно персональным компьютером пользователя по сети);

сетевая разведка (в таком виде атаки хакер не предпринимает никаких действий, но при этом он может получить секретную информацию о построении и функционировании информационной системы жертвы); Связь и телекоммуникации в России

взломщики паролей (программное обеспечение, предназначенное для взлома авторизованных пользователей ресурсов системы и ее услуг);

IP-спуффинг (вид атаки в незащищенных сетях, в котором злоумышленник представляет из себя уполномоченного пользователя находясь в самой организации);

переполнение буфера(принцип такого вида атаки выстроен на применении программных ошибок которые позволяют вызывать сбой границ памяти);

хакерская атака (событие, цель которого захват контроля над локальной вычислительной машиной или ее отказ).

Хакерская атака также делится на три основных вида атак: троянские программы (программное обеспечение, которая распространяется людьми); почтовый (сетевой) червь (программное обеспечение, которая распространяется самостоятельно через локальные сети и через сеть Интернет); SecurityLab DoS-атака (вид атаки, цель которого принудить сервер не отвечать на запросы.

Причинами использования DOS - атаки являются:

личная неприязнь;

развлечение;

политический протест;

недобросовестная конкуренция;

вымогательство или шантаж. Техническая библиотека

Также DOS-атака имеет подтип под названием DDoS-атака(подтип DoS-атаки, у которого цель та же самая, что и у DoS-атаки, но с одним различием: атака происходит не с одного ПК, а сразу с нескольких машин).

Также самая примитивная Dos-атака может быть выполнена с помощью одного персонального компьютера, который имеет высокоскоростное подключение к сети Интернет.. При такой атаке злоумышленник использует специальную программу, который начинает засыпать сайт запросами. В принципе для этого может подойти и обычный веб-браузер, который «обновляет» страницу.

Но этот тип атаки имеет минимальный процент на успех в современной сети Интернет. Его проблема заключается в том, что протоколы передачи данных позволяют хостинг-провайдеру фильтровать слишком большой список запросов по IP-адресу источника.

Нужно отметить, что для атаки на организацию преступники используют различные особенности протоколов передачи данных, в том числе подделка IP-адреса. Одним из самых известных поддельных сайтов является yanclex.ru, который преступники использовали для кражи огромных денежных сумм у людей. На Яндексе есть вкладка для пополнения счета под названием «Яндекс.Деньги». Ничего не знающий человек вместо латинской буквы d пишет сочетание букв cl очень похожее на d при пополнению своего счета.

Различных IP-адресов в современном мире существует достаточно много, с помощью которых можно было произвести атаку на определенный сайт, т.к. атакующие запросы приходят с других IP-адресов, фильтрация атаки по адресу источника в данный момент не происходит.

Для реализации любой DDoS-атаки преступники используют специальные программы под названием ботнеты - сети из зараженных сетевыми червями персональными компьютерами, расположенные по всему миру. Крупные из них могут включать в себя десятки и сотни тысяч ПК. Их пользователи не подозревают о том, что их компьютер заражен вирусными программами. Ботнеты программируются путем рассылки вредоносного ПО, а поврежденные ПК в дальнейшем постоянно получают команды от преступника, который написал ботнет Венедюхин А., Воробьев А. Создание сайтов, с. 411. Его создание можно посмотреть как Приложение 1 «Создание ботнета».

Наиболее успешным способом DDoS-атаки является подача ПК таких запросов к веб-серверу, требующие существенных затрат на вычисления ресурсов на обработку.

Также проблемой является уязвимый хостинг - провайдер. Основными ошибками всех хостинг-провайдеров является неверная настройка веб-серверов, использование устаревших версий ОС, несвоевременное обновление ПО, а также применение программ собственной разработки.

Этот список можно и дальше продолжать.

Использовав что-нибудь из этого списка, преступник может получить полный доступ к данным других пользователей или вызвать разные сбои в работе ОС.

Борьба с подобными уязвимостями - задача первостепенной важности для сохранности информации предприятия и провайдеры с ней обычно справляются успешно.

Пользователь никак не может повлиять на эту ситуацию.

Man in the Middle - тип атаки, в котором злоумышленник перехватывает канал связи между двумя системами, и получает доступ ко всем ресурсам информации.

Потом преступник действует как прокси и может читать их или изменять. Довольно редко происходит прямое соединение с клиентом. Является довольно простой и более надежный из-за природы HTTP-протокола и передаваемых данных, основанных на ASCII. Русские справки

Глава 2.Существующая политика безопасности

2.1 Сведения об организации

МАОУ ДОД ЦТР и ГО «Информационные технологии» (далее ЦИТОИС) - инфраструктурная площадка комитета по образованию администрации городского округа «Город Калининград», образованная в 2005 году в городе Калининграде и расположен по адресу ул. Полковника Ефремова, 10.

В состав ЦИТОИСа входят 2 этажа: первый этаж полностью учебные классы и спортивный зал, второй этаж - администрация, бухгалтерия и учебные классы. Детей обучают по различным направлениям: робототехника, иностранный язык, баскетбол, ИКТ и так далее.

Высшим органом управления является Комитет по образованию администрации городского округа «Город Калининград» и является учреждением дополнительного образования детей.

В соответствии с Уставом ЦИТОИСа главным лицом является Директор. Управленческий персонал состоит из работников, обеспечивающих управление технологическим и трудовым процессом. Сюда входят руководящие, инженерно-технические работники.

Структура ЦИТОИСа показана на схеме 1.



схема 1.

Также ЦИТОИС имеет высшую категорию и проводит обучение детей и взрослых по следующим категориям: обучение детей ИКТ и проектной деятельности; раннее развитие; дополнительное образование для детей с ограниченными возможностями здоровья; организация массовых форм деятельности детей и взрослых в дополнительном образовании (движения, проекты, игровые и досуговые программы, тренинги, праздники, фестивали, лагеря, экспедиции, конкурсы, олимпиады.); организация повышения квалификации для различных целевых групп работников образования; внедрение информационных технологий в образовательное учреждение; работа с проектами, грантами, и партнерскими программами.

Также в ЦИТОИСе проводятся профильные смены - профильная Летняя (Зимняя) компьютерная школа «ЦИТ.RUS». Этот лагерь проводится в 2 смены.

Услуги, проводимые в ЦИТОИСе, в основном оказывают бюджетное (бесплатное) образование в рамках реализации муниципального задания: основы компьютерной грамотности; компьютерная графика и анимация; робототехника; информатика и современные информационные технологии.

Бывают и интеллектуальные игры:

Конкурс «Леонардо»

Игра-конкурс «Русский медвежонок»

Конкурс КИТ

Тестирование «ИПО - выпускникам» по русскому языку

Тестирование «ИПО - выпускникам» по естествознанию (физике, химии, биологии)

Конкурс «Британский бульдог»

Тестирование «Кенгуру - выпускникам» - математическое тестирование 4, 9 и 11 классов

Конкурс «ЧИП - человек и природа» - Всероссийский конкурс по предметам естественных наук.

ЦИТОИС имеет два подразделения:

Информационно-коммуникативное

Учебно-методическое

Информационно-коммуникативное подразделение имеет основные направления:

Сопровождение процесса информатизации городской системы образования

Организация системы технической поддержки коммуникационного и компьютерного оборудования в образовательных учреждениях

Ведение базы данных по образовательных учреждениям города

Поддержка городского образовательного портала

Внедрение Интернет-ресурсов и элементов дистанционного образования в образовательный процесс.

Образование учебно-методического подразделения ориентировано на научно-техническую направленность, в которую входят следующие программы:

Фантазеры. Мультитворчество

Основы компьютерной грамотности

Компьютерная анимация и графика

Информатика и современные информационные технологии

Робототехника.

Также проводится один международный социальный проект под названием «Миссия Скаутинга», цель которого является - сделать вклад в воспитание молодых людей, используя основанную на Скаутском Обещании и Законе скаутов системы ценностей, во имя построения лучшего мира, в котором люди будут чувствовать себя полноценными личностями и будут играть созидательную роль в обществе.

Внутри ЦИТОИСа действует еще один социальный проект под названием «Радуга» с поддержкой МАОУ ООШ № 14, с которой заключен договор. Он направлен на работу с детьми с диагнозом ДЦП.

На этот учебный год были проведены шесть конкурсов: «Хэллоуин»; «Президентские состязания»; «Компфест»; «Веселые старты»; «Галерея настроений»; «Мама, пап и я - спортивная семья!»

Наиболее популярным из этих конкурсов является «Мама, папа и я - спортивная семья!», целью которого является - формирование у дошкольников здорового образа жизни

Чтобы записаться на занятия дополнительного образования или в Летнюю (Зимнюю) Компьютерную Школу, можно сделать двумя способами: на официальном сайте в Интернет-приемной, подойти в приемную к секретарю на записи на занятия и ЛКШ.

Также можно выпускникам 11-ци классов сдать ЕГЭ по определенным предметам

2.2 Существующая политика на предприятии. Положение защиты персональных данных. Виды защиты информации

В Политике МАОУ ДОД ЦТР и ГО «Информационные технологии»

Содержание Политики безопасности:

Термины и определения.

Цели, задачи и основополагающие принципы.

Объекты обеспечения информационной безопасности.

Меры обеспечения безопасности.

Угрозы информационной безопасности.

Техническое обеспечение информационной безопасности Центра.

Организационное обеспечение информационной безопасности.

Программа создания системы безопасности.

Разделение полномочий и ответственность.

Политика информационной безопасности имеет подпункты в каждой главе и раскрывает вопрос поставленный в содержании

Во введении описаны общие вопросы: какая нормативно - правовая база была взята за основу для разработки данной Политики, к кому она относится и т.п.

В первой главе этого нормативного документа описываются следующие термины и понятия: аутентификация; безопасность информации; доступность; информационная безопасность (ИБ); информационная система (ИС); конфиденциальность; несанкционированное действие; пользователь; сеть; угроза; уязвимость; целостность информации; шифрование.

Во второй главе описываются цели, задачи и основополагающие принципы.

Основной целью данной Политики Центра - защита информационной системы Центра от нанесения материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на ИС, носители, а также ее процессов и передачи.

Основные задачи: отнесение информации к категории несекретной, распространение которой будет ограничено; прогнозирование и свое временное выявление угроз безопасности ИС; создание условий работ с наименьшим процентом атаки безопасности ИС; создание механизма оперативного реагирования на случаи атак с внешней стороны; построение системы обеспечения безопасности ИС.

Основные принципы: законности; системности; целесообразности; непрерывности; взаимодействии и координации; непрерывности.

В третьей главе описываются объекты данной Политики и основными являются: информационные ресурсы, средства и системы информатизации, программные средства, помещения.

Информация, которая подлежит защите может находиться: на бумажных носителях, в электронном виде, передаваться по телефону, телефаксу и т.п.

В четвертой главе описаны меры обеспечения безопасности, которые приведены в таблице 2.

правовые	морально-этические	организационные	физические	технические
законы	нормы поведения	обработка данных	применение разных электронно-механических устройств	использование различных устройств
указы	неписаные (нормы честности)	использование ресурсов
нормативные акты	писаные (свод правил)

Таблица 2

В пятой главе идет речь о видах угроз, которые могут негативно воздействовать на информацию и информационную систему в общем. Они приведены в таблице 3.

виды	определение
утрата и модификация защищаемой информации	бесконтрольный выход информации за пределы ИС или круга лиц, которым оны была доверена по службе или стала известна в процессе работы
утечка	несанкционированное ознакомление с информацией посторонних лиц
недопустимость информации в результате ее блокирования	создание недоступности, невозможности ее использования в результате запрещения дальнейшего выполнения команд
отсутствие планирования и контроля
низкая степень надежности ПО
недостаточная осведомленность персонала

Таблица 3

На основе указанных выше видов угроз могут возникнуть следующие последствия:

финансовые и репутационные потери, которые связаны с утечкой или разглашением защищаемой ИС;

финансовые и репутационные потери, которые связаны с уничтожением и восстановлением утраченной ИС;

ущерб от дезорганизации деятельности данной организации.

Шестая глава рассказывает про техническое обеспечение информационной безопасности Центра. Она содержит двенадцать пунктов.

Пункты 6.1-6.4 описывают общие вопросы обеспечения безопасности ИС организации.

Пункт 6.5 предусматривает следующие вопросы:

реализация единой системы разрешения доступа работников к информации и ко всей ИС в целом;

помещения, в которых обрабатывается и хранится ИС ставится ограничение доступа для посторонних лиц;

разграниченный доступ пользователям к АИС Центра;

учет и контроль пользователей ИС за несанкционированные доступ и действия пользователей ИС;

предотвращение внедрения вирусного ПО.

Пункт 6.6 предусматривает защиту ИС от НДС следующие вопросы: единая централизованная политика; обоснованность доступа; персональная ответственность; надежность хранения информации; централизованный контроль за действиями работников с конфиденциальными данными; целостность технической и программной среды.

Пункт 6.7 описывает условие надежности хранения ИС и с помощью каких видов их реализует: оборудование помещений и использования криптографического преобразования данных.

Пункт 6.8 рассматривает систему контроля за действиями работников. Она в себя включает следующие меры:

организационные меры и технические средства контроля при работе с конфиденциальными документами и сведениями;

регистрация действий пользователей с помощью информационных и программных ресурсов данной организации.

Пункты 6.9 и 6.10 определяют использование средств криптографической защиты информации и обеспечение качества работ и используемых средств защиты, нормативной базой которого является система стандартов и других нормативных правовых актов по информационной безопасности.

Пункт 6.11 рассматривает вопрос применения аутентификации и в автоматизированных системах.

Целью пункта 6.12 является защита участников информационного обмена от стороннего вмешательства путем взаимного идентификации и важной мерой защиты ИС - шифрование.

В седьмой главе речь идет об организационном обеспечении информационной безопасности. Основными пунктами в ней являются задачи, организационные меры и административные меры, которые приведены в таблице.

Задачи	Организационные меры	Административные меры
Разработка и осуществление разрешительной системы доступа работников к работе с документами	Заключение трудовых договоров и получение у работников добровольного согласия на соблюдение требований, регламентирующих режим информационной безопасности	Обеспечение физической сохранности автоматизированной системы и дополнительного оборудования
Установление единого порядка хранения и обращения конфиденциальной информации	Проведение периодического обучения и повышения квалификации в области информационной безопасности	Организация контроля доступа и режима выполнения работ персоналом подразделения IT-отдела
Координация работ по защите информации		Инспектирование правильности и полноты выполнения персоналом подразделения информационных технологий мер по обеспечению сохранности необходимых дубликатов файлов, библиотек программ, оборудования системы
		Практическая проверка функционирования отдельных мер защиты (предотвращение недозволенных изменений программ и оборудования, контроль всех процедур, производимых с файлами на носителях и т.п.)

Таблица 4

Глава девятая рассказывает о разделении полномочий и ответственности.

Также к данной Политике информационной безопасности ЦИТОИСа прилагается Положение о защите персональных данных в МАОУ ДОД ЦТР и ГО «Информационные технологии», состоящее из девяти глав и одного приложения.

Содержание Положения:

1.Общие положения.

2. Понятие и состав персональных данных.

3.Обязанности Образовательного учреждения.

4.Обязанности работников Образовательного учреждения.

5.Права субъекта персональных данных.

6.Сбор, обработка и хранение персональных данных.

7.Доступ к персональным данным.

8.Защита персональных данных

9.Ответственность за разглашение персональных данных, связанных с персональными данными.

10. Приложение 1 «Соглашение о не разглашении Персональных данных»

Как и Политика информационной безопасности имеет подпункты в каждой главе и раскрывает вопрос, поставленный в содержании Положения.

Глава первая «Общие положения» описывает обще вопросы, относящиеся к защите персональных данных:

цель данного Положения - защита персональных данных;

сбор, хранение, использование и распространение информации и сотрудника без его письменного разрешения;

режим безопасной обработки личной информации сотрудника снимается в случаях обезличивания или по истечению 75 лет срока хранения;

должностные лица, ведущие защиту персональных данных, должны обеспечить каждому сотруднику возможность ознакомления с документами и материалами, которые затрагивают его права и свободу;

персональные данные не могут быть использованы в целях экономического и социального вреда граждан. Ограничение прав граждан Российской Федерации на основе использования их персональных данных запрещено и карается в соответствии с законодательством Российской Федерации;

юридические и физические лица, владеющие персональными данными, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка их использования;

неправомерность работы органов государственной власти и организаций по сбору персональных данных должна быть установлена в судебном порядке по требованию субъекта, действующих на основании статей 14 и 15 ФЗ и законодательства о персональных данных;

настоящее положение является одним из обязательных нормативных документов для исполнения всех работников Центра, имеющие доступ к персональным данным каждого работника.

Глава вторая раскрывает такие вопросы, как: понятие и состав персональных данных.

Персональные данные - это информация о физическом лице (далее - субъект), необходимая организации в связи с исполнением трудовых и прочих договорных отношений и касающаяся конкретного человека.

Состав персональных данных: анкетные и биографические данные, образование, сведения о трудовом и общем стаже, сведения о составе семьи, паспортные данные, сведения о социальных льготах, адрес места жительства, домашний или мобильный телефон, место работы или учебы членов семьи и родственников, личные дела, копии отчетов, направляемые в органы статистики.

Глава третья освящает такой вопрос, как: обязанности Образовательного учреждения.

В целях обеспечения прав и свободы человека и гражданина организация и ее представители должны соблюдать следующие общие требования: обработка персональных данных может осуществляться только в рамках законов и иных нормативных правовых актов; при определении объема и содержания персональных данных организация должна руководствоваться Конституцией РФ, Трудовым кодексом, и иными федеральными законами; все персональные данные должны получаться у субъекта персональных данных; организация не вправе получать и обрабатывать данные о политических, религиозных или иных убеждениях данного субъекта; защита персональных данных должны быть обеспечена организацией за счет средств субъекта в порядке, установленном ФЗ; субъекты и их представители должны быть ознакомлены с документами, которые устанавливают порядок обработки персональных данных работников; субъекты не должны отказываться от права на защиту их персональных данных.

В четвертой главе речь идет об обязанностях работников Образовательного учреждения.

Пятая глава раскрывает права субъекта персональных данных:

требовать исключения или исправления неверных или неполных персональных данных;

на свободный бесплатный доступ к своим персональным данным;

персональные данные оценочного характера должны быть дополнены заявлением, которое выражает собственную точку субъекта;

на сохранение и защиту своей личной и семейной тайны.

В шестой главе речь идет о сборе, обработке и хранении персональных данных.

Обработка персональных данных субъекта - получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта.

К обработке, передаче и хранению персональных данных работника могут иметь доступ такие отделы, как: бухгалтерия, служба управления персоналом, юридический отдел и IT-отдел.

При передаче персональных данных о работнике организация должна соблюдать следующие требования: не сообщать данные о сотруднике третьей стороне без его разрешения; не сообщать данные в коммерческих целях; разрешить доступ только специально уполномоченным лицам; передавать персональные данные субъекта представителям субъекта в порядке, установленном законом.

Глава седьмая описывает доступ к персональным данным каждого сотрудника Центра.

Право доступа к ним имеют следующие лица: руководитель Центра, руководитель и специалисты структурных подразделений по направлению деятельности, при переводе в новое подразделение. Это право является внутренним доступом (доступ внутри ЦИТОИСа).

Во внешнем доступе право доступа к персональным данным каждого сотрудника имеют следующие лица: надзорно-контрольные органы, субъект, его родственники и члены семей.

В восьмой главе речь идет о защите персональных данных и видах защиты.

Угроза персональных данных - реальное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события.

Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждение нарушение доступности, целостности, достоверности и конфиденциальности данных.

Виды защиты:

внутренняя защита;

Основным виновником НСД к данным является, как правило, сам персонал, работающий с документами и базами данных.

Для того, чтобы защитить персональные данные, необходимо выполнить ряд условий: ограничение состава работников, функциональные обязанности которых требует конфиденциальных знаний; строгое избирательное распределение документов и информации между работниками; рациональное размещение рабочих мест работников; знание работником нормативно-методических документов по защите и тайне информации; наличие необходимых условий для работы с данными, определение состава сотрудников, которые должны иметь право доступа в помещение с вычислительной техникой; порядок уничтожения информации; своевременное выявление нарушения требований доступа разрешения работникам подразделения.

Личные дела должны выдаваться на рабочие места только руководителю ЦИТОИСа. Защита персональных данных должна находиться на электронных носителях.

внешняя защита.

Для того, чтобы защитить персональные данные создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, который пытается совершить НСД и овладение информацией о каждом сотруднике. Цель и результат НСД на персональные данные - овладение и их использование, видоизменение, уничтожение, внесение вирусного ПО, подмена, фальсификация реквизитов документа и т.д.

Постороннее лицо - любое лицо, не имеющее непосредственного отношения к деятельности ЦИТОИСа.

Для предотвращения утечки информации необходимо выполнить следующие меры: порядок приема, учета и контроля деятельности посетителей; пропускной режим; учет и порядок выдачи удостоверений; технические меры охраны; порядок охраны территории.

Глава девятая описывает ответственность о разглашении персональных данных о каждом сотруднике данной организации.

Персональная ответственность - это одно из главных требований к ЦИТОИСу функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

Кроме этого еще используется программно-технические средства:

пароль - случайный набор букв или чисел;

Основная операционная система (далее ОС) в ЦИТОИСе - Windows XP. Ее почти все сотрудники использую при работе с разными родами документации. Также есть ОС Windows 7, используемая системным администратором.

Создание пароля происходит в учетной записи пользователя. Для его создания можно посмотреть в Приложениях (Приложение ). В ней есть создание пароля как и для Windows XP, так и для Windows 7. Установка пароля в этих двух операционных системах абсолютно идентичны за исключением одного: в Windows 7 есть одна функция под названием «Удаление пароля», такое в Windows XP отсутствует.

аутентификация - процедура проверки подлинности;

Аутентификация имеет 4 способов: по многоразовым паролям (запрашивает логин и пароль); по одноразовым паролям (при получении многоразового пароля, злоумышленник может иметь постоянный доступ к ресурсам к взломанным конфиденциальным данным); многофакторная аутентификация (построена на совместном использовании нескольких факторов аутентификации); биометрическая аутентификация (основан на измерении биометрических данных человека). Простая аутентификация имеет общий алгоритм и представлена в приложениях.

антивирусная программа - специализированная программа для обнаружения вирусного ПО.

Самые известные на данный момент в мире антивирусные программы - это Microsoft Security Essentials и Eset Smart Security End Point.

В данной организации используется антивирусная программа Eset NOD32. Второе название - Eset Smart Security.

Данное ПО позволяет незамедлительно очистить ПК и портативных сменных носителей информации пользователя от вредоносных программ, а если сотрудник ЦИТОИСа находится в сети Интернет, то данная антивирусная программа заблокирует сайт и добавит его во вкладку «Служебные программы» в пункт «Карантин». Там будет подробное описание о вирусе. Установлена на каждом персональном компьютере и имеет значок в виде глаза.

Имеет четыре версии: 2.x, 3.x, 4.x, 5.x.

В каждой версии имеется свой состав.

Версии 2.x и 3.x между собой имеют схожий состав. В версиях 2.x и 3.x есть Antivirus MONitor (AMON) - резидентский сканер, который автоматически проверяет файлы на наличие вирусных ПО; NOD32 - сканер по запросу, который можно запустить вручную для проверки отдельных файлов и папок, также может запуститься в часы с наименьшей загрузкой с помощью планировщика; Internet MONitor (IMON) - данный модуль проверяет стек протоколов HTTP и HTTP-трафик также может конфликтовать в версиях 2.x с некоторыми службами Windows Serverи с некоторыми межсетевыми экранами (например, Kerio WinRoute). При установке необходимо учитывать возможность конфликтов; E-mail MONitor (EMON) - дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI (ПО, позволяющее приложениям работать с различными системами передачи электронных сообщений), например, в Microsoft Outlook и Microsoft Exchange.

В версии 4.x есть: модуль защиты от вирусов и шпионских программ (использование ядра на основе технологии TheatSense и оптимизировано, улучшено в соответствии с требованиями новой архитектуры Eset Smart Security); персональный брандмауэр (отслеживание всего трафика между ПК с защитой и другими ПК); модуль защиты от нежелательной почты (фильтрует нежелательную почту, повышая при этом уровень безопасности).

Версия 5.x имеет такой состав: ESET Live Grid (обеспечение надежной защиты от Интернет-угроз и вредоносных программ в режиме реального времени); Parental Control (защита от нежелательного контента); Enhanced Media Contorl (автоматическое сканирование всех съемных носителей информации); Advanced HIPS Functionality (настройка поведения системы целом и каждой ее части); Gamer Mode (автоматический режим перехода в беззвучный режим во время работы в полноэкранном режиме);

Глава 3.Рекомендация по улучшению безопасности персональных данных

3.1 Dallas Lock - наилучшее решение для МАОУ ДОД ЦТР и ГО «Информационные технологии» для защиты персональных данных

Изучив и рассмотрев Политику информационной безопасности и Положение о защите персональных данных, было предложено программный продукт под названием «Dallas Lock» для улучшения защиты персональных данных о каждом сотруднике данной организации.

Dallas Lock - это программный продукт, использующийся как система защита информации в течении ее хранения и обработки, от НСД. Показывает себя как программный комплекс средств защиты информации в АС. Начала работать как простой замок на операционную систему MS-DOS, но со временем работать стала в семействе ОС Windows, начиная с ОС Windows 95.

Позволяет уменьшить вероятность угроз персональных данных на 50 %.

Для этой программы созданы специальные системы классов: 1Б, 1В, 1Г, 1Д, 2А, 2Б, 3А, 3Б.

Также созданы классы для защиты персональных данных: К1, К2, К3 и К4

Ее назначение в том, что обеспечивает защиту стационарных и портативных компьютеров как в автономном, так и в составе локальной вычислительной сети (сеть, покрывающая небольшую площадь), от НСД.

Использование данной программы в проектах по защите конфиденциальной информации позволяет привести АС в соответствие с требованиями законов РФ, стандартов и руководящих документов.

Разработчиком данного ПО является российская фирма ООО «Конфидент».

Лицензия данной программы - проприетарная (ПО, являющееся частной собственностью авторов или правообладателей и не удовлетворяющих критериям свободно ПО).

Ее использование может быть в двух вариантах:

зашита ПК без централизованного управления, т.е. защита маленького количества ПК и серверов.

защита ПК с централизованным управлением в сетях без наличия Active Directory с использованием модуля «Сервер безопасности Dallas Lock»

Также может использовать некоторые аппаратные идентификаторы: USB-Flash-накопитель; электронные ключи Touch Memory; USB-ключи Aladdin eToken Pro/Java (смарт-карта); смарт-карты Aladdin eToken PRO /SC; USB-ключи Rutoken (персональное средство аутентификации) и Rutoken ЭЦП (персональное средство аутентификации с электронной подписью).

Существуют тринадцать версий этой программы, которые приведены ниже.

Версия	Поддерживаемы ОС
СЗИ от НСД Dallas Lock 4.1	Windows 95/98
СЗИ от НСД Dallas Lock 5.0	Windows NT
СЗИ от НСД Dallas Lock 6.0	Windows 95/98/ME
СЗИ от НСД Dallas Lock 7.0	Windows 2000/XP
СЗИ от НСД Dallas Lock 7.5	Windows 2000/XP
Сервер безопасности Dallas Lock 7.5	Windows 2000/XP
СЗИ от НСД Dallas Lock 7.7	Windows XP/Vista/7
Сервер безопасности Dallas Lock 7.7	Windows XP/Vista/7
СЗИ от НСД Dallas Lock 8-K	Windows XP/Vista/7/8
Сервер безопасности Dallas Lock 8-K	Windows XP/Vista/7/8
СЗИ от НСД Dallas Lock 8-С	Windows XP/Vista/7/8
Сервер безопасности Dallas Lock 8-С	Windows XP/Vista/7/8

Шесть последних версий являются текущими.

Имеет несколько хороших возможностей: в последних версиях этого ПО имеется система генерации паролей, соответствующая всем параметрам сложности; в системе есть возможность ограниченного доступа пользователей к персональному компьютеру по дате и времени; возможность использования двух принципов контроля доступа к объектам файловой системы - дискреционный (этот принцип сочетает в себе и защиту и ограничение прав, которые применяются по отношению к компьютерным процессам и данным. предназначение которого предотвращение их нежелательного использования) и мандатный (разграничение доступа субъектов к объектам, которое основано на конфиденциальности); возможность создания отчета по правам и конфигурациям с выводом на печать.

Одним недостатком использования этой программы является то, что может отсутствовать возможность работы с командной строкой для создания сценариев автоматизации некоторых процедур.

Руководящими документами являются: руководящий документ «Автоматизированные системы. Защита от НСД к информации»; приказ ФСТЭК России «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»; приказ ФСТЭК России «Об утверждении Требований о защите информации, не составляющей государственной тайны».

Среди всех версий программы Dallas Lock самыми популярными является версии Dallas Lock 7.5 и Dallas Lock 8.0-K.

Dallas Lock 7.5 имеет ряд основных возможностей, которые непосредственно влияют на безопасность информации:

запрет загрузки ПК посторонним лицам;

очистка остаточной информации;

удаленное администрирование;

отсутствие обязательной аппаратной часи;

возможность установки программы на портативные компьютеры;

контроль целостности ресурсов персонального компьютера.

Данная версия может использоваться для защиты государственной тайны категории «Совершенно секретно».

Отличия данной версии от предыдущих: сервер безопасности; менеджер серверов безопасности; преобразование файлов и папок; просмотр снимков экрана; доработка ряда опций, улучшение интерфейса.

Dallas Lock 8.0-K - система защиты информации от НСД, обеспечивающая защиту конфиденциальной информации на ПЭВМ и ЛВС путем разграничения полномочий пользователей по доступу к файловой системе и другим ресурсам.

Эта версия имеет сертификат в области защиты персональных данных за номером ФСТЭК России № 2720.

Также имеет инструкцию по аварийному восстановлению ПО: аварийное декодирование; отключение загрузчика Dallas Lock 8.0 и подмена системных файлов; очистка реестра.

Dallas Lock 8.0-K позволяет ставить защиту информационных систем рабочего пространства Windows To Go операционной системы Windows 8 на флеш-накопителе.

Может еще быть в качестве средства опознавания пользователей и использовать электронные идентификаторы. Кроме описанных ранее аппаратных средств, которые программа может поддерживать, эта версия может еще поддерживать USB-брелоки eToken.

Также эта система имеет сертификат ФСТЭК, который говорит о соответствии системы защиты информации от НСД. Может быть использовано при создании защищенных автоматизированных систем.

Предоставляет следующие возможности: в соответствии со своим назначением, система запрещает посторонним лицам доступ к ПК; предоставление индивидуальных паролей; наличие генератора паролей; наличие дискреционного принципа контроля доступа; механизм контроля целостности параметров компьютера; включение подсистемы очистки остаточной информации; реализация механизма преобразования информации; настройка «Замкнутой программной среды» - режим, в котором пользователь может запускать только то ПО, которое системный администратор засчитает нужными для работы; возможность работать удаленно; наличие подсистемы самодиагностики.

Заключение

Адекватный уровень информационной безопасности в ЦИТОИСе можно обеспечить на основе комплексного подхода, реализация которого необходимо начинать с разработки и внедрения Политики информационной безопасности. Она позволяет уменьшить уровень риска кражи и утечки персональных данных о каждом сотруднике данной организации.

Эффективная Политика безопасности определяет весь необходимый и достаточный набор требований безопасности, которые позволяют уменьшить процент всех рисков информационной безопасности до приемлемой величины. Она оказывает минимальное влияние на производительность труда, учитывают особенности всех бизнес-процессов, которые существуют в ЦИТОИСе и которын поддерживаются руководством данной организации.

Разработка и внедрение политики защиты персональных данных - процесс коллективного творчества.

Для разработки эффективной информационной безопасности необходимо учитывать основные факторы. влияющие на эффективность информационной безопасности.

Таким образом, можно говорить, что наиболее благоприятным программным продуктом для защиты персональных данных является Dallas Lock из-за своей неплохой стоимости практичности в использовании.

Данная программа будет наиболее лучшим вариантом защиты персональных данных, учитывая тот факт, что постоянно

Приложение 1

«Создание ботнета».

Приложение 2

«Создание пароля в Windows XP и Windows 7»

Windows XPWindows 7

Панель управления

Учетные записи пользователей

Создание нового пароля

Удаление пароля

Приложение 3

«Простая аутентификация»

субъект запрашивает доступ в систему и вводит личный логин и пароль;

введенные неповторимые данные поступают на сервер аутентификации, где сравниваются с эталонными;

при совпадении данных с эталонными аутентификация признается успешной, при различии - перемещение к 1-му шагу.