Формирование требований к системе защиты персональных данных

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«Университет ИТМО»

Факультет компьютерных технологий и информационной безопасности

Кафедра проектирования и безопасности компьютерных систем

Отчет по преддипломной практике

на тему: Формирование требований к системе защиты персональных данных, обрабатываемых в информационных системах персональных данных НАО «Вальмонт индастрис»

Проверил:

Тушканов Е.В.

Выполнила:

Седышева В.Д.

Санкт-Петербург - 2016 г



Оглавление

Введение

Глава 1. Отчет об обследовании ИСПДн в НАО «Вальмонт индастрис»

1.1 Характеристика организационно-административного уровня обеспечения информационной безопасности

1.2 Характеристика корпоративной информационной вычислительной сети организации в части обработки ПДн

1.3 Описание программных средств, обрабатывающих ПДн в ИСПДн «Бухгалтерия и кадры»

1.4 Перечень средств защиты используемых в ЛВС организации

Глава 2. Частная модель угроз ПДн, обрабатываемых в ИСПДн «Бухгалтерия и кадры»

2.1 Разработка модели нарушителя для ИСПДн «Бухгалтерия и кадры»

Глава 3. Формирование организационных и технических мер защиты ИСПДн «Бухгалтерия и кадры»

Глава 4. Формирование перечня ОРД по защите ПДн для ИСПДн «Бухгалтерия и кадры»

Заключение

Список литературы

Перечень сокращений



Введение

Объектом исследования данной курсовой работы является НАО «Вальмонт индастрис».

Предметом исследования курсовой работы являются требования к системе защиты ПДн, обрабатываемых в ИСПДн.

Цель данной курсовой работы выявление соответствия требованиям законодательства РФ в области обеспечения безопасности ПДн по результатам обследования ИСПДн НАО «Вальмонт индастрис».

Модель угроз разрабатывается с учетом «Методики определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и нормативных правовых актов РФ и документов ФСТЭК в области обеспечения безопасности ПДн.

Формирование перечня мер по обеспечению безопасности ПДн, подлежащих реализации в информационной системе в рамках системы защиты ПДн осуществляется с учетом приказа ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 и ПП РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012.

Формирование перечня ОРД по защите ПДн осуществляется с учетом нормативных правовых актов РФ и документов ФСТЭК в области обеспечения безопасности ПДн.



Глава 1. Отчет об обследовании ИСПДн в НАО «Вальмонт индастрис»

Обследование проводилось с целью сбора сведений об информационных системах персональных данных НАО «Вальмонт индастрис» для последующего проведения работ, связанных с выявлением соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности персональных данных.

Целями обследования информационных систем персональных данных предприятия, являются:

ѕ получение сведений о текущем состоянии защиты ПДн, обрабатываемых на предприятии;

ѕ формирование перечня мер по обеспечению безопасности ПДн, подлежащих реализации в информационной системе в рамках системы защиты персональных данных;

ѕ формирование комплекта организационно-распорядительных документов по защите ПДн в НАО «Вальмонт индастрис».

Информационное обследование проведено путем:

ѕ изучения нормативно-технической документации, действующей на предприятии;

ѕ наблюдения за порядком работы ИСПДн, используемых для обработки и хранения персональных данных на предприятии.

1.1 Характеристика организационно-административного уровня обеспечения информационной безопасности

НАО «Вальмонт индастрис» (далее -- Организация) зарегистрировано 21 мая 2015 г.

Расположение предприятия: 198260, Российская Федерация, г. Санкт-Петербург, Суздальское шоссе, 40

Основным видом деятельности является разработка ПО, организация правовой защиты информации и консультирование.

Организационная структура организации представлена на рисунке 1.

Рисунок 1. Организационная структура НАО «Вальмонт индастрис»

Ответственность за организацию работ и выполнение требований по технической защите персональных данных, обрабатываемых на предприятии (далее -- ПДн), возлагается на руководителя службы безопасности, руководителя информационной службы (далее -- отдел ИТ).

Функции служб и подразделений в области обеспечения ИБ:

ѕ обеспечение и организация исполнения защиты информации -- служба безопасности;

ѕ обеспечение безопасности данных при их обработке в ИС -- служба безопасности;

ѕ выделении помещений для обработки конфиденциальной информации -- кадровая служба;

ѕ разработка и контроль выполнения требований нормативно-правовых актов, касающихся сферы защиты информации -- юридический отдел;

ѕ контроль выполнения требований нормативно-правовых актов, нормативных и распорядительных документов, касающихся защиты информации -- руководители отделов, занимающихся обработкой, хранением конфиденциальных данных.

На руководителей отделов возлагаются обязанности по доведению до сотрудников отдела существующих нормативных и распорядительных документов, касающихся сферы защиты информации. Непосредственное выполнение задач по эффективному обеспечению защиты информационных ресурсов возложено на службу безопасности НАО «Вальмонт индастрис».

Специалистами отдела ИТ осуществляется:

· установка и сопровождение антивирусной защиты;

· управление доступом к объектам информатизации;

· установка, настройка и своевременное обновление элементов ИСПДн;

· обеспечение работоспособности элементов ИСПДн и локальной вычислительной сети;

· осуществление контроля за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных.

Перечень организационно-распорядительных документов по обеспечению безопасности ПДн:

· Политика ИБ;

· Положение об обеспечении безопасности ПДн;

· Должностные инструкции сотрудников.

1.2 Характеристика корпоративной информационной вычислительной сети организации в части обработки ПДн

Объектом обследования являются ИС, используемые на предприятии, архитектура КИВС и ее функционирование.

Для определения перечня и границ ИС были обработаны следующие данные:

· организация бизнес-процессов и обеспечивающих их функциональных задач, использующих ПДн;

· архитектура КИВС;

· состав технического, программного, информационного обеспечения, используемого для обработки ПДн.

На основании результатов обработки указанных данных выделены следующие основные бизнес-процессы, использующие ПДн:

· бухгалтерский учет;

· управление персоналом;

· техническая поддержка персонала.

Кроме того, выявлены следующие обеспечивающие процессы, использующие ПДн:

· обмен почтовыми сообщениями с корреспондентами внутри и вне организации;

· обмен файлами между сотрудниками внутри корпоративной сети.

Для определения архитектуры ИС была проведена обработка данных о составе технического, программного, информационного обеспечения, используемого для обработки ПДн, а именно о:

· местах размещения компьютерных средств, обрабатывающих ПДн;

· структуре ИС;

· режиме разграничения прав доступа пользователей ИС;

· наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

· режиме обработки ПДн.

По итогам обследования КИВС НАО «Вальмонт индастрис» было выявлено 3 ИСПДн, представленных в таблице 1. Перечень ИС и их назначение приведены в таблице 2.



Таблица 1 - Перечень ИСПДн, в которой должна быть обеспечена безопасность

№ п/п	Наименование ИСПДн	Состав ИС	Подразделения, в которых используется ИС	Назначение системы
		Подсистемы	Серверы
1	Бухгалтерия и кадры	1С: Зарплата и Управление персоналом 8.0	Selena01	Отдел труда и зарплаты, кадровая служба	Управление кадрами предприятия, расчет заработной платы сотрудников
2	Банк-клиент	Банк-клиент Сбербанк	Удалённый WEB-сервер	Отдел труда и зарплаты	Проведение электронных операций с банком Сбербанк
3	Техническая поддержка персонала	ИС «Корпоративная сеть»	Selena03	ИТ-отдел	Управление внутренней вычислительной сетью предприятия, предоставление пользователям распределенных ресурсов

Таблица 2 - Перечень ИС организации и перечень ПДн, обрабатываемых в этой организации

Наименование ИС	Количество субъектов ПДн, обрабатываемых в ИС	Количество сотрудников, имеющих доступ к ИС (включая администраторов)	Расположение ИСПД в выделенном защищаемом помещении	Наличие подключений ИС к сетям связи общего пользования	Обслуживание ИС сотрудниками других организаций	Перечень ПДн, обрабатываемых в ИС
Бухгалтерия и Кадры	200	10	320, 322, 215	Нет	ООО «1С»	– ФИО, дата рождения; – адрес регистрации, семейное положение; – информация о трудовом стаже, предыдущих местах работы; – информация о воинской обязанности; – образование, сведения о квалификации; – сведения о должности, зарплате, месте работы, рабочем месте; – информация о приеме на работу, переводе, увольнении, назначениях, других событиях, связанных с трудовой деятельностью; – номер расчетного счета, ИНН, данные страхового свидетельства обязательного пенсионного страхования; – больничный лист.
Продолжение таблицы 2 - Перечень ИС организации и перечень ПДн, обрабатываемых в этой организации
Банк-клиент	До 500	4	322	Есть	ОАО «Сбербанк»	– ФИО; – паспортные данные, включая номер паспорта, сведения о дате выдачи и выдавшем паспорт органе, дату рождения, место рождения, пол, адрес регистрации; – адрес местонахождения; – занимаемая(ые) должность(и) – контактная информация, включая номера телефонов, факсов, e-mail; – сведения о доходах и их источниках; – идентификационный номер налогоплательщика; – номера иных счётов.
Техническая поддержка персонала	200	25	344, 319, 202	Нет	Нет	– ФИО, телефон; – сведения о должности, рабочем месте

1.3 Описание программных средств, обрабатывающих ПДн в ИСПДн «Бухгалтерия и кадры»

Программное средство «Зарплата и управление персоналом»

ПС «1С: Зарплата и управление персоналом 8.0» НАО «Вальмонт индастрис» (далее - ЗУП система) предназначена для комплексной автоматизации расчета заработной платы и реализации кадровой политики организации.

Система эксплуатируется в отделе труда и зарплаты, кассе и кадровой службе ОАО «AllProjects». Общее количество пользователей системы - 10 человек. Обслуживание системы осуществляется специалистами ООО «1С». ПС «ЗУП» приобретена у компании ООО «1С» в 2014 году. Внедрение ПС осуществлялось собственными силами без привлечения сторонних организаций. Документально оформленное (в виде приказа, распоряжения о вводе в строй) основание для эксплуатации системы отсутствует.

Техническое задание, проектная и рабочая документация на систему отсутствует. Из эксплуатационной документации имеются комплект документов по работе с системой. ПС «ЗУП» является сетевой, многопользовательской системой с разграничением доступа пользователей. Пользователи ПС не имеют доступ к сети Интернет.

ПС «ЗУП» является системой управления предприятием, в состав которой входят следующие подсистемы:

– расчет заработной платы;

– управление персоналом.

– Система реализована в файловом варианте для многопользовательской работы и состоит из следующих компонентов:

– файловая СУБД;

– клиентская часть приложения.

Информационная база ПС хранится на сервере Selena01 в выделенном помещении 320.

Анализ обрабатываемой в ПС «ЗУП» информации показывает, что в ней ведется обработка ПД сотрудников предприятия.

Документально оформленный регламент предоставления пользователям доступа в систему отсутствует. Предоставление пользователям доступа к ПС «ЗУП» с заведением учетной записи осуществляется ответственным за систему после получения устной заявки или письма по электронной почте от начальников отделов заработной платы или кадровой службы. Идентификаторы, права доступа и пароли пользователей хранятся в БД системы. Для доступа каждого пользователя к БД используется отдельная учетная запись. Разграничение доступа пользователей к данным в ПС «ЗУП» реализовано на основе ролевого принципа управления доступом.

Доступ пользователей в ПС «ЗУП» осуществляется посредством прохождения процедур идентификации и аутентификации на основе ввода имени пользователя (логина) и его пароля.

Регламент резервного копирования отсутствует. Резервное копирование БД и ПС «ЗУП» осуществляется перед установкой обновлений или внесением изменений в ПО ПС.

Средства аудита представляют собой журнал регистрации событий входа/выхода пользователя в/из системы и времени изменения/удаления записей. Просмотр и анализ журналов осуществляется по мере необходимости.

Непосредственное взаимодействие рассматриваемой ПС с другими ПС не осуществляется. Данные из ПС «ЗУП», выгружаемые в файл формата xml, используются для резервного копирования данных в процессе их обработки. Обмен файлами между подсистемами осуществляется посредством общего сетевого ресурса, доступ к которому имеют пользователи с соответствующими правами. Никаких ограничений по времени использования ПС «ЗУП» не накладывается, кроме случаев внесения изменений в БД, когда на время изменений доступ пользователей к ПС блокируется.

Серверы

Для обработки ПДн используются серверы баз данных, хранилища данных, серверы обработки данных.

– Серверы, на которых обрабатываются ПД, не выделены в группу.

– Перечень серверов, участвующих в обработке ПД, представлен в таблице 3

– Управление серверами осуществляется локально.

– Системы мониторинга работоспособности, а также производительности и системных ресурсов не используются.

– Операции конфигурирования системы и внесения в нее изменений записываются в системном журнале.

– Обновление серверов осуществляется регулярно централизованно.

Таблица 3 - Перечень серверов, участвующих в обработке ПДн

Список серверов, участвующих в обработке ПД (логическое имя сервера, ip-адрес)	ОС сервера	Выполняемая роль	В составе какой ИС используется	Физическое расположение сервера
Server01	Windows Server 2012 R2	Серверная часть системы 1С + хранилище данных	Бухгалтерия и Кадры	Информационная служба, каб. 320.
Server03	Windows Server 2012 R2	Серверная часть системы «Корпоративная сеть управления» + хранилище данных	Техническая поддержка персонала	Информационная служба, каб. 344.

Рабочие станции

– Использование мобильных устройств запрещено.

– ОС Windows 7 Корпоративная.

– Обновление ПО, ОС, управление политиками осуществляется централизованно, при помощи ИС «Корпоративная сеть управления».

– Аппаратная защита загрузки BIOS.

– Удаленное подключение к ресурсам ОАО «AllProjects» запрещено.

– Контроль установки ПО осуществляется с использованием групповых политик безопасности.

– Все пользователи имеют права локальных администраторов.

– Антивирусную защиту обеспечивает ПО «Microsoft Essential».

Служба каталогов

На предприятии используются службы Active Directory для аутентификации и предоставления доступа пользователям к сетевым ресурсам и входу в ОС.

Сетевая инфраструктура

ЛВС выполняет следующие функции:

– обеспечение централизованного управления;

– предоставление выделенного хранилища данных;

– предоставление ИС обработки данных пользователям.

– Топология ЛВС - звезда.

В качестве активного сетевого оборудования используется:

1. Cisco Catalyst 6500 Series Switch;

2. Cisco ASA 5500.

– Подключения к сетям WiFi - нет.

– ИС, обрабатывающий ПД выделены в IP подсети.

– Назначение IP-адресов осуществляется с Cisco Catalyst 6500 Series.

– Межсетевое экранирование для сегментов ИС не осуществляется.

– Выход в сеть Интернет организован через межсетевой экран

– Канал в сеть Интернет предоставляется одним провайдером SkyNet. Пропускная способность канала связи составляет 30Мбит/с.

– Маршрутизация внутреннего и внешнего трафика осуществляется через межсетевой экран, обладающий функциями шлюза.

– Обнаружение вторжений в сеть реализовано с помощью межсетевого экрана, в который встроена система обнаружения вторжений (Cisco Catalyst 6500 Series Instruction Detection System Service Module).

1.4 Перечень средств защиты используемых в ЛВС организации

Перечень СЗИ, используемых в НАО «Вальмонт индастрис», представлен в таблице 4.

Специальная защита компонентов ИС не осуществляется. Все применяемые средства защиты - общие для всех информационных ресурсов (в том числе для ИС). Все применяемые СЗИ не сертифицированы ФСТЭК России. информационный безопасность вычислительный сеть

Таблица 4 - Перечень СЗИ, используемых в НАО «Вальмонт индастрис»

Наименование ИС	Бухгалтерия	Техническая поддержка персонала	Банк-Клиент
Средства антивирусной защиты	Серверы	Microsoft Essential
	РС пользователей
Средства межсетевого экранирования	Cisco ASA 5500
Средства защиты каналов связи	-	VPN (VipNet)
Средства анализа защищенности	Система комплексного анализа защищенности «Сканер-ВС»	-
Средства предотвращения вторжений	Cisco Catalyst 6500 Series Instruction Detection System Service Module	-
Средства защиты от несанкционированного доступа (НСД)	ОС	Windows Server 2012 R2
	ПС	1C 8.2	ПС «Корпоративная сеть Управления»	ПС «Банк-Клиент Сбербанк»
Средства мониторинга ИБ	Система мониторинга и корреляции событий «HP ArcSight»
Средства резервного копирования	Cobian Backup	-



Глава 2. Частная модель угроз ПДн, обрабатываемых в ИСПДн «Бухгалтерия и кадры»

Методика определения модели нарушителя ИБ

Типовой перечень и классификация нарушителя.

1. категория - нарушители информационной безопасности, не имеющие доступ контролируемую зону.

2. категория - нарушители информационной безопасности, имеющие разовый или постоянный доступ в контролируемую зону.

К 1-й категории относятся внешние нарушители, которые могут быть как одиночными, так и групповыми.

Ко 2-й категории относятся как внешние, так и внутренние нарушители, которые могут действовать в одиночку так и группой.

Уровень мотивации нарушителя - это вербальный показатель, который отражает степень интереса нарушителя информационной безопасности, побуждающего последнего к совершению деструктивных действий в отношении объекта защиты. Определение уровня мотивации осуществляется на основании таблицы 5.

Таблица 5 - Определение уровня мотивации нарушителя

Уровень мотивации	Мотивация нарушителя
Крайне высокий	Корыстные интересы, достижение политических целей.
Высокий	Корыстные цели, религиозные убеждения, принуждение, месть.
Средний	Профессиональное самоутверждение, желание прославиться, идеологические соображения.
Низкий	Недовольство, хулиганство, вандализм, развитие и тренировка навыков.
Минимальный	Любопытство, отсутствие мотивов.

Определение уровня опасности осуществляется с учетом опасности нарушителя. Определение актуальности нарушителя информационной безопасности с учетом уровня мотивации и опасности осуществляется на основании табл. 6

Таблица 6 - Определение актуальности нарушителя ИБ

Уровень мотивации нарушителя	Актуальность нарушителя (уровень опасности)
	Минимальная	Низкая	Средняя	Высокая
Минимальный	Н	Н	Н	Н
Низкий	Н	Н	Н	А
Средний	Н	Н	А	А
Высокий	Н	А	А	А
Крайне высокий	А	А	А	А

Методика разработки модели угроз

Модель угроз - документ, использующийся для:

– анализа защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;

– разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

– проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

– недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;

– контроля обеспечения уровня защищенности персональных данных.

В соответствии с документом ФСТЭК «Методика определения актуальности угроз безопасности персональных данных при их обработке в информационных системах персональных данных» определяем степень исходной защищенности ИСПДн.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 8.

Таблица 8 - Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
1. По территориальному размещению:
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;	-	-	+
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);	-	-	+
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;	-	+	-
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;	-	+	-
локальная ИСПДн, развернутая в пределах одного здания.	+	-	-
2. По наличию соединения с сетями общего пользования:
ИСПДн, имеющая многоточечный выход в сеть общего пользования;	-	-	+
ИСПДн, имеющая одноточечный выход в сеть общего пользования;	-	+	-
ИСПДн, физически отделенная от сети общего пользования.	+	-	-
3. По встроенным (легальным) операциям с записями баз ПДн:
чтение, поиск;	+	-	-
запись, удаление, сортировка;	-	+	-
Продолжение таблицы 8 - Показатели исходной защищенности ИСПДн
модификация, передача.	-	-	+
4. По разграничению доступа к ПДн:
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;	-	+	-
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;	-	-	+
ИСПДн с открытым доступом.	-	-	+
5. По наличию соединений с другими базами ПДн иных ИСПДн:
интегрированная ИСПДн	-	-	+
ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн	+	-	-
6. По уровню обобщения (обезличивания) ПДн:
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);	+	-	-
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;	-	+	-
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).	-	-	+
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю базу данных с ПДн;	-	-	+
ИСПДн, предоставляющая часть ПДн;	-	+	-
ИСПДн, не предоставляющая никакой информации.	+	-	-

Исходная степень защищенности определяется следующим образом:

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2 , а именно:

– 0 - для маловероятной угрозы;

– 2 - для низкой вероятности угрозы;

– 5 - для средней вероятности угрозы;

– 10 -для высокой вероятности угрозы.

По значению реализации угрозы ставится вербальная интерпретация реализуемости угрозы, если:

– 0?Y?0.3 - низкая возможность реализации угрозы,

– 0.3<Y?0.6 - средняя возможность реализации угрозы,

– 0.6<Y?0.8 - высокая возможность реализации угрозы,

– Y>0.8 - очень высокая возможность реализации угрозы.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

– низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн;

– средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов ПДн;

– высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 9.



Таблица 9 - Правила отнесения угрозы безопасности ПДн к актуальной

Возможность реализации угрозы	Показатель опасности угрозы
	Низкая	Средняя	Высокая
Низкая	Н	Н	А
Средняя	Н	А	А
Высокая	А	А	А
Очень высокая	А	А	А

2.1 Разработка модели нарушителя для ИСПДн «Бухгалтерия и кадры»

Определим уровень мотивации нарушителя, для этого воспользуемся таблицей определения мотивации, а итоговый уровень мотивации будем определять исходя из максимального уровня мотива из всех мотивов для конкретного нарушителя. Данные определение уровня мотивации нарушителя для ИСПДн «Бухгалтерия и кадры» представлены в таблице 10.

Таблица 10 - Определение уровня мотивации нарушителя для ИСПДн «Бухгалтерия и кадры»

Нарушитель	Мотивация нарушителя	Уровень мотивации
Криминальные структуры	достижение материальной выгоды; корыстный интерес.	Крайне высокий
Конкуренты	достижение материальной выгоды; корыстный интерес; подрыв репутации.	Крайне высокий
Недобросовестные партнеры	подрыв репутации.	Крайне высокий
Бывшие сотрудники	месть; недовольство.	Высокий
Разработчики ПО	желание прославиться; хулиганство; развитие и тренировка навыков.	Средний
Начинающие взломщики ИСиС	желание прославиться; любопытство; развитие и тренировка навыков; профессиональное самоутверждение	Средний
Посетители	любопытство; хулиганство.	Низкий
Обслуживающий персонал	любопытство; хулиганство; недовольство.	Низкий
Пользователи информационной инфраструктуры	достижение материальной выгоды; любопытство; хулиганство.	Крайне высокий
с полномочиями сис. администратора	месть; недовольство.	Низкий
с полномочиями администратора ИБ	Мотив отсутствует	Минимальный
с полномочиями разработчика ПО	Мотив отсутствует	Минимальный

Определение актуальности нарушителя представлено в таблице 11.

Таблица 11 - Определения актуальности нарушителя

Нарушитель ИБ	Уровень мотивации	Уровень опасности	Актуальность
Криминальные структуры	КВ	М	Н
Конкуренты	КВ	М	Н
Недобросовестные партнеры	КВ	Н	А
Бывшие сотрудники	В	С	А
Разработчики ПО	С	М	Н
Начинающие взломщики ИСиС	С	М	Н
Посетители	Н	М	Н
Обслуживающий персонал	Н	М	Н
Пользователи информационной инфраструктуры	КВ	Н	А
с полномочиями системного администратора	Н	С	Н
с полномочиями администратора ИБ	М	В	Н
с полномочиями разработчика ПО	М	С	Н

Таким образом, можно определить следующих актуальных нарушителей для ИСПДн «Бухгалтерия и кадры»:

· недобросовестные партнеры;

· бывшие сотрудники;

· пользователи информационной инфраструктуры.

Уязвимость - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами. В соответствии с разработанной моделью нарушителя для ИСПДн «Бухгалтерия и кадры» актуальными нарушителями являются:

· недобросовестные партнеры;

· бывшие сотрудники;

· пользователи информационной инфраструктуры.

Угрозы ИБ, не относящиеся к данным нарушителям, являются неактуальными.

ИСПДн «Бухгалтерия и кадры» имеет средний уровень исходной защищенности, таким образом, числовой коэффициент исходной защищенности (Y1) равен 5. Для каждой оставшейся угрозы определяем вероятность возникновения угрозы (Y2), вычислим коэффициент ее реализуемости (Y), ее опасность, и согласно методике разработки модели угроз.

Для ИСПДн «Бухгалтерия и кадры» актуальны следующие угрозы:

· кража носителей информации;

· изменение, кража, уничтожение информации;

· внедрение вредоносных программ;

· доступ к информации, ее модификация, уничтожение лицами, не допущенными к ее обработке;

· угроза безопасности ПДн, обрабатываемых в выделенных средствах обработки (принтерах, плоттерах и т.п.).



Глава 3. Формирование организационных и технических мер защиты ИСПДн «Бухгалтерия и кадры»

В ИСПДн «Бухгалтерия и кадры» обрабатываются ПДн лиц, которые являются сотрудниками оператора, в количестве менее 100000 человек. На основании статьи 12 пункта б ПП РФ №1119 для ИСПДн «Бухгалтерия и кадры» необходимо обеспечение 4-го уровня защищённости.

В соответствии с ПП РФ №1119 базовый перечень мер представлен в таблице 18.

Таблица 18 - Базовый перечень мер для ИСПДн «Бухгалтерия и кадры»

Условное обозначение и номер меры	Содержание мер по обеспечению безопасности ПДн
I. Идентификация и аутентификация субъектов доступа и объектов доступа
ИАФ.1	Идентификация и аутентификация пользователей, являющихся работниками оператора
ИАФ.3	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
ИАФ.4	Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
ИАФ.5	Защита обратной связи при вводе аутентификационной информации
ИАФ.6	Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
II. Управление доступом субъектов доступа к объектам доступа
УПД.1	Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
УПД.2	Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
УПД.З	Управление информационными потоками между устройствами, сегментами информационной системы, а
	также между информационными системами
УПД.4	Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
УПД.5	Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
УПД.6	Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
УПД.13	Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
УПД.14	Регламентация и контроль использования в информационной системе технологий беспроводного доступа
УПД.15	Регламентация и контроль использования в информационной системе мобильных технических средств
УПД.16	Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
V. Регистрация событий безопасности
РСБ.1	Определение событий безопасности, подлежащих регистрации, и сроков их хранения
РСБ.2	Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
РСБ.3	Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
РСБ.7	Защита информации о событиях безопасности
VI. Антивирусная защита (АВЗ)
АВ3.1	Реализация антивирусной защиты
АВ3.2	Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
VIII. Контроль (анализ) защищенности ПДн
АНЗ.2	Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
XI. Защита среды виртуализации (ЗСВ)
ЗСВ.1	Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
ЗСВ.2	Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
XII. Защита технических средств
ЗТС.3	Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения
	функционирования информационной системы, в помещения и сооружения, в которых они установлены
ЗТС.4	Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.3	Обеспечение защиты ПДн от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

3.1 Дополнительное уточнение адаптируемого набора мер для ИСПДн «Бухгалтерия и кадры» в соответствии с иными нормативными правовыми актами

В соответствии с иными нормативными правовыми актами дополнительный набор мер для ИСПДн «Бухгалтерия и кадры» не требуется.



Глава 4. Формирование перечня ОРД по защите ПДн для ИСПДн «Бухгалтерия и кадры»

Перечень ОРД по защите ПДн для ИСПДн «Бухгалтерия и кадры».

Приказы

1. Приказ о составе комиссии по классификации информационных систем ПДн на основании ФЗ №152, ПП РФ №1119

2. Приказ о выделении помещения (помещений) в котором производится обработка конфиденциальной информации, в том числе ПДн на основании ПП РФ №1119

3. Приказ о назначении администраторов безопасности средств защиты ПДн на основании СТР-К, ПП РФ №1119

4. Приказ о назначении комиссии по уничтожению документов с ПДн на основании ФЗ №152

Инструкции

1. Инструкция по порядку учета и хранению съемных носителей на основании СТР-К, ФЗ №152

2. Инструкция, определяющая порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка ПДн на основании ФЗ №152

Положения

(основание ПП РФ №1119, ФЗ №152)

1. Положение о резервировании и восстановлении работоспособности технических средств и ПО, баз данных и средств защиты ПДн

Руководства

(основание СТР-К)

1. Руководство пользователя по эксплуатации технических и программных средств защиты ПДн

2. Руководство администратора по эксплуатации технических и программных средств защиты ПД

Руководства

(основание ПП РФ №1119, приказ ФСТЭК №21)

3. Руководство пользователя по обеспечению безопасности ИСПДн

4. Руководство администратора по обеспечению безопасности ИСПДн

Журналы

(основание ПП РФ №1119, приказ ФСТЭК №21)

1. Журнал учета бумажных и съемных носителей ПДн

Журналы

(основание ПП РФ №1119, приказ ФСТЭК №21, ФЗ №152)

2. Журнал регистрации и учета обращений субъектов ПДн

3. Журнал ознакомления ответственных за обеспечение безопасности ПДн, за выполнение работ по защите ПДн

Перечни

(основание ПП РФ №1119, приказ ФСТЭК №21)

1. Перечень используемых сертифицированных технических средств защиты информации

2. Перечень эксплуатационной и технической документации, применяемых средств защиты информации

3. Перечень носителей ПДн

Перечни

(основание ФЗ №152)

4. Перечень ПДн подлежащих защите

Списки

(основание ПП РФ №1119, приказ ФСТЭК №21)

1. Список помещений, в которых разрешена обработка ПДн

2. Утвержденный список лиц, допущенных в защищаемое помещение

3. Утвержденный список лиц, допущенных к работе в ИС

Акты

(основание ПП РФ №1119, СТР-К)

1. Акт классификации ИСПДн

Планы

(основание ПП РФ №1119, приказ ФСТЭК №21)

1. План мероприятий по технической защите информации на основании

2. План мероприятий по защите ПДн

3. План внутренних проверок состояния защиты ПДн

4. Планы устранения недостатков, выявленных в ходе проверок вопросов защиты информации

Другие

(на основании ПП РФ №1119, приказ ФСТЭК №21)

1. Описание конфигурации и топологии ИСПДн, физических, функциональных и технологических связей внутри этих систем, так и с другими системами различного уровня и назначения, а также режимов обработки

2. Условия расположения объекта информатизации относительно границы контролируемой зоны

Другие

(на основании ФЗ №152)

3. Разделы должностных инструкций сотрудников, имеющих доступ к ИСПДн, в части обеспечения безопасности ПДн

4. Типовые формы документов, предполагающие или допускающие содержание ПДн

5. Копии договоров, заключённых между оператором и субъектом по основным направлениям деятельности, подтверждающего согласие субъекта ПДн на их обработку

6. Распечатка (копия) шаблона содержания ПДн (формы и поля заполнения), определенных оператором, заверенных оператором и государственным инспектором, проводящим проверку

Другие

(на основании СТР-К)

7. Матрица доступа персонала к сведениям конфиденциального характера и разграничение доступа в соответствии с матрицей



Заключение

В результате обследования ИСПДн «Бухгалтерия и кадры» компании НАО «Вальмонт индастрис», удалось выявить соответствия требованиям законодательства РФ в области обеспечения безопасности ПДн.

Для ИСПДн «Бухгалтерия и кадры» была разработана частная модель угроз с учетом «Методики определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», а также модели нарушителя.

Формирование перечня мер по обеспечению безопасности ПДн, подлежащих реализации в ИСПДн «Бухгалтерия и кадры» произведено с учетом приказа ФСТЭК № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 и ПП РФ №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012.

Перечень ОРД для ИСПДн «Бухгалтерия и кадры» сформирован с учетом нормативных правовых актов РФ и документов ФСТЭК в области обеспечения безопасности ПДн.



Список литературы

1. Закон Российской Федерации "О персональных данных" от 27.07.2006 № 152 // Российская газета. 2006 г. № 4131. с изм. и допол. в ред. от 01.09.2015

2. Постановление Правительства Российской Федерации "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 01.11.2012 № 1119 // Российская газета. 2012 г. № 5929.

3. Приказ ФСТЭК "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 18.02.2013 № 21 // Российская газета. 2013 г. № 6083.

4. ФСТЭК России "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 14.02.2008.



Перечень сокращений

ИС - информационная система

ИТ - информационные технологии

ИБ - информационная безопасность

ПО - программное обеспечение

СЗИ - средство защиты информации

ЛВС - локальная вычислительная сеть

ИСПДн - информационная система персональных данных

КИВС - корпоративная информационная вычислительная сеть

ОЗ - объект защиты

ОАО - открытое акционерное общество

ОРД - организационно-распорядительная документация

ОС - операционная система

ПДн - персональные данные

НСД - несанкционированный доступ

НДВ - недокументированные возможности

ПП - постановление правительства

ПЭМИН - побочное электромагнитное излучение и наводки

РФ - Российская Федерация

СТР-К - специальные требования и рекомендации по технической защите конфиденциальной информации

СУБД - система управления базами данных

ФЗ - федеральный закон

ФСТЭК - федеральная служба по техническому и экспортному контролю

Размещено на Allbest.ru