Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Документ'
В последние годы отмечается новый всплеск интереса к лямблиозу. Результаты эпидемиологических исследований по распространенности этого заболевания в ...полностью>>
'Документ'
политические: кризис политической системы, разрушение СССР, несовершенство законодательной базы, обострение межнациональных конфликтов, поток беженце...полностью>>
'Литература'
1. Коммуникативный инвариант перевода в текстах различных жанров. Ред.Чернов Г.В. сб. науч. тр., Моск. гос. ин-т им. М.Тореза, М., 1989, Вып. 243. (...полностью>>
'Документ'
Встреча в Львове с ПРЕДСТАВИТЕЛЕМ КОМПАНИИ. В 9:00 выезд из Львова, в 14:00 из Чопа в Будапешт. вечерняя ознокомительная экскурсия по будапешту- Буда...полностью>>

Исследование существующей информационной системы

Главная > Исследование
Сохрани ссылку в одной из сетей:

Содержание:

Введение…………………………………………………………………….……3

Глава 1. Актуальность проведения модернизации ИС………………………..4

  1. Актуальность проведения модернизации информационной системы………………………………………………………….………………..4

Глава 2. Исследование существующей ИС ЗАО «ТюмБит»….………………6

2. Исследование существующей информационной системы…………….…...6

2.1. Персональные данные………………………………………………..8

2.2. Модель угроз………………………………………………………....16

2.3. Модель нарушителя………………………………………………….19

2.4. Существующие средства защиты……………………………….......20

Глава 3. Анализ рисков. Разработка комплекса мероприятий по модернизации существующей системы ИБ……………………………………20

3. Анализ рисков……………………………………………………………..…20

3.1. Метод оценки информационных рисков………………………........21

3.2. Определение стоимости информационных ресурсов……………...21

3.3 Расчет значения вероятности реализации угроз, действующих через уязвимость………………………………………………………………………..22

3.4 Анализ и оценка ущерба……………………………………………...22

3.5. Выявленные недостатки……………………………………………..23

3.6 Мероприятия по снижению информационных рисков…………….24

3.7 Расчет необходимых затрат на усовершенствование информационной безопасности……………………………………………….32

Заключение………………………………………………………………………34

Список используемой литературы…………………………………………….35

Приложение 1: Инструкция по проведению антивирусного контроля на автоматизированном рабочем месте

Приложение 2: Инструкция администратора

Приложение 3: Инструкция по работе со съемными носителями информации.

Введение.

В дипломной работе проводится проверка и модернизация защиты информационной системы по работе с персональными данными отдела кадров.

ЗАО ТюмБит – это компания работающая в сфере информационных технологий и консалтинга.

Существует несколько основных направлений:

  1. Консалтинг

  2. Автоматизация предприятия

  3. IT-инфраструктура

  4. Гарант

Актуальность дипломной работы определяется проблемой информационной безопасности. Сегодня успешная бизнес-деятельность компаний напрямую зависит от системы защиты информации. Это можно объяснить увеличением обрабатываемых конфиденциальных данных в корпоративной информационной системе. Сегодня на рынке безопасности есть достаточно средств по обеспечению информационной безопасности. Многие компании, постоянно изучающие рынок информационной безопасности, видят, что ранее вложенные средства не принесли желаемого результата, например по причине старения оборудования или программного обеспечения.

Есть два варианта решения данной проблемы:

  1. Замена старого оборудования

  2. Модернизация существующей системы безопасности.

Первый вариант требует больших капиталовложений, а последний является менее затратным, но требует решения ряда вопросов, таких как: совместимости старого оборудования с новым и как обеспечить централизованное управление модернизированной системы в которой есть и старые и новые аппаратно-программные средства.

Обследование автоматизированной системы предприятия позволяет оценить текущую безопасность корпоративной информационной системы и правильно подойти к вопросу обеспечения безопасности.

Целью данной работы является усовершенствование информационной системы по работе с персональными данными в отделе кадров ЗАО ТюмБит.

Из поставленной цели вытекают следующие задачи:

  1. Проведение обследования АС на предприятии

  2. Построение модели угроз

  3. Усовершенствовать систему по работе с персональными данными в соответствии с законно ФЗ №152 «О персональных данных».

Объектом исследования является информационная система по работе с персональными данными отдела кадров ЗАО ТюмБит.

Предметом исследования являются программно-аппаратные средства и организационные методы защиты персональных данных.

Теоретической основой дипломной работы является использование информации в содержании закона ФЗ №152 «О персональных данных».

Практическая значимость работы заключается в том, что ее результаты помогут повысить степень защиты персональных данных предприятия путём предложенных методов модернизации информационной системы по работе с персональными данными.

  1. Актуальность проведения модернизации информационной системы.

В наше время появляется все больше новых объектов нуждающихся в защите. Особо ценной является информация, несущая в себе данные о личной, семейной или индивидуальной жизни человека. В повседневной жизни человека сохранность информации о его жизни зависит от него самого. Но возникает совсем другая ситуация, когда мы обязаны предоставить данные о себе, в соответствии с законом, третьему лицу, а конкретно работодателю. Т.е в данной ситуации работник передает конфиденциальную информацию на хранение работодателю. Далее за сохранность этой информации несет ответственность работодатель.

Многие руководители предприятий до сих пор не вполне ясно представляют себе, что конкретно нужно делать для защиты персональных данных в соответствии с требованиями Федерального закона № 152 от 27.07.2006 года «О персональных данных». Такая ситуация вызвана отсутствием практики применения норм Закона в проектах по обеспечению защиты персональных данных. Закон «О персональных данных» предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании. Установлен придельный срок выполнения требований для информационных систем ПДн, созданных до дня вступления в силу закона ФЗ №152 «О персональных данных». Вновь создаваемые информационные системы ПДн должны соответствовать этому закону. На основании данного Закона персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, состояние здоровья, другая информация, затрагивающая частную жизнь человека. Этот же Закон определяет, что оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

С 1 января 2008 года оператор персональных данных имеет право вести свою деятельность только при условии внесения в специальный реестр операторов персональных данных. Государственным органом, ответственным за ведение реестра и осуществляющим контроль за соблюдением положений Закона «О персональных данных» является Федеральная служба по надзору в сфере массовых коммуникаций, связи и культурного наследия (Роскомнадзор).

Несоблюдение требований данного Закона в части внесения информации в реестр операторов персональных данных для страховых компаний, может привести к направлению в ФССН представления с последующим приостановлением или отзывом лицензии.

Существенным вопросом является использование информационных систем при обработке, хранении, передаче персональных данных. К информационным системам, с помощью которых они обрабатываются, применяются требования, определенные Федеральной службой по техническому и экспортному контролю (ФСТЭК). В соответствии с данными требованиями данные информационные системы, аппаратно-программные комплексы, каналы связи и помещения в которых производится обработка, хранение и передача персональных данных, должны быть аттестованы по уровню безопасности в соответствии с классом информационной системы персональных данных. Отсутствие данных сертификатов также считается нарушением закона.

  1. Исследование существующей информационной системы.

Кабельная система ЛВС ЗАО «ТюмБИТ» создавалась частями, в течение нескольких лет, поэтому в ней оказались достаточно разнородные участки. Большая часть кабелей, розеток и розеточных модулей патч-панелей имеет категорию 5е; незначительная часть проложенная первой работает по 5 категории, обеспечивающей полосу пропускания до 100 Мбит/с, что достаточно для нужд пользователей.

Часть ГК – направления «Гарант» и «1С» работают в помещении с реализованной структурированной кабельной системой (СКС, ISO 11801), где единая кабельная система обслуживает всё информационное хозяйство (ЛВС, телефония, система видеонаблюдения). Эти подразделения имеют собственное кроссовое и аппаратное помещение, соединённое центральной серверной 1000 Мбит/с линией связи и телефонными кабелями.

Большая часть сетевого оборудования работает на скоростях 10/100 Мбит/с, а сервера и центральные коммутаторы на скорости до 1000 Мбит/с. Модульные коммутаторы центрального узла (layer 2, с фильтрацией MAC-адресов, поддержкой ICMP и брандмауэра IEEE 802.1Q VLAN) для увеличения эффективности работы объединены в стек и работают как единое устройство.

Помимо компьютеров и коммутаторов, в общую ЛВС включаются сетевые принтеры, принт-серверы, кассовые терминалы и другие устройства с поддержкой IEEE 802.3 Ethernet.

Электронную информационную систему предприятия составляют:

  • файлообменные сервера;

  • Интернет-сервер;

  • почтовый сервер;

  • SQL-сервер бухгалтерских и управленческих баз;

  • электронная система документооборота;

  • электронные доски объявлений;

  • внутрикорпоративный форум.

Для обмена информацией внутри компании используются все вышеперечисленные элементы системы.

При обмене коротким служебными сообщениями и документами между сотрудниками помимо телефона и SMS используется электронная почта и Интернет-служба сообщений (ICQ), это зачастую проще и быстрее, поскольку практически каждый работник имеет оборудованное ПК рабочее место значительная часть работы в «ТюмБИТе» происходит за компьютером.

Управленческий учёт организован на базе сетевого ПО «1С». Бухгалтерский – ПО «1С», «Галактика», «Парус». Практически все базы данных функционируют на базе Microsoft SQL.

В ЗАО ГК «ТюмБИТ» используется система электронного документооборота Effect-Office, рассматриваются варианты внедрения более сложных систем: Documentum, Directum, ДЕЛО.

Для размещения служебной информации (приказы, информация, касающаяся всех работников ГК) применяется доска объявлений на внутреннем сайте компании. Для организации обратной связи с работниками на том же сайте работает внутренний форум компании.

2.1. Персональные данные.

В данной информационной системе ведется обработка персональных данных, позволяющих идентифицировать субъекта персональных данных и получить о нем дополнительную информацию.

Данная информационная система классифицируется как специализированная ввиду того, что нужно составить частную модель угроз, что в свою очередь приведёт к минимизации затрат на модернизацию программно-аппаратных средств защиты.

В соответствии со статьей 19 Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных», ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Таким образом, аудит необходимо провести в соответствии со следующими документами:

  1. ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  2. Постановление Правительства РФ от 17 ноября 2007 г. № 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

  3. Совместный приказ от 13 февраля 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных»;

  4. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждены ФСТЭК России 15 февраля 2008 г.;

  5. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждены ФСТЭК России 15 февраля 2008 г.;

  6. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» Утверждена ФСТЭК России 14 февраля 2008 г.;

  7. «Базовая модель угроз безопасности персональных данных при их обработке в Информационных системах персональных данных» Утверждена ФСТЭК России 15 Февраля 2008 г.

  8. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К). Утвержден приказом Гостехкомиссии России от 30 августа 2002 года № 28.

  9. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Утверждён Председателем Гостехкомиссии России 30 марта 1992 г.

  10. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

  11. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

Сведения составляющие коммерческую тайну:

1. Персонал:

  • сведения о работниках, содержащиеся в их личных делах, учетные карточках, материалах по аттестации и проверкам;

  • сведения о штатном расписании, заработной плате работников, условиях оплаты труда;

  • материалы персонального учета работников (Ф.И.О., адрес проживания, состав семьи, домашний телефон, данные паспортного и медицинского учета);

Организационно-распорядительная информация:

  • должностные инструкции;

  • внутренние приказы, распоряжения, инструкции; протоколы совещаний и переговоров.

Структура сети:

Объектами информационной системы являются сервера, рабочие станции, активное сетевое оборудование, носители информации и непосредственно сама информация. К критическим для ИС объектам можно отнести:

  • Сервера и хранящаяся на них информация.

  • Сведения конфиденциального характера (коммерческая, служебная тайны), персональные данные.

  • Хранящаяся в базе данных информация.

  • Процедуры доступа к информационным ресурсам.

  • Контроллеры домена Microsoft Active Directory.

  • Корневые маршрутизаторы, а также линии связи.

Таблица: Критичность информации, хранящейся на серверах.

Операционная система

Функциональное

Назначение

Критичность

ресурса

1

Windows 2003 server

Файловый сервер

Высокая

2

Windows 2003 server

Сервер БД

Высокая

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Таблица 1

Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению:

распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;

+

-

городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);

+

корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;

+

локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;

+

локальная ИСПДн, развернутая в пределах одного здания

+

2. По наличию соединения с сетями общего пользования:

ИСПДн, имеющая многоточечный выход в сеть общего пользования;

+

ИСПДн, имеющая одноточечный выход в сеть общего пользования;

+

ИСПДн, физически отделенная от сети общего пользования

+

3. По встроенным (легальным) операциям с записями баз персональных данных:

чтение, поиск;

+

запись, удаление, сортировка;

+

модификация, передача

+

4. По разграничению доступа к персональным данным:

+

ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;

ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;

+

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

ИСПДн с открытым доступом

+

5. По наличию соединений с другими базами ПДн иных ИСПДн:

интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);

+

ИСПДн, в которой используется
одна база ПДн, принадлежащая организации – владельцу данной ИСПДн

+

6. По уровню обобщения (обезличивания) ПДн:

ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)

+

+

+

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:

ИСПДн, предоставляющая всю базу данных
с ПДн;

+

ИСПДн, предоставляющая часть ПДн;

+

ИСПДн, не предоставляющая никакой информации.

+



Скачать документ

Похожие документы:

  1. Методические указания к курсовому проектированию по дисциплине Москва 2001 для студентов специальности "Информационные системы в управлении" 071900

    Методические указания
    Методические указания к курсовому проектированию по дисциплине «Эконо­мика, разработка и использование программных средств» / Сост.: Л.Б. Венчковский, И.
  2. Методические указания по дипломному проектированию для специальности: 230201 «Информационные системы и технологии»

    Методические указания
    Выполнение дипломного проекта является заключительным этапом обучения студентов в ВУЗе. Дипломный проект представляет собой самостоятельную проект, целью которой является систематизация и расширение теоретических знаний и их практическое
  3. Информационный бюллетень Администрации Санкт-Петербурга №1 (702), 17 января 2011 г

    Информационный бюллетень
    15.00 - 16.00 Горячая линия (576-93-31) с первым заместителем главы администрации Василеостровского района О. Е. Фадеенко по вопросам эксплуатации жилищного фонда, благоустройства, районного хозяйства, законности и правопорядка.
  4. 1: Информационные системы (ИС)

    Документ
    Информатика – это наука об информации, способах ее сбора, хранения, обработки и представления с помощью информационных систем или их компонент для обеспечения подготовки и принятия решений.
  5. Информационные системы для руководителей

    Обзор
    По сути, информационные системы для руководителей — это попытка использовать возможности и преимущества информационных технологий и систем (ИТ/С) для поддержки деятельности руководителей высокого ранга и удовлетворения их потребностей.

Другие похожие документы..