Разработка/модернизация проекта защиты персональных данных на объекте (название)

Устранение указанных уязвимостей возможно при использовании дополнительных программных средств, позволяющих провести анализ состояния системы (например, антивирусного ПО).Защиту от действий пользователей от инцидентов информационной безопасности предлагается осуществлять с использованием DLP-системы.Предлагается ко внедрению DLP-система «КИБ СёрчИнформ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система[5]:Защита от последствий, обусловленных утечками информации.Разоблачает мошеннические схемы (откаты, саботаж и другое).Помогает рассчитывать кадровые риски и прогнозировать поведение работников.Стимулирование соблюдения трудовой дисциплины и рабочего регламента.Помощь в повышении продуктивности деятельности персонала.Управление лояльностью коллектива.Система может использоваться для проведения оперативных оповещений и реагирований при возникновении внутренних и внешних угроз безопасности автоматизированных систем, а также контроля выполнения требований по безопасности информации. Особенности системы [4]: Сертификация ФСТЭК;Возможность централизованного сбора и анализа данных журналов событий систем информационной безопасности, рабочих станций, серверного и сетевого оборудования; Проведение удаленного контроля параметров конфигурации и функционала отслеживаемых объектов; Возможность оперативного оповещения и реагирования на возникновение внутренних и внешних угроз безопасности автоматизированной системы; Возможность контроля исполнения заданных требований по защите информации, сбора статистической информации и построения отчетов о состоянии защищенности; Масштабирование решения и создание системы для проведения мониторинга информационной безопасности в произвольном масштабе; Возможность взаимодействия с источниками данных о состоянии системы; Возможность интеграции со следующими отечественными защищенными платформами и системами защиты информации: ОС МСВС, ОС Astra Linux, Сканер-ВС, МЭ и СОВ Рубикон, Xspider.Дополнительные возможности системы: - проведение сбора данных из удалённых источников с использованием модуля Splunk Forwarder;- проведение корреляции сложных событий, охватывающих множество разнородных источников данных в среде.- проведение масштабирования при сборе и индексации данных в объеме сотни терабайт ежедневно;- Комбинирование информации традиционных реляционных БД и Hadoop и проведение их последующего анализа;- реализация ролевых моделей доступа к данным;- создание собственных приложений, панелей (dashboard'ы), из которых формируются собственные Splunk-приложения;- наличие большого количества готовых инструментов для проведения анализа. Наличие уникальной инфраструктуры сбора, хранения и анализа сетевого трафика и журналов событий, позволяющей со значительно более высокими скоростями проводить обработку данных для организаций любых масштабов; Возможность линейной масштабируемости как по параметрам объемов собираемой информации;Высокая производительность системы корреляции событий, что позволяет проводить анализ огромных потоков событий;Возможность реконструкции сетевых транзакций и анализа их содержимого; Анализ и реконструкция сетевых транзакций для произвольных TCP/IP протоколов; Представление сетевых сессий в унифицированном формате и данных журналов событий.Таким образом "КИБ Серчинформ" в настоящее время обладает необходимыми компонентами системы информационной безопасности предприятий.Система КИБ "Серчинформ" позволяет получать данные о состоянии защищенности информационной системы, посредством которых можно проводить оценку уровня принимаемых мер в области информационной безопасности. 3.2.Выбор аппаратных решений в области защиты персональных данныхФизическая защита помещений ООО «Профи-Плюс» осуществляется на постах охраны. Охрана осуществляется сотрудниками привлеченных сертифицированных организаций, имеющих лицензии на право ведения указанной деятельности.Используемая модель СКУД: «ОРИОН», что обеспечивает протоколирование прохода сотрудников на рабочие места, ограничивает проход в помещения, в которые имеется разграничение доступа.В офисах компании также установлены системы охранной и пожарной сигнализации.В рамках данной работы рассмотрим систему защиты кабинета руководителя в офисе ООО «Профи-Плюс». На рисунке 17 приведен план этажа, занимаемого офисом ООО «Профи-Плюс».Рисунок 17 - Система видеонаблюдения офиса компанииОхрану офисных помещений осуществляет охранное агентство ЧОП «Багира», в здании установлены системы видеонаблюдения, охранной и пожарной сигнализации. Одним из видов технических каналов утечки информации является канал, обусловленный схемотехническими доработками различных технологических устройств с целью усиления сигналов, поступающих из защищаемого помещения. Усиливаемые сигналы могут представлять собой как акустические, так и электромагнитные или световые колебания. В качестве примеров подобного рода совершенствований могут рассматриваться: проведение усиления чувствительности микрофонов, вмонтированных в телефонные трубки, web-камеры. Также могут осуществляться изменения в свойствах пропускной способности тонированных покрытий и др.Как правило подобные устройства используются в тех случае, когда данные, циркулирующие в защищаемых помещениях, имеют определенный уровень секретности, либо содержат элементы коммерческой тайны, утечки которой дают возможности получения заметных конкурентных преимуществ на рынке для конкурирующих компаний.Для проведения проверки установки подобных закладок, как правило, необходима экспертиза со стороны специалистов сторонних организаций. При этом экспертизы подобного рода должны производиться с определенной периодичностью. Состав технических средств, имеющихся в кабинете руководителя ООО «Профи-Плюс», приведен в таблице 12.Таблица 13 - Состав технических средств, имеющихся в кабинете руководителя ООО «Профи-Плюс»№ п/пВид оборудованияМодельДата установкиКласс технических средств1Рабочая станция специалиста в составе:03.04.2015ОТСССистемный блокKraftway Credo KC5403.04.2015ОТССМониторAcer 2216w03.04.2015ОТССМышьGenius03.04.2015ОТССКлавиатураGenius03.04.2015ОТСС2Плазменная панельSamsung ue49ku640003.04.2015ВТСС3Датчик ПСИП 212-69/1МР03.04.2015ВТСС4Датчик ОСФотон-9 (ИО-409-8)03.04.2015ВТСС5ПроекторВenq ms506 dlp03.04.2015ОТСС6IP-телефонKX-HDV100RU03.04.2015ОТСС7ВидеокамераGenius ZS 652003.04.2015ОТССУстановка аппаратных закладок может быть произведена в любое из указанных устройств, а также произведена в инженерные коммуникации (за пределы контрольной зоны выходит система отопления). Доступ в данное помещение имеют: руководитель офиса ООО «Профи-Плюс», его заместители, начальники отделов. В кабинет руководителя приглашаются, как правило, сотрудники организации и руководители фирм-партнеров. Также доступ имеет обслуживающий персонал, персонал охраны – в случае срабатывания систем сигнализации.В рамках анализа системы защиты информации проводится:- инвентаризация информационных ресурсов филиала ООО «Профи-Плюс»;- определение пользователей и их ролей в контексте их достаточности при выполнении должностных обязанностей;- оценка эффективности применяемых средств программной защиты информации;- проведение мониторинга работы программной среды предприятия на предмет соответствия модели угроз.В качестве критериев оценки защищенности локальной сети ООО «Профи-Плюс» от внешнихатак следует рассматривать следующие:- скорость работы сетевых приложений (проводится сравнение заявленной производительности сетевых приложений с фактическими);- использование файрволов, систем шифрования трафика, VPN-систем (анализируется статистика сетевых пакетов);- стабильность работы Web-сервера компании (анализ скорости работы Web-приложений, статистика отказов в обслуживании);- наличие утвержденных инструкций по работе пользователей с сетевыми ресурсами с доведением их до сотрудников под роспись;- количество прецедентов в работе сетевых ресурсов, связанных с отказом в обслуживании;- статистика обнаружения сетевых пакетов, источниками которых не являются установленные сетевые приложения.3.3.Выводы по разделуВ ходе анализа программных и аппаратных решений в области защиты персональных данных в ООО «Профи-Центр» был проведен анализ основных компонентов. К внедрению предложены: сканеры уязвимостей, посредством которых проводится анализ защищенности ресурсов, DLP-система как инструмент управления лояльностью сотрудников, защиты от уязвимостей. в качестве системы физической защиты к внедрению предложена СКУД, позволяющая управлять физической защитой помещений, формировать отчетность о защищенности помещений компании.4. Технико-экономическое обоснование работыВ данной части работы проведена оценка экономического эффекта от внедрения мер по защите персональных данных на примере информационной системы ООО «Профи-Плюс».В рамках проведения расчетов был выбран подход оценки экономической эффективности через использование риска, где эффективность выражена соотношением стоимости системы защиты информации к разности риска для незащищенной системы и риска для защищенной системы.В расчете параметров защищенности проведен учет как организационных, так и технических мер по защите информации.Таблица 14 - Оценка возможных потерь (рисков) при нарушении функциональности информационных ресурсов организацииАктивУгрозаВеличина потерь(руб.)СерверыКража, повреждения300 000БД информационных системПотеря данных вследствие вирусной активности, выхода их строя систем электропитания и других аппаратных систем, ошибочные действия персонала300 000Системная архитектураАктивность вредоносного ПО, умышленные действия, ошибочные действия персонала10 000Документационное обеспечение (карточки электронных подписей, журналы настроек)Потеря, ЧС, ошибочные действия персонала10 000Рабочие станцииКража, повреждения, сбои электропитания10 000Оценка величины потерь630 000Риски владельцев информации зависят от уровня реализации инженерно-технической защиты информации, которая, в свою очередь, определяется типами ресурсов системы.Ресурсы могут быть определены в виде количества сотрудников, задействованных в обеспечении защиты информации, в форме инженерных конструкций и технических средств, используемых для защиты, денежных средств для оплаты труда персонала, проведение работ по капитальному строительству инженерных сооружений в области информационной безопасности. Также необходимо учитывать затраты на разработку и покупку технических средств, их эксплуатацию и другие расходы. Наиболее общей формой представлений ресурсов является выражение в денежной форме. Ресурсы, выделяемые на защиту информации, могут носить как разовый, так и постоянный характер.Разовые ресурсы расходуются на осуществление закупок, а также проведение установки и наладки дорогостоящей техники, обеспечивающей информационную безопасность.Постоянные ресурсы тратятся на заработную плату персоналу служб безопасности и поддержку необходимой степени безопасности, прежде всего, через эксплуатацию технических средств и контроль эффективности защиты.Таким образом, при определении экономической эффективности системы информационной безопасности в организациях необходим учёт следующих данных (показателей):расходов (выделенных ресурсов) на создание/модернизацию системы защиты информации и поддержание её в состоянии работоспособности;суммы потерь (рисков), обусловленных наличием угроз информационным активам после внедрения/модернизации системы информационной безопасности.Информация о ресурсах, необходимых для построения архитектуры ИБ показаны в таблицах 14-15.Таблица 15 - Состав и объемы разовых ресурсов, выделяемых на построение архитектуры защиты информацииОрганизационные меры№ МероприятияОплата труда персонала (руб./час)Трудоемкость (чел. час)Общие затраты, руб.1Проведение закупок, утвержденных руководителем отдела по защите информации2001224002Установка программных и аппаратных средств защиты информации3001648003Установка охранного комплекса120100120004Проведение технических учёб по обучению персонала по работе с системами защиты информации700214005Осуществление контроля и мониторинга работоспособности системы информационной безопасности3004413200Стоимость осуществления организационных мероприятий, итого33800Программные и аппаратные средства защиты информации№ п/пНаименование устройств Цена единицы (руб.)Кол-во (ед.измерения)Общая стоимость (руб.)1Handy Backup370001370002Kaspersky Office Security8000180003Secret Net573311573314ALTEL NEO12100011210005КСС ИО 102-1475617566Астра – 6122870128707ZK TECO Inbio 160108161108168Комплект видеонаблюдения Ps-link KIT-A208HD150001150009ИБП Stark Country 600088310188310Стоимость программно-аппаратных средств 341083Объем разовых ресурсов, выделяемых на защиту информации374883Таблица 16 - Состав и объем постоянных ресурсов, выделяемых на защиту информацииОрганизационные меры№ п\пВыполняемые работыОплата труда персонала (руб./час)Трудоемкость (чел. час)Общие затраты, руб.1Плановые мероприятия сотрудников отдела по защите информации4004417 6002Организация физической охраны помещений с установленными СЗИ170023 4003Проведение обслуживания программного и аппаратного комплекса средств защиты информации70021 400Стоимость осуществления организационных мероприятий, итого22 400Мероприятия по инженерно-технической защите№ п/пНаименование устройств Цена единицы (руб.)Кол-во (ед.измерения)Общая стоимость (руб.)1Видеосистема AV Tech MC27524015 2402СЗИ «Гром»5500211 000Стоимость проведения мероприятий по инженерно-технической защите16 240Объем постоянных ресурсов, выделяемых на построение информационной безопасности38 640Итоговое значение затрат на ресурсы, выделяемые на обеспечение информационной безопасности, исходя из расчетов, составляет: 374883 + 38640 = 413253 (руб.)Оценка величины ущерба составляет 630 000 (руб.)После принятия обязательного допущения о постоянности частоты возникновения угроз, а также о постоянности уровня надежности реализованной системы защиты информации, необходимо определить сроки окупаемости системы (Ток). Это можно провести аналитическим способом, используя приведенную ниже формулу:где:R∑ - суммарная величина ресурсов, выделенных на построение защиты информации = 413253(Rср) – оценка величина среднегодовых потерь организаций вследствие инцидентов защиты информации в годовом периоде до внедрения СЗИ (630 000)Rпрогн - прогноз ежегодного объема потерь, после введения СЗИ = 58 000Графики ожидаемой динамики потерь приведены ниже:Рисунок 18 - Диаграмма динамики потерьТаким образом, внедрение указанных предложений в деятельность ООО «Профи-Плюс» позволит обеспечить снижение издержек, связанных с нарушениями требований защиты информации.ЗаключениеВ рамках данной работы проведен анализ рисков защиты информации, разработана политика в области информационной безопасности в части защиты персональных данных, рассмотрены теоретические основы проведения поиска уязвимостей,проведён анализ недостатков существующей системы защиты персональных данных в условиях исследуемой компании. Также показано, что проведение аудита системы информационной безопасности ООО «Профи-Плюс» с использованием специализированных программных средств позволит выявить узкие места в системе защиты персональных данных и дать рекомендации по их устранению. В теоретический части работы рассмотрены особенности проведения аудита информационной безопасности, проведен обзор функционала программных средств – сканеров безопасности. В ходе анализа архитектуры информационной системы компании ООО «Профи-Плюс» был определен перечень информационных ресурсов, являющихся объектами защиты. к ним относятся базы данных, содержащие конфиденциальные сведения, персональные данные. Обеспечение защиты указанных ресурсов требует применения специальных инструментов мониторинга обеспечения информационной безопасности.В ходе анализа состояния защищённости информационной системы ООО «Профи-Плюс» было показано, что она соответствует требованиям по большинству направлений. Вместе с этим, в части обеспечения защиты от перехвата информации с использованием специализированных устройств, мониторинга активности сотрудников необходимо принятие ряда мер, перечень которых описан в рамках проектной части работы. В практический части работы проведен обзор программных решений в области мониторинга инцидентов информационной безопасности, проанализированы основные задачи, решаемые данными системами, приведены примеры наиболее распространённых программных продуктов данного класса. В ходе проведенного сканирования информационной системы ООО «Профи-Плюс» были обнаружены следу инцидентов информационной безопасности, причинами которых могут являться уязвимости, связанные с ошибками в конфигурировании межсетевых экранов, настройки системы антивирусной защиты, прав доступа к файловым ресурсам, а также управления парольной защитой.Таким образом, совершенствование системы защиты информации ООО «Профи-Плюс» предполагает необходимость проведение ряда мероприятий по настройке антивирусного ПО, разграничению доступа к информационным ресурсам, использовании систем защиты от СПАМа, ограничение использования flash-накопителей. К внедрению также предложена система физической защиты (СКУД «Орион»), включающая возможности обеспечения защиты помещений компании от проникновения злоумышленников.Список сокращений и условных обозначенийАСАвтоматизированная системаФСТЭКФедеральная служба по техническому и экспортному контролюOSIOpen System InterconnectionПДнПерсональные данныеИСПДнИнформационная система, содержащая персональные данныеИСИнформационная системаООООбщество с ограниченной ответственностьюОТССОсновные технические средства и системыВТССВспомогательные технические средства и системыСписок литературыГОСТ Р 50922-96. Защита информации. Основные термины и определения. – М.: Госстандарт России, 1996. – 17 с.Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Бубнов А. А. Основы информационной безопасности : учебное пособие / А. А. Бубнов, В. Н. Пржегорлинский, О. А. Савинков. - Москва: Академия, 2017. – 252с. Ажмухамедов И. М. Основы организационно-правового обеспечения информационной безопасности : курс лекций / И. М. Ажмухамедов, О. М. Князева, А. Н. Марьенков. - Астрахань : Изд-во АГТУ, 2015. - 183 с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта: УГТУ, 2016. - 69 с.Благодаров А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сГорев А. И., Симаков А. А. Обработка и защита информации в компьютерных системах : учебно-практическое пособие / А. И. Горев, А. А. Симаков. - Омск : ОмА МВД России, 2016. - 87 с. Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки: [учебное пособие] / А. В. Кондратьев. - Москва: Горячая линия - Телеком, 2016. - 304 с. Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Кузнецова Е. В. Правовые меры обеспечения информационной безопасности: методические рекомендации / Е. В. Кузнецова. - Москва: МАОРИ, 2016. - 53 с. Михайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.Михалевич Е.В. Обработка персональных данных: анализ законодательства и судебной практики / Е.В. Михалевич. - Москва: ФГБУ "Редакция "Российской газеты", 2019. - 143 с. Никифоров С. Н. Защита информации: защита от внешних вторжений: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: СПбГАСУ, 2017. - 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 107 с. Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова. - Хабаровск: Изд-во ТОГУ, 2018. – 81с.Смычёк М.А. Информационная безопасность и защита информации: учебное / М.А. Смычёк. - Нижний Новгород: Нижегородский государственный технический университет, 2016. – 125с.Такатлы Д. А. Защита персональных данных / Д. А. Такатлы. - Петропавловск-Камчатский: Дальневосточный филиал Федерального государственного бюджетного образовательного учреждения высшего образования "Всероссийская академия внешней торговли Министерства экономического развития Российской Федерации", 2016. - 92 с.Приложение АСхема локальной сети предприятияНа рисунке А.1 представлена подробная схема локальной сети предприятия, расположенного по адресу: ул. Кирова, 86.Приложение БПлан помещений предприятия