Каталог

Помощь

Корзина

Проведение экспресс-аудита информационной системы персональных данных ОАО Ижевский радиозавод

Оригинальный документ?

Содержание


Введение3

1. Информационные потоки, циркулирующие на предприятии7

1.1. Общая характеристика предприятия 7

1.2. Классификация информации, циркулирующей на предприятии ОАО «Радиозавод»11

2. Анализ состояния информационной безопасности на предприятии ОАО «Радиозавод»22

2.1. Основные угрозы, влияющие на безопасность персональных данных, обрабатываемых в СКУД22

2.2. Состояние защищенности информационной системы персональных данных и построение модели злоумышленника34

2.3. Определение класса системы персональных данных48

2.4. Соответствие класса, предъявляемым требованиям, к информационной системе персональных данных, обрабатываемых в СКУД56

3. Организация поддержания необходимого уровня безопасности  персональных данных, обрабатываемых в СКУД на предприятии ОАО «Радиозавод»60

Заключение65

Список использованной литературы66

Приложения70

 

Введение

Актуальность исследования. В последнее время быстрое развитие технологий передачи и обработки информации сделало ее одним из ценнейших ресурсов. На сегодняшний день информация приобретает уникальную ценность и является одним из критически важных ресурсов — это новые идеи, производственные, коммерческие секреты и т.д. Все это не могло не наложить свой отпечаток на ведение дел на всех уровнях.

Информация используется для принятия важных стратегических решений и от того, насколько она будет достоверна и актуальна, может зависеть дальнейшая судьба предприятия. Разглашение или утечка государственной тайны, конфиденциальной коммерческой или персональной информации могут повлечь значительные финансовые убытки, а также негативно отразиться на деятельности предприятия в целом, тем более когда предприятие выполняет государственный заказ. Уничтожение одного или нескольких информационных ресурсов способно надолго парализовать деятельность рассматриваемого предприятия. Поэтому, совершенно очевидно, что вопросы обеспечения безопасности информации сегодня являются ключевыми проблемами. Наиболее актуальны эти вопросы для предприятия, имеющего отношение к информационным технологиям, и к инновационным проектам.

Таким образом, перед современным предприятием остро встает задача обеспечения надежной защиты своих информационных ресурсов. Однако, как и любая другая защита, защита информации является делом крайне дорогостоящим, и далеко не всегда руководители предприятий осознают, что такие вложения являются крайне выгодными, позволяя существенно снизить потери, связанные с информационными рисками. 

Большинство публикаций, посвященных вопросам информационной безопасности, изобилуют техническими подробностями, при этом абсолютно упускают из виду проблему экономической целесообразности тех или иных решений. Так, основная масса существующих стандартов используют понятие "модели нарушителя", которое позволяет определить возможности злоумышленника, против которого направлена система защиты информации. Однако такой подход позволяет лишь оценить надежность системы и не учитывает ее стоимостные характеристики. 

Вместе с тем вопрос экономической эффективности является ключевым при принятии решений о выделении различных денежных сумм на реализацию отдельных программ и мероприятий по обеспечению информационной безопасности. На сегодняшний день наиболее распространенным способом решения данного вопроса является применение систем анализа рисков, позволяющих оценить риски в информационной системе и выбрать оптимальный по эффективности вариант контрмер.

В настоящее время существует целый ряд предложений по проведению аудита безопасности соответствия требований информационной безопасности на предприятии, ориентированных на оценку защищенности информационных ресурсов. Однако подавляющее большинство из них рассматривают лишь уязвимость, связанные с компьютерной подсистемой информационной инфраструктуры предприятия, оставляя в стороне бумажный документооборот, проблему защиты информации при телефонных и личных переговорах, а также другие процессы на предприятии, в ходе которых происходит передача, обработка или хранение информации. Кроме того, такие предприятия в своей работе используют лишь общие рекомендации по защите компьютерных сетей и часто не учитывают конкретных особенностей информационной инфраструктуры предприятия.

Все это зачастую "ставит в тупик" руководителей высшего звена, которые в последнее время, осознавая важность проблемы обеспечения информационной безопасности на предприятии, начинают уделять ей существенно больше внимания. Однако при этом далеко не всегда они могут обоснованно оценить объем денежных средств, необходимый для решения задач информационной безопасности. Кроме того, не менее важным является распределение данных средств между отдельными задачами, касающимися обеспечения защиты информации. Эта проблема, как правило, решается исключительно на основе интуитивных предположений руководителей подразделений без опоры на формальное обоснование экономической целесообразности данного решения.

Таким образом, актуальность данной работы обусловлена существующей на сегодняшний день потребностью в создании методик управления финансовыми активами в рамках решения задач обеспечения информационной безопасности.

Целью исследования является проведение экспресс-аудита информационной системы персональных данных на предприятии.

В соответствии с поставленной целью в дипломной работе поставлены и решены следующие задачи:

классификация информации, циркулирующей на предприятии;

анализ состояния информационной безопасности на предприятии;

выработать методику проведения экспресс-аудита на предмет защищенности информационной системы персональных

Объектом исследования является информационная система персональных данных на предприятии.

Предметом исследования выступают уязвимые места в информационной системе персональных данных.

Теоретическую и методологическую основу исследования составили труды отечественных и зарубежных ученых в предметных областях экономики, математики, информационной безопасности, теории оптимального управления. В частности, разработки и исследования следующих российских авторов: Домарева В.В., Кононова А.А., Петренко А и Симонова С. В.

В работе также применялись:

международные стандарты в области защиты информации и анализа информационных рисков (ISO 15408, ISO 17799, BSI и др.);

руководящие документы ФСТЭК РФ, в том числе приказ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

описания существующих как отечественных, так и зарубежных инструментальных средств анализа и управления информационными рисками (COBRA, CRAMM, Гриф и др.);

нормативные и законодательные акты, принятые на территории Российской Федерации.

Структура работы. Дипломная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложений, дополняющих основной текст.


1. Информационные потоки, циркулирующие на предприятии

1.1. Общая характеристика предприятия

Одной из ведущих отраслей машиностроения города является приборостроительная промышленность, к которой относится Ижевский радиозавод. Завод был создан в 1958 году на базе деревообрабатывающего завода для изготовления радиоприемников[1].

ОАО «Ижевский радиозавод» — многопрофильное предприятие, ориентированное на выполнение самых жестких требований рынка.

Высокие современные технологии, незаурядный инженерный интеллект, творческий поиск оптимальных решений — все направлено на достижение главной цели — обеспечить соответствие продукции и услуг ожиданиям потребителей».

В состав ОАО «Ижевский радиозавод» входят 20 дочерних обществ, среди которых наиболее крупные занимающиеся производством и предоставлением услуг:

ДООО «ИРЗ ТЭК» — производство средств нефтяной телеметрии, энергосберегающего оборудования.

ДООО «ИРЗ» — производство космических и железнодорожных средств связи.

ДООО «ИРЗ-Локомотив» — производство средств железнодорожной автоматики.

ДООО «ИРЗ-Ринкос» — точная металлообработка.

ДООО «ИРЗ-ФОТОН» — производство печатных плат, поверхностный монтаж.

ДООО «Ремо НТ» — металлообработка и др.

ОАО «Ижевский Радиозавод» —

ОКБ ИРЗ — центр разработки и внедрения наукоемких проектов с применением высоких технологий.

2. Анализ состояния информационной безопасности на предприятии ОАО «Радиозавод»

2.1. Основные угрозы, влияющие на безопасность персональных данных, обрабатываемых в СКУД

Анализ информационной безопасности персональных данных позволяет идентифицировать имеющиеся угрозы, оценить вероятность их успешного осуществления, возможные последствия для предприятия и правильно расставить приоритеты при реализации контрольных мер.

Процесс анализ включает в себя[14]:

анализ процессов и групп задач, решаемых информационной системой персональных данных, позволяющий оценить критичность ИТ-ресурсов, с учетом их взаимозависимостей;

идентификация угроз безопасности в отношении ресурсов информационной системы персональных данных и уязвимостей защиты, делающих возможным осуществление этих угроз;

оценка вероятности осуществления угроз, величины уязвимостей и ущерба, наносимого предприятию;

На основе проводимого анализа разрабатывается система первоочередных мероприятий по уменьшению величины рисков до приемлемого уровня.

Важнейшее место в анализе должно занять определение актуальных угроз информационной безопасности, поскольку именно их составом в дальнейшем будет определяться система информационной безопасности.

В современной литературе большинство авторов публикаций угрозу безопасности информации отождествляют либо с характером (видом, способом) дестабилизирующего воздействия на информацию, либо с последствиями (результатами) такого воздействия. Представляется, что все определения имеют в какой-то степени право на существование[15].

Между тем, может быть и иной подход к определению угрозы безопасности информации, базирующийся на самом понятии «угроза».

Формула= 0,5

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом: если Формула, то возможность реализации угрозы признается средней;

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой информационной системы персональных данных. Этот показатель имеет значение низкой опасности, т.к. реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных. Обусловлено это тем, что данных с проходной не имеют биометрических данных.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной информационной системы персональных данных, в соответствии с правилами, приведенными в таблице 2.

 

Таблица 2. Правила определения актуальности угрозы безопасности персональных данных

Возможность реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

 

Список использованной литературы

1. Конституция РФ от 12.12.1993 г.

2. «Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ (принят ГД ФС РФ 21.10.1994) 

3. «Гражданский кодекс Российской Федерации (часть вторая)» от 26.01.1996 N 14-ФЗ (принят ГД ФС РФ 22.12.1995) 

4. «Гражданский кодекс Российской Федерации (часть третья)» от 26.11.2001 N 146-ФЗ (принят ГД ФС РФ 01.11.2001) 

5. «Гражданский кодекс Российской Федерации (часть четвертая)» от 18.12.2006 N 230-ФЗ (принят ГД ФС РФ 24.11.2006) 

6. «Гражданский процессуальный кодекс Российской Федерации» от 14.11.2002 N 138-ФЗ (принят ГД ФС РФ 23.10.2002) 

7. «Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (принят ГД ФС РФ 24.05.1996) 

8. «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (принят ГД ФС РФ 21.12.2001) 

9. Бюджетный кодекс Российской Федерации от 31.07.1998 N 145-ФЗ (принят ГД ФС РФ 17.07.1998) 

10. Федеральный закон от 21.07.1993 N 5485-1 «О государственной тайне»

11. Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне» (принят ГД ФС РФ 09.07.2004) 

12. Указ Президента РФ от 10.01.2000 N 24 «О Концепции национальной безопасности Российской Федерации»

13.  Распоряжение Правительства РФ от 28.01.2008 N 74-р «О Концепции федеральной целевой программы «Национальная система химической и биологической безопасности Российской Федерации (2009 - 2013 годы)»

14. Информационное письмо ВАС РФ от 09.02.2000 N С5-7/УЗ-119 «О Концепции национальной безопасности Российской Федерации»

15. Доктрина информационной безопасности Российской Федерации: Утв. Президентом РФ 9 сентября 2000 г., №Пр‑1895 // Рос. газ. – 2000. – 28 сент.

16. Доктрина информациологического развития человечества в XXI веке. – Москва – Нью-Йорк: Междунар. изд-во «Информациология», 2001. – 49 с.

17. ISO 27000 - Международные стандарты управления информационной безопасностью

18. Международный реестр сертификатов на системы управления информационной безопасностью по ISO 27001 / BS 7799-2

19. ГОСТ РД 50-34.698-90 «Комплекс стандартов и руководящих документов на автоматизированные системы»

20. ГОСТ 6.10-84 Придание юридической силы документам, созданным на машинном носителе, средстве вычислительной техники

21. Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

22. Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд–во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.

23. Беляев, Е.А. Исторические аспекты защиты информации в России/ Е.А.Беляев// Информационная безопасность = Inform.security.- М., 2004.- № 3.-С.58–59.

24. Балуев Д.Г. Информационная революция и современные международные отношения. Н. Новгород: ННГУ, 2001.

25. Белов Е.Б, Лось В.П. и др. Основы информационной безопасности. (Учебное пособие), 544с. 2006.

26. Бузанова Я.В. Концепция информационной безопасности коммерческого предприятия. М., 2007.

27. Грибунин В.Г. Политика безопасности: разработка и реализация// «Информационная безопасность», 2005, №1.

28. Джефф Форристал, Грег Шипли, Сканеры для обнаружения изъянов в корпоративной сети//Сети и системы связи - №7. – 2001. – С.114 – 124.

29. Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского ун–та.- Сер.Информат, 2005.- № 8.- С.53–55

30. Емельянов Г.В., Стрельцов А.А. Информационная безопасность России. РАГС при Президенте РФ. М.,2005. С.

31. Иванов, А.В. Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 2005.- 39 с.

32. Информация. Дипломатия. Психология. М.: Известия, 2002 г. – 617 с.

33. Кирсанов К.А., Малявина А.В., Попов Н.В. «Информационная безопасность:Учебное пособие». – М.:МАЭП, ИИК «Калита», 2008.

34. Крутских А.В., Федоров А.В. О международной информационной безопасности // Международная жизнь. 2000. №2, С. 37–48.

35. Курело, А.П. Обеспечение информационной безопасности бизнеса/ А.П.Курело, С.Г.Антимонов, В.В.Андрианов и др.- М.: БДЦ–пресс, 2005.- (tSolutions).- 511 с.

36. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. (Учебное пособие),336с. 2008.

37.  Михеева, М.Р. Проблема правовой защиты персональных данных/ М.Р.Михеева [Электронный ресурс] // Владивостокский центр исследования организованной преступности.

38. Панарин И.Н. «Информационная война и власть». М.: 2007 г.;

39. Поздняков, Е.Н. Защита объектов: Рекомендации для руководителей и сотрудников служб безопасности/ Е.Н.Поздняков.– М.: Концерн «Банковский деловой центр», 2007.- (Советы «профи»).- 222 с.

40. Петренко, С. Разработка политики информационной безопасности предприятия/ С.Петренко, В.Курбатов [Электронный ресурс]// Сетевые решения A-Z.

41. Служба защиты информации на предприятии. Что она из себя представляет и как ее организовать [Электронный ресурс] // Спектр безопасности.

42. Шафикова, Г.Х. К вопросу о защите персональных данных работника/ Г.Х.Шафикова// Региональная информационная экономика: проблемы формирования и развития: Сб. науч. тр. Междунар. науч-практ. конф. 25-26 октября 2002.- Челябинск: Изд-во ЮУрГУ, 2003.- С. 359-362.

43. Шипли Г., Наблюдение за наблюдателями//Сети и системы связи - №3. – 2001. – С. 98 - 105.

44. Ярочкин В. И. Информационная безопасность. Учебник для вузов. М.: Фонд "Мир". 544 с. 2006.