Файл: Методика защиты информации в системах электронного документооборота (Анализ бухгалтерской информационной системы предприятия).pdf

8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, и обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;

9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Взяв во внимание степень возможного вреда субъекту ПДн, объем и содержание обрабатываемых ПДн, вид деятельности, при осуществлении которого обрабатываются ПДн, актуальность угроз безопасности ПДн, Правительством Российской Федерации были установлены:

1) уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных;

2) требования к защите ПДн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн.

Перед началом обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 закона «О персональных данных».

Оператор также вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящим Федеральным законом. Содержание сведений, которые необходимо указать в поручении оператора, приведено в пункте 3 статьи 6 рассматриваемого закона.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

В статье 22.1 изложены сведения о лицах, ответственных за организацию обработки персональных данных в организациях. Оператор, являющийся юридическим лицом, назначает лицо, которое будет нести ответственность за организацию обработки ПДн. Это лицо получает указания непосредственно от исполнительного органа организации - оператора и подотчетно ему.

Основные требования к мерам по обеспечению безопасности ПДн при неавтоматизированной обработке, а также особенности организации таковой в России установлены Положением об особенностях обработки ПДн, осуществляемой без использования средств автоматизации (далее - Положение). Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Положение содержит условия, которые необходимо соблюдать при использовании типовых форм документов, которые предполагают или допускают включение в них персональных данных.

Постановление правительства РФ № 1119 выдвигает требования по защите персональных данных, в зависимости от того, какой уровень защищённости ИСПДн из четырёх, предложенных нормативным актом, необходимо обеспечить. Определение этого уровня должно основываться на типе актуальных угроз, категории обрабатываемых персональных данных, определении субъектов ПДн, и количестве этих субъектов.

Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Рекомендует для обеспечения безопасности ПДн применять в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн.

В документе приводится состав и содержание мер по обеспечению безопасности ПДн, необходимых для обеспечения каждого из уровней защищенности ПДн. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности персональных данных;

- обеспечение целостности информационной системы и персональных данных;

- обеспечение доступности персональных данных;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;

- управление конфигурацией информационной системы и системы защиты персональных данных.

Требования Приказа №21 устанавливают, для обеспечения 4 уровня защищенности персональных данных применяются:

- средства вычислительной техники не ниже 6 класса;

- системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

- межсетевые экраны 5 класса.

С учётом приведенных сравнений можно представить концептуальную модель системы защиты БИС как совокупность взаимосвязанных компонентов - подсистем и средств.

Рисунок 5 – Концептуальная модель системы защиты

В соответствие с пунктом 13 Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для обеспечения четвёртого уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

ЗАКЛЮЧЕНИЕ

В процессе выполнения работы были последовательно выполнены поставленные задачи, направленные на всестороннее изучение различных аспектов безопасности систем электронного документооборота.

В первом разделе работы выполнен анализ БИС как объекта защиты ин­формации. В ходе анализа определен состав защищаемой информации, уязви­мости программных платформ БИС и помещений в которых они расположены. Сделан вывод о том, что ПМБ должны оценивать БИС как объект информати­зации, а основу защищаемой информации составляют персональные данные.

Второй раздел посвящен разработке модели угроз безопасности персо­нальных данных обрабатываемых в БИС и определению требований к системе их защиты. Установлено, что определение требований ПМБ к БИС необходимо формировать с учётом законодательства о персональных данных и о коммерче­ской тайне. Сформирована концептуальная модель требований к СЗИ, опреде­лены её подсистемы, с учётом того, что в БИС обрабатываются ПДн. Сделан вывод о том, что требования к СЗИ БИС должны определятся, исходя из требо­ваний по защите ПДн в ИСПДн.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Нормативно-правовые акты

1. Автоматизированные системы бухгалтерского учета: Конспект лекций. - Пенза: Изд-во Пенз. гос. ун-та, 2002. - 108 с.
2. Гражданский кодекс РФ (часть первая) от 30.11.1994 г. № 51 - ФЗ [Электронный ресурс]: Режим доступа: http://www.consultant.ru/document/ cons_doc_LAW_5142
3. О бухгалтерском учёте: федеральный закон от 06.12.2011 г. № 402 - ФЗ [Электронный ресурс]: Режим доступа: http://www.consultant.ru/document/ cons_doc_LAW_122855
4. О коммерческой тайне: федеральный закон от 29 июля 2004 года №98- ФЗ http://www.consultant.ru/document/cons_doc_LAW_48699
5. О персональных данных: федеральный закон от 27 июля 2006 года № 152-ФЗ [Электронный ресурс]: Режим доступа: http://www.consultant.ru/ document/cons_doc_LAW_61801
6. О предельных значениях дохода, полученного от осуществления предпринимательской деятельности, для каждой категории субъектов малого и среднего предпринимательства: Постановление Правительства РФ от 04 апреля 2016 г. № 265 [Электронный ресурс]: Режим доступа: http://www.consultant.ru/ document/cons_doc_LAW_196415
7. О развитии малого и среднего предпринимательства в Российской Федерации: федеральный закон от 24 июля 2007 г. № 209 - ФЗ [Электронный ресурс]: Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_ 52144
8. Об информации, информационных технологиях и о защите информации: федеральный закон от 27 июля 2006 г. № 149-ФЗ [Электронный ресурс]: Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_ 61798
9. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК от 18 февраля 2013 г. № 21 [Электронный ресурс]: Режим доступа: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18- fevralya-2013-g-n-21
10. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК от 11 февраля 2013 г. № 17 [Электронный ресурс]: Режим доступа: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek- rossii-ot-11 -fevralya-2013 -g-n-17
11. Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ [Электронный ресурс]: Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_34683

Учебная литература

1. Ахметбекова Б.К., Сейдахметова Ф.С. Отдельные вопросы защиты бухгалтерских данных в информационных систем учета. Economics. 26_NII_2GG9 [Электронный ресурс]: Режим доступа: http://www.rusnauka. com/26_NII_2009/Economics/52026.doc.htm
2. Банк данных угроз безопасности информации [Электронный ресурс]: Режим доступа: http://bdu.fstec.ru/vul
3. ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию. Общие положения» [Электронный ресурс]: Режим доступа: http://www.altell.ru/legislation/standards/51275-2006.pdf
4. ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» [Электронный ресурс]: Режим доступа: http://docs.cntd.ru/document/1200123702
5. Загинайлов Ю. Н., Шлионская Ю. Д. Анализ бухгалтерской информационной системы как объекта защиты информации [Текст] // Научные исследования и разработки в эпоху глобализации: сборник статей Международной научно-практической конференции (25 ноября 2016 г., г. Пермь) В 7 ч. Ч.3/ - Пермь: АЭТЕРНА, 2016. - 239 с. (стр.199-202)
6. Загинайлов Ю. Н., Шлионская Ю. Д. Разработка рекомендаций предприятиям малого бизнеса по организации защиты информации в бухгалтерских информационных системах [Текст] // Развитие науки и техники: механизм выбора и реализации приоритетов: сборник статей Международной научно-практической конференции (15 июня 2017 г., г. Екатеринбург) В 3 ч. Ч.3/ - Уфа: АЭТЕРНА, 2017. - 248 с. (стр.148-150)
7. Информационная технология - Методы и средства обеспечения безопасности - Менеджмент риска информационной безопасности: международный стандарт ISO/IEC 27005:2011 [Электронный ресурс]: Режим доступа: https://exebit.files.wordpress.com/2013/11/iso-27005-2011-ru-v1.pdf
8. Информационная технология - Методы и средства обеспечения безопасности - Кодекс установившейся практики для менеджмента информационной безопасности: международный стандарт ISO/IEC 27002:2014 [Электронный ресурс]: Режим доступа: http://pqm-online.com/assets/files/pubs/translations/std/ iso-mek-27000-2014.pdf
9. Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования: международный стандарт ISO/IEC 27001:2013 [Электронный ресурс]: Режим доступа: http://www.pqm- online.com/assets/files/pubs/translations/std/iso-mek-27001-2013(rus).pdf
10. Шлионская Ю.Д. Рекомендации предприятиям малого бизнеса по организации защиты информации в бухгалтерских информационных системах: методическое пособие [Текст] / Ю. Д. Шлионская, Ю. Н. Загинайлов; Алт. гос. техн. ун-т им. И. И. Ползунова. - Барнаул: АлтГТУ, 2017. - 109 с.