Файл: Методика защиты информации в системах электронного документооборота (Анализ бухгалтерской информационной системы предприятия).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 13.03.2024

Просмотров: 10

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

Глава 1 Анализ системы электронного документооборота как объекта защиты информации

1.1 Анализ бухгалтерской информационной системы предприятия

1.2 БИС как объект защиты информации

1.3 Анализ уязвимостей бухгалтерской информационной системы

Глава 2 Анализ угроз безопасности и определение требований к защите информации в БИС

2.1 Разработка модели угроз

2.2 Определение требований к системе защиты БИС

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

В качестве объекта для разработки модели угроз в рамках исследования безопасности информации в БИС была выбрана информационная система ведения бухгалтерского учёта и расчёта заработной платы, а также типовой объект информатизации ПМБ.

Модель разработана на основе нормативных и методических документов:

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008;

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14.02.2008;

- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Структура модели угроз представлена на рисунке 5.

Рисунок 5 – Структура модели угроз

Для БИС, выбран подход к формированию требований к системе защиты ПДн, предусмотренный технологией решения этой задачи для государственных информационных систем изложенный в приказе №17 от 2013 года ФСТЭК России. Он предусматривает определение класса (уровня) защищённости перед разработкой модели угроз.

Результаты определения уровня защищенности ИСПДн следующие. Информационная система является информационной системой, обрабатывающей иные категории персональных данных, т.к. в ней не обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных, не обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных и не обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Для информационной системы актуальны угрозы третьего типа, т.к. для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Таким образом, требуемый уровень защищенности ИСПДн - УЗ-4.

Разработанная модель угроз безопасности приведена в приложении Б.

В первом разделе модели угроз приводятся общие положения, включающие, в том числе, документы, на основе которых она разработана.

Второй раздел содержит термины и определения, которые употребляются в модели угроз.

В третьем разделе перечислены сокращения, используемые в модели угроз.

В четвёртом разделе приводится описание ИСПДн, для которой и была составлена модель угроз. Раздел содержит информацию об ИСПДн, в том числе сведения об оборудовании, входящем в состав ИСПДн, и о ПО, используемом в ИСПДн. Также дана характеристика ПДн, обрабатываемых в рассматриваемой ИСПДн, перечислены пользователи, имеющие доступ к ПДн, обрабатываемым в ИСПДн, и исходные данные ИСПДн.

В пятом разделе, имеющем название «Перечень угроз безопасности ПДн в ИСПДн», в соответствии с четвёртым разделом модели угроз определён тип ИСПДн. Далее в соответствии с положениями «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной заместителем директора ФСТЭК России 15.02.2008, были определены угрозы, представляющие потенциальную опасность нарушения безопасности ПДн при их обработке в ИСПДн данного типа.

Шестой раздел представляет собой определение актуальных угроз безопасности ПДн при их обработке в ИСПДн. Для этого сначала экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» был определён уровень исходной защищенности ИСПДн. Результаты определения уровня исходной защищённости показали, что ИСПДн обладает средним уровнем исходной защищенности Y1=5. Далее было произведено определение вероятности реализации угроз безопасности персональных данных. Вероятность реализации угроз безопасности ПДн была определена экспертным методом в соответствии с Методикой и на основании результатов обследования ИСПДн. Далее были определены возможности реализации угроз безопасности ПДн и опасность реализации таких угроз. В заключение были выявлены актуальные угрозы безопасности ПДн при их обработке в ИСПДн.

Таким образом, в отношении ПДн, обрабатываемых в информационной системе, предназначенной для ведения бухгалтерского учёта и расчёта заработной платы, актуальными являются следующие угрозы:

- кража носителей информации;

- действия вредоносных программ (вирусов);

- непреднамеренное отключение средств защиты;

- выход из строя аппаратно-программных средств;

- разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке;

- угроза выявления паролей;

- угрозы типа «Отказ в обслуживании»;

- угрозы внедрения по сети вредоносных программ.

2.2 Определение требований к системе защиты БИС

Для определения требований необходимо рассмотреть нормативные правовые акты, регулирующие защиту информации и определяющие различные требования, а также методические документы по технической защите для коммерческой тайны и ПДн.

Состав нормативных правовых актов и методических документов, определяющих требования по защите ПДН включает:

- «Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

- «Конвенцию Совета Европы о защите физических лиц при неавтоматизированной обработке персональных данных», ратифицированную в России в 2005 году.

- Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».

- Указ Президента Российской Федерации от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера».

- Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных».

- Постановление Правительства Российской Федерации №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

- Постановление Правительства Российской Федерации №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

- Приказ ФСБ России от 10 июля 2014 №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности».

- Приказ ФСБ России от 9.02.2005 №66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».

- Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31.03.2015).

- Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

- Методический документ ФСТЭК России от 14.02.2008 «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утверждена Заместителем директора ФСТЭК России 15.02.2008).

- Трудовой Кодекс РФ (Глава 14).

- Постановление Правительства РФ N 211 от 21.03.2012 г. Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

Федеральный закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ, целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, устанавливает требования по организации обработки персональных данных.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

В статье 18 закона перечислены обязанности оператора при сборе персональных данных.

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей, возложенных на него данным федеральным законом. Среди таких мер выделяются:

1) назначение оператором ответственного за организацию обработки персональных данных;

2) издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с 19 статьей данного закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных рассматриваемому Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона;

6) соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;

7) ознакомление работников оператора, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных), и (или) обучение указанных работников.

Также требования по обеспечению защиты прописаны в статье 19. В этой части закона говорится об обязанности оператора при обработке персональных данных принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Выполнение этих требований достигается:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

35

4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

Смотрите также файлы