Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации (База персональных данных).pdf

Введение

Начавшаяся в XX компьютеризация всех отраслей хозяйства продолжается до сих пор. Практически все компании хранят важную информацию в локальной компьютерно-информационной сети. Создаются информационные сети, которые помогают организации повысить производительность. Используя данную систему, можно с легкостью получить данные, которые будут в дальнейшем использоваться для выполнения прямых служебных обязанностей. К сожалению, данный процесс, который с первого взгляда имеет множество положительных сторон, обладает также и рядом недостатков. Злоумышленники получают возможность проникнуть в систему, получить доступ к базам и массивам данных, использовать эти данные, вымогая деньги, иные данные, материальные ценности.

Вот почему в мире цифровых технологий остро стоит проблема защиты информации. В большинстве случаев злоумышленники интересуются персональными данными и коммерческой информацией, хранящейся в системах организаций и коммерческих предприятий. Получив данные, злоумышленники могут продавать их, шантажировать владельцев, портить имидж владельцу и компании в целом, нанося непоправимый финансовый ущерб компании, поскольку утечку информации приходится устранять, чтобы восстановить свою позицию на конкурентном рынке ввиду утечки клиентов и их исков против компании.

Для нашей страны, тема защиты информации и персональных данных является актуальной, поскольку законодательная база существует не так давно. Вот почему, лица, обрабатывающие персональные данные, не знают многих правил, обеспечивающих защиту информации. Специалистам в области информационной безопасности помимо обеспечения безопасности информационной системы приходится заниматься обучением и созданием норм и поведения персонала при их работе с персональными данными и их обработке.

Данная работа представляет собой разработку системы защиты персональных данных для строительной компании «Строй-Данс-Ю».

В работе будут рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.

Далее будет предложено рассмотреть устройство информационных систем персональных данных. Это поможет наилучшим образом представить то, какие существуют модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей (ЛВС) и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.

После проведения теоретического анализа, будет предложена система, позволяющая обеспечить безопасность информационной системы компании, которая будет включать в себя: основные мероприятия по защите ЛВС и базы данных, программные и аппаратные средства защиты, базовую политику безопасности.

Целью данной работы является исследование концепции и структуры построения системы управления инцидентами информационной безопасности в организации, для достижения поставленной цели, были выделены следующие задачи:

- рассмотреть предпосылки создания системы безопасности персональных данных;

- изучить устройство информационных систем персональных данных;

- разработать меры по обеспечению защиты персональных данных на предприятии.

Объект исследования – строительная компания.

Предмет исследования - концепции и структуры построения системы управления инцидентами информационной безопасности в организации.

Структура работы состоит из введения, основной части, заключения и списка литературы

Теоретической и методологической базой данной работы послужили труды российских и зарубежных авторов в области информационной безопасности.

Глава 1 Предпосылки создания системы безопасности персональных данных

1.1 Законодательные предпосылки

В странах с устоявшейся демократией люди помешаны на неприкосновенности частной жизни. Россия не отстает от ведущих стран и согласно статье 23 Конституции РФ, каждый человек имеет право на частную или семейную тайну и неприкосновенности жизни. [1]

Вскоре на территории нашей страны в соответствии с международными договорами Российской Федерации и Конституцией Российской Федерации начало осуществляться правовое регулирование норм обработки персональных данных на основании Федерального закона №152 «О персональных данных» от 27.07.2006 г.

Исходя из данного закона, все информационные системы персональных данных не позднее, чем 1.07.2011г., должны соответствовать указанным требованиям. За нарушение требований данного закона гражданин несет, в зависимости от величины нарушения, административную, дисциплинарную и уголовную ответственность. [3]

18 февраля 2013 г. ФСТЭК утвердила приказ №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Необходимыми мерами признаны: обеспечение аутентификации, идентификации, разграничение доступа, ограничение программной среды, защита машинных носителей, сбор событий безопасности, антивирусная система, система обнаружения вторжений, контроль работоспособности средств защиты, защита целостности и доступности данных, доверенная загрузка серверов, защита технических средств и информационной системы.[4]

Не менее важным является ФЗ РФ №149 от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации». [5]

За обеспечение безопасности на предприятии, в частности за сохранность персональных данных сотрудников, отвечает Трудовой кодекс РФ. Согласно главе 14 ТК РФ, существуют правила и нормы обработки, хранения, использования и передачи персональных данных работников. В кодексе также указана ответственность за нарушение данных норм. [6]

Иным нормативным актом является Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". [7]

Исходя из представленных законодательных норм, технические средства, использующиеся при обработке данных, также должны соответствовать всем требованиям, прописанным в них.

1.2 Угрозы информационной безопасности

Событие, которое по каким-либо причинам наносит ущерб, принято называть угрозой. В области информационной безопасности, ущерб можно нанести автоматизированной системе, которая дает быстрый доступ практически к любой информации, являясь наиболее важной и легкодоступной частью информационной системы персональных данных.

Для того, чтобы сформулировать требования по защите данной автоматизированной системы, необходимо понять, какие именно угрозы существуют, каковы риски их возникновения. Классифицировать угрозы можно по ряду признаков, которые наилучшим образом отражают необходимые по защите системы требования:

- по природе возникновения;

- по степени преднамеренности;

- по источнику угроз;

- по положению источника угроз;

- по степени зависимости от активности автоматизированной системы;

- по степени воздействия на автоматизированную систему;

- по этапам доступа к ресурсам;

- по способу доступа к ресурсам;

- по местоположению информации, хранимой в этой системе.[31]

Проанализировав угрозы автоматизированной системы, необходимо перейти к угрозам самой информационной системы персональных данных, которая представляет собой: персональные данные, а также технологии, технические средства, которые помогают их обрабатывать.

В соответствии с изученными свойствами и элементами информационной системы персональных данных (далее ИСПДн), а также строения канала реализации угроз безопасности персональным данным, можно составить перечень угроз безопасности персональных данных (далее УБПДн) при их обработке в информационной системе, введя классификацию:

- по виду защищаемой информации;

- по источникам угроз базам данных;

- по типу ИСПДн, на которые направлены УБПДн;

- по виду несанкционированных действий;

- по уязвимости, которую используют;

- по объекту воздействия. [8]

Более подробно классификация представлена ниже (рисунок 1.1).

Рисунок 1.1 – Классификация угроз безопасности персональных данных, обрабатываемых в ИСПДн.

1.3 Источники возможных угроз несанкционированного доступа в ИСПДн

Угрозы могут возникнуть от:

-нарушителей;

-носителей вредоносных программ;

-аппаратной закладки.[8]

Рассмотрим более подробно каждый из источников угроз.

Нарушители могут иметь разовое или же наоборот постоянное право доступа к информационной системе. Однако, все они делятся на внешних (чаще реализуют свои угрозы из сетей международного обмена или сетей общего пользования) и внутренних (имея доступ к ИСПДн, реализуют угрозу непосредственно в ней).

Внутренние нарушители подразделяются на категории по способу доступа к персональным данным (рисунок 1.2).

Внешние нарушители также имеют собственную классификацию, представленную на рисунке 1.3, и обладают разнообразными возможностями. Возможности внутреннего нарушителя ограничены организационно- техническими мерами защиты информационной системы

Рисунок 1.2- Внутренние нарушители.

Рисунок 1.3- Классификация внешних нарушителей.

Не менее опасным источником угроз являются носители вредоносных программ, такие как программный контейнер или аппаратный элемент компьютера. Вредоносная программа может быть принесена с помощью какого-либо носителя и в зависимости от того ассоциируется ли она с какой-либо программой, носитель определяется однозначно.

Существуют всевозможные угрозы безопасности, которые могут быть связаны с внедрением аппаратных закладок, которые представляют собой технические приспособления, позволяющие получить доступ и сведения. Данные приспособления работают по-разному, но чаще всего являются частями уже имеющейся аппаратуры: клавиатуры, USB-коннектора на плату, низкоскоростного цифрового устройства, монитора и так далее.

Таким образом, в этой главе были рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.

Глава 2 Устройство информационных систем персональных данных

2.1 Классификация СУБД и модели данных

Совокупность данных, организованных специальным образом, хранимых в памяти вычислительной системы, демонстрирующих взаимосвязи и состояние объектов в какой-либо области, принято называть базой данных.

Структуру, по которой хранятся данные в базе, называют моделью данных.

Для совместного использования, ведения и создания БД несколькими пользователями были созданы специальные программные и языковые средства, которые принято называть системой управления базами данных (СУБД).

К СУБД принято относить следующие виды программ:

-полнофункциональные СУБД (R:BASE, MS Access, MS Visual FoxPro, dBase 4);

-серверы БД (MS SQL Server, NetWare SQL (Novell), InterBase (Borland));

-клиенты БД (ПФ СУБД, Электронные таблицы и т.д.);

-средства разработки программ работы с БД (Delphi, MS Visual Basic, kylix(Borland)).[13]

У каждой из данных программ имеется свое представление и предназначение.

По характеру использования они делятся на многопользовательские (Oracle, MySQL, informix) и персональные (Visual FoxPro, Access, dBase, Paradox и другие).