Также необходимо защитить ПО NetAgent от несанкционированной деинсталляции, так как в случае удаления данного ПО, над рабочей станцией теряется контроль со стороны сервера администрирования. Таким образом, угроза несанкционированного копирования персональных данных на неучтенные носители информации может быть минимизирована при проведении настройки антивирусных программных средств. При проектировании любой системы информационной безопасности необходимо учитывать влияние человеческого фактора и, для обеспечения гарантий информационной безопасности в первую очередь, необходимо обеспечить дисциплину работы среди специалистов, так как большинство указанных мер обеспечивает защиту от непреднамеренного копирования информации. Если у сотрудника компании или стороннего злоумышленника имеется умысел на несанкционированное получение персональных данных, то большинство предпринимаемых технологических и организационных мер будут малоэффективными и для защиты от злоумышленников такого типа необходимо использовать особый порядок пропускного режима, упорядочивать доступ помещения, где обрабатываются персональные данные, принятие ряда мер по обеспечению физической защиты информации.
ЗАКЛЮЧЕНИЕ
В соответствии с поставленными задачами в рамках данной работыбыло выполнено:
Проанализированы нормативные акты, регулирующие область информационной безопасности;
Проведен анализ организационной структуры и структуры информационной системы ФГБУ «ЦС МС»;Определен перечень информационных систем, в которых производится обработка персональных данных, определен уровень защищенности ИСПДнФГБУ «ЦС МС»;Проведено изучение локальных нормативных документов в области защиты информации;
Проведена разработка методики оценки защищённости ИСПДн и в соответствии с ней проведена оценка состояния защищенности ИСПДнФГБУ «ЦС МС»;Даны рекомендации по совершенствованию ИСПДнФГБУ «ЦС МС».Показано, что система защиты персональных данных включает в себя организационные и технологические решения. Пренебрежение какой-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом. Аудит информационной системы показал, что существующая система персональных данных относится к уровню защищенности 3. Был проведен анализ системы защиты персональных данных в условиях работы информационной системы предприятия. Были выявлены системные проблемы, связанные с наличием ряда уязвимостей.
Первая группа уязвимостей связана с отсутствием системного подхода в системе разграничения доступа пользователей. Выявлено, что у некоторых пользователей наблюдается превышение уровня допустимого доступа (необоснованно задаются права администратора), факты выдачи прав доступа к программным комплексам, содержащим персональные данные не документируются. Вторая группа уязвимостей связана с отсутствием контроля обращения внешних носителей информации, что дает возможность несанкционированного копирования персональных данных, не контролируется функционирование рабочих станций, работающих с персональными данными. Существует ряд проблем, связанных с работой пользователей в программных комплексах: отмечаются многочисленные факты передачи паролей между пользователями, нарушения режима хранения парольных карточек, отсутствует контроль сроков смены паролей, а также их сложности, не отключены встроенные локальные учетные записи. Все перечисленные недостатки в сумме повышают уязвимость системы защиты персональных данных предприятия. В качестве мер совершенствования системы защиты персональных данных были предложены:
усовершенствовать систему документационного обеспечения системы защиты персональных данных;
— использовать персональныеаутентификатороы — электронные ключи, что позволит решить проблемы многофакторной аутентификации, дает возможности централизованного управления учетными записями и самими электронными ключами;
— настроить антивирусную систему для отключения возможности копирования информации на неучтенные носители.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ФГБУ «ЦСМС». Официальный сайт [Электронный ресурс]. Режим доступа:
http://findercom.ru/companies/2 761 395-advokatskaya-firma-fakt/Баймакова.
И.А.Вопросы обеспечения защиты информации- М.: Изд-во 1С-Паблишинг, 2010. — 216 с. Гашков С. Б., Применко Э. А., Черепнев М. А. Технология криптографических методов защиты информации. — М.: Академия, 2010. — 304 с. Герасименко В. А., Малюк А. А. Основы информационной безопасности. — М.: МИФИ, 2011.
Грибунин В.Г., Чудовский В. В. Проектированием комплексной системы защиты информации ворганизациях. — М.: Академия, 2009. — 416 с. Гришина Н. В. Комплексная система защиты информации на предприятии. — М.: Форум, 2010.
— 240 с. Демин, Ю. М. Технологии защищенного документооборота — С-Пб, 2013. — 201 с. Дудихин В. В., Дудихина О. В. Аудит систем защиты информации — М:. ДМК Пресс, 2012. — 192 с. Емельянова Н. З., Партыка Т. Л., Попов И. И. Технологическая защиты информации. — М.: Форум, 2009.
— 368 с. Завгородний В. И. Комплексная защита в компьютерных системах: Учебное пособие. — М.: Логос; ПБОЮЛ Н. А. Егоров, 2011. ;
264 с. Комплексная система защиты информации на предприятии. Часть 1. — М.: Московская Финансово-Юридическая Академия, 2008. — 124 с. Корнеев И. К, Степанов Е. А. Защита информации в офисе. -.
М.: ТК Велби, Проспект, 2008. — 336 с. Приложение 1Журнал учета внешних носителей информации, используемых для хранения персональных данных (образец)№№ пп.
Учетный № МНИ (№ стикера) Серия ключа.
Номер криптоключа.
Тип носителя.
Владелец (держатель ключа) ФИОДолжность.
Наименование структурного подразделения123 458 910 1032K/1 000 399 009 120 338/1дискета 3,5″ Карасев Ю. Б. Администратор ЗИПУ, АСВ, ВС и ВЗ2032K/1 000 409 009 120 338/2дискета 3,5″ Карасев Ю. Б. Администратор ЗИПУ, АСВ, ВС и ВЗ3032K/1 001 709 009 120 406/1дискета 3,5″ Масловская Е. Н. Администратор БД НП, ВПиСВНП, ВПиСВ4032K/1 001 719 009 120 406/2дискета 3,5″ Масловская Е. Н. Администратор БД НП, ВПиСВНП, ВПиСВПриложение 2Журнал учета рабочих станций, используемых для обработки персональных данных.
ПользовательИмя компьютера.
Инвентарный номер
ССЗОпечатано.
ВскрытоПримечание.
Ткачева Татьяна ГеннадьевнаWS03200409001110104150620339516, 2 033 951 722.
01.2014 Нечаева Татьяна БорисовнаWS0320040300134143020261612920339514, 2 033 951 522.
01.2014 Корнелюк Татьяна НиколаевнаWS0320040200134143020261612420339518, 2 033 951 922.
01.2014 Разживина Юлия ГеннадьевнаWS0320041000334143020261612120335068, 2 033 506 922.
01.2014 Коплунова Ирина ВладиславовнаWS0320041100804143020350000520339584, 2 033 958 522.
01.2014 Юркова Галина ГеннадьевнаWS0320042100334143020261613320339508, 2 033 950 922.
01.2014 Шишкина Галина АлексеевнаWS0320041100704143020202611320339586, 2 033 958 722.
01.2014 Беспалова Галина НиколаевнаWS0320041100904143020261010020339582, 2 033 958 322.
01.2014 Давыдова Ольга ИвановнаWS0320041100504143020202611420339580, 2 033 958 122.
01.2014 Леонтьев Никита ВикторовичWS0320041100604143020202611620339578, 2 033 957 922.
01.2014 Мурыгин Александр ВалерьевичWS0320041100404143020202611220339576, 2 033 957 722.
01.2014 Приложение 3Акт обследования помещений, в которых обрабатываются персональные данные.
УТВЕРЖДАЮГенеральный директор ФГБУ «ЦС МС"________________"___» _______ 2015 г. АКТОБСЛЕДОВАНИЯ ПОМЕЩЕНИЙ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ РАЗМЕЩЕНИЯ ИУСТАНОВКИ КРИПТОСРЕДСТВг."___" ______ 2015 г. Комиссия в составе: председателя комиссии, членов комиссии: _____________ назначенной приказом ____________ «О создании внутрипроверочной комиссии по вопросам защиты информации» от _____, № ____, провела проверку кабинетов: № 101, 102, 103, 104, 105, 106, 108, 109, 110, 201, 203, 204, 208, 210 ФГБУ «ЦС МС» расположенного по адресу _________ вместе с техническими средствами и системами, установленном в указанном помещении. КОМИССИЯ УСТАНОВИЛА:
Максимальный радиус контролируемой зоны здания, в котором находятся обследуемое помещение — по периметру здания. За пределы контролируемой зоны выходят линии связи и инженерные коммуникации — сети водоснабжения и канализации. Здание двухэтажное. Внутри здания установлена система видеонаблюдения с выводом видеоизображения на мониторы поста охраны. Здание сдается под охрану на пульт централизованного наблюдения Отделения вневедомственной охраны по _____________________Помещение оборудовано охранно-пожарной сигнализацией. Помещение имеет прочную входную дверь с замками, гарантирующими надежное закрытие помещений в нерабочее время. Дверь помещения оборудована автоматическим замком, позволяющим обеспечить постоянное нахождение двери в закрытом состоянии. Инструкцией о пропускном и внутриобъектовом режиме охраны зданий и внутренних помещений, прилегающей территории в ФГБУ «ЦС МС» определен список лиц, имеющих доступ в выделенные помещения. Помещения расположены на первом и втором этажах здания. Возможность проникновения в помещения через окна отсутствует. Окна оборудованы жалюзями, возможность просмотра проводимых работ извне, отсутствует. Радиоэлектронных устройств и проводов неизвестного назначения путем визуального осмотра помещений не выявлено. Режим охраны помещения, правила допуска работников и посетителей в рабочее и нерабочее время в здание, в котором размещено обследуемое помещение определен Инструкцией о пропускном и внутриобъектовом режиме. ВЫВОД:
Размещение, охрана и оборудование обследованного помещения, а также организация режима работы в нем отвечают требованиям «Инструкции по организации криптографической защиты информации в…», утвержденной приказом ______________ от ________ г. № ___ и позволяют установить средства криптографической защиты и обеспечить сохранность информации ограниченного доступа, криптосредстви ключевых документов.
