Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ  УЧРЕЖДЕНИЕ

ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ

Институт математики и компьютерных наук

Кафедра информационной безопасности

 

 

Допустить к защите в  ГАК

Заведующий кафедрой

информационной безопасности,

д.т.н., профессор А.А. Захаров

“____” _________ 2010 г.

 

 

Орлов Кирилл Игоревич.

Комплексное обеспечение  безопасности персональных данных при  их обработке в информационной системе  персональных данных ООО «Арсенал+»

(Дипломная работа)

 

 

Научный руководитель:

старший преподаватель

_____________ Калинин А.С.

Автор работы:

_____________ Орлов К. И.

 

 

 

 

Тюмень – 2010

 

 

Введение.

  Актуальность дипломной работы определяется большим интересом к тематике защиты персональных данных со стороны общественности, современной науки и не проработанность законодательной базы при решении проблем обеспечения информационной безопасности, а так же  изменениями в законодательстве РФ. Подписанный 27 июля 2006 года В.В. Путиным ФЗ «О защите персональных данных» в сферу действия которого попадают все юридические и физические лица, в обработке у которых находятся персональные данные других граждан, обязывает каждую организацию принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

      Надежное обеспечение информационной  безопасности критически важных  объектов является одним из  важнейших условий для успешного  экономического и социально-политического  развития российского общества, укрепления обороноспособности страны и безопасности государства. Решение этой проблемы во многом определяется защищенностью информационных ресурсов, телекоммуникационных систем и сетей критически важных объектов, создаваемых и используемых как государственными, так и негосударственными организациями, от угроз преступного или террористического характера в сфере компьютерной информации, деструктивного информационного воздействия со стороны других государств.

    Цель дипломной работы заключается в модернизации и подготовки информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ.

    Для достижения поставленной  цели были сформулированы следующие  задачи:

• Рассмотреть основные понятия в области безопасности информационных технологий.
• Провести анализ законодательной базы в области обеспечения безопасности информационных технологий и персональных данных.
• Провести анализ ресурсов участвующих в обработки ПДн в ООО «Арсенал+».
• Выявление уязвимых звеньев и возможных угроз безопасности ИСПДн.
• Разработка нормативной документации по организации защиты ПДн.
• Подготовить рекомендации по организации системы защиты и закупке средств защиты информации.

Практическая  значимость работы определяется тем, что  ее результаты позволяют подготовить ИС ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ с минимальными временными и материальными затратами, а так же устранение фактов нарушения обработки персональных данных.  На сегодняшний день законодательная база РФ предусматривает следующие виды ответственности за нарушения в области защиты персональных данных: административная, уголовная, гражданская, дисциплинарная. В свою очередь нарушения закона  № 152-ФЗ  могут оказать значительные негативные последствия для ведения бизнеса компании.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 1. Основные понятия в области безопасности информационных технологий.

Прежде всего, необходимо понять, что  же такое безопасность информационных технологий, определить что (кого), от чего (от кого), почему (зачем) и как (в какой степени и какими средствами) надо защищать. Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности ИТ и переходить к обсуждению вопросов построения соответствующих систем защиты.

1. 1. Что такое безопасность информационных технологий.

Что же такое безопасность и безопасность ИТ в частности? Очень часто говорят, что безопасность это отсутствие опасностей. Это не совсем правильно, так как полностью устранить все возможные опасности нельзя. Безопасность - это защищенность от опасностей. Точнее, безопасность - это защищенность от возможного ущерба, наносимого при реализации этих опасностей (угроз).

Наносимый при осуществлении угроз  ущерб может быть материальным, моральным или физическим. Наноситься этот ущерб может напрямую или косвенно. Субъектами нанесения ущерба, в конечном счете, всегда являются люди. Даже если пострадают материальные объекты или информационные ресурсы, ущерб (косвенный) в итоге будет причинен людям, каким-либо образом, связанным с этими объектами или заинтересованным в их сохранности и целостности. Самим этим объектам (ресурсам) - все равно. Они не живые, у них нет своих интересов. Но от них зависят люди, которым повреждения этих объектов (ресурсов) могут быть далеко небезразличны.

Реальность такова, что чем с  большим числом объектов нас что-то связывает, тем в большей опасности  для косвенного нанесения нам  ущерба мы находимся[1].

Если мы заинтересованы в надлежащей работе АС, то косвенный ущерб нашим интересам может быть нанесен путем нарушения нормального функционирования этих систем или нарушения необходимых нам свойств отдельных компонентов и ресурсов АС. Причем, среди таких компонентов не только информация, но и ее носители (устройства хранения, обработки, передачи данных), а также процессы обработки и передачи информации.

Под автоматизированной системой обработки информации будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

•   технических средств обработки и передачи данных (средств вычислительной техники и связи);

• методов и алгоритмов обработки  данных в виде программного обеспечения;

• информации (массивов, наборов, баз  данных) на различных носителях;

• обслуживающего персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (об их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления этими объектами.

Под обработкой информации в АС будем понимать любую совокупность операций (прием, накопление, хранение, преобразование, отображение, передача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.

Информационные  ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Отметим некоторые, важные для нас свойства информации:

•    существование в виде данных (в кодированном виде).

Информация может существовать в различных формах в виде совокупностей  некоторых кодовых знаков (символов, знаков, сигналов и т.п.) на носителях  различных типов. Информация - это смысл (семантика), а данные - это код-носитель смысла (синтаксис). Информация существует в виде данных, то есть всегда закодирована;

•   неисчерпаемость ресурса (при копировании информации ничего не убывает);

•   потенциальная полезность при монопольном владении, позволяющая получить определенную выгоду в экономической, политической, военной или иной области (отсюда и смысл введения ограничений на распространение данной информации, то есть - тайны).

1. 2. Субъекты информационных отношений, их безопасность.

В дальнейшем под субъектами информационных отношений будем понимать:

•     государство (в целом или отдельные его ведомства, органы и организации);

•    общественные или коммерческие организации (объединения) и предприятия (юридические лица);

•    отдельных граждан (физические лица).

В процессе своей деятельности субъекты могут находиться друг с другом в  разного рода отношениях, в том  числе, касающихся вопросов получения, хранения, обработки, распространения  и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов - субъектами информационных отношений.

Различные субъекты по отношению к  определенной информации могут (возможно, одновременно) выступать в качестве (в роли):

•    источников (поставщиков) информации;

•    потребителей (пользователей) информации;

•  собственников, владельцев, обладателей, распорядителей информации и систем ее обработки;

•    физических и юридических лиц, о которых собирается информация;

•    участников процессов  обработки и передачи информации и т.д.

Для успешного осуществления своей  деятельности по управлению объектами  некоторой предметной области субъекты информационных отношений могут  быть заинтересованы в обеспечении:

•  своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам (услугам);

• конфиденциальности (сохранения в тайне) определенной части информации;

•   достоверности (полноты, точности, адекватности, целостности) информации и защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);

•     защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав интеллектуальной собственности, прав собственника информации);

•    разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т.д.

Будучи заинтересованным в обеспечении  хотя бы одного из вышеназванных свойств  и возможностей, субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, морального или материального) посредством воздействия на критичную для него информацию, ее носители и процессы ее обработки либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений в той или иной степени (в зависимости от размеров ущерба, который им может быть нанесен) заинтересованы в обеспечении своей информационной безопасности.

Для обеспечения законных прав и  удовлетворения, перечисленных выше интересов субъектов информационных отношений (т.е. обеспечения информационной безопасности субъектов) необходимо постоянно поддерживать (обеспечивать, защищать) следующие необходимые субъектам свойства информации и систем ее обработки:

•    доступность информации - такое свойство системы (средств и технологий обработки, инфраструктуры, в которой циркулирует информация), которое характеризует способность обеспечивать своевременный доступ субъектов к интересующей их информации и соответствующим автоматизированным службам всегда, когда в обращении к ним возникает необходимость (готовность к обслуживанию поступающих от субъектов запросов);

• целостность информации - такое свойство информации, которое заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы адекватности отображения выходят далеко за рамки проблемы безопасности ИТ;

• конфиденциальность информации - такую субъективно определяемую (приписываемую собственником) характеристику (свойство) информации, которая указывает на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (инфраструктуры) сохранять указанную информацию втайне от субъектов, не имеющих прав на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.