Дипломная работа "Подсистема защиты персональных данных АИС ООО "Бюро технологий"" | |
Автор: student | Категория: Гуманитарные науки | Просмотров: 625 | Комментирии: 0 | 18-09-2020 15:07 |
Подсистема защиты персональных данных АИС ООО "Бюро технологий"
Содержание
Список сокращений |
|
Введение
|
|
Анализ проблемы и постановка задач выпускной квалификационной работы |
|
Описание предлагаемых решений |
|
Описание реализации и оценивание эффективности |
|
(Экономическая часть) Анализ хозяйственной деятельности ООО «Бюро технологий» |
|
Заключение |
|
Сокращения
АРМ – автоматизированное рабочее место;
АС – автоматизированная система;
АВС – антивирусные средства;
ВП – выделенное помещение;
ВТСС – вспомогательные технические средства и системы;
ИСПДн – информационная система персональных данных;
КЗ – контролируемая зона;
МЭ – межсетевой экран;
НДВ – не декларированные возможности;
НСД – несанкционированный доступ;
ОС – операционная система;
ПДн – персональные данные;
ПМВ – программно-математическое воздействие;
ПО – программное обеспечение;
ПЭВМ – персональная электронно-вычислительная машина;
ПЭМИН – побочные электромагнитные излучения и наводки;
САЗ – система анализа защищенности;
СВТ – средства вычислительной техники;
СЗИ – средства защиты информации;
СЗПДн – система (подсистема) защиты персональных данных:
СОВ – система обнаружения вторжений;
СУБД – система управления базами данных;
УБПДн – угрозы безопасности персональным данным.
Подсистема защиты персональных данных АИС ООО "Бюро технологий"
наименование вида АС
ООО «Бюро технологий»
наименование объекта автоматизации
ИСПДН «Бюро технологий»
сокращенное наименование АС
ВВЕДЕНИЕ
На ___ листах
Актуальность темы исследования. Конституция РФ закрепила свободу поиска, получения, передачи, распространения информации, с одной стороны, а, с другой гарантировала право на неприкосновенность частной жизни, тайны личных и семейных тайн, сообщений, и главное, в ст. 24. Запретила распространение информации о человеке (персональных данных) без его согласия. Стоит учитывать, что процесс жизнедеятельности предполагает обмен информации о личности, предоставление информации о себе обществу, в различные организации. Процесс трудовых отношений предполагает предоставление работодателю от работника информации о себе, персональных данных. Без достоверной информации о работниках, не возможно управление персоналом. Это обстоятельство закреплено в Трудовом кодексе. Работодателю разрешено получать, хранить, использовать персональные данные работников. Однако, законодательство определило требования к обработке персональных данных работников, гарантии их защиты. В последние годы разрабатывается и совершенствуется законодательство, регламентирующее защиту персональных данных. Принятие Государственной Думой РФ Закона «О персональных данных» характеризует усилия государства создать соответствующее законодательство. Уже в момент принятия ТК РФ в 2001 новеллой законодательства о труде стала глава 14 ТК РФ, посвященная защите персональных данных работников. Установление в отношении персональных данных конфиденциальности позволяет обеспечить конституционное право человека на неприкосновенность частной жизни и информации о ней. Нововведения в законодательстве крайне важны для сотрудников кадровых служб предприятия, ведущих обработку конфиденциальности работника. Эти нововведения важны и для бухгалтерии, которая имеет доступ к персональным данным работника в процессе расчета ЕСН, НДФЛ. Однако, многие руководители до сих пор четко не представляют, что необходимо делать для обеспечения эффективной защиты конфиденциальности работников. Такая ситуация обусловлена отсутствием практики применения норм Закона в проектах по обеспечению защиты конфиденциальности. Одно из многочисленных требований закона – это разработка организационного документа положения о защите конфиденциальности работника. Методологические основы для разработки такого положения в организации есть, но с учетом специфики организации разработка такого локального документа может быть осуществлена в организации. Степень изученности темы. В связи с актуальностью проблемы защиты персональных данных человека, а также защиты персональных данных в процессе трудовых отношений, данному вопросу посвящено большое количество научных исследований, как в литературе, так и в периодических изданиях. Актуальной проблемой для многих организаций, прежде всего, для их кадровых служб, стал вопрос практической разработки такого локального внутреннего нормативного акта, как положение о защите персональных данных работника. В процессе работы над дипломным исследованием была проанализирована литература, посвящена вопросам кадрового делопроизводства. Это работы Л.М. Вяловой, Т.В. Кузнецовой, М.Ю. Рогожина и др. Обзор источников. При подготовке дипломной работы нами был проанализирован ряд законодательных и нормативных актов, которые регламентируют защиту ПД в процессе трудовых отношений. Конституция РФ – это главный документ, который имеет высшую юридическую силу. Она определяет все основные законные и подзаконные акты на территории РФ. В Конституции отражена соподчиненность основных видов документов: законов, указов Президента и постановлений Правительства РФ. Ст. 24 Конституции РФ, которая устанавливает, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни. Основной закон, регламентирующий защиту персональных данных человека - это Федеральный закон о защите персональных данных. Федеральный закон регламентирует отношения, возникающие при обработке персональных данных, а также совокупности операций, совершаемых с персональными данными с использованием средств автоматизации. Закон предназначен для широкой сферы регулирования и имеет межотраслевое значение. Закон формулирует следующие основные понятия: персональные данные, оператор, обработка персональных данных, распространение персональных данных, использование персональных данных, блокирование персональных данных, уничтожение персональных данных, обезличивание персональных данных, информационная система персональных данных, конфиденциальность персональных данных и др. Объект исследования - Общество с ограниченной ответственностью «Бюро технологий», занимающееся продажей и сопровождением програмных продуктов «1С». Предмет исследования – процессы защиты персональных данных работников в кадровом делопроизводстве в исследуемой организации. Цель исследования – анализ законодательства о персональных данных, его реализации в кадровой службе Общества с ограниченной ответственностью «Бюро технологий», разработка методики составления положения о защите персональных данных в организации. Для достижения цели дипломной работы были решены следующие задачи: • изучить и проанализировать законодательную и нормативно-методическую базы, регламентирующие защиту персональных данных; • провести анализ правового регулирования персональных данных, возникающих в связи с трудовыми отношениями; • исследовать особенности обработки и защиты персональных данных работников организации; • разработать методику составления положения о защите персональных данных работников организации. Научно-практическая значимость дипломной работы обуславливается возможностью использования разработанной методики составления положения о защите ПД работников как методическое.
|
__________БезматерныхН.С. .
наименование организации-разработчика ТЭО на АИС
«УТВЕРЖДАЮ» |
|
«УТВЕРЖДАЮ» |
Руководитель ООО «Бюро технологий» |
|
Студент группы 09-ВИЭ 2ка |
_____________ /А.М. Израилов/ |
|
___________ /Н.С. Безматерных/ |
Личная подпись Печать ________________ Дата |
|
Личная подпись
________________ Дата |
Подсистема защиты персональных данных АИС ООО "Бюро технологий"
наименование вида АС
ООО «Бюро технологий»
наименование объекта автоматизации
ИСПДН «Бюро технологий»
сокращенное наименование АС
Анализ проблемы и постановка задач выпускной квалификационной работы
На ____ листах
СОГЛАСОВАНО |
Докт. пед. наук, профессор кафедры СУиВТ |
____________ /И.Д. Рудинский/ |
Личная подпись
________________ Дата |
|
Содержание
характеристика объекта преддипломной практики……………………………………..…….………………………..4
Общие положения. 4
Основные задачи предприятия. 4
Структура, организация предприятия. 5
описание технологических процессов обработка персональных данных………………….………………….6
Характеристика комплекса технических средств обработки персональных данных в ИСПДн.. …...9
Внутренняя архитектура сети…………………………………………………………………………………………….…..……11
Режим и степень участия персонала в обработке персональных данных.…….…………….…….…..……13
Классификация угроз безопасности персональных данных в ИСПДн.…….…….………….……..…..……14
Угрозы утечки акустической (речевой) информации.. 17
Угрозы утечки видовой информации.. 17
Угрозы утечки информации по каналам побочных электромагнитных излучения и наводок. 18
Угрозы несанкционированного доступа к информации ИСПДн.. 19
Источники угроз несанкционированного доступа к ИСПДн АС.. 20
Характеристика уязвимостей ИСПДн.. 23
1.3.1 Уязвимости системного программного обеспечения. 24
1.3.2 Уязвимости прикладного программного обеспечения. 25
Характеристика угроз непосредственного доступа в операционную среду ИСПДн АС.. 25
Характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия. 26
1.3.3 Угроза "Анализ сетевого трафика". 26
1.3.4 Угроза "сканирование сети". 27
1.3.5 Угроза выявления паролей. 27
1.3.6 Угрозы навязывания ложного маршрута сети путем несанкционированного изменении маршрутно-адресных данных 27
1.3.7 Угрозы внедрения ложного объекта сети. 27
1.3.8 Угрозы типа "Отказ в обслуживании". 28
1.3.9 Угрозы удаленного запуска приложений. 29
1.3.10 Угрозы внедрения по сети вредоносных программ.. 29
1.3.11 Возможные последствия реализации угроз различных классов. 30
Характеристика объекта преддипломной практики
1.1 Общие положения
Преддипломная производственная практика проходила в ООО «Бюро технологий». Компания начала свою деятельность как ИП Израилов Михаил Израилович, получив сертификат официального партнера фирмы "1С" 11 октября 1995г. 02576-27.
На текущий момент в компании работают на постоянной основе около 20 сотрудников.
Основной вид деятельности компании - автоматизация управления административно-хозяйственной и финансовой деятельностью предприятий, организаций и учреждений различных масштабов и видов деятельности на основе использования программных продуктов системы"1С: Предприятие".
С 2008 по 2011 год фирма "1С" выбрала компанию ООО «Бюро технологий» в качестве регионального партнера по участию в федеральном проекте автоматизации Пенсионного Фонда РФ.
Франчайзинговая сеть партнеров-внедренцев создана и развивается фирмой "1С" для квалифицированного выполнения работ по обслуживанию пользователей системы "1С:Предприятие" и гарантирует качество оказываемых услуг. На сегодня эта сеть не имеет аналогов в России, она сформирована и развивается на базе коллективов, не просто продающих программные продукты, но и имеющих опыт до- и послепродажного обслуживания клиентов, внедрения, сопровождения, а зачастую и разработки программ.
Фирмы-франчайзи работают под единой маркой "1С:ФРАНЧАЙЗИНГ", имеют в своем составе аттестованных фирмой "1С" специалистов, что гарантирует высокое качество выполнения типового набора услуг, начиная от простой инсталляции и элементарной настройки прикладной конфигурации до интеграции программы с другими пакетами, обучения пользователей и постановки учета на предприятии в полном объеме.
1.2 Основные задачи предприятия
- Помощь в выборе программных средств
- Продажа программных продуктов
- Доставка
- Установка
- Настройка
- Внедрение
- Послепродажное обслуживание
- Консультации
- Обучение пользователей
- Информационно-технологическое сопровождение
Помощь в выборе программных средств – компания помогает разобраться в потребностях клиента и исходя из выявленных, предлагает приобрести именно тот программный продукт, который смог бы полностью удовлетворить клиента.
Внедрение программного продукта — процесс настройки программного продукта под определенные условия использования, а также обучения пользователей работе с программой.
Фирма осуществляет удаленные консультации а также непосредственные сервисные выезды к своим клиентам.
Одной из важный функций компании ООО «Бюро технологий» является осуществление Информационно-технологического сопровождения (ИТС) пользователей программный продуктов 1С, минимально необходимую регулярную поддержку используемых типовых программных продуктов «1С:Предприятие». В основе предлагаемых услуг лежит ежемесячно выпускаемое фирмой 1С уникальное электронное издание — комплект дисков ИТС. По выбору пользователя комплект включает: методическую и технологическую информацию по работе с программными продуктами 1С, материалы по бухгалтерскому учету и налогообложению, уникальные справочники, которые не только подскажут, как правильно отразить ту или иную хозяйственную ситуацию в бухгалтерском учете, но и помогут правильно ввести информацию о ней в используемую программу.
1.3 Структура, организация предприятия.
Структура в широком смысле слова, есть совокупность составляющих систему элементов и устойчивых связей между ними. В этой связи под организационной структурой предприятия понимается весь пакет взаимных договоренностей о разделении задач и полномочий внутри организации.
Директор |
Исполнительный директор |
Отдел ИТС |
Учебный центр |
Отдел обслуживания |
Отдел продаж |
Бухгалтерия |
Финансовый директор |
Рис. 1 Управленческая структура компании.
На первый взгляд простая, но очень эффективная структура предприятия даёт возможность добросовестно, а главное надежно исполнять свои обязанности.
Описание технологических процессов обработки ПДн.
Код |
Наименование процедуры |
Описание процедуры |
Вид персональных данных |
Входящие документы, содержащие ПДн |
Исходящие документы, содержащие ПДн |
Участники процедуры |
1 |
Прием сотрудника на работу |
Процедура производится при приеме сотрудника на вакансию |
1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.3 Сведения о текущем должностном окладе 1.4 Сведения о реквизитах работника 1.5 Данные об образовании |
- Паспорт - Страховое свидетельство - ИНН - Диплом об образовании - Заявление о приеме на работу - Трудовая книжка |
- Трудовой договор - Сведения в БД 1С Бухгалтерия - Сведения об уникальном идентификаторе работника в ИСПДн |
- Руководитель - Гл.бухгалтер - Системный администратор
|
2 |
Увольнение работника |
Процедура производится при увольнении сотрудника из организации. Выполняется удаление данных из средств автоматизированной обработки и передача данных в архив. |
1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.3 Сведения о текущем должностном окладе 1.4 Сведения о реквизитах работника 1.5 Сведения о семейном положении
|
-Заявление или приказ об увольнении - Трудовой договор - Копии документов работника - Трудовая книжка |
- Расторгнутый трудовой договор - Копии документов - Заявление или приказ об увольнении - Трудовая книжка |
- Руководитель - Гл.бухгалтер - Системный администратор - Работник |
3 |
Начисление работнику зарплаты |
Обработка платежных документов, приказов о премиях при подготовке к оплате |
1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.3 Сведения о текущем должностном окладе 1.4 Сведения о банковских реквизитах работника 1.5 Сведения о семейном положении |
- Трудовой договор - Сведения из БД работников - Приказ о премии - Справка о семейном положении |
- Квитанция о начислении зарплаты |
- Главный бухгалтер |
4 |
Начисление работнику премии |
Обработка отчетов о выполненных работах, подготовка приказов о премиях |
1.1. Первичные учетные данные 1.2 Сведения о занимаемой должности 1.5 Сведения о семейном положении |
- Отчет сотрудника о проделанной работе - Справка о семейном положении |
- Приказ о начислении премии |
- Руководитель -Главный бухгалтер |
5 |
Заключение договора с клиентом |
Процедура производится при заключении договора с новым клиентом |
1.1. Первичные учетные данные работника 2.1 Первичные учетные данные контрагента 2.2 Сведения о реквизитах контрагента 2.3 Дополнительные сведения о контрагенте |
|
- Договор - Сведения в БД контрагентов |
- Офис-менеджер |
6 |
Изменение данных о клиенте |
Процедура инициируется клиентом при подаче заявления в письменном виде об изменении данных, указанных в договоре |
1.1. Первичные учетные данные работника 2.1 Первичные учетные данные контрагента 2.2 Сведения о реквизитах контрагента 2.3 Дополнительные сведения о контрагенте |
|
- Измененный договор - Сведения в БД контаргентов |
- Офис-менеджер |
7 |
Выдача справки клиенту |
Процедура выдачи справки клиенту, содержащей сведения, указанные в договоре |
1.1. Первичные учетные данные работника 2.1 Первичные учетные данные контрагента 2.2 Сведения о реквизитах контрагента 2.3 Дополнительные сведения о контрагенте |
|
- Справка |
- Менеджер |
8 |
Расторжение договора с клиентом |
Процедура инициируется клиентом при подаче заявления в письменном виде. Производится расторжение существующего договора, удаление сведений о клиенте из БД, сбор обезличенных статистических данных о причине расторжения договора |
1.1. Первичные учетные данные работника 2.1 Первичные учетные данные контрагента 2.2 Сведения о реквизитах контрагента 2.3 Дополнительные сведения о контрагенте |
- Заявление о расторжении договора
|
|
- Руководитель |
Таблица 1. Технологические процессы обработки персональных данных
Характеристика комплекса технических средств сбора, регистрации, передачи, обработки персональных данных в компании.
Для сбора, регистрации и передачи информации на предприятии используются следующие технические средства:
основных технических средств и систем, входящих в состав ИСПДн
Компьютер (Сервер):
Тип компьютера ACPI x64-based PC
Операционнаясистема Microsoft Windows Server 2008 R2 Enterprise
ПакетобновленияОС
Internet Explorer 8.0.7600.16385
DirectX DirectX 11.0
Имякомпьютера SERVER (Сервер "БюроТехнологий")
Имя пользователя rey
Вход в домен SERVER
Дата / Время 2012-11-24 / 13:37
Системная плата:
Тип ЦП: DualCoreIntelPentiumE5300, 2600 MHz (13 x 200)
Системная плата: IntelIcedaleDG45ID (1 PCI, 2 PCI-Ex1, 1 PCI-Ex16, 4 DDR2 DIMM, Audio, Video, GigabitLAN, IEEE-1394)
Чипсет системной платы: IntelEaglelake G45
Системная память: 3994 Мб (DDR2-800 DDR2 SDRAM)
DIMM1: GoodRAM GR800D264L5/2G: 2 Гб DDR2-800 DDR2 SDRAM (5-5-5-18 @ 400 МГц) (4-4-4-12 @ 266 МГц) (3-3-3-9 @ 200 МГц)
DIMM3: GoodRAM GR800D264L5/2G: 2 Гб DDR2-800 DDR2 SDRAM (5-5-5-18 @ 400 МГц) (4-4-4-12 @ 266 МГц) (3-3-3-9 @ 200 МГц)
Тип BIOS :AMI (04/28/09)
Отображение:
Видеоадаптер: Intel(R) G45/G43 ExpressChipset (1815596 Кб)
Видеоадаптер: Intel(R) G45/G43 Express Chipset (1815596 Кб)
3D-акселератор: Intel GMA X4500(HD)
Хранение данных:
Контроллер хранения данных: RAID-контроллер Intel(R) ICH8R/ICH9R/ICH10R/DOSATA
Дисковый накопитель: Volume0 (465 Гб, IDE)
Оптический накопитель :Optiarc DVD RW AD-7200S (DVD+R9:8x, DVD-R9:12x, DVD+RW:20x/8x, DVD-RW:20x/6x, DVD-RAM:12x, DVD-ROM:16x, CD:48x/32x/48x DVD+RW/DVD-RW/DVD-RAM)
Разделы:
C: (NTFS) 100.0 Гб (63.7 Гб свободно)
D: (NTFS) 365.7 Гб (171.2 Гб свободно)
Общий объём 465.8 Гб (235.0 Гб свободно)
Сеть:
Первичный адрес IP192.168.0.16
Первичный адрес MAC 00-1C-C0-F1-5F-69
Сетевой адаптер Сетевое подключение Intel(R) 82567LF-2 Gigabit (192.168.0.16)
Периферийные устройства:
Принтер CanonMP190 seriesPrinter на RSERVER (перенаправлено 8)
Внутренняя архитектура сети
Структура информационного взаимодействия в ООО «Бюро технологий» реализована на основе собственной локальной Сети передачи данных (далее – СПД), имеющей подключение к сетям связи общего пользования и сетям международного информационного обмена через ООО «ВестБалтТелеком» и имеет следующие физические связи:
- Оборудование подключено при помощи ADSL модема ООО «ВестБалтТелеком» подключенного к выделенному каналу связи;
- Взаимодействие с сетями международного информационного обмена производится через выделенный канал ООО «ВестБалтТелеком»
В обработке персональных данных участвуют следующие технические средства:
- Сервер Microsoft Windows Server 2008 R2;
- АРМ сотрудников;
Рис.2 (Структурная схема с указанием информационных связей между устройствами.)
Рис. 3 (Размещение АРМ относительно границ контролируемой зоны объекта)
В обработке персональных данных участвует следующее общесистемное программное обеспечение:
- ОС Microsoft Windows Server 2008 R2;
- ОС MicrosoftWindowsXPSP2
- Windows
В обработке персональных данных участвует следующее прикладное программное обеспечение:
- СУБД 1С Бухгалтерия.
- Клиент 1С Бухгалтерия.
Режим и степень участия персонала в обработке персональных данных.
Обработка персональных данных во всех компонентах ИСПДн осуществляется в многопользовательском режиме.
- Персонал, участвующий в обработке данных.
В процессе обработки персональных данных участвует следующий персонал:
- Системный администратор осуществляет настройку сетевых устройств и сервисов, входящих в ИСПДн; занимается обслуживанием и настройкой средств защиты информации в ИСПДн;
- Привилегированный пользователь осуществляет ввод и удаление персональных данных из ИСПДн.
- Пользователь осуществляет ввод персональных данных в ИСПДн.
2 Полномочия персонала, участвующего в обработке данных.
Персонал, участвующий в обработке персональных данных, наделен следующими полномочиями:
Системный администратор отвечает за настройку и бесперебойную работу сетевого оборудования. Системный администратор вправе проводить техническое обслуживание и настройку АРМ сотрудников, осуществлять контроль за антивирусной защитой. Системный администратор не имеет полномочий по установке и распределению прав доступа в защищенную инфраструктуру, а так же настройке СЗИ в рамках ИСПДн. Осуществляет разграничение доступа в защищенную инфраструктуру ИСПДн, а так же развертывание и настройку СЗИ в рамках ИСПДн.
- Привилегированный пользователь не имеет полномочий вносить модификации в настройки какого-либо оборудования, но способен вводить и удалять записи из БД 1С Бухгалтерия в рамках рассматриваемой ИСПДн.
- Пользователь не имеет полномочий вносить модификации в настройки какого-либо оборудования и прикладного ПО, но уполномочен вводить персональные данные в базу данных ИСПДн.
Классификация угроз безопасности персональных данных в ИСПДн.
Состав и содержание угроз безопасности персональных данных (далее - УБПДн) в ИСПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным (ПДн).
ИСПДн представляет собой совокупность информационных и программно-аппаратных элементов и их особенностей как объектов обеспечения безопасности. Основными элементами являются:
- персональные данные, содержащиеся в базах данных ЦО;
- информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
- технические средства ИСПДн, осуществляющие обработку ПДн (средства вычислительной техники (СВТ), информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн);
- программные средства (операционные системы, СУБД);
- средства защиты информации (СЗИ);
- вспомогательные технические средства и системы (технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн, их технические средства (далее – служебные помещения) (различного рода технические средства и системы, средства вычислительной техники, средства и системы охранной и пожарной сигнализации, средства и системы кондиционирования, средства электронной оргтехники и т.п.) (далее – ВТСС).
Возможности источников УБПДн обусловлены совокупностью методов и способов несанкционированного и (или) случайного доступа к ПДн, и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.
Угроза безопасности реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создает необходимые условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).
Основными элементами канала реализации УБПДн являются:
- источник УБПДн - субъект, материальный объект или физическое явление, создающее УБПДн;
- среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;
- носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
- видовая информация, представленная в виде текста и изображений различных устройств отображения информации СВТ ИСПДн;
- информация, обрабатываемая (циркулирующая) в ИСПДн в виде электрических, электромагнитных, оптических сигналов;
- информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.
Угрозы безопасности для ИСПДн работников ООО «Бюро технологий» классифицируются по следующим признакам:
- по видам возможных источников УБПДн;
- по типу ИСПДн, на которые направлена реализация УБПДн;
- по способу реализации УБПДн;
- по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн);
- по объекту воздействия.
По видам возможных источников УБПДн выделяются следующие классы угроз:
- угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель);
- угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель).
По типу ИСПДн для ООО «Бюро технологий» на которые направлена реализация УБПДн, выделяются следующие классы угроз:
- угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена);
По виду несанкционированных действий, осуществляемых с ПДн в ИСПДн АС можно выделить следующие классы угроз:
- угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации;
- угроз, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение (нарушение целостности);
- угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн (нарушение доступности).
По объекту воздействия выделяются следующие классы угроз:
- угрозы безопасности ПДн, обрабатываемых на АРМ;
- угрозы безопасности ПДн, обрабатываемых в выделенных средствах обработки (принтерах, плоттерах, графопостроителях, вынесенных мониторах, видеопроекторах, средствах звуковоспроизведения и т.п.);
- угрозы безопасности ПДн, передаваемых по сетям связи;
- угрозы прикладным программам, с помощью которых обрабатываются ПДн;
- угрозы системному ПО, обеспечивающему функционирование ИСПДн.
Угрозы утечки ПДн в ИСПДн по техническим каналам
При обработке ПДн в ИСПДн возможно возникновение УБПДн за счет реализации следующих каналов утечки информации:
- угрозы утечки акустической (речевой) информации;
- угрозы утечки видовой информации;
- угрозы утечки информации по каналам ПЭМИН.
- Угрозы утечки акустической (речевой) информации
Источниками угроз утечки информации по техническим каналам являются физические лица, не имеющие доступа к ИСПДн.
Среда распространения информативного сигнала – это физическая среда, по которой информативный сигнал может распространяться – однородная (воздушная).
Носителем ПДн является пользователь ИСПДн, осуществляющий голосовой ввод ПДн в ИСПДн или акустическая система ИСПДн воспроизводящая ПДн.
Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя при обработке ПДн, обусловлено наличием функций голосового ввода ПДн в информационную систему или функций воспроизведения ПДн акустическими средствами информационной системы.
Вывод: В ИСПДн функции голосового ввода ПДн в ИСПДн или функции воспроизведения ПДн акустическими средствами отсутствуют, поэтому дальнейшее рассмотрение данной угрозы представляется нецелесообразным.
- Угрозы утечки видовой информации
Источником угроз утечки видовой информации являются физические лица, не имеющие доступа к информационной системе.
Среда распространения информативного сигнала – это физическая среда, по которой информативный сигнал может распространяться – однородная (воздушная).
Носителем ПДн являются технические средства ИСПДн, создающие физические поля, в которых информация находит свое отражение в виде символов и образов.
Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн.
Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между средством наблюдения и носителем ПДн.
Вывод: Перехват ПДн в ИСПДн работников ООО «Бюро технологий» может вестись портативной носимой аппаратурой (портативные аналоговые и цифровые фото- и видеокамеры, цифровые видеокамеры, встроенные в сотовые телефоны) – физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них в условиях наличия визуального контакта.
Перехват (просмотр) ПДн осуществляется посторонними лицами путем их непосредственного наблюдения в служебных помещениях либо на расстоянии прямой видимости из-за пределов ИСПДн с использованием оптических (оптикоэлектронных) средств.
- Угрозы утечки информации по каналам побочных электромагнитных излучения и наводок
Источником угроз утечки информации за счет ПЭМИН являются физические лица, не имеющие доступа к ИСПДн.
Среда распространения информативного сигнала – неоднородная за счет перехода из одной среды в другую.
Носителем ПДн являются технические средства ИСПДн, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническим средствами ИСПДн.
Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИСПДн.
Вывод: Хотя и обрабатываемые в ИСПДн работников ООО «Бюро технологий» ПДн относятся к категории 3, но количество субъектов, ПДн которых одновременно обрабатываются в информационной системе менее 1000. Соответственно, рассмотрение угроз безопасности ПДн, связанных с перехватом ПЭМИН, избыточно, так как утечка ПДн по каналам ПЭМИН – маловероятна из-за несоответствия стоимости средств съема информации и величиной ущерба для субъекта от полученной в результате регистрации ПЭМИН информации, следовательно, защита ПДн от данного вида угроз в дальнейшем рассматриваться не будет.
Угрозы несанкционированного доступа к информации ИСПДн
Для ИСПДн работников ООО «Бюро технологий» рассматриваются следующие типы угроз НСД с применением программных и программно-аппаратных средств, которые реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности, (копирования, несанкционированного распространения), целостности (уничтожения, изменения) и доступности (блокирования) ПДн, и включают в себя:
- угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);
- угрозы создания нештатных режимов работы программных (программно-аппаратных средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.;
- угрозы внедрения вредоносных программ (программ математического воздействия).
Кроме того, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа.
Угрозы доступа (проникновения) в операционную среду ИСПДн с использованием штатного программного обеспечения разделяются на угрозы непосредственного и удаленного доступа. Угрозы непосредственного доступа осуществляются с использованием программных и программно-аппаратных средств ввода/вывода компьютера. Угрозы удаленного доступа реализуются с использованием протоколов сетевого взаимодействия.
Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств – это угрозы "Отказа в обслуживании". Реализация этих угроз обусловлена тем, что при разработке системного или прикладного программного обеспечения не учитывается возможность преднамеренных действий по целенаправленному изменению:
- содержаний служебной информации в пакетах сообщений, передаваемых по сети;
- условий обработки данных (например, игнорирование ограничений на длину пакета сообщения);
- формат представления данных (с несоответствием измененных форматов, установленных для обработки по протоколам сетевого взаимодействия);
- программного обеспечения обработки данных.
В результате реализации угроз "Отказ в обслуживании" происходит переполнение буферов и блокирования процедур обработки, "заклинивание" процедур обработки и "зависание" компьютера, отбрасывание пакетов сообщений и др.
Угрозы внедрения вредоносных программ (программно-математического воздействия) нецелесообразно описывать с той же детальностью, что и вышеуказанные угрозы, так как количество вредоносных программ уже несоразмерно велико по сравнению с вышеуказанными угрозами. Для осуществления защиты информации достаточно знать класс вредоносной программы, способы и последствия от ее внедрения (инфицирования).
Источники угроз несанкционированного доступа к ИСПДн АС
Источниками угроз НСД в ИСПДн АС могут быть:
- нарушитель;
- носитель вредоносной программы;
- аппаратная закладка.
Так как ИСПДн работников ООО «Бюро технологий»является локальной ИСПДн, имеющей подключение к сетям международного обмена, то целесообразно рассмотрение как внешних так и внутренних нарушителей.
Внешними нарушителями в рамках данной ИСПДн могут быть:
- конкуренты (конкурирующие организации);
- недобросовестные партнеры;
- внешние субъекты (физические лица).
Притом, внешний нарушитель имеет следующие возможности:
- осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования;
- осуществлять несанкционированный доступ к информации
с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок; - осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;
- осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн.
Осуществление несанкционированного доступа к каналам связи, выходящим за пределы служебных помещений, между ООО «Бюро технологий» и ООО ВестБалтТелекомне рассматривается вследствие несоответствия стоимости средств снятия информации с такого рода каналов связи и возможного ущерба субъекту ПДн при реализации такого рода угроз.
Осуществление несанкционированного доступа через автоматизированные рабочие места, подключенные к сетям связи сетям международного информационного обмена не рассматривается, т.к. все АРМ, включенные в ИСПДн работников ООО «Бюро технологий»имеют единую точку связи с сетями международного информационного обмена, контролируемую сертифицированным средством межсетевого экранирования TrafficInspector, установленным в ООО «ВестБалтТелеком»
Внутренними нарушителями являются лица, имеющие доступ к ИСПДн АС, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн.
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.
К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн.
Лицо этой категории, может:
- иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;
- располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
- располагать именами и вести выявление паролей зарегистрированных пользователей;
- изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.
К категории К1в ИСПДн работников ООО «Бюро технологий» относятся сотрудники отдела работы с клиентами (офис менеджер и преподаватели-программисты).
Ко второй категории относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.
Лицо этой категории:
- обладает всеми возможностями лиц первой категории;
- знает по меньшей мере одно легальное имя доступа;
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
- располагает конфиденциальными данными, к которым имеет доступ.
Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн, должны регламентироваться соответствующими правилами разграничения доступа.
К категории К2 в ИСПДн сотрудников ООО «Бюро технологий» относятся сотрудники бухгалтерии (главный бухгалтер и сотрудник отдела кадров).
Сотрудники группы топ менеджмента организации не рассматриваются в качестве злоумышленников, вследствие высоких требований при их подборе и их высокой лояльности к деятельности организации.
К третьей категории относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным информационным системам.
Лицо этой категории:
- обладает всеми возможностями лиц первой и второй категорий;
- располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн;
- имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.
К категории К3 в ИСПДн работников ООО «Бюро технологий» относятся сотрудники бухгалтерии (главный бухгалтер).
К четвертой категории относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.
Лицо этой категории:
- обладает всеми возможностями лиц предыдущих категорий;
- обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;
- обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;
- имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;
- имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;
- обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.
К категории К4в ИСПДн работников ООО «Бюро технологий» относится системный администратор данной ИСПДн, но вследствие высоких требований к персоналу, предъявляемых при приеме на данную должность, риски связанные с данной категорией злоумышленника находятся ниже приемлемого уровня и в дальнейшем рассматриваться не будут.
Последующие категории злоумышленников не рассматриваются вследствие несопоставимо малой вероятности возникновения угроз с их стороны по сравнению со стоимостью средств защиты информации, применяемых для пресечения такого рода угроз.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
- отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;
- встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок – видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти шин передачи данных, портов ввода-вывода;
- микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:
- пакеты передаваемых по компьютерной сети сообщений;
- файлы (текстовые, графические, исполняемые и т.д.)
Характеристика уязвимостей ИСПДн
Уязвимость ИСПДн – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной системы, которое может быть использовано для реализации угрозы безопасности персональным данным.
Причиной возникновения уязвимостей являются:
- ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;
- неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;
- несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
- внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;
- несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
- сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).
Преднамеренные действия по внесению уязвимостей в ходе проектирования и разработке программного (программно-аппаратного) обеспечения не рассматриваются вследствие высокой экономической затратности реализации такого рода рисков по сравнению с возможным ущербом для субъектов ПДн в рассматриваемой информационной системе.
Существуют следующие группы основных уязвимостей:
- уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);
- уязвимости прикладного программного обеспечения (в том числе средств защиты информации).
- Уязвимости системного программного обеспечения
Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем:
- в микропрограммах, в прошивках запоминающих устройств;
- в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.) драйверах, утилитах;
- в средствах операционной системы, предназначенных для выполнения вспомогательных функций – утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиков и т.п.), программах представления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.п.);
- в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.
Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:
- функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;
- отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
- ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.
Так как в качестве операционных систем в рассматриваемой ИСПДн используются ОС MicrosoftWindowsServer 2008 R2 и ОС MicrosoftWindowsXPSP2, Windows7, то в дальнейшем будут рассматриваться уязвимости характерные именно для данного типа операционных систем.
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программно реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др.
Так как в рассматриваемой ИСПДн циркулирует трафик стека протоколов TCP/IP, то для сетевого взаимодействия характерны уязвимости связанные именно с этим протоколом, а так же служебными протоколами, используемыми в сетях, основанных на IP-адресации.
- Уязвимости прикладного программного обеспечения
К прикладному программного обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.
Прикладные программы общего пользования – текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, VisualBasic), средства защиты информации общего пользования и т.п.
В рамках рассматриваемой ИСПДнв качестве прикладных программ можно отметить средства работы с базой данных 1С Бухгалтерия, а так же средство антивирусного контроля Антивирус Касперского 6.0.
Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данном ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).
Уязвимости прикладного программного обеспечения могут представлять собой:
- функции и процедуры, относящие к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;
- функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;
- отсутствие необходимых средств защиты (аутентификации, проверка целостности, проверка форматов сообщений, блокирование несанкциониров
- ПОЯСНИТЕЛЬНАЯ ЗАПИСКА К ЛАБОРАТОРНОЙ РАБОТЕ ПО ПРОГРАММИРОВАНИЮ И ОСНОВАМ АЛГОРИТМИЗАЦИИ
- Лабораторная работа №1 по дисциплине «Производственный менеджмент » на тему: «Методика принятия решения и его обоснование»
- Понятие права как главная проблема правоведения.
- Труд, кадры и оплата труда в энергетике.
- Темы рефератов по дисциплине «Информационные технологии в юридической деятельности»: