Анализ, совершенствование и регламентация системы правовой защиты информации в сфере персональных данных.

Таблицы разграничения доступа к информационным ресурсам, содержащим персональные данные.Приказы о доступе специалистов к информационным подсистемам, содержащим персональные данные.Служебные записки руководителей подразделений о предоставлении доступа к информационным подсистемам.Памятка для руководителей структурных подразделений по вопросам информационной безопасности и обеспечения защиты персональных данных.Инструкция по работе с внешними носителями информации.Положение о порядке работы с документацией, содержащей данные конфиденциального характера.Положение о ведении пропускного и внутриобъектового режима охраны здания и внутренних помещений Инструкция о порядке работы с персональными данными работников.Инструкция о порядке отнесения информации к конфиденциальной.Реестр документов, относящихся к утвержденному перечню сведений конфиденциального характера.Листы ознакомления с данными документами передаются специалисту отдела кадров.2.2. Проблема разработки сервисаКак показано выше, ведение организационно-распорядительной документации в области защиты персональных данных – трудоемкий процесс, при достаточно большом количестве сотрудников учет доступов специалистов к тем или иным подсистемам только на бумажных носителях предполагает необходимость получения оперативной информации в большом объеме. Также при кадровых перемещениях приходится постоянно актуализировать документы, издавая комплекты приказов на каждого специалиста. Автоматизация учета доступов специалистов к информационным подсистемам позволит вести учет в электронном виде с утверждением новых приказов о предоставлении доступа не чаще одного раза в год. Оперативное изменение доступов предполагается проводить на основании служебных записок.Проведем анализ бизнес-процессов учета формирования организационно-распорядительной документации по работе с персональными данными. Контекстная диаграмма приведена на рисунке 4.Рисунок 4 - Контекстная диаграммаКак показано на рисунке 4, входящие информационные потоки в систему включают:- служебные записки на предоставление доступа к информационным подсистемам;- приказы о допуске к работе с персональными данными;Результирующие информационные потоки; матрицы разграничения доступа, отчетность по работе с ИСПДн.На рисунке 5 приведена диаграмма декомпозиции основного процесса.Исполнители процесса: администратор защиты информации, руководство ОВД (включая руководство и начальников отделов).Рисунок 5 – Диаграмма декомпозиции основного процессаКак показано на рисунке 5, формирование документации по ИСПДн включает:- учёт ИСПДн;- учет сотрудников;- предоставление доступа к подсистемам;- формирование отчётности.Диаграмма учета ИСПДн показана на рисунке 6, учета сотрудников – на рисунке 7, предоставления доступа – на рисунке 8.Рисунок 6 – Диаграмма учета ИСПДнКак показано на рисунке 5, учет информационных систем, содержащих персональные данные, включает:- ведение картотеки информационных систем;- выделение подсистем, содержащих разнородный тип обрабатываемых систем и функционал специалистов;- определение видов пользовательских ролей (какой категории специалистов выделяется доступ по чтению, записи, редактированию и удалению в разрезе режимов ПО и таблиц базы данных;- определение уровня защищенности ИСПДн.Данная картотека заполняется после издания приказа о вводе в промышленную эксплуатацию информационной системы. Подсистемы и роли определяются администратором защиты информации.Рисунок 7 – Диаграмма учёта сотрудниковРисунок 8 – Диаграмма процесса предоставления доступаНа рисунке 8 показана epc-диаграмма работы системы. ТУД – таблица управления доступом.Рисунок 9 - Еpc-диаграмма работы системыЗадачи сервиса подготовки распорядительной документации по работе с персональными данными:- ведение картотеки ИСПДн;- ведение картотеки ролей;- ведение учета служебных записок и приказов на предоставление доступа к системе;- формирование матриц разграничения доступа и данных по доступу пользователей к системе.На рисунке 10 приведена диаграмма потоков данных защиты персональных данных.Рисунок 12 – Диаграмма потоков данныхКак показано на рисунке 12, сущностями разрабатываемой информационной системы являются:- ИСПДн;- Пользователи;- Роли;- Данные о доступе к ИСПДн.На рисунке 13 приведена ER-диаграмма разрабатываемой системы.Рисунок 13– ER-диаграмма разрабатываемой системыДля выбранных сущностей информационной системы установлены связи:- Для одной ИСПДн существует множество подсистем. Связь 1:N.- Для одной ИСПДн существует множество ролей. Связь 1:N.- Каждый пользователь входит в систему разграничения доступа множество раз. Связь 1:N.- Каждая ИСПДн входит в систему разграничения доступа множество раз. Связь 1:N.Далее приведем описание структуры таблиц информационной системы.Таблица 2.2 – Структура таблицы «ИСПДн»АтрибутСвойстваПримечаниеКод ИСПДнЧисловойПервичный ключНаименование ИСПДнТекстовый200Таблица 2.3– Структура таблицы «Пользователи»АтрибутСвойстваПримечаниеКод пользователяЧисловойПервичный ключФИОТекстовый200ДолжностьТекстовый200Таблица2.4 – Структура таблицы «Роли»АтрибутСвойстваПримечаниеКод ролиЧисловойПервичный ключНаименование ролиТекстовый200Код подсистемыЧисловойТаблица 2.5 – Структура таблицы «подсистемы»АтрибутСвойстваПримечаниеКод подсистемыЧисловойПервичный ключНаименование подсистемыТекстовый200Код ИСПДнЧисловойТаблица 2.6 – Структура таблицы «Заявки на доступ к ИСПДн»АтрибутСвойстваПримечаниеКод заявкиЧисловойПервичный ключДатаДатаКод ролиЧисловойСтатусЧисловойКод подсистемыЧисловойТаблица2.7 – Структура таблицы «Матрица доступа»АтрибутСвойстваПримечаниеКод позицииЧисловойПервичный ключКод пользователяЧисловойКод ролиЧисловойКод подсистемыЧисловойИзменение состояния системы проводится с использованием функции трансформации.6. Трансформация прав доступа. Формальная записьмодели проводится с использованиемнотации теории множеств. Механизм изменения состояния систем основывается на работе с функциями трансформации состояний.7. Схематическая модель. Модель записывается в нотации теории множеств и теории предикатов. Управление доступом проводится через матрицу доступасо строгой типизацией ресурсов. При необходимостипроведения работы с правами доступа используются математические методы копирования меток доступа.8. Иерархическая модель. Модель представляется в нотации теории предикатов. С ее помощью описывается процесс управления доступом для параллельных вычислений, технология управления доступом в данном случае основывается на вычислении предикатов.9. Безопасные спецификации, описанные с использованием аппарата аксиоматики Хоара.10. Информационные потоки. Модель доступа представляется в нотации теории множеств. В моделииспользуются объекты и атрибуты, что позволяет определять информационные потоки. Управление доступом производитсяс использованием атрибутов объекта. Представление изменения состоянийпроводится черезмодификацию соотношений объектов и атрибутов.12.  Вероятностные модели. В моделях данного типаиспользуется набор субъектов, объектов иих вероятностных характеристик, рассматриваются операции доступа субъектов к объектам почтению и записи. Доступ определяется такжечерез вероятностные характеристики.ЗаключениеВ рамках данной работы показано, что технологии по защитеперсональных данных включают в себя комплекс инженерно-технических, организационных и технологических решений.В настоящее время разработано множество законодательных актов, регламентирующих процесс защиты персональных данных. К каждой организации, являющейся оператором персональных данных, предъявляются требования по выполнению требований 152-ФЗ. Обеспечение защиты персональных данных предполагает издание ряда документов, регламентирующих организацию защиты персональных данных.В рамках данной работы проведен анализ существующей системы правовой и документационной защиты ПДн, определена структура документов.Список использованных источниковБоровская Е.В. Программирование в среде 1С: Предприятие - 3-е изд., (эл.) - М.: БИНОМ. ЛЗ, 2015. - 241 с.Боровская Е.В. Программирование в среде Delphi - 3-е изд., (эл.) - М.: БИНОМ. ЛЗ, 2015. - 241 с.Гвоздева, В.А. Базы и банки данных [Электронный ресурс] / В.А. Гвоздева. - М.: Альтаир-МГАВТ, 2015, - 76 с.Герасименко В.А., Малюк А.А. Основы информационной безопасности. - М.: МИФИ, 2015. - 325с.Горячев, А.В. Особенности разработки и администрирования приложений баз данных: учебное пособие / А. В. Горячев, Н. Е. Новакова. Санкт-Петербург : Издательство СПбГЭТУ, 2016. - 68 с.Гофман, В.Э. Работа с базами данных в Delphi: Пособие / Хомоненко А.Д., Гофман В.Э., - 3-е изд., перераб. и доп. - СПб:БХВ-Петербург, 2014. - 628 с.Грибунин В.Г., Чудовский В.В. Реализация требований комплексной системы защиты информации. – М.: Академия, 2017. – 533 с.Гришина Н.В. Аудит защиты персональных данных. – М.: Форум, 2010. – 240 с.Дадян, Э.Г. Современные базы данных. Часть 2: практические задания: Учебно-методическое пособие / Дадян Э.Г. - М.:НИЦ ИНФРА-М, 2017. - 68 сДемин, Ю.М. Защита персональных данных во внутриорганизационном документообороте - С-Пб: Питер, 2015. – 331 с.Зайцев А.В. Информационные системы в профессиональной деятельности [Электронный ресурс]: Учебное пособие. - М.: РАП, 2013. - 180 с.Колдаев, В.Д. Структуры и алгоритмы обработки данных: Учебное пособие / В.Д. Колдаев. - М.: ИЦ РИОР: НИЦ ИНФРА-М, 2014. - 296 с.Коннолли Т., Бегг К. Базы данных: проектирование, реализация и сопровождение: теория и практика. - Москва: Вильямс, 2017. - 1439 с.Королев Е. Н. Администрирование операционных систем : учебное пособие / Е. Н. Королев. - Воронеж : Воронежский государственный технический университет, 2017. - 85 с. Коряковский А.В. Информационные системы предприятия: Учебное пособие. - М.: НИЦ ИНФРА-М, 2016. - 283 с.Круценюк К. Ю. Офисные информационные технологии : учебное пособие / К. Ю. Круценюк. - Норильск : редакционно-издательский отдел ФГБОУВПО "НГИИ", 2017. - 126 с.Лемешко Т. Б., Шурыгин В. Н. Современные информационные технологии : учебное пособие / Т.Б. Лемешко, В.Н. Шурыгин. - Москва :Росинформагротех, 2017. - 135 с. Леоненков А.В. Объектно-ориентированный анализ и проектирование с использованием UML и IBM RationalRose / А.В. Леоненков. Саратов: Интернет-Университет Информационных Технологий (ИНТУИТ), Вузовское образование, 2017. - 318 cЛетуновский А.В., Матюшичев И.Ю. UML моделирование информационных систем и бизнес-процессов / А.В. Флегонтов, А.К. Черных; / А.В. Флегонтов, А.В. Летуновский, И.Ю. Матюшичев. - 2017. - 113 с.Медведев М.А. Разработка информационных систем. Учебное пособие. - М.:Флинта, Изд-во Урал. ун-та, 2017. - 64 с.Медведев М.А. Разработка информационных систем. Учебное пособие. - М.:Флинта, Изд-во Урал. ун-та, 2017. - 64 с.Попов Б. Н. Администрирование информационных систем : учебное пособие / Б. Н. Попов. - Санкт-Петербург : Изд-во ГУМРФ имени адмирала С.О. Макарова, 2018. - 95 с. Селяничев, О. Л. Администрирование информационных систем: учебное пособие / О. Л. Селяничев, Е. В. Майтама. - Череповец: ФГБОУ ВО "Череповецкий государственный университет", 2017. - 99 с. Титоренко Г.А. Информационные системы в экономике/ 2-е изд. - М.: ЮНИТИ-ДАНА, 2015. - 463 с.Шипулин Л. В., Сазонова Н. С. Базы данных : учебное пособие. - Челябинск :ЮУрГУ, 2016. - 96 с.