Оценка безопасности информационных систем управления персоналом

Выводы по разделуВ рамках анализа структуры системы защиты информации ООО «СДЭК» было показано, что в качестве объектов защиты выступают персональные данные сотрудников, обрабатываемые в системах учета заработной платы, в системах передачи данных в банковские учреждения, а также системах сдачи отчетности в государственные органы. Недостатки организации системы защиты ПДн от утечек связаны с отсутствием системы разграничения доступа, а также ролевой модели доступа (каждый из пользователей входит в систему под административными правами).В ходе анализа актуальных угроз в ООО «СДЭК» было показано, что в рамках осуществления защиты персональных данных необходимо приведение в соответствие системы документооборота по заявкам на предоставление доступа к основным режимам работы программы, а также приведение в соответствие фактически предоставляемых полномочий в ИСПдн и должностных обязанностей.ГЛАВА 3. ОЦЕНКА ЭФФЕКТВНОСТИ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ3.1. Оценка целевой эффективности предложенийПоказатели состояния рисков при обработке данных в цифровом выражении рассчитываются по формуле:,где С – оценка степени ценности ресурса, U–оценка уровня уязвимости, V–оценка вероятности реализации соответствующей угрозы.В соответствии с методикой ФСТЭК, при значении показателя риска, превышающего 26, показатель опасности угрозы принимается как высокий, при значении показателя от 13 до 25 – показатель опасности считается средним, при меньших значениях – считается низким. В таблице 3 приведены расчеты степени риска по базовому варианту.Таблица –Расчет степени риска по базовому вариантуИнформационный ресурсУгроза№ в базе ФСТЭКCUVRУровень угрозыИС учета заработной платыВосстановление удаленный файлов07122520СреднийКопирование защищаемого ресурса на неучтенные носители08842540ВысокийУтеря носителей данных с резервными копиями15624216СреднийКража носителей данных16042216СреднийКопии документов, хранящихся на сервереВосстановление удаленный файлов07133654ВысокийКопирование защищаемого ресурса на неучтенные носители08823742ВысокийУтеря носителей данных с резервными копиями15632636ВысокийКража носителей данных16034448ВысокийНесанкционированное считывание данных с носителя03625440ВысокийДалее проведена оценка рисков, связанных с утечками ПДн после внедрения мер по защите информации (таблица 4).Таблица - Оценка рисков, связанных с утечками ПДн после внедрения мер по защите информацииОбъект защитыRУгроза№ в базе ФСТЭКПланируемые мерыC2U2V2R2Уровень рискаИС учета заработной платы20Восстановление удаленный файлов071Управление ролями пользователей2228Низкий40Копирование защищаемого ресурса на неучтенные носители088Управление ролями пользователей 24216Средний16Утеря носителей данных с резервными копиями156Шифрование файлов2214Низкий16Кража носителей данных160Шифрование файлов23318СреднийКопии документов, хранящихся на сервере54Восстановление удаленный файлов071Учет заявок на доступ к ресурсам1326Низкий42Копирование защищаемого ресурса на неучтенные носители 088Учет заявок на доступ к ресурсам2228Низкий36Утеря носителей данных с резервными копиями156Шифрование файлов1428Низкий48Кража носителей данных160Шифрование файлов1224Низкий40Несанкционированное считывание данных с носителя 036Шифрование файлов25330ВысокийТаким образом, при внедрении предложений по защите ПДн ожидаемым эффектом будет рост уровня защищенности информационных ресурсов. Диаграмма снижения рисков утечек ПДн приведена на рис.22.Рисунок – Снижение уровня риска утечек ПДн при внедрении системыВыводы по разделуВ качестве мер по совершенствованию системы защиты информации предложено внедрение системы разграничения доступа и ролевой модели в ПО «1С: Зарплата и управление персоналом», spu_orb.Также предложено внедрение системы документирования заявок на предоставление доступа к ИСПДн.Сравнение стоимости внедрения проекта и ожидаемого ущерба показало эффективность предложенных мероприятий. В рамках риск-ориентированного подхода было показано, что предложенные мероприятия позволяют в значительной степени сократить риски утечек персональных данных. ЗАКЛЮЧЕНИЕВ рамках данной работы проведено изучение технологии по обеспечению защиты информации в деятельности специалистов по работе с персоналом. В качестве объекта исследования было выбрана технология защиты персональных данных. Анализ вопросов актуальности указанной тематики показал, что в настоящее время к организациям, в информационных системах которых осуществляется обработка персональных данных предъявляется множество требований по защите от утечек, что вызвано участившимися инцидентами, связанными с причинением ущерба субъектам персональных данных, связанного с утечками информации и совершением с ее помощью противоправных действий.В ходе работы была изучена специфика организации, проведен анализ технологии работы специалистов компании. ИТ-инфраструктура компании содержит ряд компонентов, в которых осуществляется обработка персональных данных сотрудников, которые включают: ведение учета кадровых данных и расчет заработной платы, формирование отчетности в государственные органы и передачу данных по зачислению заработной платы в банковские учреждения.Специфика компаний малого бизнеса такова, что при небольшой численности сотрудников специалисты допускают нарушения в области защиты информации при работе с программными ресурсами. Существующая технология работы специалистов ООО «СДЭК» содержит множество недостатков, включающих отсутствие разграничения доступа к ИСПдн по ролям, вход в систему осуществляется без ввода пароля.Также факты предоставления доступа к ИСПДн не документируются и не проходят утверждения у руководства.В качестве предложений по совершенствованию системы защиты персональных данных выдвинуты: внедрение системы разграничения доступа по ролям в «1С: Зарплата и управление персоналом» и системах подготовки отчетности, внедрение системы документооборота в области предоставления заявок на доступ к информационным ресурсам. В экономической части работы проведена оценка рисков утечки и показано, что внедрение предложенных мер в значительной степени позволит снизить уровень риска возникновения инцидентов, связанных с утесками персональных данных. Стоимость внедрения предложенных мер многократно меньше величины ожидаемого ущербы от возникновения инцидентов утечек ПДн.Таким образом, внедрение предположенных мер является оправданным и позволит повысить эффективность системы защиты ПДн в условиях исследуемой компании. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВФедеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗРоманов В. Г. Персональные данные: проблемы правовой охраны и защиты: монография / В. Г. Романов. - Чита :ЗабГУ, 2019. - 302 с.Брауде-Золотарев М. Ю., Сербина Е.С., Негородов В. С., Волошкин И.Г. Персональные данные в государственных информационных ресурсах / М. Ю. Брауде-Золотарёв, Е.С. Сербина, В.С. Негородов, И.Г. Волошкин ; Российская акад. нар. хоз-ва и гос. службы при Президенте Российской Федерации (РАНХиГС). - Москва : Дело, 2016. – 53с.Коловангин С. В. Персональные данные: учебный курс / КоловангинC.В. ; Санкт-Петербургский межрегиональный ресурсный центр. - Санкт-Петербург : СПб ГБОУ ДПО "Ресурсный центр", 2019. – 125с.Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Бубнов А. А. Основы информационной безопасности: учебное пособие / А. А. Бубнов, В. Н. Пржегорлинский, О. А. Савинков. - Москва: Академия, 2017. – 252с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта: УГТУ, 2016. - 69 с.Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Вартанов А. А., Лоскутова И. В., Миронов С. Н. Основы администрирования программных средств защиты информации линейки QP: теория и практика: монография / А.А. Вартанов, И.В. Лоскутова, С.Н. Миронов. - Москва: Радиотехника, 2018. - 163 с.Ермаков А. В., Гойхман В. Ю. Информационная безопасность. Сетевая безопасность, Firewall, сетевые атаки, криптографическая защита информации: учебное пособие / А. В. Ермаков, В. Ю. Гойхман. - Якутск: СВФУ, 2019. - 75 с. Ильин М. Е., Калинкина Т. И., Пржегорлинский В. Н. Криптографическая защита информации в объектах информационной инфраструктуры : учебник / М. Е. Ильин, Т. И. Калинкина, В. Н. Пржегорлинский. - Москва: Академия, 2020. – 283с.Стреканова Д.С. Персональные данные: учебный курс / Коловангин C.В.: СПб: Питер, 2020. – 239с.Информационные технологии и защита персональных данных: общедоступная информация, распространение информации, документирование информации, порядок ограничения доступа к копиям заблокированных сайтов. - Москва :Профиздат, 2017. – 79с.Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Крамаров С. О., Митясова О. Ю., Соколов С. В. Криптографическая защита информации : учебное пособие / С.О. Крамаров, О.Ю. Митясова, С.В. Соколов. - Москва: РИОР : ИНФРА-М, 2018. – 319 с.Мазнин Д. Н., Баранкова И. И., Михайлова У. В., Илларионова Д. А. Организация обработки и защиты ПДнв : учебное пособие / Д. Н. Мазнин, И. И. Баранкова, У. В. Михайлова, Д. А. Илларионова. - Магнитогорск : ФГБОУ ВО "МГТУ им. Г. И. Носова", 2019. –105с.Михайлова Е. М., Анурьева М. С. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017.- 564с.Михалевич Е.В. Обработка персональных данных: анализ законодательства и судебной практики / Е.В. Михалевич. - Москва: ФГБУ "Редакция "Российской газеты", 2019. - 143 с. Никифоров С. Н. Защита информации: защита от внешних вторжений: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2017. - 82 сНикифоров С. Н. Защита информации: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: СПбГАСУ, 2017. - 76 с.Никифоров С. Н., Ромаданова М. М. Защита информации. Пароли, скрытие, удаление данных: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 107 с. Овчинникова Т. А. Ответственность за нарушение требований законодательства РФ о персональных данных: монография / Т. А. Овчинникова. - Хабаровск: Изд-во ТОГУ, 2018. – 81с.Полегенько А. М. Защита информационных систем обработки персональных данных : учебное пособие / А. М. Полегенько. - Санкт-Петербург : Изд-во Санкт-Петербургского государственного экономического университета, 2018. - 72 с.Романов В. Г. Персональные данные: проблемы правовой охраны и защиты: монография / В. Г. Романов. - Чита :ЗабГУ, 2019. - 302 с.