Защита персональных данных в группе контроля и учета сдельных работ
Введение
Персональные данные, уязвимы как информация, в бумажном и электронном виде, к атакам хищения, осуществляемым как внешними, так и внутренними нарушителями с целью промышленного шпионажа, вымогательства, поддержки преступных организаций, вандализма, отмщения или хвастовства. Хищение персональных данных, может привести к потере интеллектуальной собственности, раскрытию конфиденциальной информации клиентов, снижению репутации компании и привлечению к ответственности за несоблюдение установленных правовых норм.
Данное публичное акционерное общество является часть телекоммуникационной отрасли, а группа контроля и учета сдельных работ, занимается обработкой персональных данных абонентов, что накладывает на акционерное общество ответственность за хранимые им документы содержащие персональные данные. В свою очередь это означает, что предприятие должно обеспечивать повышенную защиту персональных данных абонентов. Однако информационная безопасность некогда не бывает совершенна. За все свое существование данное общество не раз сталкивалась с кражами компьютеров, воровством персональных данных абонентов, а также их преднамеренным уничтожением. Из-за этого ПАО МГТС понесло немало убытков, однако сумело восстановить всю утраченную информацию из архивов Группы контроля и учета сдельных работ. С того времени формат предоставления персональных данных абонентов претерпел изменения, персональные данные предоставляются теперь не только в бумажном ввиду, но и в электронном формате. В связи с этим, увеличился фактор кражи персональных абонентов не только на бумажном носителе, но и в электронном виде.
Оглавление
Введение 3
I Аналитическая часть 4
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 4
1.1.1. Общая характеристика предметной области. 4
1.1.2. Организационно-функциональная структура предприятия. 9
1.2 Анализ рисков информационной безопасности 16
1.2.1. Идентификация и оценка информационных активов. 17
1.2.2. Оценка уязвимостей активов. 22
1.2.3 Оценка угроз активам. 30
1.2.4 Оценка существующих и планируемых средств защиты. 47
1.2.5. Оценка рисков. 52
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 66
1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности 66
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 67
1.4 Выбор защитных мер 68
1.4.1 Выбор организационных мер 68
1.4.2 Выбор инженерно-технических мер 70
II. Проектная часть 73
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 73
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 73
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия 76
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 78
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 78
2.2.2 Контрольный пример реализации проекта и его описание 85
III. Обоснование экономической эффективности проекта 86
3.1 Выбор и обоснование методики расчёта экономической эффективности 86
3.2 Расчёт показателей экономической эффективности проекта 94
Заключение 101
Список используемой литературы 102
Список используемой литературы
1. https://mgts.ru/company/foundation/;
2. https://mgts.ru/company/documents/corporate-documents/;
3. Устав Публичного Акционерного Общества «Московская городская телефонная сеть» (редакция № 18);
4. Методы оценки рисков информационной безопасности — СКБ Контур (kontur.ru);
5. ГОСТ Р ИСО/МЭК 27005-2010: Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (standartgost.ru) ;
6. ГОСТ Р 51241 – 2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний;
7. https://www.dahuasecurity.com/ru/products/productDetail/18891;
8. https://www.citilink.ru/product/kamera-videonablyudeniya-hikvision-hiwatch-ds-t503a-2-8-mm-1472143/?gclid=EAIaIQobChMI07yOxbmC9gIV2ACiAx3l1wJ3EAAYAiAAEgLPXPD_BwE;
9. https://camerakit.ru/catalog/kupolnaya-ahd-5mp-1944p-videokamera-pst-ahd301f;
10. https://ps-link.ru/catalog/videonablyudenie/kamery_videonablyudeniya/ahd_videokamery/kupolnye_ahd_videokamery/457/?roistat=merchant31_u_124158205800_online:ru:RU:457&roistat_referrer=&roistat_pos=&gclid=EAIaIQobChMIxvC0nbqC9gIVyxV7Ch3qTgXvEAQYASABEgIiE_D_BwE;
11. https://redutsb.ru/product/hiwatch-ds-h104g/?utm_source=google&utm_medium=cpc&utm_campaign=g||16130362992&utm_content=580835804370||133117194716||||&utm_term=ds%20h104g||e||kwd-377360585274&gclid=EAIaIQobChMIkMbkv7qC9gIVDHAYCh3ENAMcEAAYASAAEgKNsPD_BwE;
12. https://deviceden.ru/sistemy-videonablyudeniya/dahua-nvr2104-4ks2.html?gclid=EAIaIQobChMI2oD12rqC9gIV7xJ7Ch2D7gdSEAAYASAAEgKr3_D_BwE&utm_source=google&utm_medium=cpc&utm_campaign=DAHUA_vysokocastotnye_Rossia&utm_term=nvr2104%204ks2.
13. https://www.kaspersky.ru/small-to-medium-business-security/endpoint-advanced.
Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.
Управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ).
Использование информационных систем связано с определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.