CC BY
58
Психолого-педагогический журнал Гаудеамус, №2 (20), 2012
УДК 004.056.52
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НА МАШИНОСТРОИТЕЛЬНОМ ПРЕДПРИЯТИИ
Е.В. Мешкова, И.А. Зауголков
В работе проведен анализ существующей информационной системы персональных данных на машиностроительном предприятии и разработан комплекс мер по ее совершенствованию.
Ключевые слова: конфиденциальная информация, несанкционированный доступ, средства защиты информации, персональные данные.
Защита персональных данных является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба [1].
Как известно, с 1 июля 2011 г. полностью вступил в силу (начинают действовать санкции за неисполнение требований) Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». Основная цель закона - защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну: защита конфиденциальной информации является одной из приоритетных задач современного законодательства [2-4].
ОАО «Тамбовский завод «Революционный труд» находится в подчинении Федерального агентства по промышленности, производит специальные средства связи и радиоэлектронной борьбы, товары народного потребления, а также широкий ассортимент строительных материалов.
Прежде всего была дана оценка необходимости защиты информации. Для этого было проведено анкетирование начальника бюро сетевых технологий и программного обеспечения сетевых технологий, а также инженера-программиста по вопросам организации режимных мероприятий и степени конфиденциальности информации. Решение о необходимости защиты принимается на основе оценок по двум направлениям: наличие конфиденциальной информации и опасность ее утечки и экономическая необходимость (целесообразность) защиты конфиденциальной информации [5].
Для оценки состояния защищенности фирмы выбраны основные направления обеспечения безопасности: состав и структура службы безопасности, правовое обеспечение безопасности, организационные меры защи-
ты, инженерно-техническое обеспечение безопасности, управление безопасностью [5].
Руководители предприятия и его структурных подразделений принимают меры по защите персональных данных путем ограничения круга лиц, имеющих доступ к защищаемой информации, установлению грифа конфиденциальности, по физической сохранности документации, других мер по защите информации. Служебная, коммерческая информация в основном циркулируют во внутреннем окружении, т.е. отдел бухгалтерии, главный бухгалтер, директор, юридический и финансовый отдел.
С целью разграничения доступа к служебной информации и предотвращения конфликта интересов на предприятии обеспечивается разграничение функций подразделений, осуществляющих различные виды профессиональной деятельности, в рамках внутренних нормативных документов - положений о подразделениях и должностных инструкций сотрудников.
Кроме того, были проанализированы основные внутренние нормативные документы по информационной безопасности. Проведена инвентаризация информационных ресурсов с учетом анализа информационных потоков. Определен перечень сведений, составляющих персональные данные: определены категории ПДн, источники их получения, технологический процесс, использующий ПДн, а также сроки хранения и условия прекращения обработки.
Хранение персональных данных работников осуществляется руководителями структурных подразделений, управлением кадровой работы, делопроизводства, бухгалтерией, финансовым отделом на бумажных и электронных носителях. В управлении кадровой работы персональные данные хранятся на бумажных носителях в личных карточках по форме № Т-2 и личных делах. Учетные
2. Тенденции и особенности развития систем информационной безопасности
данные работников хранятся в управлении кадровой работы на электронных носителях, они же обеспечивают их защиту от несанкционированного доступа и копирования.
В бухгалтерии и финансовом отделе персональные данные хранятся на бумажных и электронных носителях. Источники защищаемой информации, как правило, определялись путем ее структурирования.
Для того чтобы оценить риск информации, было проанализирована защищенность и архитектура построения информационной системы. Риск реализации угрозы информационной безопасности для каждого вида информации рассчитывался по трем основным угрозам: конфиденциальность, целостность и доступность. На основе модели угроз и уязвимостей были рассчитаны риски информационной системы. Для того чтобы оценить риск информации, были проанализированы угрозы, действующие на информационную систему, и уязвимости, через которые возможна реализация угроз. В результате получены риски и ущербы, выраженные в денежных единицах (9630000 руб.) и уровнях (41,18 % - 3-й уровень).
С учетом имеющейся системы защиты и технических средств, представленных на рынке, были выбраны средства защиты персональных данных. В совещательных комнатах рекомендуется установить блокиратор сотовых телефонов «Аллигатор-40», а также устройство для защиты телефонных переговоров «Референт Basic». Были внесены предложения по установке в организации уничтожителей бумаги ЖМ 105.3. В качестве средства защиты от несанкционированного
доступа к компьютерной информации эффективна система Страж NT 3.0, которая предназначена для комплексной защиты информационных ресурсов при работе информационных системах персональных данных, и электронный ключ eToken - персональное средство авторизации, аутентификации и защищенного хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной подписью. В качестве антивирусного средства защиты был предложен Kaspersky Business Space Security, который защищает рабочие станции и файловые серверы от всех видов вирусов, троянских программ и червей.
Литература
1. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992 [Электронный ресурс]. URL: http://www.fstec.ru
2. О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ [Электронный ресурс]. URL: http://base.garant.ru
3. Защита персональных данных работника: правовые аспекты [Электронный ресурс]. URL: http://www.korub-buh.ru
4. Об информации, информационных технологиях и о защите информации: федер. закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ [Электронный ресурс]. URL: http://www.consul-tant.ru
5. Зауголков И.А., Михайлова Е.М. Повышение качества подготовки специалистов в области информационной безопасности // Вестник Тамбовского университета. Сер.: Естественные и технические науки. Тамбов, 2009. Т. 14, вып. 5. С. 914.
УДК 004.056
ОЦЕНКА ЗАЩИЩЕННОСТИ СРЕДЫ ДЛЯ РАБОТЫ С ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ
С.А. Орлов, Е.С. Чиркин
В работе поднимается проблема использования легитимного программного обеспечения в злонамеренных целях на компьютере, предназначенном для работы с конфиденциальными электронными документами. В качестве решения предлагается использовать специально разработанную утилиту, дополняющую собой антивирусные продукты и проверяющую компьютерную систему на наличие программных средств, с помощью которых возможно следить за пользователем.
Ключевые слова: антишпионская утилита, безопасная работа с электронными документами.
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации
повлекло за собой увеличение возможностей по неконтролируемому несанкционированному доступу к большим сосредоточенным
