Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Учреждение обрабатывает следующие категории персональных данных:

• персональные данные физических лиц, работающих по трудовому договору с Учреждением (работники);

• персональные данные физических лиц, обратившихся в МФЦ;

• граждан, имеющих право на получение социальной помощи;

• лиц, имеющих право на получение государственных и муниципальных услуг;

• персональные данные владельцев универсальных электронных карт (Владельцы УЭК).

В Учреждении хранятся и обрабатываются различные виды общедоступной информации и информации ограниченного доступа.

К информации ограниченного доступа относятся:

• персональные данные сотрудников Учреждения и партнеров, обрабатываемые и хранимые в базах и банках данных и передаваемые по сети;

• финансовая и бухгалтерская документация;

• личные дела льготополучателей;

• персональные данные льготополучателей и их семей, обрабатываемые и хранимые в базах и банках данных;

• другие сведения, составляющие деловую информацию о внутренней деятельности Учреждения.

1.5 Угрозы информационной безопасности

Под информационной безопасностью информационной системы понимается состояние защищенности информационной среды (информации, информационных ресурсов, фондов и информационных систем, баз данных), при которой её формирование, использование, развитие и информационный обмен обеспечивается защитой информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования.

На объектах информатизации (ОИ) основными источниками защищаемой информации [8] являются субъекты информационных отношений:

• пользователи (операторы), программисты, администраторы ИС , руководители разработки и эксплуатации ИС, обслуживающий персонал;

• документы на твердой основе, различного характера и назначения, включая электронные документы на машинных носителях информации, с защищаемой информацией;

• штатные технические средства ИС обработки защищаемой информации: АРМ, средства обеспечения производственной деятельности людей, информационные и телекоммуникационные линии связи.

Наиболее опасными угрозами безопасности информации являются:

• нарушение конфиденциальности (разглашение, утечка) сведений, составляющих информацию ограниченного доступа;

• нарушение работоспособности (дезорганизация работы) ИС и КС в целом, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;

• нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов Учреждения, а также фальсификация (подделка) документов.

Под угрозами информационной безопасности понимается потенциальная возможность нарушения её следующих основных, качественных характеристик:

• конфиденциальности (разглашение, утечка) сведений, составляющих государственную, служебную или коммерческую тайну, а также персональных данных;

• работоспособности (дезорганизация работы) программно-технических комплексов, блокирование информации, нарушение технологических процессов обработки информации, срыв своевременного решения выполняемых задач;

• целостности и достоверности информационных, программных и других ресурсов, а также фальсификация (подделка) документов.

Источники угроз информационной безопасности, разделяются на внешние и внутренние.

К внешним источникам угроз относятся:

• деятельность иностранных разведывательных и специальных служб, направленная на добывание защищаемых информационных ресурсов с ограниченным доступом, о подготавливаемых решениях и инициативах, в том числе по экономическим вопросам, а также на подрыв авторитета организации;

• действия преступных групп, формирований и связанных с ними коррумпированных лиц по добыванию защищаемой информации в целях реализации своих преступных замыслов;

• использование средств опасного воздействия на информационные ресурсы, получение несанкционированного доступа к ним;

• недружественная политика иностранных государств в области распространения информации и новых информационных технологий;

• преступная деятельность отдельных лиц, бандитских групп и формирований или злоумышленников, конкурирующих и недобросовестных организаций, в том числе с использованием телекоммуникационных систем (прежде всего Интернет);

• промышленный шпионаж со стороны иностранных представителей при проведении совместных международных проектов и работ;

• диверсионные действия по отношению к объектам информатизации (поджоги, технические аварии, взрывы и т.д.);

• деятельность министерств и ведомств и субъектов Российской Федерации, препятствующая или умышленно создающая трудности работе системы, совершаемая в противовес принятых законодательных актов;

• стихийные бедствия, аварии, и техногенные катастрофы.

К внутренним источникам угроз относятся:

• неправомерные действия должностных лиц в области формирования, распространения и использования защищаемой информации;

• преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия персонала, работающего на объектах информатизации;

• отказы технических средств и программного обеспечения в информационных и телекоммуникационных системах;

• некомпетентные действия и ошибки, допущенные при проектировании и эксплуатации информационных систем;

• халатность и недостаточно четкое исполнение служебных обязанностей при проведении мероприятий по защите информации;

• нарушения пользователями (исполнителями работ) и обслуживающим персоналом установленных регламентов сбора, обработки и передачи информации, а также требований по защите информации;

• отказы, неисправности и сбои средств защиты информации и средств контроля эффективности, принятых мер по защите информации;

• непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия персонала при эксплуатации объектов информатизации, приводящие к разглашению защищаемой информации;

• некоординированность или отсутствие необходимых сил и финансовых средств, для реализации мер в организации и защите информационных ресурсов;

• противозаконная деятельность коммерческих и экономических структур, имеющих позиции в среде сотрудников и пользователей;

• получение криминальными структурами доступа к защищаемой информации, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере.

1.6 Существующие мероприятия в Учреждении по обеспечению информационной безопасности

Здание Учреждения оборудовано охранной сигнализацией [4]. Деревянные двери в кабинеты оборудованы замками и датчиками сигнализации. На пластиковых окнах служебных помещений установлены датчики разбития стекла и датчики охранной сигнализации. Имеются огнетушители. На входе в серверную установлена металлическая дверь. Каналы и линии связи Учреждения смонтированы в кабель-канал под подвесным потолком.

В Учреждении назначены: лицо, ответственное за организацию обработки персональных данных, администратор информационной безопасности. По окончанию работы Учреждения, здание устанавливается на сигнализацию.

В начале рабочего дня администратор выключает режим охраны со всех служебных помещений, кроме серверной комнаты. Пользователи, по приходу на работу расписываются в «Журнале осмотра помещений перед их закрытием по окончанию работ» и получают ключи. По окончанию рабочего дня работник сдает ключ и расписывается в «Журнале осмотра помещений перед закрытием по окончанию работ». Для доступа в серверное помещение отдел информатизации снимает сигнализацию своим паролем.

Обработка персональных данных работников осуществляется с использованием прикладного программного обеспечения общего назначения Microsoft Office, LibreOffice 3.4.

В качестве средства антивирусной защиты используются программные продукты, разработанные ЗАО «Лаборатория Касперского».

Все пользовательские АРМ и серверы Учреждения оборудованы источниками бесперебойного питания.

Обмен информацией между пользователями информационной системы Учреждения осуществляется через общие сетевые ресурсы, с помощью съемных машинных носителей информации и по незащищенным каналам связи.

2 Характеристика правил и требований по обеспечению информационной безопасности для МФЦ

2.1 Выявленные недостатки информационной безопасности в Учреждении

В связи с закрытием старого центрального офиса Многофункционального центра и открытием нового офиса в Учреждении возникли пробелы в системе защиты информации .

При анализе предприятия были выявлены следующие недостатки:

• физическая охрана здания предприятия организована частично;

• не установлен порядок взаимодействия со сторонними организациями;

• резервное копирование информации осуществляется частично;

• не используются средства защиты информации от несанкционированного доступа в центральном офисе;

• отсутствие порядка обеспечения управления доступом к информации;

• порядок использования съемных машинных носителей неактулизирован;

• отсутствие криптографической защиты;

• не ведется контроль за сотрудниками, часто сотрудники могут уйти с места работы, не отключив свой компьютер и имея при себе флеш–носитель со служебной информацией;

• содержание нормативно–распорядительных документов по информационной безопасности не соответствует данным положениям дел.

• пользователи работают с неоформленными учетными записями и правами администратора.

2.2 Совокупность правил и требований по обеспечению информационной безопасности в Учреждении

Основными целями правил и требований информационной безопасности является :

• обеспечение сохранности, целостности информационных ресурсов и предоставление доступа к ним в строгом соответствии с установленными приоритетами и правилами разграничения доступа;

• обеспечение защиты подсистем, задач и технологических процессов, от угроз информационной безопасности, описанных выше в настоящем документе;

• обеспечение защиты управляющей информации от угроз информационной безопасности;

• обеспечение защиты каналов связи от угроз со стороны каналов связи.

Мероприятия устанавливают:

• порядок обеспечения сохранности имущества Учреждения и его эксплуатации, необходимого для обеспечения информационной безопасности;

• порядок предотвращения, обнаружения и устранения последствий компьютерных вирусов и вредоносных программ;

• порядок получения доступа к сетям общего пользования, правил работы в них, ограничений по их использованию, обеспечению безопасности при работе с ними и действия при ее нарушении;

• порядок использования электронной почты.

Правила разработаны в соответствии с целями, задачами и принципами обеспечения безопасности Многофункционального центра предоставления государственных и муниципальных услуг Еврейской автономной области.

Положение разработано с целью закрепления механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

В правилах определены требования к персоналу, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных сотрудников.

2.2.1 Физическая безопасность

Все помещения Учреждения должны отвечать требованиям нормативных правовых актов Российской Федерации в части оборудования устройствами сигнализации [6],[7].

Требования по организации физической безопасности территории здания и помещения:

• периметры безопасности должны быть четко определены, а размещение и надежность каждого из периметров должны зависеть от требований безопасности персональных данных, находящихся в пределах периметра;

• периметры здания или помещений, где расположены средства обработки информации, должны быть физически прочными (т.е. не должно быть никаких промежутков в периметре или мест, через которые можно было легко проникнуть); внешние стены помещений должны иметь твердую конструкцию, а все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа( оснащены шлагбаумом, сигнализацией, замками и т.п.); двери и окна помещений в отсутствие сотрудников должны быть заперты, и внешняя защита должна быть предусмотрена для окон;

• все аварийные выходы на случай пожара в периметре безопасности должны быть оборудованы аварийной сигнализацией, должны подвергаться мониторингу и тестированию вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с применимыми региональными, национальными и международными стандартами; они должны эксплуатироваться в соответствии с местной системой противопожарных правил безотказным образом;

• помещения, которые должны быть оборудованы дополнительными устройствами регистрации, контроля и поддержания заданных характеристик (например, система автоматического пожаротушения, контроля влажности, принудительной вентиляции, кондиционирования воздуха, защиты от статического электричества и т.п.), в соответствии с НПА РФ или правилами эксплуатации оборудования, размещенного в таких помещениях, и требуемых для соблюдения гарантийных обязательств производителя, должны быть полностью укомплектованы подобными устройствами [6], [7].

2.2.1.1 Организация охраны

Характеристики

Список файлов ВКР