Анализ защищенности

Анализ защищенности

2. АНАЛИЗ ОСОБЕННОСТЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРЕДПРИЯТИЯ ООО «Усольехимпром»

2.1 Анализ структуры информационной системы и обрабатываемых в ней персональных данных

 

Основой ИСПДн ООО «Усольехимпром» является локальная вычислительная сеть (ЛВС), в которую включены более  400 рабочих мест оснащенных персональными компьютерами  PC  разных поколений. Она объединяет  более 20 зданий:  центральный офис,  службы директора по логистике, службы директора технического, центральную и санитарную лаборатории и все технологические цеха. Архитектура магистралей сети представляет собой звезду, где центром является коммутатор, установленный в центральном офисе, а оконечными узлами все коммутаторы зданий, расположенные в остальных корпусах предприятия. Внутри корпуса рабочие станции в рамках одного этажа подключаются к коммутатору (концентратору) рабочей группы, который соединен с коммутатором здания. Межэтажные соединения и подключение рабочих станций осуществляется с помощью неэкранированной витой пары пятой категории. Для связи между зданиями  используется волоконно-оптический кабель. Значительно удалённые объекты   подключены с использованием  существующих телефонных  линий и цифровых модемов (DSL) Pair Gain, Prestige. Используются технологии  Ethernet,  Fast Ethernet,  Gigabit Ethernet, протоколы передачи данных: IP, IPX.

В составе  сети задействовано оборудование, размещённое  в четырёх корпусах:

• Корпус 4301-управление: плановый отдел, производственный отдел, отдел труда, отдел ценных бумаг, бухгалтерия, отдел АСУП, отдел оборудования, финансовый отдел, служба подсобного хозяйства.
• Корпус 4310-размещены службы: отдел кадров, отдел снабжения, отдел сбыта, юридический отдел, транспортный отдел, управление торговли.
• Корпус 4045-размещены службы: отдел главного энергетика, отдел главного механика, отдел охраны природы.
• Корпус 3302-размещены службы: цех электроснабжения, лаборатория метрологии.

 

Рисунок 2.1 – Структура ИСПДн ООО «Усольехимпром»

Ядро ЛВС  составляют:

• Файл-сервер HP ML350 G4  с двумя процессорами  Xeon – 3.0,  оперативной памятью 4 Гб.,   шестью  HDD Raid – 5 емкостью 72 Гб., под управлением сетевой операционной системы (ОС)  Novell NetWare 5.0.  К серверу подключено устройство резервного копирования автозагрузчик HP SureStore DLT Autoloader 418;
• Сервер баз данных  HP ML350 G4  с двумя процессорами  Xeon – 3.0,  оперативной памятью 3 Гб.,   шестью  HDD Raid – 5 емкостью 72 Гб., под управлением операционной системы (ОС)  Windows Server 2003;
• Для организации работы с Internet  используются два сервера HP NetServer E 45   и программное обеспечение   Border Manager 3.5   совместно с системой управления каталогами  (NDS);
• Сервер HP ML350 G4  с процессором Xeon – 3.0,  оперативной памятью 2 Гб.,   двумя HDD  емкостью 72 Гб. используется для организации электронной почты и размещения внутреннего сайта предприятия.

Информационная  система (ИС)  ООО “Усольехимпром”  состоит из следующих функциональных подсистем:  основное производство, вспомогательное производство, бухгалтерский  учет, сбыт, снабжение, финансы, трудовые ресурсы.

Задачи  функциональных подсистем  разрабатываются  с помощью  СУБД  MS Visual FoxPro 5.0 (8.0), MS SQL Server 2005.

 На платформе  MS SQL Server 2005  построен электронный документооборот, включающий в себя следующие блоки: подготовка распорядительных документов (РД) в электронном виде, согласование РД с использованием электронной цифровой подписи (ЭЦП),  помещение  утвержденных РД в электронную базу данных и организация доступа к ним  руководителей и специалистов через внутренний корпоративный сайт предприятия.

В сети используется витая пара 5-го уровня. Связь корпусов между собой осуществляется через  оптоволоконное соединение.

В зависимости  от расположения рабочих станций  в сети используются коммутаторы  в основном фирмы 3Сом. Сетевые карты  в основном фирм 3Сом и Cnet.

Ключевую  роль в сети играет файл-сервер под  управлением сетевой операционной системы (ОС)  Novell NetWare 5.0.

За основу ИСПДн предприятия ООО «Усольехимпром»  взята ИСПДн «1С: Зарплата и Кадры». В ИСПДн обрабатываются такие персональные данные сотрудников как фамилия, имя, отчество, дата рождения, паспортные данные, данные о регистрации, данные об изменениях должностного положения, ИНН, СНИЛС, номер страхового медполиса, финансовые данные. 
 

 

 

Таблица 2.1 – Анализ состава ПДн

Анализируемый состав ПДн	Комментарии	Категория ПДн
Фамилия, имя, отчество (ФИО).	С одной стороны  одни и те же ФИО могут иметь  различные люди, с другой существуют ФИО редкие, принадлежащие только одному конкретному человеку. Учитывая наличие  значительного количества таких  данных в базах данных ИСПДн существует достаточно большая вероятность  наличия в них уникальных ФИО. Таким образом, предлагается изначально предполагать, что такие данные позволяют  идентифицировать субъекта ПДн.	3
Дата рождения.	По базе данных, содержащей только данные сведения, невозможно определить их принадлежность к кому-либо.	4 (обезличенные)
Паспортные  данные.	Наличие в составе  паспортных данных уникального номера позволяет идентифицировать субъекта ПДн. Наличие других данных позволяет  получить о человеке дополнительную информацию.	2
Данные  о регистрации (включают дату и место  регистрации по месту жительства).	Одни и те же данные о регистрации могут иметь  различные люди, но существуют адреса, по которым зарегистрирован только один человек. Учитывая наличие  значительного количества таких  данных в базах данных, существует достаточно большая вероятность  наличия в них адресов, по которым  зарегистрирован один человек. Таким  образом, эти данные позволяют идентифицировать человека.	3
Данные  об изменениях должностного положения.	По базе данных, содержащей только данные сведения, Невозможно определить их принадлежность к кому-либо.	4 (обезличенные)
ИНН, СНИЛС, номер страхового медполиса.	По данным сведениям  существует возможность определить их принадлежность к конкретному  человеку, следовательно, они не являются обезличенными.	3
Финансовые  данные	По базе данных, содержащей только данные сведения, невозможно определить их принадлежность к кому-либо.	4 (обезличенные)

 

В результате можно сделать вывод что в ИСПДн ООО «Усольехимпром» обрабатываются ПДн 2 категории. 

Рисунок 2.2 – Схема расположения объекта 

Рисунок 2.3 – Схема головного здания

 

2.2 Анализ системы обеспечения безопасности ИСПДн предприятия ООО «Усольехимпром»

2.2.1 Структура службы  безопасности предприятия

 

Служба безопасности на предприятии имеет разветвленную  структуру в которой каждый руководитель отвечает за свой отдел в системе  безопасности. Блок-схема службы безопасности представлена на рисунке 2.4.

Рисунок 2.4 – Блок-схема службы безопасности

2.2.2 Организационно-правовые меры обеспечения безопасности предприятия

 

В отделе безопасности предприятия имеются следующие организационно-правовые документы:

• положение об отделе информатизации, учета техники и кадровой политики;
• положение о порядке обработки и обеспечении безопасности персональных данных;
• положение о персональных данных сотрудников, обрабатываемых без использования средств автоматизации;
• Перечень АС ИСПДн;
• Перечень КИ;
• Список лиц, допущенных к работе на АС (ИСПДн);
• Должностные инструкции: администратора ИСПДн, пользователя ИСПДн, администратора безопасности ИСПДн;
• Модель УБ ПДн;
• Акт классификации ИСПДн.

А так же все сотрудники предприятия дали свое письменное согласие на использование  их персональных данных.

2.2.3 Программные средства обеспечения безопасности предприятия

 

Для программной  защиты информации на предприятии задействованы  межсетевые экраны и встроенные средства Novell NetWare.

Соединение  с внешней сетью интернет происходит через NAT, что позволяет предотвратить или ограничить обращение снаружи к внутренним хостам.

На предприятии  используется внутренняя почта функционирующая на сервере с Windows 2000 Server MDaemon (почтовый сервер) и существует внутренний сайт.

Антивирусную защиту обеспечивает Kaspersky Work Space Security с централизованным управлением. Антивирусная защита Kaspersky Work Space Security предоставляет администратору такие функции контроля рабочих мест как:

• Контроль запуска программ. Позволяет администратору производить аудит использования приложений, разрешать или блокировать их запуск.
• Белые списки. Система категоризации позволяет администратору создавать правила запуска программ на основе локального белого списка или с помощью обновляемого из «облака» списка программ, сгруппированных по определенным категориям.
• Контроль активности программ. Позволяет контролировать действия программ и при необходимости ограничивать их доступ к различным ресурсам системы.
• Поиск уязвимостей. Осуществляет проверку операционной системы и используемых программ на наличие уязвимостей, выявляет необходимость установки обновлений операционной системы и приложений, помогая предотвратить заражение корпоративной сети.
• Контроль устройств. Применение настраиваемых политик использования внешних устройств снижает риск потери данных и утечки конфиденциальной информации. Администратор может гибко настроить политики контроля доступа к внешним устройствам в зависимости от типа устройств, шины подключения или ID (идентификационного номера) конкретных устройств.
• Веб-Контроль. Обеспечивает мониторинг и контроль доступа пользователей к веб-ресурсам, позволяет регулировать права доступа сотрудников в корпоративной сети и за ее пределами к веб-ресурсам в зависимости от категории, содержания и типа данных.

Аутентификация пользователей АРМ проходит посредством связки логин/пароль. Пароль изменяется каждые три месяца и имеет длину не менее 8 символов. После успешной авторизации пользователь получает доступ к АРМ и сетевому хранилищу. В сетевом хранилище пользователь может пользоваться только той информацией, к которой он имеет права доступа.

Так же все  данные хранящиеся на серверах подвергаются плановому резервному копированию  раз в неделю.

2.2.4 Физические средства обеспечения безопасности предприятия

 

Здание имеет  кирпичные стены толщиной не менее  полуметра, в оконных проемах  установлены рамы с двойным стеклом, все двери снабжены замками, в  кабинетах руководителей имеются  личные сейфы. На проходной находится  контрольно-пропускной пункт постоянно  охраняемый как минимум двумя  сотрудниками отдела безопасности, а  так же установлены турникеты  с системой пропуска по смарт-картам, сервер управления которой находится  в серверной. Входная дверь серверной  дополнительно снабжена кодовым  замком. Правом входа в серверную обладают только сотрудники информационной службы и сотрудники службы безопасности.

2.2.5 Исходный уровень  защищенности ИСПДн

 

Под общим  уровнем защищенности понимается обобщенный показатель, зависящий от технических  и эксплуатационных характеристик  ИСПДн (Y₁).

Таблица 2.2 – Исходный уровень защищенности

Позиция	Технические и эксплуатационные характеристики	Уровень защищенности
1	По территориальному размещению	распределенная ИСПДн, развернутая в нескольких зданиях находящихся на одной территории
2	По наличию соединения с сетями общего пользования	ИСПДн, имеющая выход в сеть общего пользования
3	По встроенным (легальным) операциям с записями баз персональных данных	запись, удаление, сортировка, модификация, передача
4	По разграничению  доступа к персональным данным	ИСПДн, к которой  имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
5	По наличию соединений с другими базами ПДн иных ИСПДн	ИСПДн, в которой  используется одна база ПДн, принадлежащая  организации - владельцу данной базы
6	По уровню (обезличивания) ПДн	ИСПДн, в которой  предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
7	По объему ПДн, которые  предоставляются сторонним пользователям  ИСПДн без предварительной обработки	ИСПДн, не предоставляющие  никакой информации сторонним пользователям

2.2.5 Реализуемость угроз

По итогам оценки уровня защищенности (Y₁) и вероятности реализации угрозы (Y₂), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y₁ + Y₂)/20