Разработка комплекса мероприятий по обеспечению информационной безопасности на предприятии ООО

Например, можно использовать политику, применяемую к домену по умолчанию.Если же в пределах домена необходимо выделить группы компьютеров, объединенные по каким-либо признакам, и применять к ним особые настройки защитных механизмов, это можно выполнить, используя стандартные средства администрирования Windows. Для этого необходимо в домене создать организационные подразделения и для каждого из них настроить свою групповую политику. Таким образом, для каждого подразделения будет действовать своя политика безопасности, отличающаяся от политики, применяемой к домену.В общем случае последовательность формирования политик, применяемых к организационным подразделениям, следующая;- настройка защитных механизмов SecretNet в рамках доменной политики;- создание в домене новых организационных подразделений, для которых должны действовать особые настройки защитных механизмов;-добавление в созданные подразделения нужные компьютеры домена;- создание для каждого подразделения своей групповой политики;- настройка в каждой политике параметров SecretNet в соответствии с требованиями. Если отличия политики, применяемой к подразделению, незначительны, за основу можно взять доменную политику и с помощью редактора политик внести в нее требуемые изменения;-применения созданных политик к соответствующим подразделениям.Инструмент Gpupdate. Инструмент командной строки Gpupdate используется для принудительного обновления групповых политик для компьютера или пользователя. Эта команда может использоваться для принудительного завершения сеанса пользователя или для перезапуска компьютера после обновления групповой политики, что полезно при обновлении групповых политик, которые применяются только при входе пользователя в систему или при перезапуске компьютера.Каждый защитный механизм имеет свой набор параметров. Все параметры, используемые в SecretNet, в зависимости от места их хранения в системе и способа доступа к ним можно разделить на четыре группы ( рис. 2.2).Параметры объектов групповой политики (П1). Как и стандартные параметры безопасности ОС, они хранятся на контроллере домена (для политик, применяемых к доменам и организационным подразделениям) или в локальных базах данных компьютеров (для локальных политик безопасности). Соответственно доступ к этим параметрам осуществляется средствами централизованного или локального управления. Действие параметров распространяется на компьютеры. Параметры загружаются при запуске компьютера с установленной системой SecretNet вместе с другими параметрами групповой политики.Параметры, относящиеся к свойствам пользователей (П2). В зависимости от типа пользователя (доменный или локальный), они хранятся в ActiveDirectory или в локальных базах данных защищаемых компьютеров. Действие параметров распространяется на пользователей. Параметры загружаются в компьютер после выполнения процедуры идентификации и аутентификации пользователя.Рис. 2.2 – Управление рабочими станциямиПараметры, относящиеся к атрибутам ресурсов (ПЗ) (файлов и каталогов). Используются в механизме полномочного разграничения доступа для управления категориями конфиденциальности ресурсов. Хранятся вместе со стандартными атрибутами ресурсов. Используются также в механизме шифрования для управления шифрованием каталогов и файлов. Значения этих параметров хранятся в специальных служебных файлах. Управление всеми этими параметрами осуществляется с помощью расширения программы «Проводник». Настройку параметров выполняют только те пользователи, которым администратор безопасности установил соответствующие привилегии.Параметры механизмов контроля целостности и замкнутой программной среды (П4). Отдельная группа параметров, хранящаяся централизовано в ActiveDirectory и на каждом защищаемом компьютере в специальной базе данных SecretNet. Доступ к этим параметрам и их настройка осуществляются централизовано и локально. Настройку параметров защитных механизмов SecretNet, а также настройку параметров безопасности ОС Windows необходимо выполнять только в рамках неконфиденциальной сессии. Исключение составляет изменение категорий конфиденциальности ресурсов -при включенном режиме контроля потоков конфиденциальной информации изменять категории конфиденциальности ресурсов можно только в конфиденциальных и строго конфиденциальных сессиях.Средства управления - это инструменты, с помощью которых главный администратор безопасности и локальный администратор управляют работой защитных механизмов и контролируют действия пользователей. В SecretNet имеется несколько таких инструментов, каждый из которых применяется в зависимости от того, какие параметры необходимо настроить и каким способом должна быть выполнена настройка -централизованно или локально.Основными инструментами, с помощью которых осуществляется настройка параметров SecretNet, являются;(С1) Оснастка «Групповая политика» (в централизованном управлении) и оснастка «Локальная политика безопасности» (в локальном управлении) - предназначены для настройки группы параметров безопасности SecretNet, относящихся к конфигурации компьютера и входящих в параметры объектов групповой политики.(С2) Оснастка ActiveDirectory - пользователи и компьютеры» (в централизованном управлении) и оснастка «Управление компьютером» (в локальном управлении) -предназначены для настройки параметров работы соответственно доменных и локальных пользователей.(СЗ) Программа «Проводник» - используется для настройки параметров, относящихся к атрибутам файлов и каталогов, в механизмах полномочного разграничения доступа и шифрования.(С4) Программа «Контроль программ и данных» - предназначена для управления механизмами контроля целостности и замкнутой программной среды.(С5) Средства экспорта и импорта параметров - используются для тиражирования эталонных настроек системы защиты. С помощью средств экспорта и импорта упрощается локальная настройка нескольких компьютеров с одинаковыми параметрами защитных механизмов. Параметры с эталонного компьютера переносятся на другой компьютер (или группу компьютеров) без необходимости повторять весь процесс настройки на каждом из них.В системе SecretNet предусмотрено делегирование полномочий администратора безопасности. Это означает, что некоторые функции по настройке и управлению работой защитных механизмов могут быть возложены на пользователей, не являющихся членами группы доменных администраторов. При этом настройка и управление могут осуществляться только в рамках определенных организационных подразделений, созданных внутри домена.К общим параметрам безопасности Windows после модификации схемы АО добавляются параметры SecretNet, действие которых распространяется на компьютеры сети средствами групповых политик. Доступ к этим параметрам осуществляется в стандартном узле «Параметры безопасности» оснастки «Групповая политика» или «Редактор объектов групповой политики» (в зависимости от операционной системы).Оснастку можно вызывать как отдельный, самостоятельный инструмент или в качестве расширения таких оснасток как ActiveDirectory - пользователи и компьютеры» или «ActiveDirectoryActiveDirectory - сайты и службы».2.4. Внедрение и оценка комплекса программно-аппаратных средств обеспечения информационной безопасности2.4.1 Программно-аппаратный комплекс информационной безопасности и защиты информации предприятияДля рассматриваемой системы были выбраны следующие технические средства:система защиты информации SecretNet 6.5; аппаратно-программный комплекс шифрования «Континент»;сервер контроля доступа TrustAccessпрограммное решение HoneypotManager. антивирус Касперского7.0 для WindowsServer.Для внедрения этих технических средств необходимо:определить круг лиц ответственных за выполнение;провести изменения в структуре информационной системы;заключить договор с компанией имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации;составить техническое задание на создание комплексной системы защиты информации;разработать пакет организационно-распорядительных документов для КСЗИ (положения, приказы, инструкции); внедрить систему обеспечения безопасности информации; аттестовать комплексную систему защиты персональных данных на соответствие требованиям по защите персональных данных;8. получить лицензию на деятельность по технической защите .Применение созданной комплексной системы защиты информации заключается в следующем:назначение специалиста по ЗИ, ответственного за функционирование системы защиты;разработка списка сотрудников допущенных к работе с персональных данных 1 категории;выдача и хранение ключей доступа ответственным сотрудникам;проведение сканирование защищаемых информационных ресурсов сканерами безопасности.При внедрении комплексной системы защиты информации для информационной системы персональных данных 1 класса необходимо обеспечить:управление доступом;регистрация и учет;обеспечение целостности;физическую охрану системы защиты;периодическое тестирование средств защиты.Программная и техническая архитектура ООО «Сервионика» с учетом внедрения предлагаемых мер защиты информации представлена на рис.2.3.Как видно из рис. 2.3-2.4 изменения программной и технической архитектуры затронут отделы экономической безопасности, отдела сбыта, склада и автоматизированных рабочих мест, которые проводят обработку персональных данных первого класса.Реагирование на инциденты определяет специальный документ в компании, имеющий статус должностной инструкции.За проведение текущего аудита в организации отвечает администратор отдела экономической безопасности. Проверка аппаратных средств на наличие закладок осуществляется при помощи специализированной аппаратуры при использовании средств внешнего аудита.Рис. 2.3 - Техническая архитектура организации ООО «Сервионика»Рис. 2.4. Программная архитектура организации ООО «Сервионика»2.4.2 Внутренний аудит системы информационной безопасности и защиты информацииПроведение аудита ИБ основывается на ряде принципов, следование которым является предпосылкой для обеспечения объективных заключений по результатам аудита ИБ. Эти принципы должны быть признаны и соблюдены всеми сторонами, участвующими в аудите ИБ. Выполнение принципов способствует повышению безопасности организации и СИТ. Принципы, относящиеся к аудиту ИБ:независимость аудита ИБ.полнота аудита ИБ. оценка на основе свидетельств аудита ИБ. необходимость понимания аудитором деятельности проверяемой организации.;компетентность и этичность. Под программой аудита ИБ понимается совокупность одного или нескольких аудитов ИБ, запланированных на конкретный период времени и направленных на достижение конкретной цели. Программа аудита ИБ включает все мероприятия, необходимые для планирования, организации и проведения аудитов ИБ, а также для обеспечения ресурсов, чтобы проводить аудиты ИБ эффективно и рационально в определенные временные рамки.В качестве инструментальных средств для проведения внутреннего аудита использовался -сканер уязвимости SymantecNetRecon, а в качестве программного средства анализа и управления рисками; ПО анализа рисков и аудита SoftwareTool. В качестве стандарта аудита использовался стандарт ISO 17799: CodeofPracticeforInformationSecurityManagement, который служит основой основой для проведения любых работ в области информационной безопасности, в том числе и аудита. Стандарт IS017799 сосредоточен на вопросах организации и управления безопасностью, в то время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим механизмам защиты информации. ISO 17799 использовался в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Периодичность аудита в организации установлена й раз в квартал.Результатыприменения аудита представлены в приложении Д.Основные обнаруженные уязвимости системы:SMTP-сервисы MS Exchange 5.5 уязвимы на отказ в обслуживании. Взломщик, обладающий эксплоитом (программой, подключающейся к ресурсу и отправляющей особым образом сформированный запрос), может осуществить DoS атаку сервиса и, если сервер не настроен производить автоперезапуск зависшего сервиса, то сервис не будет отвечать до момента ручного перезапуска. Сервисы 141.xx.xx.14:25, 141.xx.xx.17:25 и 141.xx.xx.19:25, соответственно их предназначению, принимают почту к доменам xxy.ru, xxi.ru и xxz.ru. Но, кроме этого, любой желающий может отправлять почту с произвольного (даже несуществующего) адреса указанных доменов, не будучи обязанным использовать какой-либо механизм аутентификации! Эта уязвимость позволяет любому желающему отправлять любое сообщение с любого адреса в интересующем домене на любой адрес в этом домене.Среди компонентов веб-сервера portal.xxy.ru имеется уязвимыйOpenSSL/0.9.5aНа рабочих станциях пользователей возможно выполнение vbscript-скриптовДействия по проникновению, вероятнее всего, не были обнаружены администраторами сетиИзбыточная уверенность администраторов в неуязвимости собственных ресурсов изИнтернет из-за «многослойности» применяемых средств защит Отсутствие или недостаточная проработанность внутренней политики безопасностиНедостаточная осведомленность пользователей о существующей политике безопасностиОсновные результаты, полученные в ходе выполнения данной работы по тестовому проникновению в корпоративную сеть:Проникновение в корпоративную сеть ООО «Сервионика» осуществленоне былоОбнаружен ряд уязвимостей, которые могут быть использованы для проникновение в систему, что было подтверждено полученными результатами.2.4.3 Анализ результатов внутреннего аудитаВыбранные средства защиты информации удовлетворяют требования ФСТЭК России. Все средства сертифицированы для использования в информационных системах обработки персональных данных.Комплексная система защиты информационной системы персональных данных 1 класса построенная с использованием СЗИ SecretNet 6.5, выполняет требования приказа №58 ФСТЭК, обязывающие для рассматриваемой ИС применять следующие основные методы и способы защиты информации:управление доступом;регистрация и учет;обеспечение целостности.Выбранные технические средства удовлетворяют требованиям федерального законодательства, руководящих документов, положений в области защиты персональных данных. Обладают всеми необходимыми сертификатами и лицензии. Использование системы защиты информации SecretNet 6.5, аппаратно-программный комплекс шифрования «Континент», KasperskyEndpointSecurity 8 для Windows позволяет создать надежную комплексную систему защиты персональных данных. Для оценки эффективности применения упомянутых средств необходимо провести анализ защищенности ИС, а так же построить модель остаточных угроз, что и будет сделано в следующем пункте.Основные рекомендации по повышению текущего уровня защищенности и по устранению найденных уязвимостей:Установить патчи на уязвимые на отказ в обслуживании SMTP-сервисы MS Exchange 5.5На SMTP сервисах 141.xx.xx.14:25, 141.xx.xx.17:25 и 141.xx.xx.19:25 необходимо запретить «обычную» smtp-отправку почты через эти сервисы с адресов, домены которых они обслуживают, и ввести любой приемлемый механизм аутентификации, который поддерживает MS Exchange.Осуществить апгрейд уязвимого компонента OpenSSL/0.9.5a хоста 141.xx.xx.11 (portal.xxy.ru) последними секьюрити-патчамиДля защиты от CrossSiteScripting необходимо проработать дефолтные ответы на некорректные запросы на портале portal.xxy.ru, которые сообщают ненужную информацию (вроде путей, etc); Необходимо запретить возможность выполнения vbscript-скриптов на рабочих станциях пользователейНеобходимо отфильтровывать внешний HTTP-траффик, содержащий в заголовках строку 'Content-Type: application/hta'.Необходимо как можно более аккуратно применять последние security-патчи от Microsoft (в особенности к программам InternetExplorer и OutlookExpress!). Следует помнить, что эти две программы, от которых корпоративным пользователям просто невозможно отказаться (в силу ряда объективных причин) - две самые популярные мишени для взломщиков.Провести полный внутренний аудит угроз безопасности информационной системы с разработкой предложений по повышению текущего уровня защищенности и созданию адекватной политики внутренней безопасности Регулярно проводить тренинги персонала по вопросам информационной безопасностиНа сегодняшний день корпоративная сетьООО «Сервионика» надежно защищена от подавляющего большинства злоумышленников из сети Интернет. Также сеть надежно защищена от всех случайных попыток внешнего проникновения. Однако в том случае, если задача по проникновению в систему будет целенаправленно поставлена кем-либо (конкурентами и т.д.) перед профессионалом высокого класса, то вероятность проникновения на сегодняшний день существует (хотя и не велика). III ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА3.1 Выбор и обоснование методики расчёта экономической эффективностиДля выработки подхода к оценке экономической эффективности предполагаем, что при нарушении защищенности информации происходит некоторый экономический ущерб, а с другой стороны выполнение мероприятий по обеспечению защиты информации требует финансовых расходов. Стоимость защиты отражается суммой расходов на защиту и потерями нарушения безопасности.Естественное желание снизить расходы, связанные с защитой информации. Считаем, что экономическая эффективность системы защиты информации может быть оценена объемом ущерба, который мог быть нанесен организации в случае отсутствия системы защиты информации.Для применения описанного подхода необходимо- оценить ожидаемые потери при нарушении защиты информации;- оценить связь между средствами потраченными на защиту информации и уровняем защищенности.Определим уровень затрат Ri„ который обеспечивает необходимый уровень защищенности. Для этого необходимо иметь полный список угроз информации, оценку опасности каждой из угроз, размеры затрат, необходимых для устранения угрозы.Для определения уровня затрат используем соотношение Ri = 10(Si + Vi – 4), где:Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. Используем таблицу 3.1 для определения коэффициентов SiиVi.Таблица 3.1Значения коэффициентов SiиViСуммарная стоимость потерь определяется формулойR= где N – количество угроз информационным активам, определенных в п.1.2.3.результаты оценки уровня затрат представим в виде таблицы 3.2Таблица 3.2Величины потерь (рисков) для критичных информационных ресурсовдо внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (тыс.руб.)Данные о клиентеНамеренное повреждение10000Данные о клиентеВредоносное ПО1000Данные о клиентеперехват1000Данные о клиентеошибка операторов10000Данные о клиентеУхудшение состояний носителей данных1000Персональные данные о сотрудникахНамеренное повреждение1000Персональные данные о сотрудникахВредоносное ПО100Персональные данные о сотрудникахперехват1000Персональные данные о сотрудникахошибка операторов100Персональные данные о сотрудникахУхудшение состояний носителей данных10000Сведения о поставщиках товаровНамеренное повреждение1000Сведения о поставщиках товаровВредоносное ПО1000Сведения о поставщиках товаровперехват10000Сведения о поставщиках товаровошибка операторов1000Сведения о поставщиках товаровУхудшение состояний носителей данных100Отчеты о продажах компанииВредоносное ПО1000Отчеты о продажах компанииперехват100Отчеты о продажах компанииошибка операторов1000Отчеты о продажах компанииУхудшение состояний носителей данных1000Сервер компанииНамеренное повреждение100Сервер компанииНеисправности в системе кондиционирования воздуха100Сервер компанииЭкстремальные величины температуры и влажности1000Сервер компанииКража100Сервер компанииОшибка при обслуживании100Сервер компанииИспользование ПО несанкционированными пользователями1000Сервер компанииНезаконное использование ПО1000Сервер компанииповреждение линий1000Сервер компанииперегруженный траффик1000Сервер компанииперехват1000Сервер компанииНеисправности в системе электроснабжения1000Сервер компанииошибка операторов1000Сервер компаниинедостаточная численность персонала1000Сервер компанииУхудшение состояний носителей данных1000Суммарная величина потерь905 0003.2 Расчёт показателей экономической эффективности проектаРесурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.Данные о содержании и объеме разового ресурса, выделяемого на защиту информации приведены в таблице 3.3Таблица 3.3Содержание и объем разового ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (тыс.руб.)1.Разработка технического задания10020202Разработка политики информационной безопасности1005050Разработка приказов на введение политики информационной безопасности10020,24.Разработка должностных инструкций 10050505Разработка технического регламента1005050Стоимость проведения организационных мероприятий, всего170,2Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (тыс.руб)Кол-во (ед.измерения)Стоимость, всего (тыс.руб.)1Аппаратно-программный комплекс шифрования «Континент901902Система защиты информации SecretNet6,421134,43.SecurityStudioEndpointProtection2,72156,74.Сервер доступа TrustAccess3135.Составление пакета документов121216.Программное решение HoneypotManager.16116Стоимость проведения мероприятий инженерно-технической защиты321.1Объем разового ресурса, выделяемого на защиту информации491.3Данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации представлены в таблице 3.4.Таблица 3.4Содержание и объем постоянного ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (тыс.руб.)1Администрирование системы20016503302Аудит системы безопасности20040080Стоимость проведения организационных мероприятий, всего410Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (тыс.руб)Кол-во (ед.измерения)Стоимость, всего (тыс.руб.)Регламентные работы и техобслуживание10110Стоимость проведения мероприятий инженерно-технической защиты10Объем постоянного ресурса, выделяемого на защиту информации420Суммарное значение ресурса выделяемого на защиту информации составляет 420+491.3=911,3 тыс. руб.Для выполнения дальнейших расчетов спрогнозируем данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации. Результаты представлены в таблице 3.5.Таблица 3.5Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (тыс.руб.)Данные о клиентеНамеренное повреждение0Данные о клиентеВредоносное ПО0Данные о клиентеперехват0Данные о клиентеошибка операторов10000Данные о клиентеУхудшение состояний носителей данных1000Персональные данные о сотрудникахНамеренное повреждение0Персональные данные о сотрудникахВредоносное ПО0Персональные данные о сотрудникахперехват0Персональные данные о сотрудникахошибка операторов10Персональные данные о сотрудникахУхудшение состояний носителей данных10000Сведения о поставщиках товаровНамеренное повреждение0Сведения о поставщиках товаровВредоносное ПО0Сведения о поставщиках товаровперехват0Сведения о поставщиках товаровошибка операторов1000Сведения о поставщиках товаровУхудшение состояний носителей данных100Отчеты о продажах компанииВредоносное ПО0Отчеты о продажах компанииперехват0Отчеты о продажах компанииошибка операторов1000Отчеты о продажах компанииУхудшение состояний носителей данных10Сервер компанииНамеренное повреждение0Сервер компанииНеисправности в системе кондиционирования воздуха100Сервер компанииЭкстремальные величины температуры и влажности100Сервер компанииКража100Сервер компанииОшибка при обслуживании100Сервер компанииИспользование ПО несанкционированными пользователями1000Сервер компанииНезаконное использование ПО0Сервер компанииповреждение линий1000Сервер компанииперегруженный траффик1000Сервер компанииперехват0Сервер компанииНеисправности в системе электроснабжения1000Сервер компанииошибка операторов1000Сервер компаниинедостаточная численность персонала1000Сервер компанииУхудшение состояний носителей данных1000Суммарная величина потерь286,2Оценим динамику величин потерь за период 3 года. Результаты представлены в таблице 3.5а) суммарное значение ресурса, (R∑) выделенного на защиту информации, составило 911,3 тысяч рублей;б) объем среднегодовых потерь компании (Rср)из-за инцидентов информационной безопасности составлял 905 тыс. рублей;в) прогнозируемый ежегодный объем потерь (Rпрогн) составит 326 тыс. рублейг) динамика потерь представлена в таблице 3.5Рассчитаем срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:Ток = R∑ / (Rср – Rпрогн)= 911,3/(905-286)=1,47 годаи графическим, как это представлено на рис. 3.1..Таблица 3.5Оценка динамики величин потерь 1кв2 кв3 кв1 год1 кв2 кв3 кв2 годДо внедрения СЗИ226.25452.5678.759051131.31357.51583.81810После внедрения СЗИ71.5143214.5286357.5429500.5572Снижение потерь154.75309.5464.25619773.75928.51083.31238Рис.3.1 Динамика потерьТаким образом, расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 619 тыс,руб. Срок окупаемости системы составляет 1.47 года – 18 месяцев.ЗАКЛЮЧЕНИЕВ ходе выполнения дипломной работы были достигнуты все поставленные задачи: Анализ информационной системы и циркулирующей в ней информации.Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, провайдерах, отчетах о продажах услуг и персональных данных сотрудников. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты информации.Анализ требований Российского законодательства в области защиты персональных данных в коммерческих учреждениях.Несмотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы, рассматриваемой в дипломном проекте, в соответствие со всеми требованиями являетсяосновной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов компании ООО «Сервионика». Соответствие требованиям особо актуально ввиду обработки данных касающегося персональных данных клиентов, поставщиков, и сотрудников.Исходная информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Для устранения списка угроз необходимо создать комплексную систему защиты, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в информационной системе ООО «Сервионика».Разработка рекомендаций по изменению структуры информационной системы.На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети. Разработка комплексной системы защиты данных.В первом разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов.Разработка рекомендаций по внедрению системы защиты персональных данных.В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информации. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации ООО «Сервионика». Для рассматриваемой системы были выбраны следующие технические средства: система защиты информации SecretNet 6.5; аппаратно-программный комплекс шифрования «Континент»;сервер контроля доступа TrustAccessПрограммное решение HoneypotManager. антивирус Касперского7.0 для WindowsServer.Расчет экономической эффективности предлагаемых решений по защите информации ООО «Сервионика» включал в себя как Выбор и обоснование методики расчёта экономической эффективности, так и непосредственную оценку эффективности. Расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 619 тыс,руб. Срок окупаемости системы составляет 1.47 года – 18 месяцев.СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере; Форум - Москва, 2014. - 368 c.Защита информации в системах мобильной связи; Горячая Линия - Телеком - , 2013. - 176 c.Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации; Форум - Москва, 2011. - 256 c.Кузнецов А. А. Защита деловой информации; Экзамен - Москва, 2013. - 256 c.Мельников, Виталий Викторович Защита информации в компьютерных системах; М.: Финансы и статистика; Электроинформ - Москва, 2010. - 368 c.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах.Константинова Л.А., Писеев В.М.МИЭТМетоды и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТНекраха А. В., Шевцова Г. А. Организация конфиденциального делопроизводства и защита информации; Академический Проект - , 2011. - 224 c.Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru) Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;Северин В. А. Комплексная защита информации на предприятии; Городец - Москва, 2013. - 368 c.Сергеева Ю. С. Защита информации. Конспект лекций; А-Приор - Москва, 2011. - 128 c.Спесивцев, А.В.; Вегнер, В.А.; Крутяков, А.Ю. Защита информации в персональных ЭВМ; М.: Радио и связь - Москва, 2012. - 192 c.Мельников Д. А. Учебник  ''Информационная безопасность открытых систем''.:2012