СОЗДАНИЕ ЗАЩИЩЕННОГО АВТОМАТИЗИРОВАННОГО РАБОЧЕГО МЕСТА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Содержание
Введение 3
Глава 1. Теоретические основы защиты информации и обработки персональных данных в информационной системе 6
1.1. Общие понятия защиты информации и обработки персональных данных 6
1.2 Нормативно-правовые основы защиты информации и обработки персональных данных 18
Глава 2. Анализ информационной системы ООО «РСМ Топ-Аудит Ижевск» 28
2.1. Общая характеристика предпряития 28
2.2.Программная и техническая архитектура ИС предприятия 31
Глава 3. Создание защищенного автоматизированного рабочего места обработки персональных данных в информационной системе 48
3.1 Анализ существующих систем и выбор средств защиты 48
3.2 Внедрение решений по техническому и программному обеспечению 62
Заключение 70
Список источников и литературы 73

Введение
Актуальность исследования. Защита персональных данных, приобретает все более важное значение, так как в XXI веке у человечества, появляется все больше новых объектов, нуждающихся в защите путем закрепления соответствующих норм в законе. Основной объект в настоящее время - это информация.
В наше время общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. И тем больше цена полезной информации, чем выше ее сохранность.
Процесс формирования правового института персональных данных в Российской Федерации начался намного позже, чем в странах Европейского союза и США. Отправной точкой явилась ратификация в 2005 г. Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (1981 г.). Стали формироваться правовые нормы, регулирующие отношения в сфере защиты персональных данных, которые можно встретить во многих отраслях права.
Кроме того, актуальность проблеме придает ужесточение законодательства о правонарушениях при обработке персональных данных.
Были дифференцированы правонарушения и штрафы за каждое из правонарушений, что требует более внимательного отношения операторов к обработке персональных данных. Периодически становится известным, что из- за безграмотности операторов оказываются доступными паспортные данные и СНИЛС миллионов граждан. Вызывает интерес и подписание Россией Протокола изменений к упомянутой Конвенции в октябре 2018 года.
Персональные данные являются важнейшим активом любой современной организации и в то же время её серьезной проблемой. Утечка персональных данных не выгодна ни организации: она испытывает серьезные репутационные потери и получает конфликт с законом, ни владельцам этой информации, так как они испытывают как минимум беспокойство, а нередко становятся жертвами различных афер.
В Трудовом кодексе Российской Федерации N 197 ФЗ от 30.12.2001 впервые появилась специальная глава, посвященная защите персональных данных работника в организации (от. 85-90).
Проблемы функционирования систем обеспечения информационной безопасности нашли отражение в трудах А.А. Герасимова, А.А. Грушо, C.B. Дворянкина, В. А. Минаева, C.B. Скрыля, М.П. Сычева и ряда других ученых.
Проблемы защиты персональных данных рассматривались в трудах российских ученых, таких как: А.В Меньшиковой, где она выделила некоторые проблемы защиты персональных данных работника и определила перспективы и пути их решения; проблемные вопросы понятия и сущности персональных данных в своих трудах рассмотрел А.В Минбалеев.
Объектом исследования является защита персональных данных.
Предмет - автоматизированное рабочее место обработки персональных данных в информационной системе.
Целью работы является создание защищенного автоматизированного рабочего места обработки персональных данных в информационной системе на примере ООО «РСМ Топ-Аудит Ижевск».
В соответствии с поставленной целью были выделены следующие задачи:
- раскрыть сущность и содержание защиты персональных данных в научной литературе;
- раскрыть основные характеристики функционирования базового предприятия;
- разработать защищенное автоматизированное рабочее место обработки персональных данных в информационной системе на примере ООО «РСМ Топ-Аудит Ижевск».
Базой исследования послужила ООО «РСМ Топ-Аудит Ижевск».
В процессе написания выпускной квалификационной работы были использованы законодательные акты и нормативно-методические документы, регламентирующие организацию защиты персональных данных. Использование законодательных актов и нормативно-методических документов было продиктовано техническим заданием.
Заключение
В современном информационном обществе с каждым днем становится труднее сохранять анонимность. Информация распространяется быстрее звука, а попавшие в открытые источники данные оказывается не так то просто уничтожить.
Этой ситуацией могут воспользоваться злоумышленники, от относительно безобидных рекламных звонков по добытым в нарушение законодательства номерам, до шантажа и мошеннических схем.
Обработка персональных данных должна осуществляться на законной и справедливой основе, ограничиваться достижением конкретных заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обрабатывать можно только те персональные, которые отвечают целям их обработки.
Основополагающие нормы, регулирующие отношения по поводу персональных данных, содержатся в Федеральном законе «О персональных данных».
Процесса мониторинга защищенности персональных данных в ООО «РСМ ТОП-АУДИТ ИЖЕВСК» проводится на основе оборудования CiscoWorksNetworkComplianceManager. Не смотря на ряд достоинств, это оборудование имеет и ряд недостатков:
 ориентированность только на сетевые устройства;
 слабая поддержка базы знаний со стороны производителя;
 тесная интеграция с решениями Cisco.
В ситуации динамичного развития бизнеса, увеличения числа филиалов, роста информационных потоков, роста применения различного сетевого оборудования, а также изменения привязки к продуктам отдельного производителя – компании «Cisco» – целесообразным выглядит поиск путей замены установленного оборудования на более функциональное и перспективное с позиции дальнейшей модернизации.
Основной защищенной информацией являются персональные данные персонала и клиентов ООО «РСМ ТОП-АУДИТ ИЖЕВСК».
Создание системы защиты должно осуществляться с помощью организационных, инженерно-технических и программно-аппаратных мер. На каждый конкретный этап работ назначены ответственные лица с помощью матрицы ответственности.
Целями создания системы защиты персональных данных ООО «РСМ ТОП-АУДИТ ИЖЕВСК» являются:
- Предотвращение угроз, связанных с НСД;
- Предотвращение угроз преднамеренных действий внутренних нарушителей;
- Предотвращение угроз несанкционированного доступа по каналам связи;
- Осуществление защиты персональных данных в соответствии с нормативно-правовыми актами.
В рамках решения поставленной цели, принято решение о создании автоматизированного рабочего места сотрудника по защите персональных данных в рамках отдела ИТ компании.
Для выбора оборудования по мониторингу защищенности персональных данных в ООО «РСМ ТОП-АУДИТ ИЖЕВСК».автором работы был проведен экспертный анализ на основе открытых источников – информационных ресурсов отдельных ИТ-производителей.
Наилучшую оценку получило оборудование MaxPatrol, исходя из этого руководству ООО «РСМ ТОП-АУДИТ ИЖЕВСК»необходимо рекомендовать в качестве совершенствования инженерно-технической защиты защищенности персональных данных и компьютерной безопасности предприятия использовать указанное оборудование.
Система MaxPatrol обеспечивает автоматизацию таких важных задач управления информационными технологиями и информационной безопасностью, как защтаперсональных данных, управление уязвимостями, контроль соответствия политикам безопасности и контроль изменений.
Используя обширную и постоянно обновляемую базу знаний MaxPatrol 8.0, сотрудники Отдела защиты информации могут оперативно создавать эталонные шаблоны конфигураций систем, отслеживать системы, несоответствующие требованиям политик безопасности и эффективно устранять обнаруженные недочеты.
В отличие от традиционных, узкоспециализированных сканеров безопасности, в MaxPatrol 8.0 реализованы функции анализа сетевого оборудования, операционных систем, приложений, баз данных и Web-приложений. Такой подход позволяет с помощью одного инструмента контролировать защищенность сложных информационных систем, использующих сетевое оборудование Cisco, различные платформы, такие как Windows, Linux, Unix, серверы баз данных Microsoft SQL, Oracle, различные сетевые приложения, а также Web-службы собственной разработки.
Применение MaxPatrol 8.0 для автоматизации задач управления ИТ и информационной безопасностью вместо используемого CiscoWorksNetworkComplianceManager в ООО «РСМ ТОП-АУДИТ ИЖЕВСК», позволяет добиться более эффективной защиты информационных ресурсов, большей функциональности, использования не зависимо от существующего и проектируемого ИТ-оборудования, а также снижения зависимости от производителя «Cisco».
 
Список источников и литературы
1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) [Электронный ресурс]// Консультант Плюс : справ.правовая система. Режим доступа - http://www.consultant.ru/document/cons_doc_LAW_28399/
2. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 29.07.2017) (с изм. и доп., вступ. в силу с 01.10.2017)// Консультант Плюс : справ.правовая система. Режим доступа - http://www.consultant.ru/document/cons_doc_LAW_34683/
3. Федеральный закон от 29.12.2012 N 273-ФЗ (ред. от 29.07.2017) «Об образовании в Российской Федерации» [Электронный ресурс]// Консультант Плюс : справ.правовая система. Режим доступа - ttp://www.consultant.ru/document/cons_doc_LAW_140174/27f9ddea0cccf9a6b90bb2c b8b545d436f18157b/
4. Федеральный закон от 27.07.2010 N 210-ФЗ (ред. от 28.12.2016) «Об организации предоставления государственных и муниципальных услуг» [Электронный ресурс]// Консультант Плюс : справ.правовая система. Режим доступа - http://www.consultant.ru/document/cons_doc_LAW_103023/
5. Федеральный закон от 27.07.2006 N 179-ФЗ (ред. от 29.07.2017) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.10.2017) [Электронный ресурс]// Консультант Плюс : справ.правовая система. Режим доступа - http://www.consultant.ru/document/cons_doc_LAW_61798/
6. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) «О персональных данных» [Электронный ресурс]// Консультант Плюс : справ.правовая система. Режим доступа - http://www.consultant.ru/document/cons_doc_ LAW _ 61801/
7. Приказ ФСБ России от 10.07.2017 N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (Зарегистрировано в Минюсте России 18.08.2017 N 33620) [Электронный ресурс]// Консультант Плюс : справ.правовая система. Режим доступа - http://www.consultant.ru/document/cons_doc_LAW_146520/
8. Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциальногохарактера" марта 1997 г. N 188 // Российская газета, - N 51, - 14.03.1997 г.
9. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"[Электронный ресурс]// Консультант Плюс: справ.правовая система. Режим доступа - http://www.consultant.ru/document/cons_doc_LAW_137356/
10. ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. Information technology.Security techniques.Part 1.Concepts and models for information and communications technology security management.
11. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий. Information technology.Security techniques.Part 3.Techniques for the management of information technology security.
- ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер. Informationtechnology. Securitytechniques. Part 4. Selectionofsafeguards.
12. ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
13. Алавердов, А. Р. Организация и управление безопасностью в организациях [Текст]: Учебное пособие/ А. Р. Аведов. - М.: Московский государственный университет статистики и информатики, 2014. - 411с.
14. Вестник УрФО. Безопасность в информационной сфере. - 2013. -№ 1(7). - С. 48.
15. Гугуева, Т. А. Конфиденциальное делопроизводство [Текст] : учеб.пособие / Т.А. Гугуева. - М. : Альфа-М ; ИНФРА-М. 2016. - 192 с.
16. Официальный сайт компании «Cisco» [Электронный ресурс] – Режим доступа: http://www.cisco.com.
17. Официальный сайт компании «PositiveTechnologies» [Электронный ресурс] – Режим доступа: http://www.ptsecurity.ru.
18. Официальный сайт компании «Qualys» [Электронный ресурс] – Режим доступа: http://www.qualys.com.
19. Официальный сайт компании «Symantec» [Электронный ресурс] – Режим доступа: http://www.symantec.com.
20. Циулина Н.Е. Формирование и развитие правовой категории «персональные данные.