Разработка типового комплекта документов по организации защиты конфиденциальной информации в информационных системах организации

ВВЕДЕНИЕ

В данной ВКР проведён анализ технологий документационного обеспечения защиты информации в условиях ООО «Микрозайм-сервис». Работа современных организаций в значительной степени определяется качеством использования информационных ресурсов, доступности данных, возможностями обмена информацией как внутри компаний, так и с внешними контрагентами.
Защита сетевых ресурсов обеспечивается как в технической части, что связано с использованием систем защиты оборудования, бесперебойного питания, физической защиты помещений, так и в организационной части, связанной с созданием системы исполнения требований в области защиты информации путем разработки распорядительных документов. Распорядительные документы регламентируют порядок использования систем обработки конфиденциальной информации, определяют систему ответственности и контроля соблюдения требований в области защиты информации.
Цель ВКР заключается в разработке комплекта документов в области защиты информации в условиях ООО «Микрозайм-сервис».
Задачи работы:
 анализ деятельности ООО «Микрозайм-Сервис»;
 анализ основных видов угроз на информационные ресурсы компаний;
 анализ законодательной базы в области защиты информации и требований к подготовке документационного обеспечения защиты информации;
 определение перечня актуальных угроз;
 определение недостатков в документационном обеспечении защиты информации исследуемой компании;
 разработка проектов документации в области защиты информации;
 разработка проекта внедрения измененного нормативного обеспечения системы защиты информации в работу компании.
Объект исследования: деятельность ООО «Микрозайм-сервис».
Предмет исследования: документационное обеспечение системы защиты информации.
 
1. Аналитическая часть
1.1. Общая характеристика ООО Микрозайм-Сервис»
Объектом исследования в данной работе является ООО «Микрозайм-Сервис». Проведем анализ технологии работы сотрудников компании, ее организационной структуры.
ООО «Микрозайм-Сервис» является компанией, работающей на рынке услуг микрокредитования на сроки до трех месяцев. Клиентами компании являются физические лица.
Компания имеет лицензию Банка России.
Схема организационной структуры ООО «Микрозайм-Сервис» показана на рисунке 1.

Рисунок 1 - Организационная структура ООО «Микрозайм-Сервис»

Организационная структура компании включает следующие подразделения:
 отдел по работе с клиентами, курирующий вопросы заключения договоров микрозаймов, консультирования клиентов по вопросам обслуживания долга;
 отдел урегулирования задолженности, курирующий вопросы разрешения вопросов по реструктуризации задолженности, работы с просрочками по кредитным выплатам;
 экономический отдел, курирующий вопросы учета платежей, ведения бухучета, составления аналитической отчётности, формирования отчетов для государственных органов;
 отдел взаимодействия с банками, специалисты которого осуществляют работу по получению средств для пополнения кредитных ресурсов;
 ИТ-отдел, сотрудники которого курируют вопросы обеспечения функциональности ИТ-инфраструктуру, обеспечивают работоспособность программного обеспечения и компьютерного оборудования, систем защиты информации;
 юридический отдел, специалисты которого осуществляют работы по правовому сопровождению деятельности компании.
Система экономической безопасности компании включает компоненты:
 анализ кредитоспособности заемщиков;
 мониторинг платежеспособности, платежной дисциплины в рамках исполнения кредитных обязательств;
 анализ исполнения партнерских соглашений с банками, предоставляющими кредитные ресурсы.
При выдаче кредитов клиентов служба экономической безопасности проводит анализ истории сделок, совершенных с заемщиком, проверяет кредитную историю на предмет нарушения сроков и обязательств.
Компания имеет широко развитую филиальную сеть, число обрабатываемых персональных данных в кредитно-финансовой компании превышает 100000, класс защищенности данной информационной системы следует относить к К2, в соответствии с которой проводить комплекс мер по обеспечению информационной безопасности. Характер обрабатываемой конфиденциальной информации в системе ООО «Микрозайм-Сервис» предполагает наличие данных о:
 реквизитах документов граждан и специалистов, включая их копии;
 адресной и контактной информации;
 данных о компаниях-клиентах кредитно-финансовой компании;
 документации, предоставляемой в работках оказания услуг кредитования граждан;
 проведении платежей за услуги кредитно-финансовой компании.
По итогам изучение бизнес-архитектуры компании был проведен SWOT-анализ деятельности компании (таблица 1).
Таблица 1 - SWOT-анализ ООО «Микрозайм-Сервис»
Сильные стороны:
Сформированность команды, квалифицированных специалистов
Наличие современного оборудования
Сформированная клиентская база
Партнерские соглашения с банками Возможности
Внедрение систем комплексной защиты информации, использование технологий, не подпадающих под внешние санкции
Слабые стороны
Колебания спроса на услуги, отсутствие системы, гарантирующей полную защиту от утечек информации Угрозы
Колебания ключевой ставки, внешние факторы, влияющие на рентабельность бизнеса, вероятность попадания под санкции

Как показано в таблице 3, основными тенденциями развития компании является рост объемов кредитования, колебания объемов кредитных ресурсов и условий предоставления кредитов, что обусловлено влиянием политических факторов. В ходе проведенного анализа бизнеса компании было показано, что специфика ее работы в значительной степени зависит от клиентов. Также значительная доля издержек связана с расходами, связанными с обеспечением защиты информации, содержанием объектов ИТ-инфраструктуры.
В таблице 2 приведен PEST-анализ деятельности ООО «Микрозайм-Сервис».
Таблица 2 - PEST-анализ деятельности ООО «Микрозайм-Сервис»
Политические факторы:
- зависимость от конъюнктуры, санкций, связанных с оборотом кредитных ресурсов, возможностью проведения платежей в дистанционном формате
Экономические факторы:
возможность использования ресурсов, не подпадающих под санкции, использования программ поддержки бизнеса
Социально-культурные факторы
- Кадровый потенциал компании Технологические факторы
Наличие системы автоматизации учета услуг кредитования
Наличие оборудования для обработки информации

По результатам PEST-анализа было показано, что эффективность деятельности компании в значительной степени зависит от правильности планирования работы с источниками кредитных ресурсов, использованием компонентов ИТ-инфраструктуры.

1.2. Анализ объектов защиты ООО «Микрозайм-Сервис»

В таблице 3 приведен анализ типов обрабатываемой информации в информационных системах кредитно-финансовой компании на примере ИС «Учет кредитов».
Таблица 3 - Анализ типов обрабатываемой информации в информационных системах кредитно-финансовой компании
Тип обрабатываемой информации Подразделение Признак конфиденциальности
Персональные данные клиентов Отдел по работе с клиентами Персональные данные
Данные о платежеспособности Отдел по работе с клиентами Персональные данные
Платежная информация Экономический отдел Коммерческая тайна
Данные о проведении платежей за услуги Экономический отдел Данные о платежах
Работа с системами ЭДО в ИС «учет кредитов» Отдел делопроизводства, экономический отдел, отдел бухучета, руководство Криптографические системы
Файловые ресурсы компании, используемые в работе ИС «учет кредитов» Все подразделения Коммерческая тайна

Технология работы подразделений Управления предполагает использование сетевых решений в рамках функционирования информационной системы «Учет кредитов». Перечень прикладных задач ООО «Микрозайм-Сервис», требующих использования сетевых ресурсов, приведен в таблице 6.
Таблица 4 - Перечень прикладных задач, требующих использования сетевых технологий
Наименование задачи Технологическое решение Расположение
Система ЭДО «Дело» Web-интерфейс Web-сервер ООО «Микрозайм-Сервис»
Учет расчетов с клиентами Тонкий клиент Сервер 1С: Предприятие ООО «Микрозайм-Сервис»
Формирование экспертных заключений по результатам оказания услуг кредитования Web-интерфейс Web-сервер ООО «Микрозайм-Сервис»
1С 8.3: Бухгалтерский Учет Тонкий клиент Сервер 1С: Предприятие ООО «Микрозайм-Сервис»
1С 8.3: Зарплата и Управление Персоналом Тонкий клиент Сервер 1С: Предприятие ООО «Микрозайм-Сервис»
Работа с клиентами Web-интерфейс Web-сервер ООО «Микрозайм-Сервис»
Работа с расчетным счетом Web-интерфейс Web-портал Банка

Как видно из таблицы 6, существующая технология работы специалистов кредитно-финансовой компании предполагает использование разнородных сетевых решений, обеспечивающих работу как с локальными базами данных, с информационными ресурсами, находящимися на удаленных серверах, а также с ресурсами Интернета.
Структурная схема корпоративной сети ООО «Микрозайм-Сервис» приведена на рисунке 8.

Рисунок 2  Структурная схема корпоративной сети ООО «Микрозайм-Сервис»
В рамках проведённого исследования ИТ-инфраструктуры компании было показано, что в работе специалистов используются информационные ресурсы, в которых обрабатывается информация, связанная с выполнением сотрудниками должностных обязанностей, в том числе относящаяся к категории конфиденциальной. В компании определен перечень информационных ресурсов, содержащих конфиденциальные сведения. Список сотрудников, имеющих право доступа к конфиденциальной информации, утверждается приказом, заявки на получение доступа оформляются на соответствующих бланках, утверждаются руководителем подразделения и хранятся в номенклатуре дел специалиста по защите информации, а также начальников отделов. Специфика работы с информационными ресурсами, содержащими конфиденциальные сведения, предполагает необходимость мониторинга активности пользователей с использованием специализированных программных решений класса DLP.
В рамках данной работы проведен анализ деятельности ООО «Микрозайм-Сервис» в области защиты информации в части организации документооборота в части предоставления доступа к информационным ресурсам.
Входящие информационные потоки в систему включают:
 данные об информационных ресурсах;
 кадровые данные сотрудников;
 заявки на предоставление (изменение, закрытие) доступа сотрудников к информационным ресурсам.
Основной бизнес-процесс включает:
 учёт сотрудников;
 учёт информационных ресурсов;
 учёт заявок на доступ к информационным ресурсам;
 формирование отчётности.