Вход

Разработка методики защиты персональных данных в АИСУ ПГУПС.

Рекомендуемая категория для самостоятельной подготовки:
Дипломная работа*
Код 337818
Дата создания 07 июля 2013
Страниц 56
Мы сможем обработать ваш заказ (!) 23 декабря в 12:00 [мск]
Файлы будут доступны для скачивания только после обработки заказа.
4 610руб.
КУПИТЬ

Содержание

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ, СИМВОЛОВ И СПЕЦИАЛЬНЫХ ТЕРМИНОВ
Введение
1. Состояние вопроса, цели и задачи исследования
1.1 Анализ требований к работам по защите информационных систем, обрабатывающих персональные данные
1.2 Характеристика объекта защиты
1.3 Анализ возможных угроз
2. Теоретические основы организации комплекса работ по модернизации подсистем информационной безопасности для АИСУ
2.1 Порядок разработки средств защиты персональных данных
2.3 Выбор комплекса мер и средств защиты персональных данных в АИСУ
Средств защиты персональных данных в АИСУ
2.4 Общие требования к составу и содержанию работ по подготовке объекта автоматизации к вводу средств защиты персональных данных в действие
2.5 Общие требования к документированию
3 Практические рекомендации по модернизации подсистем информационной безопасности для АИСУ
3.1 Состав и содержание работ по модернизации системы
информационной безопасности персональных данных
3.2 Расчёт значений рисков по угрозе информационной безопасности (произвести расчёт по алгоритму ГРИФ)
3.3 Экономический эффект от внедрения предложений
Заключение
Список использованной литературы
Электроные ресурсы
Приложение 1

Введение

Разработка методики защиты персональных данных в АИСУ ПГУПС.

Фрагмент работы для ознакомления

С
Н
Ухудшение обслуживания
Н
С
С
Уровень приложений,необходимых для реализации
основных
функций ИС
Неавторизованное раскрытие защищаемой информации
В
В
В
Ухудшение обслуживания
С
В
С
Уровень бизнес-процессов
организации
Неавторизованное раскрытие, защищаемой инф-ции
В
В
В
Ухудшение обслуживания
С
С
С
Таблица 5 – Оценка риска
Категория потерь
Зона уязвимости
Денежная
потеря
Потеря
производительности
Затруднения
Общий риск
Физический
уровень
Н
С
Н
Н
Сетевой
уровень
С
С
Н
Н
Уровень сетевых
приложений
С
С
С
С
Уровень ОС
В
С
С
В
Уровень СУБД
С
С
С
С
Уровень приложений,
необходимых
для реализации
основных
функций ИС
В
С
В
В
Уровень бизнес-процессов
организации
В
С
В
В
2. Теоретические основы организации комплекса работ по модернизации подсистем информационной безопасности для АИСУ
2.1 Порядок разработки средств защиты персональных данных
Разработка средств защиты персональных данных организации является наиболее эффективным способом минимизации рисков нарушения ИБ для организации. Политика безопасности представляет собой свод принципов и правил безопасности для наиболее важных областей деятельности и зон ответственности персонала. Политика информационной безопасности является требованием, в котором описываются цели и задачи мероприятий по обеспечению безопасности.
В процессе разработки средств защиты персональных данных формулируется свод правил информационной безопасности для противодействия угрозам информационной системы организации. На основе свода правил создается политика безопасности.
Правило №1:
В организации должны проводиться проверки выполняемых действий персонала.
Правило №2:
В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности.
Положения:
пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности. Об инцидентах, связанных с безопасностью следует немедленно сообщать администратору.
Правило №3:
Обеспечение защиты СУБД и хранение информации.
Положения:
пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы свести к минимуму возможные риски безопасности;
администратор имеет право читать, записывать, модифицировать и удалять - только при разрешении выше стоящего руководства;
хранение информации в БД защищенной паролем;
один раз в сутки осуществлять резервное копирование на внешнее устройство – внешний USB «винчестер» (жесткий магнитный диск).
Правило №4:
Обеспечение защиты бизнес-процессов филиала коммерческого банка.
Положения:
обязательное дублирование информации, хранимой в базах данных различных уровней;
периодическая (лучше ежедневная) актуализация всех баз данных в информационной системе (эта мера исключает возможность фальсификации сведений "задним числом");
для достижения необходимого уровня защиты информации со стороны программных средств использовать средства сетевых операционных систем.
Правило №5
Управление доступом.
Положения:
использование уникальных паролей;
проверка паролей администратором системы для подтверждения прав пользования системой или услугами;
содержание пароля в секрете;
изменение пароля в случае признаков компрометации пароля;
выбор качественных паролей: длина пароля должна быть не менее 8 символов, в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы; пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т.д.), а также общепринятые сокращения; при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; полная плановая смена паролей должна проводиться регулярно не реже одного раза в месяц;
идентификация, аутентификация и верификация пользователей;
запись успешных и неудавшихся доступов к системе;
ограничение времени доступа;
принудительная аварийная сигнализация для защиты пользователей.
Правило №6
Защита от вредоносного ПО.
Положения:
установка и регулярное обновление антивирусных баз и исправление ПО;
проведение регулярного пересмотра содержимого ПО;
проверка любых вложений электронной почты и скачиваемой информации на наличие вредоносного ПО;
процедуры и планы по предотвращению введения вредоносного ПО;
использование только лицензированное ПО.
Таблица 6 - Политика безопасности организации
Правила ИБ
Ответственные
Виды защитных мер
В организации должны проводиться проверки выполняемых действий персонала
Администратор ИБ
Организационные и технические
В организации следует оговаривать и периодически проверять обязанности пользователей по соблюдению мер безопасности
Администратор ИБ
Организационные
Обеспечение защиты СУБД и хранение информации
Персонал (операторы АРМ, администраторы)
Организационные и технические
Обеспечение защиты бизнес-процессов филиала коммерческого банка
Персонал (операторы АРМ, администраторы)
Организационные и технические
Управление доступом
Персонал (операторы АРМ, администраторы)
Организационные и технические
Защита от вредоносного ПО
Администраторы ИБ и СУБД
Организационные и технические
2.2 Требования, предъявляемые при разработке мероприятий по защите ИСПД
Обоснование комплекса мероприятий по обеспечению безопасности ПДн в ИСПД производится с учетом результатов оценки опасности угроз и определения класса ИСПД на основе «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».
При этом должны быть определены мероприятия по:
выявлению и закрытию технических каналов утечки ПДн в ИСПД;
защите ПДн от несанкционированного доступа и неправомерных действий;
установке, настройке и применению средств защиты.
Мероприятия по выявлению и закрытию технических каналов утечки ПДн в ИСПД формулируются на основе анализа и оценки угроз безопасности ПДн.
Мероприятия по защите ПДн при их обработке в ИСПД от несанкционированного доступа и неправомерных действий включают:
управление доступом;
регистрацию и учет;
обеспечение целостности;
контроль отсутствия недекларированных возможностей;
антивирусную защиту;
обеспечение безопасного межсетевого взаимодействия ИСПД;
анализ защищенности;
обнаружение вторжений.
Подсистему управления доступом, регистрации и учета реализованы на базе программных средств блокирования несанкционированных действий, сигнализации и регистрации. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз ПДн и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для ИСПДн действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и имитации.
возможность оперативного оповещения администратора безопасности информации в ИСПД обо всех событиях и фактах проявления программно-математических воздействий (ПМВ);
наличие подробной документации по эксплуатации средства антивирусной защиты;
возможность осуществления периодического тестирования или самотестирования средства антивирусной защиты;
возможность наращивания состава средств защиты от ПМВ новыми дополнительными средствами без существенных ограничений работоспособности ИСПД и «конфликта» с другими типами средств защиты.
2.3 Выбор комплекса мер и средств защиты персональных данных в АИСУ
Перечень мер по защите
Разработка перечня защищаемой информации
Необходимо переработать перечень сведений конфиденциального характера в плане детализации обрабатываемых данных и отнесении сведений к той или иной степени конфиденциальности.
Конфиденциальность информации
С целью повышения степени защищенности информации в плане соблюдения конфиденциальности необходимо:
разделить ввод и вывод информации одного грифа на уровне АРМ или пользователей с целью разделения ответственности и усиления контроля за этими этапами технологического процесса;
ограничить (в т.ч. организационно) возможности несанкционированного вывода информации пользователями на внешние носители (дискеты, лазерные накопители CD-RW, USB-Flash) и на печать;
ограничить количество или исключить использование локальных принтеров на АРМ пользователей, назначить ответственных за печать документов на сетевых принтерах;
исключить доступ пользователей к ресурсам АРМ других пользователей, как на запись, так и на чтение, т.е. возможность создания пользователями общих сетевых ресурсов на своих АРМ. Обмен информацией между пользователями осуществлять через общие ресурсы на серверах;
если один служащий относится к нескольким категориям пользователей, то при совмещении обязанностей он должен пользоваться разными идентификаторами. Например, администратор может выполнять работу пользователя, но не имеет права делать это с идентификатором администратора.
Целостность информации
С целью повышения степени защищенности информации в плане соблюдения целостности необходимо:
внедрение исправлений и добавлений централизованно распространяемых ведомственных программных средств на АРМ пользователей и на сервер должно осуществляться в виде уже откомпилированных исполняемых модулей и процедур, в состав которых не должны включаться средства отладки.
Средств защиты персональных данных в АИСУ
Анализ информационных рисков представляет собой комплексную оценку защищенности информационной системы, окончательным результатом которой является получение количественных или качественных показателей рисков. При этом риск — это вероятный ущерб, который зависит от защищенности системы. Таким образом, на выходе алгоритма анализа риска можно получить ту сумму, которую в среднем будет терять предприятие при заданной органицазии ИБ.
Современные методы анализа рисков различаются по используемому подходу; обычно условно выделяется анализ рисков базового и полного уровня. Для анализа рисков базового уровня достаточно проверить риск невыполнения требований общепринятого стандарта безопасности с получением на выходе качественной оценки уровня рисков (высокий, средний, низкий).
Средства диагностики осуществляют тестирование файловой системы и баз ПДн, постоянный сбор информации о функционировании элементов подсистемы обеспечения безопасности информации.
Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае угрозы НСД, которая не может быть блокирована системой.
Средства сигнализации предназначены для предупреждения операторов при их обращении к защищаемым ПДн и для предупреждения администратора при обнаружении факта НСД к ПДн и других фактов нарушения штатного режима функционирования ИСПД.
Средства имитации моделируют работу с нарушителями при обнаружении попытки НСД к защищаемым ПДн или программным средствам. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и дезинформировать нарушителя о месте нахождения защищаемых ПДн.
Подсистема обеспечения целостности реализуется преимущественно операционными системами и системами управления базами данных. Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций, встраиваемые в операционные системы и системы управления базами данных, основаны на расчете контрольных сумм, уведомлении о сбое в передаче пакета сообщения, повторе передачи не принятого пакета.
Подсистема контроля отсутствия недекларированных возможностей реализуется в большинстве случае на базе систем управления базами данных, средств защиты информации, антивирусных средств защиты информации.
Для обеспечения безопасности ПДн и программно-аппаратной среды ИСПД, осуществляющей обработку этой информации, применяет специальные средства антивирусной защиты, выполняющие:
обнаружение и (или) блокирование деструктивных вирусных воздействий на общесистемное и прикладное программное обеспечение, реализующее обработку ПДн, а также на ПДн;
обнаружение и удаление неизвестных вирусов;
обеспечение самоконтроля (предотвращение инфицирования) данного антивирусного средства при его запуске.
При выборе средств антивирусной защиты целесообразно учитывать следующие факторы:
совместимость указанных средств со штатным программным обеспечением ИСПД;
степень снижения производительности функционирования ИСПД по основному назначению;
наличие средств централизованного управления функционированием средств антивирусной защиты с рабочего места администратора безопасности информации в ИСПД;
Наиболее подробно следует рассмотреть полный анализ информационных рисков. Именно эта тема вызывает наибольшее количество дискуссий, так как с анализом рисков базового уровня существенных вопросов обычно не возникает. Основное отличие полного анализа рисков от базового состоит в необходимости построения полной модели анализируемой информационной системы. Модель должна включать: виды ценной информации, объекты ее хранения; группы пользователей и виды доступа к информации; средства защиты (включая политику безопасности), виды угроз.
После моделирования необходимо перейти к этапу анализа защищенности построенной полной модели информационной системы. На этом этапе возникает целый пласт теоретических и практических проблем, с которыми сталкиваются разработчики алгоритмов анализа риска полного уровня. Прежде всего, возникает вопрос, как алгоритмически (без эксперта) оценить защищенность информационной системы (заметим, что речь не идет о сканировании конкретных уязвимостей в конкретном применяемом программном обеспечении — таких систем анализа риска не существует). Следующие проблемы — алгоритмическое определение всех классов уязвимостей в системе защиты анализируемой системы и оценка ущерба от всех существующих в системе угроз безопасности. Наиболее сложная проблема: риск категория сугубо вероятностная — как оценить вероятность реализации множества угроз информационной системы?
2.4 Общие требования к составу и содержанию работ по подготовке объекта автоматизации к вводу средств защиты персональных данных в действие
Придать информации вид, пригодный для обработки на персональном компьютере.
Инвентаризация объектов информатизации и персонала.
Разработка отчёта, в который должны входить: объекты защиты с точки зрения угроз, модели злоумышленников, ответственные за объекты информатизации, расчёт рисков, ранжирование рисков.
Выявление информационных потоков
Моделирование бизнес-процессов.
Установить локальную сеть.
Разработка технического задания на проектирование СЗПД. В него входят ключевые объекты защиты, меры и средства защиты, требования по защите.
2.5 Общие требования к документированию
Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы:
«Описание технологического процесса обработки конфиденциальной информации», в котором отражен порядок проведения всех операций ТП (ввод, вывод, обработка и хранение, резервирование и восстановление, управление доступом);
«Инструкция пользователя», в которой отражены порядок его работы с информацией, права, обязанности и ответственность;
«Инструкции администраторов ОС, БД»;
«Инструкция обслуживающего персонала»;
«Журнал регистрации бумажных носителей информации», в котором учитываются все операции распечатывания документов, графы журнала заполняются исполнителями работ;
«Журнал учета резервного копирования», в котором учитываются все операции резервного копирования и восстановления информации, все графы журнала заполняют администраторы.
Перечень сведение конфиденциального характера ПГУПС.
Документация на ПО, а также его компоненты, в том числе покупные, должна быть выполнена на русском языке.
Документация на ПО, в том числе покупное, и (или) его компоненты должна содержать следующие сведения:
- область применения СЗПД;
- данные о структуре ПО (модульная, базовый комплект и дополнительные модули);
- описание внутренних форматов картографических данных (если это оговорено в ТЗ), моделей хранения данных, структуры базы данных, порядка экспорта и импорта картографических данных и баз данных;
- характеристику пользовательского интерфейса;
- описание внутреннего языка программирования;
- сведения об открытости ПО;
- данные о настраиваемости ПО;
-порядок взаимодействия ПО с другими программными продуктами;
- систему поддержки и сопровождения.
Порядок выполнения документов для ПО устанавливают в соответствии с ТЗ на них.
3 Практические рекомендации по модернизации подсистем информационной безопасности для АИСУ
3.1 Состав и содержание работ по модернизации системы
информационной безопасности персональных данных
При разработке программы модернизации системы информационной безопасности персональных данных, сегодня любой грамотный IT-менеджер обязан позаботиться о модернизации (а может быть, и о создании) подсистемы информационной безопасности.
Для успешного выполнения поставленной задачи проектировщик подсистемы информационной безопасности, прежде всего, должен четко представлять себе эту систему на самом общем, концептуальном уровне, с тем, чтобы правильно определить основные приоритеты ее построения и взаимосвязь между ее отдельными компонентами. Для наглядности рассмотрим упрощенную модель подсистемы информационной безопасности корпоративной сети, т. е. по типовым этапам ее построения.
Построение эффективной системы ИБ должно опираться на анализ рисков (в том числе анализ возможного ущерба), который является основой при выборе технических подсистем, их экономическом обосновании. Плюс комплекс организационных мер и создание системы управления ИБ (системы управления информационными рисками). И, наконец, соблюдение выверенных на практике принципов построения системы ИБ, например, принципа «многоэшелонированной» защиты.
Таким образом, при модернизации системы ИБ целесообразно реализовывать цикл работ (Приложенение. 1), включающий обязательный этап диагностического обследования с оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы и ее внедрение.
В общем случае построение подсистемы информационной безопасности для АИСУ целесообразно разделить на несколько этапов
На первом этапе рекомендуется провести диагностическое обследование / аудит системы ИБ
В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.
Существует несколько видов обследования:
предпроектное диагностическое обследование, которое выполняется при модернизации системы ИБ;
аудит системы ИБ (или системы управления ИБ) на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;
специальные виды обследования, например, при расследовании компьютерных инцидентов.
При проведении диагностического обследования/аудита системы ИБ последовательно выполняются следующие работы:
Каждый этап работ имеет реальные, контролируемые результаты, что позволяет обеспечить эффективный контроль проекта на всем его протяжении.
Следующим этапом построения системы ИБ является ее проектирование, включая систему управления ИБ.
Задача проектирования системы ИБ тесно связана с понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а следовательно, возможности отслеживания событий, связанных с ИБ.
Интегрированная архитектура системы ИБ
Интегрированная архитектура систем ИБ включает в себя набор следующих подсистем:
подсистему защиты периметра сети и межсетевых взаимодействий (межсетевые экраны и т.п.);
подсистему защиты серверов сети;
подсистему мониторинга и аудита безопасности;

Список литературы

"1.Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.
2.Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.
3.Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 с.
4.Торокин А.А. «Основы инженерно-технической защиты информации». – М.:
5.Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996.
6.Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд ""Мир"", 2003, 640 стр
Электроные ресурсы

1.Lubarsky A. Услуги в области защиты персональных данных. Часть третья http://www.ancud.ru/catalog/personal.html
2.Разработка методики защиты персональных данных в автоматизированных системах. http://journal.itmane.ru/node/280
3.Методы и способы защиты персональных данных в информационной системе. http://itnovelty.ru/protection-of-personal-data.html
Очень похожие работы
Найти ещё больше
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00497
© Рефератбанк, 2002 - 2024