Рекомендуемая категория для самостоятельной подготовки:
Отчёт по практике*
Код |
387539 |
Дата создания |
2018 |
Страниц |
18
|
Мы сможем обработать ваш заказ (!) 22 ноября в 12:00 [мск] Файлы будут доступны для скачивания только после обработки заказа.
|
Описание
Локализовка информационной системы и обработки персональных данных, составить физическую и логическую схемы локализованной ИСПДн. Установка необходимого класса защищенности, разработка модель угроз и техническое задание на разработку ИСПДн. Произвести оценку соответствия используемых СЗИ требуемым, согласно разработанному техническому заданию.
21.12.2016
«Комсомольский-на-Амуре колледж технологий и сервиса»
Отлично ...
Содержание
ВВЕДЕНИЕ
1 Локализовать информационную систему обработки персональных данных, составить физическую и логическую схемы локализованной ИСПДн
2 Устанавливать необходимый класс защищенности ИСПДн
3 Разработать модель угроз ИСПДн
4 Разработать технические задание на разработку СЗИ
5 Оценка соответствия используемых СЗИ требуемым, согласно разработанном ТЗ
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ПРИЛОЖЕНИЕ А (Физические схемы локализованной ИСПДн)
ПРИЛОЖЕНИЕ Б (Схема логической локализованной ИСПДн)
Введение
Учебная практика проходила на базе (название предприятия) период с __________ по __________.
Цель практики: приобретение практических навыков и освоение профессиональной компетенции по ПМ 03 МДК 02 «Программно-аппаратные средства защиты».
Задачи практики:
1. Локализовать информационную систему обработки персональных данных, составить физическую и логическую схемы локализованной ИСПДн;
2. Установить необходимый класс защищенности ИСПДн;
3. Разработать модель угроз ИСПДн;
4. Разработать техническое задание на разработку СЗИ;
5. Произвести оценку соответствия используемых СЗИ требуемым, согласно разработанному ТЗ.
Общие компетенции (перечисление)
Фрагмент работы для ознакомления
В параметрах регистрации указываются:- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;- должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку).Подсистема обеспечения целостности:должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.При этом:- целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;- целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АСпосторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.2-й тип защищенности ИСПДнУгрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. 2-й класс защищенности ИСПДнДля обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, , необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).Составила модель угроз осваивая профессиональную компетенцию, так же определила актуальность угрозы ПДн и уровень защищенности – средний.Разработать модель угроз ИСПДнМной были изучены документы и составлена модель угроз ИСПДн:Изучив нормативный документ ФСТЭК «Методика определения угроз безопасности информации в информационных системах от 2015». Я составила модель угроз, с помощью показателей характеризующие проектную защищенность информационной. В ходе создания информационной системы уровень проектной защищенности (Y1П) определяется следующим образом: а) информационная система имеет высокий уровень проектной защищенности (Y1П), если не менее 80% характеристик информационной системы соответствуют уровню «высокий» (суммируются положительные решения по второму столбцу, соответствующему высокому уровню защищенности), а остальные среднему уровню защищенности; б) информационная система имеет средний уровень проектной защищенности (Y1П), если не выполняются условия по пункту а) и не менее 90% характеристик информационной системы соответствуют уровню не ниже «средний», а остальные - низкому уровню защищенности; в) информационная система имеет низкий уровень проектной защищенности (Y1П), если не выполняются условия по пунктам а) и б).Из этого следует вывод что уровень проектной защищённости - средний. Разработать технические задание на разработку СЗИ .Одно из средство мной было изучено это Dallas Lock верия 8.0-С она представляет с собой средства защиты информации, в процессе её хранения и обработки, от несанкционированного доступа. Представляет собой программный комплекс средств защиты информации в автоматизированных системах.Защита в соответствии с законодательством: Сертификаты ФСБ и ФСТЭК России позволяют использовать Dallas Lock для защиты информации, составляющей коммерческую или государственную тайну в автоматизированных системах с классом защищенности до 1Г включительно.Основные возможности СЗИ от НСД Dallas Lock 8.0-С:запрет/разрешение последовательных и параллельных портов;запрещение доступа к определенным типам накопителей информации;возможность блокировки файлов по расширению;возможность использования вместо стандартной графической оболочки пользователя Windows специальной защищенной оболочки СЗИ от НСД Dallas Lock 8.0-С, программы, которая отвечает за создание рабочего стола, наличие на нем ярлыков программ, панели задач и меню «Пуск»;ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы;функции прозрачного преобразования локальных жестких дисков и кодирование файлов;наличие функций автоматизации создания замкнутой программной среды (режим обучения, мягкий режим);гарантированная очистка остаточной информации с возможностью выбора количества циклов затирания;Оценка соответствия используемых СЗИ требуемым, согласно разработанном ТЗВ данном ТЗ невозможно описать все положения руководящих и нормативных документов ФСТЭК России, все особенности выбора и применения сертифицированных СЗИ. Требуется заострить внимание при выборе средств защиты. Системы сертификации - отличные. Сертификация средств защиты должна быть обязательной по ФСТЭКу.
Список литературы
1 О персональных данных: Федер. Закон от 27 июля 2006 г. - № 152-ФЗ // Собрание законодательства РФ. – 2006.
2 Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации утвержден решением председателя Госудрстввенной технической комиссией при Призеденте РФ от 30 марта 1992 г. // Собрание законодательства РФ. – 1992 3 с.
3 Методика определения угроз безопасности информации в информационных системах от 2015 г. // Собрание законодательства РФ. – 2015 22 с.
4 Постановление, об утверждении требований к защите персональных данных при их обработки в информационных системах персональных данных от 1 ноября 2012 г. - №1119-П // Собрание законодательства РФ. – 2012.
5 Методика определения актуальных угроз безопасноти персональных данных при обработки их в информационных системах персональных данных от 14 февраля 20-8 г. // Собрание законодательства РФ. – 2008 7с.
6 Специальные требования и рекомендации по технической защите конфиденциальной информации Гостехкомиссии от 02.03.2001 г (СТР-К)
7 Федеральным законом №152-ФЗ «О Персональных данных» с изменениями, вступившими в силу с 01.09.2015
8 Постановлением правительства № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012.
9 https://www.dallaslock.ru/ \\ [«Контингент» центр защиты информации]
10 http://fstec.ru/ \\ [«ФСТЭК России»
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
Другие отчёты по практике
bmt: 0.00443