Вход

Проектирование системы защиты персональных данных в организации

Дипломная работа
Дата создания 12.02.2016
Страниц 90
Источников 27
Вы будете перенаправлены на сайт нашего партнёра, где сможете оформить покупку данной работы.
6 930руб.
КУПИТЬ

Содержание

СОДЕРЖАНИЕ Введение 3 Глава 1. АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ ООО «Контур» КАК ОБЪЕКТА ЗАЩИТЫ 5 1.1. Общие сведения о предприятии 5 1.2. Анализ персональных данных, обрабатываемых в информационной системе персональных данных и их классификация 11 1.3. Анализ ИСПДн и ее классификация 15 1.4. Разработка модели угроз ИСПДн и модели нарушителя 19 Глава 2. Разработка системы защиты персональных данных 28 2.1. Анализ актуальных угроз и вероятность их реализации 28 2.2. Проектирование системы защиты персональных данных 30 2.3. Разработка организационных мер по защите персональных данных 31 2.4. Анализ и выбор технических средств защиты информации 33 2.5. Анализ и выбор программно-аппаратных средств защиты информации 44 Глава 3. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО СОЗДАНИЮ СЗ ИСПДН 52 3.1. Разработка рекомендаций по устранению актуальных угроз 52 3.2 Порядок применения мер по устранению уязвимостей. Меры борьбы 58 3.3 Анализ остаточных угроз. Модель угроз 64 3.4 Программное обеспечение, сетевые, аппаратные, организационные, физические решения 67 3.5 Внедрение СЗ ИСПДн 68 ЗАКЛЮЧЕНИЕ 82 СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 84 Содержание

Фрагмент работы для ознакомления

Данный компонент доработан специалистами компании «Код Безопасности» специально для обеспечения удобства использования SSEP в корпоративной сети организаций.Выбранные СЗИ удовлетворяют требования ФСТЭК. Все средства сертифицированы для использования в информационных системах обработки ПДн 1 класса. Программное обеспечение соответствует 4 уровню контроля отсутствия недекларированных возможностей.Комплексная система защиты ИСПДн построенная с использованием СЗИ Secret Net 7, выполняет требования приказа №58 ФСТЭК, обязывающие для рассматриваемой МИС применять следующие основные методы и способы защиты информации:управление доступом;регистрация и учет;обеспечение целостности.При подключении ИСПДн к сетям Интернет защита ИС достигается путем применения средств межсетевого экранирования – АПКШ «Континент».Выбранные технические средства удовлетворяют требованиям федерального законодательства, руководящих документов, положений в области защиты персональных данных. Обладают всеми необходимыми сертификатами и лицензии. Использование СЗИ Secret Net 7, АПКШ «Континент», Антивируса Касперского позволяет создать надежную комплексную систему защиты персональных данных. Для оценки эффективности применения упомянутых средств необходимо провести анализ защищенности ИС, а так же построить модель остаточных угроз, что и будет сделано в следующем пункте.3.3 Анализ остаточных угроз. Модель угрозДля расчета показателя защищенности используется анализ защищенности отдельных характеристик информационной системы, который представлен в табл.16.Таблица 16Показатель защищенности ИСТехнические и эксплуатационные характеристики ИСПДнУровень защищенностиВысокийСреднийНизкий1. По территориальному размещению:локальная ИСПДн, развернутая в пределах одного здания+--2. По наличию соединения с сетями общего пользования:ИСПДн, имеющая одноточечный выход в сеть общего пользования+--3. По встроенным (легальным) операциям с записями баз персональных данных:чтение, поиск;+––запись, удаление, сортировка;+-–модификация, передача+--4. По разграничению доступа к персональным данным:ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;+-–5. По наличию соединений с другими базами ПДн иных ИСПДн:ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн+--6. По уровню обобщения (обезличивания) ПДн:ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует инфор-мация, позволяющая идентифицировать субъекта ПДн)+--7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:ИСПДн, предоставляющая часть ПДн+--ИСПДн имеет высокую степень исходной защищенности. Числовой коэффициент исходной защищенности равен 0.Остаточные актуальные угрозы представлены в табл.17.Таблица 17Остаточные актуальные угрозыНаименование угрозыАктуальность угрозыугрозы внедрения по сети вредоносных программнеактуальнаугрозы утечки информации по техническим каналамнеактуальнаугрозы утечки акустической (речевой) информациинеактуальнаугрозы утечки видовой информациинеактуальнаугрозы утечки информации по каналу ПЭМИНнеактуальнакража ПЭВМнеактуальнакража носителей информациинеактуальнавывод из строя узлов ПЭВМ, каналов связинеактуальнаугрозы, реализуемые в ходе загрузки ОСнеактуальнаугрозы, реализуемые после загрузки ОСнеактуальнаугрозы внедрения вредоносных программнеактуальнаугрозы «Анализа сетевого трафика»неактуальнаугрозы сканированиянеактуальнаугрозы подмены доверенного объектанеактуальнаугрозы выявления паролейнеактуальнаугрозы типа «Отказ в обслуживании»неактуальнаугрозы удаленного запуска приложенийнеактуальнаКак видно из табл.17 после применения технических средств все угрозы стали не актуальными.Применение предложенных СЗИ позволяет значительно повысить защищенность информационной системы, понизить статус угроз до неактуальных, снизить вероятность реализации угроз. Применение сертифицированных, регулирующими органами, средств позволяет говорить о соответствии реальных характеристик заявленным. Соответствие 4 классу отсутствия НДВ в программном обеспечении означает, что средства защиты не будут использованы третьими лицами для НСД к ИСПДн.3.4 Программное обеспечение, сетевые, аппаратные, организационные, физические решенияДля рассматриваемой системы были выбраны следующие технические средства:система защиты информации Secret Net 7;аппаратно-программный комплекс шифрования «Континент»;антивирус Kaspersky Endpoint Security 8 для Windows .Для внедрения этих технических средств необходимо:определить круг лиц ответственных за выполнение;провести изменения в структуре ИС;заключить договор с компанией имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации;составить техническое задание на создание КСЗИ;разработать пакет организационно-распорядительных документов для КСЗИ (положения, приказы, инструкции); внедрить систему обеспечения безопасности информации; аттестовать КСЗИ на соответствие требованиям по защите ПДн;8. получить лицензию на деятельность по технической защите КИ .Применение созданной КСЗИ заключается в следующем:назначение специалиста по ЗИ, ответственного за функционирование системы защиты;разработка списка сотрудников допущенных к работе с ПДн 1 категории;выдача и хранение ключей доступа ответственным сотрудникам;проведение сканирование защищаемых информационных ресурсов сканерами безопасности.При внедрении КСЗИ для ИСПДн 1 класса необходимо обеспечить:управление доступом;регистрация и учет;обеспечение целостности;физическую охрану системы защиты;периодическое тестирование средств защиты.3.5 Внедрение СЗ ИСПДнSecret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов:№98-ФЗ (“о коммерческой тайне”);№152-ФЗ (“о персональных данных”);№5485-1-ФЗ (“о государственной тайне”);СТО БР (Стандарт Банка России).Сертификаты ФСТЭК России позволяют использовать систему защиты информации от несанкционированного доступа Secret Net для защиты:конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительноинформационных систем обработки персональных данных до класса К1 включительноКлючевые возможности Secret Net:Аутентификация пользователейРазграничение доступа пользователейДоверенная информационная средаКонтроль каналов распространения конфиденциальной информацииКонтроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информацииЦентрализованное управление системой защиты, оперативный мониторинг, аудит безопасностиМасштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиаловSecret Net имеет два варианта развертывания:Автономный – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.Сетевой – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).В Secret Net настройка защитных механизмов может осуществляться как централизованно,так и локально.Централизованное управление - управление работой системы защиты, осуществляемое главным администратором безопасности со своего рабочего места. Рабочим местом администратора безопасности может быть контроллер домена или любой компьютер сети с установленными средствами централизованного управления ОС windows. Для настройки защитных механизмов используются стандартные средства управления компьютерами и доменом, функциональные возможности которых расширяются в результате модификации схемы Active Directory и установки компонентов Secret Net.Параметры объектов групповых политик хранятся на контроллерах домена и передаются на защищаемые рабочие станции и серверы, где применяются в соответствии с действием механизма групповых политик.Локальное управление - это управление работой защитных механизмов на отдельном компьютере. Оно осуществляется администратором безопасности компьютера и предполагает управление параметрами компьютера, защитных механизмов и локальных пользователей. Локальное управление применяется в тех случаях, когда централизованно настроить защитные механизмы на отдельном компьютере (или компьютерах) по каким-либо причинам невозможно или нецелесообразно. Кроме того, локальное управление применяется для обеспечения требуемого уровня безопасности в работе локальных пользователей.Централизованное управление имеет приоритет перед локальным. Если в групповой политике какие-то параметры для данного компьютера заданы централизованно, локальный администратор изменить их не может. В то же время настройки, заданные локальным администратором, главный администратор может изменить.В соответствии с концепцией Secret Net управление безопасностью в защищаемом домене рекомендуется осуществлять централизованно. Однако следует иметь в виду, что не все параметры защитных механизмов настраиваются централизованно. Некоторые параметры могут настраиваться только локально.С помощью групповых политик для компьютеров отдельных организационных подразделений домена можно задавать особые настройки защитных механизмов, отличающиеся от общих настроек, применяемых в домене.Если для всех компьютеров домена применяется единая политика безопасности, настройку защитных механизмов Secret Net рекомендуется выполнять в рамках именно этой политики. Например, можно использовать политику, применяемую к домену по умолчанию.Если же в пределах домена необходимо выделить группы компьютеров, объединенные по каким-либо признакам, и применять к ним особые настройки защитных механизмов, это можно выполнить, используя стандартные средства администрирования Windows. Для этого необходимо в домене создать организационные подразделения и для каждого из них настроить свою групповую политику. Таким образом, для каждого подразделения будет действовать своя политика безопасности, отличающаяся от политики, применяемой к домену.В общем случае последовательность формирования политик, применяемых к организационным подразделениям, следующая;- настройка защитных механизмов Secret Net в рамках доменной политики;- создание в домене новых организационных подразделений, для которых должны действовать особые настройки защитных механизмов;-добавление в созданные подразделения нужные компьютеры домена;- создание для каждого подразделения своей групповой политики;- настройка в каждой политике параметров Secret Net в соответствии с требованиями. Если отличия политики, применяемой к подразделению, незначительны, за основу можно взять доменную политику и с помощью редактора политик внести в нее требуемые изменения;-применения созданных политик к соответствующим подразделениям.Инструмент Gpupdate. Инструмент командной строки Gpupdate используется для принудительного обновления групповых политик для компьютера или пользователя. Эта команда может использоваться для принудительного завершения сеанса пользователя или для перезапуска компьютера после обновления групповой политики, что полезно при обновлении групповых политик, которые применяются только при входе пользователя в систему или при перезапуске компьютера.Параметры объектов групповой политики (П1). Как и стандартные параметры безопасности ОС, они хранятся на контроллере домена (для политик, применяемых к доменам и организационным подразделениям) или в локальных базах данных компьютеров (для локальных политик безопасности). Соответственно доступ к этим параметрам осуществляется средствами централизованного или локального управления. Действие параметров распространяется на компьютеры. Параметры загружаются при запуске компьютера с установленной системой Secret Net вместе с другими параметрами групповой политики.Параметры, относящиеся к свойствам пользователей (П2). В зависимости от типа пользователя (доменный или локальный), они хранятся в Active Directory или в локальных базах данных защищаемых компьютеров. Действие параметров распространяется на пользователей. Параметры загружаются в компьютер после выполнения процедуры идентификации и аутентификации пользователя.Параметры, относящиеся к атрибутам ресурсов (ПЗ) (файлов и каталогов). Используются в механизме полномочного разграничения доступа для управления категориями конфиденциальности ресурсов. Хранятся вместе со стандартными атрибутами ресурсов. Используются также в механизме шифрования для управления шифрованием каталогов и файлов. Значения этих параметров хранятся в специальных служебных файлах. Управление всеми этими параметрами осуществляется с помощью расширения программы «Проводник». Настройку параметров выполняют только те пользователи, которым администратор безопасности установил соответствующие привилегии.Параметры механизмов контроля целостности и замкнутой программной среды (П4). Отдельная группа параметров, хранящаяся централизовано в Active Directory и на каждом защищаемом компьютере в специальной базе данных Secret Net. Доступ к этим параметрам и их настройка осуществляются централизовано и локально. Настройку параметров защитных механизмов Secret Net, а также настройку параметров безопасности ОС Windowsнеобходимо выполнять только в рамках неконфиденциальной сессии. Исключение составляет изменение категорий конфиденциальности ресурсов -при включенном режиме контроля потоков конфиденциальной информации изменять категории конфиденциальности ресурсов можно только в конфиденциальных и строго конфиденциальных сессиях.Средства управления - это инструменты, с помощью которых главный администратор безопасности и локальный администратор управляют работой защитных механизмов и контролируют действия пользователей. В Secret Net имеется несколько таких инструментов, каждый из которых применяется в зависимости от того, какие параметры необходимо настроить и каким способом должна быть выполнена настройка -централизованно или локально.Основными инструментами, с помощью которых осуществляется настройка параметров Secret Net, являются;(С1) Оснастка «Групповая политика» (в централизованном управлении) и оснастка «Локальная политика безопасности» (в локальном управлении) - предназначены для настройки группы параметров безопасности Secret Net, относящихся к конфигурации компьютера и входящих в параметры объектов групповой политики.(С2) Оснастка Active Directory - пользователи и компьютеры» (в централизованном управлении) и оснастка «Управление компьютером» (в локальном управлении) -предназначены для настройки параметров работы соответственно доменных и локальных пользователей.(СЗ) Программа «Проводник» - используется для настройки параметров, относящихся к атрибутам файлов и каталогов, в механизмах полномочного разграничения доступа и шифрования.(С4) Программа «Контроль программ и данных» - предназначена для управления механизмами контроля целостности и замкнутой программной среды.(С5) Средства экспорта и импорта параметров - используются для тиражирования эталонных настроек системы защиты. С помощью средств экспорта и импорта упрощается локальная настройка нескольких компьютеров с одинаковыми параметрами защитных механизмов. Параметры с эталонного компьютера переносятся на другой компьютер (или группу компьютеров) без необходимости повторять весь процесс настройки на каждом из них.Всистеме Secret Net предусмотрено делегирование полномочий администратора безопасности. Это означает, что некоторые функции по настройке и управлению работой защитных механизмов могут быть возложены на пользователей, не являющихся членами группы доменных администраторов. При этом настройка и управление могут осуществляться только в рамках определенных организационных подразделений, созданных внутри домена.К общим параметрам безопасности Windowsпосле модификации схемы АО добавляются параметры Secret Net, действие которых распространяется на компьютеры сети средствами групповых политик. Доступ к этим параметрам осуществляется в стандартном узле «Параметры безопасности» оснастки «Групповая политика» или «Редактор объектов групповой политики» (в зависимости от операционной системы).Оснастку можно вызывать как отдельный, самостоятельный инструмент или в качестве расширения таких оснасток как Active Directory - пользователи и компьютеры» или «Active Directory Active Directory - сайты и службы».До начала установки системы Secret Net 7 следует выполнить ряд подготовительных мероприятий:Назначить и подготовить сотрудников, которые будут устанавливать и эксплуатировать систему Secret Net 7. Определить режимы работы Secret Net 7, для чего на тестовой группе компьютеров провести проверку совместимости используемых в организации приложений с расстановкой прав, выполняемой программой установки Secret Net 7, и работой механизмов защиты.Выполнить ревизию функционирования домена и устранить ошибки в его работе (при наличии таковых).Проверить соответствие компьютеров домена требованиям к аппаратному и программному обеспечению.Компоненты Secret Net 7 устанавливаются на компьютеры, работающие под управлением ОС Windows 2000/XP Professional/2003/Vista и оснащенные процессорами семейства INTEL X86 или совместимыми с ними. Все разделы жестких дисков компьютеров должны иметь файловую систему NTFS или NTFS5. Все компьютеры, на которых планируется использовать персо-нальные идентификаторы, должны быть оборудованы разъемом для подключения (предъявления) персональных идентификаторов. На этих компьютерах необходимо установить соответствующее программное обеспечение (ПО) для работы с персональными идентификаторами (например, для работы с идентификаторами eToken устанавливается ПО eToken Run Time Environment).Установка системы осуществляется после выполнения подготовительных мероприятий в следующей последовательности:Включить все контроллеры домена.Установить на контроллере домена инструментарий Windows Support Tools из состава дистрибутива ОС.Выполнить модификацию AD и дождаться репликации схемы AD на все контроллеры домена.На компьютерах, которые будут использоваться в качестве серверов безопасности, установить:- ПО сервера безопасности;- ПО клиента.На рабочих местах администраторов Secret Net 7 установить:- средство Microsoft Administration Tools Pack из состава дистри- бутива ОС Windows серверных платформ;- ПО клиента;- средства управления.Установить ПО клиента системы Secret Net 7 на серверы и контроллеры домена, затем на компьютеры сотрудников.При большом количестве компьютеров целесообразно применить автоматическую установку ПО клиента. Параметры пользователей используются механизмами защиты входа, шифрования и полномочного разграничения доступа. Параметры пользователя применяются при входе в систему после выполнения процедуры идентификации и аутентификации пользователя. Параметры доменных и локальных пользователей хранятся, соответственно, в Active Directory или в локальных базах данных защищаемых компьютеров.При копировании объектов "Пользователь" параметры Secret Net 7 не копируются.Настройка параметров доменных и локальных пользователей осуществляется в соответствующих оснастках: доменные пользователи представлены в оснастке "Active Directory — пользователи и компьютеры", локальные пользователи .Вызовите нужную оснастку: Active Directory — Активируйте команду "Пуск | Все программы |Администрирование | Active Directory — пользователи и компьютеры". Для управления параметрами доменных пользователей на компьютере, не являющемся контроллером домена, должны быть установлены средства централизованного управления ОС Windowsпользователи и компьютеры Активируйте команду "Пуск | Все Программы |Secret Net 7 | Управление компьютером"Найдите и выберите папку "Пользователи". В правой части появится список пользователей.Вызовите окно настройки свойств пользователя и перейдите к диалогу "Secret Net 7".В левой части диалога расположена панель выбора режима работы. Переключение между режимами осуществляется выбором соответствующей пиктограммы на этой панели. Предусмотрены режимы представленные в табл. 18.Таблица 18Режимы работы "Secret Net 7РежимНазначениеИдентификаторУправление персональными идентификаторами пользователяКриптоключУправление криптографическими ключами пользователяДоступУправление параметрами полномочного доступаСервисПроверка принадлежности персональных идентификаторовУправление персональными идентификаторами.Персональный идентификатор — устройство, предназначенное для хранения информации, необходимой при идентификации и аутентификации пользователя. В идентификаторе могут храниться криптографические ключи пользователя. В Secret Net 7 используются персональные идентификаторы iButton и USB-ключи eToken.Пояснение. Для хранения криптографических ключей могут также использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители и т. п. В дальнейшем в данном руководстве термин "идентификатор" будет применяться и к сменным носителям.Персональный идентификатор выдается пользователю администратором. Пользователю можно присвоить неограниченное число идентификаторов. Один и тот же персональный идентификатор не может быть присвоен нескольким пользователям одновременно.Администратор безопасности может выполнять следующие операции с персональными идентификаторами: Инициализация идентификатораФорматирование, обеспечивающее возможность использования идентификатора в системе Secret Net 7. Инициализация требуется, когда в персональном идентификаторе по каким-либо причинам была нарушена или отсутствует структура данных. Форматированию подлежат также и сменные носители, предназначенные для хранения ключейПрисвоение идентификатора.Добавление в базу данных Secret Net 7 сведений о том, что пользователю принадлежит персональный идентификатор данного типа с уникальным серийным номеромОтмена присвоения идентификатораУдаление из базы данных Secret Net 7 информации о принадлежности данного персонального идентификатора данному пользователю. Далее для простоты эту операцию будем называть "удаление идентификатора"Включение режима хранения пароля в идентификатореДобавление в базу данных Secret Net 7 сведений о включении для пользователя режима хранения пароля в идентификаторе. Одновременно с этой операцией выполняется запись пароля в идентификатор. После включения режима пароль пользователя при входе в систему не вводится с клавиатуры, а считывается из идентификатораОтключение режима хранения пароля в идентификатореОперация, противоположная предыдущей. Одновременно с отключением режима хранения выполняется удаление пароля из памяти персонального идентификатора. Идентификатор остается закрепленным за пользователем.Запись и удаление криптографических ключейИспользуется для хранения в идентификаторе (или на сменном носителе) криптографических ключей пользователяПроверка принадлежностиС помощью этой операции администратор безопасности может проверить, кому из пользователей присвоен данный персональный идентификатор.Для оценки эффективности предложенной комплексной системы защиты необходимо провести расчет стоимость внедрения КСЗИ до изменения структуры информационной системы и после.Общие затраты на комплексную систему защиты будут складываться из стоимости технических и программных средств, а так же оплаты труда специалисту., (2)где,СЗ – совокупные затраты,ТЗ – технические затраты,ПЗ – программные затраты,ОЗ – организационные затраты,ОТ – оплата труда.Таким образом, для внедрения КСЗИ в исходную ИС необходимо:9 АПКШ «Континент», 21 СЗИ Secret Net 7, 21 Kaspersky Endpoint Security 8 для Windows , пакет документов, 5 специалистов по ЗИ.Стоимость одного комплекса АПКШ «Континент» составляет 90 тыс. руб.СЗИ Secret Net 7 – 6400 руб.Kaspersky Endpoint Security 8 для Windows – 2700 руб.Составление пакета документов стоит 100 тыс. руб.Оплата труда специалиста труда выбрана в размере 45 тыс. руб.Стоимость внедрения составит:Таким образом, стоимость внедрения комплексной системы защиты в исходную ИС на один год составляет почти 4 млн. рублей.Общие затраты на КСЗИ после изменения структуры ИС примут вид:Стоимость КСЗИ после изменения структуры составляет млн.рублей.На рис.10 представлено сравнение совокупной стоимости (в тыс.руб.) владения КСЗИ на пять лет исходной ИС и ИС после изменения структуры. Рисунок 10. Сравнение ТСО на 5 летИз представленного графика наглядно видно, что затраты на внедрение комплексной системы защиты после изменение структуры ИС в несколько раз ниже, чем затраты на внедрение в исходную ИС. Что говорит о целесообразности применения рекомендуемых изменений в информационной системе.Выводы по разделуВ результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты в ОГБУЗ «ИГБ № 6». Для чего необходимо выполнение следующих мероприятий:определить круг лиц ответственных за выполнение;провести изменения в структуре ИС;заключить договор с компанией имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации;составить техническое задание на создание КСЗИ;разработать пакет организационно-распорядительных документов для КСЗИ (положения, приказы, инструкции); внедрить систему обеспечения безопасности информации; аттестовать КСЗИ на соответствие требованиям по защите ПДн;8. получить лицензию на деятельность по технической защите КИ.Так же были даны рекомендации по применению КСЗИ, проведено экономическое обоснование целесообразности проведения изменения структуры информационной системы. Проведен расчет стоимости внедрения системы защиты. Для выбранных решений стоимость внедрения в расчете на один год составляет рублей.ЗАКЛЮЧЕНИЕВ ходе выполнения дипломного проекта были выполнены все поставленные задачи: Анализ информационной системы и циркулирующей в ней информации.Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о товарах, поставщиках и клиентах коммерческой организации. Такие данные являются персональным, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных (ПДн).Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях.Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение ИС, рассматриваемой в дипломной работе, в соответствие со всеми требованиями является основной задачей для коммерческойорганизации. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов учреждения. Соответствие требованиям особо актуально ввиду обработки данных касающегосякоммерческой тайны.Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Необходимо создать комплексную систему защиты ИСПДн, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в ИС.Разработка рекомендаций по изменению структуры информационной системы.Было проведено понижение класса ИС и сужения круга объектов, нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети. Разработка системы защиты персональных данных.Была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов.Разработка рекомендаций по внедрению системы защиты персональных данных.В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты ИСПДН. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению КСЗИРасчет совокупной стоимости внедрения и владения системой защиты персональных данных.Благодаря выполнению вышеперечисленных задач цель работы – создание системы защиты персональных данных в ООО «Контур» – была достигнута.СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВФедеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2» Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 сБиячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 сГайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: Издательство Урал, 2008. – 257 с.Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: илДомарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах.Константинова Л.А., Писеев В.М.МИЭТМетоды и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности.Каракеян В.И., Писеев В.М. МИЭТОфициальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru) Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz)Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;Судоплатов А.П., Пекарев С.В. Безопасность предпринимательской деятельности: Практическое пособие. VI.: 2001.Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996

Список литературы

  СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 1. Федеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2» 2. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» 3. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» 4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; 5. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; 6. Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с. 7. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с. 8. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с 9. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с. 10. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил. 11. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с. 12. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с 13. Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: Издательство Урал, 2008. – 257 с. 14. Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: ил 15. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с. 16. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с. 17. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.) 18. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах.Константинова Л.А., Писеев В.М.МИЭТ 19. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности.Каракеян В.И., Писеев В.М. МИЭТ 20. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru) 21. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru) 22. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru) 23. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с. 24. Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz) 25. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»; 26. Судоплатов А.П., Пекарев С.В. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001. 27. Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996 список литературы
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
Сколько стоит
заказать работу?
1
Заполните заявку - это бесплатно и ни к чему вас не обязывает. Окончательное решение вы принимаете после ознакомления с условиями выполнения работы.
2
Менеджер оценивает работу и сообщает вам стоимость и сроки.
3
Вы вносите предоплату 25% и мы приступаем к работе.
4
Менеджер найдёт лучшего автора по вашей теме, проконтролирует выполнение работы и сделает всё, чтобы вы остались довольны.
5
Автор примет во внимание все ваши пожелания и требования вуза, оформит работу согласно ГОСТам, произведёт необходимые доработки БЕСПЛАТНО.
6
Контроль качества проверит работу на уникальность.
7
Готово! Осталось внести доплату и работу можно скачать в личном кабинете.
После нажатия кнопки "Узнать стоимость" вы будете перенаправлены на сайт нашего официального партнёра Zaochnik.com
© Рефератбанк, 2002 - 2017