Благодарю за курсовую по информационной безопасности, выполнено по всем требованиям и в срок))
Информация о работе
Подробнее о работе
Разработка алгоритмов действий по защите персональных данных, обрабатываемых в информационных системах персональных данных в организации
- 33 страниц
- 2018 год
- 73 просмотра
- 3 покупки
Гарантия сервиса Автор24
Уникальность не ниже 50%
Фрагменты работ
АННОТАЦИЯ 3
ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ И СОКРАЩЕНИЙ 4
ВВЕДЕНИЕ 5
1 Анализ персональных данных, обрабатываемых в информационных системах учреждения 6
1.1 Основные понятия защиты информации и информационной безопасности в области защиты персональных данных 6
1.2 Персональные данные 7
1.3 Ответственность за нарушения по обработке персональных данных 10
2 Информационные системы персональных данных (ИСПДн) 11
....
ВВЕДЕНИЕ
В современном мире технический прогресс способствовал не только появлению новых методов обработки, накопления и передачи данных в информационных системах, но и новых угроз, связанных с возможностью утечки, потери, искажения или раскрытия персональных данных конечных пользователей.
Поэтому проблема обеспечения конфиденциальности, целостности и доступности защищаемых персональных данных в информационных системах является одной из актуальных, так как их важность часто недооценивают, пока они не будут нарушены и нанесут ущерб и убытки учреждению или человеку.
Чтобы правильно подойти к разработке алгоритмов действий по защите персональных данных, необходимо провести анализ персональных данных, обрабатываемых в информационных системах и возможные угрозы информационной безопасности.
...
1. Анализ персональных данных, обрабатываемых в информационных системах учреждения
1.1 Основные понятия защиты информации и информационной безопасности
Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности.
Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.
Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Безопасность информационной системы – способность системы обеспечить конфиденциальность и целостность информации, противостоять воздействиям внутренних и внешних угроз, т.е. защиту информации от несанкционированного доступа с целью ее раскрытия, изменения или разрушения.
...
1.2 Персональные данные
Персональные данные - данные, относящаяся прямо или косвенно определенному физическому лицу, позволяющие идентифицировать его личность [5]:
- ФИО;
- дата рождения;
- место рождения;
- адрес прописки и (или) фактического проживания;
- паспортные данные (в том числе кроме вышеперечисленных);
- информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- телефонный номер (домашний, рабочий, мобильный);
- состав семьи и семейное положение (мать, отец, жена, дети и пр.
...
2.1 Типы ИСПДН образовательного учреждения
Все образовательные учреждения делятся на три типа. Разделение производится на основе типов ИСПДн, имеющихся у учреждений, и показывает уровень требований к обеспечению безопасности персональных данных [13]:
1) Базовый тип.
Среди ИСПДн присутствуют только АРМ (автоматизированное рабочее место). ИСПДн со структурой ЛИС (локальные информационные системы) и РИС (распределенные информационные системы) отсутствуют.
2) Локальная информационная система.
Среди ИСПДн присутствует минимум одна структуры ЛИС (локальные информационные системы) и любое количество ИСПДн структуры АРМ. ИСПДн со структурой РИС (распределенные информационные системы) отсутствуют.
3) Учреждения с распределенной информационной системой.
Среди ИСПДн присутствует как минимум одна структуры РИС (распределенные информационные системы) и любое количество ИСПДн структуры АРМ и ЛИС.
Высокий тип учреждения включает в себя требования для нижестоящих типов.
...
2.2 Классификация ПДн и ИСПДн учреждения
Классификация ИСПДн производится на основании Отчета о результатах проведения внутренней проверки и оформляется соответствующим Актом классификации информационной системы персональных данных.
Чтобы правильно классифицировать ИС необходимо выполнить следующие действия [10]:
а) провести сбор и анализ исходных данных по ИС, а именно:
- выделить категорию обрабатываемых в информационной системе персональных данных – Хпд;
- определить объем обрабатываемых персональных данных (количество субъектов персональных данных, чьи персональные данные обрабатываются в информационной системе) – Хнпд;
- определить структуру информационной системы;
- выявить наличие подключений информационной системы к сетям связи общего пользования;
- определить режим обработки персональных данных;
- определить режим разграничения прав доступа пользователей информационной системы;
- определить местонахождение технических средств информационной системы.
...
3.1 Организация управления доступами
Организация управления доступами необходима для осуществления идентификации и проверки подлинности субъектов доступа при входе по логину и паролю в операционную систему ИСПДн, технических средств, каналов связи, внешних устройств [14].
Чтобы осуществить идентификацию и проверку подлинности субъектов доступа необходимо для всех ИСПДн определить группы пользователей участвующие в обработке ПДн и разработать перечень прав и уровень доступа (таблица 2) [9].
Таблица 2
Группа
Уровень доступа к ПДн
Разрешенные действия
Администраторы ИСПДн (Отдел информационных технологий)
Обладают информацией, доступами и правами к:
а) системному и прикладному программному обеспечению ИСПДн;
б) техническим средствам конфигурации и обработки данных ИСПДн;
в) административной настройке технических средств ИСПДн.
Сбор,
систематизация,
накопление,
хранение,
уточнение,
использование,
уничтожение.
...
3.3 Обеспечение целостности
Одним из главных условий обеспечения целостности и доступности информации в ИСПдн является осуществления ее дублирования (резервного копирования) [15].
Для этого существует несколько типов резервного копирования [11]:
- полная резервная копия - копию всех данных на внешнем устройстве хранения (позволяющее восстанавливать данные в одно действие, но при этом создание резервных копий и восстановление занимает много времени).
- дифференциальная резервная копия - копируются только файлы, изменённые с момента предыдущего полного резервного копирования. При восстановлении данных, восстанавливаются данные с полной резервной копии, а затем поверх них записываются данные из дифференциальной резервной копии.
- инкрементальная резервная копия - копируются все файлы, изменённые с момента последнего создания полной или инкрементальной резервной копии.
...
3.4 Повышение отказоустойчивости
Отказоустойчивость — характеризует возможность информационной системы сохранять работоспособность после отказа по тем или иным причинам одного или нескольких составных элементов системы [11].
Критичные устройства информационной системы (контроллер домена, маршрутизатор, коммутатор) могут образовать единую точку отказа – устройство выход из строя которого приводит к негативному влиянию на целый сегмент или даже всю сеть.
Рисунок 5. Пример избыточности устройств для обеспечения отказоустойчивости
Самой эффективной защитой от образования единой точки отказа является выполнение администраторами (кроме регулярного резервного копирования) надлежащего технического обслуживания (горячая замена неисправного элемента, соблюдать необходимую температуру), обеспечение избыточности каждому критичному устройству и бесперебойное питание [11].
...
3.5 Установка антивирусной защиты на все элементы ИСПДн
Для всех ИСПДн обязательным является установка антивирусной защиты на все его элементы - рабочие станции, файловые сервера, сервера приложений [15].
В качестве антивируса будут использоваться ПО «Антивирус Касперского 6.0 для Windows Servers» и «Антивирус Касперского 6.0 для Windows Workstations», так как согласно ФСТЭК они могут использоваться для защиты информации в ИСПДн до 1 класса включительно [17].
...
3.6 Установка межсетевого экрана
Для ИСПДн обязательным является установка межсетевого экрана (брандмауэра) [15].
В качестве брандмауэра будет использоваться «Киберсейф: Межсетевой экран» 3 класса, так как в случае взаимодействия ИСПДн с подключением к сетям общего пользования применяются межсетевые экраны не ниже 3 класса [15].
Одним из преимуществ «Киберсейф: Межсетевой экран» является отсутствие привязки к IP-адресу. Компьютеры могут находиться в разных подсетях, в разных диапазонах одной подсети и даже находиться за пределами сети.
Также брандмауэр позволяет создавать расписания, благодаря которым администратор может настроить прохождение пакетов по расписанию, например, запретить доступ к Интернету в нерабочее время [18].
Киберсейф предоставляет удобные средства просмотра журнала IP-пакетов. Сначала отображаются все пакеты, и потом можно отфильтровать нужные, используя возможности встроенного в заголовок таблицы фильтра (рисунок 7).
Рисунок 7.
...
3.7 Физическая охрана ИСПДн и охрана с применением технических средств
От несанкционированного проникновения на объект, кражи или взлома необходимо осуществлять физическую охрану средств информационной системы [15]:
а) ИСПДн - устройств и носителей информации;
б) контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации;
в) постоянное наличие охраны территории и здания.
Так же необходимо осуществлять охрану с использованием технических средств [15]:
а) периметровые и объектовые средства обнаружения;
б) технические средства предупреждения и воздействия (сигнализация);
в) средства управления (контроля) доступом на объект (СКУД);
г) технические средства наблюдения (камеры);
д) средства связи системы охраны объектов.
Технические средства охраны применяются в целях повышения надежности охраны объектов и сокращения численности состава.
...
1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. 1996 г.
2. Цирлов В. Л. Основы информационной безопасности информационных систем. Феникс. 2008 г.
3. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.
4. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера».
5. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 22.02.2017) "О персональных данных"
6. "Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 17.04.2017)
7. "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ (ред. от 17.04.2017)
8. "Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (ред. от 03.07.2016) (с изм. и доп., вступ. в силу с 01.01.2017)
9. Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
и т.д
Форма заказа новой работы
Не подошла эта работа?
Закажи новую работу, сделанную по твоим требованиям
