Спасибо Вам за работу!
Информация о работе
Подробнее о работе
Проектирование системы защиты персональных данных в организации
- 90 страниц
- 2015 год
- 613 просмотров
- 3 покупки
Гарантия сервиса Автор24
Уникальность не ниже 50%
Фрагменты работ
ВВЕДЕНИЕ
Современные информационные технологии играют важнейшую роль в коммерции и бизнесе, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты персональных данных граждан и сведений, составляющих коммерческую тайну, – персональных данных клиентов, поставщиков, сотрудников организации. Актуальность проблемы защиты персональных коммерческих данных сегодня не вызывает сомнений. Доступ физических лиц к базам персональных данных усиливают риск вторжения в сферу частной жизни и нарушения права на ее неприкосновенность. Защита персональных коммерческих данных является одной из наиболее острых проблем в информатизации организаций коммерческой области.
Защита персональных данных, в связи с требованиями федерального закона 152-ФЗ «О персональных данных» , в последнее время занимает умы не только специалистов IT-подразделений, но и всех граждан, чьи персональные данные закон охраняет. С одной стороны, с принятием закона, значительно вырос рынок услуг по обеспечению информационной безопасности, технических и программных средств защиты. С другой стороны, для операторов персональных данных наступили тяжелые времена. И чем более не проработаны вопросы защиты персональных данных в законе и подзаконных актах, тем сложнее их защитить.
Поэтому актуальной проблемой остается вопрос минимизации затрат по защите персональных данных в соответствии с требованиями федерального закона «О персональных данных». Этот закон поставил перед большинством российских коммерческих компаний сложнейшую задачу. Серьезность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Между тем, сегодня далеко не все коммерческие учреждения, обрабатывающие персональные данные, осознают необходимость их защиты и до конца понимают реальность и масштаб рисков невыполнения закона.
Целью данной дипломной работы является разработка системы защиты персональных данных в коммерческой фирме ООО «Контур».
В ходе дипломной работы будут решены следующие задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
2. Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях.
3. Разработка рекомендаций по изменению структуры информационной системы.
4. Разработка системы защиты персональных данных.
5. Разработка рекомендаций по внедрению системы защиты персональных данных.
6. Расчет совокупной стоимости внедрения и владения системой защиты персональных данных.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы и приложения.
Первая глава посвящена анализу рассматриваемой информационной системы, требований российского законодательства, составлению модели угроз безопасности и модели нарушителя. Так же в этой главе сформулирована постановка задачи для создания комплексной системы защиты.
Во второй главе даны рекомендации по изменению структуры информационной системы, разделение ее на несколько подсистем систем. Разработаны рекомендации по устранению угроз. Проанализирована эффективность внедрения разработанной системы защиты.
В третьей главе рассматривается механизм внедрения системы защиты и экономически обоснована целесообразность внедрения разработанной системы защиты персональных данных.
СОДЕРЖАНИЕ
Введение 3
Глава 1. АНАЛИЗ ИНФОРМАЦИОННОЙ СИСТЕМЫ ООО «Контур» КАК ОБЪЕКТА ЗАЩИТЫ 5
1.1. Общие сведения о предприятии 5
1.2. Анализ персональных данных, обрабатываемых в информационной системе персональных данных и их классификация 11
1.3. Анализ ИСПДн и ее классификация 15
1.4. Разработка модели угроз ИСПДн и модели нарушителя 19
Глава 2. Разработка системы защиты персональных данных 28
2.1. Анализ актуальных угроз и вероятность их реализации 28
2.2. Проектирование системы защиты персональных данных 30
2.3. Разработка организационных мер по защите персональных данных 31
2.4. Анализ и выбор технических средств защиты информации 33
2.5. Анализ и выбор программно-аппаратных средств защиты информации 44
Глава 3. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО СОЗДАНИЮ СЗ ИСПДН 52
3.1. Разработка рекомендаций по устранению актуальных угроз 52
3.2 Порядок применения мер по устранению уязвимостей. Меры борьбы 58
3.3 Анализ остаточных угроз. Модель угроз 64
3.4 Программное обеспечение, сетевые, аппаратные, организационные, физические решения 67
3.5 Внедрение СЗ ИСПДн 68
ЗАКЛЮЧЕНИЕ 82
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 84
ЗАКЛЮЧЕНИЕ
В ходе выполнения дипломного проекта были выполнены все поставленные задачи:
1. Анализ информационной системы и циркулирующей в ней информации.
Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о товарах, поставщиках и клиентах коммерческой организации. Такие данные являются персональным, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных (ПДн).
2. Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях.
Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение ИС, рассматриваемой в дипломной работе, в соответствие со всеми требованиями является основной задачей для коммерческойорганизации. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов учреждения. Соответствие требованиям особо актуально ввиду обработки данных касающегосякоммерческой тайны.
Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Необходимо создать комплексную систему защиты ИСПДн, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в ИС.
3. Разработка рекомендаций по изменению структуры информационной системы.
Было проведено понижение класса ИС и сужения круга объектов, нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети.
4. Разработка системы защиты персональных данных.
Была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов.
5. Разработка рекомендаций по внедрению системы защиты персональных данных.
В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты ИСПДН. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению КСЗИ
6. Расчет совокупной стоимости внедрения и владения системой защиты персональных данных.
Благодаря выполнению вышеперечисленных задач цель работы – создание системы защиты персональных данных в ООО «Контур» – была достигнута.
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1. Федеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2»
2. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
3. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
5. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
6. Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с.
7. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.
8. Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с
9. Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.
10. Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
11. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.
12. Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с
13. Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: Издательство Урал, 2008. – 257 с.
14. Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: ил
15. Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.
16. Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
17. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
18. Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах.Константинова Л.А., Писеев В.М.МИЭТ
19. Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности.Каракеян В.И., Писеев В.М. МИЭТ
20. Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)
21. Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)
22. Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
23. Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
24. Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz)
25. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
26. Судоплатов А.П., Пекарев С.В. Безопасность предприниматель-ской деятельности: Практическое пособие. VI.: 2001.
27. Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996
Форма заказа новой работы
Не подошла эта работа?
Закажи новую работу, сделанную по твоим требованиям
