Тип работы:
 Предмет:
 Язык работы:


РАЗРАБОТКА СИСТЕМЫ АВТОМАТИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И ЗАЩИТЫ ИНФОРМАЦИИ

Работа №171263

Тип работы

Бакалаврская работа

Предмет

информатика

Объем работы77
Год сдачи2016
Стоимость4330 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
1
Не подходит работа?

Узнай цену на написание


Введение 3
1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ 5
1.1 План предпроектного обследования 5
1.2 Законодательные основы защиты персональных данных 23
1.3 Анализ технического и программного обеспечения предприятия 26
2. ВЕРОЯТНЫЕ ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ И ПОДХОДЫ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ 30
2.1 Классификация угроз информационной безопасности 30
2.2 Изучение подходов к защите персональных данных 41
3. ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 46
3.1. Системная архитектура проекта 46
3.2 Анализ размещения и функционирования средств защиты информационной
системы персональных данных 52
4. ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА 65
Заключение 67
Список используемой источников 72
Приложение

Что такое информация? Информацией являются сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые воспринимают информационные системы в процессе жизнедеятельности и работы.
Информационная среда уже давно стала неотъемлемой частью нашей повседневной жизни, каждый день мы так или иначе имеем дело со средствами сбора, обработки, хранения и распространения информации.
По этой причине на современном «цифровом» этапе развития общества, защита информации как никогда актуальна. Зачастую, злоумышленникам нужны сведения, которые хранятся в базах данных крупных организаций. Всё чаще и чаще в средствах массой информации публикуются статьи, на тему популярных видах махинаций, связанных с рассылкой сообщений на мобильный телефон и электронную почту. А ведь получив доступ к БД с данными о пользователях, преступники могут шантажировать любого человека, его близких, или же испортить ему репутацию, выложив конфиденциальную информацию.
Защищенность персональных данных актуальна в России, поскольку Федеральные Законы, касающиеся этой области, существуют не так давно. По этой причине, нередко люди, ответственные за обработку персональных данных не знаю самых очевидных правил безопасности, доверенных им сведений. В связи с этим, на специалистов по информационной безопасности ложиться не только ответственность за безопасность информационной системы в организации, но и система обучения персонала этой фирмы.
Персональными данными являются такие сведения о человеке, как фамилия, имя, отчество, число, месяц, год и место рождения, адрес жительства, семейное и социальное положение, образование, имущество, вид профессии, уровень доходов и многое другое, то есть такие сведения относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством Российской Федерации.
В случае не соблюдения положений, организация может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные люди - к гражданской, уголовной, административной, дисциплинарной ответственности.
Безопасность персональных данных - состояние защищенности персональных данных, которое характеризуется способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.


Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

Пожалуй самым актуальным на сегодняшний день вопросом в области защиты информации в Российской Федерации является защита персональных данных в соответствии с законами Российской Федерации и вероятными угрозами безопасности информационных систем персональных данных.
Особенно актуальна проблема, связанная с обеспечением безопасности персональных данных в государственных организациях и просто, информационных системах, которых можно назвать крупными, по количеству обрабатываемых персональных данных и единицам аппаратных средств и систем.
Отличительной чертой автоматизированной информационной системы персональных данных является метод передачи информации. Информация передаётся по неконтролируемому каналу, который представляет собой связи общего пользования или глобальную сеть интернет.
В большинстве случаев обработке подвергаются персональные данные второй категории, т.е. имя, фамилия, год, месяц, дата и место, где родился, образование и т.д.
Автоматизированная информационная система персональных данных всегда является специальной, так как для неё кроме обеспечения конфиденциальности необходимо так же обеспечить целостность и доступность.
Опираясь на модель угроз, информационная система персональных данных характеризуется низким уровнем исходной защищённости и радом угроз, имеющих высокую вероятность реализации.
К средствам криптографической защиты в рамках системы защиты персональных данных должны предъявляться требования по сертификации Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации не ниже класс КС2.
Специалист по защите информации в ходе экспертной оценке присваивает определённый класс специальной информационной системы персональных данных. Информационной системе персональных данных присваивается класс К2, так как в случае нарушения характеристики безопасности персональных данных, субъекты персональных данных пострадают не значительно.
Для того чтобы свести к нулю вероятности угроз на протяжении всего жизненного цикла информационной системы персональных данных, реализуется следующий комплекс мер и средств защиты:
- проведение тестов, наглядно показывающих эффективность системы защиты персональных данных;
- организационных и организационно-технических;
- инженерных и инженерно-технических;
- технических;
- программных, аппаратных и программно-аппаратных.
Разрабатываемая система защиты персональных данных согласно анализу должна состоять из следующих подсистем:
- подсистема защиты от несанкционированного доступа или случайного доступа;
- подсистема антивирусной защиты;
- подсистема межсетевого экранирования;
- подсистема криптографической защиты;
- подсистема обнаружения вторжений;
- подсистема анализа защищенности.
Согласно факторному анализу имеющихся сегодня на рынке средств защиты, которые можно использовать в рамках системы защиты персональных данных, наилучшие показатели у следующих:
- ПО Symantec Endpoint Protection - СУСН, ПМЭ, САВЗ;
- ПО eToken Network Logon, применяемый совместно с идентификаторами eToken PRO (Java)/72K/CERT-1883 - средство обеспечения усиленной аутентификации;
- Cisco ASA 5500 Series - программно-аппаратные межсетевые экраны;
- S-Terra CSP VPN - программные и программно-аппаратные средства криптографической защиты;
- IBM Proventia IPS - программно-аппаратная система, исключающая вторжения;
- MaxPatrol - программное средство обнаружения вторжений.
Перечисленные средства защиты обладают необходимыми сертификатами Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю Российской Федерации и образуют в совокупности комплексную систему защиты персональных данных, осуществляющую соблюдение всех требований законов, а так же требований, выявленных на основе модели угроз и нарушителя информационная система персональных данных. Разработанная на основе такого решения система защиты персональных данных имеет наиболее лучшие технико-экономические показатели эффективности.
Главные функции «eToken Network Logon» - надёжное хранение открытых и закрытых ключей в памяти идентификатора eToken PRO, идентификация и двухфакторная аутентификация пользователей информационной системы персональных данных при входе/выходе в операционную систему или программу, блокировка рабочей зоны и принудительный выход пользователя при изъятии аппаратного идентификатора пользователя.
Решение «Symantec Endpoint Protection» включает в себя следующие элементы:
- «Symantec Endpoint Protection Client» - САВЗ, СУСН, ПМЭ;
- «Symantec Endpoint Protection Manage» - сервер управления;
- «Symantec Endpoint Protection Manager Console» - консоль управления.
САВЗ «Symantec Endpoint Protection Client» обеспечивает антивирусную защиту автоматизированных рабочих мест и серверов на базе Microsoft Windows.
СУСН «Symantec Endpoint Protection Client» позволяется управлять подключением периферийных устройств, а также режимами их функционирования.
ПМЭ «Symantec Endpoint Protection Client» представляет собой персональный межсетевой экран, обеспечивающий персональную защиту автоматизированных рабочих мест и серверов на базе Microsoft Windows.
Для межсетевого экранирования требуется разделение всех узлов информационной системы персональных данных и системы защиты персональных данных на защищенные зоны, обеспечивающихся организацией виртуальных локальных сетей, запрет взаимодействия узлов защищенных зон в обход средств межсетевого экранирования Cisco ASA 5500 Series.
Cisco ASA 5500 Series должен выполнять:
- маршрутизацию сетевого трафика между защищаемыми зонами;
- подвергать фильтрации трафик между зонами на основе параметров протоколов 3-4 уровня модели OSI;
- регистрацию и учет фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
Подсистема криптографической защиты, в составе «S-terra CSP VPN Gate» и «CSP VPN Client» реализует зашифровку конфиденциальных данных и её передачу по неконтролируемым каналам, управления криптографическими ключами.
Средство обнаружения вторжений «IBM Proventia Prevention Appliance» реализует обнаружение трафика известной сетевой атаки, аномальной или запрещенной политикой безопасности сетевой активности.
Средство анализа защиты «MaxPatrol» показывает слабые места программно-аппаратного обеспечения информационной системы персональных данных и системы защиты персональных данных, а так же проводит тестирование эффективности работы системы защиты персональных данных.
В совокупности, средства защиты составляют комплексную систему защиты персональных данных для информационной системы.



1. Российская Федерация. Законы. О персональных данных [Электронный ресурс]: Федеральный закон N 152-ФЗ: [принят Гос. Думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 года] // СПС Консультант Плюс.
2. Российская Федерация. Постановления. Об утверждении положения об
обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: постановление Правительства РФ от 17 ноября 2007 г. N 781. // СПС
Консультант Плюс.
3. Российская Федерация. Приказы. Порядок проведения классификации информационных систем персональных данных [Электронный ресурс]: приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 // СПС Консультант Плюс.
4. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г // СПС Консультант Плюс.
5. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г // СПС Консультант Плюс.
6. Руководящий документ. Защита от несанкционированного доступа к
информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей [Электронный ресурс]: утв. решением Государственной
технической комиссии при Президенте РФ от 4 июня 1999 г. N 114 // СПС Консультант Плюс.
7. Руководящий документ. Средства вычислительной техники. Межсетевые
экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [Электронный ресурс]: утв. решением Государственной технической комиссии при
Президенте РФ от 25 июля 1997 г // СПС Консультант Плюс.
8. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г // СПС Консультант Плюс.
9. Руководящий документ. Автоматизированные системы. Защита от
несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г // СПС Консультант Плюс.
10. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г // СПС Консультант Плюс.
11. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации [Электронный ресурс]: утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144 // СПС Консультант Плюс.
12. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622 // СПС Консультант Плюс.
13. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации [Электронный ресурс]: федер. закон: [принят Гос. Думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 г.] // СПС Консультант Плюс.
14. Российская Федерация. Приказы. Положение о сертификации средств защиты информации по требованиям безопасности информации [Электронный ресурс]: приказ Гостехкомиссии РФ от 27.10.1995 N 199 // СПС Консультант Плюс.
15. Российская Федерация. Законы Трудовой кодекс Российской Федерации [Электронный ресурс]: фед. закон: [принят Гос. Думой 21 дек. 2001 г.; одобр. Советом Федерации 26 дек. 2001 г.: по сост. на 1 марта 2009 г.] // СПС Консультант Плюс.
16. Российская Федерация. Законы. Гражданский кодекс Российской Федерации [Электронный ресурс]: офиц. текст. - М. : Экзамен, 2001. - 304 с..
17. Комментарий к Кодексу Российской Федерации об административных правонарушениях" (постатейный): [Электронный ресурс] / под ред. Н.Г. Салищевой; 6-е издание, переработанное и дополненное - Проспект, 2009 // СПС Консультант Плюс.
18. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации [Текст]: федер. закон: [принят Гос. Думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 г.]. - М.: Омега-Л, 2007. - 24 с. - 500 экз. - ISBN 5-370-00202-9, 978-5-370-00202-1.
19. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью [Электронный ресурс]. - Введ. 2007-01-01. // СПС Консультант Плюс.
20. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения [Электронный ресурс]. - Введ. 2006-12-27. // СПС Консультант Плюс.
21. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения [Электронный ресурс]. - Введ. 2000-06-30. // СПС Консультант Плюс.


Работу высылаем на протяжении 30 минут после оплаты.



Подобные работы


©2025 Cервис помощи студентам в выполнении работ
.