Модернизация защиты информационной системы персональных данных в Таможенном управлении
|
Аннотация 2
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 9
ВВЕДЕНИЕ 11
1. АНАЛИЗ ИСПДН НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ
ИНФОРМАЦИИ ДЛЯ ИНФОРМАЦИОННЫХ СИСТЕМ,
РЕГЛАМЕНТИРУЕМЫХ ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ РФ
В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 13
1.1. Общие сведения 13
1.2. Описание объекта информатизации 15
1.3. Процессы обработки конфиденциальной информации
(персональных данных) 16
1.3. Сведения об организации безопасности информации на ОИ 18
1.3.1. Технические средства охраны и физическая безопасность на ОИ 18
1.3.2. Оборудование, обслуживание помещений, расположение элементов
ОИ, средства и методы защиты информации 19
1.3.3. Программные средства защиты информации 19
1.4. Организационно-распорядительные и нормативно-методические
документы по защите информации 20
1.5. Сведения о классификации ИСПДН 22
1.6. Вывод по первой главе 23
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ РЕАЛИЗАЦИИ СРЕДСТВ И
МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ 27
2.1. Анализ угроз 27
2.2. Нейтрализация угроз 29
2.2.1. Программно-аппаратные средства 29
2.2.2. Организационные меры 31
2.3. Вывод по второй главе 31
3. МОДЕРНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ «ОПСУР» 33
3.1. Общая информация 33
3.2. Стадии реализации 33
3.3. Основные технические решения 34
3.3.1. Архитектурные решения СЗИ 34
3.3.2. Применяемые средства защиты информации 35
3.3.3. Подсистема организационно-правовых мероприятий 38
3.3.4. Идентификация и аутентификация субъектов доступа и объектов
доступа 40
3.3.5. Управление доступом субъектов доступа к объектам доступа 41
3.3.6. Ограничение программной среды 42
3.3.7. Защита машинных носителей информации 42
3.3.8. Регистрация событий безопасности 42
3.3.9. Антивирусная защита 43
3.3.10. Контроль (анализ) защищенности информации 44
3.3.11. Обеспечение целостности информационной системы и информации 44
3.3.12. Обеспечение доступности информации 45
3.3.13. Защита технических средств 45
3.4. Мероприятия по подготовке к вводу СЗИ в действие 45
3.5. Организационно-технические меры защиты информации от
несанкционированного доступа 46
3.6. Вывод по третей главе 46
4. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ 48
4.1. Введение 48
4.2. Общие требования к организации рабочих мест пользователей 48
4.3. Требования к помещениям для размещения рабочего места 49
4.4. Требования к уровням шума на рабочих местах 50
4.5. Требования к освещению на рабочих местах 50
4.6. Требования к микроклимату 51
4.7. Требования к электробезопасности 52
4.8. Пожарная безопасность 53
4.8. Сравнение параметров рабочего места с допустимыми нормами 58
4.9. Вывод по четвертой главе 60
ЗАКЛЮЧЕНИЕ 61
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 63
ПРИЛОЖЕНИЕ А 65
ПРИЛОЖЕНИЕ Б 76
ПРИЛОЖЕНИЕ В 138
ПРИЛОЖЕНИЕ Г 154
ПРИЛОЖЕНИЕ Д 160
ПРИЛОЖЕНИЕ Е 166
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 9
ВВЕДЕНИЕ 11
1. АНАЛИЗ ИСПДН НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ
ИНФОРМАЦИИ ДЛЯ ИНФОРМАЦИОННЫХ СИСТЕМ,
РЕГЛАМЕНТИРУЕМЫХ ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ РФ
В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 13
1.1. Общие сведения 13
1.2. Описание объекта информатизации 15
1.3. Процессы обработки конфиденциальной информации
(персональных данных) 16
1.3. Сведения об организации безопасности информации на ОИ 18
1.3.1. Технические средства охраны и физическая безопасность на ОИ 18
1.3.2. Оборудование, обслуживание помещений, расположение элементов
ОИ, средства и методы защиты информации 19
1.3.3. Программные средства защиты информации 19
1.4. Организационно-распорядительные и нормативно-методические
документы по защите информации 20
1.5. Сведения о классификации ИСПДН 22
1.6. Вывод по первой главе 23
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ РЕАЛИЗАЦИИ СРЕДСТВ И
МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ 27
2.1. Анализ угроз 27
2.2. Нейтрализация угроз 29
2.2.1. Программно-аппаратные средства 29
2.2.2. Организационные меры 31
2.3. Вывод по второй главе 31
3. МОДЕРНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ «ОПСУР» 33
3.1. Общая информация 33
3.2. Стадии реализации 33
3.3. Основные технические решения 34
3.3.1. Архитектурные решения СЗИ 34
3.3.2. Применяемые средства защиты информации 35
3.3.3. Подсистема организационно-правовых мероприятий 38
3.3.4. Идентификация и аутентификация субъектов доступа и объектов
доступа 40
3.3.5. Управление доступом субъектов доступа к объектам доступа 41
3.3.6. Ограничение программной среды 42
3.3.7. Защита машинных носителей информации 42
3.3.8. Регистрация событий безопасности 42
3.3.9. Антивирусная защита 43
3.3.10. Контроль (анализ) защищенности информации 44
3.3.11. Обеспечение целостности информационной системы и информации 44
3.3.12. Обеспечение доступности информации 45
3.3.13. Защита технических средств 45
3.4. Мероприятия по подготовке к вводу СЗИ в действие 45
3.5. Организационно-технические меры защиты информации от
несанкционированного доступа 46
3.6. Вывод по третей главе 46
4. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ 48
4.1. Введение 48
4.2. Общие требования к организации рабочих мест пользователей 48
4.3. Требования к помещениям для размещения рабочего места 49
4.4. Требования к уровням шума на рабочих местах 50
4.5. Требования к освещению на рабочих местах 50
4.6. Требования к микроклимату 51
4.7. Требования к электробезопасности 52
4.8. Пожарная безопасность 53
4.8. Сравнение параметров рабочего места с допустимыми нормами 58
4.9. Вывод по четвертой главе 60
ЗАКЛЮЧЕНИЕ 61
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 63
ПРИЛОЖЕНИЕ А 65
ПРИЛОЖЕНИЕ Б 76
ПРИЛОЖЕНИЕ В 138
ПРИЛОЖЕНИЕ Г 154
ПРИЛОЖЕНИЕ Д 160
ПРИЛОЖЕНИЕ Е 166
Развитие информационных технологий довольно сильно изменило многие аспекты трудовой деятельности. Если еще 30 лет назад компьютеры использовались исключительно для сложнейших расчетов и управления техническими процессами, то сейчас повсеместная информатизация привела к использованию компьютеров для автоматизации однотипных, а порой рутинных процессов, к каким, в том числе, можно и отнести обработку и передачу персональных данных, служебной информации. Однако подобный подход определил новый ряд проблем. Информация теперь не занимает большого пространства, легко и неконтролируемо модифицируется и копируется. Удобная, структурированная, она стала объектом внимания злоумышленников, которым, порой, не требовалось и личного присутствия для ее перехвата или изменения. Организация защиты информации легла на ее владельцев, а в случае федеральных органов - на государство. Острее стоит проблема в областях, взаимодействующих с иностранными государствами. В таких случаях злоумышленником может выступать международный преступный синдикат, который, зачастую, более подготовлен и оснащен, нежели локальный вредитель. И потому к таким объектам применяются повышенные меры защиты.
Объектом выпускной квалификационной работы является Таможенное управление.
Предметом дипломной работы является система защиты информационной системы персональных данных Таможенного управления.
Целью выпускной квалификационной работы является модернизация защиты информационной системы персональных данных в Таможенном управлении .
Для достижения поставленной цели необходимо произвести:
1. анализ ИСПДн на соответствие требованиям по защите информации для информационных систем, регламентируемых действующим законодательством РФ в области информационной безопасности, а именно:
- анализ организационной структуры объекта информатизации, информационных потоков, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
- анализ текущих средств защиты информации;
- определение структуры системы защиты информации и ее подсистем;
- анализ состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте.
2. теоретическое обоснование реализации средств и методов защиты информации, а именно:
- анализ угроз;
- нейтрализация угроз;
- программно-аппаратные средства;
- организационные меры.
3. модернизация системы защиты ИСПДн «ОПСУР», а именно представить:
- стадии реализации;
- основные технические решения;
- архитектурные решения СЗИ;
- применяемые средства защиты информации;
- подсистему организационно-правовых мероприятий;
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- контроль (анализ) защищенности информации;
- обеспечение целостности информационной системы и информации;
- обеспечение доступности информации;
- защиту технических средств;
- мероприятия по подготовке к вводу СЗИ в действие;
- организационно-технические меры защиты информации от несанкционированного доступа.
Объектом выпускной квалификационной работы является Таможенное управление.
Предметом дипломной работы является система защиты информационной системы персональных данных Таможенного управления.
Целью выпускной квалификационной работы является модернизация защиты информационной системы персональных данных в Таможенном управлении .
Для достижения поставленной цели необходимо произвести:
1. анализ ИСПДн на соответствие требованиям по защите информации для информационных систем, регламентируемых действующим законодательством РФ в области информационной безопасности, а именно:
- анализ организационной структуры объекта информатизации, информационных потоков, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
- анализ текущих средств защиты информации;
- определение структуры системы защиты информации и ее подсистем;
- анализ состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте.
2. теоретическое обоснование реализации средств и методов защиты информации, а именно:
- анализ угроз;
- нейтрализация угроз;
- программно-аппаратные средства;
- организационные меры.
3. модернизация системы защиты ИСПДн «ОПСУР», а именно представить:
- стадии реализации;
- основные технические решения;
- архитектурные решения СЗИ;
- применяемые средства защиты информации;
- подсистему организационно-правовых мероприятий;
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- контроль (анализ) защищенности информации;
- обеспечение целостности информационной системы и информации;
- обеспечение доступности информации;
- защиту технических средств;
- мероприятия по подготовке к вводу СЗИ в действие;
- организационно-технические меры защиты информации от несанкционированного доступа.
Результатом выпускной квалификационной работы является модернизация действующей защиты информации персональных данных в Таможенном управлении. В результате работы был проведен предварительный анализ соответствия текущего уровня защиты объекта информатизации ИСПДн «ОПСУР» Таможенного управления требованиям законодательства в сфере защиты информации, а именно:
- требованиям, предусмотренным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- требованиям по обеспечения уровня защищенности персональных данных, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- требованиям, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
По полученным данным были произведен анализ угроз и выявлены актуальные, составлена модель угроз (Приложение Б) и модель нарушителя, произведена актуализация технических средств вычислительной техники, их окружения, расположения и линий коммуникаций. Для оценки актуальность угрозы утечки информации по каналам побочных электромагнитных излучений и наводок(ПЭМИН) произведен замер расстояния, на которое распространяется информативный сигнал от всех ОТСС. На основании замеров был составлен протокол оценки защищенности объекта информатизации информационной системы персональных данных «ОПСУР» Таможенного управления на соответствие требованиям по защите информации от утечки по каналам ПЭМИН (Приложение А).
В результате полученных данных были выявлены основные направления модернизации текущей системы защиты.
Для нейтрализации угроз НСД предлагается установка и настройка СЗИ от НСД Dallas Lock 8.0-С.
Антивирусная защита остается без изменений и обеспечивается средствами сертифицированного ПО Kaspersky Endpoint Security 10 для Windows.
Для устранения выявленных недостатков по части организационно-распорядительной документации, её дополнили следующими документами:
1. инструкция лица, ответственного за организацию обработки персональных данных в Таможенном управлении (Приложение Г);
2. перечень должностей служащих и работников Таможенного управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
3. перечень лиц, допущенных к обработке персональных данных в ИСПДн «ОПСУР» Таможенного управления;
4. инструкция по организации учета, использования и уничтожения носителей персональных данных в Таможенном управлении (Приложение Д);
На основании обновленных сведений также был составлен технический паспорт (Приложение Е).
Правильная организация рабочего пространства сотрудника является залогом его успешной и продолжительной службы. Наиболее продолжительный аспект работы в Таможенном управлении связан с взаимодействием с информационной системой посредствам вычислительной техники, по этой причине важно обеспечить соответствие рабочих мест сотрудников действующим нормам стандартов по безопасности жизнедеятельности. Реализация требований санитарных правил позволит предотвратить неблагоприятное влияния на здоровье человека вредных факторов производственной среды и трудового процесса при работе с ПЭВМ.
Был произведен анализ типового рабочего места таможенного управления на соответствие санитарным правилам. Были рассмотрены общие требования к организации рабочих мест пользователей, обозначены требования к:
- помещениям для размещения рабочего места;
- уровням шума на рабочих местах;
- освещению на рабочих местах;
- микроклимату;
- электробезопасности;
Установлены основные требования РФ к пожарной безопасности объекта.
На основе полученных данных были формализованы санитарные требования рабочего места. Произведен замер всех необходимых параметров типового рабочего места сотрудника Таможенного управления. Дальнейшее сравнение выявленных результатов с требованиями показало, что рабочее место не полностью соответствует санитарным правилам и требует изменения. Необходимо дополнение рабочего места подставкой для ног.
- требованиям, предусмотренным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- требованиям по обеспечения уровня защищенности персональных данных, утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- требованиям, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
По полученным данным были произведен анализ угроз и выявлены актуальные, составлена модель угроз (Приложение Б) и модель нарушителя, произведена актуализация технических средств вычислительной техники, их окружения, расположения и линий коммуникаций. Для оценки актуальность угрозы утечки информации по каналам побочных электромагнитных излучений и наводок(ПЭМИН) произведен замер расстояния, на которое распространяется информативный сигнал от всех ОТСС. На основании замеров был составлен протокол оценки защищенности объекта информатизации информационной системы персональных данных «ОПСУР» Таможенного управления на соответствие требованиям по защите информации от утечки по каналам ПЭМИН (Приложение А).
В результате полученных данных были выявлены основные направления модернизации текущей системы защиты.
Для нейтрализации угроз НСД предлагается установка и настройка СЗИ от НСД Dallas Lock 8.0-С.
Антивирусная защита остается без изменений и обеспечивается средствами сертифицированного ПО Kaspersky Endpoint Security 10 для Windows.
Для устранения выявленных недостатков по части организационно-распорядительной документации, её дополнили следующими документами:
1. инструкция лица, ответственного за организацию обработки персональных данных в Таможенном управлении (Приложение Г);
2. перечень должностей служащих и работников Таможенного управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
3. перечень лиц, допущенных к обработке персональных данных в ИСПДн «ОПСУР» Таможенного управления;
4. инструкция по организации учета, использования и уничтожения носителей персональных данных в Таможенном управлении (Приложение Д);
На основании обновленных сведений также был составлен технический паспорт (Приложение Е).
Правильная организация рабочего пространства сотрудника является залогом его успешной и продолжительной службы. Наиболее продолжительный аспект работы в Таможенном управлении связан с взаимодействием с информационной системой посредствам вычислительной техники, по этой причине важно обеспечить соответствие рабочих мест сотрудников действующим нормам стандартов по безопасности жизнедеятельности. Реализация требований санитарных правил позволит предотвратить неблагоприятное влияния на здоровье человека вредных факторов производственной среды и трудового процесса при работе с ПЭВМ.
Был произведен анализ типового рабочего места таможенного управления на соответствие санитарным правилам. Были рассмотрены общие требования к организации рабочих мест пользователей, обозначены требования к:
- помещениям для размещения рабочего места;
- уровням шума на рабочих местах;
- освещению на рабочих местах;
- микроклимату;
- электробезопасности;
Установлены основные требования РФ к пожарной безопасности объекта.
На основе полученных данных были формализованы санитарные требования рабочего места. Произведен замер всех необходимых параметров типового рабочего места сотрудника Таможенного управления. Дальнейшее сравнение выявленных результатов с требованиями показало, что рабочее место не полностью соответствует санитарным правилам и требует изменения. Необходимо дополнение рабочего места подставкой для ног.
Подобные работы
- МАРКЕТИНГ ИННОВАЦИОННОЙ ПРОДУКЦИИ
Бакалаврская работа, экономика. Язык работы: Русский. Цена: 4335 р. Год сдачи: 2019 - Создание системы планирования планово - предупредительных работ на объектах и оборудовании информационной инфраструктуры предприятия, на основе данных сетевого
мониторинга
Магистерская диссертация, информатика. Язык работы: Русский. Цена: 5900 р. Год сдачи: 2016 - СОВЕРШЕНСТВОВАНИЕ АДМИНИСТРИРОВАНИЯ
ТАМОЖЕННЫХ ПЛАТЕЖЕЙ (НА ПРИМЕРЕ БЕЛГОРОДСКОЙ
ТАМОЖНИ)
Бакалаврская работа, таможенное дело. Язык работы: Русский. Цена: 3800 р. Год сдачи: 2018 - СОВЕРШЕНСТВОВАНИЕ ОРГАНИЗАЦИИ ДОКУМЕНТООБОРОТА
В ТАМОЖЕННЫХ ОРГАНАХ РОССИЙСКОЙ ФЕДЕРАЦИИ
(НА ПРИМЕРЕ БЕЛГОРОДСКОЙ ТАМОЖНИ)
Бакалаврская работа, таможенное дело. Язык работы: Русский. Цена: 3900 р. Год сдачи: 2018 - НАЛОГООБЛОЖЕНИЕ В ЦИФРОВОЙ ЭКОНОМИКЕ
Бакалаврская работа, экономика. Язык работы: Русский. Цена: 4380 р. Год сдачи: 2020 - Организация кадрового менеджмента в учреждении (на примере ОГБУЗ «Томский областной кожно-венерологический диспансер»)
Дипломные работы, ВКР, менеджмент. Язык работы: Русский. Цена: 5900 р. Год сдачи: 2016 - СОВЕРШЕНСТВОВАНИЕ ВОСПИТАТЕЛЬНО- ПРОФИЛАКТИЧЕСКОЙ РАБОТЫ В ТАМОЖЕННЫХ ОРГАНАХ РОССИЙСКОЙ ФЕДЕРАЦИИ (НА ПРИМЕРЕ БЕЛГОРОДСКОЙ ТАМОЖНИ)
Дипломные работы, ВКР, таможенное дело. Язык работы: Русский. Цена: 6100 р. Год сдачи: 2017 - Правовое регулирование разрешительной деятельности в сфере связи
Магистерская диссертация, юриспруденция. Язык работы: Русский. Цена: 4850 р. Год сдачи: 2022 - СОВЕРШЕНСТВОВАНИЕ ВОСПИТАТЕЛЬНО-ПАТРИОТИЧЕСКОЙ РАБОТЫ В ТАМОЖЕННЫХ ОРГАНАХ РОССИЙСКОЙ ФЕДЕРАЦИИ (НА ПРИМЕРЕ БЕЛГОРОДСКОЙ ТАМОЖНИ)
Дипломные работы, ВКР, таможенное дело. Язык работы: Русский. Цена: 4340 р. Год сдачи: 2019 - АДМИНИСТРАТИВНЫЙ ПРОЦЕСС В ОБЛАСТИ ДОРОЖНОГО ДВИЖЕНИЯ НА ПРИМЕРЕ БЕЛГОРОДСКОЙ ОБЛАСТИ
Дипломные работы, ВКР, юриспруденция. Язык работы: Русский. Цена: 4315 р. Год сдачи: 2017