Помощь студентам в учебе
Подготовка к аттестации объекта информатизации департамента здравоохранения Курганской области
|
СПИСОК СОКРАЩЕНИЙ 9
ОПРЕДЕЛЕНИЯ 10
ВВЕДЕНИЕ 11
1 СБОР ИНФОРМАЦИИ О ИСПДН И АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ
ИНФОРМАЦИИ В ДЕПАРТАМЕНТЕ ЗДРАВООХРАНЕНИЯ 12
1.1 Разработка технического паспорта 12
1.1.1 Общие сведения об ИСПДн 12
1.1.2 Состав оборудования ИСПДн 12
1.2 Сбор информации об обрабатываемых персональных данных 17
1.3 Составления акта определения уровня защищенности 17
1.4 Описание технологического процесса обработки информации на объекте
информатизации 18
1.4.1 Расположение объекта информатизации 18
1.4.2 Назначение объекта информатизации 18
1.4.3 Организация охраны и контроля доступа 18
1.4.4 Состав ИСПДн 18
1.4.5 Доступ к информационным ресурсам 19
1.5 Разработка технического задания на аттестацию Департамента Здравоохранения 20
1.6 Разработка модели угроз 21
1.7 Выводы по первой главе 21
2 ДОРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ И ПОДГОТОВКА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ К РАБОТЕ 22
2.1 Организационно-распорядительная документация 22
2.2 Анализ модели угроз 23
2.2.1 Определение актуальных угроз безопасности ПДн при обработке 23
2.2.2 Модель нарушителя 24
2.2.3 Мотивация нарушителя 26
2.2.4 Уровень защищенности системы в ходе её эксплуатации 30
2.2.5 Определение степени ущерба (Xj) 31
2.2.6 Определение актуальных угроз безопасности ИСПДн 33
2.3 Решение ООО «ИТ Энигма» о поставке СЗИ 33
2.4 Моё мнение по выбранным СЗИ 34
2.4.1 Выбор средства защиты информации от несанкционированного доступа 34
2.4.2 Выбор средства антивирусной защиты информации 36
2.5 Установка СЗИ, в составе бригады ООО «ИТ Энигма» 37
2.6 Выводы по второй главе 40
3. ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ И РАЗРАБОТКА
АТТЕСТАЦИОННОЙ ДОКУМЕНТАЦИИ 41
3.1 Разработка документа «Программа и методики» 41
3.2 Аттестационные испытания 44
3.3 Составление заключения и решение о выдаче аттестата 47
3.3.1 Общие положения 47
3.3.2 Характеристика объекта информатизации 49
3.3.3 Порядок проведения аттестационных испытаний 49
3.3.4 Результаты аттестационных испытаний 51
3.3.5 Заключение 53
3.4 Аттестат соответствия на право обработки ПДн 54
3.5 Вывод по третьей главе 54
4 ЗАКЛЮЧЕНИЕ 55
5 БИБЛИОГРАФИЧЕСКИЙ СПИСОК 56
ПРИЛОЖЕНИЕ А 58
ПРИЛОЖЕНИЕ Б 79
ПРИЛОЖЕНИЕ В 95
ПРИЛОЖЕНИЕ Г 97
ПРИЛОЖЕНИЕ Д 99
ПРИЛОЖЕНИЕ Е 101
ПРИЛОЖЕНИЕ Ж 115
ПРИЛОЖЕНИЕ З 119
ПРИЛОЖЕНИЕ И 142
ПРИЛОЖЕНИЕ К 161
ПРИЛОЖЕНИЕ Л 163
ОПРЕДЕЛЕНИЯ 10
ВВЕДЕНИЕ 11
1 СБОР ИНФОРМАЦИИ О ИСПДН И АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ
ИНФОРМАЦИИ В ДЕПАРТАМЕНТЕ ЗДРАВООХРАНЕНИЯ 12
1.1 Разработка технического паспорта 12
1.1.1 Общие сведения об ИСПДн 12
1.1.2 Состав оборудования ИСПДн 12
1.2 Сбор информации об обрабатываемых персональных данных 17
1.3 Составления акта определения уровня защищенности 17
1.4 Описание технологического процесса обработки информации на объекте
информатизации 18
1.4.1 Расположение объекта информатизации 18
1.4.2 Назначение объекта информатизации 18
1.4.3 Организация охраны и контроля доступа 18
1.4.4 Состав ИСПДн 18
1.4.5 Доступ к информационным ресурсам 19
1.5 Разработка технического задания на аттестацию Департамента Здравоохранения 20
1.6 Разработка модели угроз 21
1.7 Выводы по первой главе 21
2 ДОРАБОТКА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ И ПОДГОТОВКА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ К РАБОТЕ 22
2.1 Организационно-распорядительная документация 22
2.2 Анализ модели угроз 23
2.2.1 Определение актуальных угроз безопасности ПДн при обработке 23
2.2.2 Модель нарушителя 24
2.2.3 Мотивация нарушителя 26
2.2.4 Уровень защищенности системы в ходе её эксплуатации 30
2.2.5 Определение степени ущерба (Xj) 31
2.2.6 Определение актуальных угроз безопасности ИСПДн 33
2.3 Решение ООО «ИТ Энигма» о поставке СЗИ 33
2.4 Моё мнение по выбранным СЗИ 34
2.4.1 Выбор средства защиты информации от несанкционированного доступа 34
2.4.2 Выбор средства антивирусной защиты информации 36
2.5 Установка СЗИ, в составе бригады ООО «ИТ Энигма» 37
2.6 Выводы по второй главе 40
3. ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ И РАЗРАБОТКА
АТТЕСТАЦИОННОЙ ДОКУМЕНТАЦИИ 41
3.1 Разработка документа «Программа и методики» 41
3.2 Аттестационные испытания 44
3.3 Составление заключения и решение о выдаче аттестата 47
3.3.1 Общие положения 47
3.3.2 Характеристика объекта информатизации 49
3.3.3 Порядок проведения аттестационных испытаний 49
3.3.4 Результаты аттестационных испытаний 51
3.3.5 Заключение 53
3.4 Аттестат соответствия на право обработки ПДн 54
3.5 Вывод по третьей главе 54
4 ЗАКЛЮЧЕНИЕ 55
5 БИБЛИОГРАФИЧЕСКИЙ СПИСОК 56
ПРИЛОЖЕНИЕ А 58
ПРИЛОЖЕНИЕ Б 79
ПРИЛОЖЕНИЕ В 95
ПРИЛОЖЕНИЕ Г 97
ПРИЛОЖЕНИЕ Д 99
ПРИЛОЖЕНИЕ Е 101
ПРИЛОЖЕНИЕ Ж 115
ПРИЛОЖЕНИЕ З 119
ПРИЛОЖЕНИЕ И 142
ПРИЛОЖЕНИЕ К 161
ПРИЛОЖЕНИЕ Л 163
На сегодняшний день невозможно представить учреждение или предприятие, которое не обрабатывает персональные данные. Обрабатываются данные о сотрудниках, контрагентах, партнерах, акционерах и т.д. Согласно Федеральному закону №152 персональные данные - это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Существуют требования к защите персональных данных при их обработке в информационной системе установленные постановлением Правительства РФ от 1 ноября 2012 г. № 1119, где установлен порядок обработки персональных данных и определены ответственные за это. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Для того, чтобы подтвердить степень защищённости информационной системы существует процедура аттестации, обязательная для гос. учреждений по приказу ФСТЭК № 21.
Таким образом защита информационной системы персональных данных обуславливается законом и необходима в обязательном порядке для Департамента здравоохранения Курганской области. Как и необходим аудит соответствия обработки персональных данных настоящему Федеральному закону, а именно аттестация ИСПДн. Что в свою очередь подтверждает актуальность данной работы.
Объектом выпускной квалификационной работы является Департамент здравоохранения Курганской области.
Предметом выпускной квалификационной работы является подготовка к аттестации ИСПДн и последующая аттестация ИСПДн учреждения от организации лицензиата ООО «ИТ Энигма».
Целью дипломной работы является разработка аттестационных и нормативных документов, проведения аттестационных испытаний и решение о выдаче или не выдаче аттестата соответствия.
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Собрать и проанализировать информацию о ИСПДн департамента здраво-охранения, и подготовить к аттестации .
2. Доработать организационно-распорядительную документацию и подготовить средства защиты информации к работе.
3. Провести аттестационные испытания и разработать аттестационную документацию.
Сведенья в работе являются конфиденциальными, и могут нанести ущерб при их распространении, поэтому с целью избежать раскрытия, информация будет искажена
Таким образом защита информационной системы персональных данных обуславливается законом и необходима в обязательном порядке для Департамента здравоохранения Курганской области. Как и необходим аудит соответствия обработки персональных данных настоящему Федеральному закону, а именно аттестация ИСПДн. Что в свою очередь подтверждает актуальность данной работы.
Объектом выпускной квалификационной работы является Департамент здравоохранения Курганской области.
Предметом выпускной квалификационной работы является подготовка к аттестации ИСПДн и последующая аттестация ИСПДн учреждения от организации лицензиата ООО «ИТ Энигма».
Целью дипломной работы является разработка аттестационных и нормативных документов, проведения аттестационных испытаний и решение о выдаче или не выдаче аттестата соответствия.
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Собрать и проанализировать информацию о ИСПДн департамента здраво-охранения, и подготовить к аттестации .
2. Доработать организационно-распорядительную документацию и подготовить средства защиты информации к работе.
3. Провести аттестационные испытания и разработать аттестационную документацию.
Сведенья в работе являются конфиденциальными, и могут нанести ущерб при их распространении, поэтому с целью избежать раскрытия, информация будет искажена
В данной работе мною была проделана работа:
- по сбору информации и анализу состояния защиты ИСПДн Департамента здравоохранения Курганской области. Входе сбора информации были выделены объекты защиты, разработан техпаспорт к ним (Приложение Г), выделен состав их ПДн (Таблица 7), составлено описание технологического процесса (Пункт 1.4).
- Был проведен анализ полученной информации, в результате, в соответствии с постановлением правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», был определён третий уровень защищённости ИС- ПДн (Приложение В), на основе которой разработана модель угроз (Приложение А) в соответствии с документом ФСТЭК России от 14 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и составлено техническое задание на разработку ИСПДн Департамента здравоохранения Курганской области (Приложение А).
- Была проанализирована модель угроз и предложены дополнения, рассмотренные и принятые компанией ООО «ИТ Энигма». Был проверено наличие нормативной документации и принято решения о пополнение набора организационно распорядительных документов.
- Основываясь на Модели угроз (приложение Б), изменения в модели угроз (пункт 2.2), описании технологического процесса (пункт 1.4), техническом паспорте (Приложение Г) и техническом задании (Приложение А), мной был проведён анализ и выбор средств защиты информации (Пункт 2.4), который совпал с решением компании ООО «ИТ Энигма» (Пункт 2.3).
- Произведена проверка настройки и донастройка данных средств в составе комиссии ООО «ИТ Энигма».
- Принял участие в его разработке было принято участие в разработке документа «программа и методики» (Пункт 3.1).
- Принял участие в аттестационных испытаниях, где лично провёл успешное испытания на гарантированное уничтожение информации с помощью программы «TERRIER» (Пункт 3.2).
- Разработан документ «Заключение» по результатам аттестационных испытаний (Пункт 3.3), где сделаны выводы по «Протоколу» аттестационных испытаний.
Основываясь на заключении, аттестационная комиссия лицензиата ООО «ИТ Энигма» посчитала, что реализованные средства и меры защиты достаточны и соответствуют требованиям действующих нормативных документов по безопасности информации. Таким образом, на аттестуемую ИСПДн Департамента здравоохранения Курганской области был выдан аттестат соответствия на право обработки ПДн в соответствии с установленным уровнем защищенности и сроком на три года (приложение Л).
- по сбору информации и анализу состояния защиты ИСПДн Департамента здравоохранения Курганской области. Входе сбора информации были выделены объекты защиты, разработан техпаспорт к ним (Приложение Г), выделен состав их ПДн (Таблица 7), составлено описание технологического процесса (Пункт 1.4).
- Был проведен анализ полученной информации, в результате, в соответствии с постановлением правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», был определён третий уровень защищённости ИС- ПДн (Приложение В), на основе которой разработана модель угроз (Приложение А) в соответствии с документом ФСТЭК России от 14 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и составлено техническое задание на разработку ИСПДн Департамента здравоохранения Курганской области (Приложение А).
- Была проанализирована модель угроз и предложены дополнения, рассмотренные и принятые компанией ООО «ИТ Энигма». Был проверено наличие нормативной документации и принято решения о пополнение набора организационно распорядительных документов.
- Основываясь на Модели угроз (приложение Б), изменения в модели угроз (пункт 2.2), описании технологического процесса (пункт 1.4), техническом паспорте (Приложение Г) и техническом задании (Приложение А), мной был проведён анализ и выбор средств защиты информации (Пункт 2.4), который совпал с решением компании ООО «ИТ Энигма» (Пункт 2.3).
- Произведена проверка настройки и донастройка данных средств в составе комиссии ООО «ИТ Энигма».
- Принял участие в его разработке было принято участие в разработке документа «программа и методики» (Пункт 3.1).
- Принял участие в аттестационных испытаниях, где лично провёл успешное испытания на гарантированное уничтожение информации с помощью программы «TERRIER» (Пункт 3.2).
- Разработан документ «Заключение» по результатам аттестационных испытаний (Пункт 3.3), где сделаны выводы по «Протоколу» аттестационных испытаний.
Основываясь на заключении, аттестационная комиссия лицензиата ООО «ИТ Энигма» посчитала, что реализованные средства и меры защиты достаточны и соответствуют требованиям действующих нормативных документов по безопасности информации. Таким образом, на аттестуемую ИСПДн Департамента здравоохранения Курганской области был выдан аттестат соответствия на право обработки ПДн в соответствии с установленным уровнем защищенности и сроком на три года (приложение Л).