Помощь студентам в учебе
Модернизация защиты информационной системы персональных данных ООО «РСС Челябинск»
|
АННОТАЦИЯ 1
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 11
ВВЕДЕНИЕ 12
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «РСС Челябинск» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 13
1.1. Разработка технического паспорта 13
1.2. Разработка модели деятельности 13
1.3. Выявление защищаемой информации 13
1.4. Описание информационной системы 13
1.5. Выявление объектов защиты 15
1.6. Разработка модели угроз и уязвимостей для важных объектов защиты 15
1.6.1. Угрозы утечки информации по техническим каналам 15
1.6.1.1. Угрозы утечки акустической(речевой) информации 15
1.6.1.2. Угрозы утечки видовой информации 16
1.6.1.3. Угрозы утечки информации по каналам ПЭМИН 16
1.6.2. Угрозы несанкционированного доступа к информации 16
1.6.2.1. Кража ПЭВМ 16
1.6.2.2. Кража носителей информации 16
1.6.2.3. Кража ключей и атрибутов доступа 16
1.6.2.4. Кража, модификация, уничтожение информации 17
1.6.2.5. Вывод из строя узлов ПЭВМ, каналов связи 17
1.6.2.6. Несанкционированное отключения средств защиты 17
1.6.2.7. Несанкционированный доступ к информации при техническом
обслуживании (ремонте, уничтожении) узлов ПЭВМ 17
1.6.3. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно -аппаратных и программных средств (в том числе программно-математических воздействий) 17
1.6.3.1. Действие вредоносных программ (вирусов) 17
1.6.3.2. Недекларированные возможности системного ПО и ПО для
обработки персональных данных 18
1.6.3.2. Установка ПО, не связанного с исполнением служебных
обязанностей 18
1.6.4.1. Утрата ключей и атрибутов доступа 18
1.6.4.2. Непреднамеренная модификация (уничтожение) информации
сотрудниками 19
1.6.4.3. Непреднамеренное отключение средств защиты 19
1.6.4.4. Выход из строя аппаратно -программных средств 19
1.6.4.5. Сбой системы электроснабжения 19
1.6.4.6. Стихийное бедствие 19
1.6.5. Угрозы преднамеренных действий внутренних нарушителей 19
1.6.5.1. Доступ к информации, модификация, уничтожение лицами, не
допущенными к ее обработке 20
1.6.5.2. Разглашение информации, модификация, уничтожение
сотрудниками, допущенными к ее обработке 20
1.6.5.3. Угрозы несанкционированного доступа по каналам связи 20
1.6.5.4. Угроза «Анализ сетевого траффика» 20
1.6.5.5. Угроза «сканирование сети» 21
1.6.5.6. Угроза выявления паролей 21
1.6.5.7. Угрозы навязывания ложного маршрута сети 21
1.6.5.8. Угрозы подмены доверенного объекта 22
1.6.5.9. Внедрение ложного объекта сети 22
1.6.5.10. Угрозы типа «Отказ в обслуживании» 23
1.6.5.11. Угрозы удаленного запуска приложений 24
1.6.5.12. Угрозы внедрения по сети вредоносных программ 24
1.7. Расчет рисков важных объектов защиты 25
1.7.1. Оценка опасности угроз 28
1.7.2. Определение актуальности угроз 30
1.8. Разработка технического задания на создание системы защиты
персональных данных на предприятии ООО «РСС Челябинск» 31
ВЫВОДЫ ПО ПЕРВОЙ ГЛАВЕ 32
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБОРА СРЕДСТ ЗАЩИТЫ 33
2.1. Обзор возможных методов устранения уязвимостей 33
2.2. Угрозы несанкционированного доступа к информации 33
2.3. Угроза воздействия вредоносных программ(вирусов) 34
2.4. Угроза сканирования, направленная на выявление типа или типов
используемых операционных систем, сетевых адресов рабочих станций, топологии сети, открытых портов и служб, открытых соединений и др 35
ВЫВОД ПО ВТОРОЙ ГЛАВЕ 36
3. РАЗРАБОТКА ПРОЕКТА СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫЗ ДАННЫХ НА ПРЕДПРИЯТИИ ООО «РСС Челябинск»37
3.1. Описание объекта 37
3.2. Резюме проекта 37
3.3. Цели и задачи проекта 37
3.4. Объекты поставки проекта 37
3.4.1. Организационно-распорядительная документация 37
3.4.2. Программно -аппаратные и инженерно-технические меры 38
3.4.3. Обучение персонала 38
3.5. Риски проекта 38
3.6. Структурное разбиение работ 40
3.7. Структурная схема организации проекта 41
3.8. Матрица ответственности 42
3.9. Диаграмма Гранта и сетевой график 43
3.10. Расчёт бюджета проекта и эго эффективности 43
ВЫВОД ПО ТРЕТЬЕЙ ГЛАВЕ 45
ЗАКЛЮЧЕНИЕ 46
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 47
ПРИЛОЖЕНИЕ А 49
ПРИЛОЖЕНИЕ Б 61
ПРИЛОЖЕНИЕ В 67
ПРИЛОЖЕНИЕ Г 68
ПРИЛОЖЕНИЕ Д 69
ПРИЛОЖЕНИЕ Е 71
ПРИЛОЖЕНИЕ Ж 72
ПРИЛОЖЕНИЕ З 74
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 11
ВВЕДЕНИЕ 12
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «РСС Челябинск» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 13
1.1. Разработка технического паспорта 13
1.2. Разработка модели деятельности 13
1.3. Выявление защищаемой информации 13
1.4. Описание информационной системы 13
1.5. Выявление объектов защиты 15
1.6. Разработка модели угроз и уязвимостей для важных объектов защиты 15
1.6.1. Угрозы утечки информации по техническим каналам 15
1.6.1.1. Угрозы утечки акустической(речевой) информации 15
1.6.1.2. Угрозы утечки видовой информации 16
1.6.1.3. Угрозы утечки информации по каналам ПЭМИН 16
1.6.2. Угрозы несанкционированного доступа к информации 16
1.6.2.1. Кража ПЭВМ 16
1.6.2.2. Кража носителей информации 16
1.6.2.3. Кража ключей и атрибутов доступа 16
1.6.2.4. Кража, модификация, уничтожение информации 17
1.6.2.5. Вывод из строя узлов ПЭВМ, каналов связи 17
1.6.2.6. Несанкционированное отключения средств защиты 17
1.6.2.7. Несанкционированный доступ к информации при техническом
обслуживании (ремонте, уничтожении) узлов ПЭВМ 17
1.6.3. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно -аппаратных и программных средств (в том числе программно-математических воздействий) 17
1.6.3.1. Действие вредоносных программ (вирусов) 17
1.6.3.2. Недекларированные возможности системного ПО и ПО для
обработки персональных данных 18
1.6.3.2. Установка ПО, не связанного с исполнением служебных
обязанностей 18
1.6.4.1. Утрата ключей и атрибутов доступа 18
1.6.4.2. Непреднамеренная модификация (уничтожение) информации
сотрудниками 19
1.6.4.3. Непреднамеренное отключение средств защиты 19
1.6.4.4. Выход из строя аппаратно -программных средств 19
1.6.4.5. Сбой системы электроснабжения 19
1.6.4.6. Стихийное бедствие 19
1.6.5. Угрозы преднамеренных действий внутренних нарушителей 19
1.6.5.1. Доступ к информации, модификация, уничтожение лицами, не
допущенными к ее обработке 20
1.6.5.2. Разглашение информации, модификация, уничтожение
сотрудниками, допущенными к ее обработке 20
1.6.5.3. Угрозы несанкционированного доступа по каналам связи 20
1.6.5.4. Угроза «Анализ сетевого траффика» 20
1.6.5.5. Угроза «сканирование сети» 21
1.6.5.6. Угроза выявления паролей 21
1.6.5.7. Угрозы навязывания ложного маршрута сети 21
1.6.5.8. Угрозы подмены доверенного объекта 22
1.6.5.9. Внедрение ложного объекта сети 22
1.6.5.10. Угрозы типа «Отказ в обслуживании» 23
1.6.5.11. Угрозы удаленного запуска приложений 24
1.6.5.12. Угрозы внедрения по сети вредоносных программ 24
1.7. Расчет рисков важных объектов защиты 25
1.7.1. Оценка опасности угроз 28
1.7.2. Определение актуальности угроз 30
1.8. Разработка технического задания на создание системы защиты
персональных данных на предприятии ООО «РСС Челябинск» 31
ВЫВОДЫ ПО ПЕРВОЙ ГЛАВЕ 32
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБОРА СРЕДСТ ЗАЩИТЫ 33
2.1. Обзор возможных методов устранения уязвимостей 33
2.2. Угрозы несанкционированного доступа к информации 33
2.3. Угроза воздействия вредоносных программ(вирусов) 34
2.4. Угроза сканирования, направленная на выявление типа или типов
используемых операционных систем, сетевых адресов рабочих станций, топологии сети, открытых портов и служб, открытых соединений и др 35
ВЫВОД ПО ВТОРОЙ ГЛАВЕ 36
3. РАЗРАБОТКА ПРОЕКТА СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫЗ ДАННЫХ НА ПРЕДПРИЯТИИ ООО «РСС Челябинск»37
3.1. Описание объекта 37
3.2. Резюме проекта 37
3.3. Цели и задачи проекта 37
3.4. Объекты поставки проекта 37
3.4.1. Организационно-распорядительная документация 37
3.4.2. Программно -аппаратные и инженерно-технические меры 38
3.4.3. Обучение персонала 38
3.5. Риски проекта 38
3.6. Структурное разбиение работ 40
3.7. Структурная схема организации проекта 41
3.8. Матрица ответственности 42
3.9. Диаграмма Гранта и сетевой график 43
3.10. Расчёт бюджета проекта и эго эффективности 43
ВЫВОД ПО ТРЕТЬЕЙ ГЛАВЕ 45
ЗАКЛЮЧЕНИЕ 46
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 47
ПРИЛОЖЕНИЕ А 49
ПРИЛОЖЕНИЕ Б 61
ПРИЛОЖЕНИЕ В 67
ПРИЛОЖЕНИЕ Г 68
ПРИЛОЖЕНИЕ Д 69
ПРИЛОЖЕНИЕ Е 71
ПРИЛОЖЕНИЕ Ж 72
ПРИЛОЖЕНИЕ З 74
В современном обществе практически в каждой организации имеется информационная система, на которой обрабатывается большое количество информации. Часть из этой информации — это персональные данные сотрудников и клиентов организации, которая ограниченна к распространению и не должна попасть за пределы организации. Подобная утечка данных может обернуться значительным ущербом для компании. Именно поэтому очень актуальным является вопрос защиты информационной системы предприятия и находящихся в ней данных. Защиту персональных данных, согласно законам РФ, осуществляет оператор или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора [1].
В ООО «РСС Челябинск» уже реализована система защиты ПДн. Причиной модернизации послужил тот факт, что действующая система не обеспечивает достаточный уровень защищённости персональных данных.
Таким образом, актуальность данной работы обусловлена необходимостью модернизации защиты автоматизированной систем обработки персональных данных в ООО «РСС Челябинск».
Объектом выпускной квалификационной работы является ООО «РСС Челябинск».
Предметом выпускной квалификационной работы является автоматизированная система обработки персональных данных «Клиенты» в данной организации.
Целью дипломной работы является модернизация защиты автоматизированной системы обработки персональных данных «Клиенты».
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Проанализировать информационную систему ООО «РСС Челябинск», с целью определения уязвимостей в защите автоматизированной системы обработки персональных данных «Клиенты»;
2. Провести анализ и теоретическое обоснование выбора средств модернизации защиты информации;
3. Разработать проект по модернизации системы защиты автоматизированной системы обработки персональных данных в ООО «РСС Челябинск» «Клиенты».
В ООО «РСС Челябинск» уже реализована система защиты ПДн. Причиной модернизации послужил тот факт, что действующая система не обеспечивает достаточный уровень защищённости персональных данных.
Таким образом, актуальность данной работы обусловлена необходимостью модернизации защиты автоматизированной систем обработки персональных данных в ООО «РСС Челябинск».
Объектом выпускной квалификационной работы является ООО «РСС Челябинск».
Предметом выпускной квалификационной работы является автоматизированная система обработки персональных данных «Клиенты» в данной организации.
Целью дипломной работы является модернизация защиты автоматизированной системы обработки персональных данных «Клиенты».
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Проанализировать информационную систему ООО «РСС Челябинск», с целью определения уязвимостей в защите автоматизированной системы обработки персональных данных «Клиенты»;
2. Провести анализ и теоретическое обоснование выбора средств модернизации защиты информации;
3. Разработать проект по модернизации системы защиты автоматизированной системы обработки персональных данных в ООО «РСС Челябинск» «Клиенты».
В результате проведения выпускной квалификационной работы был проведен анализ состояния защиты информации на предприятии ООО «РСС Челябинск». В ходе предпроектного обследования были выявлены уязвимости в существующей системе защиты информации и отсутствие части организационно -распорядитель-ной документации в области защиты информации. По этой причине были разработаны необходимые организационно-распорядительные документы и установлены программно-аппаратные средства защиты информации.
Результатами выпускной квалификационной работы стали:
- разработан технический паспорт на автоматизированную систему - был проведен осмотр помещений и технических средств, составлены их перечни и схемы расположения;
- разработана модель деятельности предприятия - построены диаграммы, позволяющие выявить потоки защищаемой информации;
- разработана модель угроз и уязвимостей для автоматизированной системы и рассчитаны риски на основе базовой модели угроз безопасности ФСТЭК и методики определения актуальных угроз ФСТЭК;
- разработано техническое задание на модернизацию системы защиты информации на предприятии ООО «РСС Челябинск»;
- проведена оценка экономической эффективности проекта, по ее результатам внедрение системы защиты экономически целесообразно;
- установлены программно-аппаратные средства защиты информации:
- межсетевой экран «TrustAccess1.3»;
- антивирусное ПО « Kaspersky Endpoint Security 10 для Windows »;
- СЗИ от НСД «Secret Net 7».
Итогом проведённой работы является модернизированная система защиты ПДн, отвечающая всем требованиям законодательства.
Результатами выпускной квалификационной работы стали:
- разработан технический паспорт на автоматизированную систему - был проведен осмотр помещений и технических средств, составлены их перечни и схемы расположения;
- разработана модель деятельности предприятия - построены диаграммы, позволяющие выявить потоки защищаемой информации;
- разработана модель угроз и уязвимостей для автоматизированной системы и рассчитаны риски на основе базовой модели угроз безопасности ФСТЭК и методики определения актуальных угроз ФСТЭК;
- разработано техническое задание на модернизацию системы защиты информации на предприятии ООО «РСС Челябинск»;
- проведена оценка экономической эффективности проекта, по ее результатам внедрение системы защиты экономически целесообразно;
- установлены программно-аппаратные средства защиты информации:
- межсетевой экран «TrustAccess1.3»;
- антивирусное ПО « Kaspersky Endpoint Security 10 для Windows »;
- СЗИ от НСД «Secret Net 7».
Итогом проведённой работы является модернизированная система защиты ПДн, отвечающая всем требованиям законодательства.