Помощь студентам в учебе
Разработка защищенной информационной системы персональных данных ООО «Трехгорный керамический завод»
|
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 9
ВВЕДЕНИЕ 11
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «ТРЕХГОРНЫЙ КЕРАМИЧЕСКИЙ ЗАВОД» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 12
1.1. Разработка технического паспорта 12
1.2. Разработка модели деятельности 12
1.3. Выявление защищаемой информации 12
1.4. Описание информационной системы 12
1.5. Выявление объектов защиты 14
1.6. Разработка модели угроз и уязвимостей для важных объектов защиты .. 15
1.7. Разработка технического задания на создание системы защиты персональных данных на предприятии ООО «Трехгорный керамический завод» .. 15
1.8. Уровень защищенности персональных данных 15
1.9. Выводы по первой главе 17
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБОРА СРЕДСТВ ЗАЩИТЫ 18
2.1. Обзор возможных методов устранения уязвимостей 18
2.1.1. Угроза доступа к информации, ее модификации и уничтожение лицами, не имеющими прав доступа 18
2.1.2. Угроза воздействия вредоносных программ (вирусов) 19
2.1.3. Угроза сканирования, направленная на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.. 21
2.1.4. Угроза выявления паролей по сети 22
2.1.5. Угроза типа «Отказ в обслуживании» 23
2.1.6. Угроза внедрения по сети вредоносных программ 24
2.1.7. Угроза удаленного запуска приложений 24
2.2. Выводы по второй главе 26
3. РАЗРАБОТКА ПРОЕКТА СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ НА ПРЕДПРИЯТИИ ООО «ТРЕХГОРНЫЙ КЕРАМИЧЕСКИЙ ЗАВОД» 27
3.1. Описание объекта 27
3.2. Резюме проекта 27
3.3. Цели и задачи проекта 28
3.4. Объекты поставки проекта 28
3.5. Риски проекта 28
3.6. Структура разбиения работ 30
3.7. Структурная схема организации проекта 31
3.8. Матрица ответственности 32
3.9. Диаграмма Ганта и сетевой график 33
3.10. Расчет бюджета проекта 36
Выводы по третьей главе 37
ЗАКЛЮЧЕНИЕ 38
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 41
ПРИЛОЖЕНИЕ А 43
ПРИЛОЖЕНИЕ Б 51
ПРИЛОЖЕНИЕ В 66
ПРИЛОЖЕНИЕ Г 67
ПРИЛОЖЕНИЕ Д 72
ПРИЛОЖЕНИЕ Е 77
ПРИЛОЖЕНИЕ Ж 83
ПРИЛОЖЕНИЕ З 88
ПРИЛОЖЕНИЕ И 91
ПРИЛОЖЕНИЕ К 93
ПРИЛОЖЕНИЕ Л 114
ПРИЛОЖЕНИЕ М 119
ПРИЛОЖЕНИЕ Н 122
ВВЕДЕНИЕ 11
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «ТРЕХГОРНЫЙ КЕРАМИЧЕСКИЙ ЗАВОД» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 12
1.1. Разработка технического паспорта 12
1.2. Разработка модели деятельности 12
1.3. Выявление защищаемой информации 12
1.4. Описание информационной системы 12
1.5. Выявление объектов защиты 14
1.6. Разработка модели угроз и уязвимостей для важных объектов защиты .. 15
1.7. Разработка технического задания на создание системы защиты персональных данных на предприятии ООО «Трехгорный керамический завод» .. 15
1.8. Уровень защищенности персональных данных 15
1.9. Выводы по первой главе 17
2. ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ ВЫБОРА СРЕДСТВ ЗАЩИТЫ 18
2.1. Обзор возможных методов устранения уязвимостей 18
2.1.1. Угроза доступа к информации, ее модификации и уничтожение лицами, не имеющими прав доступа 18
2.1.2. Угроза воздействия вредоносных программ (вирусов) 19
2.1.3. Угроза сканирования, направленная на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.. 21
2.1.4. Угроза выявления паролей по сети 22
2.1.5. Угроза типа «Отказ в обслуживании» 23
2.1.6. Угроза внедрения по сети вредоносных программ 24
2.1.7. Угроза удаленного запуска приложений 24
2.2. Выводы по второй главе 26
3. РАЗРАБОТКА ПРОЕКТА СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ НА ПРЕДПРИЯТИИ ООО «ТРЕХГОРНЫЙ КЕРАМИЧЕСКИЙ ЗАВОД» 27
3.1. Описание объекта 27
3.2. Резюме проекта 27
3.3. Цели и задачи проекта 28
3.4. Объекты поставки проекта 28
3.5. Риски проекта 28
3.6. Структура разбиения работ 30
3.7. Структурная схема организации проекта 31
3.8. Матрица ответственности 32
3.9. Диаграмма Ганта и сетевой график 33
3.10. Расчет бюджета проекта 36
Выводы по третьей главе 37
ЗАКЛЮЧЕНИЕ 38
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 41
ПРИЛОЖЕНИЕ А 43
ПРИЛОЖЕНИЕ Б 51
ПРИЛОЖЕНИЕ В 66
ПРИЛОЖЕНИЕ Г 67
ПРИЛОЖЕНИЕ Д 72
ПРИЛОЖЕНИЕ Е 77
ПРИЛОЖЕНИЕ Ж 83
ПРИЛОЖЕНИЕ З 88
ПРИЛОЖЕНИЕ И 91
ПРИЛОЖЕНИЕ К 93
ПРИЛОЖЕНИЕ Л 114
ПРИЛОЖЕНИЕ М 119
ПРИЛОЖЕНИЕ Н 122
В настоящее время Россия является активным участником международного информационного обмена, что сделало задачу защиты частной жизни граждан особенно актуальной. Правовой режим защиты персональных данных работника в современных условиях приобретает актуальное значение в виду того, что российским законодательством, и, прежде всего Конституцией РФ провозглашен принцип не-вмешательства в частную жизнь лица, который предполагает предоставление каждому члену общества гарантированной государством возможности контролировать сбор и обработку информации о его частной жизни.
Продукцией, выпускаемой на предприятии, является пропант алюмосиликатный (керамический) средней прочности. Керамический пропант имеет огромное значение в процессе добычи нефти. Это изобретение было создано для увеличения нефтеотдачи пластов при проведении операции ГРП, пропант предотвращает смыкание трещины разрыва, обеспечивая свободный проход нефтегазонасыщенного конденсата к устью скважины.
В процессе создания продукции участвуют более 500 человек, и в соответствии с Федеральным законом № 152-ФЗ предприятие должно обеспечить защиту персональных данных всех этих людей - своих сотрудников и принять все необходимые меры по защите их ПДн.
Таким образом, актуальность данной работы обусловлена необходимостью создания защиты автоматизированной системы обработки персональных данных в ООО «Трехгорный керамический завод».
Объектом выпускной квалификационной работы является ООО «Трехгорный керамический завод».
Предметом выпускной квалификационной работы является автоматизированная система обработки персональных данных в данной организации.
Целью дипломной работы является выбор и обоснование мер по защите автоматизированной системы обработки персональных данных.
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Провести анализ информационной системы ООО «Трехгорный керамический завод» и обосновать необходимость создания системы защиты персональных данных.
2. Проанализировать и теоретически обосновать выбор средств защиты информации.
3. Разработать проект по созданию системы защиты персональных данных в ООО «Трехгорный керамический завод».
Продукцией, выпускаемой на предприятии, является пропант алюмосиликатный (керамический) средней прочности. Керамический пропант имеет огромное значение в процессе добычи нефти. Это изобретение было создано для увеличения нефтеотдачи пластов при проведении операции ГРП, пропант предотвращает смыкание трещины разрыва, обеспечивая свободный проход нефтегазонасыщенного конденсата к устью скважины.
В процессе создания продукции участвуют более 500 человек, и в соответствии с Федеральным законом № 152-ФЗ предприятие должно обеспечить защиту персональных данных всех этих людей - своих сотрудников и принять все необходимые меры по защите их ПДн.
Таким образом, актуальность данной работы обусловлена необходимостью создания защиты автоматизированной системы обработки персональных данных в ООО «Трехгорный керамический завод».
Объектом выпускной квалификационной работы является ООО «Трехгорный керамический завод».
Предметом выпускной квалификационной работы является автоматизированная система обработки персональных данных в данной организации.
Целью дипломной работы является выбор и обоснование мер по защите автоматизированной системы обработки персональных данных.
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Провести анализ информационной системы ООО «Трехгорный керамический завод» и обосновать необходимость создания системы защиты персональных данных.
2. Проанализировать и теоретически обосновать выбор средств защиты информации.
3. Разработать проект по созданию системы защиты персональных данных в ООО «Трехгорный керамический завод».
В результате проделанной работы была создана защищенная система персональных данных в ООО «Трехгорный керамический завод». В ходе разработки было проведено обследование организации, в рамках которого была установлена специфика деятельности, особенности и характеристики, а также возможные уязвимости и угрозы, стоящие перед организацией.
По результатам обследования был разработан пакет документов, включающий в себя:
- акт определения уровня защищенности ИСПДн «Сотрудники» (Приложение М);
- организационно-распорядительную и эксплуатационную документацию (Приложения Г -И);
- модель угроз для ИСПДн «Сотрудники» (Приложение К);
- техническое задание для ИСПДн «Сотрудники» (Приложение Б).
Проведение мероприятий по созданию системы защиты персональных данных показало, что внедрение новых организационных мер и технических средств оказывает влияние на привычный процесс работы, что говорит о необходимости проведения дополнительного обучения персонала организации.
В качестве объекта защиты был выбран отдел кадров ООО «Трехгорный керамический завод», а также выявлена информация ограниченного доступа - персональные данные. Категория персональных данных - иные ПДн. Был проведен анализ информационной системы отдела с целью выявления объектов защиты.
Основываясь на перечне объектов защиты и «Базовой модели угроз безопасности информации при их обработке в ИСПДн» ФСТЭК России от 15 февраля 2008 г. была разработана модель угроз и уязвимостей и выявлены типы актуальных угроз:
- Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа.
- Воздействие вредоносных программ (вирусов).
- Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИС- ПДн, топологии сети, открытых портов и служб, открытых соединений и др.
- Угроза выявления паролей по сети.
- Угрозы типа «Отказ в обслуживании».
- Угрозы внедрения по сети вредоносных программ.
- Угрозы удаленного запуска приложений.
В соответствии с документом ФСТЭК России от 14 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», был определен уровень защищенности ИСПДн - средний, а также вероятность реализации каждой из угроз.
В соответствии с постановлением правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» был определен 4 уровень защищенности ИСПДн.
При проектировании системы защиты был произведен выбор технических средств защиты информации. В качестве средства защиты от несанкционированного доступа, было выбрано сертифицированное средство Dallas Lock 8.0-K, т.к. оно является простым в эксплуатации, надежным и поддерживается всеми рабочими станциями оператора. В качестве средства межсетевого экранирования было выбрано сертифицированное средство VipNet Client 4.x, т.к. оно обеспечивает высокий уровень надежности и идеально совместимо с СЗИ от НСД Dallas Lock 8.0¬K. Средства СЗИ были установлены и настроены в соответствии с инструкциями предоставленными разработчиками, моделью угроз и техническим заданием на ИСПДн. Для предотвращения оставшихся угроз были приняты организационно - правовые меры.
Также с целью ускорения адаптации сотрудников к новым особенностям ин-формационного взаимодействия, было предусмотрено обучение. До сотрудников был донесен порядок работы с персональными данными, средствами защиты информации, в том числе антивирусными. Сотрудники были ознакомлены со всеми составленными инструкциями, требованиями, изложенными в них, а также мерами ответственности за нарушение данных требований. Были подписаны обязательства о неразглашении защищаемой информации, а также листы ознакомления, свидетельствующие о знании сотрудником своих обязанностей и ответственности.
В рамках организационных мер были назначены сотрудники на должности администратора безопасности ИСПДн и ответственного за организацию обработки ПДн. Данные меры были приняты, чтобы реализовать принцип персональной ответственности, необходимый для создания эффективной системы защиты.
Все мероприятия по защите персональных данных были документально отражены. Уязвимость отсутствия программных и (или) аппаратных средств защиты конфиденциальной информации была закрыта путем установки на рабочие места сотрудников в обоих ИСПДн сертифицированных СЗИ. Уязвимость, выраженная в отсутствии антивирусных проверок после установки и (или) изменения какого- либо ПО была минимизирована созданием и утверждением инструкции пользователя ИСПДн, в которой был регламентирован порядок предотвращения вирусного заражения ИСПДн. Отсутствие регламента доступа в защищенные помещения было компенсировано созданием и утверждением инструкции о порядке работы с ПДн. Аналогичным образом были закрыты все выявленные уязвимости и сведены к допустимому минимуму обнаруженные угрозы безопасности персональным данным....
По результатам обследования был разработан пакет документов, включающий в себя:
- акт определения уровня защищенности ИСПДн «Сотрудники» (Приложение М);
- организационно-распорядительную и эксплуатационную документацию (Приложения Г -И);
- модель угроз для ИСПДн «Сотрудники» (Приложение К);
- техническое задание для ИСПДн «Сотрудники» (Приложение Б).
Проведение мероприятий по созданию системы защиты персональных данных показало, что внедрение новых организационных мер и технических средств оказывает влияние на привычный процесс работы, что говорит о необходимости проведения дополнительного обучения персонала организации.
В качестве объекта защиты был выбран отдел кадров ООО «Трехгорный керамический завод», а также выявлена информация ограниченного доступа - персональные данные. Категория персональных данных - иные ПДн. Был проведен анализ информационной системы отдела с целью выявления объектов защиты.
Основываясь на перечне объектов защиты и «Базовой модели угроз безопасности информации при их обработке в ИСПДн» ФСТЭК России от 15 февраля 2008 г. была разработана модель угроз и уязвимостей и выявлены типы актуальных угроз:
- Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа.
- Воздействие вредоносных программ (вирусов).
- Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИС- ПДн, топологии сети, открытых портов и служб, открытых соединений и др.
- Угроза выявления паролей по сети.
- Угрозы типа «Отказ в обслуживании».
- Угрозы внедрения по сети вредоносных программ.
- Угрозы удаленного запуска приложений.
В соответствии с документом ФСТЭК России от 14 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», был определен уровень защищенности ИСПДн - средний, а также вероятность реализации каждой из угроз.
В соответствии с постановлением правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» был определен 4 уровень защищенности ИСПДн.
При проектировании системы защиты был произведен выбор технических средств защиты информации. В качестве средства защиты от несанкционированного доступа, было выбрано сертифицированное средство Dallas Lock 8.0-K, т.к. оно является простым в эксплуатации, надежным и поддерживается всеми рабочими станциями оператора. В качестве средства межсетевого экранирования было выбрано сертифицированное средство VipNet Client 4.x, т.к. оно обеспечивает высокий уровень надежности и идеально совместимо с СЗИ от НСД Dallas Lock 8.0¬K. Средства СЗИ были установлены и настроены в соответствии с инструкциями предоставленными разработчиками, моделью угроз и техническим заданием на ИСПДн. Для предотвращения оставшихся угроз были приняты организационно - правовые меры.
Также с целью ускорения адаптации сотрудников к новым особенностям ин-формационного взаимодействия, было предусмотрено обучение. До сотрудников был донесен порядок работы с персональными данными, средствами защиты информации, в том числе антивирусными. Сотрудники были ознакомлены со всеми составленными инструкциями, требованиями, изложенными в них, а также мерами ответственности за нарушение данных требований. Были подписаны обязательства о неразглашении защищаемой информации, а также листы ознакомления, свидетельствующие о знании сотрудником своих обязанностей и ответственности.
В рамках организационных мер были назначены сотрудники на должности администратора безопасности ИСПДн и ответственного за организацию обработки ПДн. Данные меры были приняты, чтобы реализовать принцип персональной ответственности, необходимый для создания эффективной системы защиты.
Все мероприятия по защите персональных данных были документально отражены. Уязвимость отсутствия программных и (или) аппаратных средств защиты конфиденциальной информации была закрыта путем установки на рабочие места сотрудников в обоих ИСПДн сертифицированных СЗИ. Уязвимость, выраженная в отсутствии антивирусных проверок после установки и (или) изменения какого- либо ПО была минимизирована созданием и утверждением инструкции пользователя ИСПДн, в которой был регламентирован порядок предотвращения вирусного заражения ИСПДн. Отсутствие регламента доступа в защищенные помещения было компенсировано созданием и утверждением инструкции о порядке работы с ПДн. Аналогичным образом были закрыты все выявленные уязвимости и сведены к допустимому минимуму обнаруженные угрозы безопасности персональным данным....
АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «ТРЕХГОРНЫЙ КЕРАМИЧЕСКИЙ ЗАВОД» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ