Помощь студентам в учебе
Модернизация информационной системы персональных данных в ООО «Т2Мобайл»
|
СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ 10
ВВЕДЕНИЕ 12
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «Т2МОБАЙЛ» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 13
1.1. Общая характеристика организации 13
1.1.1. Технический паспорт контактного центра ООО «Т2Мобайл» г. Челябинск 14
1.2. Выявление защищаемой информации 14
1.3. Описание модели нарушителя 14
1.4. Разработка модели угроз и уязвимостей для важных объектов защиты.. 14
1.4.1. Угрозы несанкционированного доступа к информации 15
1.4.1.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн .... 15
1.4.1.1.1. Кража ПЭВМ 15
1.4.1.1.2. Кража ключей и атрибутов доступа 15
1.4.1.1.3. Кража, модификация, уничтожение информации 15
1.4.1.1.4. Вывод из строя узлов ПЭВМ, каналов связи 16
1.4.1.1.5. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ 16
1.4.1.1.6. Несанкционированное отключение средств защиты 16
1.4.1.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий) 16
1.4.1.2.1. Действия вредоносных программ (вирусов) 16
1.4.1.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных 17
1.4.1.2.3. Установка ПО, не связанного с исполнением служебных обязанностей 17
1.4.1.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п) характера 18
1.4.1.3.1. Утрата ключей и атрибутов доступа 18
1.4.1.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками 18
1.4.1.3.3. Непреднамеренное отключение средств защиты 18
1.4.1.3.4. Выход из строя аппаратно-программных средств 19
1.4.1.3.5. Сбой системы электроснабжения 19
1.4.1.3.6. Стихийное бедствие 19
1.4.2. Угрозы преднамеренных действий внутренних нарушителей 19
1.4.2.1. Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке 19
1.4.2.2. Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке 20
1.4.3. Угрозы несанкционированного доступа по каналам связи 20
1.4.3.1. Угроза «Анализ сетевого траффика» 20
1.4.3.2. Угроза «сканирование сети» 21
1.4.3.3. Угроза выявления паролей 21
1.4.3.4. Угрозы навязывания ложного маршрута сети 21
1.4.3.5. Угрозы подмены доверенного объекта 22
1.4.3.6. Внедрение ложного объекта сети 22
1.4.3.7. Угрозы типа «Отказ в обслуживании» 23
1.4.3.8. Угрозы удаленного запуска приложений 24
1.4.3.9. Угрозы внедрения по сети вредоносных программ 25
1.5. Вероятность реализации угроз безопасности персональных данных 25
1.5.1. Реализуемость угроз 25
1.5.2. Оценка опасности угроз 28
1.6. Определение актуальности угроз 30
1.7. Выводы по первой главе 32
2. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 33
2.1. Обзор возможных методов устранения уязвимостей 33
2.2. Критерии выбора средств защиты информации 33
2.3. Угрозы несанкционированного доступа к информации 33
2.4. Угрозы преднамеренных действий внутренних нарушителей 35
2.5. Выводы по разделу два 35
3. МОДЕРНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ . 37
3.1. Описание объекта 37
3.2. Резюме проекта 37
3.3. Цели и задачи проекта 37
3.4. Объекты поставки проекта 38
3.4.1. Организационно-распорядительная документация 38
3.4.2. Программно-аппаратные и инженерно-технические меры 39
3.4.3. Обучение персонала 39
3.5. Резюме проекта 40
3.6. Структура разбиения работ 40
3.8. Расчет стоимости проекта 41
3.9. Расчет рисков для критически важных объектов 41
3.10. Вывод по разделу три 44
ЗАКЛЮЧЕНИЕ 45
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 46
ПРИЛОЖЕНИЕ А 48
ПРИЛОЖЕНИЕ Б 56
ПРИЛОЖЕНИЕ В 57
ПРИЛОЖЕНИЕ Г 58
ПРИЛОЖЕНИЕ Д 63
ПРИЛОЖЕНИЕ Е 66
ПРИЛОЖЕНИЕ Ж 74
ВВЕДЕНИЕ 12
1. АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «Т2МОБАЙЛ» И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ 13
1.1. Общая характеристика организации 13
1.1.1. Технический паспорт контактного центра ООО «Т2Мобайл» г. Челябинск 14
1.2. Выявление защищаемой информации 14
1.3. Описание модели нарушителя 14
1.4. Разработка модели угроз и уязвимостей для важных объектов защиты.. 14
1.4.1. Угрозы несанкционированного доступа к информации 15
1.4.1.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн .... 15
1.4.1.1.1. Кража ПЭВМ 15
1.4.1.1.2. Кража ключей и атрибутов доступа 15
1.4.1.1.3. Кража, модификация, уничтожение информации 15
1.4.1.1.4. Вывод из строя узлов ПЭВМ, каналов связи 16
1.4.1.1.5. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ 16
1.4.1.1.6. Несанкционированное отключение средств защиты 16
1.4.1.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий) 16
1.4.1.2.1. Действия вредоносных программ (вирусов) 16
1.4.1.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных 17
1.4.1.2.3. Установка ПО, не связанного с исполнением служебных обязанностей 17
1.4.1.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п) характера 18
1.4.1.3.1. Утрата ключей и атрибутов доступа 18
1.4.1.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками 18
1.4.1.3.3. Непреднамеренное отключение средств защиты 18
1.4.1.3.4. Выход из строя аппаратно-программных средств 19
1.4.1.3.5. Сбой системы электроснабжения 19
1.4.1.3.6. Стихийное бедствие 19
1.4.2. Угрозы преднамеренных действий внутренних нарушителей 19
1.4.2.1. Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке 19
1.4.2.2. Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке 20
1.4.3. Угрозы несанкционированного доступа по каналам связи 20
1.4.3.1. Угроза «Анализ сетевого траффика» 20
1.4.3.2. Угроза «сканирование сети» 21
1.4.3.3. Угроза выявления паролей 21
1.4.3.4. Угрозы навязывания ложного маршрута сети 21
1.4.3.5. Угрозы подмены доверенного объекта 22
1.4.3.6. Внедрение ложного объекта сети 22
1.4.3.7. Угрозы типа «Отказ в обслуживании» 23
1.4.3.8. Угрозы удаленного запуска приложений 24
1.4.3.9. Угрозы внедрения по сети вредоносных программ 25
1.5. Вероятность реализации угроз безопасности персональных данных 25
1.5.1. Реализуемость угроз 25
1.5.2. Оценка опасности угроз 28
1.6. Определение актуальности угроз 30
1.7. Выводы по первой главе 32
2. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 33
2.1. Обзор возможных методов устранения уязвимостей 33
2.2. Критерии выбора средств защиты информации 33
2.3. Угрозы несанкционированного доступа к информации 33
2.4. Угрозы преднамеренных действий внутренних нарушителей 35
2.5. Выводы по разделу два 35
3. МОДЕРНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ . 37
3.1. Описание объекта 37
3.2. Резюме проекта 37
3.3. Цели и задачи проекта 37
3.4. Объекты поставки проекта 38
3.4.1. Организационно-распорядительная документация 38
3.4.2. Программно-аппаратные и инженерно-технические меры 39
3.4.3. Обучение персонала 39
3.5. Резюме проекта 40
3.6. Структура разбиения работ 40
3.8. Расчет стоимости проекта 41
3.9. Расчет рисков для критически важных объектов 41
3.10. Вывод по разделу три 44
ЗАКЛЮЧЕНИЕ 45
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 46
ПРИЛОЖЕНИЕ А 48
ПРИЛОЖЕНИЕ Б 56
ПРИЛОЖЕНИЕ В 57
ПРИЛОЖЕНИЕ Г 58
ПРИЛОЖЕНИЕ Д 63
ПРИЛОЖЕНИЕ Е 66
ПРИЛОЖЕНИЕ Ж 74
Tele2 - это международная телекоммуникационная компания, основанная в 70-х годах прошлого века как дочернее предприятие группы компаний Investment AB Kinnevik, основной целью которых было увеличение акционерного капитала. Уже в 1988 году компания Tele2 получает лицензию на оказание услуг мобильно связи в формате GSM.
В настоящее время Теле2 Россия - это оператор сотовой связи, работающий в стандартах GSM, 3G, LTE. В России Теле2 предоставляет услуги сотовой связи в 65 субъектах Российской федерации более чем 40 миллионам абонентов.
В связи с этим тема защиты информации наиболее актуальна в сфере деятельности данной компании, так как в ведении организации находятся персональные данные абонентов, а также сотрудников, численность которых по всей России насчитывает более 8000 человек.
Целью дипломной работы является модернизация защиты персональных данных в контактном центре компании ООО «Т2Мобайл» города Челябинска.
Для достижения этой цели были поставлены следующие задачи:
- анализ объекта подлежащего модернизации;
- обследование информационной системы;
- выделение информации, подлежащей защите персональных данных;
- выделение, определение уровней защищенности информационных систем персональных данных;
- определение актуальных угроз; выбор средств и методов защиты;
- предложить пути устранения уязвимостей на объекте;
- подбор подходящих программных средств защиты информации;
- рассчитать примерную стоимость проекта по модернизации системы без-опасности информационных систем организации;
- расчет рисков;
- составить техническое задание на модернизацию системы безопасности информационных систем организации.
В настоящее время Теле2 Россия - это оператор сотовой связи, работающий в стандартах GSM, 3G, LTE. В России Теле2 предоставляет услуги сотовой связи в 65 субъектах Российской федерации более чем 40 миллионам абонентов.
В связи с этим тема защиты информации наиболее актуальна в сфере деятельности данной компании, так как в ведении организации находятся персональные данные абонентов, а также сотрудников, численность которых по всей России насчитывает более 8000 человек.
Целью дипломной работы является модернизация защиты персональных данных в контактном центре компании ООО «Т2Мобайл» города Челябинска.
Для достижения этой цели были поставлены следующие задачи:
- анализ объекта подлежащего модернизации;
- обследование информационной системы;
- выделение информации, подлежащей защите персональных данных;
- выделение, определение уровней защищенности информационных систем персональных данных;
- определение актуальных угроз; выбор средств и методов защиты;
- предложить пути устранения уязвимостей на объекте;
- подбор подходящих программных средств защиты информации;
- рассчитать примерную стоимость проекта по модернизации системы без-опасности информационных систем организации;
- расчет рисков;
- составить техническое задание на модернизацию системы безопасности информационных систем организации.
В результате проделанной работы была модернизирована система защиты персональных данных в контактном центре ООО "Т2Мобайл" г. Челябинск. В ходе разработки было проведено обследование организации, в рамках которого была установлена специфика деятельности, особенности и характеристики, а так же возможные уязвимости и угрозы, стоящие перед организацией.
По результатам обследования был разработан пакет документов, включающий в себя:
- организационно-распорядительную документацию;
- модель угроз для ИСПДн "Кадровый отдел";
- техническое задание для ИСПДн "Кадровый отдел".
Проведение мероприятий по созданию системы защиты персональных данных показало, что внедрение новых организационных мер и технических средств оказывает влияние на привычный процесс работы, что говорит о необходимости проведения дополнительного обучения персонала организации.
При проектировании системы защиты был произведен выбор технических средств защиты информации. В качестве средства защиты от несанкционированного доступа, было выбрано сертифицированное средство Secret Net Studio, т.к. оно является простым в эксплуатации, надежным и поддерживается всеми рабочими станциями оператора.
Также с целью ускорения адаптации сотрудников к новым особенностям информационного взаимодействия, было предусмотрено обучение. До сотрудников был донесен порядок работы с персональными данными, средствами защиты информации, в том числе антивирусными. Сотрудники были ознакомлены со всеми составленными инструкциями, требованиями, изложенными в них, а также мерами ответственности за нарушение данных требований. Были подписаны обязательства о неразглашении защищаемой информации, а также листы ознакомления, свидетельствующие о знании сотрудником своих обязанностей и ответственности.
Все мероприятия по защите персональных данных были документально отражены. Уязвимость отсутствия программных и (или) аппаратных средств защиты конфиденциальной информации была закрыта путем установки на рабочие места сотрудников в ИСПДн сертифицированных СЗИ. Уязвимость, выраженная в отсутствии антивирусных проверок после установки и (или) изменения какого-либо ПО была минимизирована созданием и утверждением инструкции пользователя ИСПДн, в которой был регламентирован порядок предотвращения вирусного заражения ИСПДн. Отсутствие регламента доступа в защищенные помещения было компенсировано созданием и утверждением инструкции о порядке работы с ПДн. Аналогичным образом были закрыты все выявленные уязвимости и сведены к допустимому минимуму обнаруженные угрозы безопасности персональным данным.
Таким образом, цель работы - модернизация системы защиты персональных данных в контактном центре ООО "ТМобайл", выполнена.
По результатам обследования был разработан пакет документов, включающий в себя:
- организационно-распорядительную документацию;
- модель угроз для ИСПДн "Кадровый отдел";
- техническое задание для ИСПДн "Кадровый отдел".
Проведение мероприятий по созданию системы защиты персональных данных показало, что внедрение новых организационных мер и технических средств оказывает влияние на привычный процесс работы, что говорит о необходимости проведения дополнительного обучения персонала организации.
При проектировании системы защиты был произведен выбор технических средств защиты информации. В качестве средства защиты от несанкционированного доступа, было выбрано сертифицированное средство Secret Net Studio, т.к. оно является простым в эксплуатации, надежным и поддерживается всеми рабочими станциями оператора.
Также с целью ускорения адаптации сотрудников к новым особенностям информационного взаимодействия, было предусмотрено обучение. До сотрудников был донесен порядок работы с персональными данными, средствами защиты информации, в том числе антивирусными. Сотрудники были ознакомлены со всеми составленными инструкциями, требованиями, изложенными в них, а также мерами ответственности за нарушение данных требований. Были подписаны обязательства о неразглашении защищаемой информации, а также листы ознакомления, свидетельствующие о знании сотрудником своих обязанностей и ответственности.
Все мероприятия по защите персональных данных были документально отражены. Уязвимость отсутствия программных и (или) аппаратных средств защиты конфиденциальной информации была закрыта путем установки на рабочие места сотрудников в ИСПДн сертифицированных СЗИ. Уязвимость, выраженная в отсутствии антивирусных проверок после установки и (или) изменения какого-либо ПО была минимизирована созданием и утверждением инструкции пользователя ИСПДн, в которой был регламентирован порядок предотвращения вирусного заражения ИСПДн. Отсутствие регламента доступа в защищенные помещения было компенсировано созданием и утверждением инструкции о порядке работы с ПДн. Аналогичным образом были закрыты все выявленные уязвимости и сведены к допустимому минимуму обнаруженные угрозы безопасности персональным данным.
Таким образом, цель работы - модернизация системы защиты персональных данных в контактном центре ООО "ТМобайл", выполнена.
