📄Работа №213066
Тема: Модернизация комплексной системы защиты информации в администрации Калининского района города Челябинска
Характеристики работы
Тип работы
Дипломные работы, ВКР
Предмет
Информационная безопасность
Объем:
77 листов
Год:
2017
Просмотров:
56
4770
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 9
ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ 11
ВВЕДЕНИЕ 12
1. ОПИСАНИЕ ОБЪЕКТА ИССЛЕДОВАНИЯ 14
1.1. Общая характеристика организации 14
1.2. Объекты защиты информации 20
1.2.1. Информационные ресурсы 20
1.3. Выбор и обоснование модели нарушителя 21
1.3.1. Внешний нарушитель 22
1.3.2. Внутренний нарушитель 23
1.4. Выявление угроз и уязвимостей для объектов защиты 24
Вывод по разделу один 27
2. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ 28
2.1. Анализ зарубежного и российского опыта в области защиты ПДн 28
2.1.1. Законодательство США в области защиты персональных данных 28
2.1.2. Российское законодательство в области защиты персональных
данных 30
2.1.3. Сравнение законодательств России и США в области защиты
персональных данных 34
2.2. Методика расчета рисков 35
2.3. Ответственность за нарушение законодательства по защите
персональных данных 36
2.4. Сравнение систем защиты информации от НСД 38
2.4.1. Возможности СЗИ от НСД Панцирь-К 38
2.4.2. Возможности СЗИ от НСД Secret Net 7 40
2.4.3. Возможности СЗИ от НСД Dallas Lock 42
2.5. Средства межсетевого экранирования 44
2.5.1. Межсетевой экран Security Studio Endpoint Protection 44
2.5.2. Межсетевой экран ViPNet Coordinator HW100 45
2.5.3. Межсетевой экран Firewall Блокпост экран 2000/XP 47
2.6. Антивирус Kaspersky Endpoint Security 10 для Windows 48
Вывод по разделу два 51
3. МОДЕРНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ... 52
3.1. Критерии выбора средств защиты информации 52
3.2. Выбор и внедрение средств защиты информации 54
Лист
3.3. Предлагаемый пакет организационно-распорядительной документа¬
ции по защите персональных данных 55
3.4. Обоснование проекта 58
3.5. Резюме проекта 58
3.6. Объекты поставки 59
3.7 Расчет стоимости проекта 60
3.8 Структура разбиения работ 60
3.9 Структурная схема организации проекта 61
3.10. Расчет рисков для критически важных объектов 62
Вывод по разделу три 65
ЗАКЛЮЧЕНИЕ 66
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 68
ПРИЛОЖЕНИЕ А 71
ПРИЛОЖЕНИЕ Б 73
ПРИЛОЖЕНИЕ В 74
ПРИЛОЖЕНИЕ Г 80
ПЕРЕЧЕНЬ ПРИНЯТЫХ СОКРАЩЕНИЙ 11
ВВЕДЕНИЕ 12
1. ОПИСАНИЕ ОБЪЕКТА ИССЛЕДОВАНИЯ 14
1.1. Общая характеристика организации 14
1.2. Объекты защиты информации 20
1.2.1. Информационные ресурсы 20
1.3. Выбор и обоснование модели нарушителя 21
1.3.1. Внешний нарушитель 22
1.3.2. Внутренний нарушитель 23
1.4. Выявление угроз и уязвимостей для объектов защиты 24
Вывод по разделу один 27
2. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ 28
2.1. Анализ зарубежного и российского опыта в области защиты ПДн 28
2.1.1. Законодательство США в области защиты персональных данных 28
2.1.2. Российское законодательство в области защиты персональных
данных 30
2.1.3. Сравнение законодательств России и США в области защиты
персональных данных 34
2.2. Методика расчета рисков 35
2.3. Ответственность за нарушение законодательства по защите
персональных данных 36
2.4. Сравнение систем защиты информации от НСД 38
2.4.1. Возможности СЗИ от НСД Панцирь-К 38
2.4.2. Возможности СЗИ от НСД Secret Net 7 40
2.4.3. Возможности СЗИ от НСД Dallas Lock 42
2.5. Средства межсетевого экранирования 44
2.5.1. Межсетевой экран Security Studio Endpoint Protection 44
2.5.2. Межсетевой экран ViPNet Coordinator HW100 45
2.5.3. Межсетевой экран Firewall Блокпост экран 2000/XP 47
2.6. Антивирус Kaspersky Endpoint Security 10 для Windows 48
Вывод по разделу два 51
3. МОДЕРНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ... 52
3.1. Критерии выбора средств защиты информации 52
3.2. Выбор и внедрение средств защиты информации 54
Лист
3.3. Предлагаемый пакет организационно-распорядительной документа¬
ции по защите персональных данных 55
3.4. Обоснование проекта 58
3.5. Резюме проекта 58
3.6. Объекты поставки 59
3.7 Расчет стоимости проекта 60
3.8 Структура разбиения работ 60
3.9 Структурная схема организации проекта 61
3.10. Расчет рисков для критически важных объектов 62
Вывод по разделу три 65
ЗАКЛЮЧЕНИЕ 66
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 68
ПРИЛОЖЕНИЕ А 71
ПРИЛОЖЕНИЕ Б 73
ПРИЛОЖЕНИЕ В 74
ПРИЛОЖЕНИЕ Г 80
📖 Аннотация
В данной выпускной квалификационной работе представлен проект модернизации комплексной системы защиты персональных данных (ПДн) в администрации Калининского района города Челябинска. Актуальность исследования обусловлена необходимостью строгого соответствия деятельности государственных учреждений требованиям Федерального закона №152-ФЗ «О персональных данных», устанавливающего обязательные организационные и технические меры по обеспечению безопасности конфиденциальной информации. Основным результатом работы является разработанный и обоснованный комплекс мероприятий по модернизации, включающий детальное обследование объекта, сегментацию информационной системы на контуры «Бухгалтерия и кадры» и «Граждане», а также формирование полного пакета проектной и организационно-распорядительной документации. В ходе проектирования были определены актуальные угрозы, выбраны и специфицированы технические средства защиты, такие как система защиты от несанкционированного доступа Secret Net 7 и средства межсетевого экранирования. Научная значимость заключается в систематизации подходов к построению систем защиты ПДн в органах местного самоуправления, а практическая – в готовом к внедрению проекте, повышающем уровень защищенности информации и соответствующим требованиям регуляторов. Теоретическая база исследования опирается на работы и нормативные документы, включая базовую модель угроз ФСТЭК России, методику определения актуальных угроз, а также стандарты в области проектирования, такие как ГОСТ 34.602-89 на разработку технического задания.
📖 Введение
В настоящее время защита персональных данных является одной из наиболее актуальных задач для большинства коммерческих компаний и государственных учреждений. Это обусловлено тем, что 26 января 2007 года вступил в силу Федеральный закон «О персональных данных», в котором сформулированы требования по защите персональных данных. При этом, согласно статье 25, информационные системы как коммерческих, так и государственных организаций должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
Таким образом, Федеральный закон «О персональных данных» требует от каждой организации, обрабатывающей персональные данные, обеспечить безопасность этой категории информации и принять необходимые организационные и технические меры для их защиты от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
Руководство Администрации задалось вопросом защиты персональных данных, которые обрабатываются в принадлежащих ей информационных системах, и приняло решение начинать организовывать систему защиты с отдела основной сферой деятельности которого является работа с персональными данными сотрудников и гостей - кадровый отдел.
Целью дипломной работы является модернизация комплексной системы защиты ПДн в администрации Калининского района города Челябинска, как пример использования комплекса различных мер защиты для достижения желаемого результата - безопасности информации. Для достижения этой цели были поставлены следующие задачи:
- анализ объекта подлежащего модернизации;
- обследование информационной системы;
- выделение информации, подлежащей защите персональных данных;
- выделение, определение уровней защищенности информационных систем персональных данных;
- определение актуальных угроз; выбор средств и методов защиты;
- разработка необходимой для системы защиты персональных данных документации;
- предложить пути устранения уязвимостей на объекте;
- подбор подходящих программных средств защиты информации;
- рассчитать примерную стоимость проекта по модернизации системы безопасности информационных систем организации;
- расчет рисков;
ЮУрГУ- 10.03.01.2017.132 ПЗ ВКР Лист
12
- разработка плана внедрения нововведений по модернизации системы безопасности информационных систем организации;
- составить техническое задание на модернизацию системы безопасности информационных систем организации.
Объектом исследования является система защиты информации в администрации Калининского района города Челябинск. Предметом исследования является модернизация комплексной системы защиты информации в администрации и само здание объекта.
Создание системы защиты ИСПДн можно разделить на следующие общие этапы:
- сбор исходных данных об организации, обрабатывающей ПДн;
- классификация ИСПДн;
- построение модели угроз и модели нарушителя, определение актуальных угроз;
- выбор методов и средств защиты информации;
- организация и проведение работ по защите персональных данных при их обработке в информационной системе персональных данных;
- выделение критически важных объектов информационной системы, расчет рисков для каждого из них.
Таким образом, Федеральный закон «О персональных данных» требует от каждой организации, обрабатывающей персональные данные, обеспечить безопасность этой категории информации и принять необходимые организационные и технические меры для их защиты от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.
Руководство Администрации задалось вопросом защиты персональных данных, которые обрабатываются в принадлежащих ей информационных системах, и приняло решение начинать организовывать систему защиты с отдела основной сферой деятельности которого является работа с персональными данными сотрудников и гостей - кадровый отдел.
Целью дипломной работы является модернизация комплексной системы защиты ПДн в администрации Калининского района города Челябинска, как пример использования комплекса различных мер защиты для достижения желаемого результата - безопасности информации. Для достижения этой цели были поставлены следующие задачи:
- анализ объекта подлежащего модернизации;
- обследование информационной системы;
- выделение информации, подлежащей защите персональных данных;
- выделение, определение уровней защищенности информационных систем персональных данных;
- определение актуальных угроз; выбор средств и методов защиты;
- разработка необходимой для системы защиты персональных данных документации;
- предложить пути устранения уязвимостей на объекте;
- подбор подходящих программных средств защиты информации;
- рассчитать примерную стоимость проекта по модернизации системы безопасности информационных систем организации;
- расчет рисков;
ЮУрГУ- 10.03.01.2017.132 ПЗ ВКР Лист
12
- разработка плана внедрения нововведений по модернизации системы безопасности информационных систем организации;
- составить техническое задание на модернизацию системы безопасности информационных систем организации.
Объектом исследования является система защиты информации в администрации Калининского района города Челябинск. Предметом исследования является модернизация комплексной системы защиты информации в администрации и само здание объекта.
Создание системы защиты ИСПДн можно разделить на следующие общие этапы:
- сбор исходных данных об организации, обрабатывающей ПДн;
- классификация ИСПДн;
- построение модели угроз и модели нарушителя, определение актуальных угроз;
- выбор методов и средств защиты информации;
- организация и проведение работ по защите персональных данных при их обработке в информационной системе персональных данных;
- выделение критически важных объектов информационной системы, расчет рисков для каждого из них.
✅ Заключение
В результате проделанной работы была модернизирована комплексная система защиты персональных данных в администрации Калининского района. В ходе разработки было проведено обследование организации, в рамках которого была установлена специфика деятельности, особенности и характеристики, а так же возможные уязвимости и угрозы, стоящие перед организацией.
Информационная система организации была разделена на две части:
- ИСПДн «Бухгалтерия и кадры», обрабатывающую информацию о деятельности администрации;
- ИСПДн «Граждане», обрабатывающую ПДн посетителей администрации.
По результатам обследования был разработан пакет документов, включающий в себя:
- акты определения уровня защищенности каждой ИСПДн;
- организационно-распорядительную и эксплуатационную документацию;
- модель угроз для каждой ИСПДн;
- техническое задание для каждой ИСПДн.
Проведение мероприятий по созданию системы защиты персональных данных показало, что внедрение новых организационных мер и технических средств оказывает влияние на привычный процесс работы, что говорит о необходимости проведения дополнительного обучения персонала организации.
При проектировании системы защиты был произведен выбор технических средств защиты информации. В качестве средства защиты от несанкционированного доступа, было выбрано сертифицированное средство Secret Net 7, т.к. оно является простым в эксплуатации, надежным и поддерживается всеми рабочими станциями оператора.
В качестве средства межсетевого экранирования, было выбрано сертифицированное средство Security Studio Endpoint Protection, т.к. оно обеспечивает высокий уровень надежности и идеально совместимо с СЗИ от НСД Secret Net 7. Так же эти два средства от одного производителя, что при их приобретении гарантирует дополнительные скидки.
Средства СЗИ были установлены и настроены в соответствии с инструкциями предоставленными разработчиков, моделью угроз и техническим заданием на ИСПДн. Для предотвращения оставшихся угроз были приняты организационно - правовые меры.
Также с целью ускорения адаптации сотрудников к новым особенностям информационного взаимодействия, было предусмотрено обучение. До сотрудников был донесен порядок работы с персональными данными, средствами защиты информации, в том числе антивирусными. Сотрудники были ознакомлены со всеми составленными инструкциями, требованиями, изложенными в них, а также мерами ответственности за нарушение данных требований. Были подписаны обязательства о неразглашении защищаемой информации, а также листы ознакомления, свидетельствующие о знании сотрудником своих обязанностей и ответственности.
В рамках организационных мер были назначены сотрудники на должности администратора безопасности ИСПДн и ответственного за организацию обработки ПДн. Данные меры были приняты, чтобы реализовать принцип персональной ответственности, необходимый для создания эффективной системы защиты.
Все мероприятия по защите персональных данных были документально отражены. Уязвимость отсутствия программных и (или) аппаратных средств защиты конфиденциальной информации была закрыта путем установки на рабочие места сотрудников в обоих ИСПДн сертифицированных СЗИ. Уязвимость, выраженная в отсутствии антивирусных проверок после установки и (или) изменения какого-либо ПО была минимизирована созданием и утверждением инструкции пользователя ИСПДн, в которой был регламентирован порядок предотвращения вирусного заражения ИСПДн. Отсутствие регламента доступа в защищенные помещения было компенсировано созданием и утверждением инструкции о порядке работы с ПДн. Аналогичным образом были закрыты все выявленные уязвимости и сведены к допустимому минимуму обнаруженные угрозы безопасности персональным данным.
Таким образом, цель работы - модернизация системы защиты персональных данных в администрации Калининского района, выполнена.
Информационная система организации была разделена на две части:
- ИСПДн «Бухгалтерия и кадры», обрабатывающую информацию о деятельности администрации;
- ИСПДн «Граждане», обрабатывающую ПДн посетителей администрации.
По результатам обследования был разработан пакет документов, включающий в себя:
- акты определения уровня защищенности каждой ИСПДн;
- организационно-распорядительную и эксплуатационную документацию;
- модель угроз для каждой ИСПДн;
- техническое задание для каждой ИСПДн.
Проведение мероприятий по созданию системы защиты персональных данных показало, что внедрение новых организационных мер и технических средств оказывает влияние на привычный процесс работы, что говорит о необходимости проведения дополнительного обучения персонала организации.
При проектировании системы защиты был произведен выбор технических средств защиты информации. В качестве средства защиты от несанкционированного доступа, было выбрано сертифицированное средство Secret Net 7, т.к. оно является простым в эксплуатации, надежным и поддерживается всеми рабочими станциями оператора.
В качестве средства межсетевого экранирования, было выбрано сертифицированное средство Security Studio Endpoint Protection, т.к. оно обеспечивает высокий уровень надежности и идеально совместимо с СЗИ от НСД Secret Net 7. Так же эти два средства от одного производителя, что при их приобретении гарантирует дополнительные скидки.
Средства СЗИ были установлены и настроены в соответствии с инструкциями предоставленными разработчиков, моделью угроз и техническим заданием на ИСПДн. Для предотвращения оставшихся угроз были приняты организационно - правовые меры.
Также с целью ускорения адаптации сотрудников к новым особенностям информационного взаимодействия, было предусмотрено обучение. До сотрудников был донесен порядок работы с персональными данными, средствами защиты информации, в том числе антивирусными. Сотрудники были ознакомлены со всеми составленными инструкциями, требованиями, изложенными в них, а также мерами ответственности за нарушение данных требований. Были подписаны обязательства о неразглашении защищаемой информации, а также листы ознакомления, свидетельствующие о знании сотрудником своих обязанностей и ответственности.
В рамках организационных мер были назначены сотрудники на должности администратора безопасности ИСПДн и ответственного за организацию обработки ПДн. Данные меры были приняты, чтобы реализовать принцип персональной ответственности, необходимый для создания эффективной системы защиты.
Все мероприятия по защите персональных данных были документально отражены. Уязвимость отсутствия программных и (или) аппаратных средств защиты конфиденциальной информации была закрыта путем установки на рабочие места сотрудников в обоих ИСПДн сертифицированных СЗИ. Уязвимость, выраженная в отсутствии антивирусных проверок после установки и (или) изменения какого-либо ПО была минимизирована созданием и утверждением инструкции пользователя ИСПДн, в которой был регламентирован порядок предотвращения вирусного заражения ИСПДн. Отсутствие регламента доступа в защищенные помещения было компенсировано созданием и утверждением инструкции о порядке работы с ПДн. Аналогичным образом были закрыты все выявленные уязвимости и сведены к допустимому минимуму обнаруженные угрозы безопасности персональным данным.
Таким образом, цель работы - модернизация системы защиты персональных данных в администрации Калининского района, выполнена.
ИЛИ
Поиск аналога
📕 Список литературы
🖼 Скриншоты
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.