📄Работа №216983
Тема: Обработка персональных данных в туристическом агентстве, выявление потенциальных угроз безопасности и разработка комплекса организационных и технических мер по защите персональной информации клиентов и сотрудников (Безопасность персональных данных, Воронежский Государственный Университет Инженерных Технологий)
Тип работы
Курсовые работы
Предмет
Информационная безопасность
Объем:
45 листов
Год:
2024
Просмотров:
5
600
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Объект исследования - туристическое агентство «Вояж».
ВВЕДЕНИЕ 3
1 СПИСОК НПА ПО ЗАЩИТЕ ПДн 5
1.1 Составление списка НПА по защите ПДн 5
1.2 Нормативно-правовые документы, защищающие эти виды тайн. 6
2 ХАРАКТЕРИСТИКА ЗАЩИЩАЕМОГО ОБЪЕКТА ИНФОРМАТИЗАЦИИ 8
2.1 Описание объекта информатизации 8
2.2 Определение используемого программного обеспечения при обработке
или передачи персональных данных 11
2.3 Создание схемы информационных потоков объекта информатизации. 12
3 ОПРЕДЕЛЕНИЕ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИСПДН 15
3.1 Характеристика обрабатываемых персональных данных объекта 15
3.2 Установление уровня защищенности ПДн 17
4 ОПРЕДЕЛЕНИЕ ИСТОЧНИКОВ УГРОЗ ИСПДн 19
4.1 Модель нарушителя 19
4.2 Квалификация возможных внутренних нарушителей 20
4.3 Цели возможных нарушителей 21
4.4 Определение актуальных способов реализации угроз безопасности информации 22
5 АКТУАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 25
5.1 Определение показателей исходной защищенности 25
5.2 Перечень угроз безопасности, которые существуют в ИСПДн «Вояж». 26
5.3 Определение вероятности, возможности реализации, опасности и актуальности
угроз безопасности информации 28
6 ОПРЕДЕЛЕНИЕ СОСТАВА И СОДЕРЖАНИЕ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН НА ОСНОВАНИИ УРОВНЯ ЗАЩИЩЕННОСТИ ИСПДН 32
6.1 Определение классов защиты 32
6.2 Формирование таблицы необходимых мер по защите ПДн 32
6.3 Структура системы защиты ПДн 38
6.4 Выбор и обоснование технических средств и организационных мер защиты ПДн 40
ЗАКЛЮЧЕНИЕ 43
СПИСОК ЛИТЕРАТУРЫ 45
ВВЕДЕНИЕ 3
1 СПИСОК НПА ПО ЗАЩИТЕ ПДн 5
1.1 Составление списка НПА по защите ПДн 5
1.2 Нормативно-правовые документы, защищающие эти виды тайн. 6
2 ХАРАКТЕРИСТИКА ЗАЩИЩАЕМОГО ОБЪЕКТА ИНФОРМАТИЗАЦИИ 8
2.1 Описание объекта информатизации 8
2.2 Определение используемого программного обеспечения при обработке
или передачи персональных данных 11
2.3 Создание схемы информационных потоков объекта информатизации. 12
3 ОПРЕДЕЛЕНИЕ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИСПДН 15
3.1 Характеристика обрабатываемых персональных данных объекта 15
3.2 Установление уровня защищенности ПДн 17
4 ОПРЕДЕЛЕНИЕ ИСТОЧНИКОВ УГРОЗ ИСПДн 19
4.1 Модель нарушителя 19
4.2 Квалификация возможных внутренних нарушителей 20
4.3 Цели возможных нарушителей 21
4.4 Определение актуальных способов реализации угроз безопасности информации 22
5 АКТУАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 25
5.1 Определение показателей исходной защищенности 25
5.2 Перечень угроз безопасности, которые существуют в ИСПДн «Вояж». 26
5.3 Определение вероятности, возможности реализации, опасности и актуальности
угроз безопасности информации 28
6 ОПРЕДЕЛЕНИЕ СОСТАВА И СОДЕРЖАНИЕ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН НА ОСНОВАНИИ УРОВНЯ ЗАЩИЩЕННОСТИ ИСПДН 32
6.1 Определение классов защиты 32
6.2 Формирование таблицы необходимых мер по защите ПДн 32
6.3 Структура системы защиты ПДн 38
6.4 Выбор и обоснование технических средств и организационных мер защиты ПДн 40
ЗАКЛЮЧЕНИЕ 43
СПИСОК ЛИТЕРАТУРЫ 45
📖 Введение
В современном мире информационные технологии играют ключевую роль в деятельности большинства организаций, особенно в сфере услуг. Туристические агентства, такие как "Вояж", активно используют электронные средства для бро-нирования туров, оформления виз и других документов, взаимодействия с клиен-тами и партнерами. В связи с этим они обрабатывают значительные объемы пер-сональных данных, включая конфиденциальную информацию, связанную с до-кументами, финансовыми операциями и частной жизнью клиентов.
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). К таким данным относятся фамилия, имя, отчество, дата и место рождения, пас-портные данные, адрес проживания, контактная информация, а также данные о детях, медицинских показаниях, банковские реквизиты и т.д. Обработка этой ин-формации требует особого подхода, так как ее утечка или неправомерное ис-пользование может привести к нарушению прав граждан, мошенничеству, шан-тажу и другим негативным последствиям.
Актуальность темы курсовой работы обусловлена необходимостью соблю-дения требований Федерального закона № 152-ФЗ «О персональных данных» и других нормативных правовых актов, регулирующих вопросы информационной безопасности. Нарушение этих требований влечет за собой как административ-ную, так и уголовную ответственность, а также потерю доверия клиентов, что критично для сферы туризма.
Особенность работы туристического агентства заключается в том, что оно взаимодействует с большим количеством сторон: государственными органами (при оформлении паспортов, виз, разрешений), гостиницами, авиакомпаниями, экскурсионными бюро и другими поставщиками услуг. При этом часть персо-нальных данных клиента может передаваться третьим лицам, что увеличивает риски неправомерной обработки и требует прозрачности и правовой обоснован-ности всех процедур.
Дополнительную сложность представляет работа с персональными данны-ми несовершеннолетних клиентов, что требует особого внимания и соблюдения требований законодательства, касающихся прав и обязанностей законных пред-ставителей. Также в ряде случаев может потребоваться обработка биометриче-ских данных, медицинских справок или других чувствительных категорий ин-формации, что накладывает еще более строгие требования к безопасности и кон-фиденциальности.
Кроме того, туристические агентства в последние годы все чаще используют онлайн-сервисы и мобильные приложения, через которые происходит сбор и об-работка персональных данных. Наличие уязвимостей в таких цифровых плат-формах, отсутствие защиты каналов передачи данных, слабые пароли или ошиб-ки в настройке серверов могут стать причиной массовых утечек информации. Это делает задачу по обеспечению комплексной защиты персональных данных осо-бенно актуальной и требует применения современных технических и организаци-онных мер.
Цель данной курсовой работы — анализ процессов обработки персональ-ных данных в туристическом агентстве "Вояж", выявление потенциальных угроз безопасности и разработка комплекса организационных и технических мер по защите персональной информации клиентов и сотрудников.
Для достижения поставленной цели необходимо решить следующие задачи:
• провести анализ нормативно-правовой базы в области защиты ПДн;
• дать характеристику объекта информатизации и определить состав об-рабатываемых данных;
• установить уровень защищенности ИСПДн;
• выявить актуальные угроз и вероятность их реализации;
• разработать модель нарушителя;
• определить необходимые технические и организационные меры защиты персональных данных.
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). К таким данным относятся фамилия, имя, отчество, дата и место рождения, пас-портные данные, адрес проживания, контактная информация, а также данные о детях, медицинских показаниях, банковские реквизиты и т.д. Обработка этой ин-формации требует особого подхода, так как ее утечка или неправомерное ис-пользование может привести к нарушению прав граждан, мошенничеству, шан-тажу и другим негативным последствиям.
Актуальность темы курсовой работы обусловлена необходимостью соблю-дения требований Федерального закона № 152-ФЗ «О персональных данных» и других нормативных правовых актов, регулирующих вопросы информационной безопасности. Нарушение этих требований влечет за собой как административ-ную, так и уголовную ответственность, а также потерю доверия клиентов, что критично для сферы туризма.
Особенность работы туристического агентства заключается в том, что оно взаимодействует с большим количеством сторон: государственными органами (при оформлении паспортов, виз, разрешений), гостиницами, авиакомпаниями, экскурсионными бюро и другими поставщиками услуг. При этом часть персо-нальных данных клиента может передаваться третьим лицам, что увеличивает риски неправомерной обработки и требует прозрачности и правовой обоснован-ности всех процедур.
Дополнительную сложность представляет работа с персональными данны-ми несовершеннолетних клиентов, что требует особого внимания и соблюдения требований законодательства, касающихся прав и обязанностей законных пред-ставителей. Также в ряде случаев может потребоваться обработка биометриче-ских данных, медицинских справок или других чувствительных категорий ин-формации, что накладывает еще более строгие требования к безопасности и кон-фиденциальности.
Кроме того, туристические агентства в последние годы все чаще используют онлайн-сервисы и мобильные приложения, через которые происходит сбор и об-работка персональных данных. Наличие уязвимостей в таких цифровых плат-формах, отсутствие защиты каналов передачи данных, слабые пароли или ошиб-ки в настройке серверов могут стать причиной массовых утечек информации. Это делает задачу по обеспечению комплексной защиты персональных данных осо-бенно актуальной и требует применения современных технических и организаци-онных мер.
Цель данной курсовой работы — анализ процессов обработки персональ-ных данных в туристическом агентстве "Вояж", выявление потенциальных угроз безопасности и разработка комплекса организационных и технических мер по защите персональной информации клиентов и сотрудников.
Для достижения поставленной цели необходимо решить следующие задачи:
• провести анализ нормативно-правовой базы в области защиты ПДн;
• дать характеристику объекта информатизации и определить состав об-рабатываемых данных;
• установить уровень защищенности ИСПДн;
• выявить актуальные угроз и вероятность их реализации;
• разработать модель нарушителя;
• определить необходимые технические и организационные меры защиты персональных данных.
✅ Заключение
В ходе выполнения курсовой работы была рассмотрена и проанализирова-на система обработки и защиты персональных данных, функционирующая в ту-ристическом агентстве «Вояж», предоставляющем широкий спектр туристических и сопутствующих услуг: бронирование туров, оформление виз, взаимодействие с государственными органами и международными партнёрами.
На основе анализа нормативно-правовой базы, включая Федеральный за-кон № 152-ФЗ «О персональных данных», Постановление Правительства РФ № 1119 и Приказ ФСТЭК № 21, были определены основные правовые требования к обработке персональных данных. В частности, установлено, что агентство «Во-яж» обязано обеспечить защиту не только общих, но и специальных категорий ПДн: данных о детях, медицинской информации, биометрии и финансовых рекви-зитах.
Была проведена детальная характеристика информационной системы пер-сональных данных агентства, выявлены категории субъектов и типов обрабаты-ваемых данных, а также осуществлён анализ текущего состояния защищённости системы. На основании классификации угроз по БДУ ФСТЭК и оценки исходной защищённости ИСПДн, установлено, что для агентства «Вояж» обоснован второй уровень защищённости, соответствующий классу КЗ-2.
В работе были определены и описаны наиболее вероятные источники угроз, как внешние (фишинг, вирусные атаки, несанкционированный доступ к облачным хранилищам), так и внутренние (недобросовестные сотрудники, ошибки в обра-щении с ПДн). На этой основе сформирована модель нарушителя, выполнен вы-бор и оценка актуальных угроз, а также разработан комплекс мероприятий по их нейтрализации.
В рамках проектной части были предложены организационные и техниче-ские меры, необходимые для обеспечения соответствия ИСПДн агентства требо-ваниям КЗ-2. В частности:
• внедрение системы разграничения прав доступа в CRM;
• антивирусная защита всех рабочих станций и серверов;
• резервное копирование и отказоустойчивость;
• шифрование данных при передаче и хранении;
• использование VPN для удалённого подключения;
• систематическое обучение персонала и подписание NDA.
Также были составлены структурная схема системы защиты и схема реали-зованных технических решений, где представлены используемые средства: Bitrix24, Dr.Web, FortiClient, Veeam Backup, MikroTik RouterOS, Keycloak/AD и другие.
Таким образом, поставленные в начале работы цель и задачи достигнуты. Разработанные меры могут быть реально применены в практической деятельно-сти агентства «Вояж» и адаптированы под другие туристические организации со схожей архитектурой и требованиями.
Рекомендации на будущее:
• внедрить систему двухфакторной аутентификации (2FA);
• автоматизировать аудит действий сотрудников в CRM;
• обеспечить сертификацию СЗИ, если будет обрабатываться биометрия на постоянной основе;
• регулярно пересматривать модель угроз в соответствии с изменениями в законодательстве и ИТ-ландшафте.
На основе анализа нормативно-правовой базы, включая Федеральный за-кон № 152-ФЗ «О персональных данных», Постановление Правительства РФ № 1119 и Приказ ФСТЭК № 21, были определены основные правовые требования к обработке персональных данных. В частности, установлено, что агентство «Во-яж» обязано обеспечить защиту не только общих, но и специальных категорий ПДн: данных о детях, медицинской информации, биометрии и финансовых рекви-зитах.
Была проведена детальная характеристика информационной системы пер-сональных данных агентства, выявлены категории субъектов и типов обрабаты-ваемых данных, а также осуществлён анализ текущего состояния защищённости системы. На основании классификации угроз по БДУ ФСТЭК и оценки исходной защищённости ИСПДн, установлено, что для агентства «Вояж» обоснован второй уровень защищённости, соответствующий классу КЗ-2.
В работе были определены и описаны наиболее вероятные источники угроз, как внешние (фишинг, вирусные атаки, несанкционированный доступ к облачным хранилищам), так и внутренние (недобросовестные сотрудники, ошибки в обра-щении с ПДн). На этой основе сформирована модель нарушителя, выполнен вы-бор и оценка актуальных угроз, а также разработан комплекс мероприятий по их нейтрализации.
В рамках проектной части были предложены организационные и техниче-ские меры, необходимые для обеспечения соответствия ИСПДн агентства требо-ваниям КЗ-2. В частности:
• внедрение системы разграничения прав доступа в CRM;
• антивирусная защита всех рабочих станций и серверов;
• резервное копирование и отказоустойчивость;
• шифрование данных при передаче и хранении;
• использование VPN для удалённого подключения;
• систематическое обучение персонала и подписание NDA.
Также были составлены структурная схема системы защиты и схема реали-зованных технических решений, где представлены используемые средства: Bitrix24, Dr.Web, FortiClient, Veeam Backup, MikroTik RouterOS, Keycloak/AD и другие.
Таким образом, поставленные в начале работы цель и задачи достигнуты. Разработанные меры могут быть реально применены в практической деятельно-сти агентства «Вояж» и адаптированы под другие туристические организации со схожей архитектурой и требованиями.
Рекомендации на будущее:
• внедрить систему двухфакторной аутентификации (2FA);
• автоматизировать аудит действий сотрудников в CRM;
• обеспечить сертификацию СЗИ, если будет обрабатываться биометрия на постоянной основе;
• регулярно пересматривать модель угроз в соответствии с изменениями в законодательстве и ИТ-ландшафте.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.