ВВЕДЕНИЕ 5
1 Разработка рекомендаций оператору персональных данных по построению системы защиты в информационной системе персональных данных 6
1.1 Анализ требований нормативно-методических документов,
регламентирующих порядок построения системы защиты в информационной системе персональных данных 6
1.2 Разработка рекомендаций оператору персональных данных по построению
системы защиты в информационной системе персональных данных 8
1.2.1 Порядок разработки перечня персональных данных 9
1.2.2 Порядок определения требуемого уровня защищенности персональных
данных 9
1.2.3 Порядок определение базового набора мер 10
1.2.4 Порядок адаптации базового набора мер 11
1.2.5 Порядок уточнения адаптированного базового набора организационных
и технических мер 13
1.2.6 Порядок выбора организационных и технических мер 18
1.2.7 Порядок выбора технических средств для реализации предложенных
технических мер защиты 20
1.3 Порядок оценки эффективности системы защиты в информационной
системе персональных данных 22
1.4 Выводы по разделу 23
2 Построение системы защиты персональных данных в информационной системе персональных данных ФБУ «ЦСМ» 24
2.1 Анализ ФБУ «ЦСМ». как оператора персональных данных. Разработка
перечня защищаемых персональных данных 24
2.2 Определение требуемого уровня защищённости персональных данных в
ФБУ «ЦСМ» 27
2.3 Выбор базового набора мер для ФГБУ «ЦСМ» 28
2.4 Адаптация базового набора мер по обеспечению безопасности персональных
данных 28
2.4.1 Анализ информационной системы персональных данных ФБУ «ЦСМ» 29
2.5 Уточнение адаптированного базового набора мер 33
2.5.1 Модель вероятного нарушителя 33
2.5.2 Определение актуальных угроз для ИСПДн предприятия 37
2.6 Выбор средств реализации технических мер зашиты в информационной системе персональных данных предприятия 47
2.7 Выводы по второму разделу 49
3 Оценка эффективности предложенных рекомендаций и техник» - экономическое обоснование возможности их реализации в системе защиты
персональных данных 50
3.1 Сравнительная оценка эффективности системы защиты персональных данных в информационной системе персональных данных «ЦСМ» 50
3.2 Технике - экономическое обоснование возможности реализации
предложенных рекомендаций 59
3.3 Вывода по разделу 60
ЗАКЛЮЧЕНИЕ 61
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 62
ПРИЛОЖЕНИЕ
Современные информационные системы предприятий и организаций, наряду с хранением и обработкой деловой информации, решают задачи хранения и обработки ПДн сотрудников и контрагентов. Это влечет за собой необходимость организации обработки и защиты ПДн в соответствии с требованиями действующего законодательства в данной области.
Защита ПДн является одной из важнейших задач системы обеспечения информационной безопасности в организации любого масштаба и любой организационно-правовой формы хозяйствования [1].
Актуальность работы обусловлена тем, что оператор обязан выполнять требования ФЗ №152 «О персональных данных», но при организации защиты ПДн в ИСПд он сталкивается с трудностями по учету требований большого количества нормативных документов, регламентирующих процесс построения СЗПДн.
Целью работы является повышение уровня информационной безопасности предприятия за счёт минимизации расходов и повышения эффективности, при построении СЗ в ИСПДн.
Задачи для достижения поставленной цели:
- анализ требований НМД, регламентирующих порядок построения СЗПДн в ИСПДн,
- разработка рекомендаций оператору ПДн по построению СЗПДн в ИСПДн с учётом требований НМД,
- апробация предложенных рекомендаций по построению СЗПДн в ИСПДн реальной организации,
- оценка эффективности предложенных рекомендаций и технико-экономическое обоснование возможности их реализации в СЗПДн ИСПДн организации.
Объектом исследования является ИСПДн.
Предметом исследования является технология построения СЗПДн в ИСПДн
В результате проведённых исследований:
- проведён анализ требований нормативно-методических документов, регламентирующих порядок построения СЗПДн в ИСПДн,
- разработаны рекомендации оператору ПДн по построению СЗПДн в ИСПДн с учётом требований НМД,
- проведена апробация предложенных рекомендаций по построению СЗПДн в ИСПДн реальной организации «ЦСМ»,
- проедена сравнительная оценка эффективности СЗПДн, построенной с учётом разработанных рекомендаций, по выбранному критерию (величина риска ИБ для ИСПДн),
- проведено технико - экономическое обоснование возможности реализации предложенных рекомендаций по построению СЗПДн в ИСПДн организации.
1 Закон РФ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 № 149 - ФЗ. Российская газета. - 29.07. 2006. - С.22-34.
2 Закон РФ "О ПДн " от 27.07.2006 № 152 - ФЗ Бюллетень нормативных актов министерств и ведомств. - № 7. - 2006. - С.15-32.
3 Приказ ФСТЭК от 18.02.2013. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн, при их обработке в информационных системах ПДн "
4 Постановление правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн ".
5 Базовая модель угроз безопасности ПДн при их обработке в информа¬ционных системах ПДн, утвержденная приказом ФСТЭК РФ 15.02.2008 г.
6 Методика определения актуальных угроз безопасности ПДн при их об¬работке в информационных системах ПДн, утверждена приказом ФСТЭК РФ 14.02.2008 г.
7 Постановление Правительства РФ от 21.03.2012 № 211 "Об утвержде¬нии перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О ПДн ".
8 ГОСТ 34.601-90 Информационная технология (ИТ). Комплекс стан-дартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
9 ГОСТ 34.602-89 Информационная технология (ИТ). Комплекс стан-дартов на автоматизированные системы. Техническое задание на создание авто¬матизированной системы.
10 ГОСТ Р 51583-2000 «Защита информации. Порядок создания автома¬тизированных систем в защищенном исполнении. Общие положения».
11 ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
12 ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от не-санкционированного доступа к информации».
13 ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
14 ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение докумен¬тов при создании автоматизированных систем».
15 ГОСТ ИСО 15288. Проектирование систем — Процессы жизненного цикла системы.
16 Специальные требования и рекомендации по технической защите кон¬фиденциальной информации (СТР-К), утвержденные Приказом Г остехкомиссии России от 30.08.2002 № 282.
17 Постановление Правительства РФ от 15.09.2008 № 687 "Об утвержде¬нии Положения об особенностях обработки ПДн, осуществляемой без использо¬вания средств автоматизации".
18 Информационное сообщение ФСТЭК «О банке данных угроз безопас¬ности информации» от 6 марта 2015 г. N 40/22/879.
19 Коробейников Д.А., Османов А.А. К вопросу о процедуре выбора оператором ПДн перечня организационных и технических мер защиты ПДн в ин¬формационных системах ПДн: Сборник материалов Всероссийской научно¬практической конференции / СКФУ. - Ставрополь: СКФУ, 2018. - С. 46-49.