97633

ПОСТРОЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ТЕРРИТОРИАЛЬНО РАСПРЕДЕЛЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ МЕДИЦИНСКОГО ЦЕНТРА ООО МК «ЭФ ЭМ СИ»

Дипломная

Информатика, кибернетика и программирование

Врачи клиники, в зависимости от характера травмы, широко используют возможности диагностического отделения: УЗИ; цифровой рентген. При необходимости, всегда могут быть привлечены врачи узких специальностей, например: лор, нейрохирург, ангиохирург, ревматолог, терапевт и др. В случае наличия показаний, пациент госпитализируется в стационар...

Русский

2015-10-20

516.86 KB

5 чел.

Лист

16

ЮУрГУ – 090103.2015.177.ПЗ ВКР

Лист

16

ЮУрГУ – 090103.2015.177.ПЗ ВКР

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Южно-Уральский государственный университет»

(национальный исследовательский университет)

Факультет Компьютерных технологий, управления и радиоэлектроники

Кафедра «Безопасность информационных систем»

РАБОТА ПРОВЕРЕНА

Рецензент, директор

ООО МК «ЭФ ЭМ СИ» ______________ А.Д. Фролов

___________________ 2015 г.

ДОПУСТИТЬ К ЗАЩИТЕ Заведующий кафедрой,
к.т.н., доцент

______________ А.Н. Соколов ___________________ 2015 г.

ПОСТРОЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ТЕРРИТОРИАЛЬНО РАСПРЕДЕЛЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ МЕДИЦИНСКОГО ЦЕНТРА ООО МК «ЭФ ЭМ СИ»

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

К ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЕ

ЮУрГУ – 090103.2015.177.ПЗ ВКР

Консультант по безопасности жизнедеятельности

Руководитель работы, преподаватель

А.В. Кудряшов

Е.Ю. Лукашина

2015 г.

2015 г.

Консультант по

экономической части

Автор работы,

студент группы КТУР-530

С.А. Сабельников

А.Б. Петров

2015 г.

2015 г.

Нормоконтролер,

доцент, к.т.н.

В.П. Мартынов

2015 г.

 

Челябинск 2015


Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Южно-Уральский государственный университет»

(национальный исследовательский университет)

Факультет Компьютерных технологий, управления и радиоэлектроники

Кафедра «Безопасность информационных систем»

Специальность 090103 «Организация и технология защиты информации»

УТВЕРЖДАЮ

Заведующий кафедрой,
к.т.н., доцент

______________ А.Н. Соколов ___________________ 2015 г.

З А Д А Н И Е

на выпускную квалификационную работу студента

Петрова Алексея Борисовича

КТУР- 530

Группа ____________

  1.  Тема работы

Построение комплексной системы защиты информации в  территориально

распределенной системе медицинского центра ООО МК «ЭФ ЭМ СИ»

Утверждена приказом ректора ЮУрГУ от ______________________ № _________

(утверждена, прот. заседания кафедры от ______________________ № _________)

20.05.2015

  1.     Срок сдачи студентом законченной работы ____________________________
  2.     Исходные данные к работе

  1.  Содержание расчетно-пояснительной записки (перечень подлежащих разработке вопросов)

  1.  Перечень графического материала

Презентация «Построение комплексной системы защиты информации в

территориально распределенных медицинских центрах» 

в формате PowerPoint 2007 (pptx).  

Количество слайдов -           Всего       листов

6    Консультанты по работе, с указанием относящихся к ним разделов работы

Раздел

Консультант

Подпись, дата

Задание выдал

(консультант)

Задание принял

(студент)

Экономическое обоснование системы защиты персональных данных

С.А. Сабельников

Безопасность и экологичность работы

А.В. Кудряшов

19.01.2015

7   Дата выдачи задания _______________________________________________

Руководитель___________________________________________ Е.Ю. Лукашина

Задание принял к исполнению ______________________________ А.Б. Петров


КАЛЕНДАРНЫЙ ПЛАН

Наименование этапов выпускной квалификационной работы

Срок выполнения этапов работы

Отметки

о выполнении

руководителя

Введение

Описание объекта исследования

Теоретические основы создания систем защиты персональных данных

Проектирование системы защиты персональных данных

Безопасность жизнедеятельности

Заключение

Предзащита ВКР

Защита ВКР

Заведующий кафедрой _________________________________ А.Н. Соколов

Руководитель работы  __________________________________ Е.Ю. Лукашина

Студент _____________________________________________ А.Б. Петров


АННОТАЦИЯ

Петров А.Б. Построение комплексной системы защиты информации в территориально распределенной информационной системе медицинского центра ООО МК «ЭФ ЭМ СИ» – Челябинск: ЮУрГУ, КТУР-530, 0 с., 0 ил., 0 табл., библиогр. список – 0 наим., 0 прил.

Выпускная квалификационная работа выполнена с целью создания системы защиты персональных данных в Средней общеобразовательной школе.

В выпускной квалификационной работе отражены этапы создания системы защиты персональных данных, от сбора исходных данных до заключения о соответствии нормативным документам РФ по защите персональных данных.

В процессе выполнения квалификационной работы было проведено предпроектное обследование учреждения, созданы все необходимые документы, регламентирующие порядок защиты информации, а также описывающих информационную систему персональных данных учреждения. Было проведено проектирование системы защиты, включающее в себя выбор средств защиты, предотвращающих актуальные угрозы учреждения, обоснования их эффективности и экономической целесообразности. Была проведена установка и настройка выбранных средств, а так же обучение персонала новым особенностям работы в ИСПДн учреждения.

 

 

 


Оглавление

АННОТАЦИЯ 6

ПЕРЕЧЕНЬ ОПРЕДЕЛЕНИЙ И СОКРАЩЕНИЙ 9

ВВЕДЕНИЕ 10

1 АНАЛИЗ ТЕКУЩЕЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ООО МК «ЭФ ЭМ СИ» 11

1.1 Сбор и анализ данных о структуре объекта 11

1.2 Выделение информации ограниченного доступа 13

1.3 Описание процесса обработки информации ограниченного доступа 13

1.4 Выделение информационных систем, подлежащих защите 13

1.5 Описание системы защиты информации 15

Вывод по разделу один 15

2 ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ  В ООО МК «ЭФ ЭМ СИ» 16

2.1 Выявление потенциальных угроз и каналов утечки информации 16

2.2 Выявление требований законодательства РФ в области защиты информации 20

Вывод по разделу два 23

3 СОЗДАНИЕ ПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 24

3.1 Формирование цели организации КСЗИ 24

3.2 Определение основных направлений проектирования КСЗИ 24

3.3 Разработка технико-экономического обоснования к созданию системы 24

3.4 Разработка технического проекта 24

3.5 Детализация организационных, технических, технологических идей и решений содержащихся в техническом проекте 24

3.6 Подробный план выполнения работ 24

3.7 Разработка нормативной и справочной документации 24

Вывод по разделу три 24

4 ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОЕКТА КСЗИ 25

4.1 Оценка рисков 25

4.2 Расчет стоимости предлагаемого проекта КСЗИ 25

4.3 Оценка эффективности проекта 25

Вывод по разделу четыре 25

5 БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ РАБОТЫ 26

5.1 Основные вредные факторы, влияющие на человека при работе за компьютером 26

5.2 Требования работы с ПЭВМ 26

5.3 Электробезопасность. 26

5.4 Противопожарная безопасность 26

Вывод по разделу пять 26

ЗАКЛЮЧЕНИЕ 27

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 28

ПРИЛОЖЕНИЯ 29

ПРИЛОЖЕНИЕ А 29


ПЕРЕЧЕНЬ ОПРЕДЕЛЕНИЙ И СОКРАЩЕНИЙ


ВВЕДЕНИЕ


  1.  АНАЛИЗ ТЕКУЩЕЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ООО МК «ЭФ ЭМ СИ»

Сбор и анализ данных о структуре объекта

1.1.1 Наименование Организации

  1. Полное наименование – ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ МЕДИЦИНСКАЯ КЛИНИКА «ЭФ ЭМ СИ»;
  2. Сокращенное наименование – ООО МК «ЭФ ЭМ СИ».

1.1.2 Реквизиты Организации

Центральный филиал: г. Челябинск, улица Гагарина 5А (далее филиал № 1);

филиал: г. Челябинск, улица Воровского, 9а (далее филиал № 2);

филиал: г. Миасс, Челябинская область, улица Ильменская 81 (далее филиал № 3).  

ИНН 7449049501; КПП 744901001;

ОГРН 1057422521221.

1.1.3 ФИО и должность руководителя Организации

Фирстов Степан Владимирович, генеральный директор.

1.1.4 Общая характеристика Организации

Медицинская клиника FMC – многопрофильная хирургическая клиника. Отличительной особенностью клиники является предоставление всего комплекса – не только в амбулаторных условиях, но и в стационаре.

Врачи клиники, в зависимости от характера травмы, широко используют возможности диагностического отделения: УЗИ; цифровой рентген. При необходимости, всегда могут быть привлечены врачи узких специальностей, например: лор, нейрохирург, ангиохирург, ревматолог, терапевт и др. В случае наличия показаний, пациент госпитализируется в стационар, где ему может быть проведена хирургическая операция.

На Южном Урале клиника FMC – это первая частная стационарная клиника хирургической направленности. Уровень квалификации специалистов и оснащенность клиники новейшим оборудованием и всеми необходимыми современными расходными материалами позволяет предоставлять качественную медицинскую помощь. Вас приятно удивит внимательное отношение персонала к каждому пациенту, так как в клинике сервису уделяется особое внимание. Весь персонал ориентирован на комфортное пребывание пациента в клинике во время всего срока пребывания в ней. Удовлетворённость пациента – основной критерий оценки работы клиники.

Медицинская клиника работает по следующим направлениям деятельности:

  1. Стационарно-амбулаторная помощь в Челябинске;
  2. Хирургическая специализация клиники:
  3. Ортопедические операции на крупных суставах;
  4. Ортопедические операции на мелких суставах кисти и стопы;
  5. Ортоскопическая хирургия крупных суставов;
  6. Травматологические операции;
  7. Хирургия позвоночника;
  8. Хирургия носа;
  9. Хирургия сосудов нижних конечностей (флебология);
  10. Пластическая хирургия (посттравматические рубцы, послеожоговые деформации, пластика).

1.1.5 Организационная структура

В медицинской клинике используется дивизиональный тип организационной структуры. Административный центр принимает управленческие решения и занимается продвижением компании на рынке, а филиалы клиники осуществляют непосредственно медицинскую деятельность. Подробная схема организационной структуры представлена в приложении А.

1.1.6 Описание информационной среды предприятия

ООО МК «ЭФ ЭМ СИ» оказывает медицинские услуги населению. В клинике ведется учет пациентов в картотеке на бумажных носителях, а также в электронном виде. В информационную среду организации входят базы данных клиентов, содержащих персональные данные. Отдел по работе со страховыми медицинскими организациями передает часть базы данных в контролирующие органы.

Также ООО МК «ЭФ ЭМ СИ» принимает граждан Российской Федерации на работу. Соответственно, в информационную среду предприятия входит информация о сотрудниках организации. Учет сотрудников организации ведется в ИС 1С: Предприятие 8.2.

1.1.7 Информационная система

Объектами защиты информации выступают:

  1. Информационные ресурсы, содержащие сведения ограниченного доступа;
  2. Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы);
  3. Программные средства (операционные системы, системы управления базами данных, другое системное и прикладное программное обеспечение);
  4. Системы связи и передачи данных;
  5. Технические средства приема, передачи и обработки информации ограниченного доступа.
  6. Персонал (так как эти лица допущены к работе с документами, содержащими информацию ограниченного доступа, либо имеют доступ в помещения, где эта информация обрабатывается).

Из вышеизложенного следует, что объект информатизации является территориально  распределенной сетью филиалов, которые обрабатывают как общедоступную информацию, так и информацию ограниченного доступа.

Выделение информации ограниченного доступа

Структурирование информации производится путем классификации информации в соответствии со структурой, функциями и задачами Организации с привязкой элементов информации к ее источникам.

Для начала выявим информацию циркулирующую в Организации:

  1. Персональные данные сотрудников;
  2. Персональные данные клиентов;
  3. Общедоступная информация, публикуемая на сайте Организации.

Эта информация представляет собой

  1. документы, как в бумажном, так и в электронном виде;
  2. речевую информацию, передаваемую по телефону, или при непосредственном разговоре в кабинете.

Данная Организация является оператором персональных данных, а значит обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения,  блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В соответствии с ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006, а также в соответствии с ПП РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 необходимой защите в Организации подлежат персональные данные сотрудников и клиентов.

Описание процесса обработки информации ограниченного доступа

Здесь будет словесное описание процесса обработки информации, которое представлено в картинках в приложении А

Выделение информационных систем, подлежащих защите 

В ходе предпроектного обследования Организации в филиале № 1 были выявлены действующие системы безопасности, оказывающие влияние на  общее состояние защищенности субъекта и на информационную безопасность в частности.

Здание филиала № 1 разделено на 2 части. (Приложение Б) Часть здания А предназначена для расположения рабочих административного персонала организации, также в этой части здания располагаются основные технические средства, включая сервер и технические средства информационного взаимодействия. Часть А обособлена от части Б дверями с электро-магнитными замками.

Филиал № 2 представляет собой два кабинета, предназначенных для первичного осмотра пациентов медицинской клиники. Кабинеты расположены на втором этаже здания Водогрязелечебницы при Городской клинической больнице №1 г. Челябинска. На территории учреждения работает контрольно-пропускной режим включающий в себя сотрудника охраны, турникет на входе в здание, шлагбаум при въезде на территорию, также здание оборудовано системой видеонаблюдения.  

Филиал № 3 занимает часть седьмого этажа здания Городской больницы №2 г. Миасса. Представляет собой рабочую инфраструктуру клиники с кабинетами приема пациентов, операционной, палатами для пациентов, и служебными помещениями. На территории учреждения работает контрольно-пропускной режим, включающий службу безопасности, турникеты на входах в здание, шлагбаум при въезде на территорию.

Режим работы объекта информатизации:

В Филиале № 1: 7:30 – 20:00 (без выходных)

В Филиале № 2: 7:30 – 20:00 (без выходных)

В Филиале № 3: круглосуточно

  1.  
  2.  
  3.  
  4.  
    1. Система контроля доступа

В филиале № 1: реализована на базе контроллера СФИНКС E500.

В контроллере реализованы следующие функции:

  1. Контроль доступа на основе считывания карт touch memory.
  2. Взаимодействие с системой пожарной охраны. Аварийное открывание дверей.
  3. Взаимодействие с вызывной видео панелью.
  4. Запорный механизм двух дверей на электро-магнитных замках Accordtec до 500 кг.
  5. Бесперебойная работа контроллера без источника питания до 24ч.
  6. Реализована программная составляющая работы контроллера на выделенном виртуальном сервере:
  7. функция автоматического учета рабочего времени
  8. функция удаленного администрирования контроллера
  9. ведение учета санкционированного и несанкционированного доступа в контролируемую зону.

В филиале № 2 СКУД не реализована.

В филиале № 3 СКУД реализована на базе контроллера СФИНКС Е300. Настройка контроллера аналогична установленной в филиале № 1, различие заключается в количестве входов.

  1. Система охранной сигнализации

В филиале № 1: реализована с разбиением на 2 контролируемых зоны, аналогично СКУД.  

Охранная сигнализация системы ПЛАНАР оснащена датчиками движения,  датчиками разбития стекол и тревожной кнопкой на месте операторов взаимодействующих с клиентами. При срабатывании охранной сигнализации происходит подача сигнала в диспетчерский центр сотрудников частного охранного предприятия.

В филиале № 2: Реализована в рамках системы охранной сигнализации всего здания. Непосредственно в кабинетах установлены датчики разбития стекла.

В филиале № 3: Не реализована.

  1. Организационно-правовая подсистема.

В ходе проведения анализа действующих мер защиты информации были выявлены и изучены следующие организационно-распорядительные документы:

  1. Устав;
  2. Правила лицензирования обустройства кабинета;
  3. Положение внутреннего распорядка;  
  4. Согласие на обработку персональных данных;

 

Описание системы защиты информации

  1.  Система контроля и управления доступом и учета рабочего времени
  2.  Система охранной сигнализации
  3.  Организационно-правовая подсистема

Вывод:

Данные документы действующие, однако, при утверждении данных актов Организацией, не были учтены актуальные требования законодательства в области защиты персональных данных. После проведения анализа было предложено внести исправления в текущие акты.


ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ  В ООО МК «ЭФ ЭМ СИ»

Выявление потенциальных угроз и каналов утечки информации

Законодательные требования к защите персональных данных определяются следующими актами:

  1. Федеральным законом от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (27 июля 2006 г.);
  2. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  3. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687, «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  4. Приказом  от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В соответствии с Приказом ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 для четвертого уровня защищенности должен обеспечиваться базовый набор мер, представленных в таблице 2.1.

Таблица 2.1 – Базовый набор мер

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности персональных данных

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

ИАФ.З

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

УПД.З

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических средств

УПД.16

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.8

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

V. Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.З

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.7

Защита информации о событиях безопасности

VI. Антивирусная защита (АВЗ)

АВ3.1

Реализация антивирусной защиты

АВ3.2

Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VIII. Контроль (анализ) защищенности персональных данных (АНЗ)

АНЗ.1

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

АНЗ.4

Контроль состава технических средств, программного обеспечения и средств защиты информации

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

ЗСВ.2

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

ЗСВ.9

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ЗСВ.10

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

XII. Защита технических средств (ЗТС)

ЗТС.3

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

ЗТС.4

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.3

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

ЗИС.20

Защита беспроводных соединений, применяемых в информационной системе

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1

Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

УКФ.2

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

УКФ.3

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

УКФ.4

Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

Выявление требований законодательства РФ в области защиты информации

Для выявления актуальных угроз и уязвимостей информации необходимо разработать модель безопасности персональных данных.

Данная частная модель безопасности персональных данных при их обработке в ИСПДн  «FMC-office» ООО «МК ЭФ ЭМ СИ» разработана на основании:

«Базовой модели угроз безопасности персональных данных при обработке в информационных системах персональных данных», утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России;

«Методики определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных», утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;

Модель определяет угрозы безопасности персональных данных, обрабатываемых в информационной системе персональных данных «FMC-office».

2.2.1 Перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в ИСПДн

Потенциальную опасность безопасности персональных данных (далее – ПДн) при их обработке в ИСПДн представляют:

  1. несанкционированный доступ к ПДн, обрабатываемым в ИСПДн;
  2. утечка информации по техническим каналам;
  3. несанкционированный доступ к рабочим станциям пользователей;
  4. несанкционированный доступ к серверам;
  5. утечка ПДн с использованием внешних носителей информации;
  6. утечка ПДн по сетям связи общего пользования.

2.2.2 Определение актуальных угроз безопасности ПДн при обработке в ИСПДн

Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных» (далее – Методика), утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России. Результаты анализа исходной защищенности приведены в таблице 2.2.

Таблица 2.2 – Анализ исходной защищенности.

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению:

Распределенная ИСПДн

Городская ИСПДн

Корпоративная распределенная ИСПДн

Локальная ИСПДн в пределах нескольких близко расположенных зданий

Локальная ИСПДн в пределах одного здания

+

2. По наличию соединения с сетями общего пользования:

ИСПДн с многоточечным выходом в сеть

ИСПДн с одноточечным выходом в сеть

+

ИСПДн, физически отделенная от сети

3. По встроенным (легальным) операциям с записями баз ПДн:

Чтение, поиск

Запись, удаление, сортировка

Модификация, передача

+

4. По разграничению доступа к ПДн:

Определенный перечень сотрудников

+

Все сотрудники

Открытый доступ

5. По наличию соединений с другими базами ПДн иных ИСПДн:

С несколькими БД

С одной БД

+

6. По уровню обобщения (обезличивания) ПДн:

Обезличиваются на уровне организации

Обезличиваются при передаче в сторонние организации

Не обезличиваются

+

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:

Предоставляется вся БД

Предоставляется часть БД

+

Не предоставляется никакой информации

Характеристики ИСПДн

28,57%

42,86%

28,57%

71,43%

Таким образом, ИСПДн имеет средний (Y1=5) уровень исходной защищенности, т.к. не менее 70% характеристик ИСПДн соответствуют уровню защищенности не ниже «средний».

2.2.3 Определение актуальных угроз безопасности ПДн

Частота реализации угроз безопасности ПДн определена экспертным методом в соответствии с «Методикой…» и на основании результатов обследования ИСПДн. Результаты определения частоты реализации угроз, приведены в таблице 2.3.

Определение опасности угроз безопасности ПДн проведено экспертным методом на основе опроса экспертов (специалистов в области защиты информации) с учётом результатов обследования ИСПДн. Результаты определения опасности угроз с мнениями экспертов приведены в таблице 5.2.

Определение актуальных угроз безопасности ПДн проведено экспертным методом в соответствии с «Методикой…». Результаты приведены в таблице 2.3.

Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «FMC-office» ООО МК «ЭФ ЭМ СИ», актуальными являются следующие угрозы безопасности:

  1. Непреднамеренное разглашение информации сотрудниками лицам, не допущенным к обработке персональных данных;
  2. Просмотр информации на дисплее сотрудниками, не допущенными к обработке персональных данных;
  3. Кража, модификация, уничтожение информации;
  4. Компьютерные вирусы;
  5. Внедрение аппаратных устройств, обеспечивающих выход в сети международного информационного обмена;
  6. Утрата ключей доступа;
  7. Непреднамеренная модификация (уничтожение) информации сотрудниками;
  8. Сбой системы электроснабжения;
  9. Доступ к информации, её модификация и уничтожение сотрудниками, не допущенными к ее обработке;
  10. Разглашение, модификация и уничтожение информации сотрудниками, допущенными к ее обработке;
  11. Копирование информации на неучтенные внешние машинные носители;
  12. Несанкционированный доступ через ЛВС организации;
  13. Внедрение по сети вредоносных программ;
  14. Утечка атрибутов доступа.

Вывод по разделу два

СОЗДАНИЕ ПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 

Формирование цели организации КСЗИ

Определение основных направлений проектирования КСЗИ

Разработка технико-экономического обоснования к созданию системы

Разработка технического проекта

- Рассмотрение нескольких вариантов решения задачи по созданию системы защиты.

- Определение наиболее рационального решения.

Детализация организационных, технических, технологических идей и решений содержащихся в техническом проекте

Подробный план выполнения работ 

- Матрица ответственности

- Расписание

- Диаграмма Ганта

Разработка нормативной и справочной документации

Вывод по разделу три


ОЦЕНКА ЭФФЕКТИВНОСТИ ПРОЕКТА КСЗИ

Оценка рисков

Расчет стоимости предлагаемого проекта КСЗИ

Оценка эффективности проекта

Вывод по разделу четыре


БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ РАБОТЫ

Основные вредные факторы, влияющие на человека при работе за компьютером

Требования работы с ПЭВМ

Электробезопасность. 

Противопожарная безопасность

Вывод по разделу пять


ЗАКЛЮЧЕНИЕ


БИБЛИОГРАФИЧЕСКИЙ СПИСОК


ПРИЛОЖЕНИЯ

ПРИЛОЖЕНИЕ А


Продолжение приложения А


 

А также другие работы, которые могут Вас заинтересовать

61660. Комплексный анализ текста 40.82 KB
  Формулируют воспроизведения по теме на основе опорных знаний 2 уровень Познавательные УУД Выделяют и структурируют информацию существенную для решения проблемы под руководителем учителя 1 уровень.
61665. Источники света. Распространение света 20.34 KB
  Распространение света. Задачи Обучающие: 1 Усвоить понятие свет; 2 Узнать какие бывают источники света; 3 Иметь представление о том что такое тень и полутень. Ход урока Этапы Деятельность учителя...
61666. Мощность 19.71 KB
  Задачи: Обучающие: Создать условия для осознания и осмысления понятия мощность. Постановка темы и цели урока Ребята мы начинаем изучение новой темы Мощность. А сегодня цель нашего первого урока узнать что такое мощность...
61667. Квантовые постулаты Бора 24.64 KB
  Тип урока: изучение нового материала План урока: Организационный момент д з 12 мин Проверка д з 68 мин объяснение нового материала 15 мин Первичная проверка понимания учащимися нового материала...
61668. Метание малого меча в цель, стоя боком в направление метания 21.87 KB
  Основные задачи: 1. Научить технике метания малого мяча с места, стоя боком в направлении метания. 2. Способствовать развитию у учащихся подвижности в плечевых суставах и грудном отделе позвоночника.