Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании
Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных "ИСПДн ЧТК" Челябинской Телевизионной Компании. Выполнение работ по аттестации по требованиям безопасности информации информационной системы.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 23.06.2012 |
Размер файла | 28,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
ФГБОУ ВПО ЮУРГУ (НИУ)
КАФЕДРА «БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ»
КУРСОВАЯ РАБОТА
«Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании»
Выполнил Студент группы ПС377
Китаев А.В.
Проверил
Резниченко В.В.
«__»__________2012 г.
Челябинск, 2012
Содержание
1. Модель угроз безопасности персональных данных
2. Техническое задание на выполнение работ по аттестации по требованиям безопасности информации информационной системы персональных данных
1. Модель угроз безопасности персональных данных
МОДЕЛЬ УГРОЗ безопасности персональных данных при их обработке в информационной системе персональных данных «ИСПДн ЧТК» Челябинской Телевизионной Компании
1. Общие положения
Данная частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «ИСПДн ЧТК» Челябинской Телевизионной Компании (далее - ИСПДн) разработана на основании:
1) «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России;
2) «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;
3) ГОСТ Р 51275-2006 «Защита информации. Факторы, воздействующие на информацию. Общие положения».
Модель определяет угрозы безопасности персональных данных, обрабатываемых в информационной системе персональных данных «ИСПДн ЧТК».
2. Перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в ИСПДн
Потенциальную опасность безопасности персональных данных (далее - ПДн) при их обработке в ИСПДн представляют:
- угрозы утечки информации по техническим каналам;
- физические угрозы;
- угрозы несанкционированного доступа;
- угрозы персонала.
3. Определение актуальных угроз безопасности ПДн при обработке в ИСПДн
3.1 Определение уровня исходной защищенности ИСПДн
Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Методика), утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России. Результаты анализа исходной защищенности приведены в Таблице 1.
Таблица 1. Уровень исходной защищенности
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
|||
Высокий |
Средний |
Низкий |
||
1. По территориальному размещению |
||||
Локальная ИСПДн, развернутая в пределах одного здания |
+ |
|||
2. По наличию соединения с сетями общего пользования |
||||
ИСПДн, физически отделенная от сети общего пользования |
+ |
|||
3. По встроенным (легальным) операциям с записями баз ПДн |
||||
Запись, удаление, сортировка |
+ |
|||
4. По разграничению доступа к ПДн |
||||
ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; |
+ |
|||
5. По наличию соединений с другими базами ПДн иных ИСПДн: |
||||
ИСПДн, в которой используется одна база ПДн, принадлежащая организации -- владельцу данной ИСПДн |
+ |
|||
6. По уровню обобщения (обезличивания) ПДн |
||||
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; |
+ |
|||
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки |
||||
ИСПДн, предоставляющая часть Пдн |
+ |
|||
Характеристики ИСПДн |
42,86% |
57,14% |
0,00% |
Таким образом, ИСПДн имеет средний (Y1=5) уровень исходной защищенности, т. к. не менее 70% характеристик ИСПДн соответствуют уровню защищенности не ниже «средний».
3.2 Определение актуальных угроз безопасности ПДн
Частота реализации угроз, опасность угроз и актуальность угроз определены экспертным методом в соответствии с Методикой на основе опроса экспертов (специалистов в области защиты информации) и результатов обследования ИСПДн.
Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Наименование системы персональных данных», актуальными являются следующие угрозы безопасности:
1. Угрозы утечки информации по техническим каналам
1.1 Угрозы утечки информации по каналам ПЭМИН
2. Физические угрозы
2.1 Угрозы стихийного характера
2.2 Преднамеренные действия внешнего нарушителя
2.2.1 Несанкционированное проводное подключение к кабельной линии за пределами контролируемой зоны.
2.3 Преднамеренные действия внутреннего нарушителя
2.3.1 Изменение режимов работы технических средств ИСПДн
2.3.2 Несанкционированное проводное подключение к кабельной линии (коммуникационному оборудованию) в пределах контролируемой зоны
Таблица 2. Актуальные угрозы безопасности ПДн
Угроза |
Анализ реализации мер защиты |
Вероятность реализации угрозы (коэффициент Y2) |
Возможность реализации угрозы (коэффициент Y) |
Факторы, определяющие опасность угрозы |
Показатель опасности угрозы |
Актуальность угрозы |
|
1. Угрозы утечки информации по техническим каналам |
|||||||
1.1 Угрозы утечки акустической (речевой) информации |
|||||||
Угрозы утечки акустической (речевой) информации |
Функции голосового ввода и воспроизведения ПДн акустическими средствами ИСПДн отсутствуют. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы приведет только к нарушению конфиденциальности ПДн. Стоимость реализации угрозы не сопоставима с ценностью и возможно полученным объемом ПДн. |
низкая |
неактуальная |
|
1.2 Угрозы утечки видовой информации |
|||||||
Угрозы утечки видовой информации |
Расположение средств отображения средств вычислительной техники и жалюзи на окнах помещений исключают возникновение прямой видимости между средством наблюдения и носителем ПДн. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы приведет только к нарушению конфиденциальности ПДн. |
низкая |
неактуальная |
|
1.3 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (далее ПЭМИН) |
|||||||
Утечка информации по каналам ПЭМИН |
Мер защиты информации от утечки по каналам ПЭМИН не принято. |
высокая вероятность (10) |
высокая (0,75) |
Реализация угрозы может привести к нарушению конфиденциальности. |
средняя |
актуальная |
|
2. Физические угрозы |
|||||||
2.1 Неавторизованное проникновение внешнего нарушителя в помещение, в котором ведется обработка ПДн |
|||||||
Неавторизованное проникновение внешнего нарушителя в помещение, в котором ведется обработка ПДн |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
неактуальная |
|
2.2 Угрозы стихийного характера |
|||||||
Угрозы стихийного характера |
В помещении, где расположен сервер БД, установлена пожарная сигнализация. Организовано резервное копирование на съемные и несъемные носители. Регламент резервного копирования утвержден. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению целостности и доступности ПДн. |
средняя |
неактуальная |
|
2.3 Преднамеренные действия внешнего нарушителя |
|||||||
Повреждение каналов связи (кабелей), выходящих за пределы контролируемой зоны |
Кабельные линии выходят за пределы контролируемой зоны |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы может привести к временному нарушению доступности ПДн. |
низкая |
неактуальная |
|
Кража технических средств ИСПДн, носителей информации |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование. Ведется учет носителей ПДн. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению конфиденциальности и доступности ПДн. |
средняя |
неактуальная |
|
Порча или уничтожение технических средств ИСПДн, носителей информации |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению целостности и доступности ПДн. |
средняя |
неактуальная |
|
Подлог носителей, содержащих недостоверную информацию |
Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. ПДн хранятся на учтенных съемных носителях. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы приведет к нарушению достоверности ПДн |
средняя |
неактуальная |
|
Несанкционированное проводное подключение к кабельной линии за пределами контролируемой зоны |
Кабельные линии выходят за пределы контролируемой зоны. |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Внедрение аппаратных закладок в технические средства ИСПДн |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн, закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Технические средства ИСПДн опломбированы. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
неактуальная |
|
2.4 Преднамеренные действия внутреннего нарушителя |
|||||||
Кража технических средств ИСПДн, носителей информации |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. ПДн хранятся на учтенных съемных носителях. Организовано и регламентировано резервное копирование. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы приведет только к нарушению конфиденциальности ПДн. |
средняя |
неактуальная |
|
Порча или уничтожение технических средств ИСПДн, носителей информации |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению целостности и доступности ПДн. |
средняя |
неактуальная |
|
Подлог носителей, содержащих недостоверную информацию |
Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. ПДн хранятся на учтенных съемных носителях. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы приведет к нарушению достоверности ПДн. |
средняя |
неактуальная |
|
Изменение режимов работы технических средств ИСПДн |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны |
Физический доступ к кабельным линиям, находящимся в пределах контролируемой зоны затруднен. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к временному нарушению доступности ПДн. |
низкая |
неактуальная |
|
Несанкционирован-ное проводное подключение к кабельной линии (коммуникацион-ному оборудованию) в пределах контролируемой зоны |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Физический доступ к коммуникационному оборудованию и кабельным линиям затруднен. Коммутационное оборудование расположено в шкафу под замком в коридоре. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн |
средняя |
актуальная |
|
Внедрение аппаратных закладок в технические средства ИСПДн |
Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Технические средства ИСПДн опломбированы. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн |
средняя |
неактуальная |
|
2.5 Непреднамеренные действия внутреннего нарушителя |
|||||||
Непреднамеренная утрата носителей информации |
Организовано и регламентировано резервное копирование. ПДн хранятся на учтенных съемных носителях. |
маловероятно (0) |
средняя (0,25) |
Реализация угрозы приведет только к нарушению конфиденциальности ПДн. |
средняя |
неактуальная |
|
Непреднамеренный вывод из строя или изменение режимов работы технических средств ИСПДн |
Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
неактуальная |
|
Непреднамеренное повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны |
Физический доступ к кабелям, находящимся в пределах контролируемой зоны затруднен. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к временному нарушению доступности ПДн. |
низкая |
неактуальная |
|
2.6 Угрозы технического характера |
|||||||
Потеря данных в результате отказа носителей информации |
Организовано и регламентировано резервное копирование. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению целостности и доступности ПДн. |
средняя |
неактуальная |
|
Отказ внешних источников энергоснабжения |
Для технических средств обработки ПДн предусмотрены источники бесперебойного питания. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к временному нарушению доступности ПДн. |
низкая |
неактуальная |
|
Резкие колебания напряжения в электрической сети |
Для технических средств обработки ПДн предусмотрены источники бесперебойного питания. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению целостности и доступности ПДн. |
низкая |
неактуальная |
|
3. Угрозы несанкционированного доступа |
|||||||
3.1 Преднамеренные действия нарушителя |
|||||||
Внедрение программных закладок |
Программные средства не сертифицированы на отсутствие недекларированных возможностей. Контроль целостности программной среды не осуществляется. |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Запуск операционной системы с внешнего (сменного) носителя |
Использование сменных носителей не ограничено. |
высокая вероятность (10) |
высокая (0,75) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Внедрение вредоносных программ |
Используются средства антивирусной защиты. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Несанкционированный доступ к информации с применением стандартных функций операционной системы (уничтожение, копирование, перемещение и т.п.) |
Полномочия пользователей ограничены рамками служебных обязанностей. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Несанкционирован-ный доступ к информации с использованием прикладного программного обеспечения |
Полномочия пользователей по установке и запуску прикладного ПО ограничены. Использование сменных носителей не ограничено. |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Несанкционирован-ный доступ к информации с использованием специально созданного программного обеспечения |
Типовой состав ПО не включает средства создания программного обеспечения. Использование сменных носителей не ограничено. |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Несанкционирован-ное копирование информации на внешние (сменные) носители |
Использование сменных носителей не ограничено. Ведется учет сменных носителей ПДн. |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы приведет только к нарушению конфиденциальности ПДн. |
средняя |
актуальная |
|
Подбор аутентификацион-ных данных пользователя |
Установлены требования к сложности паролей. |
маловероятно (0) |
низкая (0,25) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
неактуальная |
|
Изменение режимов работы или отключение средств защиты информации |
Доступ к средствам защиты информации имеют только администраторы ИСПДн. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
3.2 Непреднамеренные действия нарушителя |
|||||||
Непреднамеренный запуск вредоносных программ |
Используются средства антивирусной защиты. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
Непреднамеренная модификация (уничтожение) информации |
Утверждена матрица доступа. Имеются инструкции пользователей. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению целостности и доступности ПДн. |
средняя |
актуальная |
|
Непреднамеренное изменение режимов работы или отключение средств защиты информации |
Доступ к средствам защиты информации имеют только администраторы ИСПДн. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн. |
средняя |
актуальная |
|
4. Угрозы персонала |
|||||||
Преднамеренное разглашение конфиденциальной информации |
Обязанность соблюдать конфиденциальность информации закреплена в должностных инструкциях. |
низкая вероятность (2) |
средняя (0,35) |
Реализация угрозы приведет только к нарушению конфиденциальности ПДн. |
средняя |
актуальная |
|
Непреднамеренное разглашение конфиденциальной информации |
Обязанность соблюдать конфиденциальность информации закреплена в должностных инструкциях. |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы приведет только к нарушению конфиденциальности ПДн. |
средняя |
актуальная |
|
Подлог недостоверной информации |
Ведется частичная регистрация действий пользователей ИСПДн. |
средняя вероятность (5) |
средняя (0,5) |
Реализация угрозы приведет только к нарушению достоверности ПДн. |
средняя |
актуальная |
3. Угрозы несанкционированного доступа
3.1 Преднамеренные действия нарушителя
3.1.1 Внедрение программных закладок
3.1.2 Запуск операционной системы с внешнего (сменного) носителя
3.1.3 Внедрение вредоносных программ
3.1.4 Несанкционированный доступ к информации с применением стандартных функций операционной системы (уничтожение, копирование, перемещение и т. п.)
3.1.5 Несанкционированный доступ к информации с использованием прикладного программного обеспечения
3.1.6 Несанкционированный доступ к информации с использованием специально созданного программного обеспечения
3.1.7 Несанкционированное копирование информации на внешние (сменные) носители
3.1.8 Изменение режимов работы или отключение средств защиты информации
3.2 Непреднамеренные действия нарушителя
3.2.1 Непреднамеренный запуск вредоносных программ
3.2.2 Непреднамеренная модификация (уничтожение) информации
3.2.3 Непреднамеренное изменение режимов работы или отключение средств защиты информации
3.3 Локальные уязвимости системного программного обеспечения
3.3.1 Несанкционированное повышение привилегий пользователя операционной системы
3.3.2 Несанкционированное выполнение произвольных команд операционной системы
3.3.3 Модификация (подмена) компонентов операционной системы
3.3.4 Отказ в обслуживании операционной системы
3.3.5 Уязвимости в микропрограммах (прошивках) технических средств ИСПДн
3.4 Локальные уязвимости прикладного программного обеспечения
3.4.1 Несанкционированное повышение привилегий пользователя
3.4.2 Несанкционированное выполнение произвольных команд операционной системы через уязвимости прикладного программного обеспечения
3.4.3 Модификация (подмена) компонентов прикладного программного обеспечения
3.4.4 Отказ в обслуживании прикладного программного обеспечения
4. Угрозы персонала
4.1 Преднамеренное разглашение конфиденциальной информации
4.2 Непреднамеренное разглашение конфиденциальной информации
4.3 Подлог недостоверной информации
2. Техническое задание на выполнение работ по аттестации по требованиям безопасности информации информационной системы персональных данных
Принятые сокращения
ПДн - персональные данные
ИСПДн - информационная система персональных данных
АС - автоматизированная система
АРМ - автоматизированное рабочее место
ПЭМИН - побочные электромагнитные излучения и наводки
НСД - несанкционированный доступ
СЗИ - система защиты информации
ЛВС - локальная вычислительная сеть
МФУ - многофункциональное устройство
1. Цель выполнения работ
1.1. Целью выполнения работ является аттестация информационной системы персональных данных класса К3 Челябинской Телевизионной Компании (далее - Заказчик) по требованиям безопасности информации в соответствии с законодательством Российской Федерации и нормативными документами ФСТЭК России и ФСБ России.
2. Краткая характеристика объекта информатизации для проведения работ
2.1. ИСПДн класса К3 Заказчика характеризуются сосредоточенностью на территории занимаемого Заказчиком помещения без подключения к сетям общего пользования и сетям международного информационного обмена.
2.2. По структурному построению ИСПДн класса К3 Заказчика представляет локально-замкнутую информационную систему, включающую средства обработки информации и обмена данными в рамках ЛВС.
2.3. По режиму обработки и разграничению прав доступа пользователей ИСПДн класса К3 Заказчика представляет собой многопользовательскую систему, с разграничением прав доступа пользователей
2.4. Состав основных технических средств ИСПДн класса К3 Заказчика:
- 1 сервер, без установленного и настроенного средства защиты от НСД;
- 10 АРМ в составе системный блок, клавиатура, мышь, монитор без установленных и настроенных средств защиты от НСД.
- 2 МФУ
- 3 принтера
- 2 сканера
2.5. Состав основного программного обеспечения ИСПДн класса К3 Заказчика:
- Операционные системы: лицензионное ПО Microsoft Windows XP Professional (АРМ), Microsoft Windows Server 2008 Standard 32 bit Edition (Сервер баз данных);
- лицензионные пакеты офисных программ Microsoft Office Professional Enterprise Edition 2003, Microsoft Office Standart Edition 2003;
- лицензионное средство антивирусной защиты Kaspersky Business Space Security Russian Edition;
- лицензионное средство резервного копирования и восстановления информации Acronis True Image Echo Workstation 9.5 (на клиентах), Acronis True Image Enterprise Server 9.1 (на сервере);
- прикладное лицензионное программное обеспечение «1С Предприятие», «1С Заработная плата», «Канцелярия», «Парус», «ПФР»
3. Состав и содержание выполняемых работ
Должны быть выполнены следующие работы:
№ п/п |
Наименование работ |
Результат работ(отчетная документация) |
|
1 |
Установка и настройка Microsoft Windows XP Professional, (сертифицированная ФСТЭК версия) |
Акт настройки Microsoft Windows XP Professional |
|
2 |
Перенастройка VipNet[Координатора] и VipNet[Клиент] |
Акт настройки VipNet |
|
3 |
Внесение изменений и разработка нормативных документов: |
Доработка:Модель угроз безопасности ПДн при их обработке в ИСПДн «ИСПДн ЧТК»;Технический паспорт ИСПДн «ИСПДн ЧТК»;Положение по ПДн;Перечень обрабатываемых ПД;Перечень лиц допущенных к обработке ПД;Технический паспорт на ИСПДн «ИСПДн ЧТК»;Инструкция по антивирусному контролю ИСПДн;Инструкция администратора ИСПДн;Перечень применяемых СЗИ ИСПДн;Согласие на обработку ПДн ИСПДН.Разработка:Акт классификации информационной системы персональных данных «ИСПДн ЧТК»Инструкция пользователя ИСПДн «ИСПДн ЧТК»;Положение о порядке хранения и уничтожения носителей ПДн в ИСПДн «ИСПДн ЧТК» |
|
4 |
Подготовка к аттестационным испытаниям:- проверка эффективности- установленных и настроенных средств защиты информации; |
Протокол «Контроля защищённости по требованиям безопасности защиты информации от НСД» |
|
5 |
Проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации согласно нормативным документам ФСТЭК России |
Акт проведения аттестационных испытаний. |
|
6 |
Оценка соответствия объекта информатизации требованиям по безопасности информации, произведенной на основании анализа общих результатов испытаний и выявленных в процессе испытаний конкретных недостатков и нарушений.Вывод о возможности выдачи «Аттестата соответствия». |
Заключение по результатам проведенных аттестационных испытаний. |
|
7 |
Оформление и выдача Аттестата соответствия |
Аттестат соответствия |
4. Условия проведения работы
4.1. Работы по аттестации ИСПДн класса К3 Заказчика должны носить комплексный характер, охватывая все элементы системы.
4.2. Работа должна быть выполнена в условиях постоянной эксплуатации существующей ИСПДн 3 класса.
4.3. Объектовые исследования должны быть проведены на месте эксплуатации ИСПДн класса К3.
4.4. При выполнении работ по аттестации ИСПДн класса К3 Заказчика должны быть учтены положения, требования и рекомендации правовых и нормативных документов по вопросам обеспечения информационной безопасности и защиты информации Российской Федерации, ФСТЭК России, ФСБ России.
5. Завершение аттестационных работ и оценка их результатов
5.1. Результаты аттестационных испытаний ИСПДн оцениваются на соответствие требованиям нормативных документов по безопасности информации.
5.2. Испытания оформляются протоколами, составляемыми по каждому отдельному виду испытаний.
5.3. Протоколы испытаний прикладываются к Заключению по результатам проведения испытаний, оформляемому по окончании работы Исполнителя.
5.4. Заключение по результатам проведения испытаний должно содержать краткую оценку соответствия ИСПДн требованиям по безопасности информации, вывод о возможности выдачи "Аттестата соответствия" и необходимые рекомендации.
модель угроза информационный персональный
6. Оформление и выдача «Аттестата соответствия»
6.1. "Аттестат соответствия" оформляется и выдается после утверждения заключения по результатам проведенных аттестационных испытаний.
6.2. "Аттестат соответствия" требованиям безопасности информации ИСПДн класса К3 оформляется в соответствии с СТР-К.
7. Требования по обеспечению режима конфиденциальности при проведении работ
7.1. С целью предотвращения утечки сведений конфиденциального характера круг лиц, допущенных к выполнению работ, должен быть ограничен.
7.2. Каждая из сторон обязуется соблюдать все правила и распоряжения другой стороны по обеспечению безопасности при доступе своих представителей в помещения другой стороны.
Размещено на Allbest.ru
Подобные документы
Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015Базовая модель угроз персональных данных, обрабатываемых в информационных системах персональных данных. Метод сокрытия информации в наименьших битах графических контейнеров. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [475,1 K], добавлен 05.12.2014Анализ сетевой инфраструктуры, специфика среды исполнения и принципов хранения данных. Обзор частных моделей угроз персональных данных при их обработке с использованием внутрикорпоративных облачных сервисов. Разработка способов защиты их от повреждения.
курсовая работа [41,7 K], добавлен 24.10.2013