Определение состава и содержания организационных и технических мер защиты информации в информационных системах персональных данных третьего уровня защищенности
Нормативно-правовые документы в области информационной безопасности Российской Федерации. Состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты с учетом актуальных угроз безопасности и применяемых технологий.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 15.05.2015 |
| Размер файла | 30,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Петербургский Государственный Университет Путей Сообщения Императора Александра I
Факультет: Автоматизация и интеллектуальные технологии
Кафедра: ИВС
Дисциплина «Обеспечение безопасности информационных систем»
Курсовая работа
По теме: Определение состава и содержания организационных и технических мер защиты информации в информационных системах персональных данных третьего уровня защищенности
Выполнил: магистрант Садиков А. Н.
Руководитель: Пологушен В. А.
Санкт-Петербург 2015
Введение
На сегодняшний день системы защиты информации очень востребованы как среди государственных, так и среди коммерческих организаций. Персональные данные нуждаются в надежной защите ввиду повсеместно распространившихся краж информации, превратившихся в проблему мирового масштаба.
Серьезность и острота проблемы потребовали от органов государственной власти принятия конкретных мер по ее урегулированию. В 2007 году в России вступил в силу Федеральный закон «О персональных данных» (№ 152-ФЗ), направленный на обеспечение всех необходимых мер по защите информации, используемой коммерческими и государственными организациями.
В соответствии с 152-ФЗ, каждое предприятие должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все необходимые меры во избежание следующих правонарушений:
- кража персональных данных;
- изменение;
- блокирование;
- копирование;
- разглашение информации и другие незаконные действия, указанные в 152-ФЗ.
Поскольку под понятие «Персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое - система защиты персональных данных нужна фактически любой организации. В случае нарушения положений закона № 152-ФЗ о защите персональных данных компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица - к гражданской, уголовной, административной, дисциплинарной ответственности.
1. Нормативно-правовые документы в области информационная безопасность Российской Федерации
Основные нормативно-правовые акты и методические документы в области защиты информации:
- Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895;
- Стратегия развития информационного общества в Российской Федерации, утверждённая Президентом Российской Федерации 07.02.2008 № Пр-212;
- Стратегия национальной безопасности Российской Федерации до 2020 года, утвержденная Указом Президента Российской Федерации от 12 мая 2009 г. № 537.
Основные общие нормативные правовые акты:
- Конституция Российской Федерации;
- Федеральный закон Российской Федерации от 28 декабря 2010 г № 380 - ФЗ "О безопасности";
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»;
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Постановления Правительства Российской Федерации:
- Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (от 1 ноября 2012 г. № 1119) ;
- Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами (от 21.03.2012 № 211);
- Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (от 6 июля 2008 года № 512 );
- Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (от 15 сентября 2008 г. № 687);
- Об организации лицензирования отдельных видов деятельности (от 21 ноября 2011 г. № 957);
- О лицензировании деятельности по технической защите конфиденциальной информации (от 3 февраля 2012 г. № 79);
- О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации (от 3 марта 2012 г. № 171);
- Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям (от 218 мая 2009 г. № 424);
- Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (от 3 ноября 1994 г. № 1233);
- Об утверждении Положения о сертификации средств защиты информации (от 26.06.1995 г. № 608 ).
2. Обеспечение безопасности персональных данных в информационных системах
Настоящая курсовая работа разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - меры по обеспечению безопасности персональных данных) для третьего уровня защищенности персональных данных, установленных в требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
3. Состав и содержание мер по обеспечению безопасности персональных данных
персональный данные информационный безопасность
В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения 3 уровня защищенности персональных данных, приведены в приложении №1.
Список используемой литературы
1. Федотова Е. Л. - Информационные технологии и системы: учеб. пособие. - М.: ИД «ФОРУМ»: ИНФРА-М, 2009. - 352 с.: ил. - (Профессиональное образование).
2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. - М.: Энергоиздат, 1994.
3. Методический докумкумент Федеральной службы по техническому и экспортному контролю, Меры защиты информации в государственных информационных системах (утвержден Федеральной службой по техническому и экспортному контролю 11 февраля 2014 года) .
4. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21).
5. Требования к защите персональных данных при их обработке в информационных системах персональных данных (утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119)
Приложения №1
|
Условное обозначение и номер меры |
Содержание мер по обеспечению безопасности персональных данных |
3 Уровень защищенности персональных данных |
|
|
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|||
|
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
+ |
|
|
ИАФ.2 |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
+ |
|
|
ИАФ.3 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
+ |
|
|
ИАФ.4 |
Защита обратной связи при вводе аутентификационной информации |
+ |
|
|
ИАФ.5 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
+ |
|
|
II. Управление доступом субъектов доступа к объектам доступа (УПД) |
|||
|
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
+ |
|
|
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
+ |
|
|
УПД.3 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
+ |
|
|
УПД.4 |
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
+ |
|
|
УПД.5 |
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
+ |
|
|
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
+ |
|
|
УПД.7 |
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
+ |
|
|
УПД.8 |
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
+ |
|
|
УПД.9 |
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
+ |
|
|
УПД.10 |
Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
+ |
|
|
УПД.11 |
Регламентация и контроль использования в информационной системе мобильных технических средств |
+ |
|
|
УПД.12 |
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
+ |
|
|
III. Защита машинных носителей персональных данных (ЗНИ) |
|||
|
ЗНИ.1 |
Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
+ |
|
|
IV. Регистрация событий безопасности (РСБ) |
|||
|
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
+ |
|
|
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
+ |
|
|
РСБ.3 |
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
+ |
|
|
РСБ.4 |
Защита информации о событиях безопасности |
+ |
|
|
V. Антивирусная защита (АВЗ) |
|||
|
АВ3.1 |
Реализация антивирусной защиты |
+ |
|
|
АВ3.2 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
+ |
|
|
VI. Контроль (анализ) защищенности персональных данных (АНЗ) |
|||
|
AH3.1 |
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
+ |
|
|
AH3.2 |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
+ |
|
|
АНЗ.3 |
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
+ |
|
|
AH3.4 |
Контроль состава технических средств, программного обеспечения и средств защиты информации |
+ |
|
|
VII. Защита среды виртуализации (ЗСВ) |
|||
|
3CB.1 |
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
+ |
|
|
3CB.2 |
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
+ |
|
|
ЗСВ.3 |
Регистрация событий безопасности в виртуальной инфраструктуре |
+ |
|
|
ЗСВ.4 |
Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
+ |
|
|
ЗСВ.5 |
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей |
+ |
|
|
VIII. Защита технических средств (ЗТС) |
|||
|
ЗТС.1 |
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены |
+ |
|
|
ЗТС.2 |
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
+ |
|
|
IX. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) |
|||
|
ЗИС.1 |
Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
+ |
|
|
ЗИС.2 |
Защита беспроводных соединений, применяемых в информационной системе |
+ |
|
|
X. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) |
|||
|
УКФ.1 |
Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных |
+ |
|
|
УКФ.2 |
Управление изменениями конфигурации информационной системы и системы защиты персональных данных |
+ |
|
|
УКФ.3 |
Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных |
+ |
|
|
УКФ.4 |
Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных |
+ |
В рассматриваемом информационном системе обработки персональных данных используются следующие меры по обеспечению безопасности персональных данных:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа, кроме управление доступом внешних информационных системах;
- регистрация событий безопасности;
- антивирусная защита;
- контроль (анализ) защищенности персональных данных;
- защита технических средств;
- управление конфигурацией информационной системы и системы защиты персональных данных.
Размещено на Allbest.ru
Подобные документы
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа [1,3 M], добавлен 01.07.2011Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация [2,1 M], добавлен 15.11.2016Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012
