Главная Коллекция "Otherreferats" Программирование, компьютеры и кибернетика Организационная защита персональных данных в учреждениях дошкольного образования

Организационная защита персональных данных в учреждениях дошкольного образования

Обоснование необходимости защиты персональных данных. Определение мер совершенствования организационного обеспечения защиты данных. Общее описание инструкций по идентификации, аутентификации пользователей и контролю доступа в информационной системе.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 27.01.2018
Размер файла 489,5 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Страница:

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение высшего образования «Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева» (СибГАУ)

Аэрокосмический колледж

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к выпускной квалификационной работе

«Организационная защита персональных данных в учреждениях дошкольного образования»

Информационные системы и информационная безопасность

Дипломник Мешавкина Дарья Игоревна

Руководитель преподаватель,АК СибГАУ Земцов И.В

Рецензент преподаавтель АК СибГАУ Пятков А.Г

Консультант по экономической части преподаватель высшей категории АК СибГАУ, Аверина Т.И

Красноярск 2016 г.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования

«Сибирский государственный аэрокосмический университет

имени академика М. Ф. Решетнева»

(СибГАУ)

Аэрокосмический колледж

СОГЛАСОВАНО

______________ Зам. директора по УМР

Шувалова М.А.

« ____ » ______________ 2016г.

ЗАДАНИЕ

по выпускной квалификационной работе

Студенту Мешавкиной Дарьи Игоревны группы И-3-12 специальности 10.02.03

Тип ВКР: Дипломный проект

Тема проекта: Организационная защита персональных в учреждениях дошкольного образования

Утверждена приказом директора АК № _________ от «____» __________________20 г.

Сроки: начала проектирования 18.04.2016 г. защиты 13.06.2016 г.

Срок сдачи студентом первого варианта проекта 16.05.2016 г.

Срок сдачи студентом законченного проекта 06.06.2016 г.

Объект преддипломной практики: Муниципальное бюджетное дошкольное образовательное учреждение «Центр развития ребенка - детский сад №254» Кировского района г. Красноярска.

Исходные данные к ВКР: нормативно-правовые источники РФ, статистические данные, материалы с преддипломной практики, учебники, научные журналы и статьи, справочные данные сети Internet-сайтов и др.

Содержание пояснительной записки (перечень вопросов, подлежащих разработке в ВКР):

Аналитическая часть: методы и средства защиты персональных данных в учреждении.

Проектная часть: Определение мер совершенствования организационного обеспечения защиты персональных данных в учреждении.

Использование экономико-математических методов и ЭВМ: системный анализ, метод сравнения, для расчета экономических показателей табличный процессор Microsoft Excel и др.

Практическая реализация: Акт внедрения организационной защиты персональных данных в МБДОУ№254.

Перечень графического материала с указанием обязательных чертежей: таблицы содержащие меры по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных.

Консультанты по проекту (работе) с указанием относящихся к ним разделов

по экономической части: планирование и внедрение средств защиты персональных данных.

Нормоконтроль: оформление пояснительной записки ВКР в соответствии с требованиями методических указаний по оформлению.

График выполнения

№ раздела работы

Содержание и объем работы

Срок аттестации

1

Теоретическая часть

25.04.2016

2

Анализ информационного обеспечения предприятия

05.05.2016

3

Проектная часть

16.05.2016

4

Экономическая часть

23.05.2016

5

Заключение

25.05.2016

6

Список литературы

25.05.2016

Приложение

25.05.2016

Оформление работы

04.06.2016

Нормоконтроль

10.06.2016

Руководитель ________________

Земцов Иван Владимирович (личная подпись)

АК СибГАУ, преподаватель «_________» _______________2016 г.

Консультант по экономической части ________________

Аверина Татьяна Игоревна (личная подпись)

АК СибГАУ, преподаватель «_________» _______________2016 г.

Нормоконтроль ________________

Башанова Ксения Александровна (личная подпись)

АК СибГАУ, преподаватель «_________» _______________2016 г.

Задание принял к исполнению

Мешавкина Дарья Игоревна ________________

(личная подпись)

«_________» _______________2016г

Аннотация

Тема: «Организационная защита персональных данных в учреждениях дошкольного образования»

Объём дипломной работы …

Ключевые слова: готовность, профессиональная деятельность, условия готовности.

Объектом исследования при написании работы послужила деятельность по обработке персональных данных, как неотъемлемая часть образовательной деятельности процесс обучения в МБДОУ № 254 «Центр развития ребенка».

Предметом исследования работы стала организационное обеспечение защиты персональных данных защита персональных данных в МБДОУ № 254 «Центр развития ребенка».

В дипломную работу входит введение, три главы, три вывода по написанным главам, итоговое заключение.

Во введении раскрывается актуальность исследования по выбранному направлению, ставится проблема, цель и задачи исследования, определяются объект, предмет научных поисков, формулируется гипотеза, ставятся цель и задачи, указывается методологическая база исследования, его теоретическая, практическая значимость.

Список сокращений

1. Организация - Муниципальное бюджетное дошкольное образовательное учреждение «Центр развития ребенка - детский сад № 254», так же МБДОУ № 254, детский сад

2. ПДн - персональные данные

3. ИСПДн - информационная система персональных данных

4. СЗПДн - система защиты персональных данных

5. ОС - операционные системы

6. ПО - программное обеспечение

Оглавление

ВВЕДЕНИЕ

ГЛАВА 1. Обоснование необходимости совершенствования системы защиты персональных данных.

1.1 Характеристика организации и её деятельность

1.2 Обоснование необходимости защиты персональных данных

1.3 Вывод по первой глав

ГЛАВА 2. Определение мер совершенствования организационного обеспечения защиты персональных данных в МБДОУ№254

2.1 Организационные мер

2.2 Описание системы защиты персональнызх данных в организаци

2.3 Вывод по второй глав

ГЛАВА 3. Разработка проектов локальных нормативных и распорядительных документов

3.1 Общее описание инструкций по идентификации, аутентификации пользователей и контролю доступа в информационной системе

3.2 Инструкция по осуществлению парольной защиты

3.3 Инструкция учетных записей пользователей

3.4 Инструкция по осуществлению антивирусного контроля

3.5 Вывод по третьей главе

4. Экономическое обоснование проектной работы

Заключение

Список использованной литературы

Приложение

Введение

В данной пояснительной записке к выпускной работе описывается организационная защита персональных данных в муниципальном бюджетном дошкольном образовательном учреждении «Центр развития ребенка - детский сад № 254»(далее-МБДОУ№254)

На сегодняйший день реальность во многом заменяется виртуальным миром. Мы знакомимся, общаемся и играем в Интернете, у нас есть друзья, с которыми в настоящей жизни мы никогда не встречались, но доверяемся таким людям больше, чем близким. Мы создаем своего виртуального (информационного) прототипа на страничках в социальных сетях, выкладывая информацию о себе.Используя электронное пространство, мы полагаем, что это безопасно, потому что мы делимся всего лишь информацией о себе и к нашей обычной жизни вроде бы это не относится.Но на самом деле границы между абстрактной категорией «информация» и реальным человеком носителем этой информации стираются.

Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному:

- кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь;

- кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию и сделать изгоем в обществе;

- с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас и заставлять совершать какие-то действия.

Поэтому защита личной информации может приравниваться к защите реальной личности. И важно в первую очередь научиться правильно, безопасно обращаться со своими персональными данными.

Целью выпускной работы является понижение рисков, связанных с нарушением целостности, доступности и конфиденциальности персональных данных, обрабатываемых в МБДОУ№254.

Для достижения поставленной цели необходимо выполнить следующие задачи:

1. Обоснование необходимости совершенствование системы защиты персональных данных в МБДОУ№254;

2. Определение мер совершенствования организационного обеспечения защиты персональных данных в МБДОУ№254;

3. Разработка проектов локальных нормативных и распорядительных документов.

защита персональный данные идентификация

ГЛАВА 1. Обоснование необходимости совершенствования системы защиты персональных данных

1.1 Характеристика организации и её деятельность

В качестве обьекта защиты в данной работе является, Муниципальное бюджетное дошкольное образовательное учреждение «Центр развития ребенка - детский сад №254» учреждение находится по адресу: 660094, город Красноярск, Щорса, 49 «А».

Режим работы детского сада - пятидневная рабочая неделя, 12 часового пребывания (с 7.00 - до 19.00). Выходными считаются: суббота, воскресение общепринятые государственные праздники.

В здание расположены:

1 этаж:

- Административно-хозяйственные помещения (пищеблок, складские помещения, кастелянная);

- Медицинский блок (процедурный кабинет, изолятор, кабинет врача);

- 2 группы младшего возраста; 1 группа среднего возраста;

- Экологический центр, который включает комнату для занятий и экспериментирования, «Зимний сад», «Живой уголок»;

- Плавательный бассейн;

- Постоянно действующая выставка «Вернисаж»;

2 этаж:

- 1 группа подготовительного возраста, 2 группы старшего возраста, 1 группа младшего возраста;

- Кабинет заведующей;

- Кабинет заместителя заведующей по АХЧ;

- Творческая мастерская;

- Музыкальный зал;

3 этаж:

- 1 группа подготовительного возраста, 1 группа младшего возраста, 1 группа среднего возраста, 1 группа старшего возраста;

- Спортивный зал;

- Сухой бассейн;

- Кабинет педагога-психолога;

- Методический кабинет.

Территория детского сада ограждена забором, освещена. На территории имеются зеленые насаждения -- деревья и кустарники нескольких видов, цветники, организована экологическая тропа. На земельном участке выделены следующие функциональные зоны: зона застройки, зона игровой территории и хозяйственная зона. Зона застройки включает здание ДОУ, которое размещено в границах участка. Посторонних учреждений, построек и сооружений на участке не расположено.

Игровая зона включает групповые и две физкультурных площадки. Зонирование территории ДОУ предусматривает организацию участков для каждой возрастной группы. Игровые площадки оборудованы с учетом высокой активности детей в играх.

Имеются малые архитектурные формы, деревянные и металлические конструкции (гимнастические бревна, горки, лесенки), теневые навесы, песочницы. Предусмотрены полосы между элементами участка, обеспечивающие санитарные разрывы. На территории игровой зоны выделены две физкультурные площадки, оборудованные необходимым спортивным оборудованием и гимнастическими снарядами.

Общее санитарно-гигиеническое состояние детского сада соответствует требованиям Госсанэпиднадзора, световой и воздушный режимы поддерживаются в норме. Помещений, находящихся в состоянии износа или требующих капитального ремонта -- нет.

В целом материальная база учреждения обеспечивает на высоком уровне организацию обучения и воспитания детей дошкольного возраста.

Построение системы защиты информации всегда начинается с изучения объекта защиты, а именно информационной системы, среды ее функционирования и информации, которая в ней обрабатывается.

Вид деятельности: реализация образовательных программ для детей дошкольного возраста, присмотр и уход за детьми дошкольного возраста.

Виды реализуемых программ: основная общеобразовательная программа образовательная программа дошкольного образования; дополнительные общеобразовательные программы физкультурно-спортивной, художественной, социально-педагогической направленностей.

Образовательная программа реализуется с учетом возрастных и индивидуальных особенностей детей.

Организация вправе осуществлять за счет средств физических и (или) юридических лиц платные образовательные услуги, в соответствии с установленными Правилами оказания данных услуг. Платные образовательные услуги не могут быть оказаны вместо образовательной деятельности, финансовое обеспечение которой осуществляется за счет бюджетных ассигнований.

Основной структурной единицей организации является группа воспитанников дошкольного возраста. В группы могут включаться как воспитанники одного возраста, так и воспитанники разных возрастов (разновозрастные группы).

Образовательная деятельность по образовательным программам дошкольного образования в организации осуществляется в группах общеразвивающей направленности, функционирующих в режиме полного дня. В организации могут быть организованы: группы общеразвивающей направленности, функционирующие в режиме кратковременного пребывания, группы по присмотру и уходу, без реализации образовательной программы дошкольного образования, функционирующие в режиме полного дня.

Организация охраны здоровья детей (за исключением оказания первичной медико - санитарной помощи, прохождения периодических медицинских осмотров и диспансеризации) в организации, осуществляется организацией. Организацию оказания первичной медико-санитарной помощи детям осуществляют органы исполнительной власти в сфере здравоохранения.

1.2 Обоснование необходимости защиты персональных данных в МБДОУ№254

Современная жизнь информационных технологий диктует нам новые угрозы, о которых мы ранее не задумывались. Мы живем в век информационного общества и не может не замечать, что стираются границы между абстрактной категорией «информация» и носителем этой информации. Виртуальный мир в современных реалиях представляет угрозу личности, собственности, общественному порядку и государственной безопасности. Так, защита той или иной информации может быть приравнена к защите её материального эквивалента.

В настоящее время объективной реальностью является необходимость обеспечения безопасности личной информации, поскольку информация о человеке сегодня превратилась в дорогой товар. Защита личной информации может приравниваться к защите личности, при этом степень угрозы безопасности личности (частная жизнь, личная, семейная тайна, жизнь и здоровье личности, собственность и пр.) может определяться в каждом конкретном случае незаконного использования информации о личности.

В этой связи вопросы защиты персональных данных получили в последние годы особое звучание - развитие Интернет технологий, широкое распространение персональных гаджетов с разнообразными функциями, в том числе, геолокационными выдвинули эту проблематику в разряд наиболее злободневных.

В соответствии с Законом №152 - ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн).

Вся необходимая информация (ФИО, домашний адрес, место работы родителей, данные на ребенка, включая его медицинскую карту) предоставляется родителями, когда ребенок идет в детский сад. Если каких-то данных не хватает, можно дать родителям заполнить дополнительную анкету.

Но почему - то требуют именно согласия на обработку персональных данных, не указывая каких именно. И вообще непонятно - зачем детскому саду нужно право неограниченно собирать, обрабатывать и распространять любую информацию о наших детях.

Подписывая предлагаемую организацией бумагу, мы соглашаемся и на распространение любой информации о нас, которая может составлять личную, семейную или медицинскую тайну.

Уточним теперь, что такое распространение персональных данных - это действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно - телекоммуникационных сетях или предоставление доступа к персональным данным каким - либо иным способом.

Соответственно если мы дадим свое согласие на все эти манипуляции с нашими персональными данными, то потом у нас не будет юридического основания для правовой защиты, если подробная информация о нашей семье появится в интернете и станет достоянием многих. Подписание такого документа дает неограниченные права организации и всем ее вышестоящим структурам и ставит под угрозу неприкосновенность Вашей частной жизни и частной жизни Вашего ребенка.

Российские законы пока еще не позволяют собирать личную информацию о человеке и его семье без его согласия (о детях - без согласия родителей, как их законных представителей): «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»(ст.24,ч.1КонституцииРФ). Организация не имеет права требовать предоставления любой личной информации (требовать могут только суд или правоохранительные органы), а только просить. И если вас на родительском собрании просят подписать какой - либо документ, нужно, во-первых, внимательно проверить и прочитать сам документ (бывает, к сожалению, что говорят одно, а дают подписывать другое) и, во-вторых, помнить, что предоставлять кому-либо личную информацию - это право, а не обязанность.

Необходимо знать следующее. Во всех случаях, когда субъект ПДн обязан предоставить свои данные или данные своего ребенка, организация, которая их получает, обязана официально сообщить Вам, какой федеральный закон установил такую обязанность, и какие юридические последствия будет иметь отказ предоставить данные (ст. 18 п. 2 Федерального закона «О персональных данных»). Поэтому, если у Вас требуют Ваши данные или данные Вашего ребенка, то Вы имеете законное право потребовать от этого органа, организации или учреждения, чтобы они в письменной форме указали:

- каким законом установлена Ваша обязанность предоставить свои личные данные;

- кто будет с этой информацией ознакомлен;

- причину, по которой просят предоставить личные данные, для какой цели они нужны;

- каким образом этот орган, учреждение или организация собирается охранять полученную информацию.

В заявлении родителями (законными представителями) ребенка указываются следующие сведения:

а) фамилия, имя, отчество (последнее - при наличии) ребенка;

б) дата и место рождения ребенка;

в) фамилия, имя, отчество (последнее - при наличии) родителей (законных представителей) ребенка;

г) адрес места жительства ребенка, его родителей (законных представителей);

д) контактные телефоны родителей (законных представителей) ребенка.

Для приема в МБДОУ:

а) родители (законные представители) детей, проживающих на закрепленной территории, для зачисления ребенка в МБДОУ дополнительно предъявляют оригинал свидетельства о рождении ребенка или документ, подтверждающий родство заявителя (или законность представления прав ребенка), свидетельство о регистрации ребенка по месту жительства или по месту пребывания на закрепленной территории или документ, содержащий сведения о регистрации ребенка по месту жительства или по месту пребывания;

б) родители (законные представители) детей, не проживающих на закрепленной территории, дополнительно предъявляют свидетельство о рождении ребенка. Родители (законные представители) детей, являющихся иностранными гражданами или лицами без гражданства, дополнительно предъявляют документ, подтверждающий родство заявителя (или законность представления прав ребенка), и документ, подтверждающий право заявителя на пребывание в Российской Федерации.

Книга учета движения детей содержит следующие сведения:

- порядковый номер;

- фамилию, имя, отчество воспитанника;

- дату рождения;

- данные о родителях (законных представителях): Ф.И.О., место работы;

- домашний адрес, телефон;

- дату поступления в учреждение;

- дату, причину выбытия;

- данные о причине выбытия и местонахождении ребенка.

1.3 Вывод по первой главе

На основании рассмотренного теоретического материала по необходимости защиты ПДн в МБДОУ №254 можно сделать вывод о том, что информация циркулирующая в МБДОУ№254, подлежит защите с точки зрения законодательства.

Глава 2. Определение мер совершенствования организационного обеспечения защиты персональных данных в МБДОУ№254

2.1 Организационные меры

Для определения организационных мер по защите ПДн было проанализировано следующее:

- Федеральный закон от 27 июля 2006 г. N 152- ФЗ О персональных данных;

- Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановление Правительства РФ от 15 сентября 2008 г. N 687
"Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Федеральная служба по техническому и экспортному контролю приказ от 18 февраля 2013 г. N 21;

- Приказ ФСБ России от 10 июля 2014 г. N 378

В ходе анализа 152 ФЗ установлено, что детский садик попадает под понятие оператора ПДн и к нему предъявляются следующие требования:

Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г.

В результате анализа Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 было выявлено, что для МБДОУ»254 подходит 4 уровень защищенности ПДн .(рисунок 1.1)

Рисунок 1.1- Уровни защищенности ПДн

Организация должна обеспечить режим безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. Также обеспечить сохранность носителей персональных данных.

Утвердить руководителем оператора, документ определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.

В результате анализа Постановление Правительства РФ №687 для МБДОУ№254 , были выявлены правила обработки ПДн :

Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

Оператор , осуществляющий обработку персональных данных без использования средств автоматизации, должен быть проинформирован о факте обработки им персональных данных, об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации.

Проаназировав ФСТЭК N 21, нами были составлены меры для обеспечения безопасности ПДн в учреждении:

В состав мер по обеспечению безопасности персональных данных, входят:

- Идентификация и аутентификация субъектов доступа и объектов доступа

- Управление доступом субъектов доступа к объектам доступа

- Ограничение программной среды

- Защита машинных носителей персональных данных

- Регистрация событий безопасности

- Антивирусная защита

- Обнаружение вторжений

- Контроль (анализ) защищенности персональных данных

- Обеспечение целостности информационной системы и персональных данных

- Обеспечение доступности персональных данных

- Защита среды виртуализации

- Защита технических средств

- Защита информационной системы, ее средств, систем связи и передачи данных

- Выявление инцидентов и реагирование на них

- Управление конфигурацией информационной системы и системы защиты персональных данных

В результате анализа Приказа ФСБ России N 378, для МБДОУ №254 были составелны следующие меры по обеспечению сохраности носителей ПДн:

Осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов).Также осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.

2.2 Описание системы защиты персональных данных в организации

Требования по защите Пдн:

- Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом.

- Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

- Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных. Общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

В целях выявления нарушений законодательства и анализа принимаемых мер по нейтрализации или минимизации угроз безопасности при обработке ПДн в МБДОУ №254 был проведен аудит безопасности персональных данных. (приложение А)

Аудит проводился в подразделениях, обрабатывающих персональные данные как работников, так и воспитанников. По результатам проверки (приложение Б) составлен список мер, необходимых для минимизации остаточных рисков и устранения нарушений законодательства.

По результатам аудита системы защиты персональных данных сделан вывод о необходимости принятия следующих мер:

- издать инструкцию по осуществлению парольной защиты;

- издать инструкцию учетных записей пользователей;

- издать инсрукцию по осуществлению антивирусного контроля.

Принятие этих мер будет способствовать минимизации информационных и правовых рисков.

2.3 Вывод по второй главе

В результате анализа НПА и проведения аудита установленно, что детский садик не выполняет требования установленные законодательством РФ.

ГЛАВА 3. Разработка проектов локальных нормативных и распорядительных документов

3.1 Общее описание инструкций по идентификации, аутентификации пользователей и контролю доступа в информационной системе

Для совершенствования системы защиты ПДн МБДОУ№254, по результатам проведенного аудита, поставлена задача разработать следующие проекты документов:

1. Инструкцию по осуществлению парольной защиты;

2. Инструкция учетных записей пользователей;

3. Инсрукцию по осуществлению антивирусного контроля.

3.2 Инструкция по осуществлению парольной защиты

Инструкция по организации парольной защиты необходима для определения порядка защиты ресурсов автоматизированных систем, обрабатывающих персональные данные, с использованием подсистемы парольной защиты от несанкционированного доступа в автоматизированных системах объекта информатизации, предназначенных для обработки персональных данных. Инструкция состоит из следующих разделов:

- Требования к организации парольной защиты объекта информатизации;

- Порядок применения парольной защиты;

- Порядок организации парольной защиты информационных систем;

- Порядок регистрации нового пользователя корпоративной сети

3.3 Инструкция учетных записей пользователей

Инструкция состоит из следующих разделов:

- Общие положения;

- Порядок регистрации нового пользователя корпоративной сети;

- Блокирование учетной записи пользователя корпоративной сети;

- Уничтожение учетной записи пользователя корпоративной сети;

- Снятие блокировки учетной записи пользователя корпоративной сети;

- Порядок создания и удаления учетных записей сотрудников на автоматизированных рабочих местах.

Порядок регистрации, блокирования и уничтожения учетных записей пользователей в МБДОУ№254 составлен в соответствии с приказом ФСТЭК России от 18.02.2013 №21«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

3.4 Инструкция по осуществлению антивирусного контроля

Инструкция по осуществлению антивирусного контроля определяет порядок защиты ресурсов автоматизированной системы при помощи подсистемы антивирусной защиты. Инструкция состоит из следующих разделов:

- Общие положения;

- Установка антивирусного ПО;

- Порядок обновления антивирусных баз;

- Требования к проведению антивирусного контроля;

- Действия пользователя при обнаружении вредоносных программ;

- Ответственность за выполнения требований инструкций.

В общих положениях описаны границы применимости, термины и определения, необходимые для целей инструкции. Порядок установки средств антивирусной защиты определяет перечень действий должностного лица, проводящего установку антивирусного ПО. Порядок обновления баз сигнатур предусматривает порядок обновления на рабочих станциях, как подключенных, так и не подключенных к глобальной информационно-телекоммуникационной сети «Интернет». Обновление баз сигнатур производится по заранее заданному расписанию. Порядок проведения антивирусного контроля регламентирует периодичность проведения антивирусного контроля различных областей памяти рабочей станции. Порядок реагирования на обнаружение вредоносного программного обеспечения, регламентирует действия пользователя при получении информации от средства антивирусной защиты об обнаружении вредоносного ПО. Алгоритм действий позволяет пользователю однозначно определить, в каких случаях необходимо приостановить работу и обратится к системному администратору. Ответственность за исполнение инструкции распределяется на пользователей, начальников подразделений и системных администраторов.

Издание и исполнение инструкции по осуществлению антивирусного контроля необходимо в целях предотвращения нарушения целостности, конфиденциальности и доступности ПДн, а также отвечает требованиям нормативных документов.

3.5 Вывод по третьей главе

Внедрение предложенных средств защиты позволит сократить ущерб, полученных вследствие за несоблюдения требований законов РФ по отношению к ПДн, циркулирующей в МБДОУ№254.

ГЛАВА 4. Экономическое обоснование проектной работы

Введение

В этом разделе рассматривается величина финансовых затрат на дипломную работу.

Информация является одним из самых ценных ресурсов организации. Информация, циркулирующая в МБДОУ№254, неотъемлемо подвергается воздействию сетевых вторжений (атак), угрозам НСД, угрозам утечки по техническим каналам, угрозам хищения ,модификации, блокирования и т.п. . Уязвимыми становятся учетные и клиентские базы данных, сведения, составляющие коммерческую тайну, профессиональную тайну, государственную и т.п. Утечка подобной информации приводит к прямым экономическим убыткам организации.

Целью экономической части работы является оценка степени снижения штрафов в МБДОУ№254.

1. Расчёт затрат на разработку документов

На первом шаге необходимо рассчитать затраты, которые подразделяются на капитальные и текущие затраты. Расчет состоит из следующих статей:

а) стоимость оборудования и программного обеспечения;

б) стоимость расходных материалов;

в) основная и дополнительная заработная плата;

г) обязательные платежи во внебюджетные фонды от основной и дополнительной заработной платы;

д) накладные расходы;

е) прочие расходы;

Произведем расчет по каждому пункту в отдельности.

1.1 Стоимость оборудования и программного обеспечения

Оборудование и программное обеспечение имеется в наличии, следовательно затраты на приобретение равны нулю.

1.2 Стоимость расходных материалов

Таблица 3- Данные по расходам на материалы

№ п/п

Статьи затрат

Количество

Коэффициент использования, %

Сумма, руб.

2

Флеш-диск

1 шт.

1

150

3

Пачка бумаги офисной (формат А 4, 500 л.)

1 шт.

90

150

4

Картридж для лазерного принтера (рассчитан на 4000 страниц)

1 шт.

5

375

5

Набор канцелярии

1 шт.

80

20,00

Итого

695

1.3 Основная и дополнительная заработная плата

В выполнении дипломного проекта участие принимал 1 человек - студент дипломник.

Определим продолжительность выполнения работ (трудоемкость) по дипломному проекту.

Результаты представим в таблице 1.

Таблица 1. Трудоемкость выполненных работ

Пп

Наименование работы

Исполнитель

Трудоемкость, час

1

Изучение особенностей требований ФЗ-152, ПП№1119, ПП № 687,ФСТЭК № 21,ФСБ № 378

Студент дипломник

40

2

Разработка аудита организационной защиты персональных данных в МБДОУ

Студент дипломник

70

3

Разработка проектов локальных нормативных и распорядительных документов

Студент дипломник

120

Выполнение дипломного проекта заняло 230 часов (около 2 месяцев).

Расчет основной заработной платы включает в себя:

- расчет оплаты выполненных работ по тарифу

- расчет премиальных доплат

- расчет прочих доплат

- расчет доплат поясного коэффициента.

Заработная плата по тарифу рассчитывается по формуле:

Зтар = Тр·Тст, (руб.)

где: Тр - трудоемкость всех видов работ, час

Тст - часовая тарифная ставка, руб.

Часовая тарифная ставка студенту дипломнику рассчитывается исходя из размера базовой академической стипендии для СПО (700 руб.); 0,20 - районный коэффициент; 0,30 - процентная надбавка за работу в районах крайнего севера; 0,50 - премиальный коэффициент за отличную успеваемость.

Тст=700:21:8=4,2 (руб.)

Зтар = 230*4,2=966 (руб.)

Премиальные доплаты рассчитывают по формуле:

Дпрем = 0,5·Зтар, (руб.)

Дпрем = 0,5·966=483 (руб.)

Прочие доплаты рассчитывают по формуле:

Дпр = 0,1·Зтар, (руб.)

Дпр = 0,1·966=96,6 (руб.)

Доплаты поясного коэффициента рассчитываются по формуле:

Дпк = 0,5·(Зтар+Дпрем+Дпр), (руб.)

Дпк = 0,5·(966+483+96,6)=772,8 (руб.)

Основная заработная плата рассчитывается по формуле:

Зосн = Зтар+Дпрем+Дпр+Дпк, (руб.)

Зосн = 966+483+96,6+772,8=2318,4 (руб.)

К дополнительной заработной плате относятся оплата отпусков, периодов нетрудоспособности работника и т.п. Дополнительная заработная плата укрупнено рассчитывается как 13, 3% от основной заработной платы. Так как все работы были выполнены студентом дипломником, расчет дополнительной заработной платы не производится.

1.4Обязательные платежи во внебюджетные фонды от основной и дополнительной заработной платы

На основе Федерального закона РФ от 02.12.2013 № 323 «О страховых тарифах на обязательное социальное страхование от несчастных случаев на производстве и профессиональных заболеваний на 2014 год и на плановый период 2015 и 2016 годов» отчисления составляют 0,2%

Так как работы выполнялись студентом дипломником, то данный вид расчетов отсутствует.

1.5 Накладные расходы

Накладные расходы включают в себя расходы на ремонт, амортизационные отчисления и электроэнергию, оплату консультаций, арендную плату и т.п.

Укрупненно накладные расходы принимаются в размере 50-100 % от размера основной заработной платы.

Рнакл = 2318*0,5=1159 (руб.)

1.6 Прочие расходы

В данную группу затрат включаются расходы на использование сети Интернет, телефонная связь, транспортные расходы и т.п.

Укрупненно прочие расходы составляют 5-10% от суммы всех затрат.

Рпр = (695+2318+1159) 0,1=417 (руб.)

Данные по расчёту затрат представлены в таблице 4.

Таблица 4 - Данные по расчёту затрат

№ п/п

Статьи затрат

Сумма, руб.

1

Стоимость оборудования и программного обеспечения

-

2

Стоимость расходных материалов

695

3

Основная заработная плата

2318

4

Обязательные платежи во внебюджетные фонды от основной и дополнительной заработной платы

-

5

Накладные расходы

1159

6

Прочие расходы

417

Итого:

4589

2. Обоснование экономической эффективности

Данные документы разрабатывались с целью избежания риска от штрафных санкций.

Проанализировав полученные результаты, можно сделать вывод о том, что внедрение разработанных документов позволит сократить штрафы в организации (средний размер штрафов около 5 тысяч рублей).

В качестве альтернативного решения МБДОУ могло бы использовать услуги специализированных фирм. Стоит отметить, что стоимость таких услуг была бы значительно выше, от рассчитанной в дипломной работе суммы затрат, т.е. стоимость услуг в фирме была бы чрезмерно завышена относительно рисков от штрафных санкций.

Таким образом, можно говорить о том, что внедрение разработанных документов является экономически целесообразным.

Заключение

Данная дипломная работа выполнена с целью совершенствования системы защиты персональных данных для МБДОУ№254.

При выполнении дипломной работы был проведен Аудит организационной защиты ПДн , на основе выводов которого были предложены средства защиты персональных данных в МБДОУ№254. В результате были представлены меры необходимые к реализации по результатам проведенного аудита в организации:

- инструкцию по идентификации и аутентификации пользователей и контролю доступа в информационной системе;

- инструкцию по осуществлению антивирусного контроля;

- организационно-распорядительные документы .

Таким образом, была достигнута цель дипломной работы - модернизация системы защиты персональных данных в МБДОУ№254.

Список использованной литературы

Публикации

1. Муниципальное дошкольное образовательное учреждение «Центр развития ребенка-детский сад №254» Описание деятельности

2. Муниципальное дошкольное образовательное учреждение «Центр развития ребенка-детский сад №254» Обеспечение безопасности

3. Муниципальное дошкольное образовательное учреждение «Центр развития ребенка-детский сад №254» Устав

4. Муниципальное дошкольное образовательное учреждение «Центр развития ребенка-детский сад №254» Локальные акты

Нормативные акты

1. Федеральный закон от 27.07.2006 №152 ФЗ «О персональных данных»

2. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

3. Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

4. Федеральная служба по техническому и экспортному контролю Приказот18февраля2013г№21

5. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

ПРИЛОЖЕНИЕ

Приложение А

Аудит организационной защиты персональных данных в МБДОУ

Таблица А.1- Аудит организационной защиты персональных данных в МБДОУ

№ п\п

Мероприятие

Наличие

Актуаль

ность

1

Должен быть установлен порядок хранения бумажных носителей ПДн (документ)

2

Проверить обеспечение неограниченного доступа к документу - Политика в отношении ПДн, к сведениям о реализуемых требованиях к защите ПДн

3

Проверить исполнение установленного порядка учета машинных носителей ПДн

4

Проверить исполнение ответственным за организацию обработки ПДн обязанностей по осуществлению внутреннего контроля исполнения законодательства, требований к защите ПДн

5

Проконтролировать исполнение утвержденных правил доступа к ПДн в ИСПДн, регистрации и учета всех действий с ПДн в ИСПДн

6

Проверить на наличие паролей

7

Должен быть определен порядок действий при обращении физических лиц по вопросам исполнения 152-ФЗ

8

Проверить исполнение установленного порядка заведения активации, блокирования и уничтожения учетных записей внутренних и внешних пользователей УПД-1

9

Проверить исполнение установленных правил фильтрации, маршрутизации, контроля соединений, однонаправленной передачи информационных потоков между устройствами, сегментами и информационными системами УДП-3

10

Проверить на соответствие законодательству обработки ПДн

11

Должен быть определен порядок действий при обращении физических лиц по вопросам исполнения 152-ФЗ

12

Проверить организацию режима обеспечения безопасности помещений, в которых размещены ИСПДн

13

Проверить исполнение установленного порядка разделения полномочий пользователей, администраторов и обслуживающего персонала УДП-4

14

Проверить наличие в Перечне сведений ограниченного доступа раздела ПДн

15

Проверить наличие в Уставе, Положениях о подразделениях, Должностных инструкциях позиций связанных с защитой ПДн

16

Проверить исполнение утвержденного порядка регистрации информации ограниченного доступа и распространения в соответствующих журналах (хранение 5лет)

17

Проверить наличие свидетельств в ознакомлении с нормативно правовой базой в области обеспечения безопасности ПДн работников МБДОУ и (или) наличие процесса обучения обработке и защите ПДн.

18

Проверить исполнение утвержденного порядка доступа третьих лиц к ПДн. (иностранные учреждения- в соответствии с договорами о международном сотрудничестве)

19

Проверить в выделенных помещениях оснащение входных дверей замками, средствами опечатывания либо техническими устройствами сигнализации о НСД ( вскрытии), обеспечение постоянного закрытия дверей на замок и их открытия только для санкционированного прохода

20

Проверить исполнение установленных правил и методов разграничения доступа УДП-2

21

Проверить исполнение утвержденного порядка регистрации выдачи ПДн в соответствующих журналах (хранение 5лет)

22

Проверить актуальность утвержденного Перечня лиц, доступ которых необходим для исполнения ими служебных трудовых обязанностей

23

Проконтролировать наличие металлических шкафов (сейфов) с двумя дубликатами ключей с опечатыванием или кодовым замком для хранения съемных машинных носителей информации (с ПДн),

24

Проверить исполнение установленных запретов использования мобильных средств в ИСПДн УПД 15

25

Проверить наличие экспертной комиссии по уничтожению материальных носителей ПДн

26

Проверить исполнение утвержденного порядка физического доступа к техническим средствам, к СЗИ и в помещения ЗТС-3

27

Проверить наличие и работоспособность средств идентификации и аутентификации внутренних и внешних пользователей ИАФ-1, ИАФ-6

28

Проверить исполнение утвержденного порядка доступа третьих лиц к ПДн. (правоохранительные органы)

29

Проверить исполнение утвержденного порядка доступа в помещения в рабочее и нерабочее время, в нештатных ситуациях

30

Проверить наличие и работоспособность средств защиты обратной связи аутентификаторов ИАФ-5

31

Сверить в Уведомлении дату начала обработки ПДн со свидетельством постановки на учет в налоговом органе

32

Проверить наличие планов установки обновлений СЗИ СОВ-1

33

Проверить исполнение установленного порядка оценки потенциального вреда, оценки соотношения указанного вреда и принимаемых мер, обеспечивающих исполнение обязанностей МБДОУ по обеспечению безопасности ПДн.

34

Проверить исполнение утвержденного порядка уничтожения ПДн по достижению цели

35

Проверить исполнение утвержденного порядка антивирусной защиты (ответственный, актуализация) АВЗ-1

36

Проверить наличие и работоспособность средств антивирусной защиты ИСПДн АВЗ-1

37

Проверить наличие и работоспособность средств управления физическим доступом к средствам обработки, защиты информации, функционирования ИСПДн и в помещения ЗТС-3

38

Проконтролировать возможность представления пакета документов политики информационной безопасности надзорным органам либо иным образом подтверждения принятия вышеуказанных мер

39

Проверить исполнение утвержденного порядка фиксации ПДн на разные носители при различии целей обработки

40

Проверить наличие планов обновления базы антивирусной защиты АВЗ-2

41

Проверить исполнение утвержденного порядка внутри объектового и пропускного режима

42

Ревизовать принятие либо обеспечение принятия правовых, организационных и технических мер защиты от НСД, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн

43

Проверить наличие и работоспособность сервера безопасности , обеспечивающего сбор, запись, хранение и защиту информации о событиях безопасности РСБ -3, РСБ-7

44

Проверить исполнение утвержденного порядка регистрации гостей общежитий, регистрации однократного пропуска посетителей

в соответствующих журналах (хранение 5лет)

45

Проверить наличие планов установки обновлений программного обеспечения АНЗ-2

46

Проверить действительность проведения инструктажей и проверки знаний сотрудников по Положению об обработке ПДн

47

Проверить необходимость применения сертифицированных СЗИ для нейтрализации актуальных угроз безопасности ПДн

48

Протестировать систему восстановление ПДн после модификации либо уничтожения в следствии НСД.

49

Проверить исполнение утвержденного порядка пропуска на территорию (журнал, памятка -инструкция, уничтожение)

50

Проверить применение мер в соответствии со статьей 19 152-ФЗ

51

Проверить порядок контроля обеспечения безопасности ПДн и установленного уровня защищенности ПДн

52

Проконтролировать утвержденный порядок взаимодействия с федеральными ИСПДн, с коммерческими банками и иными ИС. УПД 16

53

Проверить наличие технических паспортов на выделенные (защищаемые) помещения

54

Проверить исполнение установленного порядка хранения и использования ПДн в рамках трудовых отношений ст.87.

55

Проверить класс применяемых СКЗИ (для уровня защищенности 4УЗ - КС1 и выше)

56

Проверить функционирование системы обнаружения НСД к ПДн и реагирования на НСД.

57

Проверить наличие и работоспособность средств криптографической защиты информации на каналах связи, имеющих выход за пределы контролируемой зоны ЗТС-3

58

Проверить наличие оценки эффективности принятых мер до ввода в эксплуатацию ИСПДн

59

Проверить настройки ИСПДн по разграничению доступа ИАФ-2

60

Проверить исполнение утвержденного порядка: защиты ПДн от раскрытия, модификации и навязывания ( ввода ложной информации) при передаче по каналам связи, имеющим выход за пределы контролируемой зоны ЗИС-3

(схема защищенной ТКС)

61

Проверить исполнение утвержденного порядка установки и контроля обновлений программного обеспечения, включая СЗИ СОВ-1

62

Проверить наличие сертификатов соответствия на все используемые СЗИ.

63

Проверить настройки ИСПДн по назначению минимальных прав и привилегий ИАФ-5

65

Проверить настройки ИСПДн по ограничению числа неуспешных входов ИАФ-6

65

Проверить полноту пакета документов, определяющих политику МБДОУ в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, предотвращения и выявления нарушений, устранения последствий нарушений законодательства

66

Проверить полноту применения организационно-технических мер для установленного уровня защищенности ПДн

67

Проверить настройки ИСПДн по реализации защищенного удаленного доступа через внешние ИТКС ИАФ-13

68

Проверить настройки ИСПДн по защите информационных потоков ИАФ-3

69

Проверить исполнение утвержденного порядка: исключения несанкционированного просмотра информации на устройствах ее отображения ЗТС-4

Приложение Б

Акт аудита организационной защиты персональных данных в МБДОУ№254

Таблица Б1-Акт аудита организационной защиты персональных данных в МБДОУ№254

№ п\п

Мероприятие

Наличие

Актуальность

1

Должен быть установлен порядок хранения бумажных носителей ПДн (документ)

-

-

2

Проверить обеспечение неограниченного доступа к документу - Политика в отношении ПДн, к сведениям о реализуемых требованиях к защите ПДн

+

+

3

Проверить исполнение установленного порядка учета машинных носителей ПДн

-

-

4

Проверить исполнение ответственным за организацию обработки ПДн обязанностей по осуществлению внутреннего контроля исполнения законодательства, требований к защите ПДн

-

-

5

Проконтролировать исполнение утвержденных правил доступа к ПДн в ИСПДн, регистрации и учета всех действий с ПДн в ИСПДн

-

-

6

Проверить на наличие паролей

-

-

7

Проверить исполнение ответственным за организацию обработки ПДн обязанностей по доведению до работников положений законодательства, локальных НПА, требований к защите ПДн

-

-

8

Проверить исполнение установленного порядка заведения активации, блокирования и уничтожения учетных записей внутренних и внешних пользователей УПД-1

-

-

9

Проверить исполнение установленных правил фильтрации, маршрутизации, контроля соединений, однонаправленной передачи информационных потоков между устройствами, сегментами и информационными системами УДП-3

+

+

10

Проверить исполнение ответственным за организацию обработки ПДн обязанностей по организации и контролю приема и обработки обращений субъектов ПДн

-

-

11

Проверить организацию режима обеспечения безопасности помещений, в которых размещены ИСПДн

+

+

12

Проверить исполнение установленного порядка разделения полномочий пользователей, администраторов и обслуживающего персонала УДП-4

-

-

13

Проверить наличие в Перечне сведений ограниченного доступа раздела ПДн

-

-

14

Проверить наличие в Уставе, Положениях о подразделениях, Должностных инструкциях позиций связанных с защитой ПДн

-

-

15

Проверить исполнение утвержденного порядка регистрации информации ограниченного доступа и распространения в соответствующих журналах (хранение 5лет)

+

+

16

Проверить наличие свидетельств в ознакомлении с нормативно правовой базой в области обеспечения безопасности ПДн работников МБДОУ и (или) наличие процесса обучения обработке и защите ПДн.

+

+

17

Проверить исполнение утвержденного порядка доступа третьих лиц к ПДн. (иностранные учреждения - в соответствии с договорами о международном сотрудничестве)

-

-

18

Проверить в выделенных помещениях оснащение входных дверей замками, средствами опечатывания либо техническими устройствами сигнализации о НСД (вскрытии), обеспечение постоянного закрытия дверей на замок и их открытия только для санкционированного прохода

+

+

19

Проверить исполнение установленных правил и методов разграничения доступа УДП-2

-

-

20

Проверить исполнение утвержденного порядка регистрации выдачи ПДн в соответствующих журналах (хранение 5лет)

-

-

21

Проверить актуальность утвержденного Перечня лиц, доступ которых необходим для исполнения ими служебных трудовых обязанностей

+

+

22

Страница:


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.

© 2000 — 2023, ООО «Олбест» Все права защищены