Определение состава и содержания организационных и технических мер защиты информации в информационных системах персональных данных третьего уровня защищенности

Нормативно-правовые документы в области информационной безопасности Российской Федерации. Состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты с учетом актуальных угроз безопасности и применяемых технологий.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 15.05.2015
Размер файла 30,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Петербургский Государственный Университет Путей Сообщения Императора Александра I

Факультет: Автоматизация и интеллектуальные технологии

Кафедра: ИВС

Дисциплина «Обеспечение безопасности информационных систем»

Курсовая работа

По теме: Определение состава и содержания организационных и технических мер защиты информации в информационных системах персональных данных третьего уровня защищенности

Выполнил: магистрант Садиков А. Н.

Руководитель: Пологушен В. А.

Санкт-Петербург 2015

Введение

На сегодняшний день системы защиты информации очень востребованы как среди государственных, так и среди коммерческих организаций. Персональные данные нуждаются в надежной защите ввиду повсеместно распространившихся краж информации, превратившихся в проблему мирового масштаба.

Серьезность и острота проблемы потребовали от органов государственной власти принятия конкретных мер по ее урегулированию. В 2007 году в России вступил в силу Федеральный закон «О персональных данных» (№ 152-ФЗ), направленный на обеспечение всех необходимых мер по защите информации, используемой коммерческими и государственными организациями.

В соответствии с 152-ФЗ, каждое предприятие должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все необходимые меры во избежание следующих правонарушений:

- кража персональных данных;

- изменение;

- блокирование;

- копирование;

- разглашение информации и другие незаконные действия, указанные в 152-ФЗ.

Поскольку под понятие «Персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое - система защиты персональных данных нужна фактически любой организации. В случае нарушения положений закона № 152-ФЗ о защите персональных данных компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица - к гражданской, уголовной, административной, дисциплинарной ответственности.

1. Нормативно-правовые документы в области информационная безопасность Российской Федерации

Основные нормативно-правовые акты и методические документы в области защиты информации:

- Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895;

- Стратегия развития информационного общества в Российской Федерации, утверждённая Президентом Российской Федерации 07.02.2008 № Пр-212;

- Стратегия национальной безопасности Российской Федерации до 2020 года, утвержденная Указом Президента Российской Федерации от 12 мая 2009 г. № 537.

Основные общие нормативные правовые акты:

- Конституция Российской Федерации;

- Федеральный закон Российской Федерации от 28 декабря 2010 г № 380 - ФЗ "О безопасности";

- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»;

- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Постановления Правительства Российской Федерации:

- Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (от 1 ноября 2012 г. № 1119) ;

- Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами (от 21.03.2012 № 211);

- Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных (от 6 июля 2008 года № 512 );

- Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (от 15 сентября 2008 г. № 687);

- Об организации лицензирования отдельных видов деятельности (от 21 ноября 2011 г. № 957);

- О лицензировании деятельности по технической защите конфиденциальной информации (от 3 февраля 2012 г. № 79);

- О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации (от 3 марта 2012 г. № 171);

- Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям (от 218 мая 2009 г. № 424);

- Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (от 3 ноября 1994 г. № 1233);

- Об утверждении Положения о сертификации средств защиты информации (от 26.06.1995 г. № 608 ).

2. Обеспечение безопасности персональных данных в информационных системах

Настоящая курсовая работа разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - меры по обеспечению безопасности персональных данных) для третьего уровня защищенности персональных данных, установленных в требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

3. Состав и содержание мер по обеспечению безопасности персональных данных

персональный данные информационный безопасность

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа;

- ограничение программной среды;

- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

- регистрация событий безопасности;

- антивирусная защита;

- обнаружение (предотвращение) вторжений;

- контроль (анализ) защищенности персональных данных;

- обеспечение целостности информационной системы и персональных данных;

- обеспечение доступности персональных данных;

- защита среды виртуализации;

- защита технических средств;

- защита информационной системы, ее средств, систем связи и передачи данных;

- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

- управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения 3 уровня защищенности персональных данных, приведены в приложении №1.

Список используемой литературы

1. Федотова Е. Л. - Информационные технологии и системы: учеб. пособие. - М.: ИД «ФОРУМ»: ИНФРА-М, 2009. - 352 с.: ил. - (Профессиональное образование).

2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. - М.: Энергоиздат, 1994.

3. Методический докумкумент Федеральной службы по техническому и экспортному контролю, Меры защиты информации в государственных информационных системах (утвержден Федеральной службой по техническому и экспортному контролю 11 февраля 2014 года) .

4. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21).

5. Требования к защите персональных данных при их обработке в информационных системах персональных данных (утверждены постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119)

Приложения №1

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности персональных данных

3 Уровень защищенности персональных данных

I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

ИАФ.2

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+

ИАФ.3

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+

ИАФ.4

Защита обратной связи при вводе аутентификационной информации

+

ИАФ.5

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

+

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+

УПД.3

Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

+

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

+

УПД.7

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

+

УПД.8

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

+

УПД.9

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

+

УПД.10

Регламентация и контроль использования в информационной системе технологий беспроводного доступа

+

УПД.11

Регламентация и контроль использования в информационной системе мобильных технических средств

+

УПД.12

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

+

III. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.1

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

+

IV. Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

+

РСБ.4

Защита информации о событиях безопасности

+

V. Антивирусная защита (АВЗ)

АВ3.1

Реализация антивирусной защиты

+

АВ3.2

Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

+

VI. Контроль (анализ) защищенности персональных данных (АНЗ)

AH3.1

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

+

AH3.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

+

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

+

AH3.4

Контроль состава технических средств, программного обеспечения и средств защиты информации

+

VII. Защита среды виртуализации (ЗСВ)

3CB.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

+

3CB.2

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

+

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

+

ЗСВ.4

Реализация и управление антивирусной защитой в виртуальной инфраструктуре

+

ЗСВ.5

Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

+

VIII. Защита технических средств (ЗТС)

ЗТС.1

Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены

+

ЗТС.2

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

+

IX. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.1

Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

+

ЗИС.2

Защита беспроводных соединений, применяемых в информационной системе

+

X. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.1

Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных

+

УКФ.2

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

+

УКФ.3

Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

+

УКФ.4

Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

+

В рассматриваемом информационном системе обработки персональных данных используются следующие меры по обеспечению безопасности персональных данных:

- идентификация и аутентификация субъектов доступа и объектов доступа;

- управление доступом субъектов доступа к объектам доступа, кроме управление доступом внешних информационных системах;

- регистрация событий безопасности;

- антивирусная защита;

- контроль (анализ) защищенности персональных данных;

- защита технических средств;

- управление конфигурацией информационной системы и системы защиты персональных данных.

Размещено на Allbest.ru


Подобные документы

  • Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.

    дипломная работа [3,2 M], добавлен 23.03.2018

  • Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.

    дипломная работа [1,3 M], добавлен 01.07.2011

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.

    дипломная работа [2,5 M], добавлен 10.06.2011

  • Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.

    дипломная работа [5,3 M], добавлен 01.07.2011

  • Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.

    дипломная работа [2,5 M], добавлен 31.10.2016

  • Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.

    контрольная работа [21,5 K], добавлен 07.11.2013

  • Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

    дипломная работа [2,6 M], добавлен 17.11.2012

  • Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.

    презентация [2,1 M], добавлен 15.11.2016

  • Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".

    дипломная работа [84,7 K], добавлен 11.04.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.