- Разработка системы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети
- Определение перечня актуальных угроз информационной безопасности для информационной корпоративной сети предприятия. Формирование набора мер защиты информации, передаваемой в сети предприятия. Настройка оборудования и выбранных средств защиты информации.
- Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Разработка системы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети
Определение перечня актуальных угроз информационной безопасности для информационной корпоративной сети предприятия. Формирование набора мер защиты информации, передаваемой в сети предприятия. Настройка оборудования и выбранных средств защиты информации.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Актуальность разработки системы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети предприятия, следующими причинами:
? обязанностью предприятий и иных лиц, осуществляющих обработку и хранение персональных данных в корпоративных сетях обеспечить конфиденциальность и целостность персональных данных;
? постоянным развитием и усложнением оборудования и приложений, используемых в корпоративной сети;
? многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к информации;
? повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических областях деятельности.
Целью дипломного проекта является разработка системы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети.
Объектом дипломного проекта являются персональные данные предприятия.
Предметом дипломного проекта является обеспечение информационной безопасности персональных данных, обрабатываемых автоматизированным способом в корпоративной сети.
Задачи дипломного проекта:
? проанализировать законодательную базу в области обеспечения информационной безопасности персональных данных;
? определить перечень персональных данных, передаваемых в сети предприятия;
? проанализировать схему корпоративной сети;
? построить частную модель угроз безопасности персональных данных;
? сформировать перечень актуальных угроз безопасности персональных данных;
? составить набор организационно-технических мер для обеспечения информационной безопасности ПДн предприятия;
? модернизировать схему корпоративной сети;
? провести настройку средств защиты информации и сетевого оборудования для обеспечения информационной безопасности ПДн предприятия;
? определить мероприятия по обеспечению безопасности жизнедеятельности сотрудников предприятия.
В первой главе дипломного проекта приводится анализ существующей законодательной базы в области обеспечения информационной безопасности.
Во второй главе дипломного проекта приводится построение частной модели угроз безопасности персональных данных.
В третьей главе разрабатывается подсистема защиты от НСД.
В четвертой главе приводятся основные мероприятия по обеспечению безопасности жизнедеятельности сотрудников предприятия.
В пятой главе приводится технико-экономическое обоснование подсистемы защиты персональных данных.
Глава 1. Анализ существующей законодательной и методических баз в области обеспечения информационной безопасности
1.1 Анализ основных нормативно-правовых актов, устанавливающих требования к защите информации в информационных системах
На предприятии предъявляются высокие требования к защите информации, так как данные, циркулирующие в организации, кроме общедоступной информации содержат конфиденциальную информацию, персональные данные сотрудников и клиентов организации.
Для разработки подсистемы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети предприятия, необходимо проанализировать следующие нормативные документы:
? ФЗ № 152 от 27.07.2006 (ред. от 29.07.2017) «О персональных данных»;
? Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
? Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
В положениях ФЗ «О персональных данных» при обработке персональных данных обязательно принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В соответствии с постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», требования по защите персональных данных в ИСПДн зависят от уровня защищенности ИСПДн.
Для определения уровня защищенности ИСПДн необходимо определить категории ПДн, количество субъектов, персональные данные которых обрабатываются в ИС и актуальные угрозы безопасности ПДн.
Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
Информационная система является информационной системой, обрабатывающей биометрические(БМ) персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в.
Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные выше.
Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей (НДВ) в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с НДВ в системном и прикладном программном обеспечении, используемом в информационной системе.
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Правила определения уровня защищенности ИСПДн представлены в таблице 1.1.
Определение типа актуальных угроз по наличию сертификата НДВ у ПО.
Таблица 1.1 — Правила определения уровня защищенности ИСПДн