Построение системы информационной безопасности

Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 07.10.2016
Размер файла 319,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://allbest.ru

Введение

информационный безопасность защита

Начавшаяся в XX компьютеризация всех отраслей хозяйства продолжается до сих пор. Практически все компании хранят важную информацию в локальной компьютерно-информационной сети. Создаются информационные сети, которые помогают организации повысить производительность. Используя данную систему, можно с легкостью получить данные, которые будут в дальнейшем использоваться для выполнения прямых служебных обязанностей. К сожалению, данный процесс, который с первого взгляда имеет множество положительных сторон, обладает также и рядом недостатков. Злоумышленники получают возможность проникнуть в систему, получить доступ к базам и массивам данных, использовать эти данные, вымогая деньги, иные данные, материальные ценности.

Вот почему в мире цифровых технологий остро стоит проблема защиты информации. В большинстве случаев злоумышленники интересуются персональными данными и коммерческой информацией, хранящейся в системах организаций и коммерческих предприятий. Получив данные, злоумышленники могут продавать их, шантажировать владельцев, портить имидж владельцу и компании в целом, нанося непоправимый финансовый ущерб компании, поскольку утечку информации приходится устранять, чтобы восстановить свою позицию на конкурентном рынке ввиду утечки клиентов и их исков против компании.

Для нашей страны, тема защиты информации и персональных данных является актуальной, поскольку законодательная база существует не так давно. Вот почему, лица, обрабатывающие персональные данные, не знают многих правил, обеспечивающих защиту информации. Специалистам в области информационной безопасности помимо обеспечения безопасности информационной системы приходится заниматься обучением и созданием норм и поведения персонала при их работе с персональными данными и их обработке.

Данная работа представляет собой разработку системы защиты персональных данных для строительной компании «Строй-Данс-Ю».

В работе будут рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.

Далее будет предложено рассмотреть устройство информационных систем персональных данных. Это поможет наилучшим образом представить то, какие существуют модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей (ЛВС) и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.

После проведения теоретического анализа, будет предложена система, позволяющая обеспечить безопасность информационной системы компании, которая будет включать в себя: основные мероприятия по защите ЛВС и базы данных, программные и аппаратные средства защиты, базовую политику безопасности.

Глава 1. Предпосылки создания системы безопасности персональных данных

Раздел 1 Законодательные предпосылки

В странах с устоявшейся демократией люди помешаны на неприкосновенности частной жизни. Россия не отстает от ведущих стран и согласно статье 23 Конституции РФ, каждый человек имеет право на частную или семейную тайну и неприкосновенности жизни. [1]

Вскоре на территории нашей страны в соответствии с международными договорами Российской Федерации и Конституцией Российской Федерации начало осуществляться правовое регулирование норм обработки персональных данных на основании Федерального закона №152 «О персональных данных» от 27.07.2006 г.

Исходя из данного закона, все информационные системы персональных данных не позднее, чем 1.07.2011г., должны соответствовать указанным требованиям. За нарушение требований данного закона гражданин несет, в зависимости от величины нарушения, административную, дисциплинарную и уголовную ответственность. [3]

18 февраля 2013 г. ФСТЭК утвердила приказ №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Необходимыми мерами признаны: обеспечение аутентификации, идентификации, разграничение доступа, ограничение программной среды, защита машинных носителей, сбор событий безопасности, антивирусная система, система обнаружения вторжений, контроль работоспособности средств защиты, защита целостности и доступности данных, доверенная загрузка серверов, защита технических средств и информационной системы.[4]

Не менее важным является ФЗ РФ №149 от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации». [5]

За обеспечение безопасности на предприятии, в частности за сохранность персональных данных сотрудников, отвечает Трудовой кодекс РФ. Согласно главе 14 ТК РФ, существуют правила и нормы обработки, хранения, использования и передачи персональных данных работников. В кодексе также указана ответственность за нарушение данных норм. [6]

Иным нормативным актом является Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". [7]

Исходя из представленных законодательных норм, технические средства, использующиеся при обработке данных, также должны соответствовать всем требованиям, прописанным в них.

Раздел 2 Угрозы информационной безопасности

Событие, которое по каким-либо причинам наносит ущерб, принято называть угрозой. В области информационной безопасности, ущерб можно нанести автоматизированной системе, которая дает быстрый доступ практически к любой информации, являясь наиболее важной и легкодоступной частью информационной системы персональных данных.

Для того, чтобы сформулировать требования по защите данной автоматизированной системы, необходимо понять, какие именно угрозы существуют, каковы риски их возникновения. Классифицировать угрозы можно по ряду признаков, которые наилучшим образом отражают необходимые по защите системы требования:

- по природе возникновения;

- по степени преднамеренности;

- по источнику угроз;

- по положению источника угроз;

- по степени зависимости от активности автоматизированной системы;

- по степени воздействия на автоматизированную систему;

- по этапам доступа к ресурсам;

- по способу доступа к ресурсам;

- по местоположению информации, хранимой в этой системе.[31]

Проанализировав угрозы автоматизированной системы, необходимо перейти к угрозам самой информационной системы персональных данных, которая представляет собой: персональные данные, а также технологии, технические средства, которые помогают их обрабатывать.

В соответствии с изученными свойствами и элементами информационной системы персональных данных (далее ИСПДн), а также строения канала реализации угроз безопасности персональным данным, можно составить перечень угроз безопасности персональных данных (далее УБПДн) при их обработке в информационной системе, введя классификацию:

- по виду защищаемой информации;

- по источникам угроз базам данных;

- по типу ИСПДн, на которые направлены УБПДн;

- по виду несанкционированных действий;

- по уязвимости, которую используют;

- по объекту воздействия. [8]

Более подробно классификация представлена ниже (рисунок 1.1).

Рисунок 1.1 - Классификация угроз безопасности персональных данных, обрабатываемых в ИСПДн.

Раздел 3 Источники возможных угроз несанкционированного доступа в ИСПДн

Угрозы могут возникнуть от:

-нарушителей;

-носителей вредоносных программ;

-аппаратной закладки.[8]

Рассмотрим более подробно каждый из источников угроз.

Нарушители могут иметь разовое или же наоборот постоянное право доступа к информационной системе. Однако, все они делятся на внешних (чаще реализуют свои угрозы из сетей международного обмена или сетей общего пользования) и внутренних (имея доступ к ИСПДн, реализуют угрозу непосредственно в ней).

Внутренние нарушители подразделяются на категории по способу доступа к персональным данным (рисунок 1.2).

Внешние нарушители также имеют собственную классификацию, представленную на рисунке 1.3, и обладают разнообразными возможностями. Возможности внутреннего нарушителя ограничены организационно- техническими мерами защиты информационной системы

.

Рисунок 1.2- Внутренние нарушители.

Рисунок 1.3- Классификация внешних нарушителей.

Не менее опасным источником угроз являются носители вредоносных программ, такие как программный контейнер или аппаратный элемент компьютера. Вредоносная программа может быть принесена с помощью какого-либо носителя и в зависимости от того ассоциируется ли она с какой-либо программой, носитель определяется однозначно.

Существуют всевозможные угрозы безопасности, которые могут быть связаны с внедрением аппаратных закладок, которые представляют собой технические приспособления, позволяющие получить доступ и сведения. Данные приспособления работают по-разному, но чаще всего являются частями уже имеющейся аппаратуры: клавиатуры, USB-коннектора на плату, низкоскоростного цифрового устройства, монитора и так далее.

Таким образом, в этой главе были рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.

Глава 2. Устройство информационных систем персональных данных

Раздел 1 Классификация СУБД и модели данных

Совокупность данных, организованных специальным образом, хранимых в памяти вычислительной системы, демонстрирующих взаимосвязи и состояние объектов в какой-либо области, принято называть базой данных.

Структуру, по которой хранятся данные в базе, называют моделью данных.

Для совместного использования, ведения и создания БД несколькими пользователями были созданы специальные программные и языковые средства, которые принято называть системой управления базами данных (СУБД).

К СУБД принято относить следующие виды программ:

-полнофункциональные СУБД (R:BASE, MS Access, MS Visual FoxPro, dBase 4);

-серверы БД (MS SQL Server, NetWare SQL (Novell), InterBase (Borland));

-клиенты БД (ПФ СУБД, Электронные таблицы и т.д.);

-средства разработки программ работы с БД (Delphi, MS Visual Basic, kylix(Borland)).[13]

У каждой из данных программ имеется свое представление и предназначение.

По характеру использования они делятся на многопользовательские (Oracle, MySQL, informix) и персональные (Visual FoxPro, Access, dBase, Paradox и другие).

СУБД, в свою очередь, поддерживает данные, описанные определенной моделью, и называются соответственно. Существуют как классические модели данных:

-иерархическая;

-сетевая;

-реляционная,

так и более современные, как:

-постреляционная;

-многомерная;

-объектно-ориентированная;

-объектно-реляционная;

- семантическая.[14]

Помимо них разрабатываются также дедуктивно-объектно-ориентированные и концептуальные модели.

Рассмотрим каждую модель представления данных более подробно.

Иерархическая модель связи данных представляет собой упорядоченный граф (дерево). Данный тип является составным и включает в себя подтипы того же типа. Все элементарные составляющие типы графа являются типом «запись», которые могут быть как простыми, состоящими из единственного типа, или составными, иметь некоторое объединение типов. Пример данного типа, как совокупность иных показан ниже на рисунке 2.1.

Рисунок 2.1-Пример типа «дерево».

Более обобщенным вариантом иерархической системы является сетевая модель, поскольку отображает связь между элементами в виде абсолютно произвольного графа. Сетевая база состоит исключительно из набора записей и соответствующих им связей с произвольным числом предков. Пример изображения такой БД представлен на рисунке 2.2.

Рисунок 2.2- Изображение сетевой БД.

Реляционная модель данных основывается на отношении, что в более простом понимании представляется в виде двумерной таблицы со строками и столбцами, которая может иметь связанные с ней таблицы, если необходимо описать структуры данных, являющиеся более сложными.

Постреляционная модель - более усовершенствованная реляционной модель, которая позволяет не создавать связных таблиц, а встраивать их напрямую в поля имеющейся таблицы.

Многомерные модели, в отличие от реляционных, являются более информативными и наглядными, что продемонстрировано в таблице 2.1 и 2.2.

Таблица 2.1- Реляционная модель данных

Таблица 2.2- Многомерная модель данных

Многомерность также подразумевает, что мерность может быть и больше двух. Информация в такой модели предстает в виде многомерных гиперкубов, а для удобства использования предлагаются срезы данных кубов в виде двухмерных таблиц (рисунок 2.3).

Рисунок 2.3- Изображение многомерной БД

Объектно-ориентированная модель представляет собой структурно дерево, узлами которого являются объекты. Поиск по такой базе состоит в сопоставлении и обнаружении сходств между тем объектом, который предлагает пользователь и теми, что хранятся в базе.

Объектно-реляционные модели являются совмещением объектно-ориентированной модели и реляционной, вобрав в себя достоинства первой и простоту структуры второй. Ввиду того, что она применяет стратегию реляционной модели, ее чаще используют для бизнес-приложений.

Семантические модели данных чаще являются базовыми моделями для того, чтобы в дальнейшем их с легкостью можно было трансформировать в реляционную.

Раздел 2. База персональных данных

После того, как было детально рассмотрено разнообразие возможных представлений данных, необходимо перейти к описанию строения самой базы персональных данных и ее характеристик.

В данной организации имеется две базы персональных данных: персональные данные контрагентов и сотрудников.

При трудоустройстве, работники предоставляют компании различные данные о себе. Наиболее важными для защиты из тех, что хранятся в компании, являются:

Ф.И.О;

Данные о месте и дате рождения;

Информация о прописке, указанная в паспорте;

Паспортные данные;

Вся информация об образовании и трудовой деятельности;

Адрес проживания;

Контактные данные;

Информация о семье;

Информация о специализированных навыках;

Ограниченность допуска;

Оклад и данные о трудовом договоре;

Возможные сведения о воинском учете;

ИНН;

Данные об аттестациях, повышении квалификации, наградах;

Информация о приеме на работу, увольнении, изменении должности, командировках, отпусках, болезнях;

Информация о негос. пенсионном обеспечении.

Сведения о контрагентах компании:

Ф.И.О;

Данные о месте и дате рождения;

Адреса (юридический, фактический);

Паспортные данные или регистрационный номер предприятия;

ИНН;

Телефон контактного лица;

Номер банковского счета.

Эти данные хранятся в программе бухгалтерия «1С Предприятие» и размещаются в одном файле, что не позволяет изменить имеющийся формат баз данных.

Раздел 3 Устройство и возможные угрозы ЛВС

Строительная компания «Строй-Данс-Ю» имеет 6 отделов:

Дирекция;

Плановый;

Бухгалтерия;

Инженерный;

Кадровый;

Рабочие.

Каждый из этих отделов, за исключением рабочих, является частью локальной сети данной организации. Локальная сеть данной организации представляет собой «звезду». Данная односегментная сеть представлена на рисунке 2.4.

Сервер в данной компании используется как файловое хранилище и интернет шлюз, отсутствует полное разграничение прав доступа на АРМ. При необходимости связи с другими организациями используемся съемный носитель, что влечет за собой возникновение других угроз и является неэффективным.

Помимо всего прочего, в организации используются не сертифицированные средства защиты, а именно антивирус Avira, являющийся бесплатным, и встроенный в Windows межсетевой экран, который оповещает только о входящем трафике, являющимся подозрительным. Данные средства защиты способны предупредить и защитить только от небольшого спектра угроз.

Рисунок 2.4 - ЛВС строительной компании (1-угрозы утечки информации, 2- угрозы НСД).

Проанализировав устройство данной системы ЛВС, выделяются основные угрозы, такие как:

- утечки информации по техническим каналам;

- угрозы НСД к ПДн, которые обрабатываются на АРМ.

Раздел 4 Основные средства защиты информации

К основным инженерно- техническим средствам защиты можно отнести:

· Аппаратные средства защиты;

К ним относят технические устройства, обеспечивающие защиту от неразглашения и утечки, а именно: сетевые фильтры, генераторы шума, сканирующие радиоприемники. Имеется также классификация по методам использования: обнаружение, поиск, противодействие. Данные средства защиты являются наиболее надежными, однако, наиболее дорогостоящими и объемными.

· Программные средства защиты информации;

К ним относятся программы защиты доступа (идентификация, разграничение доступа, контроль регистрации), копирования (защищает авторское право), разрушения информации, обнаружения вторжения. Наиболее известными являются: встроенные средства защиты в операционной системе, криптографические средства (криптопровайдеры Microsoft, Shipka, КриптоПро, VipNet), антивирусные программы (Avira, Avast, Panda, ESET NOD32, Dr. Web), межсетевой экран, VPN, системы обнаружения вторжений.

Раздел 5 Организационные меры защиты информации

Организационные меры носят процедурный и административный характер. Они регулируют процессы использования ресурсов различных систем, действия персонала и информационной системы данных. Таким образом, организационные меры делятся на административные и процедурные меры.

Для того чтобы система защиты информации функционировала наиболее эффективно, можно создать службу компьютерной безопасности. Она обладает определенными функциями и имеет свой организационно-правовой статус. Чаще всего службу составляет несколько человек: сотрудник группы безопасности, администратор безопасности систем, администратор безопасности данных и руководитель группы.

Сотрудник группы безопасности помогает пользователям, контролирует набор программ и данных, обеспечивает управление группы защиты. Администратор может изменять, вводить в реализацию имеющиеся средства защиты, контролирует состояние данных, общается с другими администраторами. Руководитель контролирует работу всех групп, следит за состоянием оборудования, программного обеспечения, организует меры по созданию эффективных мер защиты.

Существует также классификация организационно-технических мер по созданию и дальнейшему поддержанию работы системы защиты информации:

- разовые;

- по необходимости;

- периодические;

- постоянные.

Помимо регулярного мониторинга работы системы безопасности, следует разработать некоторые организационные документы.

Раздел 6 Цикл обработки персональных данных

На каждом этапе существования данных должны быть четко определены условия и порядок их обработки и существования. Все это говорит о том, что должны быть разработаны особые процедуры, позволяющие правильно работать с данными (сбор, учет, хранение, регистрация, уничтожение, использование).

Если говорить о персональных данных, то под жизненным циклом понимают период от их возникновения в информационной системе до полного уничтожения.

Применительно к строительной компании, жизненный цикл персональных данных при трудоустройстве будет описан далее. Человек, желающий начать работу в строительной компании, приходит в саму организацию, где его направляют в отдел кадров. В соответствии со статьей 24 Конституции РФ, человек подписывает соглашение на обработку персональных данных.[2]

Далее сотрудник отдает все необходимые для трудоустройства документы:

Документ, удостоверяющий личность;

Трудовую книжку (заводят в организации, если ранее не заводилась);

Страховое свидетельство государственного пенсионного страхования;

Свидетельство о постановке на учет в налоговом органе;

Документ об образовании;

Документы воинского учета.

Также им сообщается иные данные, представленные в Разделе 2 Главы 2, что позволяет в конечном итоге заключить трудовой договор и внести сотрудника в базу данных сотрудников компании. Данные, которые были получены от сотрудника, отправляются в налоговою, военкомат, банк (для оформления счета). В случае изменений каких-либо данных работника, утверждается приказ об изменении в документах, содержащих персональные данные работника. Происходит смена личной карточки, составляется дополнительное соглашение к трудовому договору.

На основе положений действующего закона работодателем определяются сроки хранения персональных данных. Чаще всего они являются либо постоянными, либо 75 лет (утверждено Росархивом). В течение данного срока персональные данные нельзя уничтожить или обезличить. После истечения срока, данные можно обезличить в ИС и уничтожить на бумажных носителях. Возможно обезличивание персональных данных по письменному заявлению субъекта этих данных при условии, что все договорные отношения завершены уже более пяти лет.

В данной главе было рассмотрено устройство информационных систем персональных данных. Это помогло наилучшим образом представить, какие существуют модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.

Глава 3. Разработка мер по обеспечению защиты персональных данных на предприятии

Раздел 1 Основные мероприятия по защите ЛВС и БД

Для того, чтобы наиболее лучшим образом защитить ЛВС данного предприятия, требуется разделить ее на три части:

Бухгалтерия и кадры;

Инженерно-плановый;

Общий.

Полученная сеть изображена на рисунке 3.1.

Рисунок 3.1 - Защищенная ЛВС.

Организация баз данных также изменится и будет состоять из нескольких частей.

В таблицах БД Server2 будут храниться различные справочники, позволяющие однозначно определить людей, чьи данные будут подвержены индексации на БД Server4 и будут обезличены.

Лишь база данных бухгалтерии останется неизменной и будет включать в себя всю информацию, поскольку она будет использоваться специфической программой «1С Предприятие» версии 8.2, которая не позволяет разделить данные по отдельным файлам.

В качестве СУБД с наилучшей производительностью, наименьшей стоимостью будет предложено использовать MYSQL 5.5, которая также поддерживает SSL протокол, способствующий безопасному и быстрому соединению между клиентом и сервером.

Межсетевым экраном выбран VipNet Office Firewall, который позволяет блокировать или пропускать любые IP-пакеты, проходящие через сетевой адаптер сервера.

Для хранения данных сотрудников будет установлена 1С Предприятие 8.2 с конфигурациями «Зарплата и управление персоналом» и «Бухгалтерия», поскольку на территории Российской Федерации данная среда является наиболее распространенной. Данная версия является более новой и позволяет реализовывать механизмы аутентификации, идентификации, аудита, защиты данных. [28]

Для обнаружения различных атак из сети предложено развернуть систему обнаружения вторжений Honeypot Manager 2.0. Данная система анализирует трафик как на компьютерах, так на сервере и имеет сертификат ФСТЭК. Для обнаружения угроз более локально советуется использовать зонды на всех сегментах сети. [10]

Раздел 2 Программно-аппаратные средства защиты

Для обмена с вышестоящими компаниями и организациями предлагается использование VipNet Client 3.2, который является персональным экраном и криптопровайдером для шифрования. Также он имеет сертификат соответствия Федеральной службы безопасности.

Для защиты машин от атак вирусами требуется установить антивирусное программное обеспечение. Ниже в таблице 3.1 приведена сравнительная таблица антивирусных программ.

Таблица 3.1- Сравнительная характеристика антивирусных программ

Продукт

Сертификат

Защита

Перегружае-мость ЦП

Быстрота проверки

Стоимость, руб.

Касперский

Да

5

Да

1,5

4479

McAfee

Нет

3,5

Да

3

1432

Dr. Web

Да

4

Да

5

6132

AVG

Да

3,5

Нет

4

1740

Symantec

Да

4

Нет

3,5

910

ESET NOD32

Да

4

Нет

5

1300

Исходя из данной таблицы, ESET NOD32 был выбран наиболее лучшим среди своих аналогов, поскольку является сертифицированным ФСТЭК средством защиты, быстрее и эффективнее остальных обнаруживает угрозы и является относительно недорогим.

Для контроля доступа к важнейшим ресурсам нужно использовать аппаратно-программную систему защиты, такую как «МДЗ-Эшелон», АПМДЗ «КРИПТОН-ЗАМОК», Аккорд-АМДЗ или ПАК «СОБОЛЬ». Такие средств защиты необходимы для воспрепятствования несанкционированному запуску пользовательского компьютера, возможности доступа к конфиденциальной информации и загрузке ОС.

В таблице 3.2 приведен сравнительный анализ данных средств защиты. [27]

В качестве программно- аппаратного средства защиты предложено выбрать «МДЗ-Эшелон», поскольку он наравне с аналогами поддерживает практически любую операционную систему и файловую систему, но является наиболее дешевым средством защиты.

Таблица 3.2- Аппаратно-программные средства, сравнение

Раздел 3 Политика безопасности

На основе полученного устройства сети, ПО, различных средств зашиты должна быть сформирована базовая политика безопасности предприятия для всех пользователей сети и администраторов.

Политика безопасности должна регламентировать:

1)Порядок доступа к информации;

При работе с конфиденциальными источниками руководству необходимо разграничить доступ к ним, назначить ответственных за защиту лиц, которые буду следить за тем, чтобы информацию из таких источников не удаляли, не читали и не копировали те лица, которые к ней не допущены.

Доступ к сети должен осуществляться исключительно по средству индивидуального пароля, который должен оставаться уникальным, тайным.

2)Работу с системами криптографии;

К таким системам должны допускаться лица, имеющие разрешение от вышестоящего руководства. Секретные ключи шифрования должны храниться исключительно в сейфах и под ответственностью уполномоченных лиц, которые должны исключить возможность доступа к носителям ключей неуполномоченных лиц.

Запрещается выводить куда-либо секретные ключи, использовать секретные ключи в неположенных режимах, вводить отличную от ключей информацию на их носители.

В случае компрометации ключей:

прекратить их использование;

остановить все операции, в которых они взаимодействуют;

сменить пароли и ключи;

провести расследование;

отразить результаты расследования в специализированном акте.

3)Физическая безопасность;

Абсолютно все объекты, имеющие отношение к безопасности информации (маршрутизатор, сервера баз данных, файервол), должны находиться в помещении, отделенном от основного, с ограниченным доступом.

Вход в такое помещение возможен только через оснащенную замками металлическую дверь, которая выводится через средства слежения на мониторы охраны.

В помещении должна иметься сигнализация, вентиляция, сейф (для хранения паролей и ключевой информации).

Доступ посторонним лицам должен быть запрещен, а иные лица (обслуживающий, технический персонал) имеют право находиться в помещении исключительно в присутствии работников, имеющих такой доступ.

4)Разграничение доступа;

Обязателен пароль на входе в сеть с возможностью идентифицировать работника, подключившегося к ней, который нельзя разглашать, держать в открытом доступе на бумажном или ином носителе, который в случае компрометации необходимо сменить.

При работе с базами данных также необходим пароль, отличный от всех других паролей, удовлетворяющий необходимым требованиям, который не подлежит разглашению и использованию иными лицами.

Все действия с базами данных должны протоколироваться в специальный журнал операций.

5)Работу с Интернетом;

Работать с ресурсами Интернета разрешено только сотрудникам, имеющим в индивидуальной форме разрешение от руководства.

Запрещается:

Устанавливать и скачивать ПО;

Заходить на сайты, не имеющие отношения к служебным обязанностям;

Распространять адрес почты в нерабочих целях;

Осуществлять рассылку или подписку на рассылку нерабочей информации;

Осуществлять продажу или покупку в непроизводственных целях по средству Интернета.

6)Резервирование информации.

Для обеспечения защиты информации от возможного уничтожения, подмены, распространения необходимо ее дублировать и резервировать специальным образом с использованием аппаратных и физических носителей.

Ответственность за данные действия необходимо возложить на штатных программистов. [12]

Раздел 4 Экономический расчет проекта

Для того чтобы понять во сколько компании обойдется данный проект по защите информации, необходимо провести анализ требуемых средств защиты и их стоимости.

Реализация проекта включает в себя: затраты на покупку ПО и оборудования, затраты на средства защиты, затраты на 1 автоматизированное рабочее место и затраты на организацию сегмента сети. В компании используется 20 ПЭВМ и лишь 16 из них имеют доступ к персональным данным.

Ниже в таблицах 3.3 и 3.4 представлены затраты на покупку средств защиты ЛВС.

Таблица 3.3- Затраты на покупку персональных ЭВМ

Название

Количество,шт

Стоимость,руб

Сумма,руб

ЭВМ на МСЭ

3

11243

33729

ЭВМ на IDS

3

12046

36138

Серверы ПДн

2

12294

24588

Терминальный сервер для 1С

1

12600

12600

Итого

107055

Таблица 3.4- Затраты на средства защиты

Название

Количество,шт

Стоимость,руб

Сумма,руб

Лицензия для антивируса ESET NOD 32

20

1300

26000

Лицензия VipNet Office Firewall

3

14278

42834

Honeypot Manager 2.0

3

34000

102000

VipNet Client 3.2

1

16240

16240

МДЗ-Эшелон

20

5600

112000

Итого

299074

На ввод в эксплуатацию средств защиты локальной сети потребуется 406129 рублей. Также в таблице 3.5 представлен расчет средств на 1 АРМ.

Таблица 3.5- Расходы на 1 автоматизированное рабочее место

Название

Стоимость,руб

Лицензия для антивируса

ESET NOD32

1300

МДЗ-Эшелон

5600

Итого

6900

В случае если данное рабочее место будет использоваться для связи с иными организациями, расход на него увеличится на 16240 рублей и будет составлять 23140 рублей.

«Строй-Данс-Ю» не обладает большим бюджетом и данной компании требуется понизить нагрузку на бюджет, ввиду чего будет предложено организовать сегмент сети, на который потребуется определенный объем средств, представленный в таблице 3.6.

Таблица 3.6- Расход средств на организацию сегмента сети

Название

Количество,шт.

Стоимость,руб.

Сумма,руб.

ЭВМ для МСЭ

1

11243

11243

Лицензия VipNet Office Firewall

1

14278

14278

Honeypot Manager 2.0

1

34000

34000

Сервер ПДн

1

12294

12294

Итого

71815

В предложенной главе описан расчет стоимости проекта по защите информации предприятия. Ввиду того, что организация является небольшой, предложены рекомендации по возможному уменьшению нагрузки на бюджет.

Заключение

В работе были рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.

Далее было предложено рассмотреть устройство информационных систем персональных данных. Наиболее подробно были рассмотрены существующие модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей (ЛВС) и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.

После проведения теоретического анализа, была предложена общо система, позволяющая обеспечить безопасность информационной системы компании, которая включает в себя: основные мероприятия по защите ЛВС и базы данных, программные и аппаратные средства защиты, базовую политику безопасности.

Список используемой литературы

1. Конституция Российской Федерации. Статья 23

2. Конституция Российской Федерации. Статья 24

3. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015)

4. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

5. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 10.01.2016)

6. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 30.12.2015). Глава 14 «Защита персональных данных работника»

7. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

8. ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).

9. ФСТЭК. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (выписка).

10. ФСТЭК. Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00

11. ГОСТ 19781-90 Обеспечение систем обработки информации программное. Термины и определения.

12. В.Ф. Шаньгин - Информационная безопасность компьютерных систем и сетей, Москва, ИД «ФОРУМ» - ИНФРА-М, 2008 г.

13. Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. Базы данных; Учебник для высших учебных заведений / Под ред. проф. А.Д. Хомоненко. - 4-е изд., доп. и перераб. - СПб.: КОРОНА принт, 2004. - 736 с.

14. Карпов Т.С. Базы данных: модели, разработка, реализация. Учебник.- СПб.:Питер,2001.

15. Ржавский К.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие. Волгоград: Изд-во ВолГУ, 2002. - 122с. - (Серия «Информационная безопасность»)..

16. Гагарина Л.Г., Кокорева Е.В., Виснадул Б.Д. Технология разработки программного обеспечения. - М.: ИД «ФОРУМ»; ИНФРА-М, 2008.

17. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с.

18. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд.- 2004. - 544 с.

19. Скляров Д.В. Искусство защиты и взлома информации. - СПб.: БХВ-Петербург, 2004. - 288 с.

20. Братищенко В.В. Проектирование информационных систем. - Иркутск: Изд-во БГУЭП, 2004. - 84 с.

21. Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2000. - 316 с.

22. Шабуров А.С. Информационная безопасность предприятия: Учебно-методическое пособие. - Перм. нац. исслед. политехн. ун-т. - Пермь, 2011., 68 с.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.