Разработка системы защиты персональных данных на предприятии ПАО "Витабанк"
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 23.03.2018 |
| Размер файла | 3,2 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
· Группа 7: скачивание исполняемых файлов - группа не предоставляет какой-либо доступ к ресурсам сети Интернет;
· Группа 8: полный доступ в сеть Интернет - полный доступ к ресурсам сети Интернет, загрузка любых файлов.
Для получения доступа к ресурсам сети Интернет сотрудник создаёт заявку через систему ServiceDesk и после одобрения руководителем отдела или управления и сотрудником отдела информационной безопасности сотруднику предоставляется доступ к ресурсам сети Интернет согласно запрошенной группы.
2.3.3 Порядок доступа сотрудников к внутрибанковским ресурсам
Основные документы по работе сотрудника находятся на локальном рабочем месте или в автоматизированной системе, в которой он работает. Так же у каждого подразделения Банка на файловом сервере Банка существует раздел, в котором хранится информация, необходимая нескольким сотрудникам подразделения и которая велика по размеру для передачи по электронной почте Банка.
Когда новый сотрудник устраивается на работу в Банк, его прямой руководитель направляет заявку через систему ServiceDesk в отдел системного администрирования о предоставлении доступа к внутрибанковскому ресурсу и после одобрения заявки сотрудником отдела информационной безопасности сотрудник отдела системного администрирования открывает новому сотруднику доступ к запрошенному ресурсу.
Нередко возникают ситуации, в которых работа нескольких подразделений Банка пересекается и для обмена информацией этим подразделениям нужен отдельный на файловом сервере Банка.
Для создания этого раздела руководитель проекта, начальник одного из отделов, задействованных в процессе работы над проектом создаёт заявку через систему ServiceDesk на создание общего ресурса и доступа к этому ресурсу определённых сотрудников своего подразделения, работающих над совместным проектом и начальника подразделения с которым сотрудничает в рамках проекта. После одобрения сотрудником отдела информации сотрудник отдела системного администрирования создаёт запрошенный ресурс и предоставляет к нему доступ заявленных сотрудников. Каждый начальник подразделения, участвующего в проекте запрашивает доступ только для тех сотрудников, которые находятся у него в подчинении.
2.3.4 Порядок работы сотрудников с электронной почтой
Ранее, до создания базовой политики безопасности, каждый сотрудник сам определял степень опасности писем и файлов, пришедших по электронной почте с внешних почтовых серверов.
После создания базовой политики безопасности, каждому пользователю вменяется в обязанности каждый файл, полученный по электронной почте от внешних почтовых серверов пересылать в отдел информационной безопасности для проверки его на наличие вредоносного программного обеспечения, степень опасности писем сотрудник определяет самостоятельно. Если сотрудник Банка подозревает, что во входящем сообщении содержится спам или фишинг, он обязан отправить письмо полностью, то есть содержащее в себе всю служебную информацию об отправителе, его почтовый ящик и IP-адрес, в отдел информационной безопасности. После анализа подозрительного письма и при подтверждении угрозы этого письма отдели информационной безопасности направляет адрес отправителя письма в отдел системного администрирования, и сотрудник отдела системного администрирования заносит адрес отправителя письма в чёрный список.
2.3.5 Парольная политика Банка
Для предотвращения несанкционированного доступа к информационным ресурсам Банка, а также к информационным системам персональных данных, в Банке установлена следующая парольная политика:
· Длина пароля - не менее 8 символов;
· Сложность пароля - латинские и /или кириллические символы, верхний и нижний регистр, специальные символы;
· Срок действия пароля - 1 месяц;
· Невозможность повторения пароля в течении трёх месяцев.
При обучении сотрудников им разъясняются правила хранения паролей:
· Не записывать пароли на бумажный или цифровой носитель;
· Вводить пароль от рабочего места или при входе в систему без посторонних лиц, которые могут запомнить или записать, не заметно для пользователя, пароль;
· Всегда блокировать рабочее место, при отлучении от него.
2.3.6 Правила доступа сотрудников к персональным данным
Согласно статьи 89 главы 14 Трудового Кодекса Российской Федерации, сотрудник Банка имеет право на доступ к своим персональным данным, но допускается к обработке персональных данных других сотрудников Банка или клиентов Банка только для исполнения своих должностных обязанностей.
Для обеспечения контроля за доступом в информационным системам персональных данных, в банке установлены следующие правила доступа к информационным системам персональных данных:
· Только сотрудники, в чьи должностные обязанности входит обработка персональных данных имеют доступ к ИСПДн;
· Доступ к ИСПДн разрешён только с локального рабочего места сотрудника, работающего с персональными данными;
· В Банке создан документ, определяющий пофамильно сотрудников, которым разрешен доступ к персональным данным сотрудников и клиентов Банка с указанием Информационной системы персональных данных и перечнем персональных данных, разрешённых для обработки сотрудником.
3. Экономическое обоснование проекта
Для реализации системы защиты персональных данных необходимо произвести закупку:
· Оборудования для защиты сети Банка;
· Аппаратные средства защиты информации;
· Программные средства защиты информации.
Для перестроения сети организации необходимо закупить коммутаторы Cisco Catalyst 2960 в количестве 3-х экземпляров. Один коммутатор необходим для работы на уровне ядра сети Банка, 2 других для работы на уровне распределения. Сетевое оборудование, работавшее в банке до перестройки сети тоже будет задействовано.
Для защиты сети Банка от вторжений необходимо закупить систему предупреждения вторжений Check Point 4600.
В таблице представлена суммарная стоимость оборудования, закупаемого для перестроения локальной сети Банка (табл.3):
Таблица 3. Стоимость оборудования, закупаемая для перестроения локальной сети Банка
|
Наименование устройства |
Количество (шт.) |
Стоимость одного экземпляра (руб.) |
Общая стоимость (руб.) |
|
|
Cisco Catalyst 2960 |
3 |
137 054 |
411 162 |
|
|
Check Point 4600 |
1 |
795 340 |
795 34 |
|
|
Общая стоимость |
1 206 502 |
Для защиты локальных рабочих станций пользователей, работающих с ИСПДн необходимо закупить ПАК СЗИ НСД Аккорд в количестве 16 экземпляров (табл.4):
Таблица 4. Стоимость ПАК СЗИ НСД Аккорд
|
Наименование устройства |
Количество (шт.) |
Стоимость одного экземпляра (руб.) |
Общая стоимость (руб.) |
|
|
ПАК СЗИ НСД Аккорд MX |
17 |
9389 |
159 613 |
|
|
Общая стоимость |
159 613 |
Дополнительно запланирована покупка аппаратных средств защиты, а именно антивирусное программное обеспечение Doctor WEB Enterprise security suit. Планируется установка на отдельную рабочую станцию, предназначенную для проверки скачиваемых пользователями файлов. Стоимость покупки антивируса Doctor WEB Enterprise security suit представлена в таблице 5.
Таблица 5. Стоимость Doctor WEB Enterprise security suit
|
Наименование устройства |
Количество (шт.) |
Стоимость одного экземпляра (руб.) |
Общая стоимость (руб.) |
|
|
Doctor WEB Enterprise security suit |
1 |
5500 |
5500 |
|
|
Общая стоимость |
5500 |
Это в конце 3 главы.
Мною были рассмотрены затраты на организацию системы защиты персональных данных по группам инструментов защиты. Общая стоимость всех закупаемых устройств и программного обеспечения - 1 371 615 рублей (таблица 6).
Таблица 6. Общая стоимость всех закупаемых устройств и программного обеспечения
|
Наименование устройства |
Количество (шт.) |
Стоимость одного экземпляра (руб.) |
Общая стоимость (руб.) |
|
|
Cisco Catalyst 2960 |
3 |
137 054 |
411 162 |
|
|
Check Point 4600 |
1 |
795 340 |
795 340 |
|
|
ПАК СЗИ НСД Акорд MX |
17 |
9389 |
159 613 |
|
|
Doctor WEB Enterprise security suit |
1 |
5500 |
5500 |
|
|
Общая стоимость |
1 371 615 |
Заключение
В своём дипломном проекте я рассмотрел нормативно-правовую базу по защите персональных данных. Мной были рассмотрены основные источники угроз безопасности персональных данных.
Опираясь на рассмотренные угрозы персональных я проанализировал существующую систему защиты персональных данных в ПАО "Витабанк" и пришёл к выводу, что она нуждается в серьёзной доработке.
В процессе дипломного проекта были обнаружены слабые места в локальной сети Банка. С учетом обнаруженных слабых мест в локальной сети Банка определены меры по минимизации рисков информационной безопасности сети Банка.
Также рассмотрены и подобраны устройства и программное обеспечение для защиты локальных рабочих мест сотрудников, обрабатывающих персональные данные сотрудников и клиентов Банка.
При моём участии была создана система повышения осведомлённости сотрудников в вопросах информационной безопасности.
Глубоко переработан порядок доступа сотрудников Банка к сети Интернет, переработаны группы доступа в сеть Интернет. Новые группы доступа в сеть Интернет позволяют существенно минимизировать риски информационной безопасности за счёт ограниченных возможностей пользователей скачивать файлы, заходить на недоверенные ресурсы.
Приведены расчёты стоимости перестроения сети и создания жизнеспособной системы защиты персональных данных, способной отражать большинство угроз информационной безопасности.
Список использованной литературы
1. "Конституция Российской Федерации" (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) // Официальный текст Конституции РФ с внесенными поправками от 21.07.2014 опубликован на Официальном интернет-портале правовой информации http://www.pravo.gov.ru, 01.08.2014
2. "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)
3. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016)"Об информации, информационных технологиях и о защите информации" // В данном виде документ опубликован не был первоначальный текст документа опубликован в "Российская газета", N 165, 29.07.2006
4. "Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (ред. от 03.07.2016) (с изм. и доп., вступ. в силу с 03.10.2016) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в "Российская газета", N 256, 31.12.2001
5. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // "Российская газета", N 256, 07.11.2012
6. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 N 28375) // "Российская газета", N 107, 22.05.2013
7. "Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399) // "Вестник Банка России", N 48-49, 30.05.2014
8. "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (утв. Банком России 09.06.2012 N 382-П) (ред. от 14.08.2014) (Зарегистрировано в Минюсте России 14.06.2012 N 24575) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в "Вестник Банка России", N 32, 22.06.2012
9. "Положение о порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (утв. Банком России 29.08.2008 N 321-П) (ред. от 15.10.2015) (вместе с "Порядком обеспечения информационной безопасности при передаче-приеме ОЭС", "Правилами формирования ОЭС и заполнения отдельных полей записей ОЭС") (Зарегистрировано в Минюсте России 16.09.2008 N 12296) // В данном виде документ опубликован не был, Первоначальный текст документа опубликован в "Вестник Банка России", N 54, 26.09.2008
10. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 N 28375) // "Российская газета", N 107, 22.05.2013
11. Аверченков В.И., Рытов М.Ю., Гайнулин Т.Р. Защита персональных данных в организациях. М.: Флинта, 2011
12. Агапов А.Б. Основы государственного управления в сфере информатизации в Российской Федерации. М.: Юристъ, 2012
13. Костин А.А., Костина А.А., Латышев Д.М., Молдовян А.А. Программные комплексы серии „АУРА" для защиты информационных систем персональных данных // Изв. вузов. приборостроение. 2012. Т.55, № 11
14. Молдовян А.А. Криптография для защиты компьютерной информации (часть 1) // Интеграл. 2014. № 4 (18)
15. Романов О.А., Бабин С.А., Жданов С.Г. Организационное обеспечение информационной безопасности. - М.: Академия, 2015
16. Шульц В.Л., Рудченко А.Д., Юрченко А.В. Безопасность предпринимательской деятельности. М.: Издательство "Юрайт", 2016
Приложения
Приложение 1
Правила дистанционного банковского обслуживания юридических лиц и индивидуальных предпринимателей в ПАО "ВИТАБАНК"
Размещено на Allbest.ru
Подобные документы
Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа [1,3 M], добавлен 01.07.2011Технологии защиты персональных данных и их применение. Юридический аспект защиты персональных данных в России. Описание результатов опроса среди рядовых российских пользователей. Прогноз развития технологий в связи с аспектом защиты персональных данных.
дипломная работа [149,6 K], добавлен 03.07.2017Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015Анализ сетевой инфраструктуры, специфика среды исполнения и принципов хранения данных. Обзор частных моделей угроз персональных данных при их обработке с использованием внутрикорпоративных облачных сервисов. Разработка способов защиты их от повреждения.
курсовая работа [41,7 K], добавлен 24.10.2013
