Разработка требований по обеспечению безопасности персональных данных в информационных системах
Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 01.07.2011 |
| Размер файла | 1,3 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Разработаны и показаны требования по разграничению доступа к ресурсам ИСПДн , защите персональных данных циркулирующих в сети предприятия от вторжений, для защиты ПДн от утечки по техническим каналам, а именно требования технических мероприятий и требования организационных мероприятий.
Список использованных источников
правовой персональный безопасность информационный
1. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.: ООО «ТИД «ДС», 2001.
2. Директива 95/46/ЕС Европейского парламента и Совета европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. //http:// www.gdf.ru.
3. Директива 97/66/ЕС Европейского парламента и Совета Европейского союза от 15 декабря 1997 г. «Об использовании персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций. //http: //www.gdf.ru.
4. Доктрина информационной безопасности РФ, утверждена Президентом РФ 09.09.2000 №Пр-1895.
5. Кодекс об административных правонарушениях РФ 30.12.2001 №195-ФЗ.
6. Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» 1981г. - //http://www.gdf.ru.
7. Конституция РФ от 12 декабря 1993 г.
8. РД Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». - М., 1999 г.
9. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Решение Коллегии Гостехкомиссии России №7.2/02.03.2001г.
10. Трудовой кодекс РФ от 30 декабря 2001 г. №197-ФЗ (с изменениями от 24, 25 июля 2002г., 30 июня 2003 г.)
11. Уголовный кодекс РФ от 13.06.1996 №63-ФЗ (ред. От 30.12.2006).
12. Указ Президента РФ №188 от 06.03.1997г. «Об утверждении перечня сведений конфиденциального характера».
13. Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27.07.2006.
14. Федеральный закон РФ «О персональных данных» №152-ФЗ от 27.07.2006.
15. Федеральный закон РФ «О внесении изменений в Трудовой кодекс РФ» №109-ФЗ от 18.07.1995.
16. Барсуков В.С. Безопасность: технологии, средства, услуги. «КУДИЦ-ОБРАЗ», - М., 2001.
17. Волчинская Е.К. Защита персональных данных. Опыт правового регулирования. - М.: Галерея, 2001.
18. Петраков А.В. Основы практической защиты информации. «Радио и связь», - М., 2000.
19. Петраков А.В., Лагутин В.С. Телеохрана. Уч. Пособие, 3-е изд., -М., 2004.
20. Торокин А.А. Основы инженерно-технической информации. - М.: Издательство «Ось-89», 1998.
21. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический проект; Фонд «Мир», 2003.
22. Аналитический отчет Всероссийского центра изучения общественного мнения (ВЦИОМ). Современное состояние и перспективы развития ситуации в сфере персональных данных (анализ практики законодательного регулирования и данных социологических опросов). //http://www.wciom.ru.
23. Законодательство о защите персональных данных: проблемы и решениия.// Информационное право, №1 (4), 2006. //http://www.duma.gov.ru.
24. Комментарий к международным документам и национальным законам по персональным данным. //http: //www.internetpolicy.kg.
25. Кочева О. Новые угрозы и защита приватности в России и за рубежом. //http://www.privacy.hro.org.
26. Михеева. Проблема правовой защиты персональных данных. //http://www.kiev-security.org.ua.
27. Молчанов С. Необходимость защиты персональных данных в электронных источниках информации. //http://www.podolsk.biz.ru.
28. Приватность и права человека - 2002. Япония. //http://www.hro.org/docs.
29. Савинцева М. Правовая защита персональной информации граждан в России. //http://www.medialaw.ru.
30. Симонов А. Защита персональных данных. Фонд защиты гласности. //http://www.gdf.ru.
31. Сравнительный анализ Российской и зарубежной нормативно-правовой базы в области обеспечения информационной безопасности
32. http://www.telecomresearch.ru/docs/10.doc.
33. Хачатурян Ю. Право работника на защиту персональных данных: проблемы законодательства. http://www.chelt.ru.
|
Формат |
Обозначение |
Наименование |
Дополнит. данные |
|
|
Текстовые документы |
||||
|
А4 |
СевКавГТУ 090105.65 001 ПЗ |
Пояснительная записка |
129 стр. |
|
|
Графические документы |
||||
|
А4 |
Процесс получения ПДн |
Приложение А |
||
|
Классификация ПДн |
Приложение Б |
|||
|
Классификация ПДн |
Приложение В |
|||
|
Пример классификации ПДн |
Приложение Г |
|||
|
Пример классификации ПДн |
Приложение Д |
|||
|
Пример классификации ПДн |
Приложение Е |
|||
|
Обобщенная схема канала реализации угроз безопасности персональных данных |
Приложение Ж |
|||
|
Классификация угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных |
Приложение З |
|||
|
Элементы описания угроз НСД к информации в ИСПДн |
Приложение И |
|||
|
Классификация уязвимостей программного обеспечения |
Приложение К |
|||
|
Уязвимости отдельных протоколов стека протоколов TCP/IP, на базе которого функционируют глобальные сети общего пользования |
Приложение Л |
Приложение А
Процесс получения ПДн
Рисунок А.1 - Процесс получения ПДн
Приложение Б
Классификация ПДн
Рисунок А.2 - Процесс получения ПДн
Приложение В
Классификация ПДн
|
Количество ПДн |
||||
|
Категория ПДн |
3 Xнпд<1000 |
2 1000<Xнпд<100000 |
1 Xнпд>100000 |
|
|
Кат. 4 (Обезличенные и (или) общедоступные ПДн) |
K4 |
K4 |
K4 |
|
|
Кат. 3 (ПДн, позволяющие идентифицировать субъекта ПДн) |
K3 |
K3 |
K2 |
|
|
Кат. 2. (Кат.3 + доп. информация исключая относящуюся к Кат.1) |
K3 |
K2 |
K1 |
|
|
Кат. 1 (Кат. 3 + религия, здоровье, и т.п. ) |
K1 |
K1 |
K1 |
Рисунок А.3 - Процесс получения ПДн
Приложение Г
Пример классификации ПДн
Рисунок А.4 - Процесс получения ПДн
Приложение Д
Пример классификации ПДн
Рисунок А.5 - Процесс получения ПДн
Приложение Е
Пример классификации ПДн
Рисунок А.6 - Процесс получения ПДн
Приложение Ж
Обобщенная схема канала реализации угроз безопасности персональных данных
Рисунок А.7 - Обобщенная схема канала реализации угроз безопасности персональных данных
Приложение З
Классификация угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных
Рисунок А.8 - Классификация угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных
Приложение И
Элементы описания угроз НСД к информации в ИСПДн
Рисунок А.9 - Элементы описания угроз НСД к информации в ИСПДн
Приложение Е
Обобщенная схема канала реализации угроз безопасности персональных данных
Рисунок А.7 - Обобщенная схема канала реализации угроз безопасности персональных данных
Приложение К
Классификация уязвимостей программного обеспечения
Рисунок А.10 - Классификация уязвимостей программного обеспечения
Приложение Л
Уязвимости отдельных протоколов стека протоколов TCP/IP, на базе которого функционируют глобальные сети общего пользования
Таблица А.1 - Уязвимости отдельных протоколов стека протоколов TCP/IP, на базе которого функционируют глобальные сети общего пользования
|
Наименование протокола |
Уровень стека протоколов |
Наименование (характеристика) уязвимости |
Содержание нарушения безопасности информации |
|
|
1 |
2 |
3 |
4 |
|
|
FTP (File Transfer Protocol) - протокол передачи файлов по сети |
Прикладной, представи-тельный, сеансовый |
1. Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) 2. Доступ по умолчанию 3. Наличие двух открытых портов |
Возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей). Получение удаленного доступа к хостам |
|
|
telnet - протокол управления удаленным терминалом |
Прикладной, представи-тельный, сеансовый |
Аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) |
Возможность перехвата данных учетной записи пользователя. Получение удаленного доступа к хостам |
|
|
UDP - протокол передачи данных без установления соединения |
Транспорт-ный |
Отсутствие механизма предотвращения перегрузок буфера |
Возможность реализации UDР-шторма. В результате обмена пакетами происходит существенное снижение производительности сервера |
|
|
ARP - протокол преобразования IP-адреса в физический адрес |
Сетевой |
Аутентификация на базе открытого текста (информация пересылается в незашифрованном виде) |
Возможность перехвата трафика пользователя злоумышленником |
|
|
RIP - протокол маршрутной информации |
Транспорт-ный |
Отсутствие аутентификации управляющих сообщений об изменении маршрута |
Возможность перенаправления трафика через хост злоумышленника |
|
|
TCP - протокол управления передачей |
Транспорт-ный |
Отсутствие механизма проверки корректности заполнения служебных заголовков пакета |
Существенное снижение скорости обмена и даже полный разрыв произвольных соединений по протоколу TCP |
|
|
DNS - протокол установления соответствия мнемонических имен и сетевых адресов |
Прикладной, представи-тельный, сеансовый |
Отсутствие средств проверки аутентификации полученных данных от источника |
Фальсификация ответа DNS-сервера |
|
|
IGMP - протокол передачи сообщений о маршрутизации |
Сетевой |
Отсутствие аутентификации сообщений об изменении параметров маршрута |
Зависание систем Win 9x/NT/200 |
|
|
SMTP - протокол обеспечения сервиса доставки сообщений по электронной почте |
Прикладной, представи-тельный, сеансовый |
Отсутствие поддержки аутентификации заголовков сообщений |
Возможность подделывания сообщений электронной почты, а также адреса отправителя сообщения |
|
|
SNMP - протокол управления маршрутизаторами в сетях |
Прикладной, представи-тельный, сеансовый |
Отсутствие поддержки аутентификации заголовков сообщений |
Возможность переполнения пропускной способности сети |
Размещено на Allbest.ru
Подобные документы
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Базовая модель угроз персональных данных, обрабатываемых в информационных системах персональных данных. Метод сокрытия информации в наименьших битах графических контейнеров. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [475,1 K], добавлен 05.12.2014Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Технологии защиты персональных данных и их применение. Юридический аспект защиты персональных данных в России. Описание результатов опроса среди рядовых российских пользователей. Прогноз развития технологий в связи с аспектом защиты персональных данных.
дипломная работа [149,6 K], добавлен 03.07.2017Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация [2,1 M], добавлен 15.11.2016
