Выдержка из работы:
Некоторые тезисы из работы по теме Разработка системы защиты персональных данных ООО "Галардия"
Введение
Темой дипломного проекта является «Разработка системы защиты персональных данных в ООО Галардия».
На сегодняшний день системы защиты информации очень востребованы как среди государственных, так и среди коммерческих организаций. Персональные данные нуждаются в надежной защите ввиду повсеместно распространившихся краж информации, превратившихся в проблему мирового масштаба.
Серьезность и острота проблемы потребовали от органов государственной власти принятия конкретных мер по ее урегулированию. В 2007 году в России вступил в силу Федеральный закон «О персональных данных» (№ 152-ФЗ), направленный на обеспечение всех необходимых мер по защите информации, используемой коммерческими и государственными организациями.
В соответствии с 152-ФЗ, каждое предприятие должно обеспечить защиту персональных данных своих сотрудников, клиентов и партнеров и принять все необходимые меры во избежание следующих правонарушений:
кража персональных данных;
изменение;
блокирование;
копирование;
разглашение информации и другие незаконные действия, указанные в 152-ФЗ.
Поскольку под понятие «Персональные данные» попадают такие данные о человеке, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и многое другое – система защиты персональных данных нужна фактически любой организации. В случае нарушения положений закона № 152-ФЗ о защите персональных данных компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица – к гражданской, уголовной, административной, дисциплинарной ответственности. Согласно закону № 152-ФЗ, информационные системы персональных данных должны были быть приведены в соответствие с требованиями законодательства не позднее 1 января 2011 года.
На сегодняшний день в ООО «Галардия» не реализована система защиты персональных данных, поэтому организация подвергается серьезному риску. Реализация системы защиты персональных данных в в организации позволит значительно снизить вероятность возникновения ситуаций по неправомерному доступу к информации организации.
Целью дипломного проекта является непосредственная разработка системы защиты персональных данных на выбранном предприятии.
Для достижения поставленной цели необходимо первоначально решить следующие задачи:
проанализировать деятельности организации;
рассмотреть организационную структуру организации;
провести анализ рисков информационной безопасности и оценить выявленные риски;
выбрать комплекс задач для обеспечения информационной безопасности;
определить место проектируемого комплекса задач предприятия;
выбрать защитные меры для обеспечения информационной безопасности;
рассмотреть нормативно-правовую основу создания системы;
рассмотреть организационно-административную основу создания системы;
обосновать экономическую эффективность разработанной системы.
Главной функцией разрабатываемой системы будет является защита персональных данных на предприятии. Кроме того разрабатываемая система позволит в целом повысить уровень информационной безопасности на предприятии, снизить уровень рисков взлома и нанесения какой-либо порчи информационным активам организации.
Дипломная работа состоит из трех частей: аналитической, проектной и экономической. В аналитической части будет рассмотрена деятельность организации, проанализированы информационные активы организации и выявлены наиболее важные из них. Также будет выявлены уязвимости информационной безопасности и угрозы возникающие в связи с данными уязвимости. Также в аналитической части будет описаны возможные меры изменения сложившейся ситуации.
В проектной части будет описано конкретные меры предотвращения реализации выявленных в аналитической части угроз. Будут описаны организационные и инженерно-технические меры предотвращения реализации угроз, а также представлены результаты внедрения данных мер.
В экономической части будет осуществлен расчет экономической эффективности реализации проекта, а также сроки его окупаемости.
Также будет представлены приложения, в которых будет отображены документы не вошедшие в основную часть дипломного проекта.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнaружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности: регистрация события в журнале Secret Net; блокировка компьютера; восстановление повреждённой/модифицированной информации; отклонение или принятие изменений.
Заключение
Темой дипломного проекта являлась разработка системы защиты персональных данных в предприятии ООО «Галардия». Данная тема дипломного проекта актуальна как для выбранной организации, так и для любой другой организации в которой не присутствует штатного специалиста в области информационной безопасности.
В результате дипломного проекта была разработана система защиты персональных данных на предприятии. Это позволит на 90% снизить вероятность разглашения персональных данных, что может привести к судебным разбирательствам.
Для достижения поставленной цели были решены следующие задачи:
проанализирована деятельность организации;
рассмотрена организационная структуру организации;
проведен анализ рисков информационной безопасности и оценить выявленные риски;
выбран комплекс задач для обеспечения информационной безопасности;
определено место проектируемого комплекса задач предприятия;
выбраны защитные меры для обеспечения информационной безопасности;
рассмотрены нормативно-правовые основы создания системы;
рассмотрена организационно-административная основа создания системы;
обоснована экономическая эффективность разработанной системы.
Главной функцией разрабатываемой системы является защита персональных данных на предприятии. Кроме того разрабатываемая система позволяет в целом повысить уровень защищенности информации на предприятии от возможных рисков информационной безопасности, снизить уровень рисков взлома и нанесения какой-либо порчи на 90 % информационным активам организации.
На предприятии были внедрены следующие технические средства для уменьшения риска физического проникновения постороннего лица на территорию организации:
установка дополнительных камер видеонаблюдения;
установка кодовых дверных замков;
установка дополнительных датчиков движения;
установка датчиков на разбитие стекла
Для защиты от несанкционированного доступа было внедрено следующее программное обеспечение:
Secret Net.
Таким образом, были реализованы следующие задачи по обеспечения информационной безопасности:
Реализована система защиты от несанкционированного доступа;
Реализованы организационные меры предотвращающие возможность распространения информации сотрудниками организации.
Повышен уровень защиты здания от физического проникновения.
Внедрение всех выбранных устройств затронуло все подразделения организации и заметно повысило уровень защищенности информационных ресурсов предприятия.
В результате проведенных расчетов экономической эффективности, капитальные затраты на создание системы защиты персональных данных составят 366 700 руб. Срок окупаемости разработанной системы составил всего 3 месяца, что является отличным показателем для любого проекта.
Список сокращений
ФЗ – Федеральный закон
СУБД – Система управления базами данных
СТП – Степень тяжести последствий
ИБ – Информационная безопасность
МФУ – Многофункциональное устройство
ИТ – Информационные технологии
ФСТЭК - Федеральная служба по техническому и экспортному контролю
ФСБ – Федеральная служба безопасности
КоАП – Кодекс административных правонарушений
УК – Уголовный кодекс
ТК – Трудовой кодекс
ПДн – Персональные данные
ИСПДн – Информационная система персональных данных
СЗПДн – Система защиты персональных данных
РД – руководящие документы
ПО – программное обеспечение
СЗИ – система защиты информации
НСД – несанкционированный доступ
КСЗИ – комплекс средств защиты информации
ИС – информационная система
Список использованной литературы
1. Бабурин А.В., Чайкина Е.А., Воробьева Е.И. Физические основы защиты информации от технических средств разведки: Учеб. пособие. Воронеж: Воронеж. гос. техн. ун-т, 2006.-193 с.
2. Бройдо В. М. , Вычислительные системы, сети и телекоммуникации, СПб, Питер, 2004, 702 с.
3. Бузов Г.А., Калинин СВ., Кондратьев А.В. Защита от утечки информации по техническим каналам: Учебное пособие.- М.- Горячая линия-Телеком.-2005.-416 с.
4. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.
5. Домарев В.В. "Безопасность информационных технологий. Системный подход" - К.:ООО ТИД «Диасофт», 2004.-992 с.
6. Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем: Учебник для вузов. В 2-х томах. Том 1 – Угрозы, уязвимости, атаки и подходы к защите. – М.: Горячая линия-Телеком, 2006, 450 с.
7. Казарин О.В. Безопасность программного обеспечения компьютерных систем, Москва, МГУЛ, 2003, 212 с.
8. Кульгин М. В.,Технология корпоративных сетей. Энциклопедия. СПб, Питер, 2001, 300 с.
9. Лапонина О. Р., Межсетевое экранирование, Бином, 2007 г.-354с.
10. Лебедь С. В., Межсетевое экранирование: Теория и практика защиты внешнего периметра, Издательство Московского технического университета им. Баумана, 2002 г, 304 с.
11. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком. -2004.-280 с.
12. Новиков Ю. С. «Локальные сети: архитектура, алгоритмы, проектирование». Москва, ЭКОМ, 2000, 145 с.
13. Олифер В.Г., Олифер Н.А. ,Компьютерные сети. Принципы, тех-нологии, протоколы, 2-е изд, СПб, Питер-пресс, 2002 год, 465 с.
14. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие-М.: Радио и связь, 2001г.-368с.
15. Семенов А. Б., Стрижаков С. К., Сунчелей И. Р.. «Структурированные Кабельные Системы АйТи-СКС, издание 3-е». Москва, АйТи-Пресс,2001
16. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008 г.- 320 с.
17. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М.: Гостехкомиссия России, 1998. - 320 с.
18. Яковлев В.В., Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта, Издательство: Маршрут, 2002 год- 327 с.
19. ГОСТ Р 15971-90. Системы обработки информации. Термины и определения
20. ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»
21. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации;
22. ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
23. ГОСТ Р 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
24. ГОСТ Р 51624-00 «Зашита информации. Автоматизированные системы в защищённом исполнении. Общие требования».
25. Методические указания по дипломному проектированию для специальности «Информационные системы и технологии», специализация «Безопасность информационных систем» НОУ ВПО МФПУ «Синергия»: Москва, - 2011, - 77 с.