Курсовая Лазарев.pptx
- Количество слайдов: 15
Разработка проекта системы защиты персональных данных в информационной системе отдела «ЗАГС» Курсовая работа. Студент КЗОИ Д 5 Лазарев В. О.
Эпоха информационных технологий ставит новые задачи перед государственными учреждениями. Чтобы повысить собственную эффективность и качество предоставляемых услуг, они активно внедряют информационные системы и интернет сервисы для населения. Одним из ключевых приоритетов Правительства РФ является создание по настоящему эффективной инфраструктуры Электронного Правительства. Однако незащищенность электронной информации и Интернета может поставить достижение этой цели под угрозу.
Категории персональных данных Категория 4 обезличенные и (или) общедоступные персональные данные Категория 3 персональные данные, позволяющие идентифицировать субъекта персональных данных Категория 2 персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 Категория 1 персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья.
Классификация ИСПДн Объем 3 Объем 2 Объем 1 (<1000, (1000 -100 000, (>100 000, организация) город, отрасль) субъект Федерации) Категория 4 Класс 4 Категория 3 Класс 2 Категория 2 Класс 3 Класс 2 Класс 1 Категория 1 Класс 1
Приобретение СЗИ и другой аппаратуры, входящей в ИСПДн в соответствии с ФЗ № 223 происходит на электронных торговых площадках, что позволяет государственным организациям приобретать необходимое оборудование по минимальным ценам. По этим причинам проведение стоимостного анализа в данной работе является нецелесообразным.
Матрица доступа к ИСПДн № п/п 1. Объект доступа Субъект доступа Права доступа Доступ к АРМ «Оператор» 2. Доступ к АРМ «Сервер» Администратор ИС Оператор ИС F F F R, E [1]Примечание: N – доступ запрещен; R – чтение; E – выполнение; W – изменение; F – полные права.
Перечень документов База данных платежных квитанций База данных ПДн сотрудников База данных актов гражданского состояния Другие документы, содержащие персональные данные
Схема расположения рабочих мест
Предложение об использовании СЗИ в ИСПДн № Наименование и тип программно-технического Место п/п средства установки 1. 2. Средство защиты информации МЭ Континент АП Версия 3. 3. 15. 2 Антивирусное программное обеспечение Dr. Web. Server. Security. Suit АРМ «Оператор 2» АРМ «Сервер» АРМ «Оператор 1» 3. Антивирусное программное обеспечение Dr. Web. Desktop. Security. Suit АРМ «Оператор 3» АРМ «Оператор 2» 4. Средство защиты информации Vip. Net Клиент КС 2, Версия 3. 1 АРМ «Оператор 1» »
• Предложение об использовании СЗИ в ИСПДн № Наименование и тип программно-технического п/п 5. 6. средства Средство защиты информации Vip. Net. Personalfirewall, Версия 3. 1 Средство защиты информации Xspider на 5 IP адресов Версия 7. 8 Место установки АРМ «Сервер» 7. Средство защиты информации Secret. Net 6. 5 (автономный вариант). АРМ «Оператор 1» АРМ «Оператор 2» АРМ «Оператор 3»
МЭ Континент АП Dr. Web. Server. Security. Suit Vip. Net Клиент КС 2 Vip. Net Personal firewall Xspider Secret. Net 6. 5
Основными факторами риска для объекта ИС, рассматриваемыми проведении работ по аттестации, являются: несанкционированный доступ к техническим и программным средствам ИС с це лью временного изменения конфигурации ИСПДн; неисправности и нарушения функционирования программ и оборудования, отказ в санкционированном доступе к оборудованию, данным, нарушение це лостности или доступности отдельных составляющих ПО ИС, вызванные несанкциониро ванным проникновением к элементам ИС, злым умыслом заинтересованных в этом лиц, а также непреднамеренными действия ми лиц, имеющих доступ к отдельным элементам ИС; нарушение конфиденциальности отдельных данных (паролей доступа, установленных привилегий доступа, используемых идентификаторов имен и пр. ), из за непреднамеренных или умышленных действий персонала ИС; несанкционированный доступ к системным и прикладным ресурсам, программам, наборам данных с целью внесения изменений в конфигурационные файлы, изменения полномочий доступа, внедрения программных закладок, нарушения целостности про граммной среды; В качестве уязвимых мест ИС элементов аппаратуры и оборудования, программ и данных, которые могут быть подвергнуты воздействию факторов риска рассматриваются: все элементы оборудования ИС относительно преднамеренных злоумышленных воздействий, НСД, случайных отказов и сбоев; технические и программные средства, элементы аппаратуры и оборудования ИС относительно нарушения целостности, доступности его элементов, а также нарушения конфиденциальности различного рода служебной информации, хранящейся в составных элементах ИС; все системное и прикладное программное обеспечение и наборы данных относительно НСД. Фактор риска - возможные ситуации, возникновение которых может расцениваться, как угроза или способность нанести ущерб, выраженный в материальной или нематериальной форме. Фактор риска оказывает воздействие на определенное уязвимое место системы и может учитываться (с принятием контрмер) или игнорироваться в зависимости от степени воздействия.
Для проведения проверки ИСПДн на соответствие 1 классу защиты информации, необходимо выполнить следующие требования: требования к подсистеме управления доступом требования к подсистеме обеспечения целостности требования к подсистеме межсетевого экранирования требования к подсистеме анализа защищенности требования к подсистеме обнаружения вторжений требования к подсистеме антивирусной защиты уровень подготовки кадров и распределение
организация контроля за несанкционированным доступом на территорию (наличие пропускного режима), а также в помещения с оборудованием ИС; реализация механизмов идентификации и аутентификации при доступе к основным техническим и программным средствам ИС с помощью механизмов защиты СЗИ «Secret. Net 6. 5» ; защита ИС при межсетевом взаимодействии сертифицированными средствами «Vip. Net Клиент КС 2, Версия 3. 1» ; использование Антивирусного программного обеспечения «Kaspersky. Internet. Security 2011» и Антивирусное программное обеспечение «Dr. Web» ; наличие необходимой организационно распорядительной документации; наличие ответственного за эксплуатацию ИС. Рекомендации
Спасибо за внимание!
Курсовая Лазарев.pptx