Презентация шохин.ppt
- Количество слайдов: 21
Организация защиты персональных данных в ЛВС ООО «Спец. Элемент» Выполнил: Шохин С. А. Руководитель проекта: Лебедев В. В. Тверь, 2013 1
Актуальность ДП Заниматься или нет вопросами защиты персональных данных решает каждый оператор для себя самостоятельно. Но надо понимать, что с одной стороны работы по приведению своей информационной системы в соответствии с требованиями законодательства вполне по силам любой, даже небольшой организации, с другой - контроль со стороны проверяющих органов будет в дальнейшем только усиливаться. Также надо помнить, что возможны жалобы со стороны граждан о недостаточной защите их персональных данных в конкретной организации, что автоматически повлечет за собой внеплановую проверку с соответствующими санкциями. 2
Введение Вопросы защиты и обработки персональных данных (ПДн) касаются каждого из нас, так как они напрямую связаны с обеспечение наших прав на неприкосновенность частной жизни. Особо остро проблема защиты персональных данных встала в 2009 – 2010 годах в связи с поэтапным вступлением в действие Федерального закона от 27. 07. 2006 № 152 -ФЗ «О персональных данных» (далее 152 -ФЗ) и необходимостью приведения информационных систем персональных данных к 01 января 2011 года в соответствие с требованиями действующего законодательства всеми операторами персональных данных. Говоря об обработке персональных данных, следует помнить, что в законе идет речь именно о порядке взаимоотношений физических и юридических лиц (индивидуальных предпринимателей), в то время как взаимоотношения между несколькими юридическими лицами в области защиты ПДн регулируются Гражданским кодексом РФ. В том случае, если для заключения и выполнения условий договора между двумя юридическими лицами необходима передача ПДн, обязательным условием такого договора должно быть соблюдение лицом, которому персональные данные передаются на обработку, их конфиденциальности, а также такое юридическое лицо должно обеспечивать безопасность ПДн при их обработке, причем в договоре должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 152 -ФЗ. 3
Цели и задачи Целью дипломного проекта является построение информационной сети обработки персональных данных в ООО «Спец. Элемент» . Для достижения поставленной цели в работе должны быть решены следующие задачи: • Проведение подробного анализа законодательной и нормативноправовой базы в области безопасности персональных данных; • Проведение обзора современных программно-технических решений по созданию ИСПДн; • Проведение обследования существующей информационной системы ООО «Спец. Элемент» ; • Составление модели угроз и модели нарушителя; • Создание технического облика системы защиты информации в ООО «Спец. Элемент» . 4
Основополагающим является Федеральный Закон № 152 -ФЗ «О персональных данных» , цель которого заключается в обеспечении защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Именно закон определяет основные понятия: персональные данные и информационная система персональных данных - и что под ними понимается в рамках выполнения требований законодательства. В зависимости от способа обработки ПДн (автоматизированная либо без использования средств автоматизации) установилы меры обеспечения безопасности ПДн, которые регламентируются соответствующими постановлениями Правительства. В данных нормативно-правовых актах описываются общие методы и подходы для защиты ПДн в зависимости от способа их обработки. Стоит отметить, что для построения системы защиты ИСПДн в обязательном порядке должны использоваться сертифицированные ФСТЭК либо ФСБ средства защиты информации (прошедшие в установленном порядке процедуру оценки соответствия).
В общем виде структура нормативно-правовых актов в области защиты персональных данных представлена на рисунке 1. 6
Государственный надзор за выполнением требований законодательства в области защиты ПДн распределен между тремя ведомствами: • Роскомнадзор - основной исполнительный и надзорный орган по защите прав физических лиц, чьи персональные данные обрабатываются; • ФСТЭК РФ - лицензирование деятельности операторов ПДн при осуществлении ими технической защиты конфиденциальной информации, осуществляет контроль защиты информации с использования технических средств; • ФСБ РФ - лицензирование деятельности операторов ПДн, при использовании ими при защите ПДн криптографических средств защиты и курирует вопросы защиты информации с использованием средств шифрования. 7
Зоны ответственности регуляторов : 8
Обзор современных программно-технических решений по созданию ИСПДн Программное обеспечение включает в себя общее программное обеспечение (ОПО), прикладное программное обеспечение (ППО) и специальное программное обеспечение (СПО), разрабатываемое под требования функциональных задач для уполномоченных пользователей. Схематично деление программного обеспечения: Рисунок 1. 1 - Схема деление программного обеспечения 9
Общее программное обеспечение включает операционную систему, систему управления базами данных, программы антивирусной защиты и т. д. Схема деления общего программного обеспечения представлена на рисунке 1. 2. Состав ОПО определяется их функциональным назначением и требованиям по информационной безопасности, которые могут использоваться при создании автоматизированных систем обработки ПДн. Ключевым элементом ОПО является операционная система, которая накладывает ограничения на возможность использования остальных программных продуктов из состава ОПО, а также СПО. Рисунок 1. 2 - Схема деления общего программного обеспечения 10
Обследование информационной системы обработки персональных данных в ООО «Спец. Элемент» Работы по обеспечению безопасности ПДн при их обработке в ИСПДн являются неотъемлемой частью работ по созданию ИСПДн и должны осуществляться в виде создаваемой системы (подсистемы) защиты персональных данных (СЗПДн). Перечень обязательных организационных и технических мероприятий, направленных на обеспечение безопасности персональных данных, для типовых систем определяется категорией и объемом обрабатываемых в системе ПДн, а для специальных – совокупностью актуальных угроз. Мероприятия по обеспечению безопасности ПДн должны сочетать в себе реализацию правовых, организационных и технических мер защиты, причем все они одинаково значимы, а невыполнение одних требований сводит на нет результаты реализации других. 11
СЗПДн включает организационные меры и технические средства защиты информации. Алгоритм определения требований по обеспечению безопасности ПДн в ИСПДн представлен на рисунке 2. 1. Рисунок 2. 1 - Алгоритм определения требований по обеспечению безопасности ПДн в ИСПДн 12
Структура СЗИ СЗПДн 13
Основные назначения информационной структуры ООО «Спец. Элемент» : • ведение бухгалтерского учета; • ведение кадрового учета; • сбор, учет, накопление, хранение, обработка и анализ информации, связанной с деятельностью ООО «Спец. Элемент» ; • формирование отчетов, относящихся к деятельности ООО «Спец. Элемент» ; • организация электронного документооборота. 14
Логическая схема информационной инфраструктуры ООО «Спец. Элемент» Рисунок 2. 3 - Логическая схема информационной инфраструктуры 15
Программное обеспечение ООО «Спец. Элемент» В ООО «Спец. Элемент» используется сертифицированное программное обеспечение (таблица 2. 1), так же имеются лицензионное и программные продукты свободного распространения (таблица 2. 2). 16
17
Экономико-организационный раздел • Результаты расчетов затрат на разработку программного продукта : №п/п Наименование статьи Сметная стоимость, руб. 1 Материальные затраты 39208 2 Затраты на оплату труда 78873 3 Отчисления в ФСС 28078 4 Амортизация оборудования 1825 5 Накладные расходы 118310 Итого 266294 В рамках организационно-экономической части были проведены расчеты по трудозатратам работ создания программного обеспечения. Были проведены расчеты по следующим статьям затрат: материальные затраты; основная заработная плата исполнителей дополнительная заработная плата исполнителей; отчисления на социальное страхование; амортизационные отчисления; накладные расходы. 18
БЖД и экологичность • Кондиционирование воздуха - это особый вид приточно-вытяжной механической вентиляции, обеспечивающий автоматическое поддержание в закрытых помещениях параметров воздуха. Для этого применяются специальные агрегаты - кондиционеры. • Конструктивно кондиционеры Gree устанавливаются в оконных проемах обслуживаемого помещения. План размещения кондиционеров Gree по схеме “сверху - вверх” представлен на рисунке 4. 4. 19
Заключение В результате дипломного проектирования построена защищенная информационная сеть обработки персональных данных в ООО «Спец. Элемент» . При проектировании был произведен учет всех особенностей обеспечения безопасности персональных данных. • Для достижения поставленной цели в работе были решены следующие задачи: • Проведение подробного анализа законодательной и нормативно-правовой базы в области безопасности персональных данных; • Проведение обзора современных программно-технических решений по созданию ИСПДн; • Проведение обследования существующей информационной системы ООО «Спец. Элемент» ; • Составление модели угроз и модели нарушителя; • Создание технического облика системы защиты информации в ООО «Спец. Элемент» . • Разработанные в рамках дипломного проекта технические решения закончены и реализованы в ООО «Спец. Элемент» , что подтверждается прилагаемым актом внедрения. 20
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ • • • • • Анисимова И. Н. , Стельмашонок Е. В. Защита информации. Учебное пособие. - 2002. Анисимова И. Н. Защита информации. Методические указания по выполнению лаб. работ для студентов всех специальностей. - 2001. Анисимова И. Н. Защита информации. Метод. указания по изучению дисциплины и контрольные задания для студентов заочной формы обучения. Специальность 521400. - 2001. Анин Б. Ю. Защита компьютерной информации. - СПб. : БХВ-Санкт-Петербург, 2000. - 384 с. Ярочкин В. И. Безопасность информационных систем (Безопасность предпринимательства). - М. : Ось-89, 2006. - 318 с. Теоретические основы компьютерной безопасности. : Учеб. пособие для вузов. / Девянин Н. Н. , Михальский О. О. и др. - М. : Радио и связь, 2000. - 192 с. Нечаев В. И. Элементы криптографии. Основы теории защиты информации. : Учеб. пособие для ун-тов и пед. вузов. - М. : Высшая школа, 2009. - 109 с. Уваров О. Государственная и коммерческая тайна и инсайдерская информация. //Рынок ценных бумаг. - № 7(166). - М. , 2000. - С. 66 -69. Домарев В. В. Защита информации и безопасность компьютерных систем. - К. : Издательство «Диа. Софт» , 2009. Барсуков В. С. , Водолазний В. В. Современные технологии безопасности. - М. : «Нолидж» , 2000. - 496 с. Как построить защищенную информационную систему. / Под науч. ред. Зегжды Д. П. и Платонова В. В. - СПб. : Мир и семья, 2007. Программно-аппаратные средства обеспечения информацион-ной безопасности. Защита программ и данных. : Учебное посо-бие для вузов. / Белкин П. Ю. , Михальский О. О. , Першаков А. С. и др. - М. : Радио и связь, 2009. - 168 с. Программно-аппаратные средства обеспечения информацион-ной безопасности. Защита в операционных системах. : Учеб. пособие для вузов. / Проскурин В. Г. , Крутов С. В. , Мацке-вич И. В. - М. : Радио и связь, 2000. - 168 с. Мельников В. Защита информации в компьютерных системах. - М. : Финансы и статистика, Электрониинформ, 2007. Атака на Internet. / Медведовский И. Д. , Семьянов П. В. и др. - М. : ДМК, 2009. Безопасность глобальных сетевых технологий. - СПб. : Изд-во СПб. ГУ, 2009. Защита информации в компьютерных системах и сетях. / Ро-манец Ю. В. , Тимофеев И. А. , Шаньгин В. Ф. - М. : Радио и связь, 2009. - 328 с. 21