2018-01-21
549
Содержание
Введение.......................................................................................................... 7
Сокращенные обозначения.......................................................................... 9
1. Нормативно-методическая база........................................................ 10
2.1. Пред проектное обследование информационных систем............. 18
2.2. Анализ организации безопасности ПДн....................................... 19
2.3. Анализ обрабатываемых ПДн....................................................... 21
2.5. Сведения об ИСПДн...................................................................... 33
2.6. Классификация ИСПДн................................................................. 35
2.7. План помещений............................................................................ 40
2.8. Частная модель угроз безопасности персональных данных........ 42
2.9. Выводы по пред проектному обследованию................................ 44
3. Разработка комплекта организационно-распорядительной документации для ИСПДн.......................................................................................................... 47
4. Техническое проектирование............................................................. 54
4.1. Техническое задание...................................................................... 54
|
|
|
4.1.2. Подсистема регистрация и учета..................................................... 60
4.1.3. Подсистема обеспечения целостности аппаратной, программной среды и обрабатываемых данных........................................................................... 60
4.1.4. Подсистема обеспечения безопасного межсетевого взаимодействия 61
4.2. Проектное решение.......................................................................... 62
4.3. Внедрение средств защиты информации...................................... 64
4.3.1. Подсистема управления доступом......................................... 65
4.3.2. Подсистема регистрации и учета........................................... 67
4.3.3. Подсистема обеспечения целостности................................... 67
4.3.4. Подсистема обеспечения безопасного межсетевого взаимодействия 69
4.3.5. Дополнительные меры защиты.............................................. 71
5. Аттестация информационных систем персональных данных....... 74
6. Заключение........................................................................................... 77
СПИСОК ЛИТЕРАТУРЫ............................................................................. 78
ПРИЛОЖЕНИЕ 1 "Акт обследования"
ПРИЛОЖЕНИЕ 2 "Приказ об организации работ по обеспечению безопасности персональных данных"
ПРИЛОЖЕНИЕ 3 "Положение об обработке персональных данных"
ПРИЛОЖЕНИЕ 4 "Инструкция по обработке запросов субъектов ПДн"
ПРИЛОЖЕНИЕ 5 "Приказ об утверждении конфиденциальной информации"
ПРИЛОЖЕНИЕ 6 "Перечень персональных данных"
ПРИЛОЖЕНИЕ 7 "Перечень оборудования"
ПРИЛОЖЕНИЕ 8 "Перечень информационных систем персональных данных"
ПРИЛОЖЕНИЕ 9 "Приказ о комиссии и Протокол заседания "
ПРИЛОЖЕНИЕ 10 "Акт классификации"
ПРИЛОЖЕНИЕ 11 "Перечень информационных ресурсов"
|
|
|
ПРИЛОЖЕНИЕ 12 "Матрица доступа"
ПРИЛОЖЕНИЕ 13 "Описание техпроцесса"
ПРИЛОЖЕНИЕ 14 "Приказ о контролируемой зоне"
ПРИЛОЖЕНИЕ 15 " Приказ о внутренней проверке "
ПРИЛОЖЕНИЕ 16 "Инструкция о режимах"
ПРИЛОЖЕНИЕ 17 "Требования по обеспечению безопасности ПДн"
ПРИЛОЖЕНИЕ 18 "Частная модель угроз"
ПРИЛОЖЕНИЕ 19 "Техническое задание на создание СЗПДн"
ПРИЛОЖЕНИЕ 20 "Проектное решение на создание СЗПДн"
ПРИЛОЖЕНИЕ 21 "План мероприятий по защите персональных данных"
ПРИЛОЖЕНИЕ 22 "Приказ о вводе в эксплуатацию"
ПРИЛОЖЕНИЕ 23 "Технический паспорт"
ПРИЛОЖЕНИЕ 24 "Программа и методика аттестационных испытаний"
ПРИЛОЖЕНИЕ 25 "Заключение по результатам испытаний"
ПРИЛОЖЕНИЕ 26 "Аттестат соответствия"
Аннотация
Дипломная работа Егоровой Ирины Сергеевны на тему «Разработка и внедрение комплекса мер по защите персональных данных в ГКУЗ «Ямало-Ненецкого окружного специализированного Дома ребенка».
Научный руководитель: к.т.н., доцент кафедры ИБ Широких А.В.
Работа включает в себя 1030 (без диплома) страницы отчета в составе:
· введения;
· 5 глав;
· заключения;
· списка литературы;
· 26 приложений;
· 3 рисунков;
· 19 таблиц;
Объектом исследования является ИСПДн ГКУЗ «Ямало-Ненецкого окружного специализированного Дома ребенка».
Цель работы - Разработка СЗПДн
Для достижения цели был проведен ряд мероприятий, направленных на:
· изучение действующего законодательства Российской Федерации в области защиты персональных данных;
· обследование автоматизированных рабочих мест и общего состояния организации защиты информации в ИСПДн;
· проведение комплексного обследования состояния защищенности ИСПДн;
· разработку комплекта организационно-распорядительной документации;
· написание технического проекта на систему защиты персональных данных
· внедрение средств защиты информации в ИСПДн;
· проведение аттестации;
Результатом работы стало обеспечение защиты персональных данных во всех ИСПДн ГКУЗ «Ямало-Ненецкого окружного специализированного Дома ребенка» в полном соответствии всем современным требованиям российского законодательства в области обеспечения защиты персональных данных.
Введение
По законодательству Российской Федерации основным документом по обеспечению защиты персональных данных является ФЗ-152 от 27.07.2006 «О персональных данных», согласно которому любая организация-оператор должна защищать информацию о своих работниках и клиентах. В соответствии с требованиями законодательства необходимо проводить разработку комплекта организационно-распорядительной, технической и аттестационной документации, соответствующего нормативно-правовым актам Российской Федерации в области обеспечения защиты персональных данных.
В данной дипломной работе будет произведена разработка и внедрение комплекса мер по защите ПДн на примере государственного казенного учреждения здравоохранения «Ямало-Ненецкого окружного специализированного Дома ребенка» (далее ГКУЗ «ЯНОСДР»). ГКУЗ «ЯНОСДР» является оператором ПДн. Ранее организация заказывала работу по проведению аттестации информационной системы персональных данных (ИСПДн) и разработке документации. Но со временем организация расширила парк рабочих мест, и следовательно, потребовались повторные мероприятия по защите ПДн, которые будут осуществляться в соответствии в новым Приказом № 21.
Поэтому целью данной дипломной работы является разработка СЗПДн. Для реализации поставленной цели были выбраны следующие задачи:
1. Определить требования к организации защиты персональных данных в соответствии с нормативно-правовыми актами.
|
|
|
2. Обследование автоматизированных рабочих мест и общего состояния организации защиты информации в ИСПДн.
3. Комплексный анализ ИСПДн. Определить исходную защищенность учреждения.
4. Разработка комплекта организационно-распорядительной документации.
5. Привести документы и техническую защиту учреждения в соответствии с требованиями законодательства РФ в области защиты персональных данных.
6. Разработать систему защиты персональных данных.
7. Внедрение средств защиты информации.
8. Проведение аттестации.
Сокращенные обозначения
АРМ - автоматизированное рабочее место
АC - автоматизированная система
БД - база данных
ВТСС - вспомогательные технические средства и системы
ИСПДн - информационная система персональных данных
КЗ - контролируемая зона
НСД - несанкционированный доступ к информации
ОС - операционная система
ПДн - персональные данные
ПМВ - программно-математическое воздействие
ПО - программное обеспечение
ПЭМИН - побочные электромагнитные излучения и наводки
РД - руководящий документ
СЗИ - средство защиты информации
СЗПДн - система защиты персональных данных
ТЗ - техническое задание
ТКУИ - технические каналы утечки информации
УБПДн - угрозы безопасности персональных данных
ФСТЭК России - Федеральная служба по техническому и экспортному контролю.
