ВВЕДЕНИЕ 2

ГЛАВА 1. ОБЗОР ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 6

1.1 АНАЛИЗ ЗАКОНОВ И НОРМАТИВНЫХ АКТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 6

1.2 АНАЛИЗ ДОКУМЕНТОВ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ ПО ЗАЩИТЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ 13

1.2 ПОДСИСТЕМЫ И ТРЕБОВАНИЯ К БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ 20

ГЛАВА 2 ОБСЛЕДОВАНИЕ ИСПДН И РАЗРАБОТКА ПРОЕКТА СИСТЕМЫ ЗАЩИТЫ ПДН. 21

2.1 ОБСЛЕДОВАНИЕ ИСПДН 21

2.1. 1. Общие сведения 21

2.1.2. Сведения о ЛВС и ТКС Управления и наличии программно-аппаратного обеспечения. 22

2.1.3. Логическая организация сети Управления 24

2.1.4. Объекты и субъекты защиты 25

2.1.5 Классификация ИСПДн 26

2.1.6 Понижение класса ИСПДн 27

2.1.7 Определение уровня исходной защищенности ИСПДн АСУ «Управления Федеральной службы судебных приставов по Тюменской области» 27

2.2 РАЗРАБОТКА ПРОЕКТА СИСТЕМЫ ЗАЩИТЫ ИСПДН 31

2.2.1 Организационные меры обеспечения безопасности 31

2.2.2 Анализ средств защиты информации для информационных систем персональных данных 32

2.2.2 Технические меры защиты 32

ГЛАВА 3 РЕАЛИЗАЦИЯ ПРОЕКТА СИСТЕМЫ ЗАЩИТЫ ПДН 38

3.1 ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНАЯ ДОКУМЕНТАЦИЯ 38

3.2 УГРОЗЫ УТЕЧКИ ИНФОРМАЦИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ. 39

3.2.1. Угрозы утечки информации по каналам ПЭМИН. 41

3.2.2 Угрозы несанкционированного доступа. 42

3.2.3. Общая характеристика источников угроз НСД 43

ЗАКЛЮЧЕНИЕ 46

СПИСОК ЛИТЕРАТУРЫ 47

Приложение 1 Требования к классу ИСПДн при многопользовательском режиме обработки ПДн и разными правами доступа к ним разных пользователей

Приложение 2 Акт классификации ИСПДн «Приставы исполнители»

Приложение 3 Акт классификации ИСПДн «Приставы исполнители»

Приложение 4 Акт классификации ИСПДн «Розыск»

Приложение 5 План разработки организационно-распорядительной документации

Приложение 6 Сравнительная таблица СЗИ, используемых для защиты ИСПДн

Приложение 7 Инструкция Администратора

Приложение 8 Инструкция пользователя

Приложение 9 Порядок использования информационно-телекоммуникационной сети Интернет

Не секрет, что любая организация должна соответствовать множеству законов, подзаконных актов, нормативных документов, стандартов и других установленных требований. Часть из них является обязательной к исполнению, часть – рекомендованной (но соответствие им могут стать конкурентным преимуществом). Следование третьим рекомендациям позволяет, например, снизить издержки за счет оптимальной организации бизнес-процессов. Несоответствие же установленным требованиям может иметь самые разные последствия – от высоких издержек или упущенной выгоды до штрафов и приостановки деятельности. Персональную ответственность в ряде таких случаев несет руководство организации.

Требования к защите информации определяются ее обладателем, а также государством в отношении государственной и иных тайн.

В соответствии со статьями 23 и 24 Конституции Российской Федерации каждый человек имеет право на неприкосновенность частной жизни, личную и семейную тайну. При этом сбор, хранение, использование и распространение персональных данных без согласия лица не допускаются.

В обеспечение этих статей Конституции выпущен Федеральный закон 152-ФЗ, в котором установлена необходимость защиты прав и свобод человека и гражданина при обработке его персональных данных. Согласно требованиям этого закона организация, обрабатывая персональные данные сотрудников, клиентов, партнеров и других субъектов в своих информационных системах, обязана реализовать мероприятия по их защите.

Детальные требования по защите персональных данных (ПДн), обязательные для выполнения, приводятся в подзаконных нормативно-правовых и нормативно-методических документах, разрабатываемых Правительством РФ, ФСТЭК и ФСБ России.

Перечень защитных мер дифференцирован и зависит от установленного класса информационной системы, в которой обрабатываются персональные данные (ИСПДн), и актуальных угроз, направленных на нарушение защищаемых свойств ПДн

В общем случае, организации должны:

• создать систему защиты ИСПДн, в которой осуществляется обработка персональных данных, и провести оценку ее соответствия установленным требованиям (аттестацию);

• получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации;

• осуществить работы по защите речевой конфиденциальной информации (в случае, если персональные данные воспроизводятся по акустическому каналу).

Применимость создаваемой системы защиты не ограничивается ИСПДн. Спроектированная с учетом лучших мировых практик в области обеспечения информационной безопасности (ИБ), она легко расширяется для защиты других важных информационных (автоматизированных) систем организации

Создание системы защиты ИСПДн осуществляется в несколько этапов.

На первом этапе проводится обследование ИСПДн, ее классификация и задание конкретных требований по ее защите.

• Затем проводится проектирование создаваемой системы – разрабатываются необходимые проектные, эксплуатационные и организационно-распорядительные документы по обеспечению информационной безопасности. Организационные меры являются важным и одним из эффективных средств защиты информации, одновременно являясь фундаментом, на котором строится в дальнейшем вся система защиты.

Далее осуществляется внедрение системы защиты ИС. Проводится поставка необходимых средств обеспечения ИБ и их пуско-наладка, обучение персонала организации по вопросам защиты информации, внедрение разработанных организационных мер.

На четвертом этапе создания системы защиты ИСПДн оценивается ее соответствие установленным требованиям по ИБ путем проведения внешнего аудита (аттестации) и оказывается содействие в получении документов, разрешающих осуществлять обработку персональных данных.

Целью данной дипломной работы является:

• Разработка проекта системы защиты обеспечивающей информационную безопасность персональных данных в информационных системах персональных данных Управления Федеральной службы судебных приставов по Тюменской области

Для достижения поставленной цели необходимо выполнение следующие задачи:

• Провести анализ нормативных документов по защите персональных данных

• Осуществить обзор требований к защите персональных данных

• Провести обследование ИСПДн

• Разработать проект в котором были бы предложены конкретные варианты создания системы защиты персональных данных

В ходе работы над дипломной работой использовалась информация, отражающая содержание законов, законодательных актов и нормативных актов, постановлений Правительства Российской Федерации, ФСБ a так же ФСТЭК России, регулирующих требования и методы обеспечения безопасности персональных данных.

Актуальность данной темы обуславливается следующим:

• значительное увеличение правонарушений, связанных с утечками персональных данных в организациях (компаниях);

• появление новых угроз и уязвимостей;

• стремление Государства регламентировать деятельность по защите персональных данных;

• отсутствие единого понимания отдельными представителями бизнеса, проблемы защиты персональных данных;

• неоднозначная трактовка некоторых положений нормативных документов ФСТЭК и ФСБ;

• увеличение тяжести последствий утечки ПДн;

• появление технологий, позволяющих правонарушителям воспользоваться полученными персональными данными;

• персональные данные стали объектом торга.

Практическая значимость работы определяется: тем, что данный проект позволит организовать на предприятии систему защиты ИСПДн соответствующую предъявляемым ей требованиям.

1. О персональных данных: Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ // Российская газета. – 2006. – 29 июля. – С.1.;

2. Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных: Постановление Правительства РФ от 17 ноября 2007 г. № 781// Российская газета. – 2007. – 29 ноября. – С.1.;

3.Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн, Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн, Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн: Документы ФСТЭК России от 15 февраля 2008 г. (гриф ДСП)

4. Государственный реестр сертифицированных средств защиты информации: Документ ФСТЭК России от 31 марта 2009 г. № РОСС RU.0001.01БИ00 [Электронный ресурс] / Официальный сайт ФСТЭК России. - www.fstec.ru;

5. Описание продуктов VipNet. [Электронный ресурс] / Официальный сайт ОАО «Инфотекс». - Режим доступа: www.infotecs.ru ;

6. Описание продуктов SecretNet. [Электронный ресурс] / Официальный сайт ОАО «Информзащита». - www.infosec.ru ;

7. Сергеев, Р. А. Защита персональных данных в информационных системах // Журнал сетевых решений-LAN [Электронный ресурс] / Р. А. Сергеев. - 2009. –www.osp.ru .

8. Описание продукта Zlock. [Электронный ресурс] / Официальный сайт ОАО «SecureIT». - www.secureit.ru ;

9. Описание продуктов eToken. [Электронный ресурс] / Официальный сайт ОАО «Aladdin». - www. aladdin.ru.

10. Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282;

11. Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденное постановлением Совета Министров Правительства от 15.09.93г. N 912-51;

12. Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

13. Указ Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 года № 188;

Примечаний нет.