Защита персональных данных в группе контроля и учета сдельных работ ПАО МГТС
Введение
Персональные данные, уязвимы как информация, в бумажном и электронном виде, к атакам хищения, осуществляемым как внешними, так и внутренними нарушителями с целью промышленного шпионажа, вымогательства, поддержки преступных организаций, вандализма, отмщения или хвастовства. Хищение персональных данных, может привести к потере интеллектуальной собственности, раскрытию конфиденциальной информации клиентов, снижению репутации компании и привлечению к ответственности за несоблюдение установленных правовых норм.
Данное публичное акционерное общество является часть телекоммуникационной отрасли, а группа контроля и учета сдельных работ, занимается обработкой персональных данных абонентов, что накладывает на акционерное общество ответственность за хранимые им документы содержащие персональные данные. В свою очередь это означает, что предприятие должно обеспечивать повышенную защиту персональных данных абонентов. Однако информационная безопасность некогда не бывает совершенна.
Оглавление
Введение 3
I Аналитическая часть 4
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 4
1.1.1. Общая характеристика предметной области. 4
1.1.2. Организационно-функциональная структура предприятия. 9
1.2 Анализ рисков информационной безопасности 16
1.2.1. Идентификация и оценка информационных активов. 17
1.2.2. Оценка уязвимостей активов. 22
1.2.3 Оценка угроз активам. 30
1.2.4 Оценка существующих и планируемых средств защиты. 47
1.2.5. Оценка рисков. 52
1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 66
1.3.1 Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков, характеристика существующих средств информационной безопасности 66
1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 67
1.4 Выбор защитных мер 68
1.4.1 Выбор организационных мер 68
1.4.2 Выбор инженерно-технических мер 70
II. Проектная часть 73
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 73
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 73
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия 76
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 78
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 78
2.2.2 Контрольный пример реализации проекта и его описание 85
III. Обоснование экономической эффективности проекта 86
3.1 Выбор и обоснование методики расчёта экономической эффективности 86
3.2 Расчёт показателей экономической эффективности проекта 94
Заключение 101
Список используемой литературы 102
Список используемой литературы
1. https://mgts.ru/company/foundation/;
2. https://mgts.ru/company/documents/corporate-documents/;
3. Устав Публичного Акционерного Общества «Московская городская телефонная сеть» (редакция № 18);
4. Методы оценки рисков информационной безопасности — СКБ Контур (kontur.ru);
5. ГОСТ Р ИСО/МЭК 27005-2010: Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (standartgost.ru) ;
6. ГОСТ Р 51241 – 2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний;
7. https://www.dahuasecurity.com/ru/products/productDetail/18891;
8. https://www.citilink.ru/product/kamera-videonablyudeniya-hikvision-hiwatch-ds-t503a-2-8-mm-1472143/?gclid=EAIaIQobChMI07yOxbmC9gIV2ACiAx3l1wJ3EAAYAiAAEgLPXPD_BwE;
9. https://camerakit.ru/catalog/kupolnaya-ahd-5mp-1944p-videokamera-pst-ahd301f;
10. https://ps-link.ru/catalog/videonablyudenie/kamery_videonablyudeniya/ahd_videokamery/kupolnye_ahd_videokamery/457/?roistat=merchant31_u_124158205800_online:ru:RU:457&roistat_referrer=&roistat_pos=&gclid=EAIaIQobChMIxvC0nbqC9gIVyxV7Ch3qTgXvEAQYASABEgIiE_D_BwE;
11. https://redutsb.ru/product/hiwatch-ds-h104g/?utm_source=google&utm_medium=cpc&utm_campaign=g||16130362992&utm_content=580835804370||133117194716||||&utm_term=ds%20h104g||e||kwd-377360585274&gclid=EAIaIQobChMIkMbkv7qC9gIVDHAYCh3ENAMcEAAYASAAEgKNsPD_BwE;
12. https://deviceden.ru/sistemy-videonablyudeniya/dahua-nvr2104-4ks2.html?gclid=EAIaIQobChMI2oD12rqC9gIV7xJ7Ch2D7gdSEAAYASAAEgKr3_D_BwE&utm_source=google&utm_medium=cpc&utm_campaign=DAHUA_vysokocastotnye_Rossia&utm_term=nvr2104%204ks2.
13. https://www.kaspersky.ru/small-to-medium-business-security/endpoint-advanced.
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов. Наиболее общей формой представления ресурса является денежная мера. Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.