Характеристика структуры и деятельности объекта защиты ОГУ
Введение
Современное высшее учебное заведение представляет собой сложную систему, для которой характерно сосредоточение большого объема электронных ресурсов, разнообразие внутренних и внешних информационных связей, сетевое взаимодействие компонентов. Высокие темпы информатизации образования приводят к значительным изменениям в системе управления вузом. Важным видом информации, обрабатываемой в информационных системах вузов, безопасность которой необходимо обеспечить в соответствии с требованиями законодательства РФ, являются персональные данные (ПДн). Единая база данных вуза содержит персональные данные сотрудников, абитуриентов, аспирантов, студентов и их родителей, а также субъектов, имеющих договорные отношения с вузом. Персональные данные относятся к информации ограниченного доступа, так как могут содержать различного рода тайны: врачебную, коммерческую, личную и т.д. При этом ПДн, обрабатываемые в вузе, относятся к различным категориям: специальным (сведения о состоянии здоровья); биометрическим (фотографии); иным (паспортные данные, номера страховых, налоговых, свидетельств, сведения о доходах и другие). В условиях широкого развития сетевых информационных технологий, значительного увеличения числа пользователей, роста киберугроз обеспечение безопасности персональных данных образовательных учреждений при их обработке в информационных системах является актуальной задачей современного вуза. Проблемы информационной безопасности персональных данных, обрабатываемых в вузе, обусловлены следующими факторами: высокими темпами информатизации образования, ведущими к усложнению структуры информационных систем вуза; возрастанием объемов обрабатываемых ПДн, добавлением новых удаленных пользователей ИСПДн за счет таких возможностей, как личные кабинеты преподавателей, обучающихся, родителей; изменением состава и содержания внешних и внутренних угроз безопасности ПДн за счет повышения востребованности сетевого доступа к информационных ресурсам вуза; отсутствием регулярного аудита защищенности ПДн вуза с последующей модернизацией системы защиты; отставанием изменений в технических и организационных аспектах обеспечения защиты ПДн вуза от изменяющихся угроз информационной безопасности [16].
Содержание
Введение……………………………………………………………………… 3
1 1 Характеристика структуры и деятельности объекта защиты ОГУ……….. 4
1.1 Описание структуры ОГУ……………………………………………… 4
1.2 Характеристика ИАС ОГУ……………………………………………… 6
1.3 Характеристика подсистемы «Библиотека»…………………………… 12
2 Характеристика структуры вычислительной системы ОГУ ……………… 16
2.1 Характеристика вычислительной сети библиотеки…………………… 16
2.2 Описание защищаемых ресурсов………………………………………. 19
2.3 Схема информационных потоков подсистемы «Библиотека»……….. 20
3 Анализ системы защиты ПДН библиотеки … …………………………….. 22
4 Построение модели нарушителя и модели угроз безопасности персональных данных в вузе………………………………………………….. 26
4.1Классификация нарушителей…………………………………………… 26
4.2 Определение источников угроз и объектов воздействия угроз безопасности персональных данных…………………………………………. 28
4.3 Определение уровня исходной защищенности ИСПДн………………. 30
4.4 Определение частоты реализации угроз безопасности ИСПДн……… 31
5 Технико-экономическое обоснование совершенствования системы комплексной защиты персональных данных вуза…………………………… 33
5.1 Техническое обоснование………………………………………………. 33
5.2 Экономическое обоснование…………………………………………… 34
5.3 Социальный эффект…………………………………………………….. 36
6 Разработка структурной схемы системы защиты ПДн вуза……………… 38
Заключение…………………………………………………………………….. 41
Список используемых источников …………………………………………… 42
Приложение А………………………………………………………………….. 44
Приложение Б …………………………………………………………………. 51
Приложение В …………………………………………………………………. 52
Список использованных источников
1. Аверченков, В.И. Защита персональных данных в организации / В.И.Аверченков, М.Ю. Рытов, Т.Р. Гайнулин. – Москва.: ФЛИНТА, 2016. – 124 с. – Библиогр.: с. 107-109.
2. Аджемов, А. С. Организация работы с персональными данными. [монография] / [А. С. Аджемов, Е. Н. Голованова, А. А. Новиков]; Московский технический ун-т связи и информатики. - Москва: ИПК МТУСИ, 2010. - 211 с.: табл.; 21 см.
3. Алексашина, М.Н. Защита персональных данных как условие обеспечения безопасности личности / М.Н. Алексашина // Право и безопасность. – 2014. – № 1 – С. 68–73.
4. Анализ. Моделирование угроз обработчика ПДн / [Электронный ресурс] / Режим доступа: http://www.anti-malware.ru/node/13660#.
5. Анонс заседания Межведомственной комиссии Совета Безопасности РФ от 14.12.2015. [Электронный ресурс]. – Режим доступа: http://www.scrf.gov.ru/news/19/998.html – (дата обращения: 5.12.2020).
6. Бабелюк Е.Г. Механизм правового регулирования персональных данных // Ленинградский юридический журнал. 2020. № 4(62). С. 127–137.
7. Борисов, М. А. Особенности защиты персональных данных в трудовых отношениях. / М. А. Борисов. - 2-е изд. – Москва.: URSS: ЛЕНАНД, 2017. - 221 с. – ISBN 978-5-9710-3860-3.
8. Брауде-Золотарев М. Ю. Персональные данные в государственных информационных ресурсах/ М. Ю. Брауде-Золотарев, Е. С. Сербина, В. С. Негородов, И. Г. Волошкин. – Москва.: Дело, 2016. – 53с.
9. Бурькова, Е.В. Система защиты персональных данных в высшем учебном заведении / Е.В. Бурькова // Интеллект. Инновации. Инвестиции. – 2017. – №7 – С.69-74.
10. Бурькова, Е. В. Анализ подходов к аудиту защищенности информационной системы персональных данных / Бурькова Е.В., Хрыкина Н. А. // Университетский комплекс как региональный центр образования, науки и культуры: материалы Всерос. науч.-практ. конф. – 2017. – 5 с.
11. Бурькова, Е.В. Задача оценки защищенности информационных систем персональных данных / Е.В. Бурькова // Вестник Чувашского университета. – 2016. – №1– С.112-118.
12. Бурькова, Е. В. Организация работ по защите персональных данных /
Е. В. Бурькова // Оренбургский гос. ун-т. – 2018. – 125 с.
13. Волошин, И.П. Защита информации в информационных системах персональных данных / И.П. Волошин // Информационная безопасность регионов. – 2016. – № 1 – С. 12-15.
14. Воробьев, Е. Г. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных / Воробьев Е. Г. - Изд. 3-е, перераб. - Санкт-Петербург.: Интермедия, 2016. - 432 с.
15. Гудкова, О. Ю Особенности правового регулирования защиты персональных данных работника: магистерская дисс.: защищена: 2016 / О. Ю. Гудкова – Москва, 2016. –108 с.
16. Дупан (Гутникова) А. С. Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет / А. С. Дупан (Гутникова), С. В. Титова, А. Б. Жулин и др.]; под ред. А. С. Дупан (Гутниковой); Высш. шк. экономики-нац. исслед. ун-т. – Москва.: Издательский дом Высшей школы экономики, 2016. – 344 с.
17. Киберсейф Межсетевой экран. Функции / [Электронный ресурс] / Режим доступа: http://сybersafesoft.сom/rus/produсts/сybersafe-firewall/features/
18. Корниенко, Е.Ю. Создание системы защиты персональных данных /
Е.Ю. Корниенко, А.С. Подорожко // Современные проблемы радиоэлектроники и телекоммуникаций. – 2018. – №1 – С.201
19. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: Руководящий документ ФСТЭК России 14.02.2008 г // Федеральная служба по техническому и экспортному контролю: офиц. сайт ФСТЭК России, 2014. – Режим доступа: http://www.fstec.ru.
20. Мираев А.Г. Понятие персональных данных в Российской Федерации и за рубежом // Юридическая наука. 2019. № 5. С. 76.
21. О персональных данных: федеральный закон от 27.07.2006 № 152-ФЗ.
22. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных: Постановление правительства РФ от 1 ноября 2012 г. № 1119
23. Опыт использования межсетевого экрана «Киберсейф» для защиты ИСПДн / [Электронный ресурс] / Режим доступа: https://xakep.ru/2015/04/28/195-сyber-safe/.
24. Петренко, В.И. Защита персональных данных в информационных системах. Практикум. Учебное пособие / В.И. Петренко, В. И. Мандрица. – Издательство: Лань, 2019 – 108 с. – Библиогр. в кн. – ISBN: 978-5-8114-3311-7.
25. Практическая обработка персональных данных – Автоматизированная обработка / [Электронный ресурс] Режим доступа: http://pdseс.ru/mmenu.php?id=249.
26. Результаты глобального исследования утечек конфиденциальной информации в первом полугодии 2020 года / [Электронный ресурс]/ [05.12.20]/Режим доступа: https://www.infowatch.ru/presscenter/news/20726;
27. Саматов К. М. Персональные данные работников организации и их защита: учебное пособие / К. М. Саматов. — [б. м.]: Издательские решения, 2018. — 88 с. — ISBN 978-5-4474-6183-6.
28. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утв. решением Коллегии Гостехкомиссии России от 2 февраля 2001 г. № 7.2.
29. Терещенко Л. К., Тиунов О.И. Правовой режим персональных данных // Журнал российского права. 2014. 2.С. 42–49.
Модель защиты данных ИР автоматизированных систем высшего учебного заведения строится на основе анализа обрабатываемой информации, выявления актуальных угроз и способов их устранения. Исследования показали, что наиболее уязвимыми являются персональные данные сотрудников и обучающихся. Модели угроз и нарушителей строятся в соответствии с базовой моделью угроз и методикой определения актуальных угроз безопасности ПДн при их обработке в информационных системах персональных данных; б) определение коэффициента реализуемости для каждой угрозы и вероятность ее возникновения; в) определение типа защищаемых данных и исходный уровень их защищенности. Мероприятия позволяют обоснованно применить определенные методы и средства защиты и, в то же время, дают возможность исключить перечень неактуальных угроз.Действующие государственные нормативные документы определяют базовый набор организационных и технических мер защиты ПДн. Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации [22].