Изучение методов и средств защиты обрабатываемых персональных данных в сервисном центре «Сириус»

Содержание

Введение 3

Глава 1 Теоретические аспекты организации защиты информации и персональных данных 5

1.1 Информационная безопасность в рамках функционирования современного предприятия 5

1.2 Обзор законодательства в области защиты персональных данных 17

1.3 Основные аспекты обеспечения безопасной обработки персональных данных 21

Глава 2 Анализ текущей организации защиты информации в сервисном центре «Сириус» 26

2.1 Анализ деятельности и программно-аппаратного оснащения сервисного центра «Сириус» 26

2.2 Выполнение анализа актуальных угроз информационной безопасности 31

2.3 Описание текущих недостатков в области обработки персональных данных в сервисном центре «Сириус» 39

Глава 3 Разработка рекомендаций по совершенствованию механизмов защиты конфиденциальной информации 41

3.1 Выбор состава организационных средств обеспечения защиты конфиденциальной информации 41

3.2 Выбор состава совершенствованию технических средств обеспечения информационной безопасности 49

3.3 Выбор состава совершенствованию программных средств обеспечения информационной безопасности 52

Заключение 65

Список использованных источников 67

Список использованных источников

1 Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации [Текст]: федер. Закон [Принят Гос. Думой 8 июля 2006 года: Одобрен Советом Федерации 14 июля 2006 года]. – М.: Инфра- М, 2006. - 16 с.; 20 см. - (Федеральный закон; Вып. 38 (364)).; ISBN 5-16-002879-X.

2 ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий = Ч. 1. Введение и общая модель: [Текст]. - Взамен ГОСТ Р ИСО/МЭК 15408-1-2008; введен 2013-12-01. – М.: Стандартинформ, 2014. - V, 50 с.; 29 см.

3 ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий = Ч. 2. [Текст]. - Взамен ГОСТ Р ИСО/МЭК 15408-2-2008: введен 2014-09-01. – М.: Стандартинформ, 2014. - V, 155, [1] c.; 29 см.

4 ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий = Ч. 3. Компоненты доверия к безопасности [Текст]. - Взамен ГОСТ Р ИСО/МЭК 15408-32008: введен 2014-09-01. – М.: Стандартинформ, 2014. - V, 145, [1] c.; 29 см.

5 Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями).

6 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

7 Федеральный закон от 30.12.2020 № 519-ФЗ (последняя редакция) "О внесении изменений в Федеральный закон "О персональных данных".

8 Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ.

9 Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

10 Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (с последующими изменениями).

11 Приказ ФСБ России от 10 июля 2014 г. № 378  «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

12 Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

13 Приказ ФСТЭК России от 05.09.2013 №996 "Об утверждении требований и методов по обезличиванию персональных данных".

14 Баранова, Е. К. Информационная безопасность и защита информации [Текст]: учеб. пособие / Е. К. Баранова, А.В. Бабаш. - 3-е изд., перераб. и доп. - М.: РИОР: ИНФРА-М, 2017. - 322 с. - ISBN 978-5-369-01450-9.

15 Васильева, И. Н.  Криптографические методы защиты информации: учебник и практикум для вузов / И. Н. Васильева. — Москва: Издательство Юрайт, 2020. — 349 с.

16 Внуков, А. А.  Защита информации: учебное пособие для вузов / А. А. Внуков. — 3-е изд., перераб. и доп. — Москва: Издательство Юрайт, 2020. — 161 с.

Работа с аномальным поведением и возникновением аномальных событий в рамках информационного пространства организации подразумевает не только осуществление их обнаружения с последующим информированием, но и обязательная фиксация всех выявленных событий в журнале. В данном случае обязательно должно быть указано точное время обнаружения инцидента или угрозы, данные сотрудника или оборудования, выполнивших обнаружение, категорию возникшего события, затронутые активы, ожидаемые сроки и результаты устранения проблемы, а также перечень выполненных для устранения проблемы действий. 
Для современных предприятий выполнение мониторинга инцидентов вручную являются давно устаревшим, и при этом неэффективным методом. Возникновение аномального поведения может произойти в период в несколько секунд, поэтому для их фиксации требуется молниеносная реакция. Именно поэтому для задач данного рода применяют автоматизированные решение, осуществляющие подобного