Разработка комплексной системы защиты ООО “МедЛаб”
ВВЕДЕНИЕ
Цель данной выпускной квалификационной работы заключается в разработке комплексной системы защиты информации объекта ООО “МедЛаб”.Реализация данной работы позволит улучшить методы защиты информации в организации.Во время создания комплексной системы защиты необходимо придерживаться определенных методологических принципов проведения исследований, проектирования, производства, эксплуатации. Системы защиты информации являются сложными системами, и для их построения применяются способы и методы, применимые для данной конкретной области решаемых задач.Систему защиты необходимо спроектировать так, чтобы она обеспечивала надлежащую степень защищенности данных.В первом разделе работы представлена общая характеристика предприятия, проведены выбор и обоснование модели злоумышленника, выбор и обоснование моделей защиты объекта, анализ и систематизация уязвимостей.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
Аналитическая часть
1 Характеристика предприятия
2 Цели и задачи предприятия
3 Функции предприятия
4 Анализ информации, обрабатываемой на предприятии
5 Виды угроз информации
6 Модель нарушителя
7 Выводы
Теоретическая часть
1 Организационно-правовое направление защиты
2 Программно-аппаратные направление защиты
3 Инженерно-технические направление защиты
4 Требования к АС
5 Требования к ксзи в области выполнения требований, регламентирующих обработку персональных данных
6 Выводы
Проектная часть
1 Структурная и функциональная схемы КСЗИ объекта
2 Организационно-правовые мероприятия
3 Инженерно-технические меры защиты информации
3.1 Установка и размещение охранной сигнализации
3.2 Выбор средств видеоконтроля для объекта защиты
3.3 Выбор системы приема и обработки видеоизображения
Экономическая часть
1 Выбор и обоснование методики расчета экономической эффективности проекта
2 Расчет рисков информационной системы на основе модели угроз и уязвимостей до внедрения средств защиты
3 Модель угрозы и уязвимости после внедрения системы безопасности на предприятии
Выводы
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1.Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
2. Постановление Правительства РФ от 15 сентября 2008г. № 687 об утверждении “Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
3.ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России;
4.ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России;
5.ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России;
6.ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
7.Галатенко, В.А. Стандарты информационной безопасности: справ. пособие / В. А. Галатенко - М. : Интернет-университет информационных технологий, 2006. - 328 c.
8.Грибунин, В.Г. Комплексная система защиты информации на предприятии : учебное пособие для вузов / В. Г. Грибунин, В.В.Чудовский. - М. : Издательский центр «Академия», 2009. - 416 с.
9.Куприянов, А. И. Основы защиты информации: учеб. Пособие для студ. высш. учеб. заведений/ А.И.Куприянов, А.В.Сахаров, В. А. Шевцов - М.: Издательский центр «Академия», 2006. - 256 с.
10.Петраков, А.В. Основы практической защиты информации: учебное пособие / А.В.Петраков - М. : Радио и связь, 2004.-368с.
11.Попов, Л.И., Зубарев А.В. Основные принципы повышения эффективности реализации мероприятий по комплексной защите информации. «Альтпресс», 2009. -512c.
12.Семкин, С. Н. Защита информации. Основы информационной безопасности объектов: курс лекций / С. Н. Семкин - Орел. : ВИПС, 2000. - 269 с.
При обработке различных категорий персональных данных для каждой категории персональных данных рекомендуется использовать отдельный материальный носитель.Определение и документальное фиксирования перечня (списка) работников, осуществляющих обработку персональных данных в ИСПДн либо имеющих доступ к персональным данным.Возможно существование перечня (списка) в электронном виде при условии предоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации порядке.Доступ работников организации к персональным данным и обработка персональных данных работниками организации осуществляется только для выполнения их должностных обязанностей.Работники организации, осуществляющие обработку персональных данных в ИСПДн, информируются о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также ознакомляются под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей.