Теория и методология защиты информации в управлении федеральной службы государственной регистрации, кадастра и картографии по Челябинск

Автор: Пользователь скрыл имя, 16 Апреля 2012 в 09:46, курсовая работа

Описание работы

Целью руководителя Ростреестра является обеспечение надежной защиты информации на предприятии для его нормального функционирования. Поэтому цель моей работы заключается в разработке концепции защиты информации в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Челябинской области, которая могла бы стать основой для формирования комплексной системы защиты информации на этом предприятии, при этом соответствовала требованиям к системе безопасности Ростреестра и помогала избежать неоправданных расходов и возрастания вероятности угроз.

Содержание

1. Введение 4
2. Краткая характеристика (паспорт) предприятия 6
3. Модель системы защиты информации на предприятии 18
4. Информационно-аналитический обзор 29
4.1. Цели и задачи защиты информации в Росреестре
по Челябинской области 29
4.2. Основные объекты и предметы защиты на предприятии 30
4.3. Факторы, влияющие на защиту информации на предприятии 32
4.4. Возможные угрозы защищаемой информации в Росреестре
и их структура 33
4.5. Источники, виды и способы дестабилизирующего воздействия
на защищаемую информацию 34
4.6. Причины дестабилизирующего воздействия на защищаемую
информацию 39
4.7. Каналы и методы несанкционированного доступа к защищаемой
информации на предприятии 41
4.8. Основные направления, методы и средства защиты информации
на предприятии 44
5. Заключение 51
6. Список использованной литературы 53
ПРИЛОЖЕНИЕ А. Примерные этапы защиты персональных
данных 55
ПРИЛОЖЕНИЕ Б. Методика вычисления вероятности реализации
угроз 57
ПРИЛОЖЕНИЕ В. Правило отнесения угрозы безопасности
персональных данных к актуальным 59
ПРИЛОЖЕНИЕ Г. Актуальность угроз 60
ПРИЛОЖЕНИЕ Д. Методика определения актуальных угроз
безопасности персональных данных 63
ПРИЛОЖЕНИЕ Е. Определение актуальных угроз безопасности
персональных данных 66
ПРИЛОЖЕНИЕ Ж. Приказ «О назначении ответственных за
обработку персональных данных» 68
ПРИЛОЖЕНИЕ И. Приказ «Об утверждении Положения о хранении
и использовании персональных данных работников» 70
ПРИЛОЖЕНИЕ К. Заявление на обработку персональных данных 71
ПРИЛОЖЕНИЕ Л. Лекции по теории информационной безопасности
и методологии защиты информации, прочитанные Рагозиным А.Н. 73

Скачать полностью (1.98 Мб) Сколько стоит заказать работу?
Работа содержит 1 файл

КУРСОВАЯ Чирковой О.А..docx

— 2.10 Мб (Скачать)

   Знание  возможностей методов и средств  защиты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации.[2, C. 273-275]

 

   

5. Заключение

   Любая система организации защиты информации включает в себя комплекс уже разработанных  мер, охватывающих совокупность всех видов  деятельности, направленных на совершенствование  обеспечения сохранности с учетом быстротечности изменений внешних и внутренних условий и описывающих порядок действий для конкретных лиц или подразделений. Поэтому крайне важно ознакомление с полученной информацией.

   Например, знание объектов и предметов защиты информации в Ростреестре позволит максимально точно определить цели и задачи разрабатываемой системы  защиты информации, а знания методов  и средств защиты информации от угроз  позволит правильно применить их в сложных ситуациях. Стоит так  же отметить насколько важно правильное использование правовых, организационных, программно-аппаратных и инженерно-технических мер защиты конфиденциальной информации.

   Анализ  вероятных угроз, а также их моделирование  позволить в кротчайшие сроки  применить необходимые меры по защите информации. При этом характеристика предприятия поможет оценить вероятность выполнения мер защиты, наличие методического материала, материального обеспечения, готовность службы безопасности и персонала выполнить все необходимые меры. Знание недостатков в обеспечении сохранности конфиденциальной информации поможет спланировать дальнейшие мероприятия по обеспечению защиты информации.

   Таким образом, я могу сделать вывод, что  полученная информация не только поможет  определиться с целями и задачами создания службы безопасности, но и усовершенствовать уже имеющуюся и спланировать дальнейшие мероприятия по защите конфиденциальной и общедоступной информации в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Челябинской области.

   Для обеспечения работоспособности  разработанной системы защиты информации необходимо:

  1. Гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).
  2. Грифы секретности проставить на все документы, относящиеся к государственной тайне.
  3. Дополнить технические средства защиты информации, а именно установить средства, защищающие от прослушивания телефонных переговоров, биометрические установки, для осуществления пропускного режима к выделенному помещению.
  4. Периодически проводить тренинги с сотрудниками, на которых им объясняется важность защиты конфиденциальной информации.

 

   

  1. Список  использованной литературы
  2. Алексенцев А.И. Понятие и структура угроз защищаемой информации/ А.И.Алексенцев // Безопасность информационных технологий. – 2000. – № 3. – С. 79 – 85.
  3. Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд–во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.
  4. Инженерно-техническая защита информации (ИТЗИ) –  Информационная безопасность [Электронный ресурс] – Режим доступа: http://itsecblog.ru/inzhenerno-texnicheskaya-zashhita-informacii/ – Загл. с экрана.
  5. Информационная безопасность. Организационные основы защиты информации на предприятии [Электронный ресурс] – Режим доступа: http://all-ib.ru/content/osnovi-zasiti-informacii/osnovi_zasiti_informacii_part_1.html – Загл. с экрана.
  6. Классификация угроз информационной безопасности. С.В. Вихорев [Электронный ресурс] – Режим доступа: http://www.elvis.ru/files/class.pdf
  7. Лекции по теории информационной безопасности и методологии защиты информации, прочитанные Рагозиным Андреем Николаевичем.
  8. Организация защиты коммерческой тайны на предприятии – Пензенский деловой портал [Электронный ресурс] – Режим доступа: http://www.penza-job.ru/view/17.html – Загл. с экрана.
  9. Российская Федерация. Законы. О государственной тайне: федер. Закон: [от 21.07.1993 № 5485-1; в ред. От 18.07.2009].- КонсультантПлюс. – (http://www.consultant.ru).
  10. Российская Федерация. Законы. О персональных данных: федер. Закон: [от 27.07.2006 № 152-ФЗ; принят Гос.Думой 08.07.2006; в ред. От 23.12.2010].- КонсультантПлюс.- (http://www.consultant.ru).
  11. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации: федер. Закон: [от 27.07.2006 № 149-ФЗ; в ред. От 27.07.2010].- КонсультантПлюс. – (http://www.consultant.ru).
  12. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282.
  13. Управление рисками: обзор употребительных подходов [Электронный ресурс] – Режим доступа: http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/upravlenie-riskami-obzor-upotrebitelnyh-podhodov – Загл. с экрана.

 

   

    ПРИЛОЖЕНИЕ А

    Примерные этапы защиты персональных данных.

    № п/п Наименование  этапа Результат
    1 Создание специальной  комиссии организации оператора персональных данных Приказ о  создании комиссии
    2 Инвентаризация  информационных ресурсов Акт инвентаризации информационных ресурсов
    3 Согласие субъектов  на обработку их персональных данных Письменное  согласие
    4 Пересмотр договоров Договора с  работниками и клиентами, где обязательные пункты по обработке персональных данных и их распространение
    5 Формирование  перечня персональных данных и установление сроков их обработки Перечень персональных данных с указанием сроков их обработки
    6 Ограничение доступа  сотрудников к персональным данным Перечень лиц, допущенных к работе с персональными  данными
    7 Классификация информационных систем персональных данных Акт проведения классификации ИСПДн
    8 Создание и  отправка уведомления о начале обработки  персональных данных в уполномоченный орган Уведомление Россвязькомнадзора о начале обработки персональных данных
        ПРИЛОЖЕНИЕ А
     
    9    		 Получение лицензии ВСТЭК на техническую защиту конфиденциальной информации при наличии информационных систем 1 и 2 класса Лицензия ВСТЭК  на техническую защиту конфиденциальной информации или договор о создании такой системы с лицензиатом ВСТЭК о создании системы защиты персональных данных
    10 Формирование  модели угроз персональным данным Модель угроз  персональным данным
    11 Проектирование  и ввод в эксплуатацию системы защиты персональных данных Акт сдачи-приемки  и ввода в эксплуатацию системы  защиты персональных данных и пакет  документов, отражающий организационные и технические меры по защите персональных данных на основе закона
    12 Аттестация  ИСПДн Аттестат соответствия требованиям безопасности информации на объекте информатизации
    13 Контроль за соблюдением требований регуляторов по защите персональных данных Акты проведения внутреннего аудита защиты персональных данных

 

 

    ПРИЛОЖЕНИЕ Б

    Методика  вычисления вероятности  реализации угрозы.

   Вероятность реализации угрозы – это определяемый экспериментальным путем показатель, характеризующий, на сколько вероятным является реализация конкретной угрозы безопасности персональных данных для данной ИСПДн в определенных условиях.

   Для высокой степени защищенности: у1=0

   Для средней защищенности: у1=5

   Для низкой защищенности: у1=10

   Существует  четыре вербальных градации показателя вероятности:

        1. Маловероятно, если отсутствуют объективные предпосылки для осуществления угрозы.
        2. Низкая вероятность, если объективные предпосылки для реализации угрозы существует, но принятые меры существенно затрудняют ее реализацию.
        3. Средняя вероятность, если объективные предпосылки существуют, но принятые меры обеспечения безопасности персональных данных недостаточны.
        4. Высокая вероятность, если объективные предпосылки для реализации угрозы существуют и меры по их обеспечению безопасности персональных данных не приняты.

   В каждой градации вероятности возникновения  угрозы соответствует коэффициент у2:

      1. у2=0
      2. у2=2
      3. у2=5
      4. у2=10
 

   ПРИЛОЖЕНИЕ Б

   Коэффициент реализуемости угрозы рассчитывается по следующей формуле: 

   Кроме числового коэффициента есть и вербальная интерпретация реализуемости угрозы:

     – возможность реализации угрозы (ВРУ) признается низкой.

     – ВРУ средняя.

     – ВРУ высокая.

     – ВРУ очень высокая.

   При оценке опасности на основе опроса экспертов определен вербальный показатель опасности для рассматриваемой ИСПДн:

    1. Низкая – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных.
    2. Средняя – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных.
    3. Высокая – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

 

    ПРИЛОЖЕНИЕ  В

    Правило отнесения угрозы безопасности персональных данных

    к актуальным.

Возможность реализации угрозы Показатели  опасности угрозы
Низкая Средняя Высокая
Низкая Неактуальная  угроза Неактуальная  угроза Актуальная  угроза
Средняя Неактуальная  угроза Актуальная  угроза Актуальная  угроза
Высокая Актуальная  угроза Актуальная  угроза Актуальная  угроза
Очень высокая Актуальная  угроза Актуальная  угроза Актуальная  угроза

 

 

 

    ПРИЛОЖЕНИЕ  Г

    Актуальность  угроз

№ п/п Наименование  угрозы Вероятность возникновения угрозы Коэффициент возникновения угрозы Коэффициент реализуемости угрозы Возможность реализации угрозы Опасность угрозы Обоснования вероятности  реализации угрозы и ее опасности Актуальность угрозы
1 Внесение фальсифицированной информации Средняя 5 0,5 Средняя Средняя Возникновение данной угрозы среднее, т.к. информация вносится оператором на основе документов, предоставляемых клиентом. Возникновение угрозы допускается только при некачественной проверке документов. В данном случае опасность признается средней, т.к. информация подлежит тщательной проверке в будущем. Актуальная
2 Угроза использования информации в открытых публичных выступлениях Маловероятна 0 0,25 Низкая Низкая Возникновение данной угрозы маловероятно, т.к. информация не выносится за пределы баз данных данного предприятия. Возникновение угрозы допускается только при случайном речевом воспроизведении Неактуальная
              ПРИЛОЖЕНИЕ  Г
              персональных  данных сотрудником. В случае речевого воспроизведения информации, относящейся к персональным данным, опасность признается низкой, т.к. информация будет касаться одного субъекта персональных данных и будет неполной.  
3 Заражение программ обработки информации вредоносными программами Низкая 2 0,35 Средняя Средняя Вероятность возникновения  данной угрозы низкая, т.к. на предприятии  установлены программы, защищающие компьютер от вредоносных носителей, такие как антивирус NOD32 и система Zlock. Возникновение угрозы допускается, только если вредоносная программа нового поколения, на которое не разработаны защитные средства. В случае появления новых вирусов, на которые не разработаны защитные средства, опасность признается средней, т.к. базы данных хранятся в нескольких экземплярах. Актуальная
              ПРИЛОЖЕНИЕ  Г
4 Нарушение режима работы источников питания Маловероятна 0 0,25 Низкая Низкая Вероятность возникновения  данной угрозы маловероятна, т.к. на предприятии  установлены камеры внутреннего наблюдения. Возникновение угрозы допускается только в результате нарушений по неосторожности. В случае повреждения по неосторожности опасность признается низкой, т.к. квалифицированные кадры немедленно восстановят питание. Неактуальная
5 Создание аварийных ситуаций для носителей (пожог, искусственное затопление). Маловероятна 0 0,25 Низкая Высокая Вероятность возникновения  данной угрозы маловероятна, т.к. на предприятии  установлены камеры внутреннего наблюдения. Возникновение угрозы допускается только при некачественной работе службы безопасности. В случае повреждения опасность признается высокой т.к. данные аварийные ситуации наносят повреждения не подлежащие восстановлению. Актуальная

Информация о работе Теория и методология защиты информации в управлении федеральной службы государственной регистрации, кадастра и картографии по Челябинск