Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности


Скачать 3.1 Mb.
Название Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности
страница 1/21
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
  1   2   3   4   5   6   7   8   9   ...   21


РОССИЙСКАЯ ФЕДЕРАЦИИЯ

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ООБРАЗОВАНИЯ

«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК

КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Допустить к защите в ГАК

Заведующий кафедрой информационной безопасности

д.т.н. профессор

А.А. Захаров

(подпись)

«___» ________20__ г.


Евдокимов Павел Андреевич

АНАЛИЗ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В ГОСУДАРСТВЕННОМ УЧРЕЖДЕНИИ.

(Выпускная квалификационная работа)


Научный руководитель:

Старший преподаватель

К.А. Бажин

(подпись)

Автор работы:

П.А.Евдокимов

Тюмень, 2014

Оглавление


Оглавление 3

Введение 6

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 13

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ 20

Нормативно правовая база по защите персональных данных. 26

Федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ. 26

Постановление Правительства № 687 27

Постановление Правительства № 1119 27

Приказ ФСТЭК №21 28

Приказ ФСТЭК №17 29

Базовая модель угроз безопасности персональных данных и Методика определения актуальных угроз 29

Общие положения 31

Объекты угроз 38

Основные ресурсы, содержащие персональные данные 38

Модель нарушителя 40

Описание нарушителей безопасности ПДн 40

Внешние нарушители 41

Описание каналов атак 42

Внутренние нарушители 43

Зарегистрированные пользователи ИСПДн 44

Предположения об имеющейся у нарушителя информации об объектах атак. 45

Предположения об имеющихся у нарушителя средствах атак 45

Описание каналов атак 46

Основными объектами атак являются: 47

Определение типа нарушителя 47

Идентификация уязвимых звеньев 50

Идентификация уязвимых по отношению к НСД звеньев ИСПДн 50

Определение актуальных угроз безопасности ПДн 55

Определение уровня исходной защищенности ИСПДн 55

Вероятность реализации угроз ЗС 57

Опасность реализации угроз ЗС 58

Определение необходимого уровня защищенности ПДн 63

Требования к обеспечению безопасности ПДн по приказам ФСТЭК №17 и №21 65

Актуальный перечень угроз ЗС 65

Организационные меры защиты персональных данных 65

Технические меры защиты персональных данных 68

Защита от утечек по каналам побочных электромагнитных излучений и наводок 68

Защита от утечек видовой информации 69

Защита от несанкционированного доступа к информации, содержащей персональные данные. 69

Заключение 76

Список использованной литературы 77

Приложение №1 78

Приложение №2 80

Приложение №3 102

Приложение №4 110


  1. Инструкция по организации защиты информации автоматизированной информационной системы ПФР (далее – Инструкция) разработана в соответствии с требованиями «Концепции безопасности информации автоматизированной информационной системы ПФР».

  2. Инструкция определяет цели и основные задачи защиты информации автоматизированной информационной системы (АИС) Пенсионного фонда Российской Федерации, основные требования и единый порядок ее организации в органах ПФР.

  3. Нормативной базой Инструкции являются федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, регулирующие вопросы безопасности информации.

  4. Инструкция является нормативным документом ПФР, обязательным для выполнения (в части касающейся) всеми работниками системы ПФР.

  5. Лица, виновные в нарушении правил обеспечения защиты информации АИС, могут быть привлечены к дисциплинарной ответственности.

  6. Лица виновные в нарушении безопасности информации АИС ПФР могут быть привлечены к административной или уголовной ответственности в соответствии с действующим законодательством Российской Федерации.

  7. Целью защиты информации АИС ПФР является достижение ее безопасности, то есть состояния защищенности информации от внешних и внутренних угроз, характеризуемого способностью персонала, технических средств и информационных технологий обеспечить в процессе обработки ее конфиденциальность целостность, доступность и аутентичность.

  8. Защите подлежит вся циркулирующая в АИС ПФР информация. Методы и меры защиты ресурсов определяются дифференцированно, исходя из их важности, особенностей реализации и использования. Защита общедоступной информации производится только в целях обеспечения ее целостности, доступности и аутентичности.

  9. Цель защиты информации АИС ПФР достигается решением следующих задач:

  • реализация комплекса мер по предотвращению противоправного получения информации Пенсионного фонда или ее несанкционированной передачи (распространения);

  • своевременное обнаружение фактов несанкционированного доступа к информации и предотвращение неавторизованного (неполномочного) воздействия на информационные ресурсы;

  • недопущение воздействия на технические средства обработки и хранения информации, нарушающего их функционирование;

  • предупреждение неблагоприятных последствий нарушения порядка доступа к информации;

  • обеспечение восстановления в приемлемые срокиинформации после не предусмотренной технологией ее обработки модификации, в том числе уничтожения.

  1. Защите подлежат:

  • техническое и программное обеспечение автоматизированной информационной системы ПФР;

  • информационно-телекоммуникационная сеть ПФР;

  • информационные ресурсы, представленные в виде носителей на различной физической основе, информативных физических полей, информационных массивов и баз данных;

  • помещения, в которых размещаются носители или средства обработки защищаемой информации;

  • все технические средства и системы, размещенные в помещениях, в которых обрабатывается (циркулирует) информация ограниченного доступа;

  • система защиты информации.

  1. Выполнение задач защиты информации в АИС ПФР обеспечивается организацией эффективной системы защиты информации – комплексным применением организационных и технических (программно и аппаратно реализуемых) мероприятий:

  • созданием системы нормативных (руководящих) документов по организации защиты;

  • четким распределением ответственности в вопросах защиты информации между должностными лицами и работниками органов системы ПФР;

  • установлением персональной ответственности работников органов системы ПФР за обеспечение безопасности обрабатываемой информации;

  • организацией выполнения подразделениями, должностными лицами и работниками органов ПФР требований нормативных документов по защите информации;

  • юридической защитой безопасности информации при ее предоставлении сторонним организациям;

  • своевременным выявлением угроз безопасности информации и принятием соответствующих мер защиты;

  • дифференцированием мер защиты в зависимости от степени угрозы и важности объекта защиты;

  • комплексным применением программно и аппаратно реализованных средств защиты информации от несанкционированного доступа к ней и от специальных воздействий на информационные ресурсы в целях их уничтожения, искажения, блокирования или фальсификации;

  • регламентированием порядка применения средств ввода-вывода информации и контролем его выполнения;

  • содержанием актуальных резервных копий информационных ресурсов;

  • применением прикладных программных продуктов, отвечающих требованиям обеспечения защиты информации;

  • содержанием штата специалистов по защите информации, организацией эффективной системы их профессиональной подготовки и повседневной деятельности;

  • организацией контроля доступа в помещения и здания ПФР, их охраной в нерабочее время;

  • проведением аттестации помещений, специальных исследований и специальных проверок технических средств ПФР;

  • систематическим анализом безопасности информации и совершенствованием системы её защиты;

  • эффективной противопожарной защитой;

  • приданием мероприятиям защиты информации характера обязательных элементов производственного процесса ПФР, а требованиям по их исполнению – элементов производственной дисциплины;

  • глубоким знанием и пониманием работниками требований безопасности информации.

  1. Применение технических средств защиты информации в ПФР основано на принципах безопасности, правомочности и эффективности. Используемые средства должны соответствовать требованиям всех указанных принципов.

  2. Безопасность. Применяемые технические средства защиты должны иметь сертификат компетентных государственных органов (организаций):

  • отсутствия деструктивного воздействия на защищаемую информацию или возможности их использования для такого воздействия;

  • обеспечения требуемого уровня защищенности.

  1. Правомочность. Для обеспечения защиты информации ПФР используются лицензированные или свободно распространяемые программные средства защиты.

  2. Эффективность. Защита информации должна обеспечивать положительный результат, соотносимый с затратами ресурсов на ее реализацию.

  3. В ПФР комплексно применяются организационные и технические методы защиты информации АИС ПФР.

  4. К числу основных организационных методов защиты информации, применяемых в ПФР, относятся:

  • разработка системы нормативных (руководящих) документов по защите информации;

  • документальное оформление требований к защите информации;

  • определение порядка отнесения данных к информации ограниченного доступа;

  • определение перечня защищаемых помещений;

  • минимизация перечня лиц, допущенных к информации ограниченного доступа;

  • учет и контроль перемещения носителей информации ограниченного доступа;

  • контроль допуска в здания работников и посетителей;

  • нормативное определение порядка обмена информацией ограниченного доступа с другими организациями;

  • организация допуска к информационным ресурсам;

  • организация контролируемой зоны и видеонаблюдения помещений и прилегающей к зданиям территории; разграничение прав доступа к информационным ресурсам;

  • минимизация выхода побочных излучений за пределы контролируемой зоны;

  • доведение до пользователей АИС ПФР требований по защите информации и обучение их правилам работы в АИС.

  1. К числу основных технических методов защиты информации, применяемых в ПФР, относятся:

  • использование корпоративной информационно-телекоммуникационной сети;

  • шифрование данных при передаче и хранении (криптографическая защита);

  • использование электронной цифровой подписи;

  • аутентификация пользователей вычислительных средств и информационных ресурсов;

  • резервное копирование данных;

  • авторизация доступа к информации;

  • применение межсетевых защитных (фильтрующих) экранов;

  • использование протоколов, обеспечивающих маршрутизацию сообщений;
  1   2   3   4   5   6   7   8   9   ...   21

Похожие:

Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Разработка распределенной системы автоматизированного обнаружения уязвимостей в программном обеспечении
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Разработка защищенного корпоративного портала для Филиала ООО «лукойл-инжиниринг» «Когалымнипинефть» в г. Тюмени
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
В данной работе описан процесс разработки и реализации проекта аттестации автоматизированной системы
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Все больше информации различного рода становится общедоступной, но информация – это не всегда благо и некоторые данные могут также...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Дисциплина «Сети и Интернет-технологии» относится к вариативной части Профессионального цикла ( В. 17)
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon «Тюменский государственный университет» Список профессорско-преподавательского...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon «донской государственный технический университет» (дгту) Кафедра «Иностранные языки»
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Министерство образования и науки российской федерации федеральное государственное бюджетное образовательное учреждение высшего профессионального...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Кафедра детских инфекционных болезней
Федеральное государственное бюджетное образовательное учреждение высшего образования «Ставропольский государственный медицинский...
Федеральное государственное бюджетное образовательное учреждение высшего профессионального ообразования «тюменский государственный университет» институт математики и компьютерных наук кафедра информационной безопасности icon Федеральное государственное бюджетное образовательное учреждение...
«Совершенствование операционных систем организации на основе методологии бережливого производства»

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск