«Анализ и аудит защищенности информации, циркулирующей в системе документооборота на предприятии фку «Налог-Сервис» фнс россии в Тюменской области»

Аннотация 2

Обозначения и сокращения 4

Введение 5

Глава 1. Анализ информационной системы. 6

1.1.Описание предприятия. 6

1.2.Схема системы документооборота. 8

1.3.Структура и особенности сети предприятия. 9

1.4.Информационные ресурсы. 11

Глава 2. Разработка частной модели угроз. 14

2.1.Описание ИСПДн. 14

2.1.1.Организация физической безопасности объектов (охрана). 14

2.1.2.Описание объектов безопасности, требующих защиты. 15

2.2.Анализ и классификация источников угроз информации, циркулирующей на объекте. 17

2.3.Модель нарушителя. 19

2.3.1.Внешние нарушители. 19

2.3.2.Внутренние нарушители 20

2.4.Анализ предполагаемой квалификации нарушителя 22

2.5.Определение актуальных угроз безопасности ПДн в ИСПДн. 24

2.5.1.Расчет исходной защищенности. 24

2.6.Частная модель угроз. 30

Глава 3. Разработка политики информационной безопасности и организационно-распорядительной документации. 32

3.1. Правовая основа обеспечения ИБ предприятия. 32

3.2. Цели обеспечения безопасности информации на предприятии. 33

3.3. Цели и задачи политики информационной безопасности. 34

3.4. Порядок внутреннего анализа рисков. 34

3.4.1. Аудит информационной безопасности. 35

3.5. Должностные обязанности администраторов. 36

3.5.1. Обязанности администратора информационной безопасности. 36

3.5.2. Обязанности системного администратора 37

3.6. Планирование мероприятий по информационной безопасности для компонент автоматизированной системы. 38

3.6.1. Предпроектная стадия. 38

3.6.2. Стадия разработки/приобретения. 38

3.6.3. Стадия установки. 39

3.6.4. Стадия функционирования и поддержки. 40

3.6.5.Стадия списания. 40

3.7.Физическая безопасность. 41

3.7.1. Защита центров данных и компьютерных залов. 43

3.7.2. Правила использования рабочего стола. 44

3.7.3. Источники электропитания. 44

3.7.4. Защита оборудования, используемого за пределами предприятия. 45

3.8.Технические средства. 46

3.8.1. Требования к подсистеме идентификации. 46

3.8.2. Требования к подсистеме аутентификации. 46

3.8.3. Требования к парольной подсистеме. 47

3.8.4. Требования к системам регистрации сетевых событий. 49

3.9Функциональные средства. 50

3.7.1. Работа с персоналом. 50

3.7.2. Планирование непрерывной работы. 51

3.7.3. Средства поддержки программных приложений. 52

3.7.4. Средства обеспечения целостности информации. 52

4.6.5.Документирование. 54

4.6.6.Осведомлённость и обучение специалистов. 54

4.6.7.Действия в случаях возникновения происшествий. 55

Заключение 56

Список используемой литературы 57

1.Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»; 57

2.Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»; 57

3.Постановление Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»; 57

4.Гражданский кодекс Российской Федерации (ГК РФ); 57

5.Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»; 57

6.Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»; 57

7.ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа»; 57

8.ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»; 57

9.ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; 57

10.ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»; 57

11.ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»; 57

12.ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»; 57

13.ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»; 58

14.ГОСТ Р ИСО/МЭК 27001-2005 «Информационные технологии. Технологии безопасности. Система управления информационной безопасностью»; 58

15.Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 15 февраля 2008 года; 58

16.Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 14 февраля 2008 года; 58

17.Нормативно-методический документ «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный приказом директора ФСТЭК России от 05 февраля 2010 года №58; 58

18.Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России. 2002 год; 58

19.Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 года №781; 58

20.Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года №687; 58

21.Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения». Гостехкомиссия России. 1992 год; 59

22.Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». Гостехкомиссия России. 1992 год; 59

23.Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года №188 (с изменениями и дополнениями от 23 сентября 2005 года). 59