 |
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
Требования ко 3 уровню защищенности
- Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
- обеспечение сохранности носителей персональных данных
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
- назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе
Таблица 6 – Требования к УЗ 2
| Условное обозначение и номер меры | Содержание мер по обеспечению безопасности персональных данных | УЗ-3 |
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + |
| ИАФ.З | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + |
Продолжение таблицы 6
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + |
| УПД.З | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + |
| IV. Защита машинных носителей персональных данных (ЗНИ) | ||
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | + |
Продолжение таблицы 6
| V. Регистрация событий безопасности (РСБ) | + | |
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + |
| РСБ.З | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + |
| РСБ. 7 | Защита информации о событиях безопасности | + |
| VI. Антивирусная защита (АВЗ) | ||
| АВ3.1 | Реализация антивирусной защиты | + |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + |
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | + | |
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + |
| XI. Защита среды виртуализации (ЗСВ) | ||
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + |
Окончание таблицы 6
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + |
| XII. Защита технических средств (ЗТС) | + | |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + |
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||
| ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + |
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | ||
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | + |
| УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | + |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | + |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | + |
Заключение
В данной курсовой работе рассмотрен комплексный анализ информационной безопасности объекта защиты информационных ресурсов объекта. Изложены основные сведения, которые требуются для организации такой защиты. Среди них и теоретическая база, и практические решения информационной безопасности такие как: схема информационных активов, организационно-правовая защита информации предприятия.
Главной целью злоумышленника является получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т.д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к потери таких важных атрибутов информации как: целостность, конфиденциальность, доступность. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. Полный объем сведений о деятельности конкурента не может быть получен только каким-нибудь одним из возможных способов доступа к информации.
Способы защиты информационных ресурсов должны представлять собой целостный комплекс защитных мероприятий. Целью данной курсовой работы было проведение анализа комплексной системы защиты информации
Список литературы
1 Постановление от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
2 Приказ от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
3 Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
4 Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» С изменениями и дополнениями от: 2 февраля, 18 декабря 2006 г., 24 июля 2007 г. 11 июля 2011 г., 12 марта 2014 г.
5 Постановление правительства от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Приложение 1
Соглашение
о неразглашении ПДн
Я, _______________________, обязуюсь получать доступ к ПДн работников (клиентов) ООО ««Страйк»», обладающих конфиденциальной ценностью в силу неизвестности третьим лицам, которые могли бы получить выгоду от разглашения или использования ПДн не передавать или разглашать эти данные третьим лицам. В случае попытки третьих лиц получить от меня информацию обязуюсь сообщить о данном факте службу безопасности или руководителя. Я предупрежден об ответственности за разглашении или незаконное использование ПДн. В случае нарушения этого соглашения буду нести дисциплинарную ответственность по ст. 81 ТК РФ ч.1 п.6 вплоть до увольнения с работы. А также административная, уголовная ответственность в соответствии со статьей 137 УК РФ.
Подпись_________ Дата_________
Приложение 2
УТВЕРЖДАЮ
Директор ООО «Страйк»
____________ Фатхутдинова А.И
«___»_____________2015г.
Инструкция №
по антивирусной защите
Общие положения
1.1 Инструкция по организации антивирусной защиты ИСПДн разработана в соответствии с ФЗ №149 от 27.07.2006 «Об информации, и информационных технологиях и о защите информации».
1.2 Настоящая инструкция предназначена для организации порядка проведения антивирусного контроля в ООО «Страйк»с целью предотвращения несанкционированных вредоносных воздействий на информационные ресурсы ООО «Страйк».
Поиск по сайту: