АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция
|
Требования ко 3 уровню защищенности
- Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
- обеспечение сохранности носителей персональных данных
- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
- назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе
Таблица 6 – Требования к УЗ 2
Условное обозначение и номер меры
| Содержание мер по обеспечению безопасности персональных данных
| УЗ-3
| ИАФ.1
| Идентификация и аутентификация пользователей, являющихся работниками оператора
| +
| ИАФ.З
| Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
| +
|
Продолжение таблицы 6
ИАФ.4
| Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
| +
| ИАФ.5
| Защита обратной связи при вводе аутентификационной информации
| +
| ИАФ.6
| Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
| +
|
| II. Управление доступом субъектов доступа к объектам доступа (УПД)
|
| УПД.1
| Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
| +
| УПД.2
| Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
| +
| УПД.З
| Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
| +
| УПД.4
| Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
| +
| УПД.5
| Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
| +
| УПД.6
| Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
| +
| УПД.10
| Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
| +
| УПД.11
| Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
| +
| УПД.13
| Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
| +
| УПД.14
| Регламентация и контроль использования в информационной системе технологий беспроводного доступа
| +
| УПД.15
| Регламентация и контроль использования в информационной системе мобильных технических средств
| +
| УПД.16
| Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
| +
|
| IV. Защита машинных носителей персональных данных (ЗНИ)
|
| ЗНИ.8
| Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
| +
|
Продолжение таблицы 6
V. Регистрация событий безопасности (РСБ)
| +
| РСБ.1
| Определение событий безопасности, подлежащих регистрации, и сроков их хранения
| +
| РСБ.2
| Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
| +
| РСБ.З
| Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
| +
| РСБ. 7
| Защита информации о событиях безопасности
| +
| VI. Антивирусная защита (АВЗ)
|
| АВ3.1
| Реализация антивирусной защиты
| +
| АВ3.2
| Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
| +
| VIII. Контроль (анализ) защищенности персональных данных (АНЗ)
| +
| АНЗ.1
| Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
| +
| АНЗ.2
| Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
| +
| АНЗ.3
| Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
| +
| АНЗ.4
| Контроль состава технических средств, программного обеспечения и средств защиты информации
| +
| XI. Защита среды виртуализации (ЗСВ)
|
| ЗСВ.1
| Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
| +
| ЗСВ.2
| Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
| +
| ЗСВ.3
| Регистрация событий безопасности в виртуальной инфраструктуре
| +
| ЗСВ.9
| Реализация и управление антивирусной защитой в виртуальной инфраструктуре
| +
| ЗСВ.10
| Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
| +
| Окончание таблицы 6
ЗСВ.10
| Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
| +
| XII. Защита технических средств (ЗТС)
| +
| ЗТС.3
| Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
| +
| ЗТС.4
| Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
| +
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
|
| ЗИС.3
| Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
| +
| ЗИС.20
| Защита беспроводных соединений, применяемых в информационной системе
| +
| XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
|
| УКФ.1
| Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных
| +
| УКФ.2
| Управление изменениями конфигурации информационной системы и системы защиты персональных данных
| +
| УКФ.3
| Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных
| +
| УКФ.4
| Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных
| +
|
Заключение
В данной курсовой работе рассмотрен комплексный анализ информационной безопасности объекта защиты информационных ресурсов объекта. Изложены основные сведения, которые требуются для организации такой защиты. Среди них и теоретическая база, и практические решения информационной безопасности такие как: схема информационных активов, организационно-правовая защита информации предприятия.
Главной целью злоумышленника является получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т.д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к потери таких важных атрибутов информации как: целостность, конфиденциальность, доступность. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. Полный объем сведений о деятельности конкурента не может быть получен только каким-нибудь одним из возможных способов доступа к информации.
Способы защиты информационных ресурсов должны представлять собой целостный комплекс защитных мероприятий. Целью данной курсовой работы было проведение анализа комплексной системы защиты информации
Список литературы
1 Постановление от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
2 Приказ от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
3 Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
4 Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» С изменениями и дополнениями от: 2 февраля, 18 декабря 2006 г., 24 июля 2007 г. 11 июля 2011 г., 12 марта 2014 г.
5 Постановление правительства от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Приложение 1
Соглашение
о неразглашении ПДн
Я, _______________________, обязуюсь получать доступ к ПДн работников (клиентов) ООО ««Страйк»», обладающих конфиденциальной ценностью в силу неизвестности третьим лицам, которые могли бы получить выгоду от разглашения или использования ПДн не передавать или разглашать эти данные третьим лицам. В случае попытки третьих лиц получить от меня информацию обязуюсь сообщить о данном факте службу безопасности или руководителя. Я предупрежден об ответственности за разглашении или незаконное использование ПДн. В случае нарушения этого соглашения буду нести дисциплинарную ответственность по ст. 81 ТК РФ ч.1 п.6 вплоть до увольнения с работы. А также административная, уголовная ответственность в соответствии со статьей 137 УК РФ.
Подпись_________ Дата_________
Приложение 2
УТВЕРЖДАЮ
Директор ООО «Страйк»
____________ Фатхутдинова А.И
«___»_____________2015г.
Инструкция №
по антивирусной защите
Общие положения
1.1 Инструкция по организации антивирусной защиты ИСПДн разработана в соответствии с ФЗ №149 от 27.07.2006 «Об информации, и информационных технологиях и о защите информации».
1.2 Настоящая инструкция предназначена для организации порядка проведения антивирусного контроля в ООО «Страйк»с целью предотвращения несанкционированных вредоносных воздействий на информационные ресурсы ООО «Страйк».
1 | 2 | 3 | 4 | 5 | 6 | 7 | Поиск по сайту:
|