Мой Диплом (Методика аудита информационной безопасности систем, обрабатывающих персональные данные (на примере предприятия КГБУЗ Детская поликлиника №1)
Описание файла
Файл "Мой Диплом" внутри архива находится в следующих папках: Методика аудита информационной безопасности систем, обрабатывающих персональные данные (на примере предприятия КГБУЗ Детская поликлиника №1, Gordeeva D.A. Документ из архива "Методика аудита информационной безопасности систем, обрабатывающих персональные данные (на примере предприятия КГБУЗ Детская поликлиника №1", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Мой Диплом"
Текст из документа "Мой Диплом"
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
федеральное государственное бюджетное образовательное учреждение
высшего образования
«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПУТЕЙ СООБЩЕНИЯ»
Кафедра «Финансы и бухгалтерский учет»
К ЗАЩИТЕ ДОПУСТИТЬ
Заведующий кафедрой
«Финансы и бухгалтерский учет»
____М.А. Немчанинова
«____»________20___г.
МЕТОДИКА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ, ОБРАБАТЫВАЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
(На примере предприятия КГБУЗ «Детская городская поликлиника №1»)
Выпускная квалификационная работа
ВКР 38.03.05. ПЗ – 34И
| Студент гр. 34И | Д.А. Гордеева | |
| Руководитель старший преподаватель | О.В. Падалица | |
| Нормоконтроль старший преподаватель | О.И. Карус |
Хабаровск – 2017
Annotation
Graduation qualification work on "The methodology of information security audit of systems that process personal data on the example of the KGBU" Children's City Polyclinic No.1 "consists of 3 sections. The volume of the thesis is 67 pages. There are 22 figures, 2 tables, 1 appendix.
In the first section of the WRC "Theory of the basis for the audit of information security, the system that processes personal data" presents the main aspects of information security in general, the concept of personal data and the classification of threats associated with loss, diversion, theft of personal data, and an audit of the information security of personal data and its Stages of the conduct.
The second section of the WRC "Principles and conditions for processing, storing, transferring personal data to KGBHU" Children's City Polyclinic No.1 "contains a brief description of KGBHU" Children's Polyclinic No. 1 ", principles and conditions for processing, storing, transferring personal data.
In the third section of the WRC "Methodology for conducting information security audits, the system that processes personal data in KGBHU" Children's City Polyclinic No.1 ", an information security audit system was conducted that processed the personal data of employees and patients, regulatory documents, hardware and software processing, Storage, transfer and destruction of personal data.
When writing WRCs, normative and legal documents were used, as well as 50 literary sources.
Содержание
Введение 3
1 Теоретические основы аудита информационной безопасности
систем, обрабатывающих персональные данные 7
1.1 Основные аспекты информационной безопасности 7
1.2 Уровни формирования информационной безопасности 8
1.3 Основные понятия, связанные с персональными данными 10
1.4 Категории персональных данных 12
1.5 Классификация угроз безопасности персональных данных 14
1.6 Методы и средства защиты персональных данных 15
1.7 Сущность аудита информационной безопасности
персональных данных… 18
1.8 Этапы проведения аудита 20
2 Принципы и условия обработки, хранения, передачи
персональных данных КГБУЗ «Детская городская поликлиника №1» 21
2.1 Общая характеристика КГБУЗ «Детская городская поликлиника №1»…… 21
2.2 Принципы и условия обработки персональных данных
в КГБУЗ «Детская городская поликлиника №1» 24
2.3 Условия хранения, обработки и передачи персональных данных
в КГБУЗ «Детская городская поликлиника №1» 26
2.3.1 Персональные данные сотрудников 27
2.3.2 Хранение и передача персональных данных пациентов 31
3 Методика аудита информационной безопасности систем,
обрабатывающих персональные данные
в КГБУЗ «Детская городская поликлиника №1» 35
3.1 Проведение аудита информационной безопасности систем,
обрабатывающих персональные данные
в КГБУЗ «Детская городская поликлиника №1» 35
Заключение 56
Список используемых источников 58
Приложение А. Смета расходов на покупку оборудования
и программного обеспечения 64
Приложение Б. Графический материал к ВКР…………………………………...67
Введение
Право на неприкосновенность частной жизни гарантировано каждому гражданину Конституцией РФ [1]. Какую информацию предоставлять о себе, каждый решает сам. Исключением являются ситуации, когда гражданину приходится сообщать личную информацию, например, при трудоустройстве. Такие сведения о работнике носят название «персональные данные». Обработка персональных данных включает в себя все действия и операции с персональными данными, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокировку и уничтожение [1].
Все более актуальным становится вопрос о переводе документооборота на предприятии в электронный вид. Бумажные носители постепенно становятся вымирающим видом и переходят в разряд законодательно закрепленной привычки. Западный опыт показывает, что переход от бумажного к электронному документообороту неизбежен и является фактором, вносящим положительный эффект в экономику любого субъекта [4].
Электронный документооборот уменьшает целый ряд накладных расходов, снижает непроизводственные затраты, связанные, например, с архивным поиском документов, передачей документов в дело, отслеживанием документов [15,20]. Возможность оперативного отслеживания работ по выпущенным документам, эффективного планирования времени работников предприятия, централизованного накопления и хранения информации – все это поднимает производственные отношения на новый уровень, дает возможность руководителю оперативно получать данные по любому направлению работы предприятия. Системы электронного документооборота делают более прозрачной работу исполнителей.
Аудит информационной безопасности является одним из важнейших организационных мероприятий в области защиты информации (информационной безопасности) и представляет собой наиболее актуальное и динамично развивающееся направление в области защиты информационных систем [35].
Информационная система персональных данных - это совокупность персональных данных, содержащихся в базах данных, а также информационных технологий, обеспечивающих их обработку, и технических средств [2].
Аудит информационной безопасности систем, обрабатывающих персональные данные - независимое исследование состояния информационной безопасности систем, обрабатывающих персональные данные определения её адекватности существующим рискам, связанным с осуществлением угроз безопасности, соответствия ее требованиям нормативных документов по защите информации, а также выявления существующих уязвимостей в области информационной безопасности и выработки рекомендаций по их устранению [19,35].
Данная тема является актуальной в связи с ростом рисков при обработке персональных данных, поступающих в организацию через информационно-телекоммуникационные системы и средства, в результате чего увеличивается вероятность неправомерного доступа к ним, а также с увеличением нормативных правовых актов в области обработки и защиты персональных данных, устанавливающих обязательные требования.
Новизна работы заключается в разработке методики аудита информационной безопасности систем, обрабатывающих персональные данные на соответствие требованиям нормативным правовым актам и нормативно методической документации, инициированных Постановлением Правительства, ФСБ и ФСТЭК России.
Объектом исследования данной выпускной квалификационной работы является информационная система, обрабатывающая персональные данные.
Предметом выпускной квалификационной работы является оснащение КГБУЗ «Детская городская поликлиника №1» необходимым программным и аппаратным обеспечением для укрепления информационной безопасности систем, обрабатывающих персональные данные и помещения, где хранятся
персональные данные.
Цель выпускной квалификационной работы - разработка типовой методики аудита информационной безопасности информационной системы персональных данных.
Исходя из цели выпускной квалификационной работы, можно выделить задачи, которые будут рассмотрены:
-
основные аспекты информационной безопасности в целом;
-
персональные данные как отдельная большая часть в разделе информационной безопасности;
-
условия хранения, обработки и передачи персональных данных сотрудников и пациентов;
-
аудит и этапы его проведения;
-
все нормативно – правовые и технические документы, касающиеся информационной безопасности персональных данных,
-
системы, обеспечивающие хранение, обработку, передачу и уничтожение персональных данных, как сотрудников, так и пациентов;
-
проведение аудита информационной безопасности систем, обрабатывающих персональные данные в КГБУЗ «Детская городская поликлиника №1»;
-
рекомендации по укреплению информационной безопасности систем, обрабатывающих персональные данные в КГБУЗ «Детская городская поликлиника №1»
1 Теоретические основы аудита информационной безопасности систем, обрабатывающих персональные данные
1.1 Основные аспекты информационной безопасности
Информационная безопасность – это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности и достоверности информации или средств ее обработки [7].
Безопасность данных - такое состояние хранимых, обрабатываемых и принимаемых данных, при которых невозможно их случайное или преднамеренное получение, изменение или уничтожение [4].
Информационная система – система, предназначенная для хранения, поиска и обработки информации, и соответствующие организационные ресурсы (человеческие, технические, финансовые), которые обеспечивают и распространяют информацию [14].
Безопасность информационных систем – это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нарушить доступность, целостность или конфиденциальность информации.
Соответственно информационная система находится в безопасности, если она защищена от нарушений конфиденциальности, целостности и доступности, где:
-
конфиденциальность – это состояние информационной системы, при котором информационные ресурсы доступны только тем пользователям, которым этот доступ разрешен [3];
-
целостность – это состояние системы, при котором информация, хранящаяся и обрабатываемая этой информационной системой, а также процедуры обработки информации не могут быть изменены, удалены или дополнены неавтоматизированным образом [6];
-
доступность – это состояние системы, при котором услуги, оказываемые системой, могут гарантированно и с приемлемой задержкой быть предоставлены пользователям, имеющим на это право [17].
Достоверность информации – показатель качества информации, означающий её полноту и общую точность. Критериями достоверной информации являются: отсутствие ложных или искажённых данных, разборчивость речи (как устной, так и письменной), низкая вероятность ошибочного употребления единиц информации (буквы, цифры, символа, бита) [3,9].
В проблеме информационной безопасности можно выделить два основных аспекта [31]. Первый аспект включает в себя спектр вопросов, относящихся к информации и к ее содержанию. Это, прежде всего вопросы характера распространяемых сведений, их соответствия определенным правилам, и прежде всего принципам международного права, вопросы получения информации различными способами и т.д.
Второй аспект включает в себя круг вопросов, относящихся к средствам сбора, накопления, обработки, хранения и передачи информации. К этим средствам относятся, прежде всего, вычислительная техника (компьютеры), информационно-телекоммуникационные сети, другие технические средства, обеспечивающие сбор, накопление, обработку, хранение и передачу информации.
Проблема обеспечения функционирования указанных средств в современном мире перестает быть исключительно технической проблемой [23]. В настоящее время общепризнано, что быстрое и устойчивое развитие государства невозможно без широкого использования информационных технологий и средств обработки информации [53].
1.2 Уровни формирования информационной безопасности
Проблему обеспечения информационной безопасности рассматривают на нескольких уровнях, которые в совокупности обеспечивают защиту информации и информационных систем от вредных воздействий, наносящих ущерб субъектам информационных отношений [33].
Уровни формирования информационной безопасности представлены в виде схемы (рисунок 1.1).
Рисунок 1.1 - Уровни формирования информационной безопасности
Рассмотрим более подробно каждый уровень формирования информационной безопасности.
Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности [42, 54].
Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация [41].
Программно-технический уровень включает три подуровня: физический, аппаратный и программный. Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т.д.) [37].
