Паспорт (Методика аудита информационной безопасности систем, обрабатывающих персональные данные (на примере предприятия КГБУЗ Детская поликлиника №1)
Описание файла
Файл "Паспорт" внутри архива находится в следующих папках: Методика аудита информационной безопасности систем, обрабатывающих персональные данные (на примере предприятия КГБУЗ Детская поликлиника №1, Gordeeva D.A. Документ из архива "Методика аудита информационной безопасности систем, обрабатывающих персональные данные (на примере предприятия КГБУЗ Детская поликлиника №1", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Паспорт"
Текст из документа "Паспорт"
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
федеральное государственное бюджетное образовательное учреждение
высшего образования
«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПУТЕЙ СООБЩЕНИЯ»
Кафедра «Финансы и бухгалтерский учет»
К ЗАЩИТЕ ДОПУСТИТЬ
Заведующий кафедрой
«Финансы и бухгалтерский учет»
____М.А. Немчанинова
«____»________20___г.
МЕТОДИКА АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СИСТЕМ, ОБРАБАТЫВАЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
(На примере предприятия КГБУЗ «Детская городская поликлиника №1»)
Паспорт выпускной квалификационной работы
ВКР 38.03.05. ПЗ – 34И
| Студент гр. 34И | Д.А. Гордеева | |
| Руководитель старший преподаватель | О.В. Падалица | |
| Нормоконтроль старший преподаватель | О.И. Карус |
Хабаровск – 2017
Содержание
Введение 5
1 Теоретические основы аудита информационной безопасности
систем, обрабатывающих персональные данные 8
1.1 Основные аспекты информационной безопасности 8
1.2 Уровни формирования информационной безопасности 9
1.3 Основные понятия, связанные с персональными данными 11
1.4 Категории персональных данных 13
1.5 Классификация угроз безопасности персональных данных 15
1.6 Методы и средства защиты персональных данных 16
1.7 Сущность аудита информационной безопасности
персональных данных… 19
1.8 Этапы проведения аудита 21
2 Принципы и условия обработки, хранения, передачи
персональных данных КГБУЗ «Детская городская поликлиника №1» 22
2.1 Общая характеристика КГБУЗ «Детская городская поликлиника №1»…… 22
2.2 Принципы и условия обработки персональных данных
в КГБУЗ «Детская городская поликлиника №1» 25
2.3 Условия хранения, обработки и передачи персональных данных
в КГБУЗ «Детская городская поликлиника №1» 27
2.3.1 Персональные данные сотрудников 28
2.3.2 Хранение и передача персональных данных пациентов 32
3 Методика аудита информационной безопасности систем,
обрабатывающих персональные данные
в КГБУЗ «Детская городская поликлиника №1» 36
3.1 Проведение аудита информационной безопасности систем,
обрабатывающих персональные данные
в КГБУЗ «Детская городская поликлиника №1» 36
Заключение 56
Список используемых источников 58
Приложение А. Смета расходов на покупку оборудования
и программного обеспечения 64
Приложение Б. Графический материал к ВКР…………………………………...67
Доклад
(1 слайд) Уважаемые председатель, члены государственной аттестационной комиссии и присутствующие! Вашему вниманию предоставляется выпускная квалификационная работа на тему: «Методика аудита информационной безопасности систем, обеспечивающих персональные данные (на примере КГБУЗ «Детская городская поликлиника №1»)».
(2 слайд) Данная тема является актуальной в связи с ростом рисков при обработке персональных данных, поступающих в организацию через информационно-телекоммуникационные системы и средства, в результате чего увеличивается вероятность неправомерного доступа к ним.
Новизна работы заключается в разработке методики аудита информационной безопасности систем, обрабатывающих персональные данные на соответствие требованиям нормативным правовым актам и нормативно методической документации, инициированных Постановлением Правительства, ФСБ и ФСТЭК (Федеральная служба по техническому и экспортному контролю) России.
Объектом исследования данной выпускной квалификационной работы является информационная система, обрабатывающая персональные данные.
Предметом выпускной квалификационной работы является оснащение КГБУЗ «Детская городская поликлиника №1» необходимым программным и аппаратным обеспечением для укрепления информационной безопасности систем, обрабатывающих персональные данные и помещения, где хранятся персональные данные.
(3 слайд) Право на неприкосновенность частной жизни гарантировано каждому гражданину Конституцией РФ [1]. Какую информацию предоставлять о себе, каждый решает сам. Исключением являются ситуации, когда гражданину приходится сообщать личную информацию, например, при трудоустройстве. Такие сведения о работнике носят название «персональные данные». Итак персональными данными называют любую информацию, относящуюся к определенному лицу или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное положение и другая информация [5].
(4 слайд) Для обеспечения конфиденциальности, целостности, доступности и достоверности персональных данных используют понятие «информационная безопасность».
Обратите внимание на лист 1 графического материала. Проблему обеспечения информационной безопасности рассматривают на нескольких уровнях, которые в совокупности обеспечивают защиту информации и информационных систем от вредных воздействий, наносящих ущерб субъектам информационных отношений [33]. Законодательно – правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Административный уровень включает комплекс мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации (строительство помещений, монтаж и наладка оборудования, эксплуатация). Программно-технический уровень включает три подуровня: физический, аппаратный и программный. Физический подуровень решает задачи с ограничением физического доступа к информации: система охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т.д.). К аппаратному подуровню относятся схемы контроля информации по четности, схемы доступа по ключу. К программному подуровню относят специальное программное обеспечение, используемое для защиты информации, например антивирусный пакет.
(5 слайд) Защита персональных данных нужна, для того, чтобы предотвратить ряд угроз информационной безопасности систем, обрабатывающих персональные данные: передачу сотрудниками персональных данных третьим лицам, другим организациям [39]; кражу сотрудниками персональных данных; халатное отношение сотрудников к персональным данным (не правильное уничтожение, хранение, передача); утечка информации по техническим каналам[23]; угрозы внедрения вредоносных программ ; перехват акустической (речевой) информации [30]; угрозы, связанные с несанкционированным доступом к персональным данным (копирование, уничтожение, изменение, распространение) [45]; стихийные бедствия (пожар, наводнение); взлом сервера, на котором хранятся персональные данные.
(6 слайд) Аудит информационной безопасности систем, обрабатывающих персональные данные - независимое исследование состояния систем, обрабатывающих персональные данные на соответствие ее требованиям нормативных документов по защите информации, а также выявления существующих уязвимостей в области информационной безопасности и выработки рекомендаций по их устранению [35]. Целью проведения аудита систем, обрабатывающих персональные данные является оценка соответствия систем, обрабатывающих персональные данные требованиям нормативных документов. Для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасности
(7 слайд) Аудит информационной безопасности систем, обрабатывающих персональные данные в КГБУЗ «Детская городская поликлиника №1» проводится по следующей методике: Первым этапом проведения аудита является анализ текущей организационно-распорядительной документации: проверяется комплекс документов, которые содержат нормы и правила хранения, передачи, обработки и уничтожения персональных данных сотрудников и пациентов, а именно: а) Положение от 1 января 2015г. №10 «Об организации и порядке работы с информацией конфиденциального характера и ее защите в КГБУЗ “Детская городская поликлиника № 1”»; б) Федеральный закон от 27 июля 2006г. №152 «О персональных данных»; в) Положение от 1 января 2015г. №12 «О порядке работы с электронными каналами связи в КГБУЗ “Детская городская поликлиника № 1”». Следующим этапом является анализ текущей технической документации – на данном этапе аудитор проверяет информационные системы, с помощью которых осуществляются всевозможные действия с персональными данными на наличие сертификатов и лицензий. Все нормативно – правовые и технические документы оформлены в соответствии с Конституцией Российской Федерации, Федеральными законами и ГОСТом.
(8 слайд) Далее аудитор производит проверку на наличие систем, обрабатывающих персональные данные и проверяет каждую систему на уязвимость. В КГБУЗ «Детской городской поликлинике №1» существуют следующие программы: 1) аппаратно – программный комплекс шифрования (АПКШ) «Континент» – обеспечивает защиту информационных сетей организации от вторжения со стороны сетей передачи данных (Интернет), конфиденциальность при передаче информации по открытым каналам связи (VPN), организацию безопасного доступа пользователей VPN к ресурсам сетей общего пользования, а также защищенное взаимодействие сетей различных организаций. Принцип работы АПКШ «Континент» представлен на листе 2 графического материала. Происходит шифрование информации на криптографическом шлюзе, зашифрованная информация с АРМ передается в казначейство или в страховые компании, где уже стоит программа ЦУС Континент – это центр управления сетью, который осуществляет управление работой всех КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль за состоянием всех зарегистрированных КШ, проводит рассылку ключевой информации для сторонней организации и банка, предоставляет администратору функции удаленного управления КШ, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий несанкционированного доступа. В момент включенной программы АПКШ Континент блокируется канал передачи данных, за счёт этого повышается степень защиты информации.
(9 слайд) Вторым программным средством является VipNet Client — это программный комплекс, позволяющий работать в корпоративной сети, защищенной от внутреннего нарушителя, работать через удаленного пользователя с корпоративными ресурсами и сервисами через защищенные каналы, также защищает общение пользователей. Состав сети и сценарии применения ViPNet Client представлены на листе 3 графического материала. На схеме изображены центральный офис и его филиал, которые обмениваются информацией через защищенные каналы связи сети Интернет. С автоматизированного рабочего места, где стоит ViPNet Client передается информация с помощью ViPNet Координатора, он зашифровывает информацию и передает ее в филиал, где также стоит ViPNet Координатор для расшифровки этой информации. Также VipNet Client используется для удаленного доступа к информации через защищенный канал связи. Автоматизированные рабочие места, не имеющие VipNet Client не могут получить доступ к защищенной информации и поэтому работают в открытом трафике.
(10 слайд) Третьим программным средством является ‒ ESET Endpoint Antivirus – комплексная система безопасности компьютера, которая предотвращает все типы угроз, защищает автоматизированное рабочее место сотрудника. И к четвертому программному средству относится медиалог – это программа для автоматизации деятельности многопрофильного медицинского учреждения, позволяющая вести историю болезни пациентов в электронном виде, оптимизировать планирование лечебных процессов, также автоматизировать статистическую отчетность.
(11 слайд) К аппаратным средствам защиты персональных данных в КГБУЗ «Детская городская поликлиника №1» относятся: персональные компьютеры с устройством, распознающим отпечаток пальцев; сканеры, где сканируются персональные данные с бумажных носителей; пожарная сигнализация от стихийных бедствий; шредер.
(12 слайд) Для проверки информационной безопасности систем, обрабатывающих персональные данные используется специальное средство представленное на листе 4 графического материала. Это портативный анализатор, который подключается к сети интернет и позволяет получить подробную информацию о сети, просмотреть настройки любого сетевого устройства: конфигурация, адресация, статус; обнаружить двойное использование IP-адресов, несоответствие настроек и ошибок работы сервера; оценить безопасность беспроводных сетей. Также существует еще одно специальное средство дистрибутив Kali linux. Поставляется в виде LiveUSB (подключаемый по шине USB носитель данных, содержащий операционную систему с возможностью загрузки) и liveCD (операционная система, загружающаяся со сменного носителя). Дистрибутив содержит множество утилит для проведения тестирования на проникновение от анализа уязвимостей веб-приложений, до взлома сетей и сервисов и закрепления в системе.
(13 слайд) Заключительным этапом аудита является разработка рекомендаций по укреплению информационной безопасности систем, обрабатывающих персональные данные. После документационного и программно – аппаратного анализа в КГБУЗ «Детская городская поликлиника № 1» для укрепления информационной безопасности систем, обрабатывающих персональные данные потребуется: отдельный кабинет информационной безопасности, для того, чтобы в любой момент в КГБУЗ «Детская городская поликлиника №1» провести аудит информационной безопасности и не потратить денежные средства для привлечения сторонних организаций; повышение квалификации сотрудников отдела кадров и регистратуры для обеспечения высокого уровня защищенности от несанкционированного доступа к персональным данным; обучение специалистов в области информационной безопасности для проведения ежемесячного аудита систем, обрабатывающих персональные данные сотрудников и пациентов; купить два сервера: для хранения персональных данных сотрудников и для хранения копий персональных данных; покупка системы хранения персональных данных на сервере; программа для резервного копирования и восстановления персональных данных (Handy Backup Office Expert 7); покупка шредера, предназначенного для уничтожения конфиденциальной информации (персональных данных); ограничение доступа к персональным данным; обновление прикладного программного обеспечения на компьютерах, которые имеются в поликлинике (Microsoft office, архиватор WinRaR, Abbyy Finereader, антивирус ESET NOD32 SMALL Business Pack newsale for 10 user); установка камер видеонаблюдения в помещениях хранения персональных данных. Смета расходов на покупку оборудования и программного обеспечения представлена на листе 5 графического материала. Все представленное оборудование и программное обеспечение повысит уровень информационной безопасности систем, обрабатывающих персональные данные.
(14 слайд) Доклад окончен, спасибо за внимание.
