Организация безопасного обмена данными центрального офиса страховой компании с филиалами (1197004)
Текст из файла
Содержание
Введение 3
Глава 1 Анализ Предприятия 5
1.1 Структура и функции предприятия 5
1.2 Установление типа угроз 8
1.3 Установление уровня защищённости 8
1.4 Требования защищённости 10
1.5 Меры по обеспечению ПДН, необходимые для обеспечения безопасности при их обработке в ИСПДН 10
1.6 Требования к криптографическим средствам защиты информации(СКЗИ) в ИСПД 12
1.7 Организационные и технические меры по обеспечению безопасности ПД при их обработке в ИСПДн с использованием СКЗИ 13
1.8 Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных 17
Глава 2 Выбор СКЗИ 20
2.1 Анализ продуктов 20
2.2. Континент 3.7 20
2.2.2 АПКШ «Континент» – IPC-25 21
2.2.3 Область применения 22
Область применения: 22
2.2.4 Основные возможности 22
2.2.5 Вариант использования «Континент 3.7» 23
2.2.6 Крипто схема «Континент 3.7» 24
2.2.6 Расчет стоимости 25
2.3 Крипто Про CSP 28
2.3.2 Реализуемые алгоритмы 30
Крипто Про реализует следующие алгоритмы: 30
2.3.3 Схема работы Крипто Про CSP 31
2.3.4 Расчёт стоимости 33
2.4 VipNet 33
2.4.1 «ViPNet CUSTOM» 34
2.4.3 Производительность 35
2.4.4 Вариант реализации 36
2.4.5 Расчёт стоимости 37
2.5 Выбор продукта 38
Глава 3 Реализация внедрения 40
3.1 VipNetCUSTOM 40
3.1.1 «ViPNetAdministrator» 40
3.1.2 «ViPNetCoordinatorHW100 v2» 42
3.1.4 «ViPNetClient» 45
3.2 Развертывание VPN канала 47
3.2.1 Развертывание рабочего места администратора 47
3.2.2 Развертывание координатора 49
3.2.3 Проверка функционирования сети ViPNet 50
3.3 Защищённая схема 50
Заключение 52
Список сокращений 53
Список использованных источников 54
Введение
В современное время доступ в Интернет есть практически в каждом доме. Все используют Интернет для учёбы, работы, развлечений, отдыха. Однако, мы не задумываемся, что информация, хранящаяся в компьютере, имеющем выход в Интернет, которую передаём по электронной почте, обмениваемся ей при общении в социальных сетях, осуществляем электронные платежи может стать доступна для злоумышленников. И тем более, мало кто подозревает о том, что может стать потенциальной жертвой электронного мошенничества с использованием данной информации.
Однако, как показывает практика, случаи незаконного использования украденной информации происходят все чаще, и размер ущерба от таких злоупотреблений непрерывно увеличивается. Причем риск уничтожения, кражи, разглашения личной информации приводит не только к утрате материальных средств, но и угрозе нематериальным активам, таким как имидж и репутация конкретного человека, авторитет компании и.т. д.
Во многих случаях пользователи домашних компьютеров, сотрудники фирм не догадываются, что информация на жестких дисках, которая содержит личную информацию, пароли, персональные данные фирмы и т. п. регулярно просматриваются, копируются через соединение с Интернетом.
Некоторые люди предпочитают работать из дома, организуя доступ к рабочему месту через удаленное подключение, используя домашний Интернет, не задумываясь о защите этого подключения. В таком случае под угрозу компрометации попадают не только личные данные, но и служебная информация, что может угрожать информационной безопасности целой организации.
Осознавая реальность перечисленных угроз, не стоит полностью отказывать себе в широком спектре возможностей, предоставляемых всемирной паутиной. Для обеспечения безопасности личной информации достаточно принять ряд вполне доступных мер по защите, многократно снижающих вероятность возникновения угроз несанкционированного доступа, утечки или уничтожения личной информации.
Глава 1 Анализ Предприятия
-
Структура и функции предприятия
Общая характеристика предметной области.
ООО «Авто-ДВ» основано 14 октября 2008 года. Это юридическая компания, занимающаяся автострахованием.
Компания имеет главный офис и филиалы.
Страховая деятельность является финансовой услугой по предоставлению страховой защиты.
Компания ООО «Авто-ДВ» имеет следующую организационную структуру, представленную на рисунке 1.1.1.
Рисунок 1.1.1 – Организационная структура предприятия
Как видно из рисунка 1.1.1 в компании много отделов, но тема моей дипломной работы «Организация безопасного обмена данными центрального офиса страховой компании с филиалами», следовательно, нас интересует ITотдел.
Функции ITотдела компании:
IT отдел компании выполняет задачи, такие, как:
– обеспечение работоспособности информационных систем;
– предоставление руководящему органу компании сведений о новых возможностях IT и технологиях управления ими;
– делопроизводство отдела, ведение бюджета IT, учет IT активов, обеспечение кадрового состава IT;
– обеспечение ИБ.
На рисунке 1.1.2 схема технической архитектуры
Рисунок 1.1.2 – Структурная схема технической архитектуры информационной системы
Из рисунка 1.1.2 видно, что в каждом из филиалов, включая главный офис имеется локально вычислительная сеть (ЛВС) с её помощью есть возможность пользоваться удалённой печатью. Помимо этого, все данные в филиалах сохраняются на общем диске. В главном офисе есть выход в интернет. В филиалах выхода в интернет нет. Раз в неделю филиалы сдают отчётность в главный офис. Происходит это посредством сбрасывания информации с филиалов на съёмный носитель, и доставка его в главный офис. Что является не только очень неудобным способом, но и очень ненадёжным. Появилась надобность передачи данных в главный офис с помощью интернета. Но как известно передача через не защищённый канал не обеспечит нам безопасность данных. Следует разработать и организовать реализацию внедрения оптимального продукта, который будет обеспечивать сохранность информации.
Осуществляет свою деятельность филиал страховой компании на основании положения, утвержденного президентом компании, руководствуется законодательством, нормативными актами, уставом компании, а также решениями общего собрания акционеров, совета директоров, исполнительной дирекции и президента компании. Результаты работы филиала (отделения) отражаются в консолидированном балансе страховой компании.
Информация, имеющая конфиденциальный характер:
– бухгалтерская документация – сведения о заработной плате сотрудников, налоговая отчетность, доходы и расходы компании.
– кадровая информация – сведения о сотрудниках, работающих в компании.
– информация о договорах – данные о заключенных текущих и выполненных договорах, информация о суммах сделки, услугах, предоставляемых компанией и заказчиках.
– информация об архитектуре и реализации системы защиты компании от вирусных атак и несанкционированного проникновения.
1.2 Установление типа угроз
Согласно ПП №1119 «Об Утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Для компании ООО «Авто-ДВ» актуальны угрозы третьего типа.
Не декларированные возможности – функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
1.3 Установление уровня защищённости
Уровень защищенности персональных данных – это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.
Согласно Постановлению Правительства №1119 от 1 ноября 2012 года. Необходимость обеспечения третьего уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
– для информационной системы актуальны угрозы второго типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
– для информационной системы актуальны угрозы второго типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
– для информационной системы актуальны угрозы третьего типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
– для информационной системы актуальны угрозы третьего типа и информационная система обрабатывает биометрические персональные данные;
– для информационной системы актуальны угрозы третьего типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Для нашей системы подходит только одно условие:
для информационной системы актуальны угрозы третьего типа. Так как наша информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Следовательно, у нашей ИСПДН ООО «Авто-ДВ» третий уровень защищённости.
1.4 Требования защищённости
Для обеспечения третьего уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
– организовать режим обеспечения безопасности помещения, в которым размещена информационная система, препятствующая возможности неконтролируемого проникновения или пребывания в этом помещении лиц, не имеющих права доступа в это помещение;
– обеспечить сохранность носителя персональных данных;
– утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
– использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
–назначение должностного лицо (работник), ответственного за обеспечение безопасности персональных данных в информационной системе.
1.5 Меры по обеспечению ПДН, необходимые для обеспечения безопасности при их обработке в ИСПДН
Меры по обеспечению безопасности ПДН нужны для защиты ПДН от неправомерного доступа к персональным данным, нарушения целостности, копирования и иных действий в отношении ПДН.
Согласно приказу ФСТЭК №21 от 18 февраля 2013г. для обеспечения третьего уровня защищённости ПДН применяются следующие меры:
– идентификации и аутентификации субъектов доступа и объектов доступа;
– управления доступом субъектов доступа к объектам доступа;
– ограничение программной среды;
– защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
– регистрация событий безопасности;
– антивирусная защита;
– обнаружение (предотвращение) вторжений;
– контроль (анализ) защищенности персональных данных;
– обеспечение целостности информационной системы и персональных данных;
– обеспечение доступности персональных данных;
– защита среды виртуализации;
– защита технических средств;
– защита информационной системы, ее средств, систем связи и передачи данных;
– выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
– управление конфигурацией информационной системы и системы защиты персональных данных.
1.6 Требования к криптографическим средствам защиты информации(СКЗИ) в ИСПД
Согласно приказу ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
