Отчет антиплагиат (полный) (1198830), страница 3
Текст из файла (страница 3)
Первым таким стандартом по системе управленияинформационной безопасностью являлся британский BS 7799-1, вышедший в1995 году. Этот стандарт описывал 10 областей и 127 механизмов контроля,необходимых для построения систем управления информационнойбезопасности. Первоначально, стандарт состоял из одного документа«Практические правила управления информационной безопасностью», но в1998 году был выпущен вторая часть « Системы управления информационнойбезопасностью. Спецификация и руководство по применению». 56 Через год обадокумента были пересмотрены в соответствии с международнымистандартами систем управления, а ещё через год, в качестве международногобыла принята первая часть этого стандарта, получившая название:«Информационные технологии — Технологии безопасности — Практическиеправила управления информационной безопасности».В 2002 году была пересмотрена вторая часть BS 7799-2, а в 2005 годупринята как международный стандарт: ISO/IEC 27001:2005«Информационные технологии — Методы обеспечения безопасности —Системы управления информационной безопасностью — Требования».
С 51выходом этого стандарта системы управления информационнойбезопасностью приобрели международный статус.В Российской Федерации существует национальный стандарт, которыйидентичен стандарту « ISO/IEC 27001:2005 «Информационные технологии — 517Методы обеспечения безопасности — Системы управления информационнойбезопасностью — Требования».
В 51 данном стандарте перечислены нормы иправила, которые можно внедрить для управления информационнойбезопасностью.Разработанные нормы и правила управления информационнойбезопасностью должна быть описаны в политике информационнойбезопасности, поскольку политика описывает подход к информационнойбезопасности и является главным документом в области информационнойбезопасности в организации.Объектом исследования данной выпускной квалификационной работыявляется Управление Федеральной службы государственной статистики поХабаровскому краю.Предметом 43 исследования является создание норм и правил управленияинформационной безопасностью.Созданные нормы и правила должны удовлетворять законодательствуРоссийской Федерации в области защиты информации, а также нормативнымправовым документам федеральных органов исполнительной власти.В ходе работы были поставлены и решены следующие задачи:– исследование объекта защиты;– анализ возможных норм и правил информационной безопасности;– определение норм и правил для объекта защиты.Первый раздел настоящей ВКР посвящен исследованию объектазащиты и содержит следующие подразделы:– характеристика учреждения и его деятельности;– сведения о структуре учреждения;– сведения о ИС учреждения;– категории информационных ресурсов, подлежащих защите;8– угрозы ИБ;– существующие меры по обеспечению информационнойбезопасности учреждения.Второй раздел ВКР включает определение возможных правил пообеспечению ИБ.Третий раздел содержит экономическую часть, где оцениваетсяэкономическая эффективность внедрения правил по обеспечениюинформационной безопасности.Четвертый раздел содержит мероприятия по обеспечению пожарнойбезопасности учреждения.В списке использованной литературы приводятся используемыедокументы, Интернет-сайты и иные источники информации.1.
Описание исследуемого объекта защиты.91.1Характеристика предприятия и его деятельностиОсновной деятельностью Учреждения является обеспечениеинформационных потребностей государства и общества в полной,достоверной, научно обоснованной и своевременно предоставляемойофициальной статистической информации о социальных, 67 экономических,демографических, экологических и других общественных процессах вРоссийской Федерации.
55Учреждение осуществляет сбор и обработку официальнойстатистической информации на территории Хабаровского края, а также:– реализует полномочия по предоставлению официальнойстатистической информации заинтересованным пользователям;– 43 осуществляет подготовку и проведение общенациональныхстатистических работ и статистических обследований на территорииХабаровского края;– 43 участвует в разработке и ведении общероссийскихклассификаторов технико-экономической и социальной информации;– 43 организует прием граждан, обеспечивает своевременное 36рассмотрение устных и письменных обращений граждан;– 36 проводит конкурсы и заключает государственные контракты наразмещение заказов на поставку товаров, выполнение работ и оказание услуг;– 74 обеспечивает соответствующий режим хранения и защитыполученной конфиденциальной информации.1.2 Сведения о структуре учреждения10Учреждение находится на территории Хабаровского края и являетсясегментом главного офиса, находящегося в Москве.Учреждение имеет следующие отделы:– отдел ведения Статистического регистра и общероссийскихклассификаторов;– отдел сводных статистических работ;– отдел статистики труда, науки, образования и культуры;– отдел статистики 50 уровня жизни и 50 обследований домашних хозяйств;– 50 отдел статистики населения и здравоохранения;– отдел статистики торговли и услуг;– отдел статистики 50 предприятий;– 50 отдел статистики строительства, инвестиций и 50 жилищнокоммунального хозяйства;– отдел статистики цен и финансов;– 50 отдел статистики сельского хозяйства и окружающей природной среды;– отдел 50 информации;– финансово-экономический отдел;– административный отдел;– отдел информационных ресурсов;– технологический отдел;– отдел маркетинга;– хозяйственный отдел.1.3Сведения об информационной системе учрежденияИнформационная система учреждения является локальной, не11имеющей удаленных рабочих мест.Информация, обрабатываемая в учреждении, может находиться вбумажном и электронном виде.Обработка персональных данных в Учреждении осуществляется вцелях:– статистического учета при условии обязательного обезличиванияперсональных данных, 9 для формирования официальной статистическойинформации по Хабаровскому краю в результате сбора первичныхстатистических и административных данных в ходе проведения федеральныхстатистических наблюдений;– ведения кадровой работы в 9 Учреждении ( исполнения служебногоконтракта или трудового договора, одной из сторон которого являетсясубъект персональных данных, ведения и хранения личных дел, учетныхкарточек и трудовых книжек государственных гражданских служащих,содействия гражданским служащим в прохождении государственнойгражданской службы Российской Федерации, в обучении и должностномросте, учета результатов исполнения должностных обязанностей, в целяхобеспечения личной безопасности гражданских служащих и членов ихсемей, организации рассмотрения документов кандидатов на замещениевакантных должностей государственной гражданской службы);– 9 обеспечения пропускного режима и сохранности имуществаУчреждении;– обеспечения соблюдения законных прав и интересов физическихлиц,– обращающихся в Учреждении в качестве заявителей;– обеспечения соблюдения требований действующего законодательствао противодействии коррупции; 912– обеспечения соблюдения законных прав и интересов физическихлиц, с которыми в 9 Учреждении заключены договора гражданско-правовогохарактера;– 9 передачи персональных данных, подлежащих опубликованию, всоответствии с федеральными законами, в том числе персональных данныхлиц, замещающих государственные должности, должности государственнойгражданской службы.
9Таким образом, это попадает под действие Федерального закона No 152ФЗ «О персональных данных» и Федерального закона No 28 2-ФЗ «Обофициальном статистическом учете и системе государственной статистики вРоссийской Федерации» 45 . 50Объектами информатизации в учреждении являются:– информационные системы;– технические средства приема, обработки, хранения и передачиинформации ограниченного доступа;– вспомогательные технические средства и системы для приема,обработки, хранения и передачи информации ограниченного доступа;– помещения, в которых размещаются технические средства синформацией ограниченного доступа;– личные дела и архив кадрового делопроизводства;– хозяйственно-договорная документация и учредительные документы;– бухгалтерские документы, содержащие информацию ограниченногодоступа.Для автоматизированной обработки используются следующие технические13средства:сервера, на которых обрабатываются информация;АРМ сотрудников организации;сетевое оборудование;машинные носители информации;системы резервного питания;средства копирования и размножения документов (локальные и сетевыепринтеры, прочие печатающие устройства).1.4 Категории информационных ресурсов, подлежащих защитеФедеральный закон No 152-ФЗ «О персональных данных» [2] служитоснованием для отнесения персональных данных к информацииограниченного доступа и в Учреждении обрабатываются следующи екатегории персональных данных:персональные данные о государственных гражданских служащих 38 , лиц,занимающих должности, не отнесенные к государственнымдолжностям, работников внештатных служб, обсуживающем персонале,лиц, привлекаемых по договорам ГПХ;персональные данные кандидатов на замещение вакантныхдолжностей;персональные данные лиц, ранее состоявших на гражданской службе (втрудовых отношениях), 9 личные дела которых не переданы на хранениев государственный архив 9 Хабаровского края;персональные данные участников отношений, возникающих пристатистических наблюдениях и сборе первичных статистических иадминистративных данных;14персональные данные участников отношений, возникающих приосуществлении государственным органом исполнительной властиконтрольных (надзорных) 9 функций при выявлении нарушений порядкапредставления статистической информации;персональные данные участников отношений, возникающих приответах на обращения, запросы и жалобы, а также при предоставленииписьменных доказательств в суды и правовые органы; 9персональные данные физических лиц, заключивших с Учреждениемдоговоры гражданско-правового характера.журнал с персональными данными для однократного пропускапосетителей;К информации конфиденциального характера относится:финансовая и бухгалтерская документация;сведения о защищаемых информационных ресурсах в локальных сетяхУчреждения;сведения, поступающие из УФНС по Хабаровскому краю для ведениястатистики в рамках информационного взаимодействия в процессегосударственной регистрации юридических лиц и индивидуальныхпредпринимателей;другие сведения, составляющие деловую информацию о внутреннейдеятельности Учреждения.1.
5 Угрозы информационной безопасност 45 иПод угрозой информационной безопасности понимается совокупностьусловий и факторов 45 , создающих потенциальную или реальную опасность 73нарушения информационной безопасности.На объектах информатизации (ОИ) основными источниками защищаемой15информации являются:– пользователи (операторы), программисты, администраторы ИС,руководители разработки и эксплуатации ИС, обслуживающий персонал;– документы на твердой основе, различного характера и назначения,включая электронные документы на 18 машинных носителях информации, сзащищаемой информацией;– штатные технические средства 18 ИС обработки защищаемойинформации: АРМ, средства обеспечения производственной деятельностилюдей, информационные и телекоммуникационные линии связи.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
