5.Технический проект (1208536), страница 2
Текст из файла (страница 2)
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
-
Принятые сокращения
| АВС | – | антивирусные средства |
| АРМ | – | автоматизированное рабочее место |
| АС | – | автоматизированная система |
| ГИС | – | государственная информационная система |
| ГОСТ | – | государственный стандарт |
| ДСП | – | для служебного пользования |
| ИБ | – | информационная безопасность |
| ИСПДн | – | информационная система, обрабатывающая персональные данные |
| КЗ | – | контролируемая зона |
| ИТ | – | информационные технологии |
| ЛВС | – | локальная вычислительная сеть |
| НДВ | – | не декларированные возможности |
| НЖМД | – | накопитель на жестких магнитных дисках |
| НСД | – | несанкционированный доступ |
| ОЗУ | – | оперативное запоминающее устройство |
| ОПО | – | общесистемное программное обеспечение |
| ОС | – | операционная система |
| ОТСС | – | основные технические средства и системы |
| ПДн | – | персональные данные |
| ПК | – | программный комплекс |
| ПО | – | программное обеспечение |
| ПС | – | программные средства |
| ПТС | – | программно-технические средства |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| РД | – | руководящий документ |
| СВТ | – | средства вычислительной техники |
| СЗИ | – | система защиты информации |
| СКЗИ | – | средства криптографической защиты информации |
| СПО | – | специальное программное обеспечение |
| СрЗИ | – | средства защиты информации |
| ТЗ | – | техническое задание |
| ТС | – | технические средства |
| ТП | – | технический проект |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба технического и экспортного контроля |
-
Общие положения
-
Наименование разработки
Наименование работы: «Разработка технического проекта на создание системы защиты информационной системы персональных данных.
Шифр –ТП ИСПДн «Отдела бухгалтерского учета и отчетности».
-
Основание для разработки
Основанием для разработки изделия послужили:
Техническое задание на разработку системы защиты информационной системы персональных данных АО "АК "Железные Дороги Якутии";
-
Модель нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных АО "АК "Железные Дороги Якутии";
-
Аналитическое обоснование необходимости создания системы защиты информационной системы персональных данных АО "АК "Железные Дороги Якутии";
-
Заключение по результатам аудита информационной системы персональных данных АО "АК "Железные Дороги Якутии".
-
Организации, участвующие в разработке
Заказчик: Акционерное общество «Акционерная компания «Железные дороги Якутии».
Исполнитель: студент группы 25К Пичуев Валерий.
-
Цель работы
Целью работы является разработка технического проекта, позволяющего осуществить разработку системы защиты информации (СЗИ) в информационной системе персональных данных отдела бухгалтерского учета и отчетности.
-
Назначение
Основным назначением работы является разработка технического проекта на создание комплексной системы защиты информации в информационной системе персональных данных в соответствии с нормами и требованиями законодательства РФ в области обеспечения безопасности ПДн при их обработке в информационных системах и технической защиты конфиденциальной информации.
-
Область использования результатов разработки
Результаты работы ориентированы на применение средств защиты для исключения НСД к информации в информационной системе персональных данных отдела бухгалтерского учета и отчетности.
-
Нормативно-методическая документация, используемая при разработке проекта системы защиты ИСПДн
При разработке СЗИ использовались следующие нормативно-методические документы:
-
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
-
Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» утверждены приказом Гостехкомиссии России от 30 августа 2002 г. №282;
-
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», утверждено постановлением Госстандарта СССР от 29 декабря 1990 г. № 3469;
-
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» утверждено постановлением Госстандарта СССР от 27 декабря 1990 г. № 3399;
-
«Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 № 17;
-
«Методический документ. Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014;
-
«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено приказом ФСТЭК России от 18.02.2013 № 21;
-
«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ от 01.11.2012 № 1119;
-
Описание объекта информатизации
-
Общая информация
Элементы отдела ИСПДн расположены в одном здании, находящихся по адресу: 678900, Республика САХА (Якутия), г. Алдан, ул. Маяковского, 14
Рис. 1 – Местоположение здания компании.
В информационной системе отдела обрабатываются персональные данные иной категории персональных данных. Персональные данные обрабатываются на 5 АРМ и 1 сервере.
Персональные данные хранятся на сервере БД и на жёстких дисках АРМ пользователей, к которым имеют доступ ограниченный перечень лиц.
-
Физические лица, имеющие доступ к ресурсам и (или) в помещения, в которых располагаются элементы отдела бухгалтерского учета и отчетности.
Физические лица, имеющие санкционированный доступ к ресурсам ИС, подразделяются на следующие категории:
-
пользователь ИСПДн, осуществляющий обработку ПДн в рамках своих полномочий;
-
администратор ИСПДн с обязанностями администратора безопасности информации.
В ИСПДн одновременно обрабатывается как информация ограниченного доступа, так и общедоступная информация, при этом не все сотрудники имеют равный доступ к информации ограниченного доступа.
Перечень лиц, допущенных к обработке персональных данных, представлен в таблице 4.1.
Таблица 4.1 – Перечень лиц, допущенных к обработке персональных данных.
| № п/п | Роль | ФИО сотрудника | № кабинета | № АРМ на плане |
| | Пользователь ИСПДн | Согласно перечню, утвержденному директором | 12 | АРМ №1,2,3 |
| | Пользователь ИСПДн | Согласно перечню, утвержденному директором | 14 | АРМ № 4 |
| | Администратора ИСПДн | Согласно перечню, утвержденному директором | 15, 16(серверная) | АРМ № 5 SERVER DB (Сервер 1С: Предприятие) |
Таблица 4.2 – Матрица доступа ИСПДн отдела бухгалтерского учета и отчетности.
| Привилегии и права, ресурс | Администратор с обязанностями администратора ИБ | Пользователи ИСПДн |
| Привилегии и права | ||
| Изменение настроек политик AD | + | - |
| Запрет изменения системных файлов на серверах БД | - | + |
| Удаленный доступ к АРМ пользователей | + | - |
| Вывод защищаемой информации на принтер | + | + |
| Загрузка ПЭВМ с внешних носителей (доступ к BIOS) | + | - |
| Запрет изменения системных файлов АРМ пользователей | - | + |
| Изменение личного пароля пользователя | + | - |
| Работа с системным журналом ОС | + | - |
| Возможность создания личных ресурсов на локальных АРМ | + | + |
| Возможность создания ресурсов на серверах БД | + | - |
| Восстановление информационных ресурсов серверов БД | + | - |
| Работа с системным журналом СЗИ | + | - |
| Установка, настройка, сопровождение СЗИ | + | - |
| Доступ к общим сетевым ресурсам на АРМ пользователей | RWA | RWA |
| Доступ к локальным папкам пользователей | RWAXD | RWAXD |
| Центральные БД ИСПДн | RWAXD | RWXD |
| Доступ к средствам управления БД | RWAXD | - |
| Доступ к средствам управления СЗИ | RWAXDS | |
-
R - разрешение на открытие файлов только для чтения;
-
W - разрешение на открытие файлов для записи;
-
A - разрешение на создание файлов на диске/создание таблиц в БД;
-
D - разрешение на удаление файлов/записи в БД;
-
Х - разрешение на запуск программ;
-
S - разрешение на настройку средств защиты
-
Характеристики информационной системы отдела бухгалтерского учета и отчетности.
В таблице 4.3 представлены структурно-функциональные характеристики и параметры информационной системы отдела бухгалтерского учета и отчетности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
