636329067387170199 (1208537), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

19После формирования требований к защите ПДн началосьнепосредственно проектирование системы защиты ПДн, которое заключалосьв:определении организационных и технических мер защиты информации;определении типов и видов средств защиты конфиденциальнойинформации, имеющих сертификат соответствия требованиям безопасностиинформации и обеспечивающих реализацию технических мер защиты;определении параметров настройки программного обеспечения;определении структуры системы защиты персональных данных, включая11количество и места размещения её элементов;определении мер защиты информации при передаче защищаемойинформации в иные информационные системы через сети общегопользования.При разработке системы защиты информации, 19 обрабатываемой винформационной системе персональных данных 23 отдела, 19 очень важно иметьчеткое представление о структурно-функциональных характеристикахинформационной системы, а также условиях её эксплуатации.ИСПДн по своей структуре представляет собой локальнуюинформационную систему, элементы который расположены в одном здании.Автоматизированная обработка персональных данных отдела осуществляетсяна 5 автоматизированных рабочих местах и одном сервере.В своей работе отдел передает защищаемую информацию, в частностиперсональные данные, в другие учреждения на законной основе, то естьинформационная система отдела взаимодействует с информационнымисистемами других учреждений.Для обеспечения работоспособности информационной системы иработников отдела в целом, необходимо подключение к сетям общегопользования, в частности к сети Интернет.Информационная система отдела является многопользовательской, то естькаждый сотрудник отдела, допущенный к работе в информационной системеимеет собственный логин и пароль для аутентификации и авторизации.Каждый работник отдела, допущенный к работе в информационнойсистеме имеет свои собственные права доступа к информации, переченьразрешенных действий в информационной системе и сферу ответственности.Тем не менее, в информационной системе функции по управлению нераспределяются между администраторами, а также не используютсяразличные методы, повышающие безопасность, например, использованиеразличных сетевых адресов или выделенных каналов дляадминистрирования.12ВКР состоит из введения, 42 четырех основных разделов, заключения,списка используемых источников и 42 пяти приложений.В первом разделе производится исследование объекта защиты.Представлены общие сведения о отделе, цели и задачи его деятельности,описание информационной системы отдела и существующие меры защиты.Проводится классификация ИСПДн отдела, определение вероятногонарушителя и актуальны угроз безопасности информации.

Раздел делится нашесть подразделов:общие сведения об ИСПДн отдела;существующие меры защиты информации; 9классификация информационной системы персональных данных;модель 6 нарушителя и угроз безопасности ПДн в 6 ИСПДн отдела.Во втором разделе осуществляется разработка системы защитыперсональных данных в соответствии с требованиями законодательства 21 РФ вобласти информационной безопасности.

Раздел делится на шестьподразделов:определение набора организационных и технических мер; 27требования к защите персональных данных; 27технические 25 средства защиты информации;организационные меры 9 защиты информации;меры по 11 противодействию актуальным угрозам безопасности 6информации;профиль системы защиты персональных данных.В 6 третьем разделе (раздел «Экономика») выполняется оценка затрат насоздание и внедрение системы защиты персональных данных винформационную систему отдела.В четвертом разделе (раздел «Безопасность жизнедеятельности»)В списке использованных источников приводятся используемыедокументы, литература, Интернет-сайты, и другие источники информации,используемой в данной ВКР.13В приложении А приводится выписка из Заключения по результатамаудита информационной системы персональных данных Акционерногообщество «Акционерная компания «Железные дороги Якутии» отделабухгалтерского учета и отчетности.В приложении Б приводится выписка из Модели вероятного нарушителя и 25угроз безопасности персональных данных, обрабатываемых винформационной системе персональных данных 25 Акционерного общество«Акционерная компания «Железные дороги Якутии» отделабухгалтерского учета и отчетности.В приложении В приводится выписка из Аналитического обоснованиянеобходимости создания системы 18 защиты персональных данных винформационной системе персональных данных 8 Акционерного общество«Акционерная компания «Железные дороги Якутии» отделабухгалтерского учета и отчетности.В приложении Г приводится выписка из Технического задания насоздание системы защиты персональных данных в 23 информационной системеперсональных 6 Акционерного общество «Акционерная компания «Железныедороги Якутии» отдела бухгалтерского учета и отчетности.В приложении Д приводится выписка из Технического проекта насоздание системы 18 защиты персональных данных в информационной системеперсональных данных 8 Акционерного общество «Акционерная компания«Железные дороги Якутии» отдела бухгалтерского учета и отчетности.Исследование объекта защитыОбщие сведения об ИСПДн отдела бухгалтерского учета и отчетности.Отдел бухгалтерского учета и отчетности является структурнымподразделением в акционерном обществе «Акционерная компания«Железные дороги Якутии» и подчиняется генеральному директорукомпании.ИСПДн отдела позволяет осуществлять сбор, хранение, использование иуничтожение персональных данных работников в базе данных, с целью14ведения учета хозяйственной деятельности и отдельных аспектов кадровогоделопроизводства, проведения расчетов заработных плат сотрудников,формирования различных внутренних отчетов, изменения и созданияпервичных и отчетных документов по аспектам кадрового делопроизводства.Основными задачами отдела являются: 94Формирование полной и достоверной информации о хозяйственныхпроцессах и результатах деятельности предприятия, необходимой дляоперативного руководства и управления, а также для использованияналоговыми и банковскими органами, инвесторами, поставщиками,покупателями, кредиторами и иными заинтересованными организациями илицами; 89Обеспечения контроля за наличием и движением имущества ирациональным использованием производственных ресурсов в соответствии сутвержденными нормами, нормативами и сметами;Своевременное предупреждение негативных явлений в 70 хозяйственнофинансовой деятельности;Выявление внутрипроизводственных резервов, их мобилизация иэффективное использование;Оценка фактического использования выявленных резервов.

70Информационная система персональных данных позволяет упростить иавтоматизировать процесс хранения, обработки и передачи персональныхданных для поддержания работоспособности отдела.В информационной системе обрабатываются персональные данные 35 инойкатегории персональных данных. 5Администрированием информационной системы 5 занимается одинчеловек, назначенный приказом генеральным директора компании.Централизованное управления ЛВС и процесс администрирования ИСПДнпроизводится несертифицированными ФСТЭК и ФСБ программнымкомплексом UserGate.

Для отдела используется собственный контроллердомена, при помощи которого осуществляется администрирование рабочих15станций и управление групповыми политиками безопасности. Доступ куправлению настройками контроллеров домена (далее – AD) осуществляетсяудаленно с АРМ Администратора (АРМ 5) либо непосредственно с самогосервера – контроллера домена, расположенного в серверной.Администратор имеет доступ к установке и настройке программногообеспечения, изменению конфигурации устройств и сетей, управлениюконтроллерами доменов, а также имеет возможность подключаться ко всемАРМ пользователей удаленно со своего рабочего места.Персональные данные хранятся распределено, на серверах БД и нажёстких дисках АРМ пользователей, к которым имеют доступ ограниченныйперечень лиц.Параметры ИСПДн отдела представлены в таблице А.1 приложения А.Конфигурация ИСПДн и топология ЛВС отдела представлены нарисунках 1.1 и 1.2 соответственно.Рисунок 1.1 – Конфигурация ИСПДн отдела17Рисунок 1.2 – Топология локальной вычислительной сети отдела18В отделе обрабатываются иные категории персональных данных, 12 то естьперсональные данные, не 12 относящиеся к специальным, биометрическим иобщедоступным категориям.

Объем персональных данных, которыеобрабатываются одновременно – менее 100 000 субъектов ПДн. В сегментеобрабатываются персональные данные не только сотрудников оператора, аименно:работников АО "АК "ЖДЯ"пользователей услуг АО "АК "ЖДЯ"физических лиц, состоящих в договорных и иных гражданско-правовыхотношениях с АО "АК "ЖДЯ"Отдел в своей деятельности обрабатывает следующий переченьперсональных данных:а) персональные данные работников АО "АК "ЖДЯ"1) фамилия;2) имя;3) отчество;4) пол;5) дата рождения;6) место регистрации и фактического проживания;7) место рождения;8) сведения об образовании;9) сведения о неоконченном образовании;10) сведения о состоянии в браке;11)сведения о воинском учете;12) дата прохождения аттестации;13) решение комиссии об аттестации;14) даты начала и окончания обучения;15) вид повышения квалификации;16) наименование учебного заведения;17) вид документа о повышении квалификации;1918) данные об отпусках;19) гражданство;20) данные о детях;21) сведения о знании языков;22) расчетный счет;23) номер страхового свидетельства государственного пенсионногострахования;24) СНИЛС;25) ИНН;26) реквизиты документа о присвоении квалификационной категории;27) профессия по штатному расписанию;28) табельный номер;29) должность;30) объем работы по занимаемой должности;31) подразделение;32) разряд;33) характер работы;34) вид работы;35) стаж работы;36) основание исчисления стажа;37) ставка;38) тип документа, удостоверяющего личность;39) 47 реквизиты документа, удостоверяющего личность;40) 47 расчетный счет;41) место работы;42) страховой стаж;43) оклад;44) начисления;45) средний заработок;46) дата приема на работу;2047) дата увольнения;48) дата выхода на пенсию;49) льготы;50) пособия.б) персональные данные пользователей услуг АО "АК "ЖДЯ":1) фамилия, имя, отчество;2) дата рождения;3) 118 место рождения;4) вид и номер документа, удостоверяющего личность, по которомуприобретается проездной документ ( 47 для несовершеннолетних свидетельство о рождении или его нотариально заверенная копия);5) пункт отправления, пункт назначения, вид маршрута следования(беспересадочный, транзитный);6) дата поездки.в) 47 персональные данные физических лиц, состоящих в договорных ииных гражданско-правовых отношениях с АО "АК "ЖДЯ":1) фамилия;2) имя;3) отчество;4) ИНН;5) СНИЛС;6) банковский счет.Отдел состоит из 5 АРМ и 1 сервера, на котором содержится база данных.Этот же сервер является контроллером домена для отдела.Работа в отделе осуществляется в многопользовательском режиме сразграничением прав доступа субъектов доступа к объектам доступа всоответствии с минимально необходимыми возможностями пользователейдля их работы.

Характеристики

Список файлов ВКР