Пояснительная записка (1209942)
Текст из файла
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ПУТЕЙ СООБЩЕНИЯ»
Кафедра «Информационные технологии и системы»
К ЗАЩИТЕ ДОПУСТИТЬ
Заведующий кафедрой
____________М.А. Попов
«___» июня 2017 г.
РАЗРАБОТКА ПРОФИЛЯ ЗАЩИТЫ информации в сегменте видеонаблюдения информационной системы ПЕРСОНАЛЬНЫХ ДАННЫХ транспортного ПРЕДПРИЯТИЯ
Пояснительная записка к дипломному проекту
Д 10.05.03 25К 00 ПЗ
Студент гр. 25К И.С. Тикканин
Руководитель
(доцент, к.т.н., доцент) Г.А. Гурвиц
Консультант по экономике
старший преподаватель С.Н. Курякина
Консультант по БЖД
(профессор, д.т.н., профессор) А.И. Андреев
Нормоконтроль
(доцент, к.п.н., доцент) В.И. Шестухина
Хабаровск – 2017
Оглавление
Введение 4
1 Исследование объекта защиты 10
1.1 Общая характеристика организации 10
1.2 Цели, задачи, параметры системы видеонаблюдения 11
1.3 Структура системы видеонаблюдения 14
1.4 Технические средства и программное обеспечение 19
1.5 Организация потоков видеоинформации 25
1.6 Режим обработки видеоинформации 27
1.7 Существующие меры защиты видеоинформации 29
1.8 Требуемый уровень защищенности видеоинформации 31
2 Разработка Модели угроз безопасности видеоинформации 33
2.1 Разработка Модели нарушителя 33
2.2 Определение актуальных угроз безопасности видеоинформации 35
3 Создание системы защиты видеоинформации 40
3.1 Назначение и цели системы защиты видеоинформации 40
3.2 Определение стадий создания системы защиты 41
3.3 Функциональное назначение системы защиты 43
3.4 Требования к системе защиты видеоинформации 43
4 Разработка профиля защиты видеоинформации 44
4.1 Выбор мер защиты и средств их реализации 44
4.2 Выбор программных и программно-аппаратных средств защиты, их установка и настройка 55
4.3 Определение структуры системы защиты 60
4.4 Определение режимов функционирования системы защиты 63
4.5 Организационное обеспечение защиты видеоинформации 64
4.6 Физические меры защиты видеоинформации 66
4.7 Правовое обеспечение защиты видеоинформации 67
5 Экономический раздел 68
5.1 Общая характеристика показателей оценки экономической эффективности технического решения 68
5.2 Определение финансовых затрат на разработку и внедрение технического решения по созданию системы защиты видеоинформации 68
5.3 Определение экономического эффекта от внедрения системы защиты видеоинформации 75
6 Безопасность жизнедеятельности 77
6.1 Определение параметров микроклимата в производственном помещении 77
6.2 Оценка микроклимата по его отдельным составляющим 82
6.3 Разработка мероприятий по обеспечению оптимального и допустимого микроклимата на рабочих местах 84
Заключение 87
Список использованных источников 89
Обозначения и сокращения 93
Приложение А Заключение по результатам аудита системы видеонаблюдения 94
Приложение Б Модель угроз безопасности биометрических персональных данных .. 95
Приложение В Аналитическое обоснование необходимости создания системы защиты 111
Приложение Г Техническое задание на создание системы защиты 114
Приложение Д Технический проект на создание системы защиты 117
Введение
Настоящая выпускная квалификационная работа выполнена в целях обеспечения защиты биометрических персональных данных в системе видеонаблюдения транспортного предприятия.
Объектом исследования является система видеонаблюдения Управления Дальневосточной железной дороги – филиала ОАО «РЖД» (далее – Управление ДВЖД).
Актуальность работы заключается в следующем.
В соответствии с определением, данным в статье 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Соответственно, в контексте Федерального закона № 152-ФЗ отнесение сведений к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых мероприятий, направленных на установление личности конкретного лица. Основным признаком отнесения информации к биометрическим персональным данным является факт ее использования для идентификации субъекта.
Управление ДВЖД является организацией, доступ в здание которой ограничен системой контроля управления доступом. Система видеонаблюдения организации позволяет отслеживать внутри здания деятельность строго ограниченного круга лиц, каждое из которых определено СКУД. Видеоинформация, получаемая в системе видеонаблюдения, используется для контроля за действиями субъектов доступа с одновременным проведением его идентификации (установления личности). Следовательно, такая видеоинформация относится к информации, содержащей биометрические персональные данные сотрудников и посетителей организации.
Система видеонаблюдения осуществляет с использованием средств автоматизации сбор, запись, накопление, хранение, использование, передачу и уничтожение видеоинформации, содержащей биометрические ПДн, что в соответствии со статьей 3 Федерального закона № 152-ФЗ является обработкой персональных данных.
Следовательно, видеонаблюдение в Управлении ДВЖД рассматривается как обработка видеоинформации, содержащей биометрические персональные данные сотрудников и посетителей организации, а сама система видеонаблюдения в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных» является информационной системой, обрабатывающей биометрические персональные данные.
Соответственно, видеоинформация в системе видеонаблюдения, содержащая биометрические персональные данные, должна использоваться в предусмотренном Федеральным законом № 152-ФЗ режиме, соблюдение которого обязательно изначально при осуществлении такого видеонаблюдения. В соответствии со статьей 19 указанного закона организация обязана принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Также организация обязана обеспечить выполнение требований о защите персональных данных, установленных в следующих нормативно-правовых актах Российской Федерации:
– Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее Федеральный закон № 149-ФЗ);
– постановлении Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – постановление Правительства № 1119);
– приказе ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – приказ ФСТЭК № 21);
– приказе ФСТЭК России 11.02 2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее – приказ ФСТЭК № 17);
– иных нормативно-правовых актах в сфере защиты информации.
Кроме того, существуют и другие аспекты целесообразности защиты видеоинформации в системе видеонаблюдения.
Согласно разъяснениям Роскомнадзора "О вопросах отнесения фото– и видео– изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" видеозаписи являются биометрическими персональными данными в случае установления факта нарушения установленного режима безопасности, зафиксированного камерами видеонаблюдения, и использования материалов видеосъемки органами, осуществляющими оперативно-розыскную деятельность, дознание и следствие, когда целью их обработки является установление личности конкретного физического лица. В данном случае актуальность обеспечения защиты от злоумышленников видеоинформации, обрабатываемой в системе видеонаблюдения, очевидна.
Максимальная комплексная защита системы видеонаблюдения и обрабатываемой в ней видеоинформации особенно необходима на важных объектах, к которым относится Управление ДВЖД, нарушение функционирования которого может привести к потере управления, разрушению транспортной инфраструктуры, негативному изменению экономики региона. Повышение угрозы совершения террористических актов, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг предприятий и организаций, особо значимых для экономики регионов, в ближайшем будущем сохранится.
При взломе системы видеонаблюдения злоумышленник получает возможность просматривать или искажать видеозаписи, наблюдать за событиями, происходящими на охраняемом объекте, прослушивать разговоры через установленные в камерах микрофоны, получать необходимую информацию для несанкционированного проникновения на территорию объекта или отключать систему видеонаблюдения. Поэтому защита системы видеонаблюдения призвана способствовать повышению уровня контроля управления доступом в контролируемую зону.
Стремительное развитие новых информационных технологий может способствовать интегрированию системы видеонаблюдения в локальные вычислительные сети организации, что существенно повышает вероятность взлома видеосистемы. Одновременно через ненадежно защищенную систему видеонаблюдения может быть взломана ЛВС организации, что может привести к существенным для нее потерям. Кроме того, система видеонаблюдения может быть подключена к системе «Безопасный город» и предоставлять сетевой доступ к видеоинформации. Поэтому задача защиты видеоинформации от перехвата по локальной или глобальной сети также является актуальной.
Таким образом, система видеонаблюдения нуждается в надежной защите, обеспечивающей целостность, конфиденциальность и доступность обрабатываемой в ней видеоинформации, содержащей биометрические персональные данные.
В целях настоящего дипломного проекта решались следующие основные задачи, определенные в соответствии с требованиями о защите информации, содержащей персональные данные, в приказе ФСТЭК № 17 и постановлении Правительства № 1119:
-
формирование требований к защите видеоинформации в системе видеонаблюдения транспортного предприятия;
-
разработка системы защиты видеоинформации системы видеонаблюдения.
Для решения указанных задач выполнялись следующие работы:
-
анализ целей создания системы видеонаблюдения и решаемых ею задач,
-
определение уровня защищенности биометрических персональных данных при их обработке в системе видеонаблюдения;
-
определение угроз безопасности видеоинформации, реализация которых может привести к нарушению безопасности видеоинформации, и разработка на их основе модели угроз безопасности видеоинформации, включающей описание возможностей нарушителей (модель нарушителя), возможных уязвимостей системы видеонаблюдения и способов реализации угроз безопасности;
-
определение целей и задач защиты видеоинформации в системе видеонаблюдения, основных этапов создания системы защиты и функций по обеспечению защиты видеоинформации;
-
разработка технического задания с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, включающего требования к системе защиты видеоинформации системы видеонаблюдения;
-
выбор мер защиты видеоинформации, которые в соответствии с приказом ФСТЭК № 21 принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
-
определение видов и типов средств защиты видеоинформации, обеспечивающих реализацию технических мер защиты видеоинформации;
-
определение структуры системы защиты видеоинформации, включая состав (количество) и места размещения ее элементов;
-
выбор средств защиты видеоинформации, сертифицированных на соответствие требованиям по безопасности информации, с учетом уровня защищенности биометрических персональных данных при их обработке в системе видеонаблюдения;
-
определение параметров настройки программного обеспечения средств защиты видеоинформации;
-
выбор организационных, правовых и физических мер защиты видеоинформации;
-
разработка технического проекта с учетом с учетом ГОСТ 34.201, ГОСТ 34.601, ГОСТ Р 51583 и ГОСТ Р 51624.
1 Исследование объекта защиты
1.1 Общая характеристика организации
Дальневосточная железная дорога является филиалом ОАО "РЖД", осуществляющим свою деятельность в соответствии с:
– Федеральным законом Государственной Думы РФ от 10.01.2003 № 17-ФЗ «О железнодорожном транспорте в Российской Федерации»,
– Федеральным законом Государственной Думы РФ от 10.01.2003 № 18-ФЗ «Устав железнодорожного транспорта Российской Федерации»,
– постановлением Правительства РФ от 18.09.2003 № 585 "О создании открытого акционерного общества "Российские железные дороги",
–
положением ОАО «РЖД» от 01.10.2012 № 264 «О Дальневосточной железной дороге».
Управление ДВЖД
Дальневосточная железная дорога – основа транспортной системы Дальневосточного региона. Главная задача ДВЖД – своевременное и полное удовлетворение потребностей экономики и населения в железнодорожных перевозках грузов и пассажиров.Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
