Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Кафедра «Информационные технологии и системы»

К ЗАЩИТЕ ДОПУСТИТЬ

Заведующий кафедрой

_____________М.А. Попов

«____» июня 2017

РАЗРАБОТКА ПРОФИЛЯ ЗАЩИТЫ ИНФОРМАЦИИ В СЕГМЕНТЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ТЕЛЕКОММУНИКАЦИОННОЙ КОМПАНИИ

Пояснительная записка к выпускной квалификационной работе бакалавра

ВКР 10.03.01 24Б ПЗ

Хабаровск – 2017

Abstract

In the thesis, the task is to develop a profile of information security in the information system segment.

As part of the project development, an analysis of the existing protection measures, anticipated security threats is conducted. The goal of the project is to develop a security profile for the information system segment.

An investigation of the information system was carried out, based on which an audit report, a threat model and an analytical rationale were written and a technical project was proposed based on the terms of reference.

Содержание

Введение 5

1 Исследование объекта защиты 9

1.1 Общие сведения об ИСПДн сегмента компании 9

1.2 Существующие меры защиты ИСПДн 18

1.3 Классификация ИСПДн 21

1.4 Модель угроз безопасности персональных данных в ИСПДн 22

2 Разработка методов и способов защиты персональных данных 32

2.1 Определение набора мер 32

2.2 Требования к системе защиты ПДн 38

2.3 Технические средства защиты информации 40

2.3.1 СЗИDallas Lock 8.0-K 41

2.3.2 СДЗ Dallas Lock 8.0-K 42

2.3.3 XSpider 7.8.24 44

2.3.4 АПКШ «Континент» 3.7 44

2.4 Организационные меры защиты информации 45

2.5 Выполнение набора мер ТС защиты информации 47

2.6 Профиль системы защиты 53

Заключение 55

Список использованных источников 56

Принятые сокращения 59

Приложение А 60

Приложение Б 64

Приложение В 66

Приложение Г 70

Приложение Д 75

Введение

С ростом технологий и введением в повседневную жизнь различных инноваций, появляется большое количество различных информационных систем, от различных компаний и предприятий. На сегодняшний день у любой компании от мала до велика есть своя информационная система, которая хранит и обрабатывает персональные данные своих клиентов. Такие системы часто подвержены атакам злоумышленников.

Злоумышленники незаконным путем получают доступ к информационной системе, которая обрабатывает персональные данные клиентов и собирают их в виде большой базы данных, доступ к такой информации им нужен, чтобы:

• искажать информацию;

• продавать информацию;

• устраивать какие-либо атаки на лиц, чьи данные обрабатываются.

Подобные атаки стали причиной повышения информационной безопасности информационных систем компаний. Часто компании, обеспечивая информационную безопасность на своей информационной системе забывают или не уделяют должного внимания своим подразделениям или филиалам. Исходя из чего злоумышленникам проще собрать данную информацию из подразделения или во время передачи подобной информации по каналам связи.

В данной – работе рассматривается проблема защиты персональных данных в подразделении и передачи этих данных в центр обработки данных. Темой работы является «Разработка профиля защиты информации в сегменте информационной системы телекоммуникационной компании».

Следуя теме данной работы можно установить, что внимание работы будет уделено не всей сети, а только сегменту сети.

В данной работе будет рассматриваться информационная система телекоммуникационной компании, которая предоставляет своим клиентам доступ в сеть интернет. Защита информационной системы телекоммуникационной компании в отличии от других компаний более актуальна.

Предоставляя своим клиентам выход в интернет в информационной системе еще обрабатываются данные о подключениях, точках выхода, услугах физических и юридических лиц. Получив такую информацию, злоумышленники смогут получить доступ к возможным способам получения несанкционированного доступа к информационным системам других компаний. В отличии от главного офиса, где расположен центр обработки данных и осуществляется жесткий контроль к доступу информационной системы, в подразделении такой контроль не осуществляется. Для предотвращения подобных угроз рассматривается обеспечение информационной безопасности информационная система, обрабатываемая в сегменте телекоммуникационной компании.

Любая информационная система согласно Федеральному закону от 27.07.2006 №152-ФЗ (ред. От 22.02.2017) «О персональных данных» [13] определяется различной категорией персональных данных. К ним относя общедоступные персональные данные, специальные персональные данные, биометрические, категории персональных данных, обрабатываемых в информационной системе персональных данных (далее ИСПДн).

Цель данной работы выпускной квалификационной работы – это разработка комплекса совокупных методических и технических мер для обеспечения информационной безопасности на сегменте сети телекоммуникационной компании на основе проведенного аудита сегмента сети, аналитического обоснования, построения модели угроз которые могут затронуть безопасность информации, а также введения средств защиты информации для выполнения требований нормативно правовой документации Российской Федерации, согласно Федеральному закону от 27.07.2006 №152-ФЗ (ред. От 22.02.2017) «О персональных данных» [13].

Чтобы достичь конечного результата потребовалось:

• сформировать требования к защите персональных данных, которые обрабатываются в ИСПДн;

• разработать профиль защиты ИСПДн;

Для того, чтобы сформировать требования к защите персональных данных требуется:

• решить, требуется ли обеспечение информационной безопасности для данной информационной системой;

• классифицировать информационную систему по требованиям безопасности информации;

• определить предполагаемый потенциал и степень вероятного вмешательства нарушителя, выявление из всех потенциальных угроз актуальных, способных навредить целостности безопасности и составить модель угроз информационной безопасности;

Исходя из составленных требований к защите персональных данных требуется непосредственно проектирование защиты персональных данных. А значит для проектирования защиты потребуется:

• определить ряд организационных и технических мер для обеспечения защиты информации;

• определения типа конфиденциальной информации и средств защиты, имеющих сертификат соответствия к требованиям информационной безопасности;

• определить меры защиты при передаче защищаемой информации между подразделениями и в иные информационные системы, например, надзорных организаций, через сети общего пользования.

Чтобы разработать качественную систему защиты информации, которая обрабатывается в информационной системе жизненно необходимо понимать структурную и функциональную характеристику информационной системы, работу этой системы.

Чтобы обеспечить работоспособность информационной системы в данном случае не обязательно иметь доступ к сети интернет, достаточно иметь доступ к локальной сети, так как телекоммуникационная компания для которой разрабатывается профиль защиты как раз и предоставляет выход в сеть интернет, а значит подключает все свои подразделения к своим линиям и сетям.

В работе представлены два основных раздела, заключение, список используемых источников и пять приложений.

В первом разделе производится обследование и изучение объекта защиты. Представлены общие сведения о работе подразделения, цели и задачи его деятельности. Описание информационной системы, меры защиты информационной системы на текущий момент деятельности. Обоснование средств защиты информации в информационной системе. Определение модели угроз информационной системы.

Во втором разделе производится разработка системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации. В данном разделе рассматриваются и определяются организационные и технические меры и требования для защиты информации и организации информационной безопасности. Определяются технические средства, при помощи которых можно достичь необходимых требований, а также разработка мер для противодействия угрозам информационной безопасности.

В списке использованных источников приводятся используемые документы, литература, интернет сайты, и другие источники информации, использующиеся в данной выпускной квалификационной работе бакалавра.

В приложении приводится выписка из составленных документов.

1 Исследование объекта защиты

Исследование проводилось на территории телекоммуникационной компании общества с ограниченной ответственностью «Рэдком-Розничные Услуги» (далее – ООО «Рэдком – РУ»).

В результате обследования сети подразделения ООО «Рэдком – РУ» были получены и проанализированы следующие данные:

• состав и структура объектов защиты;

• топология сети и расположение элементов системы относительно границ контролируемой зоны;

• требуемый уровень защищенности ПДн;

• перечень лиц, участвующих в обработке ПДн;

• права доступа лиц, допущенных к обработке ПДн;

• существующие меры защиты;

• угрозы, с которыми сталкивается компания;

1. Общие сведения об ИСПДн сегмента компании

Рассматриваемым сегментом информационной сети телекоммуникационной компании ООО «Рэдком-РУ» является подразделение телекоммуникационной компании, которое находится по адресу: Хабаровский край, г. Хабаровск, ул. Волочаевская 124.

Информационная система персональных данных (далее ИСПДн) подразделения позволяет осуществлять манипуляции с персональными данными (далее ПДн), такими как:

• сбор;

• хранение;

• использование;

• уничтожение;

Целью данной информационной системы является ведение учета деятельности подразделения, проведения расчетов заработных плат сотрудников, проведения расчетов списания платы за услуги с клиентов, оплата услуг, формирование различных внутренних и внешних отчетов.

Телекоммуникационная компания ООО «Рэдком – РУ» обеспечивает круглосуточный доступ к сети интернет своим пользователям. Информационная сеть компании ООО «Рэдком – РУ» – круглосуточно обрабатывает большое количество ПДн клиентов и сотрудников.

Основные задачи подразделения:

• формировать полную и достоверную информацию о работе подразделения телекоммуникационной компании, которая необходима для оперативного управления компанией;

• обеспечение контроля рационального использования производственных ресурсов в соответствии с утвержденными нормами компании;

• прием заявок на подключение от физических лиц, которые еще не обслуживаются телекоммуникационной компанией;

• прием заявок на подключение дополнительных услуг от физических лиц, которые обслуживаются телекоммуникационной компанией;

• прием заявок на изменение услуг или тарифов от физических лиц, которые обслуживаются телекоммуникационной компанией;

• прием заявок на подключение от юридических лиц, которые еще не обслуживаются телекоммуникационной компанией;

• прием заявок на подключение дополнительных услуг от юридических лиц, которые обслуживаются телекоммуникационной компанией;

• прием заявок на изменение услуг или тарифов от юридических лиц, которые обслуживаются телекоммуникационной компанией;

• передача отчетов в надзорные организации, такие как налоговые, банковские органы, инвесторы, поставщики, и иные заинтересованные организации;

• своевременное реагирование на негативные явления в деятельности телекоммуникационной компании;

• оценки качества работы компании, для увеличения рабочих мощностей, повышения качества всех услуг, и привлечения большего количества потенциальных клиентов;

ИСПДн позволяет упростить и автоматизировать процесс хранения, обработки и передачи персональных данных.

В информационной системе телекоммуникационной компании обрабатываются иные категории персональных (не относятся к специальным, биометрическим и общедоступным) данных согласно Федеральному закону от 27.07.2006 №152-ФЗ (ред. От 22.02.2017) «О персональных данных» [13].

Администрированием информационной системы в подразделении занимается сотрудник технического обслуживания абонентов (далее сотрудник ТОА), назначенный приказом генерального директора компании. За организацией и соблюдением политик информационной безопасности следит руководящий состав подразделения в лице начальника подразделения и его заместителя.

Сотрудник технического обслуживания абонентов имеет доступ к установке и настройке программного обеспечения, изменению конфигураций сети и устройств. Персональные данные хранятся на серверах центра обработки данных и на жестких дисках автоматизированных рабочих мест пользователей, к которым имеет доступ ограниченный перечень лиц. Конфигурация ИСПДн и топологии локально вычислительной сети (далее ЛВС) представлены на рисунке 1.1.

В информационной системе телекоммуникационной компании обрабатываются иные категории персональных данных (не относятся к специальным, биометрическим и общедоступным) согласно Федеральному закону от 27.07.2006 №152-ФЗ (ред. От 22.02.2017) «О персональных данных» [13].

Субъекты персональных данных, которые обрабатываются в подразделении:

• работники ООО «Рэдком – РУ»;

• физические лица, состоящие в договорных и иных гражданско-правовых отношениях с ООО «Рэдком – РУ»;

• юридические лица, состоящие в договорных и иных гражданско-правовых отношениях с ООО «Рэдком – РУ»;

Параметры рассматриваемой информационной системы представлены в таблице А.1 приложения А.

Подразделение телекоммуникационной компании ООО «Рэдком – РУ» обрабатывает следующий перечень персональных данных сотрудников:

• фамилия;

• имя;

• отчество;

• пол;

• дата рождения;

• место рождения;

• место регистрации;

• место физического проживания;

• сведение об образовании;

• сведения о состоянии в браке;

• сведения о воинском учете;

• дата начала и конца обучения;

• квалификация;

• наименование учебного заведения;

• информация о повышении квалификации;

• данные об отпуске;

• гражданство;

• данные о детях;

• сведения о знании языков;

• СНИЛС;

• ИНН;

• реквизиты документа о присвоении квалификационной категории;

• табельный номер;

• должность;

• подразделение;

• категория;

• характер работы;

• вид работы;

• стаж работы;

• основание исчисления стажа;

• место работы;

• средний заработок;

• дата приема на работу;

• дата увольнения;

• оклад;

• ставка;

• льготы;

• пособия;

• выработанные часы;

Подразделение телекоммуникационной компании ООО «Рэдком – РУ» обрабатывает следующий перечень персональных данных клиентов:

• фамилия;

• имя;

• отчество;

• пол;

• дата рождения;

• место рождения;

• место регистрации;

• место физического проживания;

• СНИЛС;

• гражданство;

• вид и номер документа, удостоверяющего личность (паспорт, доверенность с копией паспорта);

• адрес, по которому предоставляются услуги;

• контактный телефон;

• факс;

• электронный почтовый ящик;

• ИНН;

• виды предоставляемых услуг;

• тарификация услуг;

• текущий баланс лицевого счета;

• банковский счет;

• данные подключения;

• льготы;

• акции;

• почтовый адрес;

• точка выхода;

• почтовый адрес;

В подразделении, установлено 21 автоматизированное рабочее место. (далее АРМ) Среди них:

• 1 АРМ Начальника подразделения;

• 1 АРМ Сотрудника Технического Обслуживания Абонентов (ТОА);

• 5 АРМ Сотрудников по работе с действующими физическими клиентами;

• 2 АРМ Сотрудников по работе с новыми физическими клиентами;

• 1 АРМ Сотрудника вневедомственной охраны;

• 9 АРМ Сотрудников по работе с действующими бизнес клиентами;

• 2 АРМ Сотрудников по работе с новыми бизнес клиентами;

Уровень доступа субъектов доступа к объектам доступа соответствует минимально необходимым возможностям пользователя для его работы и осуществляется в многопользовательском режиме.

Все АРМ пользователей объединены в ЛВС проводной технологией передачи данных. Взаимодействие всех сетевых устройств друг с другом осуществляется по стандарту IEEE 802.3, объединенных через сетевой коммутатор Cisco SF220-24.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР