Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

1. Принятые сокращения

   АВС	–	антивирусные средства
   АРМ	–	автоматизированное рабочее место
   АС	–	автоматизированная система
   ГИС	–	государственная информационная система
   ГОСТ	–	государственный стандарт
   ДСП	–	для служебного пользования
   ИБ	–	информационная безопасность
   ИСПДн	–	информационная система, обрабатывающая персональные данные
   КЗ	–	контролируемая зона
   ИТ	–	информационные технологии
   ЛВС	–	локальная вычислительная сеть
   НДВ	–	не декларированные возможности
   НЖМД	–	накопитель на жестких магнитных дисках
   НСД	–	несанкционированный доступ
   ОЗУ	–	оперативное запоминающее устройство
   ОПО	–	общесистемное программное обеспечение
   ОС	–	операционная система
   ОТСС	–	основные технические средства и системы
   ПДн	–	персональные данные
   ПК	–	программный комплекс
   ПО	–	программное обеспечение
   ПС	–	программные средства
   ПТС	–	программно-технические средства
   ПЭВМ	–	персональная электронно-вычислительная машина
   РД	–	руководящий документ
   СВТ	–	средства вычислительной техники
   СЗИ	–	система защиты информации
   СКЗИ	–	средства криптографической защиты информации
   СПО	–	специальное программное обеспечение
   СрЗИ	–	средства защиты информации
   ТЗ	–	техническое задание
   ТС	–	технические средства
   ТП	–	технический проект
   ФСБ	–	Федеральная служба безопасности
   ФСТЭК	–	Федеральная служба технического и экспортного контроля

2. Общие положения

1. Наименование разработки

Наименование работы: «Разработка технического проекта на создание системы защиты информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края».

1. Основание для разработки

Основанием для разработки изделия послужили:

• Техническое задание на разработку системы защиты информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края»;

• Модель нарушителя и угроз безопасности информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края»;

• Аналитическое обоснование необходимости создания системы защиты информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края»;

• Заключение по результатам аудита информационной системы системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края».

1. Организации, участвующие в разработке

Заказчик: Комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края Исполнитель: студент группы 25К Усов Александра.

1. Цель работы

Целью работы является разработка технического проекта, позволяющего осуществить разработку системы защиты информации (СЗИ) в информационной системе «Комитет».

1. Назначение

Основным назначением работы является разработка технического проекта на создание комплексной системы защиты информации в информационной системе в соответствии с нормами и требованиями законодательства РФ в области обеспечения безопасности информации при ее обработке в информационных системах и технической защиты конфиденциальной информации.

1. Область использования результатов разработки

Результаты работы ориентированы на применение средств защиты для исключения НСД к информации в информационной системе «Комитет».

1. Нормативно-методическая документация, используемая при разработке проекта системы защиты ИС

При разработке СЗИ использовались следующие нормативно-методические документы:

• Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

• Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» утверждены приказом Гостехкомиссии России от 30 августа 2002 г. №282;

• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

• «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

• ГОСТ 34.601-90. «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», утверждено постановлением Госстандарта СССР от 29 декабря 1990 г. № 3469;

• ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» утверждено постановлением Госстандарта СССР от 27 декабря 1990 г. № 3399;

• «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Утверждены приказом ФСТЭК от 11.02.2013 № 17;

• «Методический документ. Меры защиты информации в государственных информационных системах». Утвержден ФСТЭК 11.02.2014;

• «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено приказом ФСТЭК России от 18.02.2013 № 21;

• «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ от 01.11.2012 № 1119;

1. Описание объекта информатизации

1. Общая информация

В информационной системе обрабатывается два вида информации: персональные данные различных категорий нескольких видов субъектов ПДн и информация, составлющая служебную тайну.

Информация, обрабатываемая в процессе работы, хранится на жестких дисках АРМ пользователей ИС «Комитет», а так же на удаленном сервере БД, находящемся в пределах КЗ, но относящемуся к другому юридическому лицу - Муниципальному казённому учреждению «Комитет по содержанию объектов муниципальной собственности» Администрации Ванинского муниципального района Хабаровского края (далее КСОМС). В информационной системе «КСОМС» отсутствуют какие - либо средств защиты информации, разграничение доступа к данным осуществляется путем создания нескольких виртуальных серверов на одном физическом сервере, ИС не аттестована по требованиям информационной безопасности.

Параметры информационной системы «Комитет» представлены в таблице 4.1.

Таблица 4.1 – Структурно – функциональные характеристики информационной системы

Структурно-функциональные характеристики ИС, условия ее эксплуатации	Уровень проектной защищенности ИС (Y1П)
	высокий	средний	низкий
По структуре ИС: локальная ИС;		+
По архитектуре информационной системы: файл-серверные системы; использование прикладных программ, независимых от операционных систем;		+	+
По архитектуре информационной системы: файл-серверные системы;			+
По наличию (отсутствию) взаимосвязей с иными информационными системами: взаимодействующая с системами;			+
По наличию (отсутствию) взаимосвязей (подключений) подключенная к сетям связи общего пользования:			+
По размещению технических средств: расположенные в пределах одной контролируемой зоны;	+
По режимам обработки информации в ИС: многопользовательский;			+
По режимам разграничения прав доступа: с разграничением		+
По режимам разделения функций по управлению информационной системой: без разделения;			+
По подходам к сегментированию ИС: без сегментирования;			+

В ходе обследования был определен перечень субъектов, персональные данные которых обрабатываются в ИС «Комитет»:

• работники ИС «Комитет»;

• физические лица, состоящие в договорных и иных гражданско-правовых отношениях с ИС «Комитет»;

• юридические лица, состоящие в договорных и иных гражданско-правовых отношениях с ИС «Комитет».

Перечень данных, обрабатываемых В ИС в ходе своей деятельности:

1. Фамилия, имя, отчество

2. Дата рождения

3. Место рождения

4. Пол

5. Гражданство

6. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения)

7. Владение иностранными языками и языками народов Российской Федерации

8. Образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому)

9. Образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому)

10. Послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов)

11. Выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.)

12. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены)

13. Государственные награды, иные награды и знаки отличия (кем награжден и когда)

14. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены), сведения об иждивенцах

15. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены)

16. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен)

17. Пребывание за границей (когда, где, с какой целью)

18. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей)

19. Адрес регистрации и фактического проживания

20. Дата регистрации по месту жительства

21. Паспорт (серия, номер, кем и когда выдан)

22. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан)

23. Номер телефона (домашний, мобильный)

24. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу)

25. Идентификационный номер налогоплательщика

26. Номер страхового свидетельства обязательного пенсионного страхования

27. Данные страхового медицинского полиса обязательного медицинского страхования

28. Номер банковского счета

29. Наличие (отсутствие) судимости

30. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата)

31. Наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения

32. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденного заключением медицинского учреждения

33. Сведения о состоянии здоровья и наличии заболеваний, о нахождении на различных медицинских учетах

34. Сведения о социальных льготах и о социальном статусе

35. Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе и обязательствах имущественного характера супругов и несовершеннолетних детей

36. Сведения о последнем месте государственной или муниципальной службы

37. Биометрические персональные данные

38. Сведения о предпринимательской деятельности субъекта персональных данных и членов его семьи

39. Данные свидетельства о государственной регистрации акта гражданского состояния

40. Данные свидетельства о государственной регистрации права

Персональные данные физических и юридических лиц, состоящих в договорных и иных гражданско-правовых отношениях с ИС «Комитет»:

1. Фамилия, имя, отчество

2. Дата рождения

3. Место рождения

4. Пол

5. Гражданство

6. Адрес регистрации и фактического проживания

7. Паспорт (серия, номер, кем и когда выдан)

8. Номер телефона (домашний, мобильный)

9. Идентификационный номер налогоплательщика

10. Номер страхового свидетельства обязательного пенсионного страхования

11. Данные свидетельства о государственной регистрации права

1. Структура информационной системы «Комитет»

В ходе обследования было выявлено, что в информационной системе «Комитет» отсутствует разделение на сегменты и на всех АРМ обрабатывается одинаковая информация и одинаковые категории ПДн.

Характеристики

Список файлов ВКР