Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

Автор работы: Пользователь скрыл имя, 05 Марта 2013 в 12:49, дипломная работа

Краткое описание

Цель дипломной работы заключается в модернизации и подготовки информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ.
Для достижения поставленной цели были сформулированы следующие задачи:
Рассмотреть основные понятия в области безопасности информационных технологий.

Скачать в ZIP архиве (974.00 Кб) Сколько стоит заказать работу?
Вложенные файлы: 1 файл

Дипломная работа.doc

— 2.40 Мб (Скачать файл)

Группа 2 классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А.

Группа 3 классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА.

2. 6. Специальные требования и рекомендации по технической защите конфиденциальной информации.

«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утверждены приказом Гостехкомиссии России от 30.08.2002

№ 282. СТР-К является нормативно-методическим документом и устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну на территории Российской Федерации. Требования и рекомендации этого документа распространяются на защиту государственных информационных ресурсов некриптографическими методами (служебная тайна), направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.

При проведении работ по защите негосударственных  информационных ресурсов, составляющих коммерческую тайну, банковскую тайну  и т.д., требования настоящего документа  носят рекомендательный характер.

Документ определяет следующие  вопросы защиты конфиденциальной информации:

  • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  • требования и рекомендации по защите речевой информации при ведении переговоров, в том числе с использованием технических средств;
  • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
  • порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  • особенности защиты информации при разработке и эксплуатации АС, использующих различные типы СВТ и информационные технологии;
  • порядок обеспечения защиты информации при взаимодействии абонентов с Сетями. Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации. Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнито-оптической и иной основе.

Объектами защиты при этом являются:

  • средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;
  • технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
  • защищаемые помещения.

 

Защита информации на объекте информатизации достигается выполнением комплекса  организационных мероприятий и  применением средств защиты информации от утечки по техническим каналам, несанкционированного доступа, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе ее обработки, передачи и хранения, а также работоспособности технических средств.

При защите информации в локальных  вычислительных сетях (ЛВС) конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах контролируемой зоны.

Средства защиты информации от НСД  должны использоваться во всех узлах  ЛВС независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС и требуют постоянного квалифицированного контроля настроек СЗИ администратором безопасности информации. Класс защищенности ЛВС определяется в соответствии с требованиями действующих руководящих документов ФСТЭК России.

Для управления, контроля защищенности ЛВС и распределения системных  ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.

2. 7. Ответственность за нарушения в сфере защиты информации.

Выдержки из статей Уголовного кодекса Российской Федерации:

Статья 272. Неправомерный  доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой  лиц по предварительному сговору  или организованной группой либо  лицом с использованием своего  служебного положения, а равно  имеющим доступ к ЭВМ, системе  ЭВМ или их сети, - наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

 

Статья 273. Создание, использование  и распространение

вредоносных программ для  ЭВМ

1. Создание программ для ЭВМ  или внесение изменений в существующие  программы, заведомо приводящих  к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами - наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

2. Те же деяния, повлекшие по  неосторожности тяжкие последствия, -наказываются лишением свободы  на срок от трех до семи лет.

 

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или  их сети

1. Нарушение правил эксплуатации  ЭВМ, системы ЭВМ или их сети  лицом, имеющим доступ к ЭВМ,  системе ЭВМ или их сети, повлекшее  уничтожение, блокирование или  модификацию охраняемой законом информации ЭВМ, если это деяние причинившего существенный вред, - наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.

2. То же деяние, повлекшее по  неосторожности тяжкие последствия, - наказывается лишением свободы  на срок до четырех лет.

 

Большое значение для лиц, занимающихся защитой информации, явилось появление в 2002 году новой редакции «Кодекса РФ об административных правонарушениях», в котором предусмотрена административная ответственность за конкретные нарушения в сфере защиты информации. Ниже приведены выдержки из наиболее «актуальных» статей этого документа.

 

Выдержки из статей Кодекса  об административных правонарушениях  Российской Федерации:

Статья 13.11. Нарушение  установленного законом порядка  сбора, хранения, использования или  распространения информации

о гражданах (персональных данных).

Нарушение установленного законом  порядка сбора, хранения, использования  или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение  административного штрафа на граждан  в размере от трехсот до пятисот  рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

 

Статья 13.12. Нарушение  правил защиты информации

1. Нарушение условий, предусмотренных  лицензией на осуществление деятельности  в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

2. Использование несертифицированных  информационных систем, баз и  банков данных, а также несертифицированных  средств защиты информации, если  они подлежат обязательной сертификации (за исключением средств защиты  информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацию несертифицированных средств защиты информации или без таковой.

3. Нарушение условии, предусмотренных  лицензией на проведение работ,  связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятии и (или) оказанием услуг по защите информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей.

4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией н несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

5. Грубое нарушение условий,  предусмотренных лицензией на  осуществление деятельности в  области защиты информации (за  исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскою деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

 

Статья 13.13. Незаконная деятельность в области защиты информации.

1. Занятие видами деятельности  в области защиты информации (за  исключением информации, составляющей  государственную тайну) без получения  в установленном порядке специального  разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), -влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятии и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии, -

влечет наложение административного  штрафа на должностных лиц в размере  от четырех тысяч до пяти тысяч  рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с  конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.

 

Статья 13.14. Разглашение  информации с ограниченным доступом.

Информация о работе Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»