Автор работы: Пользователь скрыл имя, 05 Марта 2013 в 12:49, дипломная работа
Цель дипломной работы заключается в модернизации и подготовки информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ.
Для достижения поставленной цели были сформулированы следующие задачи:
Рассмотреть основные понятия в области безопасности информационных технологий.
Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной и службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с
персональными данными в
з) контроль за соблюдением условий
использования средств защиты информации,
предусмотренных
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных: опасных последствий подобных нарушении;
к) описание системы защиты персональных данных.
Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушении и устранения этих причин.
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных установлены постановлением Правительства Российской Федерации от 06.07.2008 №512.
Под материальным носителем понимается
машиночитаемый носитель информации (в
том числе магнитный и
Настоящие требования не распространяются на отношения, возникающие при использовании:
а) оператором информационной системы персональных данных (далее - оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;
б) бумажных носителей для записи и хранения биометрических персональных данных.
Оператор утверждает порядок передачи материальных носителей уполномоченным лицам, а также обязан:
а) осуществлять учет количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
Федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, согласно постановлению Правительства Российской от 02.06.2008 № 419, является Федеральная служба в сфере связи и массовых коммуникаций (Россвязькомнадзор).
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных утверждены постановлением Правительства Российской Федерации от 06.06.2008 №512.
Настоящие требования применяются при использовании материальных носителей на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.
Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее - материальный носитель).
Настоящие требования не распространяются на отношения, возникающие при использовании:
а) оператором информационной системы персональных данных (далее - оператор) материальных носителей доя организации функционирования информационной системы персональных данных, оператором которой он является;
б) бумажных носителей для записи и хранения биометрических персональных данных.
Порядок передачи материальных носителей уполномоченным лицам утверждает оператор. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора. Оператор обязан:
а) осуществлять учет количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
Порядок проведения классификации информационных систем персональных данных утверждён совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20. Также следует отметить нормативные правовые акты и методические документы ФСТЭК России и ФСБ России:
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 14.02.2008);
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены Заместителем директора ФСТЭК России 15.02.2008);
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены Заместителем директора ФСТЭК России 15.02.2008);
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 15.02.2008);
• Методические рекомендации
по обеспечению с помощью
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622).
В настоящее время федеральными органами исполнительной власти, наделенными полномочиями нормативно-правового регулирования вопросов обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации являются ФСТЭК России и ФСБ России.
22 сентября 2006 г. в Государственную Думу был внесен Законопроект (№ п/п: 1 Код: 340741-4) «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры», который был снят с рассмотрения 11.03.2008 в связи с отзывом субъектом права законодательной инициативы.
Тем не менее, ФСТЭК России были разработаны следующие нормативно-методические документы по обеспечению безопасности информации в ключевых системах информационной инфраструктуры:
• Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007);
• Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007);
• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (утверждены Заместителем директора ФСТЭК России 18.05.2007).
Исходя из вышеизложенного, можно ввести простую и понятную классификацию тайн:
• по собственнику (государственная, негосударственная и т.п.);
• по владельцу (в своих или чужих руках - государственная, коммерческая, банковская, профессиональная, служебная, персональные данные как особый институт охраны неприкосновенности частного лица и т.п.);
• по области применения, в которой извлекается выгода от монопольного владения (экономическая - коммерческая, политическая, военная и т.п.);
• по степени важности - гриф.
Другие Федеральные законы и нормативные правовые акты Российской Федерации предусматривают:
• лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;
• сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;
• аттестацию (аттестование) автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям по безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
• возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;
• создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;
• определение прав и обязанностей субъектов в области защиты информации.