645.39K
Category: informaticsinformatics
Similar presentations:
Разработка комплекса мероприятий по сохранности конфиденциальной информации
Разработка комплекса мероприятий по сохранности конфиденциальной информации
Конфиденциальность в интернете
Конфиденциальность в интернете
Технология защищенного документооборота. Лекция 1. Введение
Технология защищенного документооборота. Лекция 1. Введение
Разработка рекомендаций по защите конфиденциальной информации в компьютерной системе ПАО «МРСК Центра» - «Костромаэнерго»
Разработка рекомендаций по защите конфиденциальной информации в компьютерной системе ПАО «МРСК Центра» - «Костромаэнерго»
Разработка мер по защите от внутренних угроз локальной вычислительной сети предприятия
Разработка мер по защите от внутренних угроз локальной вычислительной сети предприятия
Повышение эффективности защиты конфиденциальной информации, передаваемой по сети Интернет
Повышение эффективности защиты конфиденциальной информации, передаваемой по сети Интернет
Разработка мер по защите информации в АСУ «АСУ – навигация Алтайский край»
Разработка мер по защите информации в АСУ «АСУ – навигация Алтайский край»
Совершенствование информационной безопасности в ФКУ "УФО МО РФ по Астраханской области"
Совершенствование информационной безопасности в ФКУ "УФО МО РФ по Астраханской области"
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах. Лекция 2
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах. Лекция 2
и информационной безопасности Защита информации ИСПДн в страховой компании «МАКС»
и информационной безопасности Защита информации ИСПДн в страховой компании «МАКС»

Разработка комплекса мероприятий по защите конфиденциального электронного документооборота интернет-провайдера

1.

КУРСОВОЙ ПРОЕКТ
ПО ДИСЦИПЛИНЕ «ЗАЩИТА И ОБРАБОТКА КОНФИДЕНЦИАЛЬНЫХ ДОКУМЕНТОВ»
НА ТЕМУ: «РАЗРАБОТКА КОМПЛЕКСА МЕРОПРИЯТИЙ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОГО
ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА ИНТЕРНЕТ-ПРОВАЙДЕРА»
Выполнила студентка Зеленская А.А.
Группа ИБ-321
Направление 10.04.01 Информационная безопасность

2.

Актуальность
Современная информационная эра характеризуется высоким уровнем цифровой связности и доступностью информации
во всех ее формах. Вместе с тем, возросло количество угроз, связанных с незаконным доступом к данным и нарушением
информационной безопасности. Криминальные элементы, хакеры, конкуренты и даже некомпетентные сотрудники могут
использовать доступ к конфиденциальным данным для мошенничества, шпионажа или других преступлений. Это означает, что
защита информации сегодня является крайне важной для обеспечения конфиденциальности, целостности и доступности
данных. Нарушение информационной безопасности может привести к утечкам данных, компрометации личной информации
клиентов, финансовым потерям, потере репутации и даже к угрозам национальной безопасности. Поэтому сейчас защита
информации становится все более актуальной и востребованной как в бизнесе, так и в личной жизни.
Цель: разработать комплекс мероприятий для защиты различных видов конфиденциальной информации в электронном
документообороте компании ПАО Ростелеком.
Задачи:
1. Разработать перечень передаваемой информации
2. Оценка потенциальных угроз и нарушителей.
3. Составление списка требований к средствам защиты.

3.

Техническое обеспечение компании.
Техническое обеспечение ПК:
В каждом отделе находится по
8 компьютеров. Каждый ПК
оснащен одинаковым набором
программ.
Процессор: Intel Celeron
N4100
1. Операционные
системы: Windows,
Unix.
ОЗУ: 4 Гб.
Жесткий диск: 500 Гб.
Видеокарта: GeForce GT640
2. Антивирусы: Avast,
Symantec, Kaspersky
Antivirus
3.Использующиеся
утилиты: AIDA64,
Архиватор, AIDA64
(Extreme Edition), VmWare,
браузеры: Google Chrome,
Yandex Browser, Mozilla и
т.д.
Используемые отделом продукты:
Bacula, ЕСЭД - Единая система
электронного документооборота,
Zabbix, R12 - система управления
предприятием, Microsoft Office,
ACP ―старт биллинговая
система.

4.

Информационные потоки компании и ЭДО.

а) Информация, предоставляющая Пользователем
(о себе) самостоятельно или через третье лицо

б) Стандартные данные, автоматически
получаемые http-сервером при доступе
Пользователя к Сервису Оператора.

в) Информация, автоматически получаемая при
доступе к Сервисам Оператора и хранящаяся на
стороне браузера.

г) Информация, содержащая геолокацию.

д) Вся информация, которую Оператор собирает,
хранит и обрабатывает о Пользователях, считается
информацией ограниченного доступа, если
законодательством Российской Федерации или
настоящими Общими положениями и условиями
не предусмотрено иное.

5.

Модель угроз
По виду защищенности персональных данных от угроз;
Возможные источники угроз безопасности персональных данных. (Внутренний
нарушитель, внешний нарушитель, внедрение вредоносных программ);
По типу информационных систем персональных данных, на которые направлены
реализация угроз.
По способам реализации угроз безопасности персональных данных
По виду несанкционированных действий, которые осуществляются с
персональными данными.
По виду используемой уязвимости.
Объект воздействия

6.

Модель нарушителя
Внешний нарушитель:
Внутренний нарушитель:
разведывательные службы
государств;
лица, которые имеют санкционированный доступ к
информационной системе персональных данных, но,
которые не имеют доступа к персональным данным.
криминальные структуры
зарегистрированные пользователи ИСПДн,
которые осуществляют ограниченный доступ к
ресурсам ИСПДн с рабочего места.
конкуренты (конкурирующие
организации)
недобросовестные партнеры;
внешние субъекты
(физические лица)
зарегистрированные ИСПДн, которые осуществляют
удаленный доступ к ПДн по локальным и
распределенным информационным системам.
зарегистрированные пользователи ИСПДн с
правами администратора безопасности сегмента
(фрагмента) ИСПДн.
зарегистрированные пользователи с правами
системного администратора

7.

Внешние и внутренние нарушители
На основе проведенного анализа выявлены следующие потенциальные нарушители компании.
Внутренние:
Тип
нарушителя
1
2
3
4
5
6
7
8
Внешние:
Учет/не учёт
Не учитывать. Выполняет администратор безопасности.
Тип
Название
нарушителя
нарушителя
Не учитывать. В условиях эксплуатации ограниченный
1
доступ с рабочего места не осуществляется.
Разведывательные
Учет/не учёт
Учитывать
службы государств
Учитывать. Рассмотрение без ограничений.
Учитывать. Администрирование возложено не на одного
2
человека, так как существуют филиалы компании.
Криминальные
Учитывать
структуры
Учитывать. Администрирование возложено не на одного
человека, так как существуют филиалы компании.
3
Конкуренты
Учитывать
Учитывать. Рассмотрение без ограничений.
4
Недобросовестные
Учитывать
Учитывать. Существуют собственные
ППО.
Учитывать. Могут быть основания, чтобы предполагать
деструктивные действия.
партнеры
разработчики
5
Физические лица
Учитывать

8.

Меры по обеспечению защиты и передачи информации.
В соответствии с ГОСТ Р 50922-2006 можно выделить следующие организационные и технические меры по защите
конфиденциальной информации
Передача информации в компании.

9.

Разработка организационных и технических мер для обеспечения безопасности ПДн.
Организационные
149-ФЗ об информационной
безопасности — устанавливает
основные права и обязанности,
касающиеся информации и
информационной безопасности.
152-ФЗ — описывает правила
работы с персональными
данными.
98-ФЗ — определяет, что относится
к коммерческой тайне компаний.
68-ФЗ — дает определение электронной
подписи и описывает, как и когда ее
можно применять, какой юридической
силой она обладает.
187-ФЗ — описывает правила защиты ITинфраструктуры на предприятиях,
работающих в сферах, критически важных
для государства.
Внедрение только
проверенных программных
решений, которые уже
многократно опробованы
другими компаниями и
преимущества, и недостатки
которых очевидны;
Минимальная модификация
существующих лицензионных
программных продуктов
силами собственных или
внешних подрядчиков;
Использование только
лицензионного программного
обеспечения, которое, по
возможности, должно быть
зарегистрировано в
Государственном реестре
программ для ЭВМ и баз
данных;
Технические

10.

Заключение.
В ходе курсового проекта была исследована компания ПАО Ростелеком, а также произведена разработка комплекса мероприятий по
защите конфиденциального документооборота в данной компании. Изучена общая характеристика компании, так же
проанализированы информационные потоки, все категории персональных данных. В компании информационная система
персональных данных представлена в виде распределенной ИСПДн, имеющей подключение к сетям связи общего пользования и
сетям международного информационного обмена. Система является многопользовательской, с разграничением прав доступа, а
также информационная система находится в пределах территории Российской Федерации.
Создана модели угроз и вероятного нарушителя, помимо этого, определены требования и меры по защите информации и
выявлены методы и средства защиты.
English     Русский Rules