Преддипломная практика. SedovAN подходит. Исследовательский
Скачать 2.25 Mb.
|
НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ» ИНЖЕНЕРНО-ЭКОНОМИЧЕСКИЙ ИНСТИТУТ Кафедра информационной и экономической безопасности Направление подготовки бакалавриата 10.03.01-«Информационная безопасность» ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА БАКАЛАВРА Тема: Разработка мероприятий защиты персональных данных в организации Студент ИЭс 143-14 Седов Александр Николаевич группа подпись ФИО Руководитель работы ст. преп., к.ю.н., Туркина Анна Александровна должность звание подпись ФИО Консультант должность звание подпись ФИО «Работадопущенакзащите» Зав. кафедрой к.т.н., доцент Невский А.Ю. звание подпись ФИО Дата Москва 2017 г. НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ» Инженерно-экономический институт Кафедра информационной и экономической безопасности Направление подготовки бакалавриата 10.03.01 Информационная безопасность (номер и название) ЗАДАНИЕ НА ВЫПУСКНУЮ КВАЛИФИКАЦИОННУЮ РАБОТУ БАКАЛАВРА Тема: Разработка мероприятий защиты персональных данных в организации Студент ИЭс 147-14 Седов Александр Николаевич группа подпись фамилия, и., о. Научный руководитель ст. преп., к.ю.н., Туркина Анна Александровна должность звание подпись фамилия, и., о. Консультант должность звание подпись фамилия, и., о. Консультант должность звание подпись фамилия, и., о. Зав. кафедрой к.т.н., доцент Невский А.Ю. звание подпись фамилия, и., о. СОДЕРЖАНИЕ РАЗДЕЛОВ ЗАДАНИЯ И ИСХОДНЫЕ ДАННЫЕ Цель работы: разработка мероприятий по организации защиты персональных данных организации Решаемые задачи: 1. Выполнить анализ порядка обработки персональных данных в организации; 2. Описать основные направления, принципы и условия организационной защиты информации и технические меры защиты персональных данных; 3. Проанализировать нормативные основы обработки персональных данных в РФ 4. Предложить средства защиты данных и осуществить расчет стоимости проекта защиты персональных данных. ГРАФИК РАБОТЫ ПО РАЗДЕЛАМ ВКР
ПЕРЕЧЕНЬ ГРАФИЧЕСКОГО МАТЕРИАЛА В каждой главе дипломной работы должно быть не менее трех-четырех рисунков и графиков. Для защиты подготовить презентацию с использованием MS PowerPoint с объемом до 10 слайдов. Титульный лист презентации должен иметь информацию о теме дипломной работы, фамилии, имени, отчестве дипломника. На остальных слайдах обязательно должны быть включены цели работы, основные этапы исследования, выносимая для защиты модель или методика (методические рекомендации), математический аппарат расчета стоимости создаваемой (разрабатываемой) системы и краткие выводы. РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"; Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Приказ ФСТЭК России от 18.02.2013 N 21. "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; Васильков А. В. Информационные системы и их безопасность, М.,2014, Саматов К.М. Персональные данные работников организации и их защита. – М.: Издательские решения, 2016 г. и т.д. Оглавление Перечень сокращений и условных обозначений 6 Введение 7 Глава 1. Правовые и организационные основы защиты персональных данных на предприятии 10 Правовые основы защиты персональных данных 10 Методы и средства защиты персональных данных от несанкционированного доступа 12 Каналы утечек персональных данных 14 Средства защиты от несанкционированного доступа к ресурсам ИВС 19 Защита информации от компьютерных вирусов 21 Вывод по первой главе 24 Глава 2. Анализ существующей системы безопасности и модели нарушителя 25 Организационно – штатная структура предприятия и уровни допуска к ПДн 25 Анализ существующей системы безопасности 27 Анализ возможных типов атак и модель нарушителя 29 Вероятность реализации угроз безопасности персональных данных 36 Оценка возможности реализации и степени опасности угроз 42 Сертификация средств антивирусной защиты 48 Вывод по второй главе 50 Глава 3. Разработка мероприятий и выбор средств по защите персональных данных в АО «ЦЕНТР РАДИАЦИОННОЙ И ЯДЕРНОЙ БЕЗОПАСНОСТИ» 51 Организационные меры 51 Технические средства защиты информации 57 Выбор основного технического решения по защите персональных данных и его обоснование 57 Сравнительный анализ антивирусных продуктов 60 Внедрение антивирусной подсистемы защиты ПДн 63 Выводы по третьей главе 67 Заключение 68 Список использованной литературы 70 Перечень сокращений и условных обозначений АРМ - автоматизированное рабочее место; СЗИ – система защиты информации; ПО - программное обеспечение; PIN-код - Personal Identification Number — личный опознавательный номер, аналог пароля. ПДн - персональные данные; РФ - Российская Федерация; СХД - система хранения данных; ПК - персональный компьютер; CD - компакт-диск; FTP - File Transfer Protocol (протокол передачи файлов); ИВС - информационно-вычислительные сети; VPN - виртуальные частные сети; ЭП – электронная подпись; ОС - операционная система; ИСПДн - информационная система персональных данных; СКЗИ – система криптографической защиты информации; ФТБ – функциональные требования безопасности; ТДБ – требования доверия к безопасности; САВЗ – средство антивирусной защиты; ОО – объект оценки. ВВЕДЕНИЕ Кража персональных данных – одна из наиболее опасных и часто встречающихся проблем в области защиты информации. Ежегодно данные миллионов пользователей похищаются и распространяются в сети Интернет, продаются и покупаются на «черном» рынке, чтобы в последствии использоваться в мошеннических целях. Получить несанкционированный доступ к информации злоумышленники могут посредством специальных технических средств, специализированного программного обеспечения, такого, как, например, фишинговые сайты и электронные письма. В последнее время участились случаи применения приемов так называемой социальной инженерии, которая очень похожа на деятельность оперативного работника. Так же существует множество других способов. Нередко доступ к конфиденциальной информации, содержащей персональные данные, осознанно публикуется лицами, которые известны, как «инсайдеры» – это сотрудники компаний, вступившие в преступный сговор со злоумышленниками, будучи предварительно ими завербованными и действующие за вознаграждение или преследуя определенные интересы. Именно персональные данные составляют подавляющую часть несанкционированного оборота данных, при этом в последние годы зафиксирован рост количества целевых атак на крупных операторов персональных данных, которыми являются банки, прочие финансовые учреждения, крупные торговые сети. В июне 2015 года была похищена информация более чем о восьмидесяти миллионах клиентов крупнейшего американского банка «JP Morgan». В попытке сохранить репутацию руководство банка несколько месяцев скрывало факт несанкционированного доступа к персональным данным клиентов и сообщило о происшествии только в октябре 2015 года [9]. Массовая интеграция средств электронной безналичной оплаты – одна из наиболее острых причин повышения интереса субъектов, совершающих преступления в сфере информационных технологий, к персональным данным, хранящимся в рамках инфокоммуникационной структуры сетей розничной торговли. В декабре 2014 года произошла масштабная компрометация клиентов американской ритейлерной корпорации «Target». В результате установки вредоносного кода на компьютеры, связанные с терминалами оплаты, неизвестным злоумышленникам удалось осуществить хищение конфиденциальных данных о кредитных и дебетовых картах более 50 миллионов пользователей [9]. Кампании, направленные на хищение конфиденциальных данных посредством неправомерного доступа к компьютерам и сетям крупных организаций, приносят преступникам крупную денежную прибыль. Так, согласно отчету, опубликованному на сайте лаборатории Касперского», участники организованной преступной группировки «Carbanak», действующей с 2013 года, похитили более миллиарда долларов у различных финансовых учреждений посредством незаконного доступа к персональным данным, хранящимся в их корпоративных сетях. [9]. Вышеперечисленные факты позволяют сделать вывод о крайней актуальности такой темы, как защиты персональных данных в контексте малого и среднего бизнеса. Целью выпускной квалификационной работы является «разработка мероприятий по защите персональных данных в акционерном обществе (АО) «Федеральный центр ядерной и радиационной безопасности»». Цель данной работы – разработать мероприятий, направленных на защиту персональных данных в такой организации, как АО «Федеральный центр ядерной и радиационной безопасности». Задачи выпускной квалификационной работы: С целью полного понимания угроз, разработка модели возможного нарушителя информационной безопасности; разработка мероприятий, обеспечивающих эффективную систему защиты ПДн; разработка плана внедрения мероприятий и описание регламента их проведения; расчет экономической целесообразности внедрения проекта. В рамках выполнения данных задач необходимо: проведение анализа существующей системы обеспечения защиты ПДн, оценка ее эффективности и прогнозирование возможных угроз; изучение текущих нормативных акты и регламентных документов по защите персональных данных в Российской Федерации; изучение существующих программных и аппаратных средств, необходимых при разработке мероприятий для формирования системы защиты ПДн. Объектом исследования является АО «Федеральный центр ядерной и радиационной безопасности». Данная организация входит в Государственную корпорацию по атомной энергии «Росатом». Предметом исследования является система безопасности ПДн в АО «Федеральный центр ядерной и радиационной безопасности». В рамках выполнения данной работы будут рассмотрены правовые и организационные основы защиты персональных данных на предприятии, будет проведен анализ существующей системы безопасности и разработана модель нарушителя, а также будет произведена разработка мероприятий и осуществлен выбор средств по защите персональных данных в АО «Федеральный центр ядерной и радиационной безопасности» |