Определение перечня актуальных угроз информационной безопасности для информационной корпоративной сети предприятия. Формирование набора мер защиты информации, передаваемой в сети предприятия. Настройка оборудования и выбранных средств защиты информации.
Аннотация к работе
Невозможно представить деятельность организации без обработки информации о членах органов управления и сотрудниках, партнерах, об акционерах и о лицах, посещающих организацию. В курсовом проекте рассматривается фирма по разработке программного обеспечения и разрабатывается проект подсистемы защиты от несанкционированного доступа к персональным данным, передающихся в корпоративной сети. Актуальность разработки системы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети предприятия, следующими причинами: - обязанностью предприятий и иных лиц, осуществляющих обработку и хранение персональных данных в корпоративных сетях обеспечить конфиденциальность и целостность персональных данных; Целью дипломного проекта является разработка системы защиты персональных данных, обрабатываемых автоматизированным способом в корпоративной сети. Предметом дипломного проекта является обеспечение информационной безопасности персональных данных, обрабатываемых автоматизированным способом в корпоративной сети.Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных. Информационная система является информационной системой, обрабатывающей биометрические(БМ) персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных. Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в. Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные выше. Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников.С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа: - внешние нарушители (тип I) - лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации изза границ информационной системы; внутренние нарушители (тип II) - лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам. По потенциалу для реализации угроз безопасности информации, нарушители подразделяются на: - нарушителей, обладающих низким потенциалом; Актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) и степени ущерба в случае реализации угрозы (Xj). При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня исходной защищенности информационной системы (Y1) и потенциала нарушителя (Y2).В первой главе дипломного проекта проанализированы основные нормативно-правовые акты и методические документы, регламентирующие построение подсистемы защиты информации.Сеть предприятия является территориально-распределенной, подключена к сетям общего пользования и сети Интернет. Подключение к интернету обеспечивается предприятием ООО «Газпром связь». Все филиалы ООО «Газпром трансгаз Ставрополь» подключены к, созданной предприятием ООО «Газпром связь», единой ведомственной сети передачи данных ПАО «Газпром» (ЕВСПД Газпром). Основные, используемые в ЛВС, технические средства перечислены в таблице 2.1. Серверы ИСПДН Серверы, хранящие и обрабатывающие ПДНВ корпоративной сети предприятия обрабатываются персональные данные следующих категорий субъектов персональных данных: - сотрудники предприятия; Перечень персональных данных, передаваемых в сети предприятия представлен в таблице 2.5. 1 ФИО сотрудники, пенсионеры Все ИСПД 2 дата и место рождения сотрудники, пенсионеры Все ИСПД 6 адрес фактического проживания сотрудники, пенсионеры Все ИСПДДля определения потенциальных нарушителей информационной безопасности необходимо установить категории лиц, имеющих доступ к элементам ЛВС. Определение видов нарушителей проводится по «Методике определения угроз безопасности информации в информационных системах».
План
Содержание
Введение
Глава 1. Анализ существующей законодательной и методических баз в области обеспечения информационной безопасности
1.1 Анализ основных нормативно-правовых актов, устанавливающих требования к защите информации в информационных системах
1.2 Анализ методики определения актуальных угроз безопасности информации
1.3 Выводы
Глава 2. Построение частной модели угроз предприятия
2.1 Анализ информационной корпоративной сети предприятия
2.2 Определение перечня персональных данных предприятия и их категорий
2.3 Построение модели нарушителей информационной безопасности для предприятия
2.4 Определение исходного уровня защищенности ИСПД предприятия
2.6 Определение перечня актуальных угроз информационной безопасности для информационной корпоративной сети предприятия
2.7 Выводы
Глава 3. Разработка подсистемы защиты персональных данных, обрабатываемых в сети предприятия
3.1 Формирование набора мер защиты информации, передаваемой в сети предприятия
3.2 Модернизация схемы корпоративной сети предприятия
3.3 Настройка оборудования и выбранных средств защиты информации