Введение. 2

Глава 1. Основные понятия в области безопасности информационных технологий. 4

1. 1. Что такое безопасность информационных технологий. 4

1. 2. Субъекты информационных отношений, их безопасность. 5

1. 3. Цель защиты автоматизированной системы и циркулирующей в ней информации. 9

1. 4. Виды мер и основные принципы обеспечения безопасности информационных технологий. 10

1. 5. Основные принципы построения системы защиты ресурсов автоматизированной системы. 12

Глава 2. Правовые основы обеспечения безопасности информационных технологий и персональных данных. 17

2. 1. Защищаемая информация. 18

2. 2. Персональные данные. 25

2. 3. Информация в ключевых системах информационной инфраструктуры. 35

2. 4. Сертификация средств защиты и аттестация объектов информатизации. 36

2. 4.1. Сертификация. 41

2. 5. 2. Аттестация. 43

2. 6. Специальные требования и рекомендации по технической защите конфиденциальной информации. 45

2. 7. Ответственность за нарушения в сфере защиты информации. 48

Глава 3. Подготовка информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ «О персональных данных». 53

3. 1. Анализ информационной системы (ИС) компании. 53

3.1.1. Общее состояние процессов обработки ПДн в организации. 54

3.1.2. Анализ обработки ПДн в ИС. 55

3.1.3. Предлагаемые меры по устранению нарушений. 58

3. 2. Модернизация ИС. 61

3. 3. Нормативная документация по организации защиты ПДн. 64

3.3.1. Классификация информационных систем персональных данных Компании. 64

3.3.2. Модель угроз безопасности персональным данным при их обработке в информационных системах персональных данных Компании. 67

3.3.3. Разработка требований по обеспечению безопасности персональных данных при их обработке в ИСПДн Компании. 71

3. 4. Рекомендации и спецификация по закупке средств защиты. 72

Заключение. 76

Список литературы. 78

Приложение 1. Акт классификации ИСПДн "1С – Предприятие".

Приложение 2. Акт классификации ИСПДн "1С – Зарплата и кадры".

Приложение 3. Акт классификации ИСПДн "Система обработки анкет".

Приложение 4. Модель угроз ПДн при их обработке в ИСПДн "1С – Предприятие".

Приложение 5. Модель угроз ПДн при их обработке в ИСПДн "1С – Зарплата и кадры".

Приложение 6. Модель угроз ПДн при их обработке в ИСПДн "Система обработки анкет".

Приложение 7. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн "1С – Предприятие".

Приложение 8. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн "1С – Зарплата и кадры".

Приложение 9. Требования по обеспечению безопасности ПДн при их обработке в ИСПДн "Система обработки анкет".

Приложение 10. Инструкция по учету лиц, допущенных к работе с ПДн в ИСПДн.

Приложение 11. Инструкция об организации антивирусной защиты.

Приложение 12. Инструкция об организации парольной защиты.

Актуальность дипломной работы определяется большим интересом к тематике защиты персональных данных со стороны общественности, современной науки и не проработанность законодательной базы при решении проблем обеспечения информационной безопасности, а так же изменениями в законодательстве РФ. Подписанный 27 июля 2006 года В.В. Путиным ФЗ «О защите персональных данных» в сферу действия которого попадают все юридические и физические лица, в обработке у которых находятся персональные данные других граждан, обязывает каждую организацию принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

Надежное обеспечение информационной безопасности критически важных объектов является одним из важнейших условий для успешного экономического и социально-политического развития российского общества, укрепления обороноспособности страны и безопасности государства. Решение этой проблемы во многом определяется защищенностью информационных ресурсов, телекоммуникационных систем и сетей критически важных объектов, создаваемых и используемых как государственными, так и негосударственными организациями, от угроз преступного или террористического характера в сфере компьютерной информации, деструктивного информационного воздействия со стороны других государств.

Цель дипломной работы заключается в модернизации и подготовки информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ.

Для достижения поставленной цели были сформулированы следующие задачи:

• Рассмотреть основные понятия в области безопасности информационных технологий.

• Провести анализ законодательной базы в области обеспечения безопасности информационных технологий и персональных данных.

• Провести анализ ресурсов участвующих в обработки ПДн в ООО «Арсенал+».

• Выявление уязвимых звеньев и возможных угроз безопасности ИСПДн.

• Разработка нормативной документации по организации защиты ПДн.

• Подготовить рекомендации по организации системы защиты и закупке средств защиты информации.

Практическая значимость работы определяется тем, что ее результаты позволяют подготовить ИС ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ с минимальными временными и материальными затратами, а так же устранение фактов нарушения обработки персональных данных. На сегодняшний день законодательная база РФ предусматривает следующие виды ответственности за нарушения в области защиты персональных данных: административная, уголовная, гражданская, дисциплинарная. В свою очередь нарушения закона № 152-ФЗ могут оказать значительные негативные последствия для ведения бизнеса компании.

1. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты, 2001.

2. Зегжда Д.П., Ивашко А.М. Основные безопасности информационных систем.-М.: Горячая линия –Телеком, 2000.

3. Скот Бармен. Разработка правил информационной безопасности. Вильямс, 2002

4. Официальное руководство по подготовке к сертификационным экзаменам CCENT/CCNA ICND1.:М ООО «И.Д. Вильямс», 2009.

5. Официальное руководство по подготовке к сертификационным экзаменам CCENT/CCNA ICND2.:М ООО «И.Д. Вильямс», 2009.

6. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895;

7. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»;

8. Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;

9. Федеральный закон «О персональных данных» от 27 июля 2006 года № 152 ФЗ;

10. Конституция Российской Федерации от 12 декабря 1993 г.;

11. Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282;

12. Положение «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденное постановлением Совета Министров Правительства от 15.09.93г. N 912-51;

13. Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

14. Постановление Правительства Российской Федерации от 26 июня 1995г. №608 «О сертификации средств защиты информации»;

15. Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г. № 781;

16. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

17. Указ Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997 года № 188;

18. Концепция национальной безопасности в РФ, утвержденная Указом Президента РФ от 17 декабря 1997 г. №1300;

19. Официальный сайт Федеральной службы по техническому и экспортному контролю, www.fstec.ru.

20. Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Управление Федеральной службы по техническому и экспортному контролю по Уральскому федеральному округу, 2009

21. Порядок проведения классификации информационных систем персональных данных, утвержденный совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008

22. Базовая модель угроз безопасности персональным данным при обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России;

23. Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных, утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;

24. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных при обработке в информационных системах персональных данных», утвержденных 15 февраля 2008 г. заместителем директора ФСТЭК России.

25. Безопасность сетей. Полное руководство./ Р. Брегг, М. Родс-Оусли, К. Страссберг; пер. с англ. – М.: Издательство «ЭКОМ», 2006.

Примечаний нет.