Аттестационная работа (ВАР/ВКР) на тему Порядок проведения организационных и технических мероприятий по обеспечению безопасности персональных данных при их обработке в иной (негосударственной) информационной системе

Содержание:

ВВЕДЕНИЕ 3
Глава I. ОСОБЕННОСТИ ОРГАНИЗАЦИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИОННЫМИ И ТЕХНИЧЕСКИМИ МЕТОДАМИ 5
1.1 Анализ литературных источников по исследуемой тематике 5
1.2 Организационные мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах 7
1.3 Технические мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах 9
1.4 Оценка угроз и нарушителей безопасности информационных систем 11
Глава II. АНАЛИЗ ИССЛЕДУЕМОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 15
2.1 Общая характеристика организации 16
2.2 Исследование особенностей информационной системы персональных данных и особенностей процессов обработки персональных данных в компании 18
2.3 Анализ применяемых мер защиты в исследуемой ИС 22
2.4 Анализ угроз безопасности 24
Глава III. РАЗРАБОТКА ПРАКТИЧЕСКИХ РЕКОМЕНДАЦИЙ ПО ОБЕСПЕЧЕНИЮ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕРОПРИЯТИЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ 34
3.1 Разработка организационных мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе организации 34
3.2 Разработка технических мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе организации 37
ЗАКЛЮЧЕНИЕ 42
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 43

Введение:

Задача обеспечения надежной защиты информационных корпоративных систем вообще и персональных данных, обрабатываемых в этих системах, в частности, является базовой задачей в сфере обеспечения информационной безопасности для любого предприятия.
Актуальность тематики данной выпускной квалификационной работы подтверждается ростом информационных рисков, который происходит вследствие появления новых угроз информационным системам, современных темпов и уровня развития методов обеспечения информационной безопасности, которые значительно отстают от уровня развития информационных технологий, наличием свободного доступа к информационным ресурсам через разнообразные мобильные средства связи.
Тема настоящей выпускной квалификационной работы – «Порядок проведения организационных и технических мероприятий по обеспечению безопасности персональных данных при их обработке в иной (негосударственной) информационной системе».
Цель выпускной квалификационной работы – разработка практических рекомендаций по проведению организационных и технических мероприятий по обеспечению безопасности персональных данных при их обработке в иной (негосударственной) информационной системе.
Для достижения цели работы необходимо решить следующие задачи:
– произвести анализ литературных источников по исследуемой тематике;
– исследовать организационные и технические мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах;
– произвести оценку угроз и нарушителей безопасности информационных систем;
– дать общую характеристику исследуемой организации;
– исследовать особенности информационной системы персональных данных организации;
– произвести анализ особенностей процессов обработки персональных данных в исследуемой информационной системе;
– разработать организационные и технические мероприятия по обеспечению безопасности персональных данных при их обработке в информационной системе организации;
– произвести оценку эффективности разработанных предложений.
Объект исследования – информационная система персональных данных компании ООО «Вега».
Предмет исследования – поиск оптимальных подходов в процессе разработке рекомендаций по обеспечению безопасности информационной системы персональных данных компании ООО «Вега».
Методы, используемые при написании выпускной квалификационной работы: изучение рабочих процессов организации, связанных с обработкой персональных данных, анализ законодательной базы в области разработки систем защиты персональных данных, анализ эффективных организационных и технических мер по защите персональных данных.
Теоретическая значимость работы состоит в том, что в процессе ее выполнения будет получен значительный объем теоретических навыков, который будет необходим в ходе дальнейшей трудовой деятельности по специальности.
Практическая значимость работы состоит в том, что ее результат позволит организовать систему защиты персональных данных объекта, которая соответствует требованиям действующего законодательства. При этом предполагается затратить минимальное количество временных и материальных ресурсов, а так же устранить факты нарушения обработки информации в базе данных.

Заключение:

Формирование защищенной системы работы с персональными данными, дает предпосылки для значительного роста эффективности труда, порождает при этом ряд сложных и масштабных проблем. Одна из таких проблем — надежное обеспечение сохранности персональных данных и установленного статуса её использования.
Один из наиболее актуальных на сегодня вопросов, это вопрос организации защиты конфиденциальной информации вообще и персональных данных в частности, в рамках действующего российского законодательства, учитывая последние тенденции в законотворчестве регуляторов, направленные на сертификацию всех уровней защиты информации. Особо острым является вопрос обеспечения безопасности информации в масштабных распределенных информационных системах.
По завершению выполнения работы получены следующие результаты:
– произведен анализ литературных источников по исследуемой тематике;
– произведена оценка угроз и нарушителей безопасности информационных систем;
– на общая характеристика исследуемой организации;
– исследованы особенности информационной системы персональных данных организации;
– разработаны организационные и технические мероприятия по обеспечению безопасности персональных данных при их обработке в информационной системе организации;
– произведена оценка эффективности разработанных предложений.
По завершению работы можно достоверно отметить, что все поставленные задачи были выполнены, а цель работы полностью достигнута.

Фрагмент текста работы:

Глава I. ОСОБЕННОСТИ ОРГАНИЗАЦИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИОННЫМИ И ТЕХНИЧЕСКИМИ МЕТОДАМИ
1.1 Анализ литературных источников по исследуемой тематике

Рассмотрим работы, которые освещают вопросы защиты информации и персональных данных. Эти работы широко использовались при написании курсовой работы.
В работе автора Торокина А. А. «Инженерно-техническая защита информации» изложены вопросы инженерно-технической защиты как одного из основных направлений информационной безопасности. С системных позиций рассмотрены концепция, теория, технические системы и средства, организация и методология инженерно-технической защиты информации и информационных средств.
Автор Илюшенко В. Н. в своем труде «Информационная безопасность и методология защиты информации» с позиций процессов управления рассмотрены мировоззренческие основы информационной безопасности государства, общества и личности, методология, принципы, направления и средства защиты информации.
На сегодняшний день и у нас в стране, и за рубежом достаточно много публикаций по современным стандартам защиты, средствам и методам защиты. Однако такой работы, которая являлась бы по своей сути творческим обобщением существующих формальных моделей, нормативных документов, зарубежных стандартов в области защиты информации, на нашем книжном рынке не было. Авторам А. Грушо, Е. Тимонина в работе «Теоретические основы защиты информации» удалось «оживить» разрозненные, порой противоречивые фрагменты в виде целостных теоретических основ защиты информации, придав им новое качество .
Работа вводит в теорию защиты информации, наряду со строгими определениями и доказательствами содержит большое количество примеров из практической жизни, доходчиво иллюстрирующих основные теоретические положения.
Особо хотелось бы выделить разделы, посвященные гарантированно защищенным распределенным системам, доказательному подходу к построению систем защиты и определению политики безопасности.
Работа «Теория и практика обеспечения информационной безопасности» автора П. Зегжа раскрывает проблемы безопасности компьютерных систем в соответствии с их современным состоянием. В работе приведены классификация и примеры нарушения безопасности КС, на их основе намечены новые подходы к созданию защищенных систем. Работа содержит уникальный справочный материал по анализу безопасности зарубежных КС.
Особо хотелось бы выделить разделы, посвященные гарантированно защищенным распределенным системам, доказательному подходу к построению систем защиты и определению политики безопасности.
В работе В. Мельникова «Защита информации в компьютерных системах» предложен новый подход, концепция, принципы построения защиты и оценки уровня безопасности информации в вычислительных системах, сетях и АСУ. С этих позиций рассматриваются информация и условия ее обработки в автоматизированных системах: потенциальные угрозы, возможные каналы несанкционированного доступа, методы, средства и системы ее защиты. Цель данной работы — показать возможность создания системы безопасности информации с гарантированными характеристиками, качеством и оптимальными затратами.
Работа «Основные задачи и способы обеспечения безопасности автоматизированных систем обработки информации» автора Р. Магауенова носит характер вводного учебно-методического пособия, в котором изложены основные задачи, методы, способы и особенности обеспечения безопасности автоматизированных систем обработки информации. Концептуально (с определенным приближением) изложенные подходы, методы и способы могут быть применены в организациях, имеющих объективную потребность защиты информации.
Среди зарубежных авторов можно отметить Л.Дж. Хоффмана, в работе которого «Современные методы защиты информации» подробно изложены современные методы и технические средства для защиты информации в вычислительных системах, сетях ЭВМ и на отдельных терминалах. Приведены стандартные методы с учетом архитектуры ЭВМ и ее влияния на секретность информации, рассмотрены теоретические модели систем защиты данных и новые методы шифрования данных в файлах с произвольным доступом.
Ю.А. Стpельченко в работе «Обеспечение информационной безопасности банков» на основе единого подхода рассматривает все стороны информационной безопасности банков. Изложены принципы постpоения и функциониpования систем, ее обеспечивающих: системы сбоpа инфоpмации, системы защиты инфоpмации и системы выдачи инфоpмации. Особое внимание уделено новой технологии смаpт-каpт. Описаны pеально действующие системы, использующие эту технологию для защиты компьютерных систем банка, удаленных платежей и ведения безналичных расчетов на основе платежных карточек.
В.С. Баpсуков, В.В. Маpущенко, В.А. Шигин в своей работе «Интегральная безопасность» рассматривают актуальные вопpосы обеспечения интегpальной безопасности объектов и инфоpмации. С единых позиций пpоанализиpовано большое количество pазpозненных заpубежных и отечественных публикаций, матеpиалов конфеpенций, семинаров и выставок последних лет, посвященных пpоблемам обеспечения интегpальной безопасности, в том числе, физической безопасности, безопасности технических сpедств и безопасности связи.
С. Расторгуев в работе «Программные методы защиты информации в компьютерных сетях» рассматривает вопросы организации компьютерной безопасности исключительно программными методами. Представлены математические модели, на базе которых можно осуществлять расчеты надежности защитных механизмов. Предложен новый, перспективный подход к защите данных на базе экспертных и самообучающихся систем, намечена тенденция развития программно-аппаратных средств защиты от несанкционированного доступа. В работе приведены описания новых алгоритмов, которые могут быть использованы читателями в своих собственных разработках.