VIP STUDY сегодня – это учебный центр, репетиторы которого проводят консультации по написанию самостоятельных работ, таких как:
  • Дипломы
  • Курсовые
  • Рефераты
  • Отчеты по практике
  • Диссертации
Узнать цену

Анализ и совершенствование системы зищиты информации в органе местного самоуправления

Внимание: Акция! Курсовая работа, Реферат или Отчет по практике за 10 рублей!
Только в текущем месяце у Вас есть шанс получить курсовую работу, реферат или отчет по практике за 10 рублей по вашим требованиям и методичке!
Все, что необходимо - это закрепить заявку (внести аванс) за консультацию по написанию предстоящей дипломной работе, ВКР или магистерской диссертации.
Нет ничего страшного, если дипломная работа, магистерская диссертация или диплом ВКР будет защищаться не в этом году.
Вы можете оформить заявку в рамках акции уже сегодня и как только получите задание на дипломную работу, сообщить нам об этом. Оплаченная сумма будет заморожена на необходимый вам период.
В бланке заказа в поле "Дополнительная информация" следует указать "Курсовая, реферат или отчет за 10 рублей"
Не упустите шанс сэкономить несколько тысяч рублей!
Подробности у специалистов нашей компании.
Код работы: K015870
Тема: Анализ и совершенствование системы зищиты информации в органе местного самоуправления
Содержание
     Тема: Анализ и совершенствование системы зищиты информации в органе местного самоуправления.
     Введение:
     В данной квалификационной работе проводится анализ информационной системы Администрации муниципального района, а также разработка и внедрение решений по защите информации.
     Администрация муниципального района имеет полномочия по решению вопросов местного значения и полномочия для осуществления отдельных государственных полномочий, переданных органам местного самоуправления федеральными законами и законами Республики Башкортостан.
     Актуальность темы данной квалификационной работы определяется необходимостью защиты данных в информационных системах и большой заинтересованностью государственных органов в обеспечении надежной защиты персональных данных граждан (далее – ПДн). Ежегодно, общее число нарушений в области информационной безопасности неуклонно растет, а законодательство выдвигает все новые требования к защите информации, в частности персональных данных.
     Кроме организации физической защиты,  а также защиты программными и аппаратными комплексами, немаловажной составляющей частью обеспечения безопасности является наличие норм и правил в области информационной безопасности. Именно поэтому очень важно выделять ресурсы на решение вопросов данной сферы.
     Организационно-распорядительная документация способствует повышению знаний пользователей ИСПДн в области рисков, которые могут навредить информационным системам и ресурсам, а также позволяет разграничить ответственность и обязанности между специалистами, обеспечивающими информационную безопасность в организациях. Все это в совокупности позволяет снизить риск возникновения ситуаций, связанных с невозможность оказания услуг. 
     Основной целью квалификационной работы является приведение системы защиты информации в соответствие требованиям законодательства, внедрение решений по ЗИ, наличие которых позволит снизить информационные риски. Задачи, выполнение которых непосредственно необходимо для достижения поставленной цели, является проведение анализа информационной системы, разработка частной модели угроз, технического задания на построение системы защиты персональных данных.
     Для достижения поставленной цели, были выделены следующие задачи:
     1) анализ информационной системы;
     2) разработка частной модели угроз, на основе информации полученной при проведении анализа информационной системы;
     3) разработка технического задания и технического проекта.
     В качестве объекта исследования, проходящего в данной работе, выступает Администрация муниципального района Республики Башкортостан, а также имеющаяся документация в области информационных технологий.
     Методологической и теоретической основной квалификационной работы явились федеральные законы, приказы, постановления правительства РФ и нормативные акты российских органов власти регулирующих защиту информации.
     Теоретическая значимость квалификационной работы состоит в развитии информационной безопасности. Полученные результаты позволят в дальнейшем улучшать и расширять область действия организационно-распорядительных документов на уровне управления.
     Практическая значимость работы заключается в том, что её результаты позволят повысить защищенность информационных систем управления, уменьшат вероятность возникновения угроз безопасности. Масштабируемость работы позволяет применить полученные результаты при обеспечении безопасности.
     Наиболее существенные результаты, полученные в процессе написания квалификационной работы, состоят в следующем:
     – уточнено понятие информационной безопасности, исследовано законодательство в области защиты информации;
     – разработана частная модель угроз;
     – разработан технический проект СЗИCПДн.
     Основные результаты работы уже успешно применены в практической деятельности Администрации.
     
     
1. Теоретическая часть.

     Обзор нормативно-правовых актов:
     В первую очередь для построения системы защиты персональных данных, необходимо ознакомиться с основными понятиями и положениями законодательства в области защиты персональных данных. 
     1.. Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ
     
Закон определяет принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации, а также принципы предоставления права и ограничений доступа к информации.
Законом четко определен запрет на требование от гражданина предоставления информации о его частной жизни, в т.ч. информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина, если иное не предусмотрено федеральными законами.
     
1.1  Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
     Настоящий Федеральный закон регулирует отношения, связанные с обработкой ПДн, определяет основные понятия связанные с обработкой персональных данных на территории Российской Федерации с использованием средств автоматизации или без использования таких средств. Далее, рассмотрим важные понятия, приведенные в данном Федеральном законе:
1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; [1]
     
1.2  Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
В данном документе устанавливаются требования к защите персональных данных при их автоматизированной обработке в информационных системах персональных данных. 
Определенно такое понятие как система защиты персональных данных. Она призвана нейтрализовывать актуальные угрозы их безопасности и включает в себя организационные и (или) технические меры.
   Уровень защищенности ИСПДн определяет состав технических мер. Сам уровень защищённости определяется исходя из типа угроз, приведенных в данном документе, вида персональных данных (биометрические, общедоступные и пр.), количества их субъектов и прочих факторов.
   Ответственность за безопасность ПДн несет оператор системы, который их обрабатывает, или уполномоченное им лицо.
   Оператор системы выбирает средства защиты информации в соответствии с нормативными актами ФСБ России и ФСТЭК России.
   Выполнение требований контролируется оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юрлиц и ИП. Последние должны иметь лицензию на занятие деятельностью по технической защите конфиденциальной информации.
   Контроль системы защиты персональных данных должен проводится не реже 1 раза в 3 года. 
   
1.3 Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
     Определены особенности обработки персональных данных, осуществляемой без использования средств автоматизации.  При этом действия с такими сведениями в отношении каждого из лиц производятся при непосредственном участии человека. Обработка осуществляется путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм. При использовании типовых форм документов, в которые может быть включена информация о лице, необходимо соблюдать определенные условия. Так, если нужно письменное согласие гражданина на работу с его данными, типовая форма должна иметь поле, в котором он может поставить отметку о своем согласии на обработку его сведений без применения автоматизации.
     Лица, осуществляющие обработку ПДн на материальных носителях, должны быть ознакомлены с особенностями обработки, категориями данных и т.д. Для каждой категории оператором ПДн определяется место хранения материальных носителей и устанавливается перечень лиц, причастных к обработке.
1.4 Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
     Данный нормативный акт описывает необходимые мероприятия для обеспечения безопасности ПДн. Операторы, являющиеся государственными или муниципальными органами, должны принять следующие меры:
     Назначить ответственного за организацию обработки персональных данных;
     Разработать и утвердить базовый набор организационно распорядительных документов;
     Ввести режим защиты ПДн;
     Направить уведомление в уполномоченный орган по защите прав субъектов персональных данных об обработке ПДн;
      Провести мероприятия по поддержанию заданного уровня безопасности[ ].
     
     1.5 Приказ ФСТЭК России №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Данный приказ заменил собой приказ ФСТЭК №58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" и поскольку в соответствии с общими правилами нормативный акт применяется к отношениям, имевшим место после его вступления в силу и до утраты им силы, то действие приказа № 21 будет распространяться на вновь создаваемые системы защиты в информационных системах персональных данных. 
     В соответствии с Приказом № 21, выбор мер обеспечения безопасности ПДн осуществляется следующим образом. Из приложения к утвержденному Приказом документу выбирается базовый (обязательный) набор мер, соответствующий уровню защищенности ПДн. Далее этот базовый набор мер адаптируется под конкретную ИСПДн и, в случае необходимости, дополняется мерами, необходимыми для нейтрализации угроз, смоделированных оператором, и предусмотренными требованиями прочих документов, например, нормативными правовыми актами ФСБ России, Приказом ФСТЭК России № 17 от 11.02.2013, и пр[ ].
     1.7 Базовая модель угроз
     Базовая модель угроз персональных данных при их обработке в информационных системах персональных данных утверждена ФСТЭК России 15 февраля 2008 года. В открытом виде существует в виде выписки из полной версии документа, из которой исключена информация о угрозах утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Полная версия документа имеет гриф «Для служебного пользования».
     Данный документ содержит в себе систематизированный список угроз ПДн при их обработке в ИСПДн, а также единые исходные данные по угрозам ПДн, обрабатываемым в ИСПДн. Модель угроз является методическим документом, помогающим операторам, обрабатывающим ПДн, решать следующие задачи:
     •	Разработка частной модели угроз для конкретной ИСПДн с учетом ее назначения, условий и особенностей функционирования;
     •	 Анализ защищенности ИСПДн от угроз безопасности ПДн;
     •	Разработка системы защиты ПДн, с нейтрализацией актуальных угроз и использованием средств защиты ПДн, соответствующих определенному классу ИСПДн;
     •	Реализация мероприятий, предотвращающих несанкционированный доступ к ПДн и (или) передачу ПДн лицам, не имеющим к ним доступа;
     •	Недопущение воздействий на технические средства, входящие в состав ИСПДн, которые могут повлечь нарушение их функционирования;
     •	Контроль над обеспечением уровня защищенности ПДн[ ].
      1.8 Методика определения актуальных угроз безопасности
     Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России и утверждена 14 февраля 2008 года. Изначально документ имел пометку «Для служебного пользования», но данная пометка была снята Решением ФСТЭК России от 16 ноября 2009 г. Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн и  тесно связан с базовой моделью безопасности, также разработанной и утвержденной ФСТЭК России. 
     В данной методике описывается порядок определения актуальных угроз ПДн в ИСПДн. Согласно определению, приведенному в документе, актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн[].
     
2. Анализ защищаемого объекта
     Для анализа информационной системы администрации выполнен сбор информации, касающейся специфики обработки ПДн. Произведена оценка проведенных мероприятий по защите ПДн, а так же процессов их обработки в организации. На основании анализа результатов обследования выработаны рекомендации по устранению выявленных нарушений.  
     Обследование включило в себя: анализ процессов обработки ПДн, организационно-распорядительной документации по вопросам защиты ПДн разработанной в администрации, изучение локальной вычислительной сети и АРМ, обрабатывающих ПДн, определение состава и порядка обработки ПДн.
     Описание объекта обследования
     Администрация муниципального района  имеет полномочия по решению вопросов местного значения и полномочия для осуществления отдельных государственных полномочий, переданных органам местного самоуправления федеральными законами и законами Республики Башкортостан.
     В организации существуют следующие отделы: 
     * Финансовый отдел;
     * Архивный отдел;
     * Отдел по бухгалтерскому учету и отчетности;
     * Информационно-аналитический отдел;
     * Отдел по организационной работе и делопроизводству;
     * Отдел архитектуры и градостроительства;
     * Отдел промышленности и строительства;
     * Отдел по молодежной политике, спорту и туризму; 
     * Отдел по экономическому развитию и предпринимательству;
     * Жилищный отдел;
     * Сектор муниципальной службы и кадровой работы;
     * Сектор по делам ГОЧС и мобилизационной подготовке;
     * Сектор по правовой работе;
     * Комиссия по делам несовершеннолетних и защите их прав;
     * Отдел по опеке и попечительству;
     * Отдел муниципального контроля.
     Схема локальной вычислительной сети в приложении …
     
     Цели обработки персональных данных в организации:
     ?	регистрация и учет работников, обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
     ?	регистрация и учет лиц, с которыми заключены договора;
     ?	регистрация и учет муниципальных служащих;
     ?	рассмотрение обращений поступивших в адрес Администрации муниципального района;
     ?	обеспечение соблюдения законов и иных нормативных правовых актов в связи с оказанием муниципальных услуг и муниципальных функций.
     Обработка персональных данных осуществляется путём смешанной обработки персональных данных.
     1. Физическая охрана:
     На территорию здания оператора не организован пропускной режим. Журналы пропуска не ведутся. Инструкции по ведению журналов пропуска - нет. Двери кабинетов закрываются на ключ. Здание ставится на сигнализацию.
     
     	2.	Категории субъектов персональных данных, обрабатываемые оператором:
     ?	муниципальные служащие и их близкие родственники;
     ?	руководители муниципальных учреждений, их супруги и несовершеннолетние дети, а также лица, поступающие на должности руководителей муниципальных учреждений; 
     ?	муниципальные служащие, включенные в кадровый резерв; 
     ?	участники конкурсов на замещение вакантных должностей муниципальной службы;
     ?	граждане, обратившиеся в Администрацию с обращениями, заявлениями с целью получения муниципальных услуг;
     ?	несовершеннолетние дети, совершившие административные правонарушения, потерпевшие, свидетели и их законные представители;
     ?	участники конкурсов на замещение вакантных должностей муниципальной службы
     ?	несовершеннолетние дети и их законные представители;
     ?	недееспособные физические лица;
     ?	Несовершеннолетние дети, оставшиеся без попечения родителей
     ?	почетные граждане и граждане, получающие награды в рамках программ; 
     ?	лица, участвующие в программе целевого направления на обучение;
     ?	лица, с которыми заключены договора.
     ?	участники закупочных процедур и их представители.
     ?	представители юридических лиц, индивидуальных предпринимателей
     ?	работники;
     	Сведения по организационно-правовым мероприятиям:
1. Правовое основание обработки персональных данных:
     	Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон Российской Федерации от 2 марта 2007 г. N 25-ФЗ «О муниципальной службе в Российской Федерации», Устав Администрации муниципального района Республики Башкортостан, Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
2. Лицо, ответственное за организацию обработки персональных данных не назначено.
3. Лицо, ответственное за обеспечение безопасности персональных данных не назначено.
4. Места хранения материальных носителей персональных данных не определены, ответственные лица за их хранение не назначены.
5. Перечни лиц, осуществляющих обработку персональных данных и лиц, имеющих доступ к персональным данным, приказом не утверждены.
6. Согласие на передачу персональных данных с сотрудников не берется. 
7. Уничтожение документов, содержащих персональные данные, не производится.
8. Обязательства о соблюдении конфиденциальности работниками, непосредственно осуществляющими обработку персональных данных, не собираются.
9. Не определены правила по учету, хранению и уничтожению материальных носителей. Архив утвержден приказом.
10.  Уровень защищенности персональных данных в ИСПДн не определен.
11.  Трансграничная передача (за границу) персональных данных не осуществляется.
12.  Уполномоченный орган по защите прав субъектов персональных данных не уведомлен об осуществлении обработки персональных данных оператором.
13.  Биометрические персональные данные в ИСПДн не обрабатываются. 
14.  Процесс обезличивания персональных данных не осуществляется.
15.  Документы, определяющие политику оператора в отношении обработки персональных данных, не приняты, локальные акты по вопросам обработки персональных данных не приняты.
     В организации нет актуальных разработанных документов. Есть рекомендованный список от вышестоящей организации.
     Сведения по техническим характеристикам:
16. В составе ЛВС всего: 44 ПК, 1 сервер, из них на 27 ПК осуществляется обработка персональных данных.
17. Обработка вышеуказанных персональных данных осуществляется путём: смешанной обработки.
18. Передача персональных данных по внутренней сети: осуществляется.       
19. Передача персональных данных по сети Интернет: осуществляется;
20. Характеристика ИСПДн «Администрация муниципального района»:
              	6.5.1 Исходные данные:
? Категория персональных данных: иные; 
? Объем обрабатываемых персональных данных: менее 100000;
?   Субъекты персональных данных: не являющиеся сотрудниками оператора;   
? Структура ИСПДн: локальная информационная система - комплекс АРМ, объединенных без использования технологии удаленного доступа;
? Наличие подключений к сетям общего пользования: наличие подключений информационной системы к Интернет;
? Режим обработки ПДн: многопользовательский с разными правами доступа пользователей;
? Местонахождение технических средств ИСПДн: все средства находятся в пределах Российской Федерации;
     6.5.2 Показатель исходной защищенности ИСПДн:
     - Территориальное размещение ИСПДн: распределенная, развернутая в пределах нескольких близко расположенных зданий;
     - Наличие соединения с сетями связи общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования;
     - Встроенные (легальные) операции с записями баз персональных данных: модификация, передача;
     - Разграничение доступа к персональным данным: ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;
     - Наличие соединений с другими базами персональных данных иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);
     - Уровень обобщения (обезличивания) персональных данных: ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн);
     - Объем персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая часть ПДн;
21. Характеристика ИСПДн «КДН»:
              6.6.1 Исходные данные:
? Категория персональных данных: иные; 
? Объем обрабатываемых персональных данных: менее 100000;
?   Субъекты персональных данных: не являющиеся сотрудниками оператора;   
? Структура ИСПДн: локальная информационная система - комплекс АРМ, объединенных без использования технологии удаленного доступа;
? Наличие подключений к сетям общего пользования: наличие подключений информационной системы к Интернет;
? Режим обработки ПДн: многопользовательский с разными правами доступа пользователей;
? Местонахождение технических средств ИСПДн: все средства находятся в пределах Российской Федерации;
     6.6.2 Показатель исходной защищенности ИСПДн:
     - Территориальное размещение ИСПДн: распределенная, развернутая в пределах нескольких близко расположенных зданий;
     - Наличие соединения с сетями связи общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования;
     - Встроенные (легальные) операции с записями баз персональных данных: модификация, передача;
     - Разграничение доступа к персональным данным: ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;
     - Наличие соединений с другими базами персональных данных иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);
     - Уровень обобщения (обезличивания) персональных данных: ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн);
     - Объем персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая часть ПДн;
     
     Муниципальная информационная система является средством информационной поддержки муниципального управления, и ее необходимо рассматривать как - объединение всех принятых в организации технологий обработки информации.[Д1]
     
     Выводы по результатам анализа ИСПДн:
     На основании результатов обследования были получены следующие исходные данные об объекте защиты: 
     Объектом защиты являются ПДн, обрабатываемые в ИСПДн «Администрация муниципального района». Обработка ПДн в ИСПДн осуществляется с использованием средств автоматизации и без использования таких средств.
     Обрабатываются персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора, актуальны угрозы 3-го типа: угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе;
     Информационная система является информационной системой, обрабатывающей иные категории персональных данных.
     По структуре ИСПДн относится к  локальным информационным системам.
     По наличию подключений ИСПДн относится к информационным системам, имеющим подключение к сетям международного информационного обмена.
     По режиму обработки ПДн в ИСПДн система является многопользовательский с равными правами.
     Все технические средства ИСПДн находятся на территории Российской Федерации.
     Своей МИС в Администрации нет, подключение к региональным и федеральным МИС осуществляется в соответствие требованиями Операторов данных информационных систем.
     В используемых системах Операторы никаких требований не выдвигают,  так же во всех них есть ПДн, следовательно, необходимо строить систему защиты исходя из определенного УЗ и соответствующего ему минимальному классу ГИС. 
     На основе исходных данных о ИСПДн и в соответствии с постановлением правительства от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», ИСПДн, могут быть отнесены к следующим классам информационных систем персональных данных (Таблица):
     № п/н
     ИСПДн
     Категория ПДн\Объем
     Актуальные угрозы
     Уровень защищенности
     1
     ИСПДн «Администрация муниципального района»
     Иная категория\менее 100000
     3 типа
     4
     2
     ИСПДн «КДН»[Д2]
     Иная категория\менее 100000
     3 типа
     4
     Из установленных СЗИ имеется СЗИ от НСД Dallas Lock 8.0-K с модулем «Межсетевое экранирование», Kaspersky Internet Security, Kaspersky Endpoint Security лицензионный, СКЗИ «ViPNet Client» 3.2
     Рекомендации по устранению выявленных нарушений
     Следующие нарушения можно устранить организационными методами:
        1. Назначить ответственного за организацию обработки персональных данных;
        2. Разработать и утвердить базовый набор организационно распорядительных документов в соответствии с Постановлением Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
     3. Утвердить и ознакомить под роспись работников с разработанными организационно-распорядительными документами;
     4. Приведение договоров с третьими лицами в соответствие с требования ФЗ-152. Добавить пункт о соблюдении конфиденциальности в трудовые договора. Заключить дополнительные соглашения с физическими лицами, в части соблюдения конфиденциальности и обеспечения безопасности персональных данных по приведенному в документах примеру; 
     5. Заключить дополнительные соглашения с организациями, имеющими доступ к БД ИСПДн «Администрация муниципального района» - в частности с ПАО «Сбербанк», ООО «Парус Башкортостан», ПГУП МВД РФ «Охрана», ФГКУ УВО МВД по РБ «Охрана» в части соблюдения конфиденциальности и обеспечения безопасности персональных данных по приведенному в документах примеру;
     6. Получить согласия на обработку персональных данных работников;
     7. Добавить пункт о согласии на обработку ПДн для сбора данных через сайт;
     8. Оформить с работниками, осуществляющими обработку персональных данных обязательства о неразглашении персональных данных.
     9. Копию «Политики обработки персональных данных» разместить на официальном сайте, в приемной в общедоступном месте;
     10. Утвердить форму письменного добровольного согласия кандидата для участия в конкурсе на замещение вакантной должности муниципальной службы;
     11. Выполнение требований ПП РФ № 687. По номенклатуре дел определить документы, у которых истек срок хранения, уничтожить их, составив акт об уничтожении;
     12. Утвердить Модели угроз безопасности ПДн для ИСПДн, выполнение требований ст.9 «ФЗ-152», ПП РФ № 1119; 
     13. Создать комиссию и утвердить «Акт определения уровня защищенности персональных данных при их обработке в информационной системе». Выполнение оператором требований ПП РФ № 1119;
     14. Направить Уведомление об обработке персональных данных в Управление РОСКОМНАДЗОРа по Республике Башкортостан;
     15. При заключении договоров с третьими лицами, оказание услуг которыми подразумевает передачу персональных данных работников, необходимо перед заключением договора получить согласие на передачу персональных данных с работников организации (за исключением договоров, когда передаются только «Фамилия Имя Отчество» работника);
     16. При заключении договоров с третьими лицами, оказание услуг которыми подразумевает передачу персональных данных работников или доступ третьих лиц к информационной системе персональных данных необходимо в договор включить соответствующий пункт о конфиденциальности персональных данных;
     17. Документы, у которых истекли оперативные сроки хранения, сдать в архив по акту приема/передачи;
     18. Провести аттестацию ИСПДн «КДН» и ИСПДн «Администрация муниципального района». Для аттестации необходимо привлечь лицензиата ФСТЭК и ФСБ.
     19. Приобретение средств защиты информации (СЗИ) в соответствии с разработанной документацией, технических средств обеспечения ограничения доступа к ИСПДн и местам хранения ПДн;
     20. Внедрение СЗИ в соответствии с требованиями нормативных актов. 
     
     Построение частной модели угроз
     Модель угроз безопасности персональных данных необходима для определения требований к системе защиты и дальнейшего построения СЗИ. 
     МУ определяет экономическую целесообразность СЗИ, и включается только те средства защиты информации, которые нейтрализуют актуальные угрозы. 
     В соответствии с пунктом 2 статьи Федерального закона N 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных, т.е. разработкой модели угроз. 
     Разработка частной модели угроз безопасности персональных данных 
     Частная модель угроз может разрабатываться ответственным за защиту персональных данных в организации, либо привлеченным специалистом в области ЗИ. Разработчик модели угроз должен иметь полное представление об информационной системе персональных данных, знать процессы обработки ПДн, понимать как  
     Порядок разработки модели угроз определен ФСТЭК России в следующих документах: 
     - «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Федеральная служба по техническому и экспортному контролю, 2008 год 
     - «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», Федеральная служба по техническому и экспортному контролю, 2008 год. 
     «Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации весьма скептически относятся к этому документу. Угрозы, приведенные в базовой модели, устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа. 
     Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным:
* с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
* с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.

Документ содержит алгоритм оценки актуальных угроз. Путем несложных расчетов определяется статус каждой вероятной угрозы.
     Описание ИСПДн
     Перечень ПДн циркулирующих в информационной системе представлен в приложении….
     
    Уровень исходной защищенности ИСПДн «Администрация муниципального района».
 Уровень исходной защищенности (Y1) ИСПДн «Администрация муниципального района» определен экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных», утвержденной 14 февраля 2008г. заместителем директора ФСТЭК России. Результаты анализа исходной защищенности приведены в таблице 1. Знаком «+» обозначены строки, соответствующие рассматриваемой ИСПДн.
      Таблица 1
Количество характеристик ИСПДн «Администрация муниципального района», соответствующих уровню «Высокий», «Средний», «Низкий» (таблица 2):
      Таблица 2Вывод: ИСПДн «Администрация муниципального района» имеет низкую степень исходной защищенности (Y1 = 10):
     1. ИСПДн имеет высокий уровень исходной защищенности (Y1 = 0), если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).
     2. ИСПДн имеет средний уровень исходной защищенности (Y1 = 5), если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.
     3. ИСПДн имеет низкую степень исходной защищенности (Y1 = 10), если не выполняются условия по двум пунктам выше.
Перечень угроз безопасности персональных данных, обрабатываемых в ИСПДн «Администрация муниципального района» указан в приложении…..
Расчет других показателей произведен так же в соответствии с «Методикой определения актуальных угроз безопасности.......................
Для получения полной версии работы нажмите на кнопку "Узнать цену"
Узнать цену Каталог работ

Похожие работы:

Отзывы

Очень удобно то, что делают все "под ключ". Это лучшие репетиторы, которые помогут во всех учебных вопросах.

Далее
Узнать цену Вашем городе
Выбор города
Принимаем к оплате
Информация
Нет времени для личного визита?

Оформляйте заявки через форму Бланк заказа и оплачивайте наши услуги через терминалы в салонах связи «Связной» и др. Платежи зачисляются мгновенно. Теперь возможна онлайн оплата! Сэкономьте Ваше время!

Сезон скидок -20%!

Мы рады сообщить, что до конца текущего месяца действует скидка 20% по промокоду Скидка20%