Оценка эффективности принятых мер защиты информации в информационной системе персональных данных коммерческой организации

Содержание

Слайд 2

Цель и задачи Основной целью данного дипломного проекта является разработка методики

Цель и задачи

Основной целью данного дипломного проекта  является разработка методики оценки

эффективности принятых мер по защите персональных данных в коммерческой медицинской организации, для решения данной цели были решены следующие задачи: 
анализ законодательной базы России в области защиты персональных данных, применительно к коммерческой медицинской организации; 
исследование существующей информационной системы персональных данных коммерческой медицинской организации, изучение ее системы защиты и принятых организационных мер; 
разработка методики проведения оценки эффективности принятых мер; 
применение методики к существующей информационной системе коммерческой медицинской организации и анализ полученных результатов; 
устранение выявленных недостатков, разработка системы защиты, удовлетворяющей требованиям законодательства России.

2

Слайд 3

Описание существующей информационной системы наличие разнородного системного программного обеспечения, в частности

Описание существующей информационной системы

наличие разнородного системного программного обеспечения, в частности

операционных систем семейства  Windows: Windows Server 2012 R2, Windows XP, Windows  8.0, Windows  8.1, Windows 7 Professional, Ubuntu Desktop Edition; 
наличие одного сегмента сети, где обрабатываются персональные данные; 
наличие серверного программного обеспечения, реализующего  технологию  «клиент-сервер» для ведения бухгалтерии, баз данных пациентов и сотрудников, а также регистрации и ведения истории болезни пациентов; 
наличие выхода в глобальную сеть в «Интернет».

3

Слайд 4

Определение перечня персональных данных Персональные данные медицинских работников Персональные данные остальных

Определение перечня персональных данных
Персональные данные медицинских работников
Персональные данные остальных сотрудников
Персональные

данные клиентов
Законодательство :
«Трудового кодекса РФ»; 
Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 N 323-ФЗ; 
«Налогового кодекса Российской Федерации (часть вторая)» от 05.08.2000 N 117-ФЗ, 
Федерального  закона от 01.04.1996 N 27-ФЗ  «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;  
Федерального закона от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;  
Постановления Госкомстата РФ от 05.01.2004 N 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».

4

Слайд 5

Определение уровня защищенности персональных данных 1. Информационная система персональных данных «Медицина

Определение уровня защищенности персональных данных  

1. Информационная система персональных данных  «Медицина

+» является информационной системой, обрабатывающей специальные категории персональных данных, так как в ней обрабатываются персональные данные, касающиеся состояния здоровья субъекта персональных данных.  
2. Для ИСПДн «Медицина +» актуальными являются угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 
3. ИСПДн «Медицина +» обрабатывает специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. 
В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в автоматизированной информационной системе персональных данных «Медицина +» медицинской коммерческой организации необходимо обеспечить 3-й уровень защищенности персональных данных.

5

Слайд 6

Описание выбранных средств защиты 6

Описание выбранных средств защиты

6

Слайд 7

Разработка общей концепции проведения оценки эффективности 7

Разработка общей концепции проведения оценки эффективности

7

Слайд 8

Разработка этапа оценки организационно-распорядительной документации 1 Оценка документации, связанной с ПДн

Разработка этапа оценки организационно-распорядительной документации

1 Оценка документации, связанной с ПДн 
1.1 Проверка целей обработки 

ПДн 
1.2 Проверка законности обработки персональных данных 
1.3 Проверка сроков обработки ПДн 
2 Оценка политики информационной безопасности 
2.1 Обоснованность выбора типа нарушителя 
2.2 Актуальность определенных угроз 
2.3 Соответствие  мер по защите 
2.4 Обоснованность выбора состава и классов технических средств защиты 
2.5 Наличие перечня защищаемых информационных ресурсов и матрица доступа к информационным ресурсам 
2.6 Наличие инструкций и назначение ответственного за организацию процесс обеспечения защиты 
2.7 Наличие нормативной и необходимой организационно-распорядительной документации 
3. Оценка классификации и уровня защищенности ИСПДн 
3.1 Наличие документа отражающего информацию о классификации 
3.2 Правильность проведенной классификации 
3.3  Оценка соответствия имеющихся технических средств и средств защиты информации, представленным в документации 
3.4 Оценка выбранного для информационной системы типа актуальных угроз 

8

Слайд 9

4 Оценка документации на технические средства защиты 4.1 Наличие сертификатов соответствия

4 Оценка документации на технические средства защиты 
4.1 Наличие сертификатов соответствия ФСЭК
4.2 Наличие паспорта

(формуляра) технического средства
4.3 Актуальность сертификата
4.4 Соответствие классу защищенности
5 Оценка требований к помещениям, где обрабатываются ПДн 
5.1 Проверка режима доступа в помещения
5.2 Защита от считывания
6. Оценка соответствия квалификации сотрудников, обеспечивающих защиту ПДн  
6.1 Проверка знания инструкций
6.2 Проверка документов
6.3 Проверка знания технологий
7 Оценка анализа информационных потоков
7.1 Содержание информационного потока
7.2 Соотнесение информационных потоков с внешними информационными системами и организациями
7.3 Законное основание передачи персональных данных

Разработка этапа оценки организационно-распорядительной документации

9

Слайд 10

Разработка этапа оценки технической защиты 10

Разработка этапа оценки технической защиты

10

Слайд 11

Инструментальная оценка подсистемы идентификации и авторизации Сканирование портов узла системы 11

Инструментальная оценка подсистемы идентификации и авторизации

Сканирование портов узла системы

11

Слайд 12

Инструментальная оценка подсистемы идентификации и авторизации Сетевой аудит паролей Локальный аудит паролей 12

Инструментальная оценка подсистемы идентификации и авторизации  

Сетевой аудит паролей

Локальный аудит паролей

12

Слайд 13

Проверка подсистемы антивирусной защиты и межсетевого экранирования Отчет об уязвимостях Сканера

Проверка подсистемы антивирусной защиты и межсетевого экранирования

Отчет об уязвимостях Сканера безопасности

Результат

сканирования целей «Сканером безопасности»

13

Слайд 14

Применение разработанной методики на объекте информатизации. Проверка организационно-распорядительной документации 14

Применение разработанной методики на объекте информатизации. Проверка организационно-распорядительной документации

14

Слайд 15

Проверка технической защиты информационной системы персональных данных 15

Проверка технической защиты информационной системы персональных данных

15

Слайд 16

Проверка подсистемы антивирусной защиты и межсетевого экранирования 1 Результат сканирования системы

Проверка подсистемы антивирусной защиты и межсетевого экранирования

1 Результат сканирования системы на

уязвимости. Открытые порты системы.

2 Результат сканирования системы на уязвимости. Разъяснение результатов

16

Слайд 17

Выработка мер по устранению выявленных недостатков Смета на закупку технических средств

Выработка мер по устранению выявленных недостатков

Смета на закупку технических средств защиты.

Оценка

политики информационной безопасности:
Изменение класса средств защиты согласно новому уровню защищенности:
средства вычислительной техники не ниже 5 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно телекоммуникационными сетями международного информационного обмена.
Разработка документа, включающего в себя матрицу доступа к объектам защиты.
Необходимо определить перечень сетевых ресурсов, к которым необходимо ограничить доступ.
Правильность проведенной классификации:
изменение класса защищенности ИСПДн с 3 класса на 2 класс;
изменение классов технических средств защиты.

17

Слайд 18

Предложенные меры по организации технической защиты ИСПДн «Медицина +» 1 В

Предложенные меры по организации технической защиты ИСПДн «Медицина +»

1 В рамках

обеспечения идентификации и аутентификации обладает следующими возможностями:
Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль олицетворения).
2 Проверка подсистемы разграничения доступа.
Механизмы разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.;
Механизм включения в разграничительную политику субъекта «процесс», как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты и противодействующий атакам на расширение привилегий;
Механизм управления подключением устройств.
3. Необходимо произвести корректную настройку правил межсетевого экранирования:
ограничить доступ по уязвимым портам из внешней сети;
реализовать сегментирование сети, задать правила доступа для каждого сегмента подсети;
реализовать правила межсетевого экранирования согласно политике безопасности.

18

Слайд 19

Основные полученные результаты 1. В рамках написания данного дипломного проекта была

Основные полученные результаты

1. В рамках написания данного дипломного проекта была изучена

структура информационной системы персональных данных «Медицина +», кроме того, была изучена документация, которая описывает принятые Оператором организационные меры, проанализирован состав документации, посвященной созданию системы защиты персональных данных, а также введению режима коммерческой тайны на предприятии.
2. Проведен анализ существующего законодательства Российской Федерации в области обеспечения безопасности персональных данных. выявлены основные моменты, на которые необходимо обращать внимание оператора при организации процесса обеспечения персональных данных.
3. Одним из основных результатов дипломного проекта является разработанная методика оценки эффективности принятых мер по обеспечению защиты персональных данных. Особенностью данной методики является то, что подобная методика отсутствует в открытом доступе и коммерческие организации не могут использовать существующие решения для оценки своей системы защиты.
4. Были изучены функциональные возможности программного средства «Сканер-ВС» при проведении оценки эффективности принятых мер по защите.
5. Проведена проверка коммерческой медицинской организации с использованием разработанной методики. Данная проверка выявила ряд недостатков существующих мер по защите персональных данных.
6. Для устранения выявленных недостатков были предложены компенсирующие меры, включающие в себя меры для корректировки организационно-технической документации и меры по созданию новой технической системы защиты медицинской коммерческой организации.

19

- Предыдущая
Drugs blocking adrenoreceptors
Следующая -
Участник 1

Похожие презентации

Представление чисел в компьютере. Системы счисления. Формы представления чисел
Программное обеспечение конроллеров. Алгоритмы
Структуры в Си-программах. Семантика и синтез
Соцсети, как с ними работать
Моделирование экологических ситуаций
Поняття ГІС. Компоненти геоінформаційних систем
Казино безопасности. Игровая программа для учащихся 7-8 классов
Базы данных в Microsoft Office Access
Табличные базы данных
Разработка backend-интерфейса (WebAPI) для мобильного приложения KP Helper Центра ИКТ
Система управления тестированием Test IT
Основные устройства компьютера
Настойка ISO для фотокамер CANON
Програмування механізмів інформаційної безпеки
Windows Movie Maker (часть I)
Microsoft WORD мәтіндік редакторы
Информационная безопасность и её составляющие. Лекция №1
Презентация "Кодирование информации: 100" - скачать презентации по Информатике
Нелинейные алгоритмы. Язык программирования Паскаль. 8 класс
Вычислительная техника и компьютерное моделирование в физике
Аналоговая вычислительная машина (АВМ)
Презентация "Растровая и векторная анимация" - скачать презентации по Информатике
Алгоритмы удаления скрытых линий и поверхностей
Основные характеристики шрифтов
Презентация "Экспертные системы" - скачать презентации по Информатике
Презентация "Основные понятия мультимедиа" - скачать презентации по Информатике
Сеть связи следующего поколения
Система хранения данных в локальной вычислительной сети компании ООО Колизей
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть