Файл: Разработка системы защиты персональных данных на.docx

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 05.12.2023

Просмотров: 200

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ОБОЗНАЧЕНИЯ СОКРАЩЕНИЙ

ВВЕДЕНИЕ

1. ОСНОВЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1 Законодательные основы защиты персональных данных

Классификация угроз информационной безопасности персональных
данных.

Общая характеристика источников угроз в информационных системах персональных
данных

Характеристика Банка и его деятельности

1.6 Устройство и угрозы локальной вычислительной сети Банка

1.7 Средства защиты информации

1.8 Организационные меры защиты

1.9 Цикл обработки персональных данных

2. РАЗРАБОТКА МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ

2.1 Мероприятия по защите локальной вычислительной сети банка и информационной системы персональных данных В сети ПАО «Витабанк» есть ярко выраженные слабые места, используя которые злоумышленники могут получить полный доступ к сети банка и перехватить над ней контроль, после чего смогут беспрепятственно украсть, изменить или удалить персональные данные клиентов или сотрудников Банка.Так как сеть Банка представляет собой один единственный сегмент, то для минимизации рисков проникновения злоумышленников в сеть Банка, её необходимо разделить на несколько сегментов с использованием технологии виртуальных сетей.Концепция технологии построения виртуальных сетей (VLAN) заключается в том, что администратор сети может создавать в ней логические группы пользователей независимо от того, к какому участку сети они подключены. Объединять пользователей в логические рабочие группы можно, например, по признакам общности выполняемой работы или совместно решаемой задачи. При этом группы пользователей могут взаимодействовать между собой или быть совершенно невидимыми друг для друга. Членство в группе можно изменять, и пользователь может быть членом нескольких логических групп. Виртуальные сети формируют логические широковещательные домены, ограничивая прохождение широковещательных пакетов по сети, так же, как и маршрутизаторы, изолирующие широковещательный трафик между сегментами сети. Таким образом, виртуальная сеть предотвращает возникновение широковещательных штормов, так как широковещательные сообщения ограничены членами виртуальной сети и не могут быть получены членами других виртуальных сетей. Виртуальные сети могут разрешать доступ членам другой виртуальной сети в случаях, где это необходимо для доступа в общие ресурсы, типа файловых серверов или серверов приложений, или где общая задача, требует взаимодействия различных служб, например кредитных и расчетных подразделений. Виртуальные сети могут создаваться по признакам портов коммутатора, физических адресов устройств, включаемых в сеть и логических адресов протоколов третьего уровня модели OSI. Преимущество виртуальных сетей состоит в высокой скорости работы коммутаторов, так как современные коммутаторы содержат специализированный набор интегральных схем специально разработанных для решения задач коммутации на втором уровне модели OSI. Виртуальные сети третьего уровня наиболее просты в установке, если не требуется переконфигурация клиентов сети, наиболее сложны в администрировании, т.к. любое действие с клиентом сети требует либо переконфигурации самого клиента либо маршрутизатора, и наименее гибки, так как для связи виртуальных сетей требуется маршрутизация, что увеличивает стоимость системы и снижает ее производительность.Таким образом, создание виртуальных сетей в Банке предотвратит атаки типа ARP-spoofing. Злоумышленники не смогут перехватить информацию, проходящую между сервером и клиентом. При проникновении в сеть злоумышленники смогут просканировать не всю сеть Банка, а только сегмент сети в который они получили доступ.При проникновении в сеть Банка злоумышленники в первую очередь будут сканировать сеть для поиска критически важных узлов сети. Этими узлами являются: Контроллер домена; Proxy сервер; Почтовый сервер; Файловый сервер; Сервер приложений. Так как в Банке локальная сеть будет организована с использованием технологии виртуальных сетей, злоумышленники не смогут без дополнительных действий обнаружить эти узлы. Для того чтобы усложнить злоумышленникам поиск критически важных узлов локальной сети и запутать их, а в дальнейшем изучить стратегию злоумышленников при проведении атаки в сети нужно использовать ложные объекты, которые будут привлекать злоумышленников. Эти объекты называются Honeypot.Задача Honeypot – подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленников и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого – привлечь внимание взломщиков.Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты отдела информационной безопасности собирают информацию об атаке злоумышленников на ресурс и разрабатывают стратегии отражения атак в будущем.Для контроля входящей из сети Интернет информации и обнаружения
угроз информационной безопасности на этапе их передачи по сети, а также обнаружения активности злоумышленников, проникнувших в локальную сеть Банка необходимо на границе сети установить систему предотвращения вторжений.Система предотвращения вторжений – программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.Системы предотвращения вторжений можно рассматривать как продолжение Систем обнаружения вторжений, так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что система предотвращения вторжений отслеживает активность в реальном времени и быстро реализует действия по предотвращению атак.Системы обнаружения и предотвращения вторжений подразделяются на: Сетевые системы предотвращения вторжений – анализируют трафик, направленный в сеть организации, проходящий в самой сети или направленный к конкретному компьютеру. Системы обнаружения и предотвращения вторжений могут быть реализованы программными или программно-аппаратными методами, устанавливаются на периметре корпоративной сети и иногда внутри нее. Персональные системы предотвращения вторжений – это программное обеспечение, которое устанавливается на рабочие станции или серверы и позволяет контролировать деятельность приложений, а также отслеживать сетевую активность на наличие возможных атак. Для развёртывания в сети Банка была выбрана сетевая система предотвращения вторжений.Рассматривались сетевые системы вторжений компаний IBM, Check Point, Fortinet, Palo Alto, так как заявленный функционал производителей этих систем подходил под требования отдела информационной безопасности Банка.После развёртывания тестовых стендов и проведения тестирования систем предотвращения вторжений была выбрана система производства компании Check Point, так как она показала наилучшее быстродействие, лучшую подсистему обнаружения вирусного программного обеспечения, передаваемого по локальной сети, лучший инструментарий по протоколированию и журналированию важных событий и цене приобретения.Система предотвращения вторжений компании IBM была отвержена из-за стоимости устройств, превышающей бюджет отдела информационной безопасности на покупку системы предотвращения вторжений.Система предотвращения вторжений компании Fortinet была отвержена из-за неполного срабатывания при выполнении сотрудниками отдела информационной безопасности тестов по передаче заражённых файлов и недостаточно информативного инструментария журналирования важных событий.Система предотвращения вторжений компании Palo Alto была отвержена из-за недостаточно информативного инструментария журналирования важных событий, чрезмерной сложности работы с системой и работе в большей степени как маршрутизатор.Для внедрения в локальную сеть была выбрана система предотвращения вторжений компании Check Point. Эта система показала высокий уровень обнаружения
угроз информационной безопасности, гибкие настройки, возможность расширения функционала за счёт приобретения дополнительных программных модулей, имеет мощную систему журналирования важных событий и мощный инструментарий по предоставлению отчётов о происшествиях, с помощью которого можно гораздо проще расследовать произошедшие инциденты информационной безопасности.Для внедрения в локальную сеть Банка выбрана модель Check Point 4600.Характеристики модели системы предотвращения вторжений Check Point 4600 представлены в таблице 2.Таблица 2. Характеристики модели системы предотвращения вторжений Check Point 4600.

2.2 Программные и аппаратные средства защиты

2.3 Базовая политика безопасности

3. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

ПРИЛОЖЕНИЕ 1

3. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА



Для реализации системы защиты персональных
данных необходимо произвести закупку:

  • Оборудования для защиты сети Банка;

  • Аппаратные средства защиты информации;

  • Программные средства защиты информации.

Для перестроения сети организации необходимо закупить коммутаторы Cisco Catalyst 2960 в количестве 3-х экземпляров. Один коммутатор необходим для работы на уровне ядра сети Банка, 2 других для работы на уровне распределения. Сетевое оборудование, работавшее в банке до перестройки сети тоже будет задействовано.

Для защиты сети Банка от вторжений необходимо закупить систему предупреждения вторжений Check Point 4600.

В таблице представлена суммарная стоимость оборудования, закупаемого для перестроения локальной сети Банка (табл. 3):

Таблица 3. Стоимость оборудования,

закупаемая для перестроения локальной сети Банка

Наименование устройства
Количество (шт.)
Стоимость одного экземпляра (руб.)
Общая стоимость (руб.)

Cisco Catalyst 2960
3
137 054
411 162

Check Point 4600
1
795 340
795 34

Общая стоимость
1 206 502


Для защиты локальных рабочих станций пользователей, работающих с ИСПДн необходимо закупить ПАК СЗИ НСД Аккорд в количестве 16 экземпляров (табл. 4):

Таблица 4. Стоимость ПАК СЗИ НСД Аккорд

Наименование устройства
Количество (шт.)
Стоимость одного экземпляра (руб.)
Общая стоимость (руб.)

ПАК СЗИ НСД Аккорд MX
17
9389
159 613

Общая стоимость
159 613


Дополнительно запланирована покупка аппаратных средств защиты, а именно антивирусное программное обеспечение Doctor WEB Enterprise security suit. Планируется установка на отдельную рабочую станцию, предназначенную для проверки скачиваемых пользователями файлов. Стоимость покупки антивируса Doctor WEB Enterprise security suit представлена в таблице 5.

Таблица 5. Стоимость Doctor WEB Enterprise security suit

Наименование устройства
Количество (шт.)
Стоимость одного экземпляра (руб.)
Общая стоимость (руб.)

Doctor WEB Enterprise security suit
1
5500
5500

Общая стоимость
5500


Это в конце 3 главы.

Мною были рассмотрены затраты на организацию системы защиты персональных данных по группам инструментов защиты. Общая стоимость всех закупаемых устройств и программного обеспечения – 1 371 615 рублей (таблица 6).

Таблица 6. Общая стоимость

всех закупаемых устройств и программного обеспечения

Наименование устройства
Количество (шт.)
Стоимость одного экземпляра (руб.)
Общая стоимость (руб.)

Cisco Catalyst 2960
3
137 054
411 162

Check Point 4600
1
795 340
795 340

ПАК СЗИ НСД Акорд MX
17
9389
159 613

Doctor WEB Enterprise security suit
1
5500
5500

Общая стоимость
1 371 615



ЗАКЛЮЧЕНИЕ



В своём дипломном проекте я рассмотрел нормативно-правовую базу по защите персональных
данных. Мной были рассмотрены основные источники
угроз безопасности персональных
данных.

Опираясь на рассмотренные
угрозы персональных я проанализировал существующую систему защиты персональных
данных в ПАО «Витабанк» и пришёл к выводу, что она нуждается в серьёзной доработке.

В процессе дипломного проекта были обнаружены слабые места в локальной сети Банка. С учетом обнаруженных слабых мест в локальной сети Банка определены меры по минимизации рисков информационной безопасности сети Банка.


Также рассмотрены и подобраны устройства и программное обеспечение для защиты локальных рабочих мест сотрудников, обрабатывающих персональные данные сотрудников и клиентов Банка.

При моём участии была создана система повышения осведомлённости сотрудников в вопросах информационной безопасности.

Глубоко переработан порядок доступа сотрудников Банка к сети Интернет, переработаны группы доступа в сеть Интернет. Новые группы доступа в сеть Интернет позволяют существенно минимизировать риски информационной безопасности за счёт ограниченных возможностей пользователей скачивать файлы, заходить на недоверенные ресурсы.

Приведены расчёты стоимости перестроения сети и создания жизнеспособной системы защиты персональных
данных, способной отражать большинство
угроз информационной безопасности.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ





  1. «Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) // Официальный текст Конституции РФ с внесенными поправками от 21.07.2014 опубликован на Официальном интернет-портале правовой информации http://www.pravo.gov.ru, 01.08.2014

  2. «Базовая модель
угроз безопасности персональных
данных при их обработке в информационных системах персональных
данных» (Выписка) (утв. ФСТЭК РФ 15.02.2008)

  3. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.07.2016) «Об информации, информационных технологиях и о защите информации» // В данном виде документ опубликован не был. gервоначальный текст документа опубликован в «Российская газета», N 165, 29.07.2006

  4. «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (ред. от 03.07.2016) (с изм. и доп., вступ. в силу с 03.10.2016) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в «Российская газета», N 256, 31.12.2001

  5. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных
данных при их обработке в информационных системах персональных
данных» // «Российская газета», N 256, 07.11.2012

  6. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных
данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375) // «Российская газета», N 107, 22.05.2013

  7. «Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014» (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399) // «Вестник Банка России», N 48-49, 30.05.2014

  8. «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (утв. Банком России 09.06.2012 N 382-П) (ред. от 14.08.2014) (Зарегистрировано в Минюсте России 14.06.2012 N 24575) // В данном виде документ опубликован не был, первоначальный текст документа опубликован в «Вестник Банка России», N 32, 22.06.2012

  9. «Положение о порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (утв. Банком России 29.08.2008 N 321-П) (ред. от 15.10.2015) (вместе с «Порядком обеспечения информационной безопасности при передаче-приеме ОЭС», «Правилами формирования ОЭС и заполнения отдельных полей записей ОЭС») (Зарегистрировано в Минюсте России 16.09.2008 N 12296) // В данном виде документ опубликован не был, Первоначальный текст документа опубликован в «Вестник Банка России», N 54, 26.09.2008

  10. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных
данных» (Зарегистрировано в Минюсте России 14.05.2013 N 28375) // «Российская газета», N 107, 22.05.2013

  11. Аверченков В.И., Рытов М.Ю., Гайнулин Т.Р. Защита персональных
данных в организациях. М.: Флинта, 2011

  12. Агапов А. Б. Основы государственного управления в сфере информатизации в Российской Федерации. М.: Юристъ, 2012

  13. Костин А. А., Костина А. А., Латышев Д. М., Молдовян А. А. Программные комплексы серии „АУРА“ для защиты информационных систем персональных
данных // Изв. вузов. приборостроение. 2012. Т. 55, № 11

  14. Молдовян А. А. Криптография для защиты компьютерной информации (часть 1) // Интеграл. 2014. № 4 (18)

  15. Романов О.А., Бабин С.А., Жданов С.Г. Организационное обеспечение информационной безопасности. – М.: Академия, 2015

  16. Шульц В.Л., Рудченко А.Д., Юрченко А.В. Безопасность предпринимательской деятельности. М.: Издательство «Юрайт», 2016



ПРИЛОЖЕНИЕ 1


Правила дистанционного банковского обслуживания юридических лиц и индивидуальных предпринимателей в ПАО «ВИТАБАНК»




























Смотрите также файлы