Технико-экономическое обоснование проекта «Проектирование модели системы информационной безопасности в автошколе «Вираж»

Перечень сокращений и обозначений 3
Введение 5
1 Анализ предметной области для проектирования модели
системы информационной безопасности в автошколе «Вираж» 8
1.1 Анализ подлежащей защите информации в организации 8
1.2 Анализ обрабатываемых персональных данных в организации 8
1.3 Анализ объектов защиты организации 9
1.4 Разработка модели угроз и уязвимостей выявленных
объектов защиты 10
1.5 Анализ и расчет рисков информационной
безопасности организации ООО «Автошкола «Вираж» 13
1.6 Анализ физической и логической топологии организации 27
1.7 Итоги анализа организации ООО «Автошкола «Вираж» 29
1.8 Выбор программных средств для решения
задач информационной безопасности 29
2 Технико-экономическое обоснование проекта «Проектирование
модели системы информационной безопасности в автошколе
«Вираж» 32
3 Проектирование модели системы обеспечения защиты
информации для автошколы «Вираж» 45
3.1 Проектирование ЛВС организации 45
3.2 Настройка Active Directory 47
3.3 Настройка Veyon 47
3.4 Разработка организационно-распорядительной и
нормативной документации по защите информации в организации 47
4 Охрана труда и техника безопасности при работе на ПК 50
4.1 Общие положения 50
4.2 Виды опасных и вредных факторов 51
4.3 Требования электробезопасности 52
Заключение 54
Список использованных источников 56
Приложение А (обязательное) Настройка инфраструктуры контроля
рабочего места на основе ActiveDirectory и Veyon 60
Приложение Б (обязательное) Положение о коммерческой тайне 105
Приложение В (обязательное) Приказ об утверждении перечня сведений, составляющих коммерческую тайну 120
Приложение Г (обязательное) Приказ об утверждении положения о коммерческой тайне 122
Приложение Д (обязательное) Политика организации в отношении обработки персональных данных 124
Приложение Е (обязательное) Приказ о назначении лиц,
ответственных за организацию обработки персональных данных 136
Приложение Ж (обязательное) Приказ об утверждении перечня лиц, допущенных к обработке персональных данных 139
Приложение И (обязательное) Соглашение о неразглашении персональных данных 145
Приложение К (обязательное) Согласие на обработку персональных данных сотрудника 147
Приложение Л (обязательное) Согласие на обработку персональных данных посетителя 149
Приложение М (обязательное) Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные 151
Приложение Н (обязательное) Правила обработки персональных данных без использования средств автоматизации 155
Приложение П (обязательное) Приказ об определении уровня защищенности персональных данных в организации ООО
«Автошкола «Вираж» 161
Приложение Р (обязательное) Журнал учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники 165
Приложение С (обязательное) Журнал учета обращений
граждан-субъектов персональных данных о выполнении их
законных прав 168
Приложение Т (обязательное) Инструкция пользователя информационной системы персональных данных 171
Приложение У (обязательное) Инструкция ответственного за организацию обработки персональных данных 183
Приложение Ф (обязательное) Инструкция администратора безопасности в информационных системах персональных данных 188
Приложение Х (справочное) Показатели коэффициента сложности и новизны задачи 197
Приложение Ц (справочное) Показатели коэффициента К в
зависимости от стажа программиста 199

Весь текст будет доступен после покупки

В настоящее время получение и передача информации являются неотъемлемой частью деятельности любой организации, и информация является стратегически важным товаром. Потеря информационных ресурсов или утечка секретной информации конкурентам может сильно навредить организации и даже привести к банкротству. Увеличение числа информационных технологий во всех сферах управления уже давно перенесло бизнес в виртуальный мир, что делает его весьма уязвимым для вирусных, хакерских и других атак. Кроме того, злоумышленники могут получить доступ как к открытой, так и к закрытой информации, включая государственную или коммерческую тайну. Ежедневно появляются новые угрозы, выявляются уязвимости, устаревает оборудование и программное обеспечение, что требует непрерывного поддержания и совершенствования защищенности любой организации, ведь в противном случае при реализации угроз организация может понести непоправимый ущерб.
Проектирование модели системы информационной безопасности в организации ООО Автошкола «Вираж» является актуальным в связи с тем, что:
? требуется защита конфиденциальной информации учеников, которая может содержать личные данные, номера телефонов, адреса, и прочие сведения, в соответствии с законодательством Российской Федерации,
? в автошколе присутствуют системы мониторинга и управления учебным процессом, недостаточная защищенность которых может привести к проникновению в них злоумышленников, принеся репутационные потери организации, что в свою очередь влечет за собой потерю прибыли.

Весь текст будет доступен после покупки

1.1 Анализ подлежащей защите информации в организации

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации [23].
В ходе проведения анализа деятельности организации ООО Автошкола «Вираж» была выявлена информация ограниченного доступа, которая представляет собой сведения, составляющие коммерческую тайну на основании Федерального закона от 29.07.2004 № 98-ФЗ (редакция от 14.07.2022) «О коммерческой тайне» [3], персональные данные клиентов и персональные данные сотрудников на основании Федерального закона от 27.07.2006 № 152-ФЗ (редакция от 06.02.2023) «О персональных данных» [5].
В организации ООО Автошкола «Вираж» ведется обработка ПДн сотрудников и клиентов, следовательно, необходимо разработать и реализовать комплекс следующих мер по обеспечению безопасности персональных данных при их обработке:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных,
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных,
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации,
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных,
- учет машинных носителей персональных данных,
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них,
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним,
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных,
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

1.2 Анализ обрабатываемых персональных данных в организации

После проведения анализа исходных данных в организации ООО Автошкола «Вираж» были установлены следующие характеристики обработки персональных данных, приведенных ниже в таблице 1.

Весь текст будет доступен после покупки

1. Российская Федерация. Законы. Гражданский кодекс Российской Федерации: ГК: текст с дополнениями и изменениями на 16.05.2023 года: [принят Государственной думой 21 октября 1994 года]. – Москва: Эксмо, 2023. – 972 с.
2. Российская Федерация. Законы. Налоговый кодекс Российской Федерации: НК: текст с дополнениями и изменениями на 29.05.2023 года: [принят Государственной думой 16 июля 1998 года: одобрен Советом Федерации 17 июля 1998 года]. – Москва : Эксмо, 2023. – 1370 с.
3. Российская Федерация. Законы. О коммерческой тайне. Федеральный закон № 98-ФЗ: [принят Государственной думой 9 июля 2004 года: одобрен Советом Федерации 15 июля 2004 года]. – Москва : Эксмо, 2023. – 12 с.
4. Российская Федерация. Законы. О минимальном размере оплаты труда : Федеральный закон № 82-ФЗ : текст с изменениями и дополнениями на 19 декабря 2022 года : [принят Государственной думой 2 июня 2000 года : одобрен Советом Федерации 7 июня 2000 года]. – Москва : Проспект, 2023. – 8 с.
5. Российская Федерация. Законы. О персональных данных. Федеральный закон № 152-ФЗ: [принят Государственной думой 8 июля 2006 года: одобрен Советом Федерации 14 июля 2006 года]. – Москва : Эксмо, 2023. – 44 с.
6. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации. Федеральный закон № 149-ФЗ: [принят Государственной думой 8 июля 2006 года: одобрен Советом Федерации 14 июля 2006 года]. – Москва : Эксмо, 2023. – 124 с.
7. Российская Федерация. Законы. Трудовой кодекс Российской Федерации: ТК: текст с дополнениями и изменениями на 25.02.2022 года: [принят Государственной думой 21 декабря 2001 года: одобрен Советом Федерации 26 декабря 2001 года]. – Москва : Эксмо, 2023. – 412 с.

Весь текст будет доступен после покупки