Дипломная работа на тему "Защита персональных данных в ООО «Билеты онлайн» | Синергия [ID 53211]"

Работа на тему: Защита персональных данных в ООО «Билеты онлайн»
Оценка: отлично.
Оригинальность работы на момент публикации 50+% на антиплагиат.ру.
Ниже прилагаю все данные для покупки.
https://studentu24.ru/list/suppliers/maksim---1324

Описание работы

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ ЧАСТНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»
Факультет онлайн обучения

Направление подготовки:

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
«Защита персональных данных в ООО «Билеты онлайн»

2018

ЗАДАНИЕ НА ДИПЛОМНЫЙ ПРОЕКТ
1. Тема дипломного проекта: «Защита персональных данных в ООО «Билеты онлайн»
Утверждена приказом университета № _ от « _» 20 г.
2. Срок сдачи студентом законченного проекта « » 20 г.
3. Исходные данные по дипломному проекту
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Приказ ФСТЭК РФ от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопас- ности персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 г.
№ 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных дан- ных».
4. Содержание разделов дипломного проекта

Введение
I Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).
1.1.1. Общая характеристика предметной области.
1.1.2. Организационно-функциональная структура предприятия.
1.2. Анализ рисков информационной безопасности
1.2.1 Идентификация и оценка информационных активов.
1.2.2. Оценка уязвимостей и угроз активам.
1.2.3. Оценка существующих и планируемых средств защиты.
1.2.4. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости со- вершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
1.4. Выбор защитных мер
1.4.1. Выбор организационных мер.
1.4.2. Выбор инженерно-технических мер. II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации пред- приятия.
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание. III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта Заключение
Приложения

5. Основные вопросы, подлежащие разработке
В главе 1 необходимо представить обоснование актуальности выбора задачи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.
В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание.
В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:
• идентифицировать информационные активы;
• ранжировать их по степени важности;
• определить активы, которые относятся к конфиденциальным;
• оценить уязвимость активов;
• оценить степень угроз выбранным информационным активам;
• дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности.
• провести обоснование выбора методики оценки рисков с последующим проведением оценки.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.
В разделе 1.4 необходимо провести анализ и обоснование выбора:
• стратегии обеспечения информационной безопасности
• организационных и инженерно-технических мер обеспечения информационной безопасности;
• необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности
В главе 2 необходимо представить проектные решения в соответствии с выбранным направлением обеспечения информационной безопасности.
В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.
Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно-аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной без- опасности.
Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Рас- четные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.
Приложение обязательно должно содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:
• схемы или таблицы из основной части выпускной квалификационной работы;
• результаты выполнения контрольного примера;
• схемы документооборота;
• примеры классификаторов;
• формы первичных и результатных документов;
• распечатки меню, экранных форм ввода, получаемых отчетов в разработанной системе;
• а также другие материалы выпускной квалификационной работы, кроме копий документов, не имеющих отношения к выпускной квалификационной работе, рекламных сообщений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части выпускной квалификационной работе.
При подготовке выпускной квалификационной работы вы можете пользоваться дополнительными литературными источниками, а также основной литера- турой, список которой приведен ниже.

6. Список литературы
1. Доктрина информационной безопасности Российской Федерации
2. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
3. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
4. Н.Скабцов. Аудит безопасности информационных систем – СП-б.:Питер, 2018
5. А.Бирюков. Информационная безопасность. Защита и нападение – М.:ДМК Пресс, 2017
6. С.Нестеров. Информационная безопасность. Учебник и практикум – М.:Юрайт, 2017
7. Д.А.Мельников. Организация и обеспечение безопасности информационно- технологических сетей и систем. Учебник – М.:КДУ, 2015
8. Нестеров, С.А. Основы информационной безопасности : учебное пособие / С.А. Нестеров ; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный политехнический университет. - СПб.
: Издательство Политехнического университета, 2014. - 322 с. : схем., табл., ил.- ISBN 978-5-7422-4331-1 ; То же [Электронный ресурс].
9. Аверченков, В.И. Аудит информационной безопасности : учебное пособие для вузов / В.И. Аверченков. - 3-е изд., стереотип. - М. : Флинта, 2016. - 269 с. - Библиогр. в кн. - ISBN 978-5-9765-1256-6 ; То же [Электронный ресурс].

Оглавление
Введение
I Аналитическая часть 22
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения). 22
1.1.1. Общая характеристика предметной области. 22
1.1.2. Организационно-функциональная структура предприятия 25
1.2. Анализ рисков информационной безопасности 26
1.2.1 Идентификация и оценка информационных активов. 26
1.2.2. Оценка уязвимостей и угроз активам. 36
1.2.2.3 Определение типов угроз 37
1.2.2.4 Модель угроз безопасности персональных данных при их обработке в ИСПДн 39
1.2.3. Оценка существующих и планируемых средств защиты. 62
1.2.4. Оценка рисков. 73
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 75
1.3.1. Выбор комплекса задач обеспечения информационной безопасности. 75
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации. 76
1.4. Выбор защитных мер 77
1.4.1. Выбор организационных мер. 77
1.4.2. Выбор инженерно-технических мер. 78
II Проектная часть 82
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 82
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 82
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 83
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 85
2.2.1.1 Secret Net Studio 85
2.2.1.2 АПКШ «Континент» 93
2.2.2. Контрольный пример реализации проекта и его описание. 96
III Обоснование экономической эффективности проекта 106
3.1 Выбор и обоснование методики расчёта экономической эффективности 106
3.2 Расчёт показателей экономической эффективности проекта 108
Заключение 114
Список литературы 117
Перечень сокращений 119
Приложение № 1 120
Приложение № 2 135

Введение
Актуальность задачи защиты информации, обрабатываемой в информационных системах, в настоящее время не вызывает никаких сомнений. Всё чаще приходится слышать об атаках как хакеров-одиночек, так и преступных групп, что наглядно доказывает то, что современная информационная система должна быть надежно защищена от вторжений извне.
Немного особняком здесь стоит информация, обязанность защищать которую возложена законодательно на оператора. Ограничение доступа к информации устанавливается нормативно-правовыми актами в целях защиты конституционных прав граждан, здоровья, нравственности, прав и законных интересов физических лиц, обеспечения обороны и безопасности государства. К такой информации, согласно положениям Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», относятся персональные данные. [1]
Любая организация в результате своей деятельности сталкивается с необходимостью обработки персональных данных (далее- ПДн). К персональным дан- ным относится любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных дан- ных). Кадровый учет, выплата зарплаты работникам, ведение базы клиентов - физических лиц, заключение договоров с такими клиентами – ведение такой деятельности приводит к созданию информационных систем персональных данных (далее – ИСПДн). Согласно статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных», обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, использование, накопление, хранение, запись, уточнение (обновление, изменение), извлечение, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, при нормальной организации деятельности типового предприятия избежать обработки персональных дан- ных не получится, значит и избежать обязанности защищать обрабатываемые данные практически невозможно.
В ООО «Билеты онлайн» ведётся обработка персональных данных работников и клиентов, в связи с этим возникает обязанность принятия защитных мер по требованиям стандартов, руководящих и нормативно-методических документов по защите персональных данных, действующих на территории Российской Федерации.
[2] Принятие этих мер является одним из этапов процесса обеспечения информационной безопасности в организации. При проведении испытаний ИСПДн на соответствие требованиям по безопасности персональных данных должны быть учтены требования следующих руководящих и нормативно-методических доку- ментов:
? Приказ ФСТЭК РФ от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению без- опасности персональных данных при их обработке в информационных системах персональных данных»;
? Федеральный закон Российской Федерации от 27 июля 2006 № 152-ФЗ «О персональных данных»;
? Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Целью моей дипломной работы является приведение системы защиты персональных данных ООО «Билеты онлайн» в соответствие требованиям руководя- щих и нормативно-методических документов, приведенных выше.
В рамках работы над дипломным проектом планируется провести мероприятия по изучению технологического процесса обработки и хранения персональных данных, анализ информационных потоков, определение состава использованных для обработки персональных данных технических и программных средств. После этого провести проверку состояния организации работ и выполнения организационно-технических требований по защите персональных данных, оценку правильности определения уровней защищенности, оценку уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценку уровня подготовки кадров и распределения ответственности между сотрудниками за выполнение требований по обеспечению безопасности персональных данных. В соответствии с Требованиями к защите персональных данных при их обработке в
информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, должны быть приняты меры по обеспечению безопасности ПДн, которые реализуются в рамках системы защиты персональных данных. Они должны быть направлены на нейтрализацию актуальных угроз безопасности ПДн.[5]

Список литературы
1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных дан- ных» (ред. от 29.07.2017);
2. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3. Федеральный закон от 04.05.2011 г. № 99 «О лицензировании отдельных видов деятельности»;
4. Приказ ФСТЭК РФ от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению без- опасности персональных данных при их обработке в информационных си- стемах персональных данных»;
5. Постановление Правительства Российской Федерации от 1 ноября 2012 г.
№ 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных дан- ных»;
6. Указ президента Российской Федерации от 06.03.1997г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
7. Указ Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
8. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России 14 февраля 2008 года;
9. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3;
10. Нестеров, С.А. Основы информационной безопасности : учебное пособие / С.А. Нестеров ; Министерство образования и науки Российской Федерации, Санкт-Петербургский государственный политехнический университет. - СПб. : Издательство Политехнического университета, 2014. - 322 с. : схем., табл., ил. - ISBN 978-5-7422-4331-1;
11. Аверченков, В.И. Аудит информационной безопасности : учебное пособие для вузов / В.И. Аверченков. - 3-е изд., стереотип. - М. : Флинта, 2016. - 269 с. - Биб- лиогр. в кн. - ISBN 978-5-9765-1256-6;
12. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: Кно- Рус, 2013. - 136 c.;
13. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год
14. Фирма 1С [Офиц. сайт].
15. ООО «Код безопасности» [Офиц. сайт].
16. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций [Офиц. сайт].
17. Федеральная служба по техническому и экспортному контролю [Офиц. сайт].
18. Группа компаний «Конфидент» [Офиц. сайт].