Проект защиты персональных данных факультета искусств СУРАО (Смольный Университет Российская Академическая Образование)

Ущерб репутации. Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора. В случае возникновения спора факт причинения работнику морального вреда и размеры его возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба. Сумма возмещения морального ущерба. Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред. Сумма возмещения морального ущерба.

Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии — с согласия родителей. Такое согласие не требуется в случаях, когда:

1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;

2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

3) гражданин позировал за плату. Нарушение законодательства о труде и об охране труда влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

40 тыс. руб. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.

8 тыс.

руб.Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну),-влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.

15 тыс.

руб.Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), — влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц — от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц — от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

15 тыс.

руб.Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства — влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.

15 тыс.

руб.Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.

7.1, 19.

7.2, 19.

7.3, 19.

7.4, 19.8, 19.19 настоящего Кодекса, — влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.

4 тыс.

руб.Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), — влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от одной тысячи до двух тысяч рублей; на юридических лиц — от десяти тысяч до двадцати тысяч рублей.

15 тыс.

руб.Таким образом, несоблюдение требований регулирующих органов в области защиты ПДн может повлечь наложение на оператора ПДн штрафа до 112 тысяч рублей единовременно, а так же может быть возложена обязанность денежной компенсации вреда субъекту ПДн, последовать конфискация несертифицированных средств защиты, приостановление или прекращение обработки персональных данных. После выявление нарушений оператору ПДн будет выписано предписание с указанием сроков и необходимых мер по их устранению. По наступлению указанных в предписании сроков по выполнению требований, будет произведена проверка на их исполнение. В случае отрицательного результата, будут повторно применены санкции к оператору ПДн и выписано очередное предписание. В таком случае, потенциальные финансовые потери за период 3 лет будут составлять, (7)где П — потенциальные финансовые потери за счет регуляторных рисков за период 3 года;I — размер возможного штрафа со стороны регулирующих органов в год, в случае отсутствия СЗПДн;M — размер денежной компенсации субъекту ПДн в год, учитывая наличие в базах данных оператора ПДн 20 000 субъектов ПДн;K — финансовые потери в случае конфискации несертифицированных средств защиты информации в год. Размер возможного штрафа со стороны регулирующих органов в год с учетом среднего штрафа в размере 70% от максимального и наличия трёх проверок в год (одна плановая, последующие — контроль выполнения предписаний) в случае отсутствия СЗПДн будет равен, рублей.

Исходя из опыта судебного делопроизводства размер возмещения ущерба субъекту ПДн обычно не превышает 2500 рублей. Взяв в расчёт, что в базах данных оператора ИСПДн обрабатываются ПДн 1 000 субъектов ПДн, средний размер возмещения ущерба равным 1 500 рублей, процент утечки ПДн из базы данных оператора 30% в год и 25% субъектов, потенциально подающих заявление на возмещение материального ущерба, размер необходимых выплат оператором субъектам ПДн в год будет составлять, рублей.

Финансовые потери в случае конфискации несертифицированных средств защиты информации, с учетом используемых в ИСПДн СЗИ, будут составлять 100 000 рублей в год. Потенциальные финансовые потери за период 3 года за счет регуляторных рисков согласно формуле 13 будут составлять: рублей.

Необходимо подчеркнуть, что меры регулирующих органов по приостановлению или прекращению обработки персональных данных для ряда операторов ПДн могут привести к недополученному доходу от бизнес-процессов, либо к невозможности осуществления коммерческой деятельности как таковой. Ущерб для оператора ПДн в данном случае не поддаётся расчёту и не учитывается в расчётах.

5.4. ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТАДля расчета экономической эффективности внедрения разработанной СЗПДн необходимо суммарную ее стоимость разработки, внедрения и поддержки за три года сравнить со стоимостью возможного ущерба со стороны регуляторных рисков за такой же период. Экономическая эффективность создания и поддержки спроектированной СЗПДн будет равна:

где П — потенциальные финансовые потери за период 3 года за счет регуляторных рисков;

З — затраты на создание и поддержку СЗПДн в течении 3 лет.

6 Охрана труда и безопасность жизнежеятельности6.

1. Задача раздела.

Основная задача раздела — проанализировать условия труда работников факультета искусств СУРАО, технологических процессов, аппаратуры и оборудования в случае возникновения аварийных ситуаций, выявления опасных факторов пожарной безопасности, выделения вредных производственных веществ на факультете сервиса СУРАО. Так как полностью безопасных и безвредных производств не существует, охрана труда сводит к минимуму вероятность несчастного случая или причинения вреда здоровью работающего. Условия труда на рабочем месте, безопасность технологических процессов, автоматизированных машин, механизмов, оборудования и других средств производства, состояние средств коллективной и индивидуальной защиты, используемых работником, а также санитарно-бытовые условия должны отвечать требованиям нормативных актов об охране труда.

6.2. Анализ условий труда и выявление опасных и вредных производственных факторов.

На факультете сервиса СУРАО был произведен анализ помещения, в процессе которого были выявлены основные факторы, которые могут негативно сказываться на здоровье людей, работающих на факультете искусств СУРАО. К основным факторам на факультете сервиса относятся:

повышенный уровень шума и вибрации на рабочем месте;

неблагоприятный микроклимат рабочей зоны;

недостаточная освещенность рабочей зоны (отсутствие или недостаток естественного света;

опасный уровень напряжения в электрической цепи, замыкание которого может пройти через тело человека;

повышенный уровень электромагнитных излучений. Воздействие указанных неблагоприятных факторов способствует развитию различных болезней и переутомлений, поэтому необходимы меры по снижению этих факторов.

6.3. Производственное освещение.

Организуя производственное освещение на факультете сервиса СУРАО, нужно обеспечить равномерное распределение яркости на рабочей поверхности, так как, переводя взгляд с ярко освещенной на слабо освещенную поверхность, глаз вынуждает переадаптироваться, а это ведет к утомлению органов зрения и, следовательно, к снижению производительности труда. Рекомендуется применять комбинированное освещение, светлую окраску потолка, стен и оборудования. Это способствует равномерному распределению освещения и отсутствию теней. Чтобы избежать колебания освещения, рекомендуется жесткое крепление светильников, применение специальных систем включения газоразрядных ламп. Также следует выбирать необходимый спектральный состав светового потока для правильной цветопередачи и усиления цветовых контрастов. Наличие одного из следующих условий создает ситуацию повышенной опасности:

повышенная влажность;

токопроводящая пыль;

токопроводящие полы;

высокая температура.

6.4. ПРОИЗВОДСТВЕННЫЙ МИКРОКЛИМАТК микроклимату в компьютерных помещениях предъявляются довольно жесткие требования. Согласно этим требованиям в таких помещениях необходимо оборудовать механическую вентиляцию или кондиционеры. При этом следует учесть, что кондиционеры работают на рециркуляции и свежий воздух от их работы не поступает. Кроме того, они являются источниками шума.

Поэтому мощная система приточно-вытяжной вентиляции предпочтительнее. При слабой вентиляции рекомендуется проветривание помещения (желательно со сквозняком) несколько раз в день. Проветривание способствует восстановлению химического состава воздуха, удалению пыли, выравниванию, влажности. Кроме проветривания возможно использовать в помещении комнатные растения, открытые аквариумы, офисные фонтанчики и увлажнители воздуха. Влага и пыль — это два фактора, от которых невозможно укрыться. Важное значение имеет влажность воздуха. Она оказывает влияние на терморегуляцию организма: высокая влажность (более чем 85%) затрудняет терморегуляцию вследствие снижения испарения пота, а слишком низкая (менее 20%) — вызывает пересыхание слизистой оболочки дыхательных путей. Движение воздуха оказывает большое влияние на самочувствие человека. Оно способствует увеличению теплоотдачи организма человека.

В зимнее время года скорость движения воздуха не должна превышать 0,2−0,5 м/с, а летом — 0,2−1 м/с.Чрезвычайно важно поддерживать оптимальную влажность в помещении. Чем выше влажность, тем сильнее ослабляется влияние электростатических полей. С другой стороны, чрезмерная влажность отрицательным образом сказывается на самочувствии людей. Перепады влажности — событие в природе заурядное и организм к нему адаптирован хорошо. А вот повышеннаяпыльность воздуха — экстремальное состояние атмосферы, редкое в естественных условиях обитания наших предков.

В виду этого, человеческий организм плохо адаптирован к условиям повышеннойпыльности. Более того, квартирно-офисная пыль сильно отличается от природной. Офисная пыль содержит в себе:

частички составляющих мебели, ковров, строительных материалов и др. частички кожи человека и домашних животных, в том числе грызунов;

споры микроскопических плесневых и дрожжевых грибов;

около 150 различных видов клещей;

частички хитинового панциря и продукты жизнедеятельности насекомых;

волокна хлопка, льна, бумаги;

бактерии и вирусы. Электростатическое поле, образующееся вокруг компьютера, имеет свойство притягивать заряженные частицы пыли. На рабочем месте пользователя ПК концентрируются микрочастицы пыли со всего помещения. Она раздражает слизистые оболочки — легких и бронхов. Это может привести к изъязвлению носовой перегородки, риниту, бронхиту, астме, пневмонии и т. п. Офисная пыль, в которой живут клещи-сапрофиты, вызывает, пожалуй, самую тяжелую дыхательную аллергию и может спровоцировать заболевание бронхиальной астмой.

ПРОИЗВОДСТВЕННЫЙ ШУМВ настоящее время одной из проблем системных блоков стала шумность систем вентиляции. Еще в 2000 году компьютеры были малошумными. И не смотря на это, хорошо справлялись с компьютерной версткой, бухгалтерией, воспроизведением музыки, демонстрацией и записью фильмов, Интернет-серфингом, коммуникацией, шифрованием и любыми другими любыми офисными и бытовыми задачами. Но развитие процессоров не остановилось на достигнутой тогда частоте в 1 гигагерц. Чем выше частота процессора, тем выше будет его энергопотребление, доходящее в настоящее время до полутора сотен ватт. Соответственно возникает нужда в мощном охлаждении. И соответственно растет уровень шума, создаваемый системой вентиляции. Шум — явление всепроникающее и негативно воздействующее на организм человека. Звуки и шумы большой мощности поражают слуховой аппарат, нервные центры, а в медицине даже существует термин «шумовая болезнь». Однако если переутомление органа слуха повторяется систематически в течение длительного срока, то развивается тугоухость.

При профессиональной тугоухости, как правило, происходит нарушение восприятия частот в диапазоне от 4000 до 8000.

Гц. Постоянное воздействие сильного шума не только отрицательно влияет на слух, но и вызывает другие вредные последствия — звон в ушах, головокружение, головную боль, повышение усталости. Шум обладает аккумулятивным эффектов, то есть акустические раздражения накапливаются в организме и со временем сильнее угнетают его. Поэтому перед начальным уровнем ухудшения слуха от воздействия шумов возникает функциональное расстройство центральной нервной системы. Человек, который постоянно подвергается воздействию шума, отличается повышенной раздражительностью, быстро переутомляется, становится забывчивым, его чаще мучает слабость и головокружения. Коварство шума объясняется не только его прямым действием на барабанную перепонку, а в дальнейшем и на стволовые и корковые структуры мозга, но и тем, что в процессе передачи нервных импульсов происходит их взаимодействие с другими областями мозга, где расположены центры сердечно-сосудистой, дыхательной и других систем жизнедеятельности. При этом нервные импульсы вызывают повышение тонуса сосудов и, как следствие, артериального давления, приводя к появлению дисфункций, а, в конечном счете — к развитию гипертонической болезни. Постоянный шум, даже менее интенсивный, наносит больший вред.

При этом свое пагубное воздействие оказывает даже шум, не ощущаемый ухом человека: инфразвуки, вызывающие чувство тревоги, а при длительном воздействии сказываются на нарушении периферического кровообращения. По мнению ученых, именно инфразвуками, которые неслышно проникают сквозь самые толстые стены, вызываются многие нервные болезни жителей крупных городов. Ультразвуки, занимающие заметное место в гамме производственных шумов, также опасны. Механизмы их действия на живые организмы крайне многообразны и до конца не изучены. Особенно сильно их отрицательному воздействию подвержены клетки нервной системы. Проведенные еще в советский период исследования показали, что у людей, работающих в шумной обстановке, в частности, падает производительность труда (на 10%) и увеличивается заболеваемость (на 37%). Рост болезней наблюдается после работы в течение 8−10 лет при воздействии шума с интенсивностью выше 70−80 дБ — норматива для рабочих мест. В большинстве крупных городов этот порог значительно превышен. Выявленные негативные последствия воздействия шума компьютера на организм человека заставляет серьезно подойти к проблеме борьбы с ним. Источников шума в компьютере несколько: это и вентиляторы, охлаждающие блок питания, процессор и графическую плату, а также приводы оптических и жестких дисков.

В результате генерируется весьма широкий спектр звуков, причем каждый компьютер отличается в этом смысле своей «индивидуальностью» .Следует учитывать, что корпус компьютера играет к тому же роль резонатора: он привносит в общую картину шума низкочастотные составляющие. Чтобы значительно уменьшить уровень шума, следует заменить систему охлаждения. Уже давно существуют системы водяного охлаждения с уровнем шума менее 20 дБ. Однако они достаточно дороги и громоздки. Их желательно применять в серверных решениях, а вот разумность их использования в персоналках кажется сомнительной.

В персональных компьютерах рекомендуется заменить корпус. Чем он просторнее и удобнее, тем лучше, но и дороже. Достаточный объем внутри корпуса и свободное размещение комплектующих поможет создать благоприятную аэродинамику внутри. Соответственно, тепло от процессора будет отходить свободнее, и вентилятору не надо будет так быстро вращаться. Другие варианты решения проблемы:

купить специальный компьютерный стол, в котором системный блок убирается в ящик со специальной дырчатой дверкой, поставить компьютер под стол на подставку, изготовить шумозащитный экран, отделяющий рабочее место от системного блока, положить под системный блок шумозащитную прокладку. обеспечить нормальную вентиляцию системного блока. ЭЛЕКТРОБЕЗОПАСНОСТЬНа рабочем месте пользователя размещены дисплей, клавиатура и системный блок. При включении дисплея на электронно-лучевой трубке создается высокое напряжение в несколько киловольт. Поэтому запрещается прикасаться к тыльной стороне дисплея, вытирать пыль с компьютера при его включенном состоянии, работать на компьютере во влажной одежде и влажными руками. Перед началом работы следует убедиться в отсутствии свешивающихся со стола или висящих под столом проводов электропитания, в целостности вилки и провода электропитания, в отсутствии видимых повреждений аппаратуры и рабочей мебели. Токи статического электричества, образовавшиеся в процессе работы компьютера на корпусах монитора, системного блока и клавиатуры, могут приводить к разрядам при прикосновении к этим элементам. Такие разряды опасности для человека не представляют, но могут привести к выходу из строя компьютера. Для снижения величин токов статического электричества используются нейтрализаторы, местное и общее увлажнение воздуха, использование покрытия полов с антистатической пропиткой. ПРОфилактика пожаров в зданиях.

Пожарная безопасность —состояние объекта, при котором исключается возможность пожара, а в случае его возникновения предотвращается воздействие на людей опасных его факторов и обеспечивается защита материальных ценностей. Противопожарная защита — это комплекс организационных и технических мероприятий, направленных на обеспечение безопасности людей, предотвращение пожара, ограничение его распространения, а также на создание условий для успешного тушения пожара. Пожарная безопасность обеспечивается системой предотвращения пожара и системой пожарной защиты. Во всех служебных помещениях обязательно должен быть «План эвакуации людей при пожаре», регламентирующий действия персонала в случае возникновения очага возгорания и указывающий места расположения пожарной техники. Пожары в ВЦ (Вычислительный центр) представляют особую опасность, так как сопряжены с большими материальными потерями. Характерная особенность ВЦ — небольшие площади помещений. Как известно, пожар может возникнуть при взаимодействии горючих веществ, окислителя и источников зажигания.

В помещениях ВЦ присутствуют все три основные фактора, необходимые для возникновения пожара. Горючими компонентами на ВЦ являются: строительные материалы для акустической и эстетической отделки помещений, перегородки, двери, полы, перфокарты и перфоленты, изоляция кабелей и др. Источниками зажигания в ВЦ могут быть электрические схемы от ЭВМ, приборы, применяемые для технического обслуживания, устройства электропитания, кондиционирования воздуха, где в результате различных нарушений образуются перегретые элементы, электрические искры и дуги, способные вызвать загорания горючих материалов. В современных ЭВМ очень высокая плотность размещения элементов электронных схем. В непосредственной близости друг от друга располагаются соединительные провода, кабели. При протекании по ним электрического тока выделяется значительное количество теплоты. При этом возможно оплавление изоляции. Для отвода избыточной теплоты от ЭВМ служат системы вентиляции и кондиционирования воздуха.

При постоянном действии эти системы представляют собой дополнительную пожарную опасность. Для большинства помещений ВЦ установлена категория пожарной опасности В. Одна из наиболее важных задач пожарной защиты— защита строительных помещений от разрушений и обеспечение их достаточной прочности в условиях воздействия высоких температур при пожаре. Учитывая высокую стоимость электронного оборудования ВЦ, а также категорию его пожарной опасности, здания для ВЦ и части здания другого назначения, в которых предусмотрено размещение ЭВМ, должны быть первой и второй степени огнестойкости. Для изготовления строительных конструкций используются, как правило, кирпич, железобетон, стекло, металл и другие негорючие материалы. Применение дерева должно быть ограничено, а в случае использования необходимо пропитывать его огнезащитными составами.

заключение

.

В данном дипломном проекте поэтапно было представлено создание системы защиты для информационной системы персональных данных. Была рассмотрена модель ИСПДн факультета искусств Автономной некоммерческой организации высшего профессионального образования «Смольный институт Российской академии образования», в состав которой входит локально-вычислительная сеть. На основе руководящих документов ФСБ и ФСТЭК было проведено обследование исходных данных, спроектирована система защиты информации. На стадии проектирования были рассмотрены установка средств защиты и их настройка в соответствии с нормативными актами и руководящими документами. По результатам работы была составлена необходимая проектная документация. Предложенный проект защиты оправдал себя с точки зрения экономических затрат на его реализациюсписок использованных источников.

Барабаш П. А. Безопасность персональных данных. Учебное пособие Санкт-Петербург.: Политехника, 2012.

— 167 с.;Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 15 февраля 2008 года) Белов Е. Б., Лось В. П., Мещеряков Р. В., Шелупанов А. А. — М.: Горячая линия — Телеком, 2006.

— 544 с.: ил.;Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года).Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 05 февраля 2010 года № 58 (зарегистрировано Минюстом России 19 февраля 2010 года № 16 456)Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11 462)Постановление Правительства РФ от 01.

11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. -Режим доступа:

http://www.consultant.ru/document/cons_doc_LAW_137 356/Приказ ФСТЭК России от 11февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"[Электронный ресурс]. -Режим доступа:

http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013;g-n-17Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах. Федеральная служба по техническому и экспортному контролю от 15.

02.2008.

Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 05 февраля 2010 года № 58 (зарегистрировано Минюстом России 19 февраля 2010 года № 16 456)Сан.

ПиН 2.

2.2/2.

4.1340−03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы». Введ. 2003;06−30. — М.: Минздрав России, 2003. — 30 с.Сан.

ПиН 2.

2.4. 548−96. Гигиенические требования к микроклимату производственных помещений.- Введ.

1996;01−10. М.:Информационно-издательский центр Минздрава России, 1997.

Технические средства и методы защиты информации: Учебник для вузов / Зайцев А. П., Шелупанов А. А., Мещеряков Р. В. и др.; под ред. Зайцева А. П. и Шелупанова.

А.А. — М.: ООО «Издательство Машиностроение», 2009 — 508 с., Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных"Шевченко А.Е., Бердышев О. В. Методические указания квыполнению раздела „Безопасность жизнедеятельности“ в дипломных проектах. ПРиложение 1УТВЕРЖДАЮ"__» ____________ 2015 г. Акт.

Определения уровня защищенности, класса защищенности.

ИСПДнфакультета искусств СУРАОКомиссия в составе:

председатель комиссии:

члены комиссии:№п/пНаименование признака.

Сведения о наличии документа1Категории ПДн, обрабатываемых в ИСПДнИные персональные данные2Объем персональных данных.

Менее 100 000 субъектов3Тип субъектов персональных данных.

Персональные данные субъектов заказчика4Структура ИСПДнЛокальная5Наличие подключений сетям общего пользования.

Присутствует 6Режим обработки ПДнМногопользовательский7Уровень значимости ПДнНе определен8Масштаб ИСПДнМестного значенияи в соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и с приказом ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"РЕШИЛАУстановить ИСПДнКласс защищенности — «K3"Председатель комиссии:

генеральный директор"___"________ 2015 г. _____________Члены комиссии:

представительзаказчика"___"________ 2015 г. _____________ПРиложение 2№План — перечень технических мероприятий по обеспечении безопасности ИСПДК3IВ подсистеме управления доступом:

1Реализовать идентификацию и проверку подлинности субъектов доступа при входе в операционную систему ИСПДн по паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;+2Реализовать идентификацию терминалов, технических средств обработки ПДн, узлов ИСПДн, компьютеров, каналов связи, внешних устройств ИСПДн по их логическим именам (адресам, номерам);

— 3Реализовать идентификацию программ, томов, каталогов, файлов, записей, полей записей по именам;

— 4Реализовать контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

— 5при наличии подключения ИСПДн к сетям общего пользования должно применяться межсетевое экранирование. Не ниже 5-го уровня защищенности6Для обеспечения безопасного межсетевого взаимодействия в ИСПДн для разных классов необходимо использовать МЭНе ниже 5-го уровня защищенностиIIСредство защиты от программно математических воздействий (ПМВ):1Реализовать идентификацию и аутентификацию субъектов доступа при входе в средство защиты от программно математических воздействий (ПМВ) и перед выполнением ими любых операций по управлению функциями средства защиты от ПМВ по паролю (или с использованием иного механизма аутентификации) условно-постоянного действия длиной не менее шести буквенно-цифровых символов;+2Осуществлять контроль любых действий субъектов доступа по управлению функциями средства защиты от ПМВ только после проведения его успешной аутентификации;+3Предусмотреть механизмы блокирования доступа к средствам защиты от ПМВ при выполнении устанавливаемого числа неудачных попыток ввода пароля;+4Необходимо проводить идентификацию файлов, каталогов, программных модулей, внешних устройств, используемых средств защиты от ПМВ;+IIIВ подсистеме регистрации и учета:

1Осуществлять регистрацию входа (выхода) субъекта доступа в систему (из системы), либо регистрацию загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;+2Проводить учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку);+3Проводить регистрацию входа/выхода субъектов доступа в средство защиты от ПМВ, регистрацию загрузки и инициализации этого средства и ее программного останова. В параметрах регистрации указывается время и дата входа/выхода субъекта доступа в средство защиты от ПМВ или загрузки/останова этого средства, а также идентификатор субъекта доступа, инициировавшего данные действия;+4Проводить регистрацию событий проверки и обнаружения ПМВ. В параметрах регистрации указываются время и дата проверки или обнаружения ПМВ, идентификатор субъекта доступа, инициировавшего данные действия, характер выполняемых действий по проверке, тип обнаруженной вредоносной программы (ВП), результат действий средства защиты по блокированию ПМВ;+5Проводить регистрацию событий по внедрению в средство защиты от ПМВ пакетов обновлений.

В параметрах регистрации указываются время и дата обновления, идентификатор субъекта доступа, инициировавшего данное действие версия и контрольная сумма пакета обновления;+6Проводить регистрацию событий запуска/завершения работы модулей средства защиты от ПМВ. В параметрах регистрации указываются время и дата запуска/завершения работы, идентификатор модуля, идентификатор субъекта доступа, инициировавшего данное действие, результат запуска/завершения работы;+7должна проводиться регистрация событий управления субъектом доступа функциями средства защиты от ПМВ. В параметрах регистрации указываются время и дата события управления каждой функцией, идентификатор и спецификация функции, идентификатор субъекта доступа, инициировавшего данное действие, результат действия;+8Проводить регистрацию событий попыток доступа программных средств к модулям средства защиты от ПМВ или специальным ловушкам. В параметрах регистрации указываются время и дата попытки доступа, идентификатор модуля, идентификатор и спецификация модуля средства защиты от ПМВ (специальной ловушки), результат попытки доступа;+9Проводить регистрацию событий отката для средства защиты от ПМВ. В параметрах регистрации указываются время и дата события отката, спецификация действий отката, идентификатор субъекта доступа, инициировавшего данное действие, результат действия;+10Обеспечить защиту данных регистрации от их уничтожения или модификации нарушителем;+11Реализовать механизмы сохранения данных регистрации в случае сокращения отведенных под них ресурсов;+12Реализовать механизмы просмотра и анализа данных регистрации и их фильтрации по заданному набору параметров;+13Проводить автоматический непрерывный мониторинг событий, которые могут являться причиной реализации ПМВ (создание, редактирование, запись, компиляция объектов, которые могут содержать ВП).+14Реализовать механизм автоматического анализа данных регистрации по шаблонам типовых проявлений ПМВ с автоматическим их блокированием и уведомлением администратора безопасности;+15Проводить несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации;+16Осуществлять регистрацию входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы.-17Осуществлять регистрацию выдачи печатных (графических) документов на «твердую» копию.

В параметрах регистрации указываются (дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи — логическое имя (номер) внешнего устройства, краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа, идентификатор субъекта доступа, запросившего документ;

— 18Осуществлять регистрацию запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный — несанкционированный),-19Осуществлять регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная — несанкционированная), идентификатор субъекта доступа, спецификация защищаемого файла;

— 20Осуществлять регистрацию попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная — несанкционированная), идентификатор субъекта доступа, спецификация защищаемого объекта — логическое имя (номер);

— 21Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

— 22Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов, информации);

— IVВ подсистеме обеспечения целостности:

1Обеспечить целостность программных средств защиты в составе СЗПДн, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗПДн, целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ;+2Осуществлять физическую охрану ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации;+3Проводить периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСПДн с помощью тест-программ, имитирующих попытки НСД;+4должны быть в наличии средства восстановления СЗПДн, предусматривающие ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности;+5Проводить проверку целостности модулей средства защиты от ПМВ, необходимых для его корректного функционирования, при его загрузке с использованием контрольных сумм;+6Обеспечить возможность восстановления средства защиты от ПМВ, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности;+7Реализовать механизмы проверки целостности пакетов обновлений средства защиты от ПМВ с использованием контрольных сумм;+8Проводить резервное копирование ПДн на отчуждаемые носители информации;

— VВ подсистеме антивирусной защиты:

1Проводить автоматическую проверку на наличие ВП или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВП, по их типовым шаблонам и с помощью эвристического анализа;+2Реализовать механизмы автоматического блокирования обнаруженных ВП путем их удаления из программных модулей или уничтожения;+3Регулярно выполнять (при первом запуске средств защиты ПДн от ПМВ и с устанавливаемой периодичностью) проверка на предмет наличия в них ВП;+4Должна инициироваться автоматическая проверка ИСПДн на предмет наличия ВП при выявлении факта ПМВ;+5Реализовать механизм отката для устанавливаемого числа операций удаления ВП из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВП.+6Дополнительно в ИСПДн должен проводиться непрерывный автоматический мониторинг информационного обмена с внешней сетью с целью выявления ВП.+VIКонтроль отсутствия НДВ в ПО СЗИ1Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации — СЗИ, в том числе и встроенных в общесистемное и прикладное программное обеспечение — ПО), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ (не декларированных возможностей).+VIIОбнаружение вторжений в ИСПДнОбнаружение вторжений должно обеспечиваться путем использования в составе ИСПДн программных или программно-аппаратных средств (систем) обнаружения вторжений (СОВ).+1 Необходимо обязательное использование системы обнаружения сетевых атак, использующие сигнатурные методы анализа +2 Необходимо обязательное использование системы обнаружения сетевых атак, использующие сигнатурные методы анализа и методы выявления аномалий-VIIIЗащита ИСПДн от ПЭМИН1Для обработки информации необходимо использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29 216 91, ГОСТ Р 50 948−2001, ГОСТ Р 50 949−2001, ГОСТ Р 50 923 96, Сан.

ПиН 2.

2.2. 542 96).+IXОценка соответствия ИСПДн требованиям безопасности ПДн1Провести обязательную сертификацию (аттестацию) по требованиям безопасности информации;

— 2Декларировать соответствие или обязательную сертификацию (аттестацию) по требованиям безопасности информации (по решению оператора);+.