- •Институт управления и безопасности предпринимательства
- •3 Курс иб-31-15
- •Оглавление
- •Введение
- •Организационно-правовая характеристика базы практики
- •Характеристика базы практики
- •Систем защиты информации на организации. Виды конфиденциальной информации. Элементы защиты информации.
- •Совершенствование системы защиты персональных данных в ооо «криптолинк»
- •2.1 Система обработки персональных данных. Антивирусные программы ооо «Криптолинк».
- •2.2 Характеристика испДн ооо «Криптолинк» и разработка частной модели угроз для обеспечения безопасности персональных данных сотрудников организации, обрабатываемых в организации.
- •2.3 Рекомендации по повышению уровня защиты пДн сотрудников, обрабатываемых в ооо «Криптолинк».
- •Заключение
- •Библиографический список Приложение
2.3 Рекомендации по повышению уровня защиты пДн сотрудников, обрабатываемых в ооо «Криптолинк».
Проанализировав систему защиты ПДн в ООО «Криптолинк», а так же рассмотрев ИСПДн используемую в организации можно дать некоторые рекомендации по повышению уровня защиты ПДн сотрудников, а так же всей системы защиты.
В учреждении должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.
Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплуатационной документацией на них.
Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.
Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.
Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.
В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
Следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:
двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения [18].
Так же рекомендуется провести следующие действия внутри организации:
Разработать и утвердить внутри учреждения приказ о защите персональных данных
Разработать и утвердить внутри учреждения приказ о подразделении по защите персональных данных
Разработать и утвердить внутри учреждения приказ о назначении ответственных лиц за обработку персональных данных.
Разработать и утвердить внутри учреждения Концепцию информационной безопасности и Политику информационной безопасности.
Разработать и утвердить внутри учреждения приказ о проведении внутренней проверки. Результат оформить в виде отчета
Определить состав и категории обрабатываемых персональных данных Результат оформить в виде перечня ПДн
Осуществить классификацию действующих информационных систем, обрабатывающих персональные данные
Разработать и утвердить внутри учреждения положение о разграничении прав доступа к обрабатываемым персональным данным
Адаптировать модель угроз к конкретной ИСПДн учреждения
Разработать и утвердить план мероприятий по защите ПДн
Разработать и утвердить порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
Разработать и утвердить план внутренних проверок состояния защиты ПДн
Разработать и утвердить журнал учета обращений субъектов ПДн о выполнении их законных прав
Разработать и утвердить перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
Разработать и утвердить электронный журнал обращений пользователей информационной системы к ПДн.
Провести необходимые технические мероприятия для обеспечения защиты ПДн при их обработке в ИСПДн. В их состав входят: а) Обязательные технические мероприятия. б) Технические мероприятия, выполняемые, при выделении дополнительного финансирования.
Декларировать соответствие или провести аттестационные (сертификационные) испытания ИСПДн [17].