Защита персональных данных АО «Альфа-Банк»

Период изготовления: май 2022 года.

Цель выпускной квалификационной работы: описать разработку системы защиты персональных данных на предприятии на основе методики защиты персональных данных АО «АЛЬФА-БАНК».

Задачи выпускной квалификационной работы, которые решаются для достижения этой цели:

- провести анализ существующей ИС защиты персональных данных АО «АЛЬФА-БАНК»;

- разработать модель защиты персональных данных АО «АЛЬФА-БАНК»;

- дать оценку текущего состояния обеспечения безопасности защиты персональных данных АО «АЛЬФА-БАНК»;

- провести аудит объекта информатизации АО «АЛЬФА-БАНК»;

- описать организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК»;

- обосновать необходимость разработки системы защиты персональных данных для АО «АЛЬФА-БАНК»;

- Предоставить описание ИС защиты персональных данных для АО «АЛЬФА-БАНК»

- представить расчёт показателей экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК».

Практическая значимость полученных результатов: вскрытые проблем построения сценария моделирования угроз защиты персональных данных объекта КИИ на соответствие требованиям обеспечения информационной безопасности, позволят специалистам по ИБ строить более точные модели нарушителей ИБ в финансовом секторе, объектов КИИ и более эффективно применять такие модели в целях решения задач обеспечения ИБ. Согласно ФЗ №187 объекты КИИ могут быть отнесены к одной из трех категорий значимости, где первая категория является высшей, а третья – низшей. Также по результатам защиты персональных данных объекту КИИ может быть не присвоена ни одна из категорий значимости.

Есть приложения.

Работа была успешно сдана - заказчик претензий не имел.

Готовые работы я могу оперативно проверить на оригинальность по Antiplagiat .ru и сообщить Вам результат.

ВВЕДЕНИЕ 4

I Аналитическая часть 7

1.1. Технико-экономическая характеристика предметной области и АО «АЛЬФА-БАНК». Анализ деятельности «КАК ЕСТЬ» 7

1.1.1. Характеристика АО «АЛЬФА-БАНК» и его деятельности 7

1.1.2. Организационная структура управления коммерческим банком 9

1.1.3. Программная и техническая архитектура ИС АО «АЛЬФА-БАНК» 12

1.2. Характеристика комплекса задач, задачи и обоснование необходимости защиты персональных данных 21

1.2.1. Выбор комплекса задач и характеристика существующих бизнес-процессов защиты персональных данных банка 21

1.2.2. Определение места проектируемой задачи в комплексе задач и ее описание 23

1.2.3. Обоснование необходимости использования вычислительной техники для решения задачи 24

1.2.4. Анализ системы обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК» 28

1.3. Анализ существующих разработок и выбор мер защиты персональных данных «КАК ДОЛЖНО БЫТЬ» 31

1.3.1. Анализ существующих разработок для защиты персональных данных 31

1.3.2. Выбор и обоснование стратегии задачи 44

1.3.3. Выбор и обоснование способа приобретения ИС для защиты персональных данных 46

1.4. Обоснование проектных решений по защите персональных данных АО «АЛЬФА-БАНК» 48

1.4.1. Обоснование проектных решений по информационному обеспечению 48

1.4.2. Обоснование проектных решений по программному обеспечению 68

1.4.3. Обоснование проектных решений по техническому обеспечению 77

Вывод по первой главе 84

II Проектная часть 85

2.1. Разработка проекта защиты персональных данных 85

2.1.1. Этапы жизненного цикла проекта защиты персональных данных АО «АЛЬФА-БАНК» 85

2.1.2. Ожидаемые риски на этапах жизненного цикла и их описание 89

2.1.3. Организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты персональных данных АО «АЛЬФА-БАНК» 93

2.2. Информационное обеспечение задачи 95

2.2.1. Информационная модель и её описание 95

2.2.2. Характеристика нормативно-справочной, входной и оперативной информации 96

2.2.3. Характеристика результатной информации АО «АЛЬФА-БАНК» 103

2.3. Программное обеспечение задачи 103

2.3.1. Общие положения (дерево функций и сценарий диалога) 103

2.3.2. Характеристика базы данных коммерческого банка 107

2.3.3. Структурная схема пакета (дерево вызова программных модулей) 108

2.3.4. Описание программных модулей ИС защиты персональных данных АО «АЛЬФА-БАНК» 110

2.4. Контрольный пример реализации проекта и его описание 110

Вывод по второй главе 118

III Обоснование экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК» 120

3.1. Выбор и обоснование методики расчёта экономической эффективности 120

3.2. Расчёт показателей экономической эффективности проекта защиты персональных данных АО «АЛЬФА-БАНК» 121

Выводы по третьей главе 127

ЗАКЛЮЧЕНИЕ 128

СПИСОК ЛИТЕРАТУРЫ 130

ПРИЛОЖЕНИЕ 134

1. ФАУ «ГНИИИ ПТЗИ ФСТЭК России» - Банк данных угроз безопасности информации [Электронный ресурс] URL: https://bdu.fstec.ru/

2. Методический документ ФСТЭК «Методика определения угроз безопасности информации в информационных системах» [Электронный ресурс] /https://fstec.ru/component/attachments/download/812/ (дата обращения 18.03.2022)

3. Федеральный закон Российской Федерации от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [Электронный ресурс] /https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/285-zakony/1610-federalnyj-zakon-ot-26-iyulya-2017-g-n-187-fz/ (дата обращения 17.03.2022)

4. Постановление Правительства РФ от 26.06.2012 № 644 «О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов»

5. Постановление Правительства от 8 февраля 2018 г. N 127 (ред. от 13 апреля 2019 г.) «Об утверждении правил защиты персональных данных объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» [Электронный ресурс] / https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/287-postanovleniya/1614-postanovlenie-pravitelstva-rossijskoj-federatsii-ot-8-fevralya-2018-g-n-127/ (дата обращения 17.03.2022)

6. Приказ ФСТЭК от 25 декабря 2017 г. N 239 (в ред. Приказа ФСТЭК России от 26 марта 2019 г. N 60) «Об утверждении требований по обеспечению безопасности персональных данных значимых объектов критической информационной инфраструктуры Российской Федерации» [Электронный ресурс] / https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239/ (дата обращения 17.03.2022)

7. Приказ ФСТЭК т 21 декабря 2017 г. N 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» [Электронный ресурс] / https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1589-/ (дата обращения 19.03.2022)

8. Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

9. Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»

10. ФСТЭК России. Информационное сообщение от 17.04.2020 № 240/84/611 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих защите персональных данных, и направления сведений о результатах присвоения объекту критической 81 информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

11. Методические рекомендации по защите персональных данных объектов критической информационной инфраструктуры сферы здравоохранения [Электронный ресурс]. - Режим доступа: URL: https://portal.egisz.rosminzdrav.ru/ (17.03.2022)

12. Методические рекомендации по определению объектов КИИ и категорий значимости объектов КИИ в медицинских учреждениях Департамента здравоохранения города Москвы [Электронный ресурс]. - Режим доступа: URL: https://niioz.ru/ (17.03.2022)

13. Базовая модель угроз безопасности информации в ключевых системах информационный инфраструктуры. Утверждена ФСТЭК России 18 мая 2007 г.

14. Временные требования к средствам антивирусной защиты. Утверждены ФСТЭК России 3 февраля 2012 г. УСТАРЕЛО!

15. ГОСТ P 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимости информационных систем. Росстандарт, 2015.

16. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Росстандарт, 2014.

17. Волкогонов В.Н. Актуальность автоматизированных систем управления / Волкогонов В.Н., Гельфанд А.М., Деревянко В.С. // В сборнике: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2019). сборник научных статей VIII Международной научно-технической и научно-методической конференции: в 4 т. 2019. С. 262-266.

18. Гельфанд А.М. Организация концептуальной модели критической информационной инфраструктуры/ Гельфанд А.М., Лансере Н.Н., Ложкина А.А., Фадеев И.И. // Методы и технические средства обеспечения безопасности информации. 2020. № 29. С. 39-40.

19. Красов А.В., Косов Н.А., Холоденко В.Ю. Исследование методов провижининга безопасной сети на мультивендорном оборудовании с использованием средств автоматизированной конфигурации // Colloquium-journal. 2019. № 13-2 (37). С. 243-247

20. Косов Н.А., Гельфанд А.М., Лаптев А.А. Анализ темных данных для обеспечения устойчивости информационных систем от нарушения конфиденциальности или несанкционированных действий // Colloquium-journal. 2019. № 13-2 (37). С. 100-103.

21. Ландшафт угроз для систем промышленной автоматизации: второе полугодие 2018 / АО «Лаборатория Касперского», 2018. - Режим доступа: https: // ics - cert.kaspersky.ru / media / ICS _ REPORT _ H22018 _ FINAL _ RUS.pdf

22. Малюк, А.А. Основы политики безопасности критических систем информационной инфраструктуры: курс лекций / А. А. Малюк. - Москва : Горячая линия - Телеком, 2018. - 313 с

23. Максимова, Е.А. Оценка информационной безопасности субъекта критической информационной инфраструктуры при деструктивных воздействиях : монография / Е. А. Максимова ; Министерство науки и высшего образования Российской Федерации, Федеральное государственное автономное образовательное учреждение высшего образования «Волгоградский государственный университет». - Волгоград : Волгоградский государственный университет, 2020. – 93 с.

24. Соловьева, Е.А. Преступления, совершаемые в платежных системах : монография / Е. А. Соловьева ; под редакцией Н. А. Лопашенко. - Москва : Юрлитинформ, 2021. – 172 с.

25. Челухин, В.А. Информационная безопасность критической информационной инфраструктуры Российской Федерации / Владимир Алексеевич Челухин. - [Б. м.] Издательские решения, 2020. - 101 с.

26. Калькулятор стоимости защиты персональных данных «под ключ» [Электронный ресурс] / https://data-sec.ru/calculator/ (дата обращения 15.03.2022)