Углубление знаний в области разработки систем защиты сетей электронно-вычислительных машин
Изучение классификации информационных систем по требованиям безопасности информации. Сопоставление угроз безопасности информации с адаптированным базовым набором мер защиты информации. Анализ защиты информации в государственных информационных системах.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 08.06.2018 |
| Размер файла | 961,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Реферат
Курсовой проект содержит: 58 с., 5 рис., 8 источников, 1 приложение, 25 таблиц.
Защита информации, утечка информации, система защиты информации, информационная безопасность, информационная система, информационные потоки, информационная инфраструктура, уровень защищенности, модель нарушителя, модель угроз, риск, оценка рисков информационной безопасности, персональные данные, медицинская тайна, коммерческая тайна, конфиденциальность, целостность, доступность, несанкционированный доступ, канал связи межсетевого взаимодействия, вычислительная сеть
Цель курсового проектирования - закрепление основ и углубление знаний в области разработки систем защиты сетей ЭВМ. На первом этапе выполнения данной курсовой работы было необходимо составить описание организации, разработать модель угроз и модель нарушителя, а также сделать оценку рисков информационной безопасности. На втором этапе описать меры защиты информации, подлежащих к реализации в информационной системе, которое включает в себя определение базового набора мер защиты информации, адаптацию базового набора мер защиты информации, уточнение адаптированного базового набора мер защиты информации. Во второй части данной курсовой работы был сделан выбор средств защиты информации, нейтрализующих актуальные угрозы информационной безопасности и выполняющие необходимые требования нормативных актов. В третей части данной курсовой работы произведена оценка стоимости создания системы защиты информации.
Содержание
Реферат
Нормативные ссылки
1. Описание объекта защиты
1.1 Цели и задачи защиты информации
1.2 Описание организации
1.3 Описание информационных систем
1.4 Описание объектов защиты
1.5 Описание характеристик физической безопасности
1.6 Описание информационной инфраструктуры
1.7 Описание методов и средств защиты
2. Аудит и оценка рисков информационной безопасности организации
2.1 Классификация информационных систем по требованиям безопасности информации
2.1.1 Определение уровня защищенности персональных данных, обрабатываемых в информационных системах
2.1.2 Определение класса защищенности государственной (муниципальной) информационной системы
2.1.3 Результаты классификации информационных систем по требованиям безопасности информации
2.2 Модель потенциального нарушителя
2.3 Модель угроз безопасности информации
3. Определение мер защиты информации, подлежащих к реализации в информационной системе
4. Выбор средств защиты информации, нейтрализующих актуальные угрозы информационной безопасности
5. Оценка стоимости создания системы защиты информации
Заключение
Список используемой литературы
Приложение
Нормативные ссылки
В курсовом проекте были использованы ссылки на следующие нормативные документы:
ГОСТ Р 7.0.4-2006 СИБИД. Издания. Выходные сведения. Общие требования и правила оформления.
ГОСТ 7.1-2003 СИБИД. Библиографическая запись. Библиографическое описание. Общие требования и правила составления.
Библиографическое описание. Общие требования и правила составления.
ГОСТ Р 21.1101-2013 СПДС. Основные требования к проектной и рабочей документации.
ГОСТ Р 1.5-2001 МСС. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Общие требования к построению, изложению, оформлению, содержанию и обозначению.
ГОСТ 2.105-95 ЕСКД. Общие требования к текстовым документам. ГОСТ 2.301-68 ЕСКД. Форматы.
ГОСТ 7.9-95 СИБИД. Реферат и аннотация. Общие требования. ГОСТ 8.417-2002 ГСИ. Единицы величин.
ГОСТ Р 50972-96. Защита информации. Основные термины и определения.
СТП КубГТУ 4.2.6-2004 СМК. Учебно-организационная деятельность.
Курсовое проектирование.
Введение
В данном курсовом проекте составлены меры защиты информации организации для дальнейшего проектирования подсистемы защиты от НСД канала связи межсетевого взаимодействия сегментов вычислительной сети. По заданию предоставлена частная медицинская клинка «Мелисса», в которой необходимо обеспечить максимальную защиту информации от НСД по каналу связи.
В данном курсовом проекте использовался комплекс документов ФСТЭК, регламентирующий разработку систем защиты информации в государственных информационных системах.
Цель работы: достижение высокого уровня защиты информации в данной организации путем разработки проекта подсистемы защиты от НСД канала связи межсетевого взаимодействия сегментов вычислительной сети.
Задача: разработать комплекс мер защиты информации канала связи межсетевого взаимодействия сегментов вычислительной сети частная медицинской клинки «Мелисса»
1. Описание объекта защиты
1.1 Цели и задачи защиты информации
Целями защиты информации являются:
1. Обеспечение защиты конфиденциальных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении данных о пациентах.
2. Соблюдение конфиденциальности информации ограниченного доступа.
3. Реализация права на доступ к информации о пациентах персонала медицинской клиники.
Задачами защиты информации являются:
1. Предотвращение несанкционированного доступа к конфиденциальным данным больных и (или) передачи их лицам, не имеющим права на доступ к этим данным.
2. Своевременное обнаружение факторов несанкционированного доступа к этим данным.
3. Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к данным о пациентах.
4. Недопущение воздействия на технические средства обработки этих данных, в результате которого нарушается их функционирование.
5. Возможность незамедлительного восстановления конфиденциальных данных о пациентах, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6. Постоянный контроль над обеспечением уровня защищенности таких данных.
1.2 Описание организации
В частной медицинской клинке «Мелисса» людям, в том числе с какими-то заболеваниями, оказываются медицинские услуги: диагностика, лечение, реабилитация после перенесенных болезней.
Данная организация включает в себя следующие подразделения:
1. Медицинская клиника «Мелисса» (филиал, п. Российский, ул. 16-й Полевой Участок, 11);
2. Медицинская клиника «Мелисса» (г. Краснодар, ул. Камвольная, 12).
1.3 Описание информационных систем
Перечень информационных систем приведён в таблице 1.
Таблица 1 Перечень информационных систем
|
№ п/п |
Наименование ИС |
Назначение ИС |
|
|
1 |
СПО «1С Бухгалтерия» |
Автоматизация расчета заработной платы и ведения кадрового учета |
|
|
2 |
СПО «1С Медицина.Больница» |
Служит для ведения взаиморасчетов с контрагентами, управления потоками пациентов, персонифицированного учета оказанной медицинской помощи, а так же для автоматизации деятельности следующих подразделений и ответственных лиц: регистратура, приемное отделение, касса, служба ведения договоров, врачебный и средний медицинский персонал, информационно-аналитическая и статистическая служба. |
Схема информационных потоков представлена ИС № 1 на рисунке 1.
Рисунок 1 - Схема информационных потоков ИС№ 1
Схема информационных потоков представлена ИС№ 2 на рисунке 2.
Рисунок 2 - Схема информационных потоков ИС№ 2
1.4 Описание объектов защиты
Объектами защиты являются:
- защищаемая информация (далее - ЗИ);
- программное обеспечение (далее - ПО);
- автоматизированные рабочие места (далее - АРМ);
- сервера баз данных (далее - сервера БД);
- коммуникационное оборудование;
- средства защиты информации (далее - СрЗИ);
Перечень объектов защиты приводится относительной каждой рассматриваемой ИС. Пример формирования перечня объектов защиты информационных систем приведен в Таблице 2.
Таблица 2 - Перечень объектов защиты
|
№ п/п |
Наименование ИС |
Объекты защиты ИС |
|||||||||
|
ЗИ |
ПО |
АРМ |
Web-сервера |
Сервера БД |
СХД |
СРК |
КМ |
СрЗИ |
|||
|
1 |
СПО «1С Бухгалтерия» |
+ |
+ |
+ |
- |
+ |
- |
- |
+ |
+ |
|
|
2 |
СПО «1С Медицина.Больница» |
+ |
+ |
+ |
- |
+ |
- |
- |
+ |
+ |
Перечень обрабатываемой информации в информационных системах:
- служебная информация;
- персональные данные;
Перечень обрабатываемой информации в ИС представлен в таблице 3.
Таблица 3 - Перечень обрабатываемой информации
|
Обрабатываемая информация |
1С Бухгалтерия |
1С Медицина. Больница |
|
|
Фамилия, Имя, Отчество |
+ |
+ |
|
|
Реквизиты основного документа, удостоверяющего личность гражданина РФ на территории РФ |
+ |
+ |
|
|
Реквизиты основного документа, удостоверяющего личность гражданина РФ за пределами РФ |
- |
- |
|
|
Реквизиты свидетельства о рождении |
- |
- |
|
|
Число, месяц, год рождения |
+ |
+ |
|
|
Место рождения |
- |
+ |
|
|
Адрес регистрации |
+ |
+ |
|
|
Адрес фактического проживания |
- |
+ |
|
|
Идентификационный номер налогоплательщика |
+ |
- |
|
|
Реквизиты страхового свидетельства обязательного пенсионного страхования |
+ |
- |
|
|
Реквизиты полиса ОМС |
- |
+ |
|
|
Сведения об образовании (направление подготовки, название специальности, номера полученных документов об образовании) |
- |
- |
|
|
Сведения о воинском учете и реквизиты документов воинского учета |
- |
- |
|
|
Информация о трудовой деятельности |
+ |
- |
|
|
Место работы (учебы) |
+ |
+ |
|
|
Занимаемая должность |
+ |
- |
|
|
Номер контактного телефона или сведения о других способах связи |
+ |
+ |
|
|
Сведения о семейном положении, составе семьи и о близких родственниках |
- |
- |
|
|
Фотография субъекта ПДн |
+ |
+ |
|
|
Номер банковской карты |
+ |
- |
|
|
Информация о состоянии здоровья |
- |
+ |
1.5 Описание характеристик физической безопасности
Сведения о характеристиках физической безопасности представлены в таблице 4.
Таблица 4 - Сведения о характеристиках физической безопасности
|
№ п/п |
Адрес расположения |
Наличие охраны периметра и системы видеонаблюдения |
Наличие серверного помещения / резервного электропитания |
Наличие пожарной сигнализации |
|
|
1 |
350087, Россия,п. Российский, ул. 16-й Полевой Участок, 11 |
Нет |
Нет/Нет |
Да |
|
|
2 |
350018, Россия, г. Краснодар, ул. Камвольная, 12 |
Да, охрана и видеонаблюдение на КПП на въезде\входе на территорию. |
Да /Нет |
Да |
Серверное помещение, располагающееся по адресу: 350018, Россия, г. Краснодар, ул. Камвольная, 12, оснащено системой контроля доступа в помещение, серверными стойками, охранной сигнализацией, пожарной сигнализацией, источниками бесперебойного питания.
Граница контролируемой зоны установлена по внешнему периметру охраняемого здания.
1.6 Описание информационной инфраструктуры
Информационная инфраструктура включает в себя следующие компоненты:
1. Территориальное распределение ЛВС, которое приведено в таблице 5.
2. Сведения об используемых каналах связи представлены в таблице 6.
3. Сведения о АРМ пользователей приведены в таблице 7.
Сведения о серверах ИС:
1. Место расположения - 355016, Россия, г. Краснодар, ул. Ставропольская, 300; (2 сервера).
2. Роль - сервера виртуализации.
3. Принадлежность к ИС: 1 сервер - ЕИС обработки сведений о сотрудниках, 2 сервер - ЕИС обработки сведений о пациентах.
4. Используемое СПО - Windows Server 2012R2 x86
Таблица 5 - Сведения о ЛВС
|
№ п/п |
Адрес расположения |
Общее кол-во АРМ |
Общее кол-во серверов |
Наличие Active Directory |
IP-адрес сегмента сети |
|
|
1 |
350018, Россия, г. Краснодар, ул. Камвольная, 12 |
70 |
1 |
Да |
10.0.1.10/18 - 10.0.1.45/18 |
|
|
2 |
350018, Россия, г. Краснодар, ул. Камвольная, 12 |
5 |
1 |
Да |
10.0.2.10/18 - 10.0.2.43/18 |
Таблица 6 - Сведения о каналах связи
|
№ п/п |
Наименование конечных точек |
Название канала (основной / резервный) |
Полоса пропускания (Мбит/с) |
||
|
Оборудование, применяемое для подключения к ССОП |
Провайдер |
||||
|
1 |
D-LinkDFL-2500 (350018, Россия, г. Краснодар, ул. Камвольная, 12) |
ПАО «Ростелеком» |
Основной |
10 |
|
|
2 |
D-LinkDFL-2500 (350087, Россия,п. Российский, ул. 16-й Полевой Участок, 11) |
ПАО «Ростелеком» |
Основной |
10 |
Таблица 7 - Сведения о АРМ
|
№ п/п |
Адрес расположения |
Используемое СПО |
1С Бухгалтерия |
1С Медицина. Больница |
|||
|
Кол-во АРМ |
Кол-во серверов |
Кол-во АРМ |
Кол-во серверов |
||||
|
1 |
350087, Россия,п. Российский, ул. 16-й Полевой Участок, 11 |
Windows Embedded Windows 7 |
1 |
0 |
10 |
0 |
|
|
2 |
350018, Россия, г. Краснодар, ул. Камвольная, 12 |
Windows Embedded Windows 7 AltLinux Windows Server 2012R2 x86 |
4 |
1 |
50 |
1 |
1.7 Описание методов и средств защиты
Сведения о применяемых методах и средствах защиты информации приведены в таблице 8.
Таблица 8 - Сведения о применяемых методах и средствах защиты информации
|
№ п/п |
Наименование метода или средства ЗИ |
Наличие |
|
|
1 |
средства хранения, резервирования и архивирования защищаемой информации |
на сервере |
|
|
2 |
приводы для чтения или записи накопителей FDD и CD\DVD |
в комплекте АРМ |
|
|
3 |
применение отдельных учетных записей для каждого пользователя |
для одного АРМ - одна учётная запись |
|
|
4 |
применение периодической установки обновлений ОС |
на всех АРМ централизованно и по согласованию с отделом администрирования ОС |
|
|
5 |
пароли перед загрузкой ОС или на доступ к BIOS |
на всех АРМ |
|
|
6 |
идентификация и аутентификация пользователей, являющихся работниками оператора, для доступа к АРМ реализуется на основе реализованных в прикладном и системном программном обеспечении стандартных механизмов |
на всех АРМ |
|
|
7 |
контроль доступа в серверные помещения |
СКУД |
Внимательно изучив полученное задание, составим структурно-функциональную схему. Это нужно для того, чтобы понять физическую и логическую топологию проектируемой сети, выбрать необходимое сетевое оборудование, определиться со службами и приложениями, работающими в сети.
Структурно-функциональная схема изображена на рисунке 3.
Рисунок 3 - Структурно-функциональная схема
2. Аудит и оценка рисков информационной безопасности организации
2.1 Классификация информационных систем по требованиям безопасности информации
Классификация ИСПДн осуществляется на основании положений Постановления Правительства РФ от 01.11.2011 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Классификация государственных информационных систем осуществляется в соответствии с Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
2.1.1 Определение уровня защищенности персональных данных, обрабатываемых в информационных системах
Анализ ПДн, обрабатываемых в информационных системах организации, представлен в таблице 9.
Таблица 9 - Анализ ПДн
|
№ п/п |
Анализируемый состав ПДн |
Наименование ИС |
||
|
ИС№2 |
ИС№1 |
|||
|
Категория субъектов |
||||
|
Граждане |
Мед. работники |
|||
|
1 |
Фамилия, Имя, Отчество (Ф.И.О.) |
Иные |
Общедоступные |
|
|
2 |
Реквизиты основного документа, удостоверяющего личность гражданина РФ на территории РФ |
Иные |
Иные |
|
|
3 |
Число, месяц, год рождения |
Иные |
Иные |
|
|
4 |
Адрес регистрации |
Иные |
Иные |
|
|
5 |
Адрес фактического проживания |
Иные |
- |
|
|
6 |
Идентификационный номер налогоплательщика |
- |
Иные |
|
|
7 |
Реквизиты страхового свидетельства обязательного пенсионного страхования |
- |
Иные |
|
|
8 |
Реквизиты полиса ОМС |
Иные |
- |
|
|
9 |
Информация о трудовой деятельности |
- |
Общедоступные |
|
|
10 |
Место работы (учебы) |
- |
Общедоступные |
|
|
11 |
Занимаемая должность |
- |
Общедоступные |
|
|
12 |
Номер контактного телефона или сведения о других способах связи |
Иные |
Общедоступные |
|
|
13 |
Фотография субъекта ПДн |
- |
Общедоступные |
|
|
14 |
Номер банковской карты |
- |
Иные |
|
|
15 |
Информация о состоянии здоровья |
Специальные |
- |
Актуальными угрозами в ИС№ 1 «1С Бухгалтерия» организации являются угрозы 3-го типа, то есть угрозы не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.
Актуальными угрозами в ИС№ 2 «1С Медицина. Больница» организации являются угрозы 3-го типа, то есть угрозы не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.
В ИС «1С Бухгалтерия» одновременно обрабатываются данные менее чем 1 000 субъектов персональных данных
В ИС «1С Медицина. Больница» одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных.
Таким образом, ИС организации обладают следующими уровнями защищенности:
В ИС «1С Бухгалтерия» - 4 УЗ;
В ИС «1С Медицина. Больница» - 2 УЗ.
2.1.2 Определение класса защищенности государственной (муниципальной) информационной системы
Определение уровня значимости информации представлено в таблице 10.
Таблица 10- Определение уровня значимости информации
|
Вид обрабатываемой в ИС информации |
Характеристика безопасности информации |
Степень возможного ущерба при нарушении характеристик безопасности информации |
||
|
1С Медицина. Больница |
1С Бухгалтерия |
|||
|
Служебная информация |
Конфиденциальность |
Высокая |
Высокая |
|
|
Целостность |
Высокая |
Высокая |
||
|
Доступность |
Средняя |
Средняя |
||
|
Персональные данные |
Конфиденциальность |
Высокая |
Высокая |
|
|
Целостность |
Высокая |
Высокая |
||
|
Доступность |
Средняя |
Средняя |
||
|
Общедоступная информация |
Конфиденциальность |
- |
- |
|
|
Целостность |
Высокая |
Высокая |
||
|
Доступность |
Средняя |
Средняя |
||
|
Итоговый уровень значимости информации |
Высокая |
Высокая |
Информационные системы имеют региональный масштаб, так как они функционирует на территории субъекта Российской Федерации и имеет сегмент в одном муниципальном образовании.
Результаты классификации ИС представлены в таблице 11.
Таблица 11- Результаты определения класса защищенности ГИС
№п/п |
Наименование ИС |
Уровень значимости информации |
Масштаб ИС |
Класс защищенности ГИС |
|
|
1 |
1С Медицина. Больница |
Высокий |
Региональный |
К1 |
|
|
2 |
1С Бухгалтерия |
Высокий |
Региональный |
К1 |
2.1.3 Результаты классификации информационных систем по требованиям безопасности информации
Итоговая классификация информационных систем представлена в таблице 12.
Таблица 12 - Итоговая классификация информационных систем
|
№ п/п |
Наименование ИС |
Уровень защищенности ИС |
Класс защищенности ГИС |
|
|
1 |
1С Медицина. Больница |
УЗ 2 |
К1 |
|
|
2 |
1С Бухгалтерия |
УЗ 4 |
К1 |
2.2 Модель потенциального нарушителя
На основании приказа ФСТЭК России от 15 февраля 2008 г. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» при учёте совокупности возможностей и возможности сговора различных типов нарушителя между собой - определены актуальные категории потенциальных нарушителей, при этом на основании экспертных оценок для каждой категории потенциальных нарушителей определен их потенциал.
Таблица 13 - Потенциал и актуальность нарушителей
|
Тип нарушителя |
Наименование нарушителя |
Потенциал нарушителя |
Актуальность потенциального нарушителя для ИС |
||
|
1С Медицина. Больница |
1С Бухгалтерия |
||||
|
Внешний нарушитель |
Разведывательные службы государств |
Высокий |
|||
|
Криминальные структуры |
Высокий |
Актуален |
Актуален |
||
|
Конкуренты (конкурирующие организации) |
Высокий |
||||
|
Недобросовестные партнеры |
Средний |
||||
|
Внешние субъекты (физические лица) |
Средний |
Актуален |
Актуален |
||
|
Внутренний нарушитель |
Сотрудники Организации, имеющие санкционированный доступ к ИС, но не имеющие права доступа к защищаемой информации |
Низкий |
Актуален |
Актуален |
|
|
Пользователи ИС |
Низкий |
Актуален |
Актуален |
||
|
Удаленные пользователи ИС |
Низкий |
Актуален |
Актуален |
||
|
Администратор безопасности сегмента (фрагмента) ИС |
Средний |
||||
|
Системный администратор ИС |
Средний |
Актуален |
Актуален |
||
|
Администратор безопасности ИС |
Средний |
||||
|
Разработчики (поставщики) ИС и лица, осуществляющие сопровождение ИС |
Высокий |
||||
|
Подрядные организации, осуществляющие поставку, сопровождение и ремонт компонентов ИС |
Высокий |
2.3 Модель угроз безопасности информации
В данной курсовой работе при составлении перечня угроз руководствовались следующими источниками:
1. Методическим документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных система персональных данных», утвержденной Заместителем директора ФСТЭК России 15 февраля 2008 г.
2. Банком угроз ФСТЭК России - http://www.bdu.fstec.ru/ubi/threat.
На основе классификации угроз безопасности информации (см. Приложение) и уровня исходной защищенности объекта (см. Приложение) определена актуальность угроз, качественная оценка степени возможности реализации угроз (СВР) и количественная оценка степени тяжести от потери свойств ИБ для рассматриваемых типов активов (СТП). (см. Приложение)
На основе качественных оценок СВР и СТП (Приложение) получены количественные оценки СВР и СТП [1].
Результаты количественных оценок СВР, СТП и рисков нарушения ИБ представлены в таблице 14.
Таблица 14 - Результаты оценок СВР, СТП и рисков нарушения ИБ
|
№ п/п |
Угрозы безопасности информации |
Актуальность угрозы для ИС 1С Бухгалтерия / Количественная оценка СВР / Количественная оценка СТП (млн. руб.) |
Актуальность угрозы для ИС 1С Медицина. Больница / Количественная оценка СВР / Количественная оценка СТП (млн. руб.) |
Оценка рисков нарушения ИБ (млн рублей) |
|
|
1. Угрозы утечки информации по техническим каналам |
|||||
|
1.1 |
Угроза утечки акустической информации |
Актуальна / 100% / 0,5 |
Актуальна / 100% / 0,5 |
0,5 + 0,5 = 1 |
|
|
1.2 |
Угроза утечки видовой информации |
Актуальна / 70% / 1,2 |
Актуальна / 45% / 0,5 |
0,84 + 0,225 = 1,065 |
|
|
2. Угрозы техногенного характера |
|||||
|
2.1 |
Угроза отказа электропитания серверного и телекоммуникационного оборудования |
Неактуальна |
Неактуальна |
||
|
2.2 |
Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания |
Актуальна / 30% / 1,0 |
Актуальна / 40% / 1,5 |
0,3 + 0,6 = 0,9 |
|
|
3. Угрозы нарушения процессов функционирования ИС в процессе эксплуатации |
|||||
|
3.1 |
Угроза некорректного использования функционала программного обеспечения |
Актуальна / 35% / 1,4 |
Актуальна / 35% / 1,4 |
0,49 + 0,49 = 0,98 |
|
|
3.2 |
Угроза повреждения системного реестра |
Актуальна / 60% / 1,0 |
Актуальна / 70% / 2,5 |
0,6 + 1,75 = 2,35 |
|
|
4. Угрозы получения сведений об объектах защиты |
|||||
|
4.1 |
Угроза несанкционированного восстановления удалённой защищаемой информации |
Актуальна / 62% / 1,1 |
Актуальна / 60% / 2,5 |
0,682 + 1,5 = 2,182 |
|
|
4.2 |
Угроза неправомерного ознакомления с защищаемой информацией |
Актуальна / 30% / 1,0 |
Неактуальна |
||
|
5. Угрозы, связанные с использованием беспроводных сетей передачи данных |
|||||
|
5.1 |
Угроза несанкционированного доступа к системе по беспроводным каналам |
Актуальна / 35% / 0,5 |
Актуальна / 35% / 0,5 |
0,175 + 0,175 = 0,35 |
|
|
5.2 |
Угроза подключения к беспроводной сети в обход процедуры аутентификации |
Неактуальна |
Неактуальна |
||
|
6. Угрозы несанкционированного физического доступа к компонентам ИС |
|||||
|
6.1 |
Угроза преодоления физической защиты |
Актуальна / 32% / 0,9 |
Актуальна / 60% / 2,7 |
0,288 + 1,62 = 1,908 |
|
|
6.2 |
Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации |
Актуальна / 33% / 0,9 |
Актуальна / 70% / 2,0 |
0,297 + 1,4 = 1,697 |
|
|
7. Угрозы, связанные с действиями легитимных пользователей (пользователи ИС, сотрудники подрядных организаций) |
|||||
|
7.1 |
Угроза недобросовестного исполнения обязательств поставщиками облачных услуг |
Неактуальна |
Неактуальна |
||
|
7.2 |
Угроза неопределённости в распределении ответственности между ролями в облаке |
Неактуальна |
Неактуальна |
||
|
8. Угрозы нарушения функционирования виртуальной инфраструктуры ИС |
|||||
|
8.1 |
Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети |
Актуальна / 32% / 0,9 |
Актуальна / 60% / 2,7 |
0,288 + 1,62 = 1,908 |
|
|
8.2 |
Угроза выхода процесса за пределы виртуальной машины |
Актуальна / 33% / 0,9 |
Актуальна / 70% / 2,0 |
0,297 + 1,4 = 1,697 |
|
|
9. Угрозы, связанные с эксплуатацией механизмов и средств защиты информации |
|||||
|
9.1 |
Угроза нарушения технологического/производственного процесса из-за временнымх задержек, вносимых средством защиты |
Актуальна / 40% / 1,1 |
Актуальна / 40% / 1,0 |
0,44 + 0,4 = 0,84 |
|
|
9.2 |
Угроза несанкционированного изменения параметров настройки средств защиты информации |
Актуальна / 37% / 1,4 |
Актуальна / 35% / 2,0 |
0,518 + 0,7 = 1,218 |
Таким образом ожидаемый размер ущерба организации от нарушения ИБ составил 18,095 млн рублей, что составляет недопустимое значение для данного показателя. Для уменьшения значения ожидаемого ущерба необходима реализация проекта защиты информации на данном предприятии.
3. Определение мер защиты информации, подлежащих к реализации в информационной системе
Этапы определения перечня мер защиты информации для обеспечения необходимого класса защищенности ИС показаны на рисунке 4.
Рисунок 4 - Схема этапов определения перечня мер защиты информации вариантам).
Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации включает:
1. определение базового набора мер защиты информации для установленного класса защищенности информационной системы в соответствии с базовыми наборами мер защиты информации;
2. адаптацию базового набора мер защиты информации с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
3. уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер, в результате чего определяются меры защиты информации, направленные на блокирование (нейтрализацию) всех актуальных угроз безопасности информации, включенных в модель угроз;
4. дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
Исходя из особенностей информационной системы, из базового набора защитных мер[8] были исключены меры, представленные в таблице 15.
Таблица 15 - Перечень исключенных мер защиты информации из базового набора
|
№ Меры ЗИ |
Наименование меры защиты информации |
1С Медицина. Больница |
1С Бухгалтерия |
Примечание |
|
|
ИАФ.6 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
Искл. |
Искл. |
В ИС отсутствуют внешние пользователи |
|
|
УПД.16 |
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
Искл. |
Взаимодействие с внешними информационными системами не осуществляется |
||
|
ОЦЛ.4 |
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
Искл. |
Не используются средства обмена электронными сообщениями |
||
|
ЗИС.5 |
Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
Искл. |
Искл. |
Не используются периферийные устройства, посредством которых может происходить утечка информации |
|
|
ЗИС.9 |
Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видео информации |
Искл. |
Искл. |
В ИС нет видеоинформации |
|
|
ЗИС.20 |
Защита беспроводных соединений, применяемых в информационной системе |
Искл. |
Искл. |
В ИС отсутствуют беспроводные сети |
|
|
ЗИС.23 |
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно - телекоммуникационными сетями |
Искл. |
ИС не взаимодействует с другими ИС |
На этапе уточнения адаптированного базового набора мер защиты информации проведен анализ актуальных угроз безопасности информации, на возможность их нейтрализации адаптированным базовым набором мер защиты информации.
Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1C Бухгалтерия представлено в таблице 16.
Таблица 16 - Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1C Бухгалтерия
|
№ п/п |
Угрозы безопасности информации |
Номер и условное обозначение организационных и технических мер |
|
|
1. |
Угрозы утечки информации по техническим каналам |
||
|
1.1 |
Угроза утечки акустической информации |
ЗИС.8Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
|
|
1.2 |
Угроза утечки видовой информации |
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее её несанкционированный просмотр; |
|
|
2. |
Угрозы техногенного характера |
||
|
2.1 |
Угроза отказа электропитания серверного и телекоммуникационного оборудования |
ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций; ОДТ. 3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование; ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала. |
|
|
3. |
Угрозы нарушения процессов функционирования ИС в процессе эксплуатации |
||
|
3.1 |
Угроза некорректного использования функционала программного обеспечения |
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения АВЗ.1 Реализация антивирусной защиты СОВ.1 Обнаружение вторжений ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему |
|
|
3.2 |
Угроза повреждения системного реестра |
ОДТ. 4 Периодическое резервное копирование информации на резервные машинные носители информации ОДТ. 5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала АВЗ. 1 Реализация антивирусной защиты |
|
|
4. |
Угрозы получения сведений об объектах защиты |
||
|
4.1 |
Угроза несанкционированного восстановления удалённой защищаемой информации |
ЗНИ.1 Учет машинных носителей информации ЗНИ.2 Управление доступом к машинным носителям информации ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
|
|
4.2 |
Угроза неправомерного ознакомления с защищаемой информацией |
ИАФ.1Идентификация и аутентификация пользователей, являющихся работниками оператора УПД.2Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа УПД.6Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) УПД.9Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы УПД.10Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу УПД.11Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
|
|
5. |
Угрозы, связанные с использованием беспроводных сетей передачи данных |
||
|
5.1 |
Угроза несанкционированного доступа к системе по беспроводным каналам |
ЗИС.3Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи ЗИС.20Защита беспроводных соединений, применяемых в информационной системе УПД.14Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
|
|
6. |
Угрозы несанкционированного физического доступа к компонентам ИС |
||
|
6.1 |
Угроза преодоления физической защиты |
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
|
|
6.2 |
Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации аппаратных элементов компьютера |
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
|
|
7. |
Угрозы, связанные с действиями легитимных пользователей (пользователи ИС, сотрудники подрядных организаций) |
||
|
8. |
Угрозы нарушения функционирования виртуальной инфраструктуры ИС |
||
|
8.1 |
Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети |
АВЗ.1Реализация антивирусной защиты АВЗ.2Обновление базы данных признаков вредоносных компьютерных программ (вирусов) ЗСВ.1Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации ЗСВ.4Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.7Контроль целостности виртуальной инфраструктуры и ее конфигураций ЗСВ.9Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
|
|
8.2 |
Угроза выхода процесса за пределы виртуальной машины |
ОПС.1Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения ОПС.2Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов АВЗ.1Реализация антивирусной защиты |
|
|
9. |
Угрозы, связанные с эксплуатацией механизмов и средств защиты информации |
||
|
9.1 |
Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты |
РСБ. 6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе АНЗ. 1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей ОДТ. 3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование ОДТ. 7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации |
|
|
9.2 |
Угроза несанкционированного изменения параметров настройки средств защиты информации |
АВЗ. 1 Реализация антивирусной защиты АНЗ. 1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей АНЗ. 4 Контроль состава технических средств, программного обеспечения и средств защиты информации АНЗ. 5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1С Медицина. Больница представлено в таблице 17.
Таблица 17 - Сопоставление актуальных угроз безопасности информации с адаптированным базовым набором мер защиты информации для ИС 1С Медицина. Больница
|
№ п/п |
Угрозы безопасности информации |
Номер и условное обозначение организационных и технических мер |
|
|
1. |
Угрозы утечки информации по техническим каналам ... |
Подобные документы
Определение назначения и характеристика видов систем защиты информации. Описание структур систем по защите накапливаемой, обрабатываемой и хранимой информации, предупреждение и обнаружение угроз. Государственное регулирование защиты информационных сетей.
реферат [43,6 K], добавлен 22.05.2013Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.
курс лекций [60,3 K], добавлен 31.10.2009Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
курсовая работа [1,1 M], добавлен 21.04.2015Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.
курсовая работа [30,8 K], добавлен 04.12.2003Необходимость защиты информации. Виды угроз безопасности ИС. Основные направления аппаратной защиты, используемые в автоматизированных информационных технологиях. Криптографические преобразования: шифрование и кодирование. Прямые каналы утечки данных.
курсовая работа [72,1 K], добавлен 22.05.2015Основные источники угроз безопасности информационных систем. Особенности криптографической защиты информации. Понятие электронной цифровой подписи. Признаки заражения компьютера вирусом. Уровни доступа к информации с точки зрения законодательства.
реферат [795,8 K], добавлен 03.10.2014Понятие компьютерной преступности. Основные понятия защиты информации и информационной безопасности. Классификация возможных угроз информации. Предпосылки появления угроз. Способы и методы защиты информационных ресурсов. Типы антивирусных программ.
курсовая работа [269,7 K], добавлен 28.05.2013Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.
курсовая работа [25,9 K], добавлен 17.03.2004Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа [575,2 K], добавлен 19.04.2011Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.
реферат [27,3 K], добавлен 30.04.2010Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.
контрольная работа [26,6 K], добавлен 26.05.2010Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация [200,6 K], добавлен 27.12.2010Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Классификация угроз информационной безопасности. Ошибки при разработке компьютерных систем, программного, аппаратного обеспечения. Основные способы получения несанкционированного доступа (НСД) к информации. Способы защиты от НСД. Виртуальные частные сети.
курсовая работа [955,3 K], добавлен 26.11.2013Виды умышленных угроз безопасности информации. Методы и средства защиты информации. Методы и средства обеспечения безопасности информации. Криптографические методы защиты информации. Комплексные средства защиты.
реферат [21,2 K], добавлен 17.01.2004Виды угроз безопасности в экономических информационных системах, проблема создания и выбора средств их защиты. Механизмы шифрования и основные виды защиты, используемые в автоматизированных информационных технологиях (АИТ). Признаки современных АИТ.
курсовая работа [50,8 K], добавлен 28.08.2011Препятствие, управление доступом, маскировка и регламентация как меры защиты информации в автоматизированных информационных системах. Особенности криптографического метода защиты информации. Изучение системы управления электронным документооборотом.
контрольная работа [38,4 K], добавлен 20.05.2019
