Построение модели угроз безопасности ИС персональных данных на предприятии

Размещено на http://www.аllbest.ru/

Размещено на http://www.аllbest.ru/

МИНИСТРЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РД

ГБПОУ РД «ТЕХНИЧЕСКИЙ КОЛЛЕДЖ им. Р.Н. Ашуралиева»

Отделение «Программирование»

Специальность 10.02.05 «Обеспечение информационной безопасности информационных систем»

Курсовой проект

по междисциплинарному курсу

Построение модели угроз безопасности ИС персональных данных на предприятии

Выполнил(а) студент(ка) группы

2-БАС-9-4, Абакаров Б.М.

Руководитель: Ибрагимова Д.Э.

Махачкала 2022

Содержание

Введение

§1.Организационно-функциональный анализ деятельности организации

1.1 Общая характеристика деятельности выбранного объекта исследования

1.2 Организационно-управленческая структура организации

§2.Мероприятия по защите персональных данных (ПДн) в организации

2.1 Анализ модели угроз безопасности персональных данных в организации

2.2 Анализ модели нарушителя безопасности персональных данных в организации

2.3. Разработка подсистемы защиты персональных данных (ИСПДн) организации

Заключение

Список используемой литературы

Приложение 1. Документальное обеспечение защиты персональных данных в организации

Введение

угроза безопасности защита персональных данных

С появлением современных информационных технологий и развитием мощных компьютерных систем хранения и обработки информации, повысился уровень информационной защиты, необходимость в эффективной защите информации росла вместе со сложностью архитектурных решений хранения данных. Таким образом, информационная защита постепенно становится обязательным требованием при разработке вычислительных систем: разрабатываются документы по защите информации и формируются различные рекомендации для них. ФЗ №149 - является одним из документов "Об информации, информационных технологиях и о защите информации", который рассматривает задачи и проблемы информационной защиты, а также решает некоторые специфичные вопросы по защите информации.

Объектом исследования данного курсового проекта является открытое акционерное общество «МТС».

Предмет исследования - разработка комплекса мероприятий по защите информации в организации ОАО «МТС».

Разработка и построение системного комплекса защиты информации в организации процесс не легкий, он во многом зависит от деятельности организации, внутренних процессов, формы собственности, размеров документооборота и других информационных подсистем, для которых жизненно важным является обеспечение защиты информации в информационных системах.

Цели курсового проекта:

1. Анализ деятельность организации;

2. Анализ мероприятий по защите информации;

3. Разработка для организации ОАО «МТС» комплекса мер по защите информации и оценить эффективность спроектированной системы.

Для достижения целей проекта необходимо выполнить следующие задачи:

1) Анализ угроз информационной безопасности организации;

2) Анализ модели нарушителя безопасности персональных данных в организации;

3) Разработка подсистемы защиты персональных данных (ИСПДн) организации.

§1.Организационно-функциональный анализ деятельности организации

1.1 Общая характеристика деятельности выбранного объекта исследования

ОАО МТС -- «Мобильные ТелеСистемы» -- это один из крупнейших, на сегодняшний день, операторов сотовой связи, который работает как на территории России, так и в странах СНГ.

Источниками дохода компании является выручка от реализации при оказании следующих услуг:

· услуги сотовой радиотелефонной связи;

· предоставление в аренду каналов связи;

· предоставление услуг международной и местной телефонной связи;

· реализация аксессуаров и телефонов;

· реализация оборудования;

· осуществление работ в соответствии со строительной лицензией;

· основными покупателями услуг сотовой связи являются российские и иностранные физические и юридические лица.

Компания ОАО «МТС» была создана в 1993, а в 1994 была построена первая станция, которая продемонстрировала работу сети. ОАО «МТС» совместно с её дочерними компаниями занимается обслуживанием абонентов, численность которых превысило 100 миллионов. У компании так же имеются центры обслуживания, оказывают абонентам не только техническую поддержку, но и предоставляют различного рода информацию, касаемо услуг сотовой связи.

ОАО «Мобильные ТелеСистемы» имеет лицензии на предоставление услуг мобильной связи по стандартам GSM 900/1800 в 34 регионах России, в которых проживают около 45% населения страны, а также активно работает в 21-м регионе, где численность составляет более 41 миллиона человек.

По данным исследования компании Interbrand, проведенного в 2010 году, бренд «МТС» стала самым дорогим брендом России, заняв первое место с оценкой стоимости бренда в 213198 млн. рублей(+ 12% по сравнению с 2008 годом).

Основным юридическим лицом компании ОАО «Мобильные ТелеСистемы», зарегистрированное в России является Штаб-квартира компании, которая находится в Москве.

Говоря о структуре и управлении системой МТС, можно отметить, что основным документом, который регулирует корпоративное управление ОАО «МТС», является его устав. В уставе говорится, что высший орган управления компании - это общее собрание акционеров, который собирается не реже чем раз в год. Руководство компанией ОАО «МТС» с точки зрения вопросов, которые не приписаны к компетенции общего собрания акционеров, осуществляется советом директоров, состоящем из девяти человек, к которым относятся три независимых члена.

Состав исполнительных органов МТС включает в себя коллегиальный исполнительный орган - правление и главный исполнительный директор - президент. Президент компании по состоянию на июнь 2011 года Андрей Дубовсков.

МТС также уделяет большое внимание развитию собственной транспортной сети. С приобретением в 2009 году оператора ОАО «Евротел», одного из ведущих федеральных операторов транзита в стране, общая суммарная длина магистральной сети ОАО «МТС» составила около 35 тыс. Км.

МТС является одной из компаний - «голубых фишек» российского фондового рынка и входит в десятку крупнейших операторов мобильной связи с точки зрения абонентской базы в мире. Крупнейшим акционером ОАО «МТС» является АФК «Система», которая владеет 52,8% акций оператора мобильной связи, остальные 47% акций находятся в свободном обращении.

1.2 Организационно-управленческая структура организации ОАО «МТС»

Организационно-управленческая структура ОАО «МТС» имеет линейную структуру управления организацией. Во главе организации стоит генеральный директор, у которого в подчинении находятся:

· заместитель генерального директора по экономике, коммерческий директор, кадровая служба и секретариат.

· генеральный директор наделен полномочиями и осуществляет единоличное руководство подчиненными ему подразделениями и сосредоточивающий в своих руках все функции управления.

Каждый сотрудник имеет одного руководителя, через которого по одному проходят все команды управления организации. Таким образом управленческие звенья несут ответственность за результаты деятельности всех управляемых объектов. Это значит, что на каждый объект выделяется руководитель, который должен выполнять работы, связанные с данным объектом. Формируется иерархия руководства, так как в линейной структуре управления, руководитель нижнего уровня подчиняется руководителю высшего уровня, все вопросы решаются «сверху вниз». В таком случае применен принцип единоначалия, который заключается в том, что подчиненные выполняют приказы только своего руководителя. Линейная структура управления является логически более стройной и формально определенной, но вместе с тем и менее гибкой, что является недостатком данной структуры. По отношению к функциональным проблемам, которые требуют специальных знаний, любой руководитель организации имеет полную власть. Основным недостатком использования линейной организационной структуры являются: отсутствие кадров по планированию и подготовке решений, высокая нагрузка на руководителя отдела, сложная взаимосвязь между подчиненными системами.

Так как в данной курсовой работе рассматривается именно Дагестанский филиал ОАО «Мобильные ТелеСистемы» стоит отметить линейную структуру управления филиалом.

Рисунок 1.1 Линейная структура управления Дагестанским филиалом ОАО «МТС».

Следует рассмотреть и организационно-штатную структуру предприятия. Штатная структура определяет состав подразделений и перечень должностей, размеры должностных окладов и фонд заработной платы. Ниже представлен перечень должностей и список лиц, занимающих эти должности.

Рисунок 1.2 Штатная структура управления филиалом организации ОАО «МТС».

В настоящее время в ОАО «МТС» набор кадров осуществляется различными способами (например: как объявления в периодической печати и объявление в интернете), поэтому системы подборки персонала как таковой не имеется.

При приеме на работу отдел кадров проводит предварительное собеседование с кандидатом и направляют его на собеседование к руководителю подразделения, в которое он хочет устроиться. От руководителя подразделения зависит какое будет принято решение, положительное или отрицательное, которое является основанием для приема на работу. В рассматриваемой организации не занимаются адаптацией работников. Не часто новому работнику назначается наставник.

Как и в любой организации в ОАО «МТС» есть специальная кадровая система для подготовки сотрудников и повышения их квалификации. В результате прохождений курсов по повышению квалификации повышается стаж работы сотрудника и проводится сдача квалификационных экзаменов по специальности.

Повышение квалификации осуществляют еще и путем самообразования. Когда работник хочет перевестись на должность повыше, он обязательно проходит подготовку в соответствующем учебном центре.

Стабильность кадрового состава предприятия характеризуется динамикой коэффициента текучести кадров и коэффициентом оборота.

По данным таблицы видно, что коэффициент текучести гораздо ниже чем в предыдущем году. Из этого следует, что количество текучих работников снижается, из-за чего организация нуждается в постоянном наборе кадров.

Повышение коэффициента замещения предполагает то что на место каждого выбывшего сотрудника нанимается другой и часть принятых работают на новых местах.

Таблица 1.1. - Функциональные области управления и процессы.

В организации существуют также несколько различных функций управления, то есть действия схожие по некоторому признаку, которые направлены на достижение общей цели управления.

Предприятие в целом имеет различные области деятельности. Деятельность всех областей отражается в функциональных процессах.

В данной части работы рассмотрим архитектуру информационной системы предприятия.

В рамках выполнения данной работы мной было проведено изучение структуры информационной системы предприятия.

В информационной системе головного офиса предприятия используется локальная вычислительная сеть Ethernet, в которую включены:

- 180 рабочих станций специалистов;

- 15 сетевых принтеров;

- 1 файловый сервер.

Соединение осуществляется через коммутаторы, находящиеся в помещении серверной. Схема локальной сети ОАО «МТС» приведена на рисунке 1.2

Рисунок 1.2. Схема локальной вычислительной сети



Рисунок 1.3. Схема локальной вычислительной сети.

Вид топологии, который применяется в дагестанском филиале ОАО «МТС», называется топологией звезда. Так же в организации отсутствую маршрутизаторы, так как доступ в интернет обеспечивается интернет- провайдерами(ISP).

Рисунок 1.4. Пояснение к рис. 1.2 и 1.3

Таблица 1.2 Описание сетевого оборудования

Оборудование	Описание
Коммутатор Cisco Catalyst 3750-24FS	24 порта Ethernet 100BASE-FX и 2 порта SFP
Компьютер Lenovo ThinkCentre M53 Tiny 10DES00C00	Intel Celeron J1800 (2.41GHz), 4096MB, 120GB SSD, No DVD, Shared VGA, DOS.
Ноутбук LENOVO IdeaPad G5030	Диагональ дисплея (дюйм): 15.6 Процессор: AMD A8 6410 Оперативная память (Мб): 6144 Емкость HDD (Гб): 1000 Видеокарта: AMD Radeon R5 M230
Принтер HP LaserJet Pro M1132 MFP	Принтер: A4 , 216 Ч 297 мм, 600x600 dpi, 18 стр/мин (ч/б А4) Сканер: планшетный, 216x297 мм, 1200x1200 dpi, Разрешение сканера (улучшенное) 19200x19200 dpi, TWAIN, WIA ,Отправка изображения по e-mail.
Медный кабель (витая пара) Стандарт IEEE802.3(Ethernet)	10BASE-T, 10 Мбит/с, Требования к UTP: UTP-3 - 100м, UTP-4 - 140м, UTP-5 - 150м; Требования к среде передачи на 10Мгц: Att менее 11,5дБ, NEXTменее 30дБ Скорость распространения более 0,585с, Задержка распространения менее 1000нс

Рабочие станции для решения определенных задач должны соответствовать следующим требованиям:

1. Процессор: Intel Core i5-3570 3.4GHz/6MB (BX80637I53570) s1155 BOX

2. Материнская плата: Asus P8B75-M (s1155, Intel B75, 1 x PCI-Ex16)

3. Видеокарта: Asus PCI-Ex GeForce GTX 660 DC II 2GB GDDR5 (192bit) (1020/6008) (HDMI, 2x DVI, DP) (GTX660-DC2O-2GD5)

4. Жесткий диск: Hitachi (HGST) Travelstar 7K1000 1TB 7200rpm 32МB HTS721010A9E630_0J22423 2.5 SATAIII

5. Оптический привод: Asus DVD±RW SATA Black (DRW-24F1ST/BLK/B/AS)

6. Оперативная память: Память Kingston DDR3-1600 8192MB PC3-12800 (Kit of 2x4096) HyperX (KHX1600C9D3B1K2/8GX).

Системное программное обеспечение основано на:

- серверная операционная система Windows 2003 Server, в работе которых используются возможности контроля учетных записей пользователей средствами Active Directory. Применяются централизованные политики контроля разграничения доступа пользователей, использования средств администрирования, возможности централизации установки и удаления программного обеспечения, сбора данных о рабочих станциях;

- операционные системы Windows XP/7/8 на рабочих станциях, наличие которых позволяет работать с возможностями Active Directory, а также другими возможностями.

Средства защиты информации

- антивирусное программное обеспечение на платформе Dr. Web EndPoint Security 10.0. Сервер антивирусной защите развернут на файловом сервере, управление антивирусной защитой осуществляется через ПО Dr. Web на сервере, агенты администрирования на рабочих станциях. Такая схема позволяет централизованно управлять антивирусной защитой организации, минимизируя вмешательство администратора;

- в работе специалистов по бухгалтерскому учету используются криптографические модули как средство электронного документооборота с органами Пенсионного Фонда, налоговой службой, а также система «Банк-Клиент».

Таблица 1.3. Особенности функционирования программного обеспечения ОАО «МТС»

По заявке руководства ОАО «МТС» был проведен аудит информационной системы предприятия, по результатам которого были определены классы обрабатываемых персональных данных, а также класс информационной системы. Согласно акту классификации персональных данных в ОАО «МТС» был присвоен класс К3, класс информационной системы - 1Г. В таблице 2 приведена схема параметров обработки персональных данных в автоматизированной системе ОАО «МТС».

В соответствии с присвоенным классом К3, для обеспечения выполнения требований к сохранности персональных данных необходимо:

· Обеспечить безопасность помещений для обработки ПДн;

· Обеспечить сохранность носителей ПДн;

· Утверждать приказом список специалистов, допущенных к обработке ПДн;

· Использовать средства защиты информации, прошедшие процедуру оценки соответствия;

· Назначить приказом специалиста, ответственного за обеспечение требований безопасности обработки персональных данных.

§2.Мероприятия по защите персональных данных (ПДн) в ОАО «МТС»

Согласно требованиям ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановлению Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» для того чтобы обеспечить безопасность персональных данных при их обработке в информационных системах персональных данных необходимо выполнить следующие мероприятия:

Таблица 2.1 Мероприятия по защите персональных данных

Мероприятия по защите персональных данных	Документы, соответствующие мероприятиям по защите ПД
1.Разработка перечня актуальных угроз безопасности ПД соответствующего класса информационных систем (для каждой ИСПДн) в соответствии с: *Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008 (ФСТЭК России); *Перечнем актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008 (ФСТЭК России);	Модели угроз безопасности, перечни актуальных угроз безопасности для каждой ИСПДн.
2.Разработка мер по защите ПДн (на основе моделей угроз), обеспечивающих нейтрализацию предполагаемых угроз безопасности ПДн (Постановление Правительства РФ от 17.11.2007 № 781, методические документы ФСТЭК России).	Перечень организационных и технических мер по защите информации, перечень программных и технических средств защиты или технический (рабочий) проект защиты.
3.Назначение ответственного за техническую защиту информации. Повышение его квалификации по технической защите конфиденциальной информации (Постановление Губернатора от 03.09.2007 № 347 «Об обеспечении технической защиты информации», п.13 ПП РФ от 17.11.2007 № 781).	Приказ о назначении ответственного за техническую защиту информации в подразделении. Откорректированный должностной регламент. Удостоверение о повышении квалификации по технической защите информации установленного образца.
4.Определение перечня обрабатываемых персональных данных (Основные мероприятия от 15.02.2008, ФСТЭК России).	Перечень ПДн, обрабатываемых в ИСПДн.
5. Определение правил по работе с ПДн при их обработке в ИСПДн. (№152-ФЗ «О персональных данных», заключение при необходимости дополнительных соглашений с субъектами ПД).	Инструкция о порядке организации и проведении работ по защите ПД.
6.Определение перечня информационных систем персональных данных (далее - ИСПДн) (Основные мероприятия от 15.02.2008, ФСТЭК России).	Утвержденный перечень ИСПДн.
7.Классификация ИСПДн (Рекомендации от 15.02.2008, ФСТЭК России).	Акты классификации ИСПДн.
8.Обеспечение согласий субъектов ПДн на автоматизированную обработку их ПДн (проверка договоров с субъектами ПДн на предмет выполнения статей 6, 9, 10, 11 и 16 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», заключение при необходимости дополнительных соглашений с субъектами ПД).	Откорректированные технологические документы, формы организации.
9.Определение необходимости использования СКЗИ для обеспечения безопасности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных и (или) иных неправомерных действий при их обработке.	Аналитическое обоснование использования СКЗИ для обеспечения безопасности ПД при их обработке в ИСПДн.

Вышеперечисленные мероприятия по обеспечению безопасности ПДн не являются достаточными. В таблице изложены лишь основные меры защиты ПДн, к реализации которых необходимо приступить в первую очередь.

Рассмотрев и проанализировав следующие данные:

· Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.

· Данные о составе и структуре обрабатываемых персональных данных.

· Данные о классификации информационной системы, обрабатывающей персональные данные.

· Данные о лицах, допущенных к обработке ПДн, и уровне их доступа.

· Данные об угрозах безопасности ПДн.

· Данные о существующих и необходимых мерах защиты ПДн.

Можно составить частную модель угроз (ЧМУ) безопасности персональных данных актуальной для нашей организации.

Таблица 2.2 Частная модель угроз ИСПДн ОАО «МТС» 1С «База данных клиентов»

Наименование угрозы	Вероятность реализации угрозы (Y2)	Возможность реализации угрозы (Y)	Опасность угрозы	Актуальность угрозы	Меры по противодействию угрозе
					Технические	Организационные
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической информации	Маловероятно	Низкая	Низкая	Неактуальная	Звукоизоляция	Инструкция пользователя
						Технологический процесс обработки
1.2. Угрозы утечки видовой информации	Маловероятно	Низкая	Низкая	Неактуальная	Жалюзи на окна	Технологический процесс обработки
						Инструкция пользователя
1.3. Угрозы утечки информации по каналам ПЭМИН	Маловероятно	Низкая	Низкая	Неактуальная	Генератор шума по цепи электропитания	Инструкция пользователя
						Контур заземления
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ	Маловероятно	Низкая	Низкая	Неактуальная	Решетки на окна	Пропускной режим
					Металлическая дверь	Охрана
					Кодовый замок
					Охранная сигнализация
2.1.2. Кража носителей информации	Маловероятно	Низкая	Низкая	Неактуальная	Хранение в сейфе	Пропускной режим
						Охрана
					Шифрование данных	Акт установки средств защиты
						Инструкция пользователя
						Учет носителей информации
2.1.3. Кража ключей доступа	Маловероятно	Низкая	Низкая	Неактуальная	Хранение в сейфе	Инструкция пользователя
2.1.4. Кражи, модификации, уничтожения информации.	Маловероятно	Низкая	Низкая	Неактуальная	Шифрование данных	Пропускной режим
					Система защиты от НСД	Охрана
						Акт установки средств защиты
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи	Маловероятно	Низкая	Низкая	Неактуальная		Пропускной режим
						Охрана
2.1.6. Несанкционированное отключение средств защиты	Низкая	Средняя	Низкая	Неактуальная	Настройка средств защиты	Инструкция администратора
						Технологический процесс обработки
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа	Маловероятно	Низкая	Низкая	Неактуальная	Хранение в сейфе	Инструкция пользователя
						Инструкция администратора безопасности
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками	Низкая	Средняя	Средняя	Актуальная	Настройка средств защиты	Инструкция пользователя
2.3.3. Непреднамеренное отключение средств защиты	Маловероятно	Низкая	Низкая	Неактуальная	Настройка средств защиты	Инструкция по антивирусной защите
						Инструкция администратора безопасности
2.3.4. Выход из строя аппаратно-программных средств	Маловероятно	Низкая	Низкая	Неактуальная	Средства резервного копирования информации	Инструкция администратора безопасности
2.3.5. Сбой системы электроснабжения	Маловероятно	Низкая	Низкая	Неактуальная	Использование источника бесперебойного питания	Инструкция пользователя
2.3.6. Стихийное бедствие	Маловероятно	Низкая	Низкая	Неактуальная	Пожарная сигнализация	Инструкция пользователя
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке	Маловероятно	Низкая	Низкая	Неактуальная	Шифрование данных	Акт установки средств защиты
						Расширенная система доступа
						Технологический процесс обработки
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке	Низкая	Средняя	Средняя	Актуальная	Система защиты от НСД	Инструкция пользователя
						Договор о не разглашении
2.5. Угрозы несанкционированного доступа по каналам связи
2.5.1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны;	Маловероятно	Низкая	Низкая	Неактуальная	Межсетевой экран
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями;	Маловероятно	Низкая	Низкая	Неактуальная
2.5.1.3. Перехват в пределах контролируемой зоны внутренними нарушителями.	Низкая	Средняя	Средняя	Актуальная
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.	Низкая	Средняя	Средняя	Актуальная
	Средняя	Средняя	Средняя	Актуальная
2.5.3. Угрозы выявления паролей по сети.	Средняя	Средняя	Средняя	Актуальная	Шифрование данных	Технологический процесс обработки
						Акт установки средств защиты
	Высокая	Высокая	Высокая	Актуальная		Инструкция администратора безопасности
						Разрешительная система допуска
2.5.4. Угрозы навязывание ложного маршрута сети.	Низкая	Средняя	Средняя	Актуальная
	Средняя	Средняя	Средняя	Актуальная
2.5.5. Угрозы подмены доверенного объекта в сети.	Низкая	Средняя	Средняя	Актуальная
2.5.6. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях.	Низкая	Средняя	Средняя	Актуальная
2.5.7. Угрозы типа «Отказ в обслуживании».	Низкая	Средняя	Средняя	Актуальная
2.5.8. Угрозы удаленного запуска приложений.	Низкая	Средняя	Средняя	Актуальная	Шифрование данных	Разрешительная система допуска
	Средняя	Средняя	Средняя	Актуальная
2.5.9. Угрозы внедрения по сети вредоносных программ.	Низкая	Средняя	Средняя	Актуальная	Антивирусное ПО	Акт установки средств защиты
	Средняя	Средняя	Средняя	Актуальная		Инструкция администратора безопасности

Модель УБПДн необходима для определения требований к системе защиты. Без модели угроз невозможно построить адекватную (с точки зрения денежных затрат) систему защиты информации, обеспечивающую безопасность ПДн.

В систему защиты включаются только те средства защиты информации, которые нейтрализуют актуальные угрозы.
В соответствии с пунктом 2 статьи 19 ФЗ «О персональных данных» обеспечение безопасности ПДн достигается, в частности определением УБПДн при их обработке в ИСПДн, т.е. разработкой модели угроз.

Модель угроз (или "Частная модель угроз") разрабатывается ответственными за защиту ПДн в организации и по результатам предварительного обследования. Также могут привлекаться сторонние эксперты. Разработчики модели угроз должны владеть полной информацией об ИСПДн, знать нормативную базу по защите информации. Разработанная модель угроз утверждается руководителем.

2.1 Анализ модели угроз безопасности персональных данных в организации

Для построения эффективной модели угроз необходимо провести анализ угроз безопасности персональных данных и выявить наиболее актуальные из них.

В ОАО «МТС» как и во всех организациях, занимающихся обработкой ПДН, угрозы информационным ресурсам можно отнести к одной из следующих категорий:

1. Угрозы доступности информации, хранимой и обрабатываемой и информации, передаваемой по каналам связи;

2. Угрозы целостности информации, хранимой и обрабатываемой и информации, передаваемой по каналам связи;

3. Угрозы конфиденциальности информации хранимой и обрабатываемой и информации, передаваемой по каналам связи.

Угрозы безопасности информационных ресурсов, сточки зрения реализации, можно разделить на следующие группы:

1) Угрозы, реализуемые с использованием технических средств;

2) Угрозы, реализуемые с использованием программных средств;

3) Угрозы, реализуемые путем использования технических каналов утечки информации.

В данной курсовой работе будут описаны угрозы, реализующиеся с использованием технических и программных средств.

Технические средства реализации угроз включают в себя приемо- передающее и коммутирующее оборудование, оборудование серверов и рабочих станций, а также линии связи. К этому классу можно отнести угрозы доступности, целостности, конфиденциальной информации, которая хранится, обрабатывается и передается по каналам связи, связанным с повреждением и отказом технических средств. Для технических средств характерны угрозы, связанные с их преднамеренными или непреднамеренными повреждениями, ошибкой конфигураций и выходом из строя:

Вывод из строя;

Несанкционированное изменение настройки запущенного сетевого оборудования и оборудования приемопередачи;

Физические повреждения технических средств, линий связи, сетевого и каналообразующего оборудования;

Проблемы с питанием технических средств;

Отказы технических средств;

Установка непроверенного оборудования или замена вышедших из строя аппаратных компонент на неидентичные компоненты;

Кража технических средств и долгосрочных носителей конфиденциальной информации из-за отсутствия контроля за их использованием и хранением.

Программные средства реализации угроз это более распространенный и крупный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением несанкционированного доступа к информации, хранимой и обрабатываемой, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО. Преимущественная часть угроз, которые рассматриваются в данном классе реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними нарушителя. При успешной реализации этих угроз злоумышленник получает несанкционированный доступ к информации баз данных и файловых систем корпоративной сети, данным, конфигурации маршрутизаторов и другого активного сетевого оборудования.

В этом классе рассматриваются следующие основные виды угроз:

· Внедрение вирусов и других разрушающих программных воздействий;

· Нарушение целостности исполняемых файлов;

· Ошибки кода и конфигурации ПО, активного сетевого оборудования;

· Модификация ПО;

· Наличие в ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;

· Использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированного доступа к информационным ресурсам или нарушения их доступности;

· Выполнение одним пользователем несанкционированных действий от имени другого пользователя;

· Раскрытие, перехват и хищение секретных кодов и паролей;

· Загрузка и установка в системе не лицензионного, непроверенного системного и прикладного ПО.

Существует немалое количество средств обеспечения информационной безопасности предприятия. В этой работе был исследован комплекс инженерно-технической защиты (ИТЗ), состоящий из:

· Физических средств защиты;

· Аппаратных средств защиты;

· Программной защиты информации;

· Криптографических средств защиты;

Можно добавить, что к физическим средствам защиты также относят различные приспособления и конструкции, которые используются для создания барьеров на пути злоумышленников. К таким средствам защиты можно отнести устройства любого типа, запрещающие несанкционированный доступ (НСД) и другие несущие негативные последствия действия. Все подобные средства защиты делятся на три типа, по типу воздействия, на предупреждающие, обнаруживающие и ликвидирующие.

Таблица 2.2 Угрозы, не являющиеся атаками

Таблица 2.3 Анализ исходной защищенности ОАО «МТС».

№	Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
		Высокий	Средний	Низкий
1	По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом.	-	-	+
2	По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования.	-	-	+
3	По встроенным (легальным) операциям с записями баз персональных данных: модификация, передача.	-	-	+
4	По разграничению доступа к персональным данным: ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн.	-	-	+
5	По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн).	-	-	+
6	По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).	-	-	+
7	По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая часть ПДн.	-	+	-
8	Итоговые показатели	0	14,2	85,7

1.2 Анализ модели нарушителя безопасности персональных данных в организации

Нарушителем ПДн - это физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах.

Нарушители подразделяются на два типа:

1. нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из сетей международного информационного обмена (Интернет) - внешние нарушители;

2. нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, - внутренние нарушители.

Таблица 2.4 - Внешний нарушитель

Таблица 2.5. Внутренний нарушитель

В данном разделе определяются все условия и факторы, подвергающие опасности нарушения характеристики безопасности объектов угроз. Под угрозами мы будем рассматривать атаки. Познакомимся с такими понятиями как объекты и субъекты атак.

В качестве объектов атак рассматриваются защищаемые персональные данные, сопутствующая информация, программное обеспечение ИСПДн, технические средства ИСПДн и помещения, в которых расположены технические средства.

В качестве субъектов атак рассматриваются физические лица, имеющие доступ к техническим и программным средства информационной системы:

Таблица 2.6. Субъекты атак.

Пояснения:

категория 1 - лица не имеющие права доступа в контролируемую зону информационной систем;

категория 2 - лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы;

внешние нарушители - нарушители, осуществляющие атаки из-за пределов контролируемой зоны информационной системы;

внутренние нарушители - нарушители, осуществляющие атаки, находясь в пределах контролируемой зоны информационной системы.

Существуют субъекты, которые не входят в число потенциальных (возможных) нарушителей системы информационной безопасности:

Таблица 2.7 Субъекты, которые не входят в число возможных нарушителей.

2.3 Разработка подсистемы защиты персональных данных (ИСПДн) организации

Система защиты информации - совокупность органов и/или исполнителей, используемые ими методы защиты информации, а также объекты защиты (ПДн, ИСПДн), организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Для того чтобы разработать эффективную и адекватную (с финансовой точки зрения) подсистему защиты персональных данных необходимо составить перечень мероприятий по защите информации и применить их для устранения актуальных угроз. Приведём классификацию средств защиты информации.

1. Средства защиты от несанкционированного доступа (НСД):

· Средства авторизации;

· Управление доступом;

· Журналированые (так же называется Аудит).

· Системы анализа и моделирования информационных потоков (CASE-системы).

· Системы мониторинга сетей;

· Системы обнаружения и предотвращения вторжений (IDS/IPS);

· Системы предотвращения утечек конфиденциальной информации (DLP-системы).

· Анализаторы протоколов.

· Антивирусные средства.

· Межсетевые экраны.

2. Криптографические средства:

· Шифрование;

· Цифровая подпись.

· Системы резервного копирования.

3. Системы бесперебойного питания:

· Источники бесперебойного питания;

· Резервирование нагрузки;

· Генераторы напряжения.

4. Системы аутентификации:

· Пароль;

· Сертификат;

· Биометрия.

· Средства контроля доступа в помещения.

5. Инструментальные средства анализа систем защиты:

· Мониторинговый программный продукт.

Обеспечение корректной работы со сведениями конфиденциального характера осуществляется в следующей последовательности. Составляется перечень сведений, имеющих конфиденциальный характер, который затем утверждается руководителем организации. В трудовые договора вносится пункт об ответственности за некорректную работу с конфиденциальными сведениями, несоблюдение которого влечет привлечение сотрудников-нарушителей к административной или уголовной ответственности. Чтобы составить устойчивую систему защиты, необходимо определить перечень персональных данных, обрабатываемых в организации.

Таблица 2.8 Перечень ПДн, обрабатываемых ОАО «МТС» (Сотрудники)

Таблица 2.9 Перечень ПДн, обрабатываемых ОАО «МТС» (Клиенты)

Таблица 2.10 Характеристика ИСПДн ОАО «МТС» (Клиенты)

Таблица 2.11 Характеристика ИСПДн ОАО «МТС» (Сотрудники)

Заключение

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса об разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации.

Информация может существовать во многих различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных устройств, показываться на пленках или передаваться устно в процессе общения.

Информационная безопасность -- это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.

Частная политика обеспечения информационной безопасности персональных данных является составной частью Политики информационной безопасности и определяет базовые принципы, которыми общество руководствуется в вопросах обеспечения информационной безопасности персональных данных при их обработке в информационных системах.

Положения частной политики, при необходимости, раскрываются (детализируются) документами нижнего уровня, такими как: регламенты, руководства, инструкции и прочее. Такие документы разрабатываются в соответствии с требованиями Федерального закона «О персональных данных».

Список литературы

1. Гатчин Ю.А., Сухостат В.В. «Теория информационной безопасности и методология защиты информации».2010

2. Макаренко С.И. «Информационная безопасность». 2013

3. Федеральный закон "О персональных данных" от 27.07.2006 №152-ФЗ. 3. РС БР ИББС-2.

4. «Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» - 2010.

5. ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. №149-ФЗ.

6. РС БР ИББС-2.4 - 2010 "Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банковской системы РФ".

7. http://studopedia.ru/3_64685_organizatsionnie-meropriyatiya-po-zashchite-informatsii.html

8. http://bezopasnik.org/article/13.html

9. http://static.mts.ru

10. http://gigabaza.ru

11. http://zakonrf.net/ob_informatsii_informatsionnykh_tekhnologiyakh_i_o_zashchite_informatsii/

12. http://www.altx-soft.ru

Размещено на Аllbest.ru

...