Файл: Разработка модели системы информационной безопасности на предприятии.docx

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 30.11.2023

Просмотров: 217

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

АКТУАЛЬНОСТЬ

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

1.1. Описание предприятия

1.2. Состав аппаратных и программных средств и структура сети

1.3. Анализ информационных потоков

1.4. Анализ информационных ресурсов

1.5. Физическая безопасность объектов (охрана)

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1. Классификация и анализ источников угроз и уязвимостей безопасности

2.2. Модель нарушителя

2.3. Определение актуальных угроз информационной системы

2.4. Определение класса защищенности информационной системы

ЗАКЛЮЧЕНИЕ

Для выполнения данной выпускной квалификационной работы были выполнены следующие задачи:

Все поставленные цели выполнены. Разработанная политика безопасности может быть развита, в соответствии с развитием технологий и потенциальных угроз.

Список литературы

Приложение 1


Федеральное государственное автономное образовательное учреждение высшего профессионального образования

Национальный исследовательский университет

Высшая школа экономики

НИУ ВШЭ-Нижний Новгород

Факультет информатики, математики и компьютерных наук

Выпускная квалификационная работа

На тему: «Разработка модели системы информационной безопасности на предприятии»

Студент группы 11ПМИ

Пономарева Е.О.

Оценка за работу____________

Руководитель: старший преподаватель

Кафедры МЕРА

Кряжев С.В.

Нижний Новгород

2015

СОДЕРЖАНИЕ


ВВЕДЕНИЕ 7

Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных технологий это привело к развитию автоматизированных систем. Эффективная система информационной безопасности позволяет минимизировать риски, связанные с информацией, и способствует стабильной деятельности информационных потоков предприятия. 7

АКТУАЛЬНОСТЬ 8

Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие. М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2003. С. 280. 8

Федеральный закон Российской Федерации N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. 9

Федеральный закон Российской Федерации №152-ФЗ «О персональных данных» от 27 июля 2006 г. 9

Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне" от 29 июля 2004 г. 9

Петренко С.А., Курбатов В.А. Политики безопасности компании при работе в Интернет. М.: ДМК Пресс, 2011. С. 396. 15

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ 16

1.1. Описание предприятия 16

О ВУЗЕ // ННГАСУ [Электронный ресурс] URL: http://www.nngasu.ru/sveden/common/index.php (дата обращения: 10.05.2015). 17

1.2. Состав аппаратных и программных средств и структура сети 18

1.3. Анализ информационных потоков 23

1.4. Анализ информационных ресурсов 25

1.5. Физическая безопасность объектов (охрана) 25

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ 26

2.1. Классификация и анализ источников угроз и уязвимостей безопасности 26

Руководящий документ ФСТЭК «Базовая модель угроз безопасность персональных данных при обработке в информационных системах персональных данных» 29

2.2. Модель нарушителя 29

Руководящий документ ФСТЭК «Базовая модель угроз безопасность персональных данных при обработке в информационных системах персональных данных» 31

2.3. Определение актуальных угроз информационной системы 32

Руководящий документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных» 35

Актуальная угроза 38

Технические меры борьбы с угрозой 38

Организационные меры борьбы с угрозой 38

Несанкционированный доступ к аппаратным объектам с возможностью хищения или порчи оборудования 38

-охранная сигнализация и видеонаблюдение; 38

- охранно – пропускной режим; 38

Неумышленное уничтожение или модификация информации сотрудниками 38

- использование средств защиты и резервного копирования данных; 38

- Инструктаж сотрудников; 38

Непреднамеренное превышение прав использования оборудования по причине отсутствия соответствующих знаний 38

- использование средств защиты от несанкционированного доступа; 38

- инструктаж сотрудников; 38

Перехват сетевого трафика 38

- шифрование данных; 38

- инструктаж администратора безопасности; 38

Установка вредоносного ПО и изменение конфигурации ПО 38

- использование средств антивирусной защиты; 38

- инструктаж сотрудников; 38

Непреднамеренное раскрытие конфиденциальной информации сотрудниками 38

- инструктаж сотрудников; 38

Отказ и сбой сетевого оборудования с последующим уничтожением информации 38

-использование источников бесперебойного писания; 38

- инструктаж системного администратора; 38

Программные закладки 38

- использование сертифицированного ПО; 38

- инструктаж сотрудников; 38

Использование чужих регистрационных данных для входа в информационные службы 38

-инструктаж сотрудников; 38

2.4. Определение класса защищенности информационной системы 39

3.РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 39

3.1.Анализ на соответствие стандартам и существующим политикам 40

3.2.Разработка политики информационной безопасности 40

Настоящая политика разработана в соответствии с Руководящим документом 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов». 47

4.РАЗРАБОТКА ПОРТАЛА ПЕРВИЧНОЙ АВТОРИЗАЦИИ 47

4.2.Требования к функциональности портала 49

4.3.Разработка портала 49

В целом портал разработан в соответствии с главной целью диплома и обеспечивает защиту персональных данных пользователей, находящихся во внешних ресурсах. В дальнейшем подобный портал может быть разработан для корпоративных информационных систем, как одно из средств профилактики защиты информации. 56

ЗАКЛЮЧЕНИЕ 57

Для выполнения данной выпускной квалификационной работы были выполнены следующие задачи: 57

1.Изучение теоретико – правовой базы в области информационной безопасности; 57

2.Анализ исходной информационной системы ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»; 57

3.Анализ потенциальных угроз и мер борьбы с ними; 57

4.Разработка политики информационной безопасности в соответствии со стандартами и лучшими практиками; 57

5.Разработка портала для ограничения доступа к внешним информационным ресурсам университета. 57

В теоретической части работы были изучены основные законодательные и нормативные акты, стандарты и политики ведущих компаний. Были определены основные принципы построения системы информационной безопасности, которая обеспечит комплексную защиту данных. 57

На этапе исследования информационной системы университета было составлено описание предприятия и представлена организационная структура. В результате анализа аппаратно – программного обеспечения была определена структура сети и состав технических средств. Также была определена информация, циркулирующая в информационной системе университета, и отнесена к соответствующему грифу конфиденциальности. 57

Следующим шагом была разработка модели угроз и нарушителя. На этом шаге. Были определены основные источники угроз и классифицированы на антропогенные, техногенные и стихийные. В соответствии с Руководящим документом ФСТЭК были определены потенциальные внутренние и внешние нарушители, в результате чего выяснилось, что наиболее опасными являются внутренние нарушители. Для определения актуальных гроз была рассчитана исходная защищенность системы и определено, что объект обладает средней защищенностью, что является хорошим показателем. После определения актуальных угроз были предложены меры по борьбе с ними на техническом и организационном уровнях. Последним шагом в этой части было определение класса защищенности системы в соответствии с Руководящим документом Гостехкомиссии РФ. На основании данных, полученных при анализе системы, был установлен класс защищенности 1В. 57

В следующей части была разработана политика информационной безопасности университета с подробным указанием целей защиты, распределением ролей пользователей и описанием мер защиты. Меры защиты были разделены на организационные, физические и аппаратно – программные. Политика безопасности разрабатывалась на основании результатов анализа на соответствие существующей системы и стандартов. При разработке политики были «заполнены» пробелы, найденные в процессе анализа системы. 58

В финальной части был разработан портал для безопасного подключения к внешним информационным ресурсам университета. Разработка содержит базу данных, портал первичной авторизации и сайт – прототип информационных ресурсов. Для реализации был использован скриптовый язык PHP, для создания отдельных модулей был использован язык JavaScript. Вся работа построена на отправке запросов в базу данных и их последующей проверке. Доступ к базе данных осуществляется посредством метода PDO, который защищает портал от SQL – инъекций. Данный портал разработан для разграничения внешних и внутренних ресурсов университета и для уменьшения поверхности атаки. 58

Все поставленные цели выполнены. Разработанная политика безопасности может быть развита, в соответствии с развитием технологий и потенциальных угроз. 59

Список литературы 59

1.Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие. М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2003. 280 с. 59

2.Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: ДМК Пресс, 2012. 592 с. 59

3.Петренко С.А., Курбатов В.А. Политики безопасности компании при работе в Интернет. М.: ДМК Пресс, 2011. 369 с. 59

4.Проталинский О.М., Ажмухамедов И.М., “Информационная безопасность вуза”, Вестн. Астрахан. гос. техн. ун-та. Сер. управление, вычисл. техн. информ., 2009, № 1, 18–23  59

5.Редишев М. В., Трефилов В. В. «Средства и методы обеспечения конфиденциальности и целостности данных в СУБД» 59

6.ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. М.: Стандартинформ, 2006. – 56 с. 59

7.ГОСТ Р ИСО/МЭК 27001-2005. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. М.: Стандартинформ, 2006. – 31 с. 59

8.ГОСТ Р ИСО/МЭК 15408 – 1 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. М., 2002. 59

9.ГОСТ Р ИСО/МЭК 15408 – 2 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М., 2002. 60

10.ГОСТ Р ИСО/МЭК 15408 – 3 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М., 2002. 60

11.Федеральный закон Российской Федерации N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. 60

12.Федеральный закон Российской Федерации №152-ФЗ «О персональных данных» от 27 июля 2006 г. 60

13.Руководящий документ 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» 60

14.Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 60

15.Руководящий документ Гостехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 60

16.Руководящий документ ФСТЭК «Базовая модель угроз безопасность персональных данных при обработке в информационных системах персональных данных» 61

17.Руководящий документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных» 61

18.Виды мер и основные принципы обеспечения информационной безопасности // Asher's Attic URL: http://asher.ru/security/book/its/06 (дата обращения: 28.05.2015). 61

19.О ВУЗЕ // ННГАСУ URL: http://www.nngasu.ru/sveden/common/index.php (дата обращения: 10.05.2015). 61

Приложение 1 61












ВВЕДЕНИЕ

Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных технологий это привело к развитию автоматизированных систем. Эффективная система информационной безопасности позволяет минимизировать риски, связанные с информацией, и способствует стабильной деятельности информационных потоков предприятия.
Безопасность государственных учреждений, таких как высшие учебные заведения, также требует высокого уровня информационной защищенности.

Информационные активы ВУЗа составляют огромное количество сведений об учебной деятельности, по деятельности сотрудников с различным уровнем доступа. Работники и студенты ВУЗа также отличный пример лиц с различными правами доступа к информации. Поэтому было решено разработать эффективный комплекс мер для обеспечения информационной безопасности ВУЗа.

Целью дипломной работы является разработка комплекса мер, направленного на обеспечение информационной безопасности ВУЗа на примере Нижегородского Государственного Архитектурно – Строительного Университета.

Предметом исследования в дипломной работе является система защиты информационной безопасности Нижегородского Государственного Архитектурно-Строительного Университета.

Дипломная работа состоит из четырех глав. В первой главе представлено описание информационной системы организации, анализ информационных ресурсов и технических средств. Во второй главе проанализированы потенциальные угрозы системы и определена модель нарушителя. В третьей главе разработана политика информационной безопасности. Четвертая глава в форме пояснительной записки содержит процесс реализации портала первичной авторизации.

АКТУАЛЬНОСТЬ


На современном этапе развития общества информационные технологии являются неотъемлемой его частью. Информация стала одним из основных средств социального - экономического, технического и научного прогресса мирового сообщества. Развитие информационных технологий и расширение информационного пространства приводит к постоянно растущему уровню атак и нарушений в этой области, что делает проблемы информационной безопасности всё более актуальными. Под информационной безопасностью понимается состояние защищенности информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.
1

Обеспечения информационной безопасности является одним из ключевых факторов стабильного функционирования любого предприятия. На сегодняшний день конфиденциальность, целостность и доступность информации является важным аспектом непрерывности бизнеса, поэтому всё большее число организаций сосредоточены на вопросе информационной безопасности. Таким образом, существует необходимость в эффективной и интегрированной системе информационной безопасности.

Довольно часто, при создании информационной системы, организации стремятся обезопасить свои информационные активы лишь на аппаратном и программном уровнях защиты. Но такой уровень безопасности является неэффективным и должен быть подкреплен нормами и правилами в области информационной безопасности.

Подготовка и реализация системы безопасности в учреждении должна осуществляться на основании существующего законодательства и нормативных требований в сфере информационной безопасности. Основным документом является Конституция РФ, согласно которой «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается».

Другими базовыми документами в области информационной безопасности являются Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», в соответствии с которым, необходимо обеспечивать защиту информации от несанкционированного доступа, модификации, уничтожения, копирования и распространения данных.2 Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» регулирует действия, связанные с обработкой персональных данных государственными учреждениями, с использованием автоматизированных систем.3

Также следует брать во внимание закон РФ «О государственной тайне» и закон РФ «О коммерческой тайне», который регламентирует порядок отнесения информации к служебной тайне, режим служебной тайны и порядок разглашения служебных данных.4 Также существует ряд законов, в соответствии с которыми формируются уровни конфиденциальности информации («Об утверждении Перечня сведений конфиденциального характера»; «Об утверждении Перечня сведений, отнесенных к государственной тайне»; «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну»).


В целом, законодательные РФ не учитывают и регулируют в полной мере хранение и использование конфиденциальных данных.

Основными регламентами обеспечения безопасности со стороны процедурного и аппаратно – программного уровней являются стандарты и спецификации. Это документы, содержащие испытанные, высококачественные методологии и средства обеспечения безопасности.

В соответствии со стандартами, обеспечение безопасности объектов информационной системы должно состоять из следующих этапов:

  • выделение целей обеспечения информационной безопасности;

  • проектирование действенной системы управления;

  • анализ и оценка соответствия поставленным целям;

  • анализ исходного состояния защищенности;

Стандарт ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) содержит наиболее полные критерии безопасности программно – аппаратного уровня. Общие критерии устанавливают требования по функциональности безопасности. Помимо программно – аппаратного уровня защиты стандарт описывает некоторые требования методов безопасности организационного уровня и физической защиты. Стандарт состоит из трех частей:

  • первая часть включает понятийный аппарат, представление модели и методологию оценки безопасности информационных технологий;

  • вторая часть содержит непосредственно требования функциональности аппаратно – программных средств;

  • в третьей части приводятся требования гарантий безопасности;5

Стандарт ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) содержит наиболее полные критерии организационного уровня.

Стандарт содержит наиболее эффективные правила управления информационной безопасностью и критерии оценки методов безопасности организационного уровня, с учетом административных, процедурных и физических средств защиты. Стандарт содержит следующие разделы:

  • политика безопасности;

  • организация информационной безопасности;

  • управление ресурсами;

  • безопасность человеческих ресурсов;

  • физическая безопасность;

  • контроль доступа;

  • администрирование информационных систем;

  • разработка и сопровождение информационных систем;

  • планирование непрерывной работы;

  • контроль выполнения требований безопасности;6