Файл: Разработка модели системы информационной безопасности на предприятии.docx

ВВЕДЕНИЕ 7

Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных технологий это привело к развитию автоматизированных систем. Эффективная система информационной безопасности позволяет минимизировать риски, связанные с информацией, и способствует стабильной деятельности информационных потоков предприятия. 7

АКТУАЛЬНОСТЬ 8

Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие. М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2003. С. 280. 8

Федеральный закон Российской Федерации N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. 9

Федеральный закон Российской Федерации №152-ФЗ «О персональных данных» от 27 июля 2006 г. 9

Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне" от 29 июля 2004 г. 9

Петренко С.А., Курбатов В.А. Политики безопасности компании при работе в Интернет. М.: ДМК Пресс, 2011. С. 396. 15

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ 16

1.1. Описание предприятия 16

О ВУЗЕ // ННГАСУ [Электронный ресурс] URL: http://www.nngasu.ru/sveden/common/index.php (дата обращения: 10.05.2015). 17

1.2. Состав аппаратных и программных средств и структура сети 18

1.3. Анализ информационных потоков 23

1.4. Анализ информационных ресурсов 25

1.5. Физическая безопасность объектов (охрана) 25

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ 26

2.1. Классификация и анализ источников угроз и уязвимостей безопасности 26

Руководящий документ ФСТЭК «Базовая модель угроз безопасность персональных данных при обработке в информационных системах персональных данных» 29

2.2. Модель нарушителя 29

Руководящий документ ФСТЭК «Базовая модель угроз безопасность персональных данных при обработке в информационных системах персональных данных» 31

2.3. Определение актуальных угроз информационной системы 32

Руководящий документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных» 35

Актуальная угроза 38

Технические меры борьбы с угрозой 38

Организационные меры борьбы с угрозой 38

Несанкционированный доступ к аппаратным объектам с возможностью хищения или порчи оборудования 38

-охранная сигнализация и видеонаблюдение; 38

- охранно – пропускной режим; 38

Неумышленное уничтожение или модификация информации сотрудниками 38

- использование средств защиты и резервного копирования данных; 38

- Инструктаж сотрудников; 38

Непреднамеренное превышение прав использования оборудования по причине отсутствия соответствующих знаний 38

- использование средств защиты от несанкционированного доступа; 38

- инструктаж сотрудников; 38

Перехват сетевого трафика 38

- шифрование данных; 38

- инструктаж администратора безопасности; 38

Установка вредоносного ПО и изменение конфигурации ПО 38

- использование средств антивирусной защиты; 38

- инструктаж сотрудников; 38

Непреднамеренное раскрытие конфиденциальной информации сотрудниками 38

- инструктаж сотрудников; 38

Отказ и сбой сетевого оборудования с последующим уничтожением информации 38

-использование источников бесперебойного писания; 38

- инструктаж системного администратора; 38

Программные закладки 38

- использование сертифицированного ПО; 38

- инструктаж сотрудников; 38

Использование чужих регистрационных данных для входа в информационные службы 38

-инструктаж сотрудников; 38

2.4. Определение класса защищенности информационной системы 39

3.РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 39

3.1.Анализ на соответствие стандартам и существующим политикам 40

3.2.Разработка политики информационной безопасности 40

Настоящая политика разработана в соответствии с Руководящим документом 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов». 47

4.РАЗРАБОТКА ПОРТАЛА ПЕРВИЧНОЙ АВТОРИЗАЦИИ 47

4.2.Требования к функциональности портала 49

4.3.Разработка портала 49

В целом портал разработан в соответствии с главной целью диплома и обеспечивает защиту персональных данных пользователей, находящихся во внешних ресурсах. В дальнейшем подобный портал может быть разработан для корпоративных информационных систем, как одно из средств профилактики защиты информации. 56

ЗАКЛЮЧЕНИЕ 57

Для выполнения данной выпускной квалификационной работы были выполнены следующие задачи: 57

1.Изучение теоретико – правовой базы в области информационной безопасности; 57

2.Анализ исходной информационной системы ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»; 57

3.Анализ потенциальных угроз и мер борьбы с ними; 57

4.Разработка политики информационной безопасности в соответствии со стандартами и лучшими практиками; 57

5.Разработка портала для ограничения доступа к внешним информационным ресурсам университета. 57

В теоретической части работы были изучены основные законодательные и нормативные акты, стандарты и политики ведущих компаний. Были определены основные принципы построения системы информационной безопасности, которая обеспечит комплексную защиту данных. 57

На этапе исследования информационной системы университета было составлено описание предприятия и представлена организационная структура. В результате анализа аппаратно – программного обеспечения была определена структура сети и состав технических средств. Также была определена информация, циркулирующая в информационной системе университета, и отнесена к соответствующему грифу конфиденциальности. 57

Следующим шагом была разработка модели угроз и нарушителя. На этом шаге. Были определены основные источники угроз и классифицированы на антропогенные, техногенные и стихийные. В соответствии с Руководящим документом ФСТЭК были определены потенциальные внутренние и внешние нарушители, в результате чего выяснилось, что наиболее опасными являются внутренние нарушители. Для определения актуальных гроз была рассчитана исходная защищенность системы и определено, что объект обладает средней защищенностью, что является хорошим показателем. После определения актуальных угроз были предложены меры по борьбе с ними на техническом и организационном уровнях. Последним шагом в этой части было определение класса защищенности системы в соответствии с Руководящим документом Гостехкомиссии РФ. На основании данных, полученных при анализе системы, был установлен класс защищенности 1В. 57

В следующей части была разработана политика информационной безопасности университета с подробным указанием целей защиты, распределением ролей пользователей и описанием мер защиты. Меры защиты были разделены на организационные, физические и аппаратно – программные. Политика безопасности разрабатывалась на основании результатов анализа на соответствие существующей системы и стандартов. При разработке политики были «заполнены» пробелы, найденные в процессе анализа системы. 58

В финальной части был разработан портал для безопасного подключения к внешним информационным ресурсам университета. Разработка содержит базу данных, портал первичной авторизации и сайт – прототип информационных ресурсов. Для реализации был использован скриптовый язык PHP, для создания отдельных модулей был использован язык JavaScript. Вся работа построена на отправке запросов в базу данных и их последующей проверке. Доступ к базе данных осуществляется посредством метода PDO, который защищает портал от SQL – инъекций. Данный портал разработан для разграничения внешних и внутренних ресурсов университета и для уменьшения поверхности атаки. 58

Все поставленные цели выполнены. Разработанная политика безопасности может быть развита, в соответствии с развитием технологий и потенциальных угроз. 59

Список литературы 59

1.Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие. М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2003. 280 с. 59

2.Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: ДМК Пресс, 2012. 592 с. 59

3.Петренко С.А., Курбатов В.А. Политики безопасности компании при работе в Интернет. М.: ДМК Пресс, 2011. 369 с. 59

4.Проталинский О.М., Ажмухамедов И.М., “Информационная безопасность вуза”, Вестн. Астрахан. гос. техн. ун-та. Сер. управление, вычисл. техн. информ., 2009, № 1, 18–23  59

5.Редишев М. В., Трефилов В. В. «Средства и методы обеспечения конфиденциальности и целостности данных в СУБД» 59

6.ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. М.: Стандартинформ, 2006. – 56 с. 59

7.ГОСТ Р ИСО/МЭК 27001-2005. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. М.: Стандартинформ, 2006. – 31 с. 59

8.ГОСТ Р ИСО/МЭК 15408 – 1 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. М., 2002. 59

9.ГОСТ Р ИСО/МЭК 15408 – 2 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. М., 2002. 60

10.ГОСТ Р ИСО/МЭК 15408 – 3 – 2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М., 2002. 60

11.Федеральный закон Российской Федерации N 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. 60

12.Федеральный закон Российской Федерации №152-ФЗ «О персональных данных» от 27 июля 2006 г. 60

13.Руководящий документ 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» 60

14.Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 60

15.Руководящий документ Гостехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» 60

16.Руководящий документ ФСТЭК «Базовая модель угроз безопасность персональных данных при обработке в информационных системах персональных данных» 61

17.Руководящий документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных» 61

18.Виды мер и основные принципы обеспечения информационной безопасности // Asher's Attic URL: http://asher.ru/security/book/its/06 (дата обращения: 28.05.2015). 61

19.О ВУЗЕ // ННГАСУ URL: http://www.nngasu.ru/sveden/common/index.php (дата обращения: 10.05.2015). 61

Приложение 1 61