Файл: Высшая школа электроники и компьютерных наук Кафедра Защита информации.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.11.2023
Просмотров: 167
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-направление уведомления об обработке персональных данных в уполномоченный орган (Закон № 152-ФЗ Ст. 22 п. 3);
-получение письменного согласия субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4);
-уведомление субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4).
Уведомление об обработке персональных данных и письменное согласие субъекта персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон № 152-ФЗ ст. 22 п. 2, ст. 6 п. 2).
Таким образом, актуальность данной работы обусловлена необходимостью разработки защиты систем обработки персональных данных в учреждении здравоохранения.
Объектом выпускной квалификационной работы является учреждение здравоохранения.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
13
Предметом выпускной квалификационной работы является система обработки персональных данных в данном учреждении.
Целью дипломной работы является выбор и обоснование мер по защите системы обработки персональных данных.
В соответствии с поставленной целью необходимо решить следующие задачи:
-проанализировать информационную систему учреждения здравоохранения, с целью обоснования необходимости создания системы защиты системы обработки персональных данных;
-провести анализ и теоретическое обоснование выбора средств защиты информации;
-разработать проект по модернизации системы защиты обработки персональных данных в учреждении здравоохранения.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
14 1.АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ УЧРЕЖДЕНИЯ
ЗДРАВООХРАНЕНИЯ И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ
1.1.Разработка технического паспорта
Для создания системы защиты информации было проведено предпроектное обследование учреждения здравоохранения, в результате которого был составлен технический паспорт (Приложение А).
В техническом паспорте приведен состав ОТСС, ВТСС, схемы их размещения, расположение линий коммуникаций, перечень установленных средств защиты информации и программного обеспечения.
В качестве объекта защиты была выбрана ИСПДн «ПАЦИЕНТЫ» учреждении здравоохранения.
1.2.Разработка модели деятельности
В ходе обследования работы ИСПДн «ПАЦИЕНТЫ» была построена модель деятельности (Приложение Ж). В этой схеме отражаются основные этапы технологического процесса обработки защищаемой информации от подготовки к обработке информации ограниченного доступа до сохранения результатов.
Данная модель необходима для выявления потоков информации ограниченного доступа.
1.3.Выявление защищаемой информации
В результате проведенного предпроектного обследования, ознакомления с информацией ограниченного доступа и организационно-распорядительной документацией была выявлена следующая защищаемая информация:
Перечень персональных данных, подлежащих защите в системе обработки персональных данных «ПАЦИЕНТЫ» № 391 от 10.05.2016 г.
В рамках данной ВКР был разработан перечень персональных данных
(Приложение В).
1.4.Описание информационной системы
ИСПДн «ПАЦИЕНТЫ» - информационная система, представляющая собой универсальное решение для автоматизации деятельности стационаров и поликлиник. Автоматизируя процессы в поликлиниках и стационарах, система позволяет осуществлять обмен данными между медицинскими учреждениями, а также централизованный сбор показателей со всей сети медучреждений.
Система поддерживает эффективное взаимодействие персонала медицинского учреждения и обеспечивает прозрачность его работы для руководства, позволяет накапливать и выдавать в виде отчётов статистические данные по пациентам, врачам и ЛПУ в целом.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
15
Система имеет централизованную базу данных с предоставлением удаленного защищенного доступа для пользователей. Работа пользователей в системе осуществляется в режиме тонкого клиента через Web-браузер, функционирующего в различных операционных средах Microsoft Windows, Mac OS, Unix (Linux).
Система организована по принципу трехзвенной архитектуры: Webбраузер, Web- сервер и сервер базы данных.
При появлении нового пациента в учреждении здравоохранения, оператор делает запрос в ФОМС, откуда высылаются паспортные данные пациента.
Дополнительно в ИСПДн «ПАЦИЕНТЫ» следующие данные о пациенте:
-сведения о родственниках;
-место работы;
-диагноз;
-направление на лечение и обследование.
При повторном посещении пациентом учреждения здравоохранения оператор имеет право вносить изменения в карту пациента.
Под оператором понимается человек способный вести регистрацию больных, обратившихся в медицинскую организацию для получения медицинских услуг.
В данном учреждении здравоохранения оператором является лицо имеющее право доступа к ИСПДн «ПАЦИЕНТЫ».
Система защиты информации в ИСПДн «ПАЦИЕНТЫ» в учреждении здравоохранения основана на использовании организационных, правовых и программно-аппаратных мер.
Организационные меры включают в себя инструкции администратора, инструкции пользователей, инструкцию по эксплуатации СЗИ, инструкцию по антивирусной, инструкцию по парольной защите, инструкцию по резервированию, журнал учета лиц, журнал учета машинных носителей.
В рамках ВКР была разработана инструкция по антивирусной защите
(Приложение Г). Инструкции администратора, инструкции пользователей, инструкция по эксплуатации СЗИ, инструкция по парольной защите, инструкция по резервированию, журнал учета лиц, журнал учета машинных носителей ранее существовали на предприятии.
Правовые меры включают в себя нормативно-правовые документы, регулирующие деятельность организации в области обеспечения защиты информации:
-базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) [1];
-методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [6];
-Федеральный закон «О персональных данных» [15];
-Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [7];
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
16
-руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации» [8].
-Федеральный закон «О персональных данных» — [10].
Программно-аппаратные меры включают в себя комплекс программно- аппаратных средств, обеспечивающих работу автоматизированной системы и ее защиту. В рамках ВКР была проведена инвентаризация автоматизированной системы, результаты которой представлены в Таблицах 1 и 2.
Таблица 1 – Аппаратное обеспечение
Наименование устройства
Фирма производитель, модель
Заводской
/ инвентаризационный номер
1 2
3
ОТСС
Системный блок
InWin
16112060900152
Монитор
LG L1942S-BF
907NDBP3G709
Клавиатура
Genius K639
ZM7902171374
Мышь
A4-Tech OP-620D
0907
ИБП
APC SmartuPS 500
QS0614121487
ВТСС
Системный блок
InWin
619G109000187
Монитор
Samsung
SyncMaster 720 NA
GS17HVFLA00045F
Клавиатура
Oklick 320M
3922302126
Мышь
Genius GM-0003A
X62405206687
МФУ
Canon MF3110
VZN81841
Системный блок
InWin
16221034300108
Монитор
LG
BEJE2241SX
Клавиатура
Logitech-k200
SY1464K
Мышь
Logitech B110
LZ137HR21NP
Телефонный аппарат
LG GS0472H
Телефонный аппарат
LG GS0472H
Датчик пожарной сигнализации б/н
Датчик пожарной сигнализации б/н
Коммутатор
D-link DES-1005D
B12D449021069
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
17
Таблица 2 – Программное обеспечение
Наименование
Версия
Microsoft Windows 7 Professional SP1 6.1.7601.17514 7-zip
9.20.00.0
VipNet Client 3 3.2
Kaspersky Anti-Virus 2014 14.2.5.01 1.5.Выявление объектов защиты
На основе перечня защищаемой информации, изучения модели деятельности и технологического процесса обработки информации были выявлены объекты защиты и составлен их перечень:
-автоматизированное рабочее место, на котором обрабатывается защищаемая информация;
-средства ввода-вывода и отображения информации;
-система бесперебойного питания АРМ;
-линии и средства связи, системы обеспечения функционирования СВТ и деятельности организации;
-носители информации;
-персонал.
Более подробно перечень объектов защиты представлен в Приложении А.
1.6.Разработка модели угроз и уязвимостей для важных объектов защиты
Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно- технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система.
На основании модели деятельности организации был сформулирован перечень важных объектов защиты:
-персонал;
-автоматизированное рабочее место, на котором обрабатывается защищаемая информация.
Далее, были выделены наиболее существенные угрозы информационной безопасности и разработана модель угроз на основании документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)» ФСТЭК.
Подробное описание модели угроз приведено в пунктах 1.6.1., 1.6.2., 1.6.3.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
18 1.6.1. Угрозы несанкционированного доступа к информации
1.6.1.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
1.6.1.1.1. Кража ПЭВМ
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.
В здании учреждения здравоохранения введен круглосуточный контроль доступа в здание, который осуществляется частным охранным предприятием, двери, закрываются на замок, вынос компьютерный техники за пределы здания возможен только с разрешения охраны.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.2. Кража носителей информации
Угроза осуществляется путем НСД внешними и внутренними нарушителями к носителям информации.
В здании учреждения здравоохранения двери закрываются на замок, ведется учет и хранение носителей в сейфе.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.3. Кража атрибутов доступа
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где происходит работа пользователей.
В здании учреждения здравоохранения двери закрываются на замок, введена политика «чистого стола».
Вероятность реализации угрозы – маловероятна.
1.6.1.1.4. Кража, модификация, уничтожение информации
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн и средства защиты, а также происходит работа пользователей.
В здании учреждения здравоохранения, двери закрываются на замок.
Вероятность реализации угрозы – вероятна.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
19 1.6.1.1.5. Вывод из строя узлов ПЭВМ, каналов связи
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн и проходят каналы связи.
В здании двери закрываются на замок.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
В учреждении здравоохранения техническое обслуживание ПЭВМ осуществляется сотрудниками, подписавшими соглашение о неразглашении.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.7. Несанкционированное отключение средств защиты
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены средства защиты ИСПДн.
В здании учреждения здравоохранения двери закрываются на замок, пользователи ИСПДн проинструктированы о работе с ПДн.
Вероятность реализации угрозы – низкая вероятность.
1.6.1.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа
(НСД) с применением программно-аппаратных и программных средств
(в том числе программно-математических воздействий).
1.6.1.2.1. Действия вредоносных программ (вирусов)
Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой (вирусом) называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:
-скрывать признаки своего присутствия в программной среде компьютера;
-обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;
-разрушать (искажать произвольным образом) код программ в оперативной памяти;
-выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции
(копирования, уничтожения, блокирования и т.п.);
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
20
-сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
-искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
В учреждении установлено устаревшее антивирусное ПО
Вероятность реализации угрозы – вероятно.
1.6.1.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Разработку и сопровождение программного обеспечения ИСПДн осуществляет доверенная организация.
Вероятность реализации угрозы – маловероятна.
1.6.1.2.3. Установка ПО, не связанного с исполнением служебных обязанностей
Угроза осуществляется путем несанкционированной установки ПО внутренними нарушителями, что может привести к нарушению конфиденциальности, целостности и доступности всей ИСПДн или ее элементов.
Все пользователи проинструктированы о политике установки ПО и осуществляется контроль.
Вероятность реализации угрозы – средняя вероятность.
1.6.1.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п) характера
1.6.1.3.1. Утрата атрибутов доступа
Угроза осуществляется за счет действия человеческого фактора пользователей
ИСПДн, которые нарушают положения парольной политике в части их создания
(создают легкие или пустые пароли, не меняют пароли по истечении срока их жизни или компрометации и т.п.) и хранения (записывают пароли на бумажные носители, передают ключи доступа третьим лицам и т.п.) или не осведомлены о них.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
21
В учреждении введена парольная политика, предусматривающая требуемую сложность пароля, введена политика «чистого стола», осуществляется контроль за их выполнением, пользователи проинструктированы о парольной политике и о действиях в случаях утраты или компрометации паролей.
Вероятность реализации угрозы – средняя вероятность.
1.6.1.3.2. Непреднамеренная модификация
(уничтожение) информации сотрудниками
Угроза осуществляется за счет действия человеческого фактора пользователей
ИСПДн, которые нарушают положения принятых правил работы с ИСПДн или не осведомлены о них.
В учреждении резервное копирование обрабатываемых ПДн не осуществляется.
Вероятность реализации угрозы – высокая вероятность.
1.6.1.3.3. Непреднамеренное отключение средств защиты
Угроза осуществляется за счет действия человеческого фактора пользователей
ИСПДн, которые нарушают положения принятых правил работы с ИСПДн и средствами защиты или не осведомлены о них.
В учреждении двери закрываются на замок, осуществляется разграничение доступа к настройкам режимов средств защиты, пользователи проинструктированы о работе с ИСПДн.
Требуется установка ПАК для доверенной загрузки.
Вероятность реализации угрозы – высокая вероятность.
1.6.1.3.4. Выход из строя аппаратно-программных средств
Угроза осуществляется вследствие несовершенства аппаратно-программных средств, из-за которых может происходить нарушение целостности и доступности защищаемой информации.
В учреждении осуществляется резервирование ключевых элементов ИСПДн.
Вероятность реализации угрозы – средняя вероятность.
1.6.1.3.5. Сбой системы электроснабжения
Угроза осуществляется вследствие несовершенства системы электроснабжения, из-за чего может происходить нарушение целостности и доступности защищаемой информации.
В учреждении ко всем ключевым элементам ИСПДн подключены источники бесперебойного питания.
Вероятность реализации угрозы – маловероятна.
-получение письменного согласия субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4);
-уведомление субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4).
Уведомление об обработке персональных данных и письменное согласие субъекта персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон № 152-ФЗ ст. 22 п. 2, ст. 6 п. 2).
Таким образом, актуальность данной работы обусловлена необходимостью разработки защиты систем обработки персональных данных в учреждении здравоохранения.
Объектом выпускной квалификационной работы является учреждение здравоохранения.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
13
Предметом выпускной квалификационной работы является система обработки персональных данных в данном учреждении.
Целью дипломной работы является выбор и обоснование мер по защите системы обработки персональных данных.
В соответствии с поставленной целью необходимо решить следующие задачи:
-проанализировать информационную систему учреждения здравоохранения, с целью обоснования необходимости создания системы защиты системы обработки персональных данных;
-провести анализ и теоретическое обоснование выбора средств защиты информации;
-разработать проект по модернизации системы защиты обработки персональных данных в учреждении здравоохранения.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
14 1.АНАЛИЗ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ УЧРЕЖДЕНИЯ
ЗДРАВООХРАНЕНИЯ И СУЩЕСТВУЮЩИЕ ПРОБЛЕМЫ
1.1.Разработка технического паспорта
Для создания системы защиты информации было проведено предпроектное обследование учреждения здравоохранения, в результате которого был составлен технический паспорт (Приложение А).
В техническом паспорте приведен состав ОТСС, ВТСС, схемы их размещения, расположение линий коммуникаций, перечень установленных средств защиты информации и программного обеспечения.
В качестве объекта защиты была выбрана ИСПДн «ПАЦИЕНТЫ» учреждении здравоохранения.
1.2.Разработка модели деятельности
В ходе обследования работы ИСПДн «ПАЦИЕНТЫ» была построена модель деятельности (Приложение Ж). В этой схеме отражаются основные этапы технологического процесса обработки защищаемой информации от подготовки к обработке информации ограниченного доступа до сохранения результатов.
Данная модель необходима для выявления потоков информации ограниченного доступа.
1.3.Выявление защищаемой информации
В результате проведенного предпроектного обследования, ознакомления с информацией ограниченного доступа и организационно-распорядительной документацией была выявлена следующая защищаемая информация:
Перечень персональных данных, подлежащих защите в системе обработки персональных данных «ПАЦИЕНТЫ» № 391 от 10.05.2016 г.
В рамках данной ВКР был разработан перечень персональных данных
(Приложение В).
1.4.Описание информационной системы
ИСПДн «ПАЦИЕНТЫ» - информационная система, представляющая собой универсальное решение для автоматизации деятельности стационаров и поликлиник. Автоматизируя процессы в поликлиниках и стационарах, система позволяет осуществлять обмен данными между медицинскими учреждениями, а также централизованный сбор показателей со всей сети медучреждений.
Система поддерживает эффективное взаимодействие персонала медицинского учреждения и обеспечивает прозрачность его работы для руководства, позволяет накапливать и выдавать в виде отчётов статистические данные по пациентам, врачам и ЛПУ в целом.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
15
Система имеет централизованную базу данных с предоставлением удаленного защищенного доступа для пользователей. Работа пользователей в системе осуществляется в режиме тонкого клиента через Web-браузер, функционирующего в различных операционных средах Microsoft Windows, Mac OS, Unix (Linux).
Система организована по принципу трехзвенной архитектуры: Webбраузер, Web- сервер и сервер базы данных.
При появлении нового пациента в учреждении здравоохранения, оператор делает запрос в ФОМС, откуда высылаются паспортные данные пациента.
Дополнительно в ИСПДн «ПАЦИЕНТЫ» следующие данные о пациенте:
-сведения о родственниках;
-место работы;
-диагноз;
-направление на лечение и обследование.
При повторном посещении пациентом учреждения здравоохранения оператор имеет право вносить изменения в карту пациента.
Под оператором понимается человек способный вести регистрацию больных, обратившихся в медицинскую организацию для получения медицинских услуг.
В данном учреждении здравоохранения оператором является лицо имеющее право доступа к ИСПДн «ПАЦИЕНТЫ».
Система защиты информации в ИСПДн «ПАЦИЕНТЫ» в учреждении здравоохранения основана на использовании организационных, правовых и программно-аппаратных мер.
Организационные меры включают в себя инструкции администратора, инструкции пользователей, инструкцию по эксплуатации СЗИ, инструкцию по антивирусной, инструкцию по парольной защите, инструкцию по резервированию, журнал учета лиц, журнал учета машинных носителей.
В рамках ВКР была разработана инструкция по антивирусной защите
(Приложение Г). Инструкции администратора, инструкции пользователей, инструкция по эксплуатации СЗИ, инструкция по парольной защите, инструкция по резервированию, журнал учета лиц, журнал учета машинных носителей ранее существовали на предприятии.
Правовые меры включают в себя нормативно-правовые документы, регулирующие деятельность организации в области обеспечения защиты информации:
-базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) [1];
-методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [6];
-Федеральный закон «О персональных данных» [15];
-Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [7];
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
16
-руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации» [8].
-Федеральный закон «О персональных данных» — [10].
Программно-аппаратные меры включают в себя комплекс программно- аппаратных средств, обеспечивающих работу автоматизированной системы и ее защиту. В рамках ВКР была проведена инвентаризация автоматизированной системы, результаты которой представлены в Таблицах 1 и 2.
Таблица 1 – Аппаратное обеспечение
Наименование устройства
Фирма производитель, модель
Заводской
/ инвентаризационный номер
1 2
3
ОТСС
Системный блок
InWin
16112060900152
Монитор
LG L1942S-BF
907NDBP3G709
Клавиатура
Genius K639
ZM7902171374
Мышь
A4-Tech OP-620D
0907
ИБП
APC SmartuPS 500
QS0614121487
ВТСС
Системный блок
InWin
619G109000187
Монитор
Samsung
SyncMaster 720 NA
GS17HVFLA00045F
Клавиатура
Oklick 320M
3922302126
Мышь
Genius GM-0003A
X62405206687
МФУ
Canon MF3110
VZN81841
Системный блок
InWin
16221034300108
Монитор
LG
BEJE2241SX
Клавиатура
Logitech-k200
SY1464K
Мышь
Logitech B110
LZ137HR21NP
Телефонный аппарат
LG GS0472H
Телефонный аппарат
LG GS0472H
Датчик пожарной сигнализации б/н
Датчик пожарной сигнализации б/н
Коммутатор
D-link DES-1005D
B12D449021069
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
17
Таблица 2 – Программное обеспечение
Наименование
Версия
Microsoft Windows 7 Professional SP1 6.1.7601.17514 7-zip
9.20.00.0
VipNet Client 3 3.2
Kaspersky Anti-Virus 2014 14.2.5.01 1.5.Выявление объектов защиты
На основе перечня защищаемой информации, изучения модели деятельности и технологического процесса обработки информации были выявлены объекты защиты и составлен их перечень:
-автоматизированное рабочее место, на котором обрабатывается защищаемая информация;
-средства ввода-вывода и отображения информации;
-система бесперебойного питания АРМ;
-линии и средства связи, системы обеспечения функционирования СВТ и деятельности организации;
-носители информации;
-персонал.
Более подробно перечень объектов защиты представлен в Приложении А.
1.6.Разработка модели угроз и уязвимостей для важных объектов защиты
Модель угроз безопасности информации, учитывая особенности информационной системы, используемые в ней программные, программно- технические, технические средства и процессы обработки информации, дает описание угроз безопасности, которым подвержена информационная система.
На основании модели деятельности организации был сформулирован перечень важных объектов защиты:
-персонал;
-автоматизированное рабочее место, на котором обрабатывается защищаемая информация.
Далее, были выделены наиболее существенные угрозы информационной безопасности и разработана модель угроз на основании документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)» ФСТЭК.
Подробное описание модели угроз приведено в пунктах 1.6.1., 1.6.2., 1.6.3.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
18 1.6.1. Угрозы несанкционированного доступа к информации
1.6.1.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
1.6.1.1.1. Кража ПЭВМ
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн.
В здании учреждения здравоохранения введен круглосуточный контроль доступа в здание, который осуществляется частным охранным предприятием, двери, закрываются на замок, вынос компьютерный техники за пределы здания возможен только с разрешения охраны.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.2. Кража носителей информации
Угроза осуществляется путем НСД внешними и внутренними нарушителями к носителям информации.
В здании учреждения здравоохранения двери закрываются на замок, ведется учет и хранение носителей в сейфе.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.3. Кража атрибутов доступа
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где происходит работа пользователей.
В здании учреждения здравоохранения двери закрываются на замок, введена политика «чистого стола».
Вероятность реализации угрозы – маловероятна.
1.6.1.1.4. Кража, модификация, уничтожение информации
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн и средства защиты, а также происходит работа пользователей.
В здании учреждения здравоохранения, двери закрываются на замок.
Вероятность реализации угрозы – вероятна.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
19 1.6.1.1.5. Вывод из строя узлов ПЭВМ, каналов связи
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИСПДн и проходят каналы связи.
В здании двери закрываются на замок.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ
В учреждении здравоохранения техническое обслуживание ПЭВМ осуществляется сотрудниками, подписавшими соглашение о неразглашении.
Вероятность реализации угрозы – маловероятна.
1.6.1.1.7. Несанкционированное отключение средств защиты
Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены средства защиты ИСПДн.
В здании учреждения здравоохранения двери закрываются на замок, пользователи ИСПДн проинструктированы о работе с ПДн.
Вероятность реализации угрозы – низкая вероятность.
1.6.1.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа
(НСД) с применением программно-аппаратных и программных средств
(в том числе программно-математических воздействий).
1.6.1.2.1. Действия вредоносных программ (вирусов)
Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой (вирусом) называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:
-скрывать признаки своего присутствия в программной среде компьютера;
-обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;
-разрушать (искажать произвольным образом) код программ в оперативной памяти;
-выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции
(копирования, уничтожения, блокирования и т.п.);
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
20
-сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
-искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
В учреждении установлено устаревшее антивирусное ПО
Вероятность реализации угрозы – вероятно.
1.6.1.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Разработку и сопровождение программного обеспечения ИСПДн осуществляет доверенная организация.
Вероятность реализации угрозы – маловероятна.
1.6.1.2.3. Установка ПО, не связанного с исполнением служебных обязанностей
Угроза осуществляется путем несанкционированной установки ПО внутренними нарушителями, что может привести к нарушению конфиденциальности, целостности и доступности всей ИСПДн или ее элементов.
Все пользователи проинструктированы о политике установки ПО и осуществляется контроль.
Вероятность реализации угрозы – средняя вероятность.
1.6.1.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п) характера
1.6.1.3.1. Утрата атрибутов доступа
Угроза осуществляется за счет действия человеческого фактора пользователей
ИСПДн, которые нарушают положения парольной политике в части их создания
(создают легкие или пустые пароли, не меняют пароли по истечении срока их жизни или компрометации и т.п.) и хранения (записывают пароли на бумажные носители, передают ключи доступа третьим лицам и т.п.) или не осведомлены о них.
ЮУрГУ – 10.03.01.2018.097.ПЗ ВКР
Лист
21
В учреждении введена парольная политика, предусматривающая требуемую сложность пароля, введена политика «чистого стола», осуществляется контроль за их выполнением, пользователи проинструктированы о парольной политике и о действиях в случаях утраты или компрометации паролей.
Вероятность реализации угрозы – средняя вероятность.
1.6.1.3.2. Непреднамеренная модификация
(уничтожение) информации сотрудниками
Угроза осуществляется за счет действия человеческого фактора пользователей
ИСПДн, которые нарушают положения принятых правил работы с ИСПДн или не осведомлены о них.
В учреждении резервное копирование обрабатываемых ПДн не осуществляется.
Вероятность реализации угрозы – высокая вероятность.
1.6.1.3.3. Непреднамеренное отключение средств защиты
Угроза осуществляется за счет действия человеческого фактора пользователей
ИСПДн, которые нарушают положения принятых правил работы с ИСПДн и средствами защиты или не осведомлены о них.
В учреждении двери закрываются на замок, осуществляется разграничение доступа к настройкам режимов средств защиты, пользователи проинструктированы о работе с ИСПДн.
Требуется установка ПАК для доверенной загрузки.
Вероятность реализации угрозы – высокая вероятность.
1.6.1.3.4. Выход из строя аппаратно-программных средств
Угроза осуществляется вследствие несовершенства аппаратно-программных средств, из-за которых может происходить нарушение целостности и доступности защищаемой информации.
В учреждении осуществляется резервирование ключевых элементов ИСПДн.
Вероятность реализации угрозы – средняя вероятность.
1.6.1.3.5. Сбой системы электроснабжения
Угроза осуществляется вследствие несовершенства системы электроснабжения, из-за чего может происходить нарушение целостности и доступности защищаемой информации.
В учреждении ко всем ключевым элементам ИСПДн подключены источники бесперебойного питания.
Вероятность реализации угрозы – маловероятна.