Файл: Разработка модели системы информационной безопасности на предприятии.docx

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 30.11.2023

Просмотров: 221

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

АКТУАЛЬНОСТЬ

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

1.1. Описание предприятия

1.2. Состав аппаратных и программных средств и структура сети

1.3. Анализ информационных потоков

1.4. Анализ информационных ресурсов

1.5. Физическая безопасность объектов (охрана)

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1. Классификация и анализ источников угроз и уязвимостей безопасности

2.2. Модель нарушителя

2.3. Определение актуальных угроз информационной системы

2.4. Определение класса защищенности информационной системы

ЗАКЛЮЧЕНИЕ

Для выполнения данной выпускной квалификационной работы были выполнены следующие задачи:

Все поставленные цели выполнены. Разработанная политика безопасности может быть развита, в соответствии с развитием технологий и потенциальных угроз.

Список литературы

Приложение 1


В результате анализа исходной защищенности учреждения и матрицы актуальности угроз были определены угрозы, характерные для данного учреждения, и их актуальность по следующему плану: угроза (вероятность осуществления угрозы; реализуемость угрозы; оценка опасности угрозы) – актуальная/неактуальная.

  1. Несанкционированный доступ на территорию учреждения, к аппаратным объектам, документации (низкая вероятность (2); средняя реализуемость (0,35); высокая опасность) – актуальная;

  2. Хищение или порча оборудования автоматизированной системы (маловероятно(0); низкая реализуемость (0,25); высокая опасность) – актуальная;

  3. Неумышленное уничтожение и модификация информации (средняя вероятность(5); средняя реализуемость(0,5); высокая опасность) – актуальная;

  4. Кража бумажных информационных ресурсов (маловероятно (0); низкая реализуемость (0,25); средняя опасность) – неактуальная;

  5. Утечка конфиденциальных данных через мобильные девайсы и ноутбуки (маловероятно (0); низкая реализуемость (0,5); средняя опасность) – неактуальная;

  6. Непреднамеренное превышение прав использования оборудования по причине отсутствия соответствующих знаний (средняя вероятность (5); средняя реализуемость (0,5); средняя опасность) – актуальная;

  7. Перехват передаваемой информации путем сканирования сетевого трафика (низкая вероятность(2); средняя реализуемость (0,35); высокая опасность) – актуальная;

  8. Установка посторонних вредоносных программ (низкая вероятность (2); средняя реализуемость (0,35); средняя опасность) – актуальная;

  9. Изменение конфигурации программных компонентов (средняя вероятность (5); средняя реализуемость (0,5); высокая опасность) - актуальная;

  10. Уничтожение или изменение регистрационных данных пользователей (маловероятно (0); низкая реализуемость (0,25); низкая опасность) - неактуальная;

  11. Непреднамеренное раскрытие конфиденциальной информации сотрудниками (высокая вероятность (10); высокая реализуемость (0,75); высокая опасность) – актуальная;

  12. Различного рода излучения, которые могут повлиять на работоспособность технических средств (маловероятно (0); низкая реализуемость (0,25); средняя опасность) – неактуальная;

  13. Отказ и сбой сетевого оборудования (средняя вероятность (5); средняя реализуемость (0,5); средняя опасность) – актуальная;

  14. Уничтожение данных по причине ошибок или сбоя аппаратного и программного обеспечения (средняя вероятность (5); средняя реализуемость (0,5); высокая опасность) – актуальная;

  15. Программные закладки (низкая вероятность (2); средняя реализуемость (0,35); средняя опасность) – актуальная;

  16. Использование чужих регистрационных данных для входа в информационные службы (средняя вероятность (2); средняя реализуемость (0,35); высокая опасность) – актуальная;

  17. Нарушение режимных и охранных мер (низкая вероятность (2); средняя реализуемость (0,35); средний ущерб) – актуальная;


Проанализировав актуальные угрозы, можно сделать вывод, что все они устраняемые посредством технических и организационных мер. В таблице 6 представлены меры борьбы с актуальными угрозами, которые могут быть использованы в университете для защиты данных.

Таблица 6. Методы борьбы с актуальными угрозами

Актуальная угроза

Технические меры борьбы с угрозой

Организационные меры борьбы с угрозой

Несанкционированный доступ к аппаратным объектам с возможностью хищения или порчи оборудования

-охранная сигнализация и видеонаблюдение;


- кодовый замок – блокиратор на вход в помещение с серверами;

- охранно – пропускной режим;


- контроль средств обработки информации;

Неумышленное уничтожение или модификация информации сотрудниками

- использование средств защиты и резервного копирования данных;

- Инструктаж сотрудников;

Непреднамеренное превышение прав использования оборудования по причине отсутствия соответствующих знаний

- использование средств защиты от несанкционированного доступа;

- инструктаж сотрудников;


- разграничение прав доступа;

Перехват сетевого трафика

- шифрование данных;


- использование межсетевого экрана;

- инструктаж администратора безопасности;


- учет средств защиты данных;

Установка вредоносного ПО и изменение конфигурации ПО

- использование средств антивирусной защиты;

- инструктаж сотрудников;


-инструктаж администратора безопасности;

Непреднамеренное раскрытие конфиденциальной информации сотрудниками


- инструктаж сотрудников;


- составление акта о неразглашении;

Отказ и сбой сетевого оборудования с последующим уничтожением информации

-использование источников бесперебойного писания;


-использование сертифицированного аппаратного и программного обеспечения;

-резервное копирование данных;

- инструктаж системного администратора;



Программные закладки

- использование сертифицированного ПО;


- использование средств антивирусной защиты;

- инструктаж сотрудников;


-инструктаж администратора;

Использование чужих регистрационных данных для входа в информационные службы


-инструктаж сотрудников;


-инструктаж администратора безопасности;


Методы борьбы с угрозами, указанные в таблице, будут учтены и использованы при разработке политики безопасности университета.

2.4. Определение класса защищенности информационной системы


Для разработки эффективной системы безопасности учреждения необходимо определить класс защищенности исходной системы. Для этого был проведен анализ информационной системы и получены следующие результаты:

  • Система обрабатывает информацию разных уровней конфиденциальности;

  • В системе обрабатываются данные с грифом «секретно»;

  • Информационная система является многопользовательской;

  • Права доступа пользователей к данным разграничены;

Проанализировав полученные результаты, можно сделать вывод, что информационная система относится к классу защищенности 1В. На основании этого в соответствии с Руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» в приложении 1 представлены требования к системе.14



















  1. РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

    1. Анализ на соответствие стандартам и существующим политикам


Проанализировав актуальные стандарты и «лучшие практики» в сфере информационной безопасности и сопоставив полученные результаты с системой безопасности развернутой в ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет», можно сказать, что существующая система со средней защищенностью персональных данных в целом соответствует требованиям и нормативных документов, но в частности имеет некоторые пробелы.

Исходная информационная система имеет достаточно высокую защиту со стороны программно – аппаратного обеспечения. В системе хорошо организованы процедуры авторизации и доступа. Также система защищена от вирусных атак и постоянно контролируется. Технические средства, обеспечивающие циркуляцию информации, хорошо охраняются. Однако существуют и некоторые пробелы, которые необходимо заполнить.

При значительной аппаратно – программной защите, организационные методы практически отсутствуют. Хотя, в соответствии с ГОСТ Р ИСО/МЭК 17799 – 2005, организационные средства должны обеспечивать защиту в той же мере, что и технические.15 Лидеры информационных технологий рекомендуют включать в политику информационной безопасности организационную защиту: расширение знаний сотрудников в области информационной безопасности, реагирование на инциденты и нарушения и др.


В соответствии полученными данными, необходимо усовершенствовать исходную систему безопасности будем внедрения некоторых аппаратно – программных средств и введения такого понятия как «организационные методы защиты».
    1. Разработка политики информационной безопасности


  1. Общие сведения

    1. Наименование

Система информационной безопасности ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»

  1. Цели и назначение проектирования системы

    1. Цели проектирования системы

  • Обеспечение защиты субъектов информационной системы университета от несанкционированного доступа внешних нарушителей;

  • Разделение пользователей информационной системы университета и присвоение им соответствующих прав доступа и действий;

  • Обеспечение защиты от модификации и уничтожения конфиденциальной информации соответствующих управлений;

  • Расширение теоретических знаний сотрудников университета в области информационной безопасности с целью минимизации антропогенных угроз;

  • Своевременное определение угроз безопасности объектам и субъектам информационной системы университета, их ликвидация и реализация плана действий при возникновению последующих угроз;

  • Обеспечение постоянного контроля режима безопасности информационной системы, с целью предоставления непрерывного доступа к информационным службам университета для поддержания деятельности;

  • Реализация мер защиты от вирусных атак;

  • Разработка и последующие сохранение условий для минимизации нарушений и ущерба системе информационной безопасности университета.

    1. Назначение проектируемой системы

Проектируемая система информационной безопасности разрабатывается с целью обеспечения комплексной защиты объектов информационной системы университета, посредством усовершенствования исходной системы. Проектируемая политика соответствует нормативным актам и требованиям.

  1. Характеристики объекта защиты

ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет» является государственным учреждением с распределенной многопользовательской структурой с разграничением доступа к информационным службам.

  1. Требования к системе


Система должна соответствовать стандартам и нормативным документам в области информационной безопасности и обеспечивать защиту на:

  • Организационном уровне;

  • Программном уровне;

  • Техническом уровне.

  1. Объекты защиты

    1. Перечень информационных порталов

Данный перечень разрабатывается на основании обследования информационной системы университета.

    1. Перечень физических объектов защиты:

  • Рабочая станция администратора системы;

  • Серверы баз данных;

  • Обрабатываемые данные управлений университета, не подлежащие для публичного доступа;

  • Программные и аппаратные средства обработки информации;

  • Действующая система защиты;

  • Каналы обмена данными;

  • Локальные вычислительные сети.

  1. Классификация пользователей системы информационной безопасности

Пользователь – лицо, использующее информационную систему и результаты её работы. Все выделенные пользователи имеют доступ к ресурсам информационной системы в соответствии с определенными правилами и обязанностями. Пользователей учреждения можно разделить на:

  • Руководство – сотрудники университета, обеспечивающие выполнение правил и принципов существующей политики информационной безопасности;

  • Администратор информационной системы – сотрудники университета, конфигурирующие, внедряющие дополнительные модули и контролирующие информационную систему;

  • Администратор информационной безопасности – сотрудники университета, обеспечивающие целостность ресурсов, циркулирующих в информационной системе;

  • Пользователи информационной системы – лица университета (персонал управлений, преподаватели и сотрудники), эксплуатирующие информационную систему и имеющие идентификационные данные для доступа к разрешенным данным.

  1. Требования к функционалу в соответствии с классом защищенности

    1. Подсистема управления доступом

  • Должны быть реализованы механизмы аутентификации пользователя при попытке входа в информационные службы;

  • Основные атрибуты пользователя: идентификатор, профиль и управление/отдел/подразделение;

  • Основные права доступа: чтение, запись, выполнение;

  • Атрибуты пользователя не должны распространяться;

  • Права доступа имеют только авторизованные пользователи;

  • Пользователи имеют доступ к рабочим станциям в соответствии с регламентом учреждения;

  • Управление потоками данных осуществляется в соответствии с грифом конфиденциальности данных.