ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 281
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
| объекте видеонаблюдения. Видеонаблюдение предназначено для контроля сотрудников, имеющих доступ к информации ограниченного доступа, а также для выявления несанкционированного проникновения в помещение с конфиденциальной информацией. Для устранения четвёртой проблемы необходимо установить специальное программно-аппаратное средство защиты информации. Для этого необходимо сравнить сертифицированные СЗИ от НСД. Сравнение средств защиты представлено в таблице (Таблица 7). Таблица 7 – Сравнение средств защиты от НСД | ||||||||
| | Критерии сравнения | Secret Net 7 | Dallas Lock 8.0 – K | Страж NТ 4.0 | СЗИ Аура 1.2.4 | | ||
| Класс защищенно- сти | По 3 классу защищенно- сти | По 5 классу защищенно- сти | По 3 классу защищенно- сти | По 5 классу защищенно- сти | ||||
| Уровень контроля НДВ | По 2 уровню контроля | По 4 уровню контроля | По 2 уровню контроля | По 4 уровню контроля | ||||
| Класс автоматизи- рованных систем | До класса 1Б включитель- но | До класса 1Г включитель- но | До класса 1 Б включитель- но | До класса 1Г включи- тельно | ||||
| Совместимость с Windows 7 Professional | Да | Да | Да | Да | ||||
| Наличие сертифи- ката ФСТЭК (дата окончания) | 07.09.2018 | 25.09.2018 | 20.04.2019 | 26.12.2017 | ||||
| Стоимость (руб.) | 7425 | 7500 | 7500 | 4000 | ||||
| Стоимость техни- ческой поддержки в год (руб.) | 1485 | 0 | 0 | 0 | ||||
| Таким образом, на основании данного анализа СЗИ от НСД было выбрано СЗИ "Аура 1.2.4". Данный выбор был связан с низкой стоимостью продукта и удовлетворением функциональными возможностями продукта. СЗИ "Аура 1.2.4" позволяет обеспечить идентификацию и аутентификацию автоматизированных рабочих мест сотрудников, а также разграничить доступ к устройствам и защищаемой информации, путем применения политики доступа. Скриншоты настроек представлены в приложении (Приложение И). | ||||||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | ||||||
| 30 | ||||||||
| 2.3.2. Угрозы несанкционированного доступа по каналам связи У данного вида угрозы выявлены следующие уязвимости: - анализ сетевого трафика; - сканирование сети; - выявление паролей; - получение НСД путем подмены доверенного объекта; - отказ в обслуживании. Первые две проблемы связанными с анализом сетевого трафика и сканированием сети имеют малую вероятность реализации. Это связано с тем, что в организации установлен антивирус, включающий в себя защиту от данных уязвимостей. Таким образом, в рамках ВКР устранение данных уязвимостей не требуется. Проблему связанной с выявлением паролей можно устранить путем реализации одноразовых паролей. Данный способ является эффективным от подсматривания паролей другими сотрудниками. Четвёртая уязвимость может быть ликвидирована путём грамотной настройки управлением доступа. Уязвимость типа отказа в обслуживании могут сделать сеть организации недоступной. Таким образом во избежание этого необходимо настроить виртуальную внутреннюю сеть, позволяющей ликвидировать выявленную уязвимость. | ||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист |
| 31 | ||
| ВЫВОДЫ ПО ВТОРОЙ ГЛАВЕ На основании выявленных угроз информационной безопасности в организации ООО “Диджитер”, в рамках ВКР, был разработан комплекс мероприятий, направленных на минимизацию вероятности реализации выявленных угроз: - от угрозы, связанной с разглашением, копированием, хищением информации ограниченного доступа: разработка организационно-распорядительной документации по защите информации, составляющей коммерческую тайну в организации; проведение беседы с сотрудниками организации для ознакомления под расписку с требованиями по работе с защищаемой информации. - от угрозы, связанной с уничтожением, модификацией, блокировкой, хищением носителей информации, АРМ сотрудников, серверного оборудования: установка средства контроля управлением доступа; проведение мероприятий по повышению информационной грамотности персонала; разработка инструкции по работе с АРМ и серверным оборудованием; нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна"; опломбировка системных блоков автоматизированных рабочих мест сотрудников и сервера, а так же назначение ответственного за их сохранность. - от угрозы, связанной с несанкционированным доступом к АРМ сотрудников: разработка матрицы доступа; внедрение в организации видеонаблюдения; установка СЗИ от НСД " Аура 1.2.4"; - от угрозы, связанной с несанкционированным доступом по каналам связи: использование одноразовых паролей; настройка управления доступом; настройка виртуальной внутренней сети организации. Результаты теоретического обоснования выбора средств защиты для реализации КСЗИ ООО “Диджитер”, легли в основу разработки проекта. | ||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист |
| 32 | ||
Компания ООО «Диджитер» является поставщиком компьютеров и оргтехники для корпоративных клиентов и государственных структур. Таким образом, в организации циркулирует большое число потоков защищаемой информации. Потоки защищаемой информации (Таблица 8). Таблица 8 – Потоки защищаемой информации | |||||
| | Входящие | Исходящие | | ||
| Документооборот с клиентами | |||||
| Заявки от контрагентов; Информация о контрагентах; Информация о закупках; Информация от дистрибьютеров; | Отчёты о продажах; Договора постав- ки; Отчёты о задолженностях покупа- телей; Отчёты о прибылях/убытках; | ||||
Проект системы защиты информации разработан согласно утвержденному техническому заданию на создание КСЗИ ООО “Диджитер” (Приложение Д). Для реализации поставленных задач, необходима разработка комплекса организационных, инженерно – технических и программно – аппаратных мер. Построенная матрица ответственности решает задачи по установлению ответственных лиц за выполнение определённого этапа работы. Результатом данного проекта будет являться созданная КСЗИ, включающая в себя внедрение программных и инженерно – технических средств, разработку необходимых документов, соответствующих требованиям нормативно-правовых актов и удовлетворяющих поставленным задачам.
Целями создания КСЗИ ООО “Диджитер” являются: | |||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | |||
| 33 | |||||
| - предотвращение разглашения, копирования, хищения, уничтожения, модификации, искажения информации ограниченного доступа; - защита информации составляющей коммерческую тайну в соответствии с законодательством. 3.4. Объект и поставки 3.4.1. Организационно – распорядительная документация В данном проекте предусмотрено создание необходимых документов в области информационной безопасности: - перечень сведений, составляющих коммерческую тайну ООО “Диджитер” (Приложение Г); - положение о коммерческой тайне (Приложение В); - приказ об утверждении перечня сведений, составляющих коммерческую тайну (Приложение Е); - приказ об утверждении положения о коммерческой тайне (Приложение Е). 3.4.2. Программно – аппаратные и инженерно – технические меры При создании КСЗИ необходимо приобрести и внедрить следующие программно – аппаратные и инженерно – технические средства, представленные в таблице (Таблица 9). | ||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист |
| 34 | ||
| Таблица 9 – Средства защиты информации | |||||
| | Наименование СЗИ | Предприятие – поставщик | | ||
| СЗИ от НСД « Аура 1.2.4» | СПИИРАН | ||||
| Комплект видеонаблюдения «ЭкоЛайн Dome-204» включающий в себя:
| ООО «Системы видеонаблюдения» | ||||
| Средство контроля управления досту- пом включающее в себя:
| |||||
| 3.4.3. Обучение персонала Необходимые тренинги сотрудников по обучению новым требованиям к защите информации с разъяснением важности введения организационно- распорядительных документов, предусмотренных проектом, а также программно- аппаратных решений. 3.5. Риски реализации проекта Важным условием для внедрения проекта по созданию комплексной системы защиты информации ООО “Диджитер”, является расчёт рисков. Для расчётов уровня рисков воспользуемся формулой: n CTh 1 (1 Th) i1 | |||||
| | ЮУрГУ–10.05.05.2017.350.ПЗВКР | Лист | |||
| 35 | |||||