Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Пермский национальный исследовательский политехнический университет
Кафедра Автоматики и Телемеханики
Курсовая работа по дисциплине
«Технологии построения защищённых автоматизированных систем»
на тему «Разработка АС в защищенном исполнении»
Выполнил:
Студент группы КОБ-09
Кырнаев А.В.
Проверил:
КТН, доцент
Шабуров А.С.
Пермь 2013 г.
Оглавление
Введение………………………………………………………………………………..3
Классификация АС……………………………………………………..……………...4
Требования по защите информации от НСД для АС………………………………..5
Классификация ИСПДн……...……………………………………..…………………7
Частная модель угроз информационной безопасности……………...……………...9
Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных…………………….………………….……9
Порядок создания АС в защищенном исполнении………………………………....11
Пример автоматизированной системы в защищенном исполнении……………....15
Заключение……………………………………………………………..……………..16
Список использованных источников………………………………………………..17
Приложение 1…………………………………………………………………………18
Приложение 2…………………………………………………………………………19
Приложение 3…………………………………………………………………………20
Приложение 4…………………………………………………………………………24
Приложение 5…………………………………………………………………………29
Приложение 6…………………………………………………………………………32
Введение
В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену "информационного фактора".
Широкое внедрение персональных ЭВМ вывело уровень "информатизации" деловой жизни на качественно новую ступень. Ныне трудно представить себе фирму или предприятие (включая самые мелкие), которые не были бы вооружены современными средствами обработки и передачи информации. В ЭВМ на носителях данных накапливаются значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей большую ценность
для ее владельца.
Проблемы защиты информации в автоматизированных системах с годами не теряют своей актуальности. Это объясняется тем, что накапливаемая, хранимая и обрабатываемая в АС информация является достаточно уязвимой как с точки зрения опасности ее искажения или уничтожения, так и с точки зрения несанкционированного доступа к ней лиц, не имеющих на это полномочий.
Цель курсовой работы:
Классификация АС
Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
Основными этапами классификации АС являются:
1. разработка и анализ исходных данных;
2. выявление основных признаков АС, необходимых для классификации;
3. сравнение выявленных признаков АС с классифицируемыми;
4. присвоение АС соответствующего класса защиты информации от НСД.
Необходимыми исходными данными для проведения классификации конкретной АС являются:
1. перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
|
Вариант № |
Хпд |
Хнпд |
АРМ |
ЛС |
РАИС |
Подключение СМИО |
Объектов (зданий) |
Действия (R, W, mod) |
Доступ (огр., не огр.) |
Количество баз (Инт., неинт.) |
Обезличивание (об.в, об.н.необ.) |
Объем передачи (вся, часть, н.п.) |
|
4 |
фио, пасп, фин. |
1500 |
+ |
- |
2 |
R,W |
огр. |
Не инт. |
об.в. |
вся |
Моя автоматизированная система относится к первой группе.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Требования по защите информации от НСД для АС
Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
Требования к АС
Обозначения:
" - " - нет требований к данному классу;
" + " - есть требования к данному классу.
Таблица 1
|
Подсистемы и требования |
Кл. |
|
1Г |
|
|
1. Подсистема управления доступом |
|
|
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: |
|
|
в систему |
+ |
|
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ |
+ |
|
к программам |
+ |
|
к томам, каталогам, файлам, записям, полям записей |
+ |
|
2. Подсистема регистрации и учета |
|
|
2.1. Регистрация и учет: |
|
|
входа (выхода) субъектов доступа в (из) систему (узел сети) |
+ |
|
выдачи печатных (графических) выходных документов |
+ |
|
запуска (завершения) программ и процессов (заданий, задач) |
+ |
|
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи |
+ |
|
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей |
+ |
|
2.2. Учет носителей информации |
+ |
|
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей |
+ |
|
3. Подсистема обеспечения целостности |
|
|
3.1. Обеспечение целостности программных средств и обрабатываемой информации |
+ |
|
3.2. Физическая охрана средств вычислительной техники и носителей информации |
+ |
|
3.4. Периодическое тестирование СЗИ НСД |
+ |
|
3.5. Наличие средств восстановления СЗИ НСД |
+ |
Продолжение таблицы 1
Руководящий документ: «Автоматизированные системы. Защита от несанкционированного доступа к информации
Классификация автоматизированных систем и требования по защите информации
Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.»
Классификация ИСПДн
Согласно Постановлению Правительства РФ от 1 ноября 2012 г. N 1119, установлены требования к защите персональных данных при их обработке в информационных системах, и введены 3 типа актуальных угроз от которых зависит требуемый уровень защищенности.
Под актуальными угрозами понимаются условия и факторы, создающие опасность несанкционированного доступа к персональным данным(в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, копированы, предоставлены или распространены.
Угрозы 1-го типа - угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспечении.
Угрозы 2-го типа - актуальны угрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспечении.
Угрозы 3-го типа - актуальны угрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении.
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности.
Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-ого уровня защищенности необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 3-ого уровня защищенности, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных 2-ого уровня защищенности, необходимо выполнение следующих требований:
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным;
Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Таблица 2
Соотношение типа угроз/уровня защищенности/и типа обрабатываемой информации:
|
Угрозы 1-го типа |
Угрозы 2-го типа |
Угрозы 3-го типа |
|
|
4 уровень защищенности |
Информационная система обрабатывает:
|
||
|
3 уровень защищенности |
Информационная система обрабатывает:
|
Информационная система обрабатывает:
|
|
|
2 уровень защищенности |
Информационная система обрабатывает:
|
Информационная система обрабатывает:
|
Информационная система обрабатывает:
|
|
1 уровень защищенности |
Информационная система обрабатывает:
|
Информационная система обрабатывает:
|
Частная модель угроз информационной безопасности
Частная модель угроз информационной безопасности составляется на основании методики определения актуальных угроз. Определение коэффициента исходной защищённости показано в приложении 3.
Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах
Согласно СТР-К (5раздел) предусмотрены основные меры защиты информации:
1. Документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
2. Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
3. Ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
4. Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
5. Регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
6. Учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
7. Использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
8. Необходимое резервирование технических средств и дублирование массивов и носителей информации;
9. Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
10. Использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
11. Использование сертифицированных средств защиты информации;
12. Размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
13. Размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
14. Развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
15. Электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
16. Использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;
17. Размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
18. Организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
19. Криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
20. Предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
Порядок создания АС в защищенном исполнении
Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении
Таблица 3
|
ГОСТ 34.601 |
Типовое содержание работ по защите информации |
||
|
Стадия |
Этап работы |
||
|
1 Формиро вание требова ний к АС |
1.1 Обследование объекта и обоснование необходимости создания АСЗИ |
Сбор данных о проводимых работах на объекте инфор матизации по обработке информации различной степени секретности. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275. Оценка целесообразности создания АСЗИ |
|
|
1.2 Формирование требова ний пользователя к АСЗИ |
Подготовка исходных данных для формирования требо ваний по ЗИ на АС и процессов ее создания и эксплуата ции. Разработка предварительных требований к СиЗИ на АСЗИ |
||
|
1.3 Оформление отчета о выполняемой работе и заявки на разработку АСЗИ |
Разработка предложений по ЗИ в отчетной НД. Оформ ление отчета о выполненных работах по ЗИ на данных ста диях. Оформление предложений по ЗИ в заявку на разра ботку АСЗИ. Формирование предложений по ЗИ в ТЗ на АСЗИ |
||
|
2. Разработка концепции АС |
2.1 Изучение объекта |
Уточнение условий эксплуатации АСЗИ и категорий важности обрабатываемой информации. Формирование пе речня угроз защищаемой информации. Уточнение номенк латуры требований, предъявляемых к АСЗИ |
|
|
2.2 Проведение необходи мых НИР |
Поиск путей реализации требований по ЗИ в АС. Оцен ка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или раз делов по ЗИ в отчет о НИР по созданию АСЗИ |
||
|
2.3 Разработка вариантов концепции АС и выбор вари анта концепции АС |
Разработка альтернативных вариантов концепции ЗИ в АС и облика СиЗИ и процессов ее создания с учетом требо ваний [9]. Выбор оптимального варианта концепции ЗИ в АС (разработка замысла ЗИ в АС) и СиЗИ АС. Технико-экономическое обоснование выбранного варианта ЗИ в АС и процессов ее создания и эксплуатации |
||
|
Продолжение таблицы 3 |
|||
|
2.4 Оформление отчета о выполненной работе |
Подготовка и оформление отчета о выполненных рабо тах по ЗИ на данной стадии создания АС. Согласование кон цепции ЗИ в АС и предложений по вариантам СиЗИ в АС. Предложения по ЗИ в отчетную НД этапа работ. Согласова ние и получение заключения ФАПСИ на разработку ШС |
||
|
3 Техничес кое задание |
3.1 Разработка и утвержде ние технического задания на создание АСЗИ |
Разработка требований по ЗИ в раздел ТЗ (ЧТЗ) на со здание АСЗИ. Разработка, оформление, согласование и ут верждение ТЗ (ЧТЗ) на создание АСЗИ |
|
|
4 Эскизный проект |
4.1 Разработка предвари тельных проектных решений по системе в целом и ее час тям |
Разработка предварительных проектных решений АСЗИ. Технико-экономическое обоснование эффективности вари антов СиЗИ. Разработка ТЗ на СрЗИ и средства контроля эффективности ЗИ. Разработка требований на СрЗИ и сред ства контроля эффективности ЗИ и АС |
|
|
ГОСТ 34.601 |
Типовое содержание работ по защите информации |
||
|
Стадия |
Этап работы |
||
|
4 Эскизный проект |
4.2 Разработка документа ции на АСЗИ и ее части |
Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта АС в части ЗИ. Экспертиза документации отчетной научно-тех нической документации и технической документации |
|
|
Техничес кий проект |
5.1 Разработка проектных решений по системе в целом и ее частям |
Разработка СрЗИ и средств контроля. Разработка техни ческого проекта СиЗИ и предложений по ЗИ в техничес кий проект АСЗИ |
|
|
5.2 Разработка документа ции на АСЗИ и ее части |
Разработка рабочей документации и технического про екта СиЗИ АС. Разработка разделов технической докумен тации по ЗИ и/или отдельных документов по ЗИ в АС. Уча стие в экспертизе документации АСЗИ |
||
|
5.3 Разработка и оформле ние документации на постав ку изделий для комплектова ния АСЗИ |
Подготовка и оформление технической документации на поставку ТС и ПС для АС и СиЗИ. Поставка СрЗИ. Испы тания СрЗИ. |
||
|
Продолжение таблицы 3 |
|||
|
6 Рабочая документация |
6.1 Разработка рабочей до кументации на систему в це лом и ее части |
Участие в разработке рабочей конструкторской докумен тации АС в части учета требований по ЗИ. Разработка рабо чей конструкторской документации СиЗИ. Участие в экс пертизе рабочей конструкторской документации |
|
|
6.2 Разработка или адапта ция программ |
Разработка ПС АСЗИ, программных СрЗИ. Тестирова ние ПС. Сертификация ПС по требованиям безопасности информации |
||
|
7 Ввод в дей ствие |
7.1 Подготовка АСЗИ к вводу в действие |
Реализация проектных решений по организационной структуре СиЗИ АС и процесса. Требования к организаци онным мерам ЗИ |
|
|
7.2 Подготовка персонала |
Проверка способности персонала обеспечивать функци онирование АСЗИ и СиЗИ. Проверка специалистов службы безопасности АС по обслуживанию СиЗИ |
||
|
7.3 Комплектация АС по ставляемыми изделиями (ПС и ТС) |
Получение комплектующих изделий для СиЗИ. Провер ка качества поставляемых комплектующих изделий |
||
|
7.4 Строительно-монтаж ные работы |
Участие в работах по надзору за выполнением требова ний по ЗИ строительными организациями. Участие в испы таниях ТС по вопросам ЗИ. Проведение специсследований ТС |
||
|
7.5 Пуско-наладочные ра боты |
Проведение автономных наладок технических и про граммных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ |
||
|
ГОСТ 34.601 |
Типовое содержание работ по защите информации |
||
|
Стадия |
Этап работы |
||
|
7 Ввод в дей ствие |
7.6 Проведение предвари тельных испытаний |
Испытание СиЗИ на соответствие требованиям. Устра нение недостатков СрЗИ и СиЗИ. Внесение изменений в документацию на СиЗИ. Участие в испытаниях АСЗИ. Про ведение специсследований ТС. Аттестация АСЗИ |
|
|
7.7 Проведение опытной эксплуатации |
Эксплуатация СиЗИ. Анализ, доработка, наладка СиЗИ. Акт о завершении опытной эксплуатации СиЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ |
||
|
8 Сопровож дение АСЗИ |
8.1 Выполнение работ в соответствии с гарантийными обязательствами |
Устранение недостатков по ЗИ в процессе функциони рования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ |
|
|
8.2 Послегарантийное об служивание |
Анализ функционирования СиЗИ в АСЗИ. Установле ние причин невыполнения требований по ЗИ в АСЗИ. Вы явление недостатков. Устранение недостатков в СиЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполне нии |
Пример автоматизированной системы в защищенном исполнении
В помещениях находятся 3 рабочих места, объединенных в локальную сеть. Для защиты автоматизированной системы применены следующие технические и организационные средства и проведены строительно-монтажные работы:
- Рабочие места расположены так, чтобы исключить случайное или преднамеренное считывание информации с экранов мониторов
- На окнах установлены жалюзи для обеспечения защиты периметра от физического проникновения и просмотра данных вне помещения;
- На всех машинах установлено антивирусное программное обеспечение ESET NOD32 Titan;
- Так же для исключения выявления паролей на каждой из машин используется аппаратно-программный комплекс MyPasswordManager;
- На сервере установлено специализированное лицензионное программное обеспечение ESET NOD32;
- Реализуется система резервного копирования, с периодичностью 2 раза в сутки по средству BackupPC (лицензия GNU GPL) ;
- Систему доступа в помещения осуществляет персональная карта HID;
Все используемые для защиты объекта программно-аппаратные средства имеют необходимые сертификаты ФСТЭК России.
Заключение
В результате данной курсовой работы были изучены основные положения и требования стандартов и нормативных документов по защите конфиденциальной информации в защищённых автоматизированных системах. Разработана частная модель угроз безопасности данных в ИСПДн для отдела по работе с конфиденциальной информацией ООО «ТЕНТО». В частности вычислены показатели исходной защищенности для ИСПДн, составлен акт классификации автоматизированной системы, обрабатывающей персональные данные, составлен акт классификации информационной системы персональных данных, разработан технический паспорт на помещение, составлен бланк оценки угроз безопасности ИСПДн для построения частной модели угроз, разработано техническое задание для проектирования АС отдела по работе с конфиденциальными документами.
Список использованных источников
Утверждаю
Ген. директор
Юрин В.А.
8 мая 2013г.
А К Т № 10
классификации автоматизированной системы обработки информации
отдела по работе с конфиденциальной информацией
Комиссия, в соответствии с приказом от 10 мая 2013 № 10 в составе:
Председатель
Заместитель директора: Макаров В.А.
Члены комиссии
Администратор безопасности: Липин С.С.
Системный администратор: Леханов В.В.
Рассмотрев исходные данные на автоматизированную систему обработки информации (АС) отдела по работе с конфиденциальной информацией, условия ее эксплуатации (многопользовательский с разными правами доступа к информации), с учетом характера обрабатываемой информации (коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)",
РЕШИЛА:
Установить АС отдела по работе с конфиденциальной информацией класс защищенности 1Г
Председатель
Заместитель директора /Макаров В.А
Члены комиссии:
Администратор безопасности /Липин С.С
Системный администратор /Леханов В.В
Приложение 2
Утверждаю
Генеральный директор
Юрин В.А.
10 мая 2013 г.
А К Т № 11
классификации информационной системы, обрабатывающей персональные данные
ООО «ТЕНТО»
Комиссия, в соответствии с приказом от 10 мая 2013 № 10 в составе:
Председатель
Заместитель директора: Макаров В.А.
Члены комиссии
Администратор безопасности: Липин С.С.
Системный администратор: Леханов В.В.
провела классификацию информационной системы АС ООО «ТЕНТО», обрабатывающей персональные данные, и установила:
Выявленные определяющие признаки классификации типовой информационной системы:
Отсутствуют сведения, составляющих государственную тайну;
ИС обрабатывает биометрические персональные данные;
ИС обрабатывает иные категории персональных данных лиц, не являющихся сотрудниками;
Количество обрабатываемых субъектов персональных данных менее 100000;
Локальная информационная система;
Режим обработки персональных данных многопользовательский.
Комиссия, в соответствии с Постановлением Правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
РЕШИЛА:
Информационная система персональных данных ООО «ТЕНТО» должна обеспечивать 3 уровень защищённости.
Председатель
Заместитель директора /Макаров В.А.
Члены комиссии:
Администратор безопасности /Липин С.С.
Системный администратор /Леханов В.В.
Приложение 3
Утверждена
Генеральный директор
Юрин В.А.
Частная модель
угроз безопасности персональных данных
при их обработке в информационной системе ООО «ТЕНТО»
|
Угрозы утечки информации по техническим каналам и за счёт НСД |
Уровень исходной защищённости (Y1) |
Вероятность реализации угрозы (Y2) |
Коэффициент реализуемости угрозы Y=(Y1+Y2)/20 |
Показатель опасности угрозы (определяется на основе опроса специалистов) |
Вывод об актуальности угрозы |
|||||
|
Малая вероятность (0) |
Низкая вероятность (2) |
Средняя вероятность (5) |
Высокая вероятность (10) |
Возможность реализации угрозы |
Низкая опасность |
Средняя опасность |
Высокая опасность |
|||
|
утечка речевой информации |
5 |
+ |
0.35 |
+ |
Не актуальная |
|||||
|
средняя |
||||||||||
|
утечка видовой информации |
5 |
+ |
0.35 |
+ |
Не актуальная |
|||||
|
средняя |
||||||||||
|
утечка информации по ПЭМИН |
5 |
+ |
0.35 |
+ |
актуальная |
|||||
|
средняя |
||||||||||
|
анализ сетевого трафика |
5 |
+ |
0.35 |
+ |
Не актуальная |
|||||
|
средняя |
||||||||||
|
угрозы получения НСД путем подмены доверенного объекта |
5 |
+ |
0.35 |
+ |
Не актуальная |
|||||
|
средняя |
||||||||||
|
удаленный запуск приложений |
5 |
+ |
0.25 |
+ |
Не актуальная |
|||||
|
низкая |
||||||||||
|
угрозы типа «Отказ в обслуживании» |
5 |
+ |
0.25 |
+ |
Не актуальная |
|||||
|
низкая |
||||||||||
|
угроза выявления паролей |
5 |
+ |
0.75 |
+ |
актуальная |
|||||
|
высокая |
||||||||||
|
угрозы навязывания ложного маршрута |
5 |
+ |
0.5 |
+ |
актуальная |
|||||
|
средняя |
||||||||||
|
внедрение вредоносных программ |
5 |
+ |
0.5 |
+ |
актуальная |
|||||
|
средняя |
Заключение
Таким образом, актуальными угрозами безопасности ПДн в ИСПДн
ООО «ТЕНТО» являются:
утечка информации по ПЭМИН
угроза выявления паролей
угрозы навязывания ложного маршрута
внедрение вредоносных программ
Рекомендуемыми мерами по предотвращению реализации актуальных угроз,
являются:
Установка глушителей электромагнитных сигналов и шумогенераторов
Парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;
Для борьбы с ложными маршрутами применить специальные алгоритмы: «расщепления горизонта», «триггерные обновления» и «замораживание изменений».
Инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа.
Разработал: /Липин С.С.
Приложение №4
Форма технического паспорта на автоматизированную систему
УТВЕРЖДАЮ
Руководитель организации
____________/Юрин В.А.
«5» мая 2013г.
ТЕХНИЧЕСКИЙ ПАСПОРТ
ИСПДн ООО «ТЕНТО» отдела по работе с конфиденциальной информацией
СОГЛАСОВАНО РАЗРАБОТАЛ
_______________/Кырнаев А.В. _______________/ Пятин Р.О.
(Представитель подразделения
по защите информации)
"29"мая 2012 г.
2013
1. Общие сведения об АС
1.1.Наименование АС: ИСПДн ООО «ТЕНТО» отдела по работе с конфиденциальной информацией
1.2. Расположение АС: ул. Коммуны 43, офис 48, 6 этаж
1.3. Класс АС: . № 10 от 10 мая 2013 г. класс системы 1Г
2. Состав оборудования АС
2.1. Состав ОТСС:
Таблица 1
П Е Р Е Ч Е Н Ь
основных технических средств и систем,
входящих в состав АС ИСПДн отдела ООО «ТЕНТО» отдела по работе с архивами
|
№ п/п |
Тип ОТСС |
Заводской номер |
Сведения по сертификации, специсследованиям и спецпроверкам |
|
1 |
Ноутбук Toshiba |
250X5E |
Сертификат ЗАО «Проминформ» |
|
2 |
Монитор LG |
530U3C |
Сертификат ЗАО «Проминформ» |
|
3 |
Монитор LG |
G75VX |
Сертификат ЗАО «Проминформ» |
|
4 |
Клавиатура Genius 4L |
G55KB |
Сертификат ЗАО «Проминформ» |
|
5 |
Клавиатура Genius 4L |
G56KB |
Сертификат ЗАО «Проминформ» |
|
6 |
Системный блок CPU INTEL Core i3 |
88654KL |
Сертификат ЗАО «Проминформ» |
|
7 |
Системный блок CPU INTEL Core i3 |
84534KK |
Сертификат ЗАО «Проминформ» |
|
8 |
Сервер HP ProLiant ML110G7 |
25636873 |
Сертификат ЗАО «Проминформ» |
|
9 |
Сервер HP ProLiant ML110G7 |
73636873 |
Сертификат ЗАО «Проминформ» |
2.2. Состав ВТСС объекта:
Таблица 2
П Е Р Е Ч Е Н Ь
вспомогательных технических средств, входящих в состав АС ИСПДн ООО «ТЕНТО»
|
№ п/п |
Тип ВТСС |
Заводской номер |
|
1 |
Телефонный аппарат LG-DM836 |
548739 |
|
2 |
Кондиционер Lessar |
657485 |
|
3 |
Принтер Сanon LBP-810 |
13789456 |
2.3. Состав средств защиты информации:
Таблица 3
ПЕРЕЧЕНЬ
средств защиты информации, установленных на АС ИСПДн ООО «ТЕНТО»
|
№ п/п |
Наименование и тип технического средства |
Заводской номер |
Сведения о сертификате |
Место и дата установки |
|
1 |
MyPasswordManager |
36367586 |
Сертификат ФСТЭК России № 725 от 06.08.2009 |
Введен в эксплуатацию 15.08.2009 |
|
2 |
ESET NOD 32 Titan |
Сертификат ФСТЭК России № 313 от 16.09.2012 |
Установлен в эксплуатацию 29.09.2012 |
|
|
4 |
ESET NOD 32 для Windows Server Edition |
Сертификат ФСТЭК России № 643 от 24.08.2013 |
Установлен в серверной комнате 03.10.2013 |
|
|
5 |
BackupPC |
Сертификат ФСТЭК России № 648 от 31.08.2013 |
Установлен в эксплуатацию 10.10.2013 |
|
|
6 |
Карта-идентификатор HID |
543NF69 |
Сертификат ФСТЭК России № 218 от 18.03.2010 |
Установлен в эксплуатацию 20.03.2013 |
3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:
Аттестация объекта информатизации проводилась компанией ЗАО «Проминформ», аттестат соответствия № 18563 от 12.07.2012г., помещение соответствует деятельности, ведущейся в нем с точки зрения информационной безопасности
4. Результаты периодического контроля.
Таблица 4
|
Дата проведения |
Наименование организации, проводившей проверку |
Результаты проверки, номер отчетного документа |
|
21.08.2011 |
ЗАО «Проминформ» |
Нарушений не выявлено акт проверки № 826 |
|
21.07.2012 |
ЗАО «Проминформ» |
Нарушений не выявлено акт проверки № 826 |
Приложение 5
«Утверждаю» «Утверждаю»
Генеральный директор Генеральный директор
ООО «ТЕНТО» ООО «ИнформПро»
/Юрин В.А. /Чепуштанов К.К.
19 мая 2012г. 19 мая 2012 г.
Техническое задание
на создание автоматизированной системы
отдела по работе с конфиденциальной информацией
«Согласовано» «Согласовано»
Администратор безопасности Заместитель директора
ООО «ТЕНТО» ООО «ИнформПро»
/Липин С.С /Васильев Ю.С.
Содержание
Назначение системы
Цели создания системы
Требования к системе в целом
Требования к функциям, выполняемым системой
Требования к видам обеспечения
Общие сведения
Полное наименование системы:
Автоматизированная система отдела по работе с конфиденциальной информацией ООО «ТЕНТО»
Основания для проведения работ
Работа выполняется на основании договора № 5 от 17.02.2012 г.
Наименование организаций:
Заказчик: ООО «ТЕНТО»
Адрес фактический: г. Пермь ул.Коммуны 43, офис 48, 6 этаж
Телефон / Факс: +7 (34243) 2900455
Разработчик: ООО «ИнформПро»
Адрес фактический: г. Пермь ул. Пушкина 22, офис 133
Телефон / Факс: +7 (34243) 3349988
Плановые сроки начала и окончания работы
Провести работы с 20.05.2012 до 27.02.2012 на основании договора №5 от 17.02.2012 г.
Приложение 6
Утверждаю
Генеральный директор _Юрин В. А._ (Ф. И. О.)
“_18_” августа 2012 г.
Матрица полномочий пользователей
отдела по работе с конфиденциальной информацией ООО «ТЕНТО»
Таблица 1
|
Конф. Инф. пользователи |
Характер и условия заключения договоров с заказчиками продукции. |
Самореклама |
Сведенья о поставщиках и количестве поставляемых материалах |
Персональные данные сотрудников фирмы |
Сведенья о намерениях и результатах переговоров с потенциальными заказчиками |
Прибыль, затраты |
Себестоимость продукции |
|
User1 |
W |
R |
R |
R, W |
|||
|
User2 |
R |
R, W |
R |
W |
R |
R |
|
|
User3 |
R, W |
R, W |
|||||
|
Admin |
R, M,W,D |
R, M,W,D |
R, M,W,D |
R, M,W,D |
R, M,W,D |
R, M,W,D |
R, M,W,D |
R-чтение, M-модификация, W-запись, D-удаление