У вас вопросы?
У нас ответы:) SamZan.net

на тему Разработка АС в защищенном исполнении Выполнил- Студент группы КОБ09 Кырнаев А

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 28.12.2024

Пермский национальный исследовательский политехнический университет

Кафедра Автоматики и Телемеханики

Курсовая работа по дисциплине

«Технологии построения защищённых автоматизированных систем»

на тему «Разработка АС в защищенном исполнении»

Выполнил:

Студент группы КОБ-09

Кырнаев А.В.

Проверил:

КТН, доцент

Шабуров А.С.

Пермь 2013 г.

Оглавление

Введение………………………………………………………………………………..3

Классификация АС……………………………………………………..……………...4

Требования по защите информации от НСД для АС………………………………..5

Классификация ИСПДн……...……………………………………..…………………7

Частная модель угроз информационной безопасности……………...……………...9

Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных…………………….………………….……9

Порядок создания АС в защищенном исполнении………………………………....11

Пример автоматизированной системы в защищенном исполнении……………....15

Заключение……………………………………………………………..……………..16

Список использованных источников………………………………………………..17

Приложение 1…………………………………………………………………………18

Приложение 2…………………………………………………………………………19

Приложение 3…………………………………………………………………………20

Приложение 4…………………………………………………………………………24

Приложение 5…………………………………………………………………………29

Приложение 6…………………………………………………………………………32


Введение

В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену "информационного фактора".

Широкое внедрение персональных ЭВМ вывело уровень "информатизации" деловой жизни на качественно новую ступень. Ныне трудно представить себе фирму или предприятие (включая самые мелкие), которые не были бы вооружены современными средствами обработки и передачи информации. В ЭВМ на носителях данных накапливаются значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей большую ценность
для ее владельца.

Проблемы защиты информации в автоматизированных системах с годами не теряют своей актуальности. Это объясняется тем, что накапливаемая, хранимая и обрабатываемая в АС информация является достаточно уязвимой как с точки зрения опасности ее искажения или уничтожения, так и с точки зрения несанкционированного доступа к ней лиц, не имеющих на это полномочий.

Цель курсовой работы:

  1.  Изучение требований и рекомендации по защите конфиденциальной информации, обрабатываемой в АС и требований по защите ПДн, обрабатываемых в ИСПДн.
  2.  Изучение требований и рекомендаций по защите конфиденциальной информации, обрабатываемой в автоматизированных системах.
  3.  Изучение технологии построения АС в защищенном исполнении.


Классификация АС

Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

       Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.

       Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

Основными этапами классификации АС являются:

1. разработка и анализ исходных данных;

2. выявление основных признаков АС, необходимых для классификации;

3. сравнение выявленных признаков АС с классифицируемыми;

4. присвоение АС соответствующего класса защиты информации от НСД.

Необходимыми исходными данными для проведения классификации конкретной АС являются:

1. перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

  1.  перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
  2.  матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
  3.  режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  1.  наличие в АС информации различного уровня конфиденциальности;
  2.  уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  3.  режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации.
       Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Вариант №

Хпд

Хнпд

АРМ

ЛС

РАИС

Подключение СМИО

Объектов (зданий)

Действия

(R, W, mod)

Доступ

(огр., не огр.)

Количество баз

(Инт., неинт.)

Обезличивание

(об.в, об.н.необ.)

Объем передачи

(вся, часть, н.п.)

4

фио, пасп, фин.

1500

+

-

2

R,W

огр.

Не инт.

об.в.

вся

Моя автоматизированная система относится к первой группе.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

Требования по защите информации от НСД для АС

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

  1.  управления доступом;
  2.  регистрации и учета;
  3.  криптографической;
  4.  обеспечения целостности.

Требования к АС

Обозначения:

" - " - нет требований к данному классу;

" + " - есть требования к данному классу.

Таблица 1

Подсистемы и требования

Кл.

1. Подсистема управления доступом

  

1.1. Идентификация, проверка подлинности и контроль доступа субъектов:

  

в систему

+

к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

+

к программам

+

к томам, каталогам, файлам, записям, полям записей

+

2. Подсистема регистрации и учета

  

2.1. Регистрация и учет:

  

входа (выхода) субъектов доступа в (из) систему (узел сети)

+

выдачи печатных (графических) выходных документов

+

запуска (завершения) программ и процессов (заданий, задач)

+

доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

+

доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей

+

2.2. Учет носителей информации

+

2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

+

3. Подсистема обеспечения целостности

  

3.1. Обеспечение целостности программных средств и обрабатываемой информации

+

3.2. Физическая охрана средств вычислительной техники и носителей информации

+

3.4. Периодическое тестирование СЗИ НСД

+

3.5. Наличие средств восстановления СЗИ НСД

+

Продолжение таблицы 1

Руководящий документ: «Автоматизированные системы. Защита от несанкционированного доступа к информации

Классификация автоматизированных систем и требования по защите информации

Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.»

Классификация ИСПДн

Согласно Постановлению Правительства РФ от 1 ноября 2012 г. N 1119, установлены требования к защите персональных данных при их обработке в информационных системах, и введены 3 типа актуальных угроз от которых зависит требуемый уровень защищенности.

Под актуальными угрозами понимаются условия и факторы, создающие опасность несанкционированного доступа к персональным данным(в том числе случайного), в результате которого данные могут быть уничтожены, изменены, блокированы, копированы, предоставлены или распространены.

Угрозы 1-го типа - угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспечении.

Угрозы 2-го типа - актуальны угрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспечении.

Угрозы 3-го типа - актуальны угрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности.

Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-ого уровня защищенности необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 3-ого уровня защищенности, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных 2-ого уровня защищенности, необходимо выполнение следующих требований:

           Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным;

         Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Таблица 2

Соотношение типа угроз/уровня защищенности/и типа обрабатываемой информации:

Угрозы 1-го типа

Угрозы 2-го типа

Угрозы 3-го типа

4 уровень защищенности

Информационная система обрабатывает:

  •  общедоступные персональные данные
  •  иные категории персональных данных сотрудников оператора
  •  иные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов).

3 уровень защищенности

Информационная система обрабатывает:

  •  общедоступные персональные данные сотрудников
  •  общедоступные персональные данные лиц, не являющихся сотрудниками (менее чем 100000 субъектов)
  •  иные категории персональных данных сотрудников

Информационная система обрабатывает:

  •  биометрические персональные данные
  •  иные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).

2 уровень защищенности

Информационная система обрабатывает:

  •  общедоступные персональные данные.

Информационная система обрабатывает:

  •  специальные категории персональных данных сотрудников оператора
  •  специальные категории персональных данных лиц, не являющихся сотрудниками (менее чем 100000 субъектов)

Информационная система обрабатывает:

  •  специальные категории персональных данных лиц, не являющихся сотрудниками (более чем 100000 субъектов).

1 уровень защищенности

Информационная система обрабатывает:

  •  либо специальные категории персональных данных
  •  биометрические персональные данные

Информационная система обрабатывает:

  •  специальные категории персональных данных лиц, не являющихся сотрудниками.

Частная модель угроз информационной безопасности

Частная модель угроз информационной безопасности  составляется на основании методики определения актуальных угроз. Определение коэффициента исходной защищённости показано в приложении 3.

Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах

Согласно СТР-К (5раздел) предусмотрены основные меры защиты информации:

1. Документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

2. Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;

3. Ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;

4. Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

5. Регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

6. Учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

7. Использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;

8. Необходимое резервирование технических средств и дублирование массивов и носителей информации;

9. Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

10. Использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

11. Использование сертифицированных средств защиты информации;

12. Размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;

13. Размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;

14. Развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

15. Электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;

16. Использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;

17. Размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;

18. Организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;

19. Криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);

20. Предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.

Порядок создания АС в защищенном исполнении

Типовое содержание работ по защите информации на стадиях создания автоматизированных систем в защищенном исполнении

                                           Таблица  3

ГОСТ 34.601

Типовое содержание работ по защите информации

Стадия

Этап работы

1 Формирование требований к АС

1.1 Обследование объекта и обоснование необходимости создания АСЗИ

Сбор данных о проводимых работах на объекте информатизации по обработке информации различной степени секретности. Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275. Оценка целесообразности создания АСЗИ

1.2 Формирование требований пользователя к АСЗИ

Подготовка исходных данных для формирования требований по ЗИ на АС и процессов ее создания и эксплуатации. Разработка предварительных требований к СиЗИ на АСЗИ

1.3 Оформление отчета о выполняемой работе и заявки на разработку АСЗИ

Разработка предложений по ЗИ в отчетной НД. Оформление отчета о выполненных работах по ЗИ на данных стадиях. Оформление предложений по ЗИ в заявку на разработку АСЗИ. Формирование предложений по ЗИ в ТЗ на АСЗИ

2. Разработка концепции АС

2.1 Изучение объекта

Уточнение условий эксплуатации АСЗИ и категорий важности обрабатываемой информации. Формирование перечня угроз защищаемой информации. Уточнение номенклатуры требований, предъявляемых к АСЗИ

2.2 Проведение необходимых НИР

Поиск путей реализации требований по ЗИ в АС. Оценка возможности реализации требований по ЗИ в АСЗИ. Оформление и утверждение отчета о НИР по ЗИ или разделов по ЗИ в отчет о НИР по созданию АСЗИ

2.3 Разработка вариантов концепции АС и выбор варианта концепции АС

Разработка альтернативных вариантов концепции ЗИ в АС и облика СиЗИ и процессов ее создания с учетом требований [9]. Выбор оптимального варианта концепции ЗИ в АС (разработка замысла ЗИ в АС) и СиЗИ АС. Технико-экономическое обоснование выбранного варианта ЗИ в АС и процессов ее создания и эксплуатации

Продолжение таблицы 3

2.4 Оформление отчета о выполненной работе

Подготовка и оформление отчета о выполненных работах по ЗИ на данной стадии создания АС. Согласование концепции ЗИ в АС и предложений по вариантам СиЗИ в АС. Предложения по ЗИ в отчетную НД этапа работ. Согласование и получение заключения ФАПСИ на разработку ШС

3 Техническое задание

3.1 Разработка и утверждение технического задания на создание АСЗИ

Разработка требований по ЗИ в раздел ТЗ (ЧТЗ) на создание АСЗИ. Разработка, оформление, согласование и утверждение ТЗ (ЧТЗ) на создание АСЗИ

4 Эскизный проект

4.1 Разработка предварительных проектных решений по системе в целом и ее частям

Разработка предварительных проектных решений АСЗИ. Технико-экономическое обоснование эффективности вариантов СиЗИ. Разработка ТЗ на СрЗИ и средства контроля эффективности ЗИ. Разработка требований на СрЗИ и средства контроля эффективности ЗИ и АС

ГОСТ 34.601

Типовое содержание работ по защите информации

Стадия

Этап работы

4 Эскизный проект

4.2 Разработка документации на АСЗИ и ее части

Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта АС в части ЗИ. Экспертиза документации отчетной научно-технической документации и технической документации

Технический проект

5.1 Разработка проектных решений по системе в целом и ее частям

Разработка СрЗИ и средств контроля. Разработка технического проекта СиЗИ и предложений по ЗИ в технический проект АСЗИ

5.2 Разработка документации на АСЗИ и ее части

Разработка рабочей документации и технического проекта СиЗИ АС. Разработка разделов технической документации по ЗИ и/или отдельных документов по ЗИ в АС. Участие в экспертизе документации АСЗИ

5.3 Разработка и оформление документации на поставку изделий для комплектования АСЗИ

Подготовка и оформление технической документации на поставку ТС и ПС для АС и СиЗИ. Поставка СрЗИ. Испытания СрЗИ.

Продолжение таблицы 3

6 Рабочая документация

6.1 Разработка рабочей документации на систему в целом и ее части

Участие в разработке рабочей конструкторской документации АС в части учета требований по ЗИ. Разработка рабочей конструкторской документации СиЗИ. Участие в экспертизе рабочей конструкторской документации

6.2 Разработка или адаптация программ

Разработка ПС АСЗИ, программных СрЗИ. Тестирование ПС. Сертификация ПС по требованиям безопасности информации

7 Ввод в действие

7.1 Подготовка АСЗИ к вводу в действие

Реализация проектных решений по организационной структуре СиЗИ АС и процесса. Требования к организационным мерам ЗИ

7.2 Подготовка персонала

Проверка способности персонала обеспечивать функционирование АСЗИ и СиЗИ. Проверка специалистов службы безопасности АС по обслуживанию СиЗИ

7.3 Комплектация АС поставляемыми изделиями (ПС и ТС)

Получение комплектующих изделий для СиЗИ. Проверка качества поставляемых комплектующих изделий

7.4 Строительно-монтажные работы

Участие в работах по надзору за выполнением требований по ЗИ строительными организациями. Участие в испытаниях ТС по вопросам ЗИ. Проведение специсследований ТС

7.5 Пуско-наладочные работы

Проведение автономных наладок технических и программных СрЗИ, загрузка информации в базу данных и ее проверка. Участие в комплексной наладке всех средств АС с точки зрения обеспечения ЗИ

 ГОСТ 34.601

Типовое содержание работ по защите информации

Стадия

Этап работы

7 Ввод в действие

7.6 Проведение предварительных испытаний

Испытание СиЗИ на соответствие требованиям. Устранение недостатков СрЗИ и СиЗИ. Внесение изменений в документацию на СиЗИ. Участие в испытаниях АСЗИ. Проведение специсследований ТС. Аттестация АСЗИ

7.7 Проведение опытной эксплуатации

Эксплуатация СиЗИ. Анализ, доработка, наладка СиЗИ. Акт о завершении опытной эксплуатации СиЗИ. Участие в опытной эксплуатации АСЗИ. Анализ и предложения по доработке АСЗИ

8 Сопровождение АСЗИ

8.1 Выполнение работ в соответствии с гарантийными обязательствами

Устранение недостатков по ЗИ в процессе функционирования АСЗИ. Внесение изменений в документацию АС в части вопросов ЗИ. Проведение инспекционного контроля за стабильностью характеристик АСЗИ

8.2 Послегарантийное обслуживание

Анализ функционирования СиЗИ в АСЗИ. Установление причин невыполнения требований по ЗИ в АСЗИ. Выявление недостатков. Устранение недостатков в СиЗИ АСЗИ по гарантийным обязательствам. Внесение изменений в документацию на АСЗИ. Контроль состояния ЗИ в АС в защищенном исполнении

Пример автоматизированной системы в защищенном исполнении

В помещениях находятся 3 рабочих места, объединенных в локальную сеть. Для защиты автоматизированной системы применены следующие технические и организационные средства и проведены строительно-монтажные работы:

- Рабочие места расположены так, чтобы исключить случайное или преднамеренное считывание информации с экранов мониторов

- На окнах установлены жалюзи для обеспечения защиты периметра от физического проникновения и просмотра данных вне помещения;

- На всех машинах установлено антивирусное программное обеспечение  ESET NOD32 Titan;

- Так же для исключения выявления паролей на каждой из машин используется аппаратно-программный комплекс  MyPasswordManager;

-  На сервере установлено специализированное лицензионное программное обеспечение ESET NOD32;

- Реализуется система резервного копирования, с периодичностью 2 раза в сутки по средству BackupPC (лицензия GNU GPL;

- Систему доступа в помещения осуществляет персональная карта HID;

Все используемые для защиты объекта программно-аппаратные средства имеют необходимые сертификаты ФСТЭК России.

Заключение

В результате данной курсовой работы были изучены основные положения и требования стандартов и нормативных документов по защите конфиденциальной информации в защищённых автоматизированных системах. Разработана частная модель угроз безопасности данных в ИСПДн для отдела по работе с конфиденциальной информацией ООО «ТЕНТО».  В частности вычислены показатели исходной защищенности для ИСПДн, составлен акт  классификации автоматизированной системы, обрабатывающей персональные данные, составлен акт классификации информационной системы персональных данных, разработан технический паспорт на помещение, составлен бланк оценки угроз безопасности ИСПДн для построения частной модели угроз, разработано техническое задание для проектирования АС отдела по работе с конфиденциальными документами.

Список использованных источников

  1.  РД. Решение председателя Гостехкомиссии России от 30 марта 1992 г.
  2.  Постановлению Правительства РФ от 1 ноября 2012 г. N 1119
  3.  Выписка из СТР-К. Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах
  4.  ГОСТ 34.601. Порядок создания АС в защищённом исполнении
  5.  ГОСТ Р 51583-2000
  6.  ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы
  7.  ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (выписки)
  8.  Выписка из СТР-К. Форма технического паспорта на автоматизированную систему
    Приложение 1

Утверждаю

Ген. директор

Юрин  В.А.

8 мая 2013г.

А К Т № 10

классификации автоматизированной системы обработки информации

отдела по работе с конфиденциальной информацией

Комиссия, в соответствии с приказом от 10 мая  2013 № 10 в составе:

Председатель

Заместитель директора:   Макаров В.А.

Члены комиссии

Администратор безопасности:  Липин С.С.

Системный администратор:  Леханов В.В.

Рассмотрев исходные данные на автоматизированную систему обработки информации (АС) отдела по работе с конфиденциальной информацией,  условия ее эксплуатации (многопользовательский с разными правами доступа к информации), с учетом характера обрабатываемой информации (коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами ФСТЭК России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)",

РЕШИЛА:

Установить АС отдела по работе с конфиденциальной информацией класс защищенности  1Г

Председатель

Заместитель директора                                                                                       /Макаров В.А

Члены комиссии:                                                  

Администратор безопасности                                                                               /Липин С.С

    Системный администратор                                                                                 /Леханов В.В

Приложение 2

Утверждаю  

Генеральный директор

Юрин В.А.
10 мая  2013 г.

А К Т  № 11

классификации информационной системы,  обрабатывающей персональные данные

ООО «ТЕНТО»

Комиссия, в соответствии с приказом от 10 мая 2013 № 10  в составе:

Председатель

Заместитель директора:   Макаров В.А.

Члены комиссии

Администратор безопасности:  Липин С.С.

Системный администратор:  Леханов В.В.

провела классификацию информационной системы АС ООО «ТЕНТО»,  обрабатывающей персональные данные,  и установила:

Выявленные определяющие признаки классификации типовой информационной системы:

Отсутствуют сведения, составляющих государственную тайну;

ИС обрабатывает биометрические персональные данные;

ИС обрабатывает иные категории персональных данных лиц, не являющихся сотрудниками;

Количество обрабатываемых субъектов персональных данных менее 100000;

Локальная информационная система;

Режим обработки персональных данных многопользовательский.

Комиссия, в соответствии с Постановлением Правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

РЕШИЛА:

Информационная система персональных данных ООО «ТЕНТО» должна обеспечивать 3 уровень защищённости.

Председатель

Заместитель директора                                                                                    /Макаров В.А.                                                                                

     Члены комиссии:                                                

     Администратор безопасности                                                                           /Липин С.С.

    Системный администратор                                                                                /Леханов В.В.            

Приложение 3

Утверждена  

Генеральный директор

Юрин В.А.

Частная модель

угроз безопасности персональных данных
при их обработке  в информационной системе ООО «ТЕНТО»


Угрозы утечки информации по техническим каналам и за счёт НСД

Уровень исходной защищённости (Y1)

Вероятность реализации угрозы (Y2)

Коэффициент реализуемости угрозы Y=(Y1+Y2)/20  

Показатель опасности угрозы (определяется на основе опроса специалистов)

Вывод об актуальности угрозы

Малая вероятность

(0)

Низкая вероятность

(2)

Средняя вероятность (5)

Высокая вероятность (10)

Возможность реализации угрозы

Низкая опасность

Средняя опасность

Высокая опасность

утечка речевой информации

5

+

0.35

+

Не

актуальная

средняя

утечка видовой информации

5

+

0.35

+

Не

актуальная

средняя

утечка информации по ПЭМИН

5

+

0.35

+

 актуальная

средняя

  анализ сетевого трафика

5

+

0.35

+

Не

актуальная

средняя

угрозы получения НСД путем подмены доверенного объекта

5

+

0.35

+

Не

актуальная

средняя

удаленный запуск приложений

5

+

0.25

+

Не актуальная

низкая

угрозы типа «Отказ в обслуживании»

5

+

0.25

+

Не

актуальная

низкая

угроза выявления паролей

5

+

0.75

+

актуальная

высокая

угрозы навязывания ложного маршрута

5

+

0.5

+

актуальная

средняя

внедрение вредоносных программ

5

+

0.5

+

актуальная

средняя


Заключение

Таким образом, актуальными угрозами безопасности ПДн в ИСПДн

ООО «ТЕНТО» являются:

утечка информации по ПЭМИН

угроза выявления паролей

угрозы навязывания ложного маршрута

внедрение вредоносных программ

Рекомендуемыми мерами по предотвращению реализации актуальных угроз,

являются:

Установка глушителей электромагнитных сигналов и шумогенераторов

Парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;

Для борьбы с ложными маршрутами применить специальные алгоритмы: «расщепления горизонта», «триггерные обновления» и «замораживание изменений».

Инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа.

Разработал:                                                                                               /Липин С.С.


Приложение №4

Форма технического паспорта на автоматизированную систему

          УТВЕРЖДАЮ

Руководитель организации

____________/Юрин В.А.

                  «5» мая 2013г.

ТЕХНИЧЕСКИЙ ПАСПОРТ

ИСПДн ООО «ТЕНТО» отдела по работе с конфиденциальной информацией

 

СОГЛАСОВАНО        РАЗРАБОТАЛ

_______________/Кырнаев А.В.                 _______________/ Пятин Р.О.

(Представитель подразделения

по защите информации)

"29"мая 2012  г.

2013

1. Общие сведения об АС

1.1.Наименование АС: ИСПДн ООО «ТЕНТО» отдела по работе с конфиденциальной информацией

1.2. Расположение АС: ул. Коммуны 43, офис 48, 6 этаж

1.3. Класс АС: .  № 10 от  10 мая 2013 г. класс системы 1Г

2. Состав оборудования АС

2.1. Состав ОТСС:

Таблица 1

П Е Р Е Ч Е Н Ь

основных технических средств и систем,

входящих в состав АС ИСПДн отдела ООО «ТЕНТО» отдела по работе с архивами

п/п

Тип ОТСС

Заводской

номер

Сведения по сертификации, специсследованиям и спецпроверкам

1

Ноутбук Toshiba

250X5E

Сертификат ЗАО «Проминформ»

2

Монитор LG

530U3C

Сертификат ЗАО «Проминформ»

3

Монитор LG

G75VX

Сертификат ЗАО «Проминформ»

4

Клавиатура Genius 4L

G55KB

Сертификат ЗАО «Проминформ»

5

Клавиатура Genius 4L

G56KB

Сертификат ЗАО «Проминформ»

6

Системный блок CPU INTEL Core i3

88654KL

Сертификат ЗАО «Проминформ»

7

Системный блок CPU INTEL Core i3

84534KK

Сертификат ЗАО «Проминформ»

8

Сервер HP ProLiant ML110G7

25636873

Сертификат ЗАО «Проминформ»

9

Сервер HP ProLiant ML110G7

73636873

Сертификат ЗАО «Проминформ»

2.2. Состав ВТСС объекта:

Таблица 2

П Е Р Е Ч Е Н Ь

вспомогательных технических средств, входящих в состав АС ИСПДн ООО «ТЕНТО»

п/п

Тип ВТСС

Заводской номер

1

Телефонный аппарат LG-DM836

548739

2

Кондиционер Lessar

657485

3

Принтер Сanon LBP-810

13789456


2.
3. Состав средств защиты информации:

Таблица 3

ПЕРЕЧЕНЬ

средств защиты информации, установленных на АС ИСПДн ООО «ТЕНТО»

п/п

Наименование и тип технического средства

Заводской

номер

Сведения о сертификате

Место и дата установки

1

MyPasswordManager

36367586

Сертификат ФСТЭК России № 725 от 06.08.2009

Введен в эксплуатацию 15.08.2009

2

ESET NOD 32 Titan

Сертификат ФСТЭК России № 313 от 16.09.2012

Установлен в эксплуатацию 29.09.2012

4

ESET NOD 32 для Windows Server Edition

Сертификат ФСТЭК России № 643 от 24.08.2013

Установлен в серверной комнате

03.10.2013

5

BackupPC 

Сертификат ФСТЭК России № 648 от 31.08.2013

Установлен в эксплуатацию 10.10.2013

6

Карта-идентификатор HID

543NF69

Сертификат ФСТЭК России № 218 от 18.03.2010

Установлен в эксплуатацию 20.03.2013

3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:

Аттестация объекта информатизации проводилась компанией ЗАО «Проминформ», аттестат соответствия № 18563 от  12.07.2012г., помещение соответствует деятельности, ведущейся  в нем с точки зрения информационной безопасности


4. Результаты периодического контроля.

Таблица 4

Дата проведения

Наименование организации, проводившей проверку

Результаты проверки, номер отчетного документа

21.08.2011

ЗАО «Проминформ»

Нарушений не выявлено

акт проверки № 826

21.07.2012

ЗАО «Проминформ»

Нарушений не выявлено

акт проверки № 826


Приложение 5

«Утверждаю»                                                                                                        «Утверждаю»

Генеральный директор                                                                                         Генеральный директор

ООО «ТЕНТО»                                                                                                     ООО «ИнформПро»

                         /Юрин В.А.                                                                                                   /Чепуштанов К.К.

19 мая 2012г.                                                                                                      19 мая  2012 г.

Техническое задание

на создание автоматизированной системы

отдела по работе с конфиденциальной информацией

«Согласовано»                                                                                                       «Согласовано»

Администратор безопасности                                                                             Заместитель директора

ООО «ТЕНТО»                                                                                                     ООО «ИнформПро»

                          /Липин С.С                                                                                             /Васильев Ю.С.

Содержание

  1.  Общие сведения
    1.  Назначение и цели создания системы

Назначение системы

Цели создания системы

  1.  Характеристика объектов автоматизации
    1.  Требования к системе

Требования к системе в целом

Требования к функциям, выполняемым системой

Требования к видам обеспечения

  1.  Состав и содержание работ по созданию системы
    1.  Порядок контроля и приёмки системы
    2.  Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие
    3.  Требования к документированию
    4.  Источники разработки

Общие сведения

Полное наименование системы:

Автоматизированная система отдела по работе с конфиденциальной информацией ООО «ТЕНТО»

Основания для проведения работ
Работа выполняется на основании договора № 5 от 17.02.2012 г.

Наименование организаций:

Заказчик: ООО «ТЕНТО»
Адрес фактический: г. Пермь  ул.Коммуны 43, офис 48, 6 этаж
Телефон / Факс: +7 (34243) 2900455

Разработчик: ООО «ИнформПро»
Адрес фактический: г. Пермь ул. Пушкина 22, офис 133
Телефон / Факс: +7 (34243) 3349988

Плановые сроки начала и окончания работы

Провести работы с 20.05.2012 до 27.02.2012 на основании договора №5  от 17.02.2012 г.


Приложение 6

                                                                                                                                                                                                                    Утверждаю

Генеральный директор                                                                                                                                                                                                                                 _Юрин В. А._                                                                                                                                                                                                                              (Ф. И. О.)

“_18_”  августа 2012 г.

Матрица полномочий пользователей

отдела по работе с конфиденциальной информацией ООО «ТЕНТО»

Таблица 1

Конф.

Инф.

пользователи

Характер и условия заключения договоров с заказчиками продукции.

Самореклама

Сведенья о поставщиках и количестве поставляемых материалах

Персональные данные сотрудников фирмы

Сведенья о намерениях и результатах переговоров с потенциальными заказчиками

Прибыль, затраты

Себестоимость продукции

User1

W

R

R

R, W

User2

R

R, W

R

W

R

R

User3

R, W

R, W

Admin

R, M,W,D

R, M,W,D

R, M,W,D

R, M,W,D

R, M,W,D

R, M,W,D

R, M,W,D

R-чтение, M-модификация, W-запись, D-удаление


 




1. за выброс в атмосферу 1 т загрязняющих вредных веществ Загрязняющее вещество ПДВ ВСВ
2. ТЕМА И ВИДЫ КАРТОЧЕК
3. Роль банков в формировании финансовой инфраструктуры
4. Просторечие как форма русского языка
5. СПАНЛЕЙС приобретает уникальные свойства нетканых материалов среди которых в первую очередь следует выде
6. тема англ. Economic system совокупность всех экономических процессов совершающихся в обществе на основе сложив
7. прикладного творчества
8. Механикалы~ ~оз~алыс
9. ЛАБОРАТОРНАЯ РАБОТА 22 Построение трехмерной модели с использованием технологий выдавливания и враще
10. заперта Откройте райские врата; И то что мы сюда положим под конец всего Всему же и начало
11. Опыт экономического процветания Страны НИС
12. шармута. Девушка должна быть замужем чтобы иметь право смотреть вперед заходить в лавку торговца делать э
13. прикладного искусства нельзя оставить без внимания еще одну область художественного творчества
14. тематическая модель управляемого объекта или процесса описывающая его поведение с течением времени под вли.
15. На тему- Формы и стили обслуживания клиентов Студента 2 курса
16. ДОКУМЕНТЫ СЛЕДУЮЩЕГО ВИДА Страница 1 Страница 2 Параметры изображения Выравнивание и
17. задание 3 Колебания волны волновая оптика Вариант 7 12
18. Повышение продуктивности пласта воздействием кислотных композиций
19. Средства создания комического в детективах Д Донцовой
20. Правопорядок як основа суспільного порядку