Главная страница

КР 3121ТмЗ Иванов вар 11. Модель угроз и нарушителя информационной безопасности объекта информатизации


Скачать 44.21 Kb.
НазваниеМодель угроз и нарушителя информационной безопасности объекта информатизации
Дата07.06.2022
Размер44.21 Kb.
Формат файлаdocx
Имя файлаКР 3121ТмЗ Иванов вар 11.docx
ТипКурсовой проект
#574793
страница4 из 5
1   2   3   4   5

система безопасного функционирования технических средств и информационных ресурсов Налоговой инспекции


Основой для реализации системы защиты информации Налоговой инспекции является построение на базе защищенной операционной системы, реализующей механизмы разграничения прав доступа, аутентификации и аудита, и другого программного обеспечения, единой структуры управления СЗИ, которая, осуществляет поддержку Политики информационной безопасности и контроль за ее выполнением.

Управление информационной безопасностью реализуется техническими мерами на базе функций защиты информации, предоставляемых штатными средствами операционных систем, средств системы управления базами данных и дополнительных сертифицированных программно-аппаратных средств и организационными мерами, направленными на предотвращение разглашения, несанкционированного уничтожения и модификации конфиденциальной информации.

Корпоративная сеть может включать имеющиеся у Налоговой инспекции локальные сети, доступные ресурсы глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонные и выделенные каналы связи, средства стационарной, спутниковой и мобильной радиосвязи и др. При этом в полной мере может использоваться уже имеющееся оборудование (компьютеры, сервера, маршрутизаторы, коммутаторы, межсетевые экраны и т.д.).

Безопасность коммуникаций и технических средств, безопасность и достоверность информационных ресурсов в корпоративной сети, взаимодействующей с внешними техническими средствами и информационными ресурсами, достигается путем создания в телекоммуникационной инфраструктуре корпоративной сети интегрированной защищенной среды, включающей:

Систему комплексной сетевой защиты, основанную на применении сертифицированных программных межсетевых экранов, что позволяет добиться наиболее оптимальной и эффективной степени защиты ресурсов и информации в корпоративной сети от посягательств, исходя из важности информационного объекта и требуемой надежности защиты.

Распределенную систему регистрации о наличии санкционированных объектов в корпоративной сети, об их IP-адресах и местоположении, обеспечивающую в любой момент времени полную информированность любого объекта корпоративной сети всей необходимой информацией для возможности автоматического установления соединений с другими объектами.

Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий, а также систему управления ключами, включающую подсистему распределения симметричных ключей и подсистему асимметричного распределения ключей.

Безопасную для локальной сети систему организации каналов доступа отдельных компьютеров локальной сети к открытым ресурсам внешних сетей (включая Интернет) и отдельных компьютеров внешних сетей к открытым ресурсам локальной сети.

Систему контроля и управления связями, правами и полномочиями объектов, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.

Систему межсетевого взаимодействия, обеспечивающую организацию связи между разными подсетями банка путем взаимного согласования между администрациями сетей допустимых связей и политик безопасности.
Для защиты используются функции защиты от несанкционированного доступа, реализованные в операционных системах серверов и рабочих станций, функции защиты баз данных, реализованные в СУБД, функции защиты, реализованные в прикладном программном обеспечении, а также дополнительные сертифицированные программно-аппаратные средства защиты информации.

Защита серверов обеспечивается выполнением следующих требований:

Серверная часть находится в защищаемом помещении для исключения возможности несанкционированного в него проникновения посторонних лиц.

Для защиты серверной части все сервера приложений, сервера баз данных, находятся в одной защищенной подсети.

Защита рабочих станций пользователей, составляющих клиентскую часть, обеспечивается системой защиты от несанкционированного доступа, базирующейся на штатных средствах операционной системы.
  1. Категорирование защищаемых ресурсов


Общие положения

Категорирование ресурсов информационной системы Налоговой инспекции является необходимым элементом организации работ по обеспечению информационной безопасности, целями которого является:

создание нормативно-методической основы для дифференцированного подхода к защите ресурсов, (информации, задач, рабочих станций);

выработка типовых решений по принимаемым организационным мерам защиты и распределению аппаратно-программных средств защиты для различных категорий рабочих станций.

Информация, подлежащая защите.

Согласно действующему законодательству1 РФ информация в зависимости от порядка ее предоставления или распространения подразделяется:

информацию, свободно распространяемую;

информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Вид информации, согласно законодательству РФ, устанавливается в зависимости от содержания информации или от обладателя.

Информация, свободно распространяемая

Согласно законодательству РФ, к общедоступной информации относят общеизвестные сведения и иную информацию, доступ к которой не ограничен.

К открытой информации относят:

информация о предприятии (регистрационные данные, стоимость услуг и т.д.);

информация, полученная из внешних источников;

информация, находящаяся в свободном доступе (интернет-сайт);

Открытая информация должна быть: целостной, актуальной и доступной.

Информация, предоставляемая по соглашению лиц, участвующих в соответствующих отношениях

Данный вид информации является промежуточным звеном между информацией конфиденциальной и информацией открытой. В основном данный тип информации используется для передачи информации между:

государственными учреждениями;

государственными учреждениями и частными предпринимателями;

частными предпринимателями.

Информация, которая в соответствии с федеральными законами подлежит предоставлению или распространению

Согласно законодательству РФ к данному виду информации, в частности, относят:

информацию, затрагивающую права и свободу граждан РФ;

информацию, необходимую для взаимодействия с органами государственной власти.

Информация, распространение которой в Российской Федерации ограничивается или запрещается

К данному виду информации относятся в основном данные составляющие государственную или коммерческую тайну, а так же персональные данные граждан РФ.

Конфиденциальная информация

Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством РФ и представляет собой коммерческую, служебную или личную тайну, охраняющуюся владельцем.

Как основные объекты области деятельности информационной безопасности, рассматриваются следующие виды активов:

информационные активы: информация и данные в любом виде, получаемые, хранимые, обрабатываемые, передаваемые, оглашаемые, в т.ч. знания сотрудников, базы данных и файлы, документация, руководства пользователя, учебные материалы, описания процедур, заархивированная информация и т.п.;

программное обеспечение: прикладное программное обеспечение, системное программное обеспечение, сервисное программное обеспечение и любое иное программное обеспечение, независимо от формы получения (приобретенное, собственной разработки, свободно распространяемое), используемое сотрудниками и системами для работы и взаимодействия с клиентами и иными внутренними и внешними системами и т.п.;

физические активы: сотрудники, аппаратные средства IT (сервера, рабочие станции, межсетевые экраны, принтеры, копировальные аппараты, телекоммуникационное оборудование, оборудование связи, маршрутизаторы, АТС, факсы, модемы и т.п.), носители данных (ленты, диски и т.п.), мебель, помещения, производственное оборудование, другие технические средства и т.п.;

сервисные активы: вычислительные и коммуникационные сервисы (Интернет, электронная почта, каналы связи и т.п.), другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха, системы сигнализаций и мониторинга), все услуги, связанные с получением, предоставлением, использованием, передачей и уничтожением активов, все юридические и физические лица, организации, учреждения и предприятия (а также их сотрудники), услугами которых пользуется Банк для получения, использования, передачи и уничтожения активов.
  1. 1   2   3   4   5


написать администратору сайта