Главная страница
Навигация по странице:

  • ГЛАВА 1. Описание системы безопасности

  • Анализ информационных ресурсов

  • Анализ информационной среды организации

  • Модель угроз

  • Класс защищённости информационной системы

    		•

    курсовая основа. Описание системы безопасности 6 глава правовые основы системы безопасности 18


    Скачать 0.74 Mb.
    НазваниеОписание системы безопасности 6 глава правовые основы системы безопасности 18
    Дата12.05.2022
    Размер0.74 Mb.
    Формат файлаdocx
    Имя файлакурсовая основа.docx
    ТипРеферат
    #524221
    страница1 из 3
      1   2   3




    Содержание



    Введение 4

    ГЛАВА 1. Описание системы безопасности 6

    ГЛАВА 2. Правовые основы системы безопасности 18

    ГЛАВА 3. Выбор оборудования для построения системы защиты 24

    информации 24

    ГЛАВА 4. Выбор программного обеспечения для построенной системы защиты информации 26

    ГЛАВА 5. Составление должностной инструкции 27

    ГЛАВА 6. Разработка системы информационной безопасности 30

    ГЛАВА 7. Экономическое обоснование 33

    Заключение 34

    Список литературы 35

    Приложение 1 37


    Введение


    В наше время информация является одним из важнейших ресурсов. Некоторая информация должна быть защищена, так как её утечка может использоваться во вред обществу. Информация защищается государством, некоторые виды информации должны быть обязательно защищены. Отнесение информационных ресурсов к определенной категории регламентируется нормативно правовыми документами, например, законы РФ "О Государственной тайне", "О коммерческой тайне", "Об информации, информационных технологиях и защите информации".

    Информационные технологии на данный момент используются почти в каждой сфере. Чаще всего внедряются следующие системы: системы электронного документооборота, системы учёта данных пользователей, аналитические системы и так далее. При помощи информационных технологий значительно увеличивается эффективность компании, ускоряются внутренние процессы, но с другой стороны появляются новые способы кражи конфиденциальной информации организации, а также её клиентов.

    Целью курсового проекта является разработка системы защиты информации для компании «Знаток», которая занимается оффлайн-торговлей. Продукция компании располагается на складах. Важно защитить закрытые информационные ресурсы компании.

    Задачи курсового проекта:

    1. Выполнить анализ деятельности и организационной структуры компании ООО «Знаток»;

    2. Выполнить описание функций сотрудников и описать информационные ресурсы, с которыми они работают;

    3. Определить защищаемые зоны на плане;

    4. Составить модель угроз;

    5. Определить класс защищённости ИС;

    6. Составить должностную инструкцию;

    7. Составить политику безопасности;

    8. Описать какие методы и средства необходимо применить для защиты каждого объекта защиты;

    9. Произвести расчёт стоимости дополнительно внедряемого оборудования и программного обеспечения.

    Предмет курсового проекта информационная среда ООО «Знаток».

    Объект – комплексная система защиты информации ООО «Знаток».

    ГЛАВА 1. Описание системы безопасности




      1. Характеристика деятельности организации

    ООО «Знаток» была основана в 2018 году. Компания расположена по адресу город Нижний Новгород, улица Ленина, дом 322.

    ООО «Знаток» специализируется на производстве бытовых приборов и последующей их продаже.

    В соответствии с целями своей деятельности ООО «Знаток» осуществляет сотрудничество с юридическими и физическими лицами. На договорной основе определяет взаимоотношения с поставщиками и покупателями, а также самостоятельно планирует и осуществляет хозяйственную деятельность. Имущество общества принадлежит ему на праве собственности, и образовалось из вкладов учредителей в Уставной капитал.

    Основные функции компании:

    • Проектирование и производство бытовой техники;

    • Продажа продукции компании;

    • Ведение отчётов.




      1. Анализ информационных ресурсов


    ООО «Знаток» имеет следующую организационную структуру(рисунок 1)



    Рисунок 1 – организационная структура компании

    Отдел производства бытовой техники проектирует и создаёт товары, в своём штате имеет 60 сотрудников, которые работают с следующими информационными ресурсами: документация продукции, конструктивные решения, схема информационных потоков и коммуникаций.

    Отдел продаж занимается реализацией изготовленной продукции на рынке, в своём штате имеет 15 сотрудников, которые работают с следующими информационными ресурсами: информация о покупателях, маркетинговые исследования, финансовые документы.

    Юридический отдел занимается соблюдением законности оформления документов, урегулированием экономических отношений, заключением договоров, выставлением претензий, составлением правовых документов, подачей исков. В своём штате имеет 5 человек, которые работают с следующими информационными ресурсами: данные о заключённых договорах, данные покупателей, устав компании.

    Бухгалтерский отдел занимается формированием полной и достоверной информации о деятельности организации и ее имущественном положении, расчётом заработной платы сотрудникам компании. В своём штате имеет 4 сотрудника, которые работают с следующими информационными ресурсами: данные сотрудников компании, данные о продукции компании, финансовая отчётность компании.

    Перечень информационных ресурсов, с которыми взаимодействуют сотрудники представлен в таблице 1.

    Таблица 1 – Категории конфиденциальных данных

    Наименование элемента информации
    Категория информации
    Источник информации
    Вид носителя информации
    Объект защиты и место нахождения информации

    Личные данные сотрудников
    Персональные данные
    Карточки сотрудников, трудовые книжки
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 4

    Документация продукции
    Служебная тайна
    Чертежи, модели
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 1

    Схема информационных потоков и коммуникаций
    Служебная тайна
    План локальной сети
    Электронный носитель
    Сервер компании

    Данные о покупателях
    Коммерческая тайна
    Чеки, договора
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 2

    Маркетинговые исследования
    Служебная тайна
    Отчёты аналитиков
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 2

    Финансовые документы
    Коммерческая тайна
    Чеки, отчёты о движении финансовых средств
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 4

    Устав компании
    Служебная тайна
    Учредительные документы, договоры
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 3

    Данные о продукции компании
    Служебная тайна
    Отчёты производства
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 2

    Отчётность компании
    Служебная тайна
    Бухгалтерские отчёты
    Бумажные и съёмные носители
    Шкаф с документами и съёмными носителями, кабинет 4



      1. Анализ информационной среды организации

    Для наглядного описания информационной среды организации был составлен план помещения с разграничением на зоны (рисунок 2)



    Рисунок 2 – План помещения
    Описание зон помещения представлено в таблице № 2.

    Таблица 2 – описание зон организации

    № зоны
    Описание

    Сотрудники
    Информационная среда
    Используемые средства физической защиты

    1
    Отдел производства товаров и складское помещение
    Инженеры и проектировщики компании
    25 ПК, система складского учёта, шкаф с документами и съёмными носителями
    Отсутствуют

    2
    Отдел продаж компании
    Менеджеры по продажам
    5 ПК, шкаф с документами и съёмными носителями
    Отсутствуют

    3
    Бухгалтерский отдел
    Главный бухгалтер, бухгалтер
    2 ПК, Шкаф с документами и съёмными носителями
    Отсутствуют

    4
    Юридический отдел
    Главный юрист, директор
    1 ПК, Шкаф с документами и съёмными носителями
    Отсутствуют

    5
    Серверная
    Системный администратор
    1 ПК, 1 сервер
    Отсутствуют

    Всего в компании 34 ПК и 1 сервер.

    На каждом ПК установлена операционная система Windows 7 корпоративная. Технические характеристики используемых ПК:

      1. Процессор Intel Core 2 Duo;

      2. системный диск M.2 NVMe SSD 256 GB;

      3. ОЗУ 4 Гб.

    На сервере используется Windows Server 2012 standard. Технические характеристики используемого сервера:

    1. Процессор Intel Xeon E-2224;

    2. ОЗУ DELL 8 Gb 2666 MHz DDR4;

    3. 3 жёстких диска DELL 1 TB 7.2k SATA 6 Gbps HDD.

    Используется система складского учёта ABM WMS для эффективного управления складом. На каждом ПК, подключённом к системе складского учёта, установлено клиентское приложение. Главная система расположена на сервере компании. Вход в клиентское приложение осуществляется с помощью ввода логина и пароля сотрудника, имеющего к нему доступ.

    В компании отсутствует выход в интернет, но построена собственная локальная сеть, которая управляется с помощью компьютера системного администратора и сервера, расположенного в серверной. Локальная сеть имеет иерархическую структуру.

    Бухгалтерия ведется в продукте 1С: Бухгалтерия, которая в свою очередь облегчает работнику выполнять поставляемые задачи.

    Для обеспечения целостности системы используется программа фиксации и контроля исходного состояния программного комплекса «Фикс». Она обеспечивает фиксацию и последующий контроль исходного состояния системы.

    Большое количество конфиденциальной информации располагается на бумажных и съёмных носителях, которые находятся в своих шкафах в зависимости от содержания. С помощью бумажных и съёмных носителей организована передача информационных ресурсов внутри компании. Не используются какие-либо средства физической защиты, то есть доступ к этим данным имеет любой человек.

      1. Модель угроз

    Под угрозой информационной безопасности понимается совокупность условий и факторов, создающих опасность нарушения информационной безопасности. Под угрозой понимается потенциально возможное событие, действие, процесс или явление, которые могут привести к нанесению ущерба интересам компании. В ООО «Знаток» главными объектами, нуждающимися в защите, являются персональные данные сотрудников и данные об изготовляемой продукции.

    Все лица, которые могут создать опасность информационной безопасности, можно разделить на две категории:

    • Внутренние нарушители;

    • Внешние нарушители.

    Внутренние нарушители – это лица, имеющие право на нахождение на территории организации.

    Внешние нарушители – лица, которые не имеют право на нахождение на территории организации, кроме свободных зон.

    К внутренним нарушителям ООО «Знаток» могут относиться:

    • Системный администратор(категория 1);

    • Пользователи локальной сети(категория 2);

    • Сотрудники, которые имеют санкционированный доступ на вход в помещение, но не имеют доступа к информации(категория 3).

    К внешним нарушителям могут относиться:

    • Бывшие сотрудники;

    • Конкуренты;

    • Посетители.


    Типовая модель нарушителя представлена в таблице 3

    Таблица 3 – типовая модель нарушителя
    Категория
    Потенциал
    Подготовленность нарушителя




    Исполнители
    Психофизическая
    Техническая
    Осведомлённость

    внутренние
    Системный администратор
    Средний
    Средняя
    Высокая
    Высокая

    Пользователи локальной сети
    Средний
    Средняя
    Низкая
    Низкая

    Сотрудники
    Низкий
    Низкая
    Низкая
    Низкая

    внешние
    Бывшие сотрудники
    Низкий
    Средняя
    Низкая
    Средняя

    Конкуренты
    Низкий
    Высокая
    Средняя
    Низкая

    Посетители
    Низкий
    Средняя
    Низкая
    Низкая

    Хакеры
    Высокий
    Высокая
    Высокая
    Низкая


    Перечень угроз ИБ и уязвимости, способствующие реализации представлены в таблице 4, наименования угроз сформированы из официального банка данных угроз безопасности информации ФСТЭК России и исходя из анализа информационной среды организации. Также описание уязвимостей, которыми может воспользоваться нарушитель, содержится в ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем».

    Таблица 4 – перечень угроз ИБ организации

    Угрозы
    Уязвимости

    Несанкционированное копирование информации
    Слабости механизмов разграничения доступа к защищаемой информации

    Использование механизмов авторизации для повышения привилегий
    Проблемы в системе разграничения привилегий

    Обход аутентификации
    Наличие ошибок в механизмах аутентификации

    Кража информационных носителей
    Проблема разграничения доступа в защищаемые зоны

    Действие вредоносных программ
    Наличие ошибок в настройке антивирусного ПО

    Утечка информации из-за халатности пользователей
    Неподготовленность пользователей

    Выход из строя аппаратно-программных средств
    Наличие ошибок, совершённых во время внедрения аппаратно-программных средств


    Далее проведём проверку перечня угроз на актуальность в ООО «Знаток»(Таблица 5)

    Таблица 5 – актуальность угроз

    Угроза
    Вероятность реализации угрозы, Y2
    Вероятность реализации угрозы, Y1
    Вероятность реализации угрозы, Yj
    Показатель опасности угрозы
    Актуальность угрозы

    Несанкционированное копирование информации
    Маловероятна (0)
    Средняя (5)
    0,25 (низкая)
    Низкая опасность
    Неактуальная

    Использование механизмов авторизации для повышения привилегий
    Маловероятна (0)
    Средняя (5)
    0,25 (низкая)
    Низкая опасность
    Неактуальная

    Обход аутентификации
    Маловероятна (0)
    Средняя (5)
    0,25 (низкая)
    Низкая опасность
    Неактуальная

    Кража информационных носителей
    Средняя вероятность (5)
    Средняя (5)
    0,5 (средняя)
    Высокая опасность
    Актуальная

    Действие вредоносных программ
    Средняя вероятность (5)
    Средняя (5)
    0,5 (средняя)
    Высокая опасность
    Актуальная

    Утечка информации из-за халатности пользователей
    Низкая вероятность (2)
    Средняя (5)
    0,35 (средняя)
    Высокая опасность
    Актуальная

    Выход из строя аппаратно-программных средств
    Низкая вероятность (3)
    Средняя (5)
    0,4 (средняя)
    Высокая опасность
    Актуальная


    Исходя из модели угроз можно сделать вывод, какие средства защиты необходимо внедрить в организацию. Для предотвращения кражи информационных носителей требуется внедрить средства физической защиты: систему видеонаблюдения, кодовые замки на шкафы с электронными и бумажными носителями. Для предотвращения утечки информации из-за халатности пользователей требуется переработать должностную инструкцию и политику безопасности организации. Чтобы устройства организации не подвергались действию вредоносных программ, требуется установить антивирусное ПО на каждое устройство.

      1. Класс защищённости информационной системы

    Согласно руководящему документу Гостехкомиссии России «Классификация автоматизированных систем и требований по защите информации», выпущенном в 1992 году, информационную систему ООО «Знаток» можно отнести ко второй группе, классу 1Г, так как в многопользовательской системе, в которой одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют различные права на доступ к информации.

    Требования к классу защищённости 1Г представлены в таблице 6:

    Таблица 6 – требования к классу защищённости

    Элемент подсистемы
    Требования к элементу
    Реализовано в ИС

    Подсистема управления доступом
    - должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;
    - должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
    - должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
    - должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
    Отсутствует

    Подсистема регистрации и учета
    должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
    - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
    - результат попытки входа: успешная или неуспешная – несанкционированная;
    - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
    - код или пароль, предъявленный при неуспешной попытке;
    - должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. В параметрах регистрации указываются:
    - дата и время выдачи (обращения к подсистеме вывода);
    - спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
    - краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
    - идентификатор субъекта доступа, запросившего документ;
    - должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:
    - дата и время запуска;
    - имя (идентификатор) программы (процесса, задания);
    - идентификатор субъекта доступа, запросившего программу (процесс, задание);
    - результат запуска (успешный, неуспешный – несанкционированный);
    - должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
    Отсутствует

    В параметрах регистрации попыток указываются:
    - дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная;
    - идентификатор субъекта доступа;
    - спецификация защищаемого файла;
    - должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.



    Подсистема обеспечения целостности
    должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды.

    При этом:
    - целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
    - целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
    - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
    - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест – программ, имитирующих попытки НСД;
    - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
    Реализована в системе

    Проанализировав существующую в компании систему защиты, можно выделить методы и средства, которые должны быть дополнительно применены:

    1. Ввести дискреционный принцип контроля доступа;

    2. Вести контроль за модификацией данных;

    3. Вести регистрацию попыток входа и доступа к защищаемую функцию.

    В ходе данной главы был проведён анализ информационных активов компании, составлена модель угроз, а также определён класс защищённости информационной системы.
      1   2   3

    написать администратору сайта