отчет по практике. Отчет 2. Отчет по практике Эксплуатационная практика
Скачать 141.24 Kb.
|
Министерство просвещения Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования «Российский государственный профессионально-педагогический университет» Институт инженерно-педагогического образования Кафедра информационных систем и технологий ОТЧЕТ по практике «Эксплуатационная практика» место прохождения практики: в\ч 77979
Введение Эксплуатационная практика является важным этапом подготовки квалифицированных специалистов. Она является видом учебно-вспомогательного процесса, в ходе которого закрепляется теоретические знания на производстве, компании. Практика является завершающим этапом в процессе подготовки специалиста к самостоятельной деятельности. Данная эксплуатационная практика проходила на базе воинской части с 07 июня 2021 года по 24 июня 2021 года на должности помощника специалиста информационной безопасности и автоматизированных систем. Работа велась в офисе части. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ 1.1 Рассмотрение нормативной базы в области построения комплексной системы защиты информации информация поток ресурс утечка При прохождении практики и для написания данной отчётности была отобрана нормативная база, состоящая из следующих документов: устав организации в\ч 77979; правила внутреннего распорядка и работы складских помещений в\ч 77979; ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России; ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России; ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России; ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования; ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения; ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью; ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности; ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем; ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий; Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от 15.09. 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Проектирование защищенных информационных систем процесс довольно сложный, который предполагает наличие соответствующих знаний и опыта, у ее создателей. Потребитель может не вникать в разработку такого проекта и подробности его развития, однако он обязан контролировать каждый его этап на предмет соответствия техническому заданию и требованиям нормативных документов. В свою очередь, персональный опыт проектировщиков требует использования существующих нормативных документов в данной области для получения наиболее качественного результата. Таким образом, процесс проектирования защищенных информационных систем должен основываться на знании и строгом выполнении требований существующих нормативных документов, как со стороны ее разработчиков, так и со стороны заказчиков. В организации в\ч 77979 соблюдены далеко не все требования из представленной нормативной базы, многие из них попросту игнорированы. 1.2 Информация, подлежащая защите, определение источников информации Защита информации - это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и т.д. Существует 4 уровня защиты информации: предотвращение - только авторизованный персонал имеет доступ к информации и технологии; обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены; ограничение - уменьшается размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению; восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению. Существует два источника информации, на которых базируется оценка компании: внутренний и внешний. Под внутренними источниками понимаются официальные каналы распространения информации в фирме, предоставление информации руководству компаний, ее структурных подразделений, филиалов и представительств. Под внешними - любая другая информация, полученная из внешней среды организации: СМИ, партнеров, конкурентов, клиентов, властей и т.п. (информирование акционеров, а также государственных финансовых органов, налоговых инспекций, кредитных организаций, страховых компаний, государственных органов статистики, инвестиционных фондов, органов государственной власти и управления, органов местного самоуправления, предприятий-поставщиков). Анализируя источники информации на предприятии, можно выделить следующие: документы; люди; представительство на ярмарках, салонах, конференциях; производимая продукция или оказываемые услуги; технические средства обеспечения производственной деятельности; косвенные источники (мусор, реклама, публикации в печати); информация на технических носителях. Источники конфиденциальной информации дают полные сведения о составе, содержании и направлении деятельности предприятия (организации). Поэтому грамотная система защиты, разработанная с учетом всех особенностей, позволит предотвратить многие проблемы. Всю информацию, движущуюся в в\ч 77979, можно разделить на три вида: а) Конфиденциальная информация, с ограничением допуска посторонних лиц (вопросы касающиеся внутреннего распорядка, устав); б) Персональные данные (база данных клиентов и сотрудников) в) Открытая информация, не подлежащая защите, утечка которой не нанесет вреда организации. 2.1 Анализ информационных ресурсов Информационные ресурсы - это совокупность данных, организованных для получения достоверной информации; документы и массивы документов, отдельные и в информационных системах. Информационные ресурсы предприятия представлены в документах массивов информации на машинных носителях, архивах, фондах, библиотеках. Информационные ресурсы, частью которых является и информационные технологии, имеют в данном определении четкую структуру в соответствии с методикой их создания, оценки и 2.2 Анализ программно-технических средств, используемых в В/Ч 77979 С помощью программно-технических средств можно в определенной мере решать как основные задачи защиты в вычислительных системах (от хищения, от потери, от сбоев и отказов оборудования), так и защиту от ошибок в программах. Решение этих задач в системах защиты обеспечивается следующими способами: защитой от несанкционированного доступа к ресурсам со стороны пользователей и программ; защитой от несанкционированного использования ресурсов при наличии доступа; защитой от некорректного использования ресурсов; внесением структурной, функциональной и информационной избыточности; высоким качеством разработки программно-аппаратных средств. Рассмотрим программно-технические средства, используемые на в в/ч 77979 Программно-технические средства В/Ч 77979
Как мы видим, В/Ч 77979 надёжно защищена программными средствами. Все версии программ регулярно обновляются специалистами. Так же организация хранит все важные данные в облачном сервисе для исключения непреднамеренного удаления информации. 2.3 Анализ защищаемого помещения и каналов утечки в/ч 77979 расположена в пгт. Кольцово около аэропорта в городе Екатеринбург. Вблизи сооружения находятся и другие постройки, такие как продовольственный магазин, жилой многоэтажный дом, сельскохозяйственные корпуса. Схематический план помещения организации можно увидеть на рисунке. Рисунок. Схематический план помещения штаба в/ч 77979 Двери кабинетов открываются наружу (в холл). Всего на этаже расположены три камеры видеонаблюдения, физического контроля компания не имеет, камеры пишут на регистратор с защищённым жёстким диском объёмом 1 Тбайт. Дверь от лестницы в прихожую(6) постоянно открыта в рабочее время, а дверь из прихожей в холл закрыта в часы обеденного перерыва с 13:00 до 14:00. Персональные компьютеры расположены в каждом кабинете, все они имеют выход в Интернет и объединены локальной сетью. Принтеры установлены в кабинете генерального директора(1), в коммерческом отделе(5), финансовом отделе(4). Стационарные телефоны установлены в кабинетах 1, 3, 4, 5 (Рисунок 2.4), технический отдел(2) не имеет стационарного телефона. Существуют следующие виды утечки информации: 1. Радиоизлучение монитора. 2. Микрофонный эффект, закладки в телефонном аппарате. . Стекло вибрация, видеонаблюдение. . Вибрация стен, перекрытий, систем отопления, вентиляции, дверей. . Анализ передаваемых данных (электромагнитное излучение, использование атак по сети, паразитное радиоизлучение, вирусы). . Прослушивание телефонного и факс-модемного трафика. . Жучки, направленные микрофоны. . Доступ посторонних лиц. . Человеческий фактор. Радиоизлучение монитора. Перехват изображения монитора достаточно распространенный способ хищения информации. Это становится возможным в связи с его паразитным излучением, прием которого возможен до 50 м. В в/ч 77979 нет необходимой защиты от данной угрозы. Микрофонный эффект. Акустические колебания микрофона или обмоток звонка возникают при положенной трубке и могут быть сняты с телефонного кабеля, например, на АТС. Также нет защиты. Видеонаблюдение за помещением. Это возможно как через окно, так и с помощью вмонтированных камер в предметы помещения, либо в вещи постороннего человека, попавшего в закрытое помещение. На окне помещения имеются поворотные жалюзи, защищающие от съема видовой информации через окно. Посторонние лица имеют возможность разглядеть информацию на мониторе. Считывание вибрации стекла. Такое удаленное действие возможно с помощью лазера. В помещении стоят двойные стеклопакеты, следовательно эта угроза нейтрализована. в/ч 77979 не имеет факсимильного аппарата, таким образом, исключён перехват трафика. Решётки на окнах помещения не установлены. 2.4 Модель угроз нарушителя Модель угроз нарушителя представляет собой его комплексную характеристику отражающую его возможное психологическое состояние, уровень физической и технической подготовленности, осведомленности, которая позволяет оценить степень его способности в практической реализации проникновения. В рассматриваемом случае учитываются только угрозы объекту, включающие несанкционированное проникновение. Но следует иметь в виду, что конечная цель проникновения может быть различной, она зависит от категории объекта, облика возможного нарушителя и может варьироваться от простой кражи до террористического акта. В таблице рассмотрена модель угроз нарушителя для в/ч 77979 Модель угроз нарушителя
Заключение Цель эксплуатационной практики, которая заключалась в исследовании процессов защиты информации, была достигнута. В процессе прохождения были изучены информационные системы, меры и средства для их защиты, официальные документы предприятия, нормативная и методическая документация, которые позволили решить многие поставленные задачи. В ходе прохождения учебно-ознакомительной практики я ознакомился с организационной структурой, рассмотрел информационную систему обработки персональных данных, построил для неё модель угроз и модель нарушителя, определил класс и тип и рассчитал актуальные угрозы ИСПДн. Также ознакомился с новыми программными средствами обеспечения безопасности информации. Осмотрел различное оборудование и получил краткую характеристику по каждому из них. В процессе прохождения практики я влился в рабочий коллектив, почувствовал весь рабочий процесс предприятия. Немаловажным является тот факт, что в процессе прохождения учебно-ознакомительной практики были получены новые теоретические и практические знания в области информационной безопасности: . Рассмотрение нормативно-методической базы в области построения комплексной системы защиты информации. . Анализ системы обработки данных. . Исследование организационной структуры предприятия, выявление видов конфиденциальной информации и ресурсов. . Обоснование актуальных угроз и определение нарушителей информационных процессов в системе организации. . Исследование способов защиты информационных ресурсов в системе. . Анализ каналов утечки информации на предприятии. . Формулировка выводов о состоянии комплексной системы защиты информации в организации. Во время прохождения практики, я сделал вывод, что состояние защищенности в/ч 77979 является удовлетворительным. С целью совершенствования системы защиты в в\ч 77979 следует провести следующие мероприятия: осуществлять более тщательный контроль соблюдения правил хранения рабочей документации сотрудников предприятия; регулярно проверять и обслуживать все информационные системы и информационные инфраструктуры на работоспособность; разграничить доступ к файлам, каталогам, дискам; установить программы защиты от спама; установить источники бесперебойного питания. Исходя из всего вышеизложенного, можно сделать выводы, что все поставленные на производственную практику цели и задачи были выполнены. Библиографический список 1. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 2. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России; . ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. Госстандарт России; . ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России; . ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования; . ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения; . ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью; . ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности; . Галатенко, В.А. Стандарты информационной безопасности : справ. пособие / В. А. Галатенко - М. : Интернет-университет информационных технологий, 2006. - 328 c. . Грибунин, В.Г. Комплексная система защиты информации на предприятии : учебное пособие для вузов / В. Г. Грибунин, В.В.Чудовский. - М. : Издательский центр «Академия», 2009. - 416 с. . Куприянов, А. И. Основы защиты информации: учеб. Пособие для студ. высш. учеб. заведений/ А.И.Куприянов, А.В.Сахаров, В. А. Шевцов - М.: Издательский центр «Академия», 2006. - 256 с. . Петраков, А.В. Основы практической защиты информации : учебное пособие / А.В.Петраков - М. : Радио и связь, 2004.-368с. . Попов, Л.И., Зубарев А.В. Основные принципы повышения эффективности реализации мероприятий по комплексной защите информации. «Альтпресс», 2009. -512c. . Семкин, С. Н. Защита информации. Основы информационной безопасности объектов : курс лекций / С. Н. Семкин - Орел. : ВИПС, 2000. - 269 с. |