Того, были рассмотрены вопросы безопасности и экологичности

Скачать 7.31 Mb. Название Того, были рассмотрены вопросы безопасности и экологичности Дата 30.03.2023 Размер 7.31 Mb. Формат файла Имя файла 535716.rtf Тип Диплом #1026890 страница 2 из 7

1   2   3   4   5   6   7 Рис. 2.1 Классификация угроз Перечень возможных угроз и средств борьбы с ними представлен в таблице 2.3. Таблица 2.3 Возможные угрозы и средства борьбы с ними Возможные угрозы Средства для уменьшения количества уязвимостей и снижения степени ущерба от угроз Основные непреднамеренные искусственные угрозы 1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.); 2) неумышленная порча носителей информации программа резервного копирования Macrium Reflect 3) заражение компьютера вирусами; Антивирус «Dr.Web», на сервере установлен UserGate 4) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной; Утверждение инструкций по работе с конфиденциальной информацией 5) игнорирование организационных ограничений (установленных правил) при работе в системе; Контроль за соблюдением правил работы с защищаемой информацией и привлечение к ответственности за ее нарушение. 6) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом средств защиты; Утверждение Должностной инструкции системного администратора по информационным технологиям (IT-специалист). В ней перечислены обязанности данного работника по организации информационной системы и ее безопасности. 7) неумышленное повреждение каналов связи. Провода каналов связи проложены в коробах Основные преднамеренные искусственные угрозы 1) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.); Установлены источники бесперебойного питания. (позволяют сохранить данные и завершить работу ПК.) 2) несанкционированный доступ в помещения учреждения для совершения кражи или других действий в не рабочее время; На данном предприятии дежурит охранник. Рекомендуется так же установка охранно-пожарной сигнализации, с возложением на охранника обязанностей вызова милиции или пожарной службы при срабатывании сигнализации. 3) нарушение конфиденциальности при почтовой пересылке в электронном виде отчетности; Обеспечивается программными продуктами Система «СТЭК-Траст», ViPNet [Деловая почта], которые поддерживают шифрование. 4) нарушение аппелируемости при почтовой пересылке в электронном виде отчетности. Обеспечивается программными продуктами Система «СТЭК-Траст», ViPNet [Деловая почта]. Данные продукты поддерживают ЭЦП. Так же обеспечивают категории информационной безопасности как целостность и аутентичность. Естественные угрозы 1) пожары; Установлена охранно-пожарная сигнализация Инструкция по пожарной безопасности. 2) прорыв трубы, протечка в крыше. Инструкция по технике безопасности. Инструкция действий в нештатных ситуациях. Ознакомления персонала с ней, и распределение отвечающих при возникшей данной ситуации. 2.4 Потенциальные каналы утечки информации Классификация потенциальных каналов утечки информации представлена в таблице 2.4. Таблица 2.4 Потенциальные каналы утечки информации на объекте № элемента информации Источник сигнала Путь утечки информации Вид канала Оценки реальности канала, % 1-7 Персонал Инициативное сотрудничество МВ, АК 10 (маловероятно) Склонение к сотрудничеству МВ, АК 5 (маловероятно) Подслушивание АК 45 (вероятно) Наблюдение ВО 45 (вероятно) Хищение МВ 5 (маловероятно) Модификация МВ 35 (вероятно) Уничтожение МВ 5 (маловероятно) Негласное ознакомление ВО 80 (высоковероятно) Несознательное разглашение МВ, АК 80 (высоковероятно) 1-7 Документы, бумажные носители Наблюдение ВО 80 (высоковероятно) Хищение МВ 10 (маловероятно) Копирование МВ 10 (маловероятно) Модификация МВ 35 (вероятно) Уничтожение МВ 10 (маловероятно) Перехват МВ 10 (маловероятно) Негласное ознакомление ВО 35 (вероятно) Фотографирование ВО 10 (маловероятно) Сбор и аналитическая обработка МВ 45 (вероятно) 1-7 Техническое средство обработки информации Наблюдение ВО 40 (вероятно) Хищение МВ, ЭМ 5 (маловероятно) Копирование МВ, ЭМ 10 (маловероятно) Модификация МВ, ЭМ 5 (маловероятно) Уничтожение МВ, ЭМ 5 (маловероятно) Незаконное подключение МВ, ЭМ 10 (маловероятно) Перехват МВ, ЭМ 5 (маловероятно) 1-7 Отходы Хищение МВ 25 (вероятно) Сбор и аналитическая обработка МВ 25 (вероятно) 7. Электронные носители информации Хищение МВ 25 (вероятно) Копирование МВ 35 (вероятно) Модификация МВ 20 (маловероятно) Уничтожение МВ 10 (маловероятно) Искажение МВ 20 (маловероятно) Сбор и аналитическая обработка МВ 45 (вероятно) 2.5 Эффективность существующей системы безопасности предприятия По результатам аудита информационной безопасности существующей системы безопасности предприятия было выявлено следующее: Существующая система защиты недостаточно надёжная. Существуют открытые каналы выноса материальных ценностей в обход контрольно пропускного пункта при использовании неравномерности защиты периметра территории завода. Вынос документации по разработкам не сопровождается подписанием документов о не разглашении (Имеется лишь устная договорённость). Кражи перспективных разработок сводят на нет инновационную деятельность предприятия. Существующие недостатки рассмотрены в следующих категориях. 2.5.1 Организационно-правовое направление защиты Аудит информационной безопасности объекта защиты показал, что на предприятии циркулирует большой объём информации, имеющей высокую степень важности. В положениях о подразделениях и должностных инструкциях руководителей и работников никакой ответственности за уничтожение, искажение или утерю информации не предусмотрено, упоминания об информационной безопасности отсутствуют. Никаких инструкций и правил, регламентирующих информационную безопасность, не предусмотрено. Среди установленных организационных мер по обращению с техническими средствами особо выделены следующие: 1) На входе организован контрольно пропускной пункт для предотвращения бесконтрольного перемещения по зданию. 2) Конфиденциальные документы хранятся в сейфах. Дополнительных мероприятий по отношению обеспечения информационной безопасности IT-специалистами, работающими на предприятии не выявлено. С целью совершенствования защищенного документооборота дополнению подлежат существующие на данном предприятии нормативно-правовые документы: .Инструкция по конфиденциальному делопроизводству; . Положение о конфиденциальной информации предприятия; . Обязательства работника о сохранении коммерческой тайны. .5.2 Программно-аппаратные направление защиты Программно-аппаратные средства реализованные на предприятии: 1. Использование систем управления доступом (защита от несанкционированной загрузки персонального компьютера, ограничение доступа к внутренним ресурсам). 2. Использование антивирусных средств. Программно-аппаратные меры позволят уменьшить риск таких угроз как нарушение доступности информации, и вероятность возникновения уязвимостей ошибки, сбои и отказы. Выявлены следующие возможные меры защиты: Использование неавторизованных USB устройств представляет угрозу корпоративным сетям и данным. Кроме доступа к USB портам существует спектр потенциально опасных устройств: дисководы, CD-ROM, а также FireWire, инфракрасные, принтерные (LPT) и модемные (COM) порты, WiFi и Bluetooth адаптеры. 2.5.3 Инженерно-технические направление защиты Помещения ОАО «Новозыбковский завод электротермического и электросварочного оборудования «Индуктор» расположены в нескольких корпусах на огороженной территории предприятия. . Здания оборудованы современными средствами пожарной безопасности. 2. Все точки входа / выхода и въезда / выезда контролируются посредством контрольно-пропускных пунктов, оснащенных постами охраны, турникетами, системами оповещения и видеомониторинга. 4. Территория огорожена забором и охраняется силами охраны и сторожевыми собаками. . Все помещения оборудованы взломостойкими сейфами по мере необходимости. . Налажена чёткая система пожарной и аварийной безопасности. Из вышеуказанной информации следует, что в данный момент на предприятии отсутствует комплексная система защиты информации. Меры, принимаемые для защиты информации, являются недостаточными. Информация на предприятии недостаточно защищена от угроз утери, искажения и уничтожения. 3. Определение требований к КСЗИ объекта 3.1 Требования к АС Для определения требований предъявляемых к ИС воспользуемся двумя руководящими документами: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Согласно руководящему документу и данным, приведенным выше, информационная система ОАО «Новозыбковский завод «Индуктор» относится к 1-й группе классов АС. Класс АС - 1Д. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. Требования к классу защищенности 1Д. Для подсистемы управления доступом: осуществление идентификации и проверки подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (осуществляется средствами ОС). Подсистема регистрации и учета: обеспечение регистрация входа (выхода) субъектов доступа в систему, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются (осуществляется средствами ОС): дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки входа: успешная или неуспешная - несанкционированная; идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку) (осуществляется организационными мероприятиями); учет защищаемых носителей в журнале (картотеке) с регистрацией их выдачи (приема) (осуществляется организационными мероприятиями). Подсистема обеспечения целостности: обеспечение целостности программных средств СЗИ от НСД, обрабатываемой информации, а также неизменности программной среды (осуществляется средствами ОС); осуществление физической охраны СВТ (устройств и носителей информации), предусматривающей контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время (осуществляется организационными и инженерно-техническими мероприятиями); периодическое тестирование функций СЗИ от НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД (осуществляется организационными мероприятиями); наличие средств восстановления СЗИ от НСД, предусматривающие ведение двух копий программных средств СЗИ от НСД и их периодического обновления и контроля работоспособности (осуществляется организационными мероприятиями, а также использованием систем резервного копирования). 3.2 Требования к КСЗИ в области выполнения требований, регламентирующих обработку персональных данных Для информационных систем 1 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации: . Определение, документальное фиксирование и утверждение руководством организации цели обработки персональных данных. . Определение необходимости уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных. . Для каждой цели обработки персональных данных определение, документальное фиксирование и утверждение руководством организации: объема и содержания персональных данных; сроков обработки, в том числе сроков хранения персональных данных; необходимости получения согласия субъектов персональных данных. . Проведение классификации персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных. Выделены следующие категории персональных данных: персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных”[5] к специальным категориям персональных данных; персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных”[5] к биометрическим персональным данным; персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным; персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных”[5] к общедоступным или обезличенным персональным данным. . Осуществление передачи персональных данных организацией третьему лицу с согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. . Прекращение обработки персональных данных и уничтожение собранных персональных данных, если иное не установлено законодательством РФ, в следующих случаях и в сроки, установленные законодательством РФ: по достижении целей обработки или при утрате необходимости в их достижении; по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ; при невозможности устранения оператором допущенных нарушений при обработке персональных данных. Определение и документальное фиксирование порядка уничтожения персональных данных (в том числе и материальных носителей персональных данных). . Определение и документальное фиксирование порядка обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных. . Определение и документальное фиксирование порядка действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных. . Для каждой ИСПДн организации определение и документальное фиксирование: цели обработки персональных данных; объема и содержания обрабатываемых персональных данных; перечня действий с персональными данными и способа их обработки. Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных в соответствии целям обработки. . При обработке различных категорий персональных данных для каждой категории персональных данных рекомендуется использовать отдельный материальный носитель. . Определение и документальное фиксирования перечня (списка) работников, осуществляющих обработку персональных данных в ИСПДн либо имеющих доступ к персональным данным. Возможно существование перечня (списка) в электронном виде при условии предоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации порядке. Доступ работников организации к персональным данным и обработка персональных данных работниками организации осуществляется только для выполнения их должностных обязанностей. . Работники организации, осуществляющие обработку персональных данных в ИСПДн, информируются о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также ознакомляются под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей. . Определение и документальное фиксирование порядка доступа работников организации и иных лиц в помещения, в которых ведется обработка персональных данных. . Определение и документальное фиксирование порядка хранения материальных носителей персональных данных, устанавливающего: места хранения материальных носителей персональных данных; требования по обеспечению безопасности персональных данных при хранении их носителей; работников, ответственных за реализацию требований по обеспечению безопасности персональных данных; порядок контроля выполнения требований по обеспечению безопасности персональных данных при хранении материальных носителей персональных данных. . При обработке персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных,. соблюдаются требования, установленные “Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, утвержденным Постановлением Правительства РФ от 15сентября 2008г. №687[6]. 4. Разработка КСЗИ и разработка мероприятий и методики по её внедрению на защищаемый объект 4.1 Структурная и функциональная схемы КСЗИ объекта Для разработки КСЗИ объекта и соблюдения комплексности была составлена структурная схема КСЗИ, представленная на рисунке 4.1. 1   2   3   4   5   6   7