Главная страница
Навигация по странице:

  • Выбор

  • Таблица 10

  • Наименование и

  • Dallas

  • IDECO

  • ПАК ViPNet

  • Проектная

  • Комплекс организационных мер обеспечения информационной

  • Организационно-административная

    		•

    Анализ и модернизация системы информационной безопасности в тран. Выпускная квалификационная работа на тему Анализ


    Скачать 0.6 Mb.
    НазваниеВыпускная квалификационная работа на тему Анализ
    Дата31.05.2022
    Размер0.6 Mb.
    Формат файлаdocx
    Имя файлаАнализ и модернизация системы информационной безопасности в тран.docx
    ТипАнализ
    #559162
    страница9 из 16
    1   ...   5   6   7   8   9   10   11   12   ...   16

    Выбор защитных мер


    Совершенствование защитных мер предполагает пересмотр политики ТК

    «Шерл» в отношении организационных и технических мероприятий по защите информации.

            1. Выбор организационных мер.


    Под организационными мероприятиями по обеспечению безопасности информации понимается процесс регламентации деятельности, а также взаимоотношений исполнителей на базе нормативно-правовой основы, которая исключает либо существенно затрудняет неправомерное владение конфиденциальной информацией, и включаемая в себя организацию контрольно- пропускного режима, а также процесс организации работы с сотрудниками, и документами, а также организацию использования специальных технических средств и работы по анализу угроз безопасности информации.

    В качестве организационных мер рассматриваются [6]:

    • мероприятия по оценке уровня защищенности персональных данных;

    • мероприятия по ведению организационно-распорядительных документов, регламентирующих работу персонала с конфиденциальной информацией, а также, разделение зон ответственности и распределение обязанностей должностных лиц;

    • осуществление постоянного контроля соблюдения режима конфиденциальности и выполнения соответствующих инструкций;

    • мероприятия по обеспечению резервирования электропитания.




            1. Выбор инженерно-технических мер.

    Инженерно-технические меры защиты сроятся на основании следующих заключений:

    • максимальное использование интегрированных в сетевое оборудование, операционные системы и прикладное программное обеспечение средств защиты информации;

    • использование накладных средств защиты информации только для нейтрализации угроз, которые невозможно устранить штатными средствами;

    • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям Российской Федерации по информационной безопасности.

    Для реализации инженерно-технических мер необходимо внедрить и настроить средства защиты информации в соответствии с политикой по информационной безопасности ТК «ШЕРЛ». В структуру ТК «ШЕРЛ» необходимо внедрить:

      • средство защиты информации от несанкционированного доступа;

      • межсетевой экран.

    Выбор конкретных средств проводится методом анализа рынка средств защиты информации, с выбором наиболее оптимального и доступного варианта, реализующего необходимые технические меры обеспечения. Результаты анализа представлены в таблице 10 [24].

    Таблица 10 Анализ рынка средств защиты информации
    Наименование и комплект поставки
    Тип СЗИ
    Возможности
    Цена, руб.


    1

    Secret Net Studio Лицензия SNS Установочный комплект Сертификат ФСТЭК
    СЗИ от НСД, МЭ
    Аутентификация пользователей. Разграничение доступа.

    Доверенная информационная среда.

    Контроль за утечками и

    каналами распространения конфиденциальной информации.

    Контроль за устройствами. Затирание остаточной информации.

    Централизованное управление системой защиты.
    11430


    одключением











    Масштабируемая система защиты.

    Защита терминальной

    инфраструктуры и поддержка технологий виртуализации

    рабочих столов (VDI). Межсетевой экран.

    Шифрование контейнеров.



    2


    КСЗИ «Панцирь+»
    Лицензия Установочный комплект Сертификат ФСТЭК

    СЗИ от НСД
    Разграничение доступа к локальным и разделенным в



    сети ресурсам Продолжение таблицы 10

    Управление п

    устройств

    Обеспечение замкнутости программной среды

    Контроль целостности файловых объектов (программ и данных) и контроля корректности

    функционирования КСЗИ

    Авторизация, позволяющая подключать аппаратные средства ввода парольных

    данных Контроль корректности идентификации субъекта

    доступа к ресурсам Противодействие ошибкам и закладкам в системном и в

    прикладном ПО.
    5600

    3


    Dallas Lock 8.0-K
    Лицензия DL 8.0 Установочный комплект Сертификат ФСТЭК
    СЗИ от НСД
    Идентификация и аутентфикация

    Управление доступом Регистрация и учёт

    Гарантированная зачистка информации

    Преобразование информации Контроль устройств

    Межсетевое экранирование Обнаружение и предотвращение вторжений

    Контроль целостности
    7500


    4
    Блокхост-Сеть 2.0 Лицензия Установочный комплект Сертификат ФСТЭК

    СЗИ от НСД
    Двухфакторная аутентификация Контроль и ограничение запуска процессов

    Разграничение прав доступа пользователей к файлам и папкам

    Контроль вывода информации на печать и отчуждаемые носители

    Гарантированное удаление

    файлов и очистка оперативной памяти

    Контроль изменения реестра и его восстановление

    5200


    5
    IDECO ICS ФСТЭК

    Программно-

    аппаратный шлюз

    Монтажный комплект

    МЭ
    Межсетевой экран с

    предустановленными правилами для надежной защиты сети.

    29200







    Сертификат ФСТЭК



    Контроль приложений Защита от сканеров сети, DoS-атак и

    блокирование чрезмерной активности пользователей.

    Многоуровневая фильтрация нежелательной почты.

    Ограничение трафика

    Планирование и ограничение трафика.

    Подсчет статистики в реальном времени, автоматическое предупреждение и отключение пользователя при превышении лимита.

    Расширенный контент-фильтр - 144 категории трафика. Более 500 млн. url в обновляемой базе данных.

    Удаленное подключение,

    виртуальные частные сети VPN. Доступ сотрудников к сети предприятия из дома или

    командировки по защищенному каналу VPN IPsec.

    Возможность объединить все удаленные подразделения в общую сеть на единой

    платформе по шифрованным протоколам VPN IPsec или OpenVPN.




    6


    АПКШ "Континент"

    3.7. IPC10

    Программно-

    аппаратный шлюз

    Монтажный комплект Сертификат ФСТЭК

    МЭ
    Защита по внешнему периметру сети от вредоносных воздействий со стороны сетей связи общего пользования.

    Создание отказоустойчивых VPN-сетей между территориально-

    распределенными объектами. Защита межсетевого трафика в мультисервисных сетях.

    Разделение сетей на сегменты с разным уровнем доступа.

    Организация канала

    защищенного удаленного подключения к сети для удаленных сотрудников.

    Защита внутреннего траффика, использующего беспроводную сеть в качестве канала.

    Организация защищенного межсетевого взаимодействия между конфиденциальными

    сетями.
    83040


    7
    ПАК ViPNet Coordinator HW50 Программно-

    аппаратный шлюз

    Монтажный комплект

    МЭ
    ViPNet VPN-шлюз сетевого

    уровня (L3): защита соединений сетевого уровня (OSI) с шифрованием и

    аутентификацией.

    51500







    Сертификат ФСТЭК



    Сервер IP-адресов (оповещение защищенных узлов о

    параметрах доступа друг к другу).

    Маршрутизатор VPN-пакетов (маршрутизация и контроль целостности зашифрованных IP- пакетов, передаваемых между сегментами защищенной сети). Межсетевой экран с контролем состояния сессий и инспекцией прикладных протоколов.

    Раздельная настройка

    фильтрации для открытого и шифруемого IP-трафика.

    NAT/PAT.

    Антиспуфинг.

    Сервер Открытого Интернета Прокси-сервер.

    DNS-сервер. NTP-сервер. DHCP-сервер. DHCP-Relay.



    По итогам сравнения наиболее оптимальными вариантами признаны:

    • Secret Net Studio;

    • IDECO ICS ФСТЭК.


        1. Проектная часть

    В проектной части приводится описание основных нормативных документов в сфере обеспечения информационной безопасности и безопасности персональных данных, а также описание реализации настроек средств защиты информации.

          1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.

            1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

    Одним из основных нормативно-правовых документов в сфере обработки и защиты ПДн является Конвенция «О защите прав субъектов персональных данных при их автоматизированной обработке» (далее Конвенция). Она была подписана в Страсбурге 28 января 1981 года. Конвенция является международным договором, который был подписан странами Совета Европы. Целью этого международного договора является обеспечение на территории стран, подписавших документ, для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его ПДн [3].

    Право на неприкосновенность частной жизни в Российской Федерации гарантируется статьей 23 Конституции РФ. Поэтому, с целью реализации данного права при обработке ПДн субъектов, а также с целью интеграции с европейскими странами, Конвенция была подписана РФ 7 ноября 2001 года в Страсбурге. Федеральный закон 160-ФЗ от 19 декабря 2005 года ратифицирует подписанную Конвенцию. В связи с ратификацией Конвенции РФ обязана разработать внутреннее законодательство, которое обеспечивает защиту прав граждан при автоматизированной обработке их ПДн, в соответствии с принципами и положениями Конвенции.

    В соответствии с ратификацией Конвенции, в РФ был разработан и подписан 27 июля 2006 года федеральный закон №152-ФЗ «О персональных данных». Целью
    данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Для обеспечения защиты этих прав федеральный закон вводит ряд принципов и условий обработки ПДн. Также, федеральный закон вводит права субъекта при обработке его ПДн и устанавливает обязанности для оператора. Помимо этого, в законе описываются функции, права и обязанности органа исполнительной власти, который уполномочен обеспечивать контроль и надзор в сфере защиты прав субъектов ПДн [6].

    Одной из основных обязанностей оператора, в соответствии со статьей 19 федерального закона №152-ФЗ, является принятие мер для обеспечения безопасности при их обработке. Федеральный закон рекомендует принимать следующие меры по обеспечению безопасности ПДн:

    1. Определение состава угроз безопасности ПДн в процессе обработки в ИСПДн;

    2. Применение мер (организационных и технических) по обеспечению безопасности ПДн в процессе их обработки в ИСПДн, необходимых для реализации требований к обеспечению безопасности персональных данных, исполнение которых реализует установленные ППРФ-1119 уровни защищенности ПДн;

    3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

    4. Оценка состава эффективности принятых мер по реализации безопасности ПДн до сдачи в эксплуатацию ИСПДн;

    5. Учет внешних носителей ПДн;

    6. Выявление фактов НСД к ПДн;

    7. Восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;

    8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

    9. Контроль принимаемых мер по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.


    В соответствии с частью 3 статьи 19 федерального закона №152-ФЗ Правительством РФ 1 ноября 2012 года утверждено постановление №1119 «Об утверждении Требований к защите персональных данных в информационных системах персональных данных». Этот подзаконный акт устанавливает уровни защищенности для различных ИСПДн, а также требования к защите ПДн в ИСПДн для каждого из этих уровней.

    Согласно постановлению, безопасность обработки ПДн в ИСПДн обеспечивает оператор. Прежде чем, установить соответствующий уровень защищенности ПДн, оператору необходимо определить следующие параметры:

      1. Вид ИСПДн;

      2. Тип актуальных угроз безопасности ПДн;

      3. Объём, обрабатываемых ПДн.

    Вид ИСПДн зависит от категории обрабатываемых ПДн. Постановлением вводится 5 видов ИСПДн:

    1. ИСПДн, обрабатывающая специальные категории ПДн;

    2. ИСПДн, обрабатывающая биометрические ПДн;

    3. ИСПДн, обрабатывающая общедоступные ПДн;

    4. ИСПДн, обрабатывающая иные категории ПДн;

    5. ИСПДн, обрабатывающая ПДн работников оператора. Актуальные угрозы, согласно постановлению, делятся на 3 типа:

    1. Актуальные угрозы, связанные с наличием НДВ в системном ПО;

    2. Актуальные угрозы, связанные с наличием НДВ в прикладном ПО;

    3. Актуальные угрозы, не связанные с наличием НДВ в системном и прикладном ПО.

    При определении актуальных угроз, постановление указывает, что оператор должен основываться на оценке возможного вреда субъекту ПДн [7].

    Также в постановлении, помимо актуальных угроз и содержания, выделяется объем ПДн:

    1. Меньше 100 000 субъектов;

    2. Больше 100 000 субъектов.

    Таким образом, уровень защищенности зависит от категории ПДн, количества ПДн субъектов и типа актуальных угроз [10].
    После определения уровня защищенности оператор должен обеспечить выполнение требований, которые устанавливаются постановлением для обеспечения необходимого уровня защищенности.

    После определения вышеуказанных параметров, оператор, в соответствии с ними, должен определить уровень защищенности ПДн.

    В соответствии с частью 4 статьи 19 федерального закона №152-ФЗ, ФСТЭК подписала приказ №21 от 18 февраля 2013 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Данных приказ обеспечивает реализацию определенных организационных и технических мер защиты ПДн для уровней защищенности, определяемых в соответствии с постановлением Правительства №1119.

    Приказ рекомендует операторам проводить оценку эффективности их реализации раз в 3 года. 15 июля 2013 года ФСТЭК опубликовал информационной сообщение 240/22/2637, в котором указывается, что оценка эффективности проводится в рамках аттестации объекта информатизации и проводится в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения». Таким образом, законодательство рекомендует операторам, а в некоторых случаях обязует (государственные ИС) проводить аттестацию ИСПДн раз в 3 года, при которой могут привлекаться специалисты.

    Рассмотрим состав и содержание Мер. Согласно приказу №21 от 18 февраля 2013 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», в состав мер входят:

    1. Идентификация, а также аутентификация субъектов доступа к объектам доступа;

    2. Управление по доступу субъектов доступа к объектам доступа;

    3. Ограничение в программной среде;

    4. Защита внешних носителей информации, на которых содержатся и /или обрабатываются персональные данные;

    5. Аудит событий безопасности;




    1. Антивирусная безопасность;

    2. Обнаружение и предотвращение вторжений;

    3. Контроль и анализ безопасности ПДн;

    4. Реализация целостности ИСПДн и ПДн;

    5. Обеспечение доступности ПДн;

    6. Защита средств виртуализации;

    7. Защита технических комплексов;

    8. Защита ИСПДн, ее средств, каналов связи и сетей передачи данных;

    9. Определение инцидентов (одного или группы событий), которые потенциально могут привести к сбоям либо нарушению нормального функционирования ИСПДн и/или к возникновению потенциальных угроз безопасности ПДн, и реагирование на них;

    10. Управление конфигурациями ИСПДн и СЗПДн.

    В приложении к приказу указано, какие меры необходимо применить для обеспечения безопасности ПДн для каждого уровня защищенности, который определяется в соответствии с постановлением Правительства №1119. Также стоит отметить, что данные меры распределены по подсистемам СЗПДн

    Далее, в приказе раскрывается каждая мера и указывается, что она должна обеспечивать. Таким образом, ФСТЭК разработал для операторов комплекс мер, которые должны быть направлены на нейтрализацию актуальных угроз безопасности ПДн при их обработке в ИСПДн. Но, не все эти меры могут понадобиться оператору, а также не все эти меры могут нейтрализовать существующие актуальные угрозы безопасности. Для этого в приказе приводится алгоритм выбора мер. Он состоит из 4 шагов:

      1. Определение базового набора мер;

      2. Адаптация базового набора мер;

      3. Уточнение адаптированного базового набора мер;

      4. Дополнение уточненного адаптированного базового набора мер.




            1. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

    В соответствии с перечнем организационных мероприятий, определенных в п.1.4.1 проведем описание организационных мероприятий по совершенствованию системы обеспечения информационной безопасности ТК «ШЕРЛ».

    Определение уровня защищенности персональных данных начинается с выявления актуальных угроз безопасности.

    Среди актуальных угроз безопасности ПДн при их обработке в ИСПДн существуют угрозы, связанные с уязвимостями в системном ПО, а также прикладном ПО.

    Применение перечисленного ПО потенциально может быть источником канала НДВ. Однако данные уязвимости нейтрализуются путем установки обновлений от разработчика ОС. Поэтому, будем считать, что актуальные угрозы, связанные с НДВ в системном и прикладном ПО, отсутствуют.

    Таким образом, среди актуальных угроз безопасности ПДн отсутствуют угрозы, связанные с наличием НДВ в системном или прикладном ПО. Поэтому, в соответствии с постановлением Правительства №1119, в ИСПДн актуальны угрозы 3-го типа [12].

    В ИСПДн обрабатываются ПДн менее чем 100 000 субъектов. Также в ИСПДн обрабатываются ПДн сотрудников оператора, а также клиентов (лиц, не являющихся сотрудниками оператора). В ИСПДн обрабатываются данные о финансовом состоянии клиентов ТК «ШЕРЛ» (специальные категории ПДн).

    Совокупные характеристики ИСПДн определены в таблице 11.
    1   ...   5   6   7   8   9   10   11   12   ...   16

    написать администратору сайта