Отчет по ПР №4 Швец В.А. ИСПа-о19. Практическая работа 4 Разработка комплекса мер защиты персональных данных в ис магазин одежды
 Скачать 24.94 Kb.
|
|
Практическая работа №4 Разработка комплекса мер защиты персональных данных в ИС магазин одежды Цели работы: ознакомление с нормативной документацией в области защиты персональных данных, получение навыков разработки мер по защите ИСПДН Ход работы 1.Анализ ИС Основными функциями управления магазина одежды являются: - планирование (стратегическое и текущее); - организация бизнес-процессов; - мотивация и контроль; - учет и анализ. Планирование — это важнейшая функция управления магазином, принципами которой являются непрерывность, точность, гибкость, экономичность. Организация бизнес-процессов представляет собой совокупность операций, которые обеспечивают наиболее целесообразное использование функций с целью выполнения установленных плановых заданий. Система мотиваций представляет собой совокупность поощрений и вознаграждений за выполнение определенной работы с наибольшей эффективностью. Для определения оценки мотивации прибегают к контролю, который заключается в наблюдении за ходом выполнения данной работы. С помощью учета результатов работы интернет-магазина достигается анализ его работы. Проанализировав результаты, можно приступать к новому этапу планирования. Магазин осуществляет розничную продажу одежды и обуви. Основной целью организации, как полностью коммерческого предприятия, состоит в получении прибыли от своей деятельности и максимально длительный срок оставаться на рынке, стремясь расширять свой ассортимент и рынок сбыта. Предприятие работает с множеством различных поставщиков. Заказ товара происходит по телефону. Оплата товара поставщикам осуществляется путем безналичного расчета платежным поручением. Процесс продаж происходит следующим образом: клиент покупает необходимые комплектующие в розницу через розничный магазин предприятия. Расчет производится наличными деньгами через кассу. Все обслуживание клиентов осуществляется продавцами розничного магазина. Бухгалтерскую документацию ведут бухгалтера. Они также занимаются сдачей регулярных отчетов в налоговую службу. 2.Разработать методы защиты информации 2.1 Проверка наличия уязвимых мест в информационной безопасности Анализ уязвимости начинается с выбора анализируемых объектов и определения степени детальности их рассмотрения. Сетевой уровень связан с доступом к информационным ресурсам внутри локальных сетей. Безопасность информации на этом уровне обеспечивается средствами проверки подлинности пользователей и разграничением доступа к ресурсам локальной сети (идентификация, аутентификация и авторизация). Защите системных ресурсов должно уделяться особое внимание, поскольку несанкционированный доступ к ним может сделать бессмысленными прочие меры безопасности. На каждом уровне определяются уязвимые элементы. Уязвимым является каждый компонент информационной системы. Но в сферу анализа невозможно включить каждый байт. Приходится останавливаться на некотором уровне детализации, отдавая себе отчет в приближенности оценки. Для новых систем предпочтителен детальный анализ. Старая система, подвергшаяся небольшим модификациям, может быть проанализирована только с точки зрения оценки влияния новых элементов на безопасность всей системы. Уязвимые места: - не разработано положений о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность; - пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе; - не существует ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы; - не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер; - не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности. 2.2 Существующие меры защиты информации Защита информации - не разовое мероприятие, а непрерывный целенаправленный процесс, предполагаемый принятие соответствующих мер на всех этапах жизненного цикла защиты системы. Разработка системы защиты должна начинаться с момента проектирования системы, а ее адаптация и доработка - на протяжении всего времени функционирования системы. Защита информации предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно - значимых для понимания решения проблемы обеспечения информационной безопасности. При создании системы защиты необходимо учитывать все слабые и наиболее уязвимые места системой обработки информации, а также характер возможных объектов нарушения и атак на системы со стороны нарушителя, пути проникновения в систему для несанкционированного доступа к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения, но и с учетом возможности появления преимущественно новых путей реализации угроз безопасности. Существующие меры и средства защиты информации в магазине одежды: - правовые (законодательные). Определяются законодательными актами страны, которыми регламентируется правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Применительно к России: Конституция, доктрина информационной безопасности, кодексы, законы, указы президента, постановления правительства, ГОСТы в области защиты информации; - морально-этические. К ним относятся нормы поведения, которые традиционно сложились по мере распространения сетевых и информационных технологий; - организационные (административные). Представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации; - технические. Реализуются в виде механических, электрических и электронных устройств, предназначенных для препятствования проникновению и доступу потенциального нарушителя к компонентам защиты; - программные. Представляют собой программное обеспечение, предназначенное для выполнения функций защиты информации. Правовое обеспечение информационной безопасности. Как сфера правового регулирования информационная сфера представляет собой совокупность субъектов, осуществляющих информационную деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется и социальных отношений, регулируемых правом или подлежащих правовому регулированию. Правовые аспекты обеспечения защиты информации направлены на достижение следующих целей: - формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации; - определение мер ответственности за нарушение правил защиты информации; - придание юридической силы технико-математическим решениям в вопросах организационно-правового обеспечения защиты информации; - придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты. Существующие меры и средства защиты информации выполняются и отслеживаются системными администраторами. 2.3 Проверка наличия уязвимых мест в физической безопасности Надежная физическая защита необходима для обеспечения сохранности материальных активов - бумажных носителей и систем. Защита коммуникаций (COMSEC) отвечает за безопасность при передаче информации. Защита излучения (EMSEC) необходима, так как в магазине противник имеет мощную аппаратуру для чтения электронной эмиссии от компьютерных систем. Компьютерная безопасность (COMPUSEC) нужна для управления доступом в компьютерных системах, а безопасность сети (NETSEC) - для защиты локальных сетей. В совокупности все виды защиты обеспечивают информационную безопасность (INFOSEC). Существующие уязвимые места в физической безопасности магазина одежды: - разрешено курить, есть, и пить рядом с компьютерами; - диски оставляются в ящиках столов, не делается архивных копий дисков; - реестр компьютерного оборудования и программ отсутствует, неполон, не обновляется или не проверяется после его заполнения; - распечатки, микрофиши, диски, содержащие критические данные выбрасываются в обычное мусорное ведро; - не производилось аттестации автоматизированной системы организации, то есть анализа насколько она уязвима к доступу неавторизованных людей, пожару или наводнению. Основным мотивом действий того и другого типа нарушителей может быть попытка вредительства компании в качестве мести (в случае сотрудника), ради развлечения или по заказу конкурентов (в случае внешнего злоумышленника). Заказ конкурентов маловероятен, но даже в случае реализации угрозы конкуренты не будут нанимать высококвалифицированного специалиста, т.к. преодолеть физическую защиту будет намного дешевле. 2.4 Существующие меры физической безопасности Меры обеспечения эффективного функционирования физической безопасности магазина одежды. - ведется строгий учет и четкий порядок хранения подлежащих защите товарно-материальных ценностей, финансовых ресурсов, бухгалтерской отчетности, машинных носителей информации; - высокая подготовка персонала в соответствии со штатным расписанием, четким знанием и строгим выполнением персоналом своих функциональных обязанностей; - персональная ответственность за свои действия каждого сотрудника, соприкасающегося в рамках своих должностных обязанностей с материальными, финансовыми и информационными ресурсами; - строгое выполнение всеми сотрудниками требований установленного режима на объекте; - эффективный контроль за соблюдением установленного режима на объекте; - принятие мер профилактического воздействия к потенциальным нарушителям; - эффективная работа сотрудников службы безопасности и охраны по своевременному выявлению и пресечению противоправных действий нарушителей; - результативная работа сил службы безопасности, эффективное взаимодействие с правоохранительными органами, своевременное информированием руководства организации о преднамеренных или непреднамеренных противоправных действиях недобросовестных сотрудников, партнеров по бизнесу, других лиц; - высокий профессиональный навык и опыт работы работников службы безопасности и охраны. Реализация системы инженерно-технических средств безопасности, предусматривающей многорубежность построения охраны территории, зданий и помещений с комплексным применением современных средств обнаружения, видеонаблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий; - устойчивая работа системы пожарной сигнализации и автоматического пожаротушения на объектах организации, ее своевременная проверка и обслуживание. Существующие меры имеют свое место быть и отслеживаются администраторами магазина. 2.5 Построить модели угроз технологической и эксплуатационной безопасности ПО Модель угроз технологической безопасности ПО должна представлять собой нормативный документ, которым должны руководствоваться заказчики и разработчики программных комплексов при разработке ПО. Модель угроз должна включать: - полный реестр типов возможных РПС; - описание технологически наиболее уязвимых мест компьютерных систем (с точки зрения наличия условий для скрытого внедрения РПС); - реконструкцию замысла злоумышленников, имеющих своей целью внедрение в ПО заданного типа (класса, вида) РПС; - портрет потенциального злоумышленника, осуществляющего деструктивные действия на этапе разработки ПО. В качестве приложения к модели может разрабатываться банк данных о выявленных РПС и описание связанных с их обнаружением обстоятельств, который периодически пополняется и уточняется. Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации. При обеспечении доступности информации возможно ее блокирование, либо уничтожение самой информации и средств ее обработки. Адекватные модели угроз информационной безопасности позволяют выявить существующие угрозы, разработать эффективные контрмеры, повысив тем самым уровень ИБ, и оптимизировать затраты на защиту (сфокусировав её на актуальных угрозах). У различных информационных систем, а также объектов одной информационной системы может быть разный спектр угроз, определяемый особенностями конкретной информационной системы и её объектов и характером возможных действий источника угрозы. Процедура построения модели угроз информационной безопасности состоит из нескольких последовательных шагов: - определение источников угроз; - выявление критических объектов информационной системы; - определение перечня угроз для каждого критического объекта; - выявление способов реализации угроз; - оценка материального ущерба и других последствий возможной реализации угроз; Модели угроз составляются на основе постоянно меняющихся данных и поэтому должны регулярно пересматриваться и обновляться. При построении данных моделей специалисты ARinteg используют каталоги и перечни угроз, содержащиеся в официальных стандартах информационной безопасности и методических документах ФСТЭК и ФСБ России, а также списки угроз, выявленных при проведении аудита информационной системы заказчика. Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению. Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям. Методы реализации можно разделить на группы по способам реализации. При этом необходимо учитывать, что само понятие «метод», применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие «предпосылка». 4. Прайс лист на услуги по защите информации
|