Формулирование политики безопасности подразделений и информационных служб

Пояснительная записка содержит 42 страницы, 8  таблиц, 2 приложения.

 

ЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ (ЛВС), ИСПДн, ПДн, МОДЕЛЬ УГРОЗ, МОДЕЛЬ НАРУШИТЕЛЯ, КЛАСС ЗАЩЕЩЕННОСТИ, СЗИ, НСД, АС, СОВЕРШЕННО СЕКРЕТНЫЕ СВЕДЕНИЯ. 

Разрабатывается и реализуется структура ресурсов (каталогов) для пользователей АС: 5-х начальников отделов, 3-х заместителей и 3-х специалистов в каждом отделе. Создается модель средство разграничения доступа для созданных ресурсов с помощью анализатора уязвимостей «Ревизор 2 ХР».

Результатом выполнения курсового  проекта является проект подсистемы защиты от несанкционированного доступа  информационной вычислительной сети администрации  района.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Под защитой информации в настоящее  время понимается область науки  и техники, которая включает совокупность средств, методов и способов человеческой деятельности, направленных на обеспечение  защиты всех видов информации в организациях и предприятиях различных направлений  деятельности и различных форм собственности.

В работе рассматривается учреждение администрации края. В такой организации предъявляются высокие требования к защите информации, так как она может содержать сведения, составляющие служебную тайну, персональные данные и секретные сведения, которые не должны быть доступны лицам, не имеющим соответствующих полномочий.

Цель  работы: обеспечить защиту информации от несанкциониро-ванного доступа в автоматизированной системе организации, предприятия или учреждения с помощью  программно-аппаратных средств защиты.

Для выполнения цели работы, поставлены следующие задачи:

1. Разработка эскизного проекта подсистемы защиты информации от несанкционированного доступа к информации для автоматизированной системы предприятия муниципального подчинения;

Разработка и реализация элементов  политики безопасности учреждения в  виде ТРД и экспериментальную  проверку соответствия полномочий пользователей  по доступу к  ресурсам АС полномочиям, указанным в модели СРД.

 

 

 

 

 

 

1 Разработка проекта подсистемы защиты информации от несанкционированного доступа

1.1 Общие сведения и исходные данные

Объект защиты: предприятие  муниципального подчинения.

Уровни конфиденциальности информации:

• общедоступная информация,
• персональные данные,
• сведения, составляющие служебную тайну,
• секретные сведения,
• совершенно секретные сведения.

Тип автоматизированной системы (архитектура): локальная вычислительная сеть.

Условия расположения автоматизированной системы (АС): все ЭВМ и каналы связи расположены в одной контролируемой зоне.

Состав информационной базы: носители имеют одинаковый уровень конфиденциальности.

Распределение полномочий пользователей: все пользователи имеют одинаковый допуск ко всем тематическим разделам информационной базы.

Построение системы защиты информации от НСД должно осуществляться с применением программно-аппаратных средств защиты от НСД.

Реализуемые информационные сервисы:

• доступ в АС высшего звена,
• электронная почта,
• вывод документов на печать,
• доступ в базы данных (БД),
• передача голосовых сообщений.

Таким образом, требуется  разработать проект системы защиты информации от НСД для АС учреждения администрации района, располагаемой в локальной вычислительной сети, ЭВМ которой расположены в одной контролируемой зоне. Все зарегистрированные клиенты сети имеют одинаковый допуск ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Управление разграничением доступа к ресурсам системы осуществляется с применением программно-аппаратных средств защиты от несанкционированного доступа.

Также необходимо разработать  и реализовать структуру ресурсов (каталогов) для пользователей АС:  3-х начальников отделов, 1-х заместителей и 5-х специалистов в каждом отделе, создать модель СРД для созданных ресурсов с помощью анализатора уязвимостей «Ревизор 2 XP» и выполнить проверку установленных в модели СРД полномочий пользователей по доступу на соответствие установленным ПРД  для заместителя начальника отдела и специалистов.

Схема АС представлена в приложении А.

1.2 Определение перечня защищаемых ресурсов и их критичности

На предприятии муниципального подчинения присутствуют следующие уровни конфиденциальности информации:

• общедоступная информация,
• персональные данные,
• сведения, составляющие служебную тайну,
• секретные сведения,
• совершенно секретные сведения.

Пользуемся следующими документами:

1. Федеральный закон № 149 от  27.07.2006 «Об информации, информационных технологиях и защите информации» (ред. от 21.07.2011);
2. Федеральный закон № 152 от 27.07.2006 «О персональных данных» (ред. от 25.07.2011);
3. Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (ред. от 23 сентября 2005 г.);
4. Федеральный закон № 5485-1 от 21.07.1993 «О государственной тайне» (ред. От 08.11.2011).

Общедоступная информация – общеизвестные  сведения и иная информация, доступ к которой не ограничен.

Персональные данные – любая  информация, относящаяся к прямо  или косвенно определенному или  определяемому физическому лицу (субъекту ПДн).

Сведения, составляющие служебную  тайну – конфиденциальные сведения, образующиеся в процессе управленческой деятельности органа или организации, распространение которых препятствует реализации органом или организацией предоставленных ему полномочий, либо иным образом отрицательно сказывается  на их реализации, а также конфиденциальные сведения, полученные органом или  организацией в соответствии с их компетенцией в установленном законодательством порядке.

Секретная информация – информация, не подлежащая разглашению, либо на распространение  которой наложены ограничения вследствие возможного причинения вреда лицам, заинтересованным в её нераспространении, или лицам, неосведомленным о  том, что существует информация, получение  которой тем или иным лицам  способно привести к причинению этими  лицами им ущерба.

Совершенно секретная информация – сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной  и оперативно-розыскной деятельности, распространение которых может  нанести ущерб интересам администрации  в одной из перечисленных областей.

Наиболее критичными данными являются государственная тайна, т.к. её разглашение  может привести к серьезным последствиям, и персональные данные сотрудников.

Перечень защищаемых ресурсов предприятия  муниципального подчинения представлен  в таблице 1.

Таблица 1 - Перечень защищаемых ресурсов

Защищаемый ресурс			К ресурсу допущены
полное наименование	условное наименование	категория доступа
2	3	4	5
Рабочее место начальника режимно-секретного отдела	АРМ 1.1	ГТ, СТ, ПДн	Начальник отдела
Рабочее место заместителя режимно-секретного отдела	АРМ 1.2	ГТ, СТ, ПДн	Заместитель начальника отдела
Первый специалист режимно-секретного отдела	АРМ 1.3	ГТ, СТ, ПДн	Специалист
Второй специалист режимно-секретного отдела	АРМ 1.4	ГТ, СТ, ПДн	Специалист
Рабочее место сотрудника режимно-секретного отдела	АРМ 1.5	ГТ, СТ, ПДн	Сотрудник
Рабочее место сотрудника режимно-секретного отдела	АРМ 1.6	ГТ, СТ, ПДн	Сотрудник
Рабочее место сотрудника режимно-секретного отдела	АРМ 1.7	ГТ, СТ, ПДн	Сотрудник
Рабочее место системного администратора режимно-секретного отдела	АРМ 1.8	ГТ, СТ, ПДн	Системный администратор
Рабочее место администратора безопасности отдела	АРМ 1.9	ГТ, СТ, ПДн	Администратор безопасности
VipNet Coordinator	VNSr	СТ	Администратор безопасности
Сервер Active Directory	ADSr		Системный администратор
Сервер Баз Данных	DBSr	СТ	Системный администратор, администратор безопасности отдела ИБ
Сервер резервного копирования	BUSr	СТ	Администратор безопасности отдела ИБ

 

1.3 Определение класса  АС

Для формирования требований к безопасности, которым должна соответствовать АС, необходимо определить её класс защищенности согласно руководящему документу Гостехкомиссии «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации». Исходными данными для определения класса защищенности являются:

• перечень защищаемых ресурсов АС и их уровней конфиденциальности;
• перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
• матрицы доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
• режимы обработки данных в АС.

В соответствии с заданием на проектирование в АС обрабатывается государственная  тайна и имеется доступ в АС высшего звена, все пользователи имеют одинаковый доступ к информации АС, которая обрабатывается в системе, следовательно класс АС – 1Б.

Для АС обрабатывающей сведения составляющие государственную тайну, помимо класса АС необходимо определить класс защищенности СВТ. Требования к классам защищенности СВТ изложены в  РД Гостехкомиссии «Средства вычислительной техники. Защита от НСД. Показатели защищенности от несанкционированного доступа к информации». В соответствии с руководящим документом,  для АС класса 1Б необходимо использовать МЭ, не ниже 2 класса.

1.4 Уровень защищенности  ИСПДн

Информационная система  персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без наличия таких средств.

В нашей системе обрабатываются следующие данные:

• Фамилия, имя, отчество (ФИО);
• Паспортные данные;
• Данные о регистрации;
• Дата рождения;
• ИНН.

Согласно порядку проведения классификации  информационных систем персональных данных, утвержденному Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", при определении уровня защищенности ИСПДн учитываются следующие факторы:

1. Тип ПДн в ИСПДн:

• обрабатывающие специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни)
• обрабатывающие биометрические категории персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта)
• обрабатывающие иные персональные данные.

2. Количество субъектов ПДн: более 100 000 или менее 100 000.

3. Тип актуальных угроз:

• 1 тип: угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (операционная система)
• 2 тип: угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн)
• 3 тип: угрозы, не связанные с наличием недокументированных (недекларированных) возможностей.

Согласно этим критериям уровень защищенности ИСПДн можно определить по таблице 3.

 

Таблица 3 – Уровни защищенности ПДн

Таким образом, получаем, что в нашей системе:

1. Тип актуальных угроз – 2-й
2. Категория ПДн – иные
3. Число субъектов ПДн которых обрабатываются – меньше 100 000
4. Персональные данные сотрудников – обрабатываются.

Учитывая вышеперечисленные  факторы классификации, рассматриваемой  ИСПДн мы присваиваем уровень  защищенности 3, требования к её защите утверждены в приложении к Постановлению Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.5 Требования к  построения СЗИ

Информационная система представляет собой локальную вычислительную сеть, условно поделенную на 3 зоны: информационная система отдела кадров, информационную систему режимно-секретного отдела и информационную систему отдела ИБ. Причем информационные система персональных данных находится в отдельном здании (филиале), а две другие в головном офисе. Требования приведены согласно РД ГТК «Автоматизированные системы. Защита от несанкционированного доступа к информации.