Формулирование политики безопасности подразделений и информационных служб

Автор работы: Пользователь скрыл имя, 21 Июля 2013 в 12:03, курсовая работа

Описание работы

Цель работы: обеспечить защиту информации от несанкциониро-ванного доступа в автоматизированной системе организации, предприятия или учреждения с помощью программно-аппаратных средств защиты.
Для выполнения цели работы, поставлены следующие задачи:
1) Разработка эскизного проекта подсистемы защиты информации от несанкционированного доступа к информации для автоматизированной системы предприятия муниципального подчинения;

Скачать архив (547.16 Кб) Сколько стоит заказать работу?

Файлы: 1 файл

Литвиненко.docx

— 564.90 Кб (Скачать файл)

В таблице 4 представлены актуальные угрозы.

Таблица 4 – Актуальные угрозы для ИСПДн

По документу ФСТЭК России: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных"	Вводим для расчёта		Актуальность угрозы	Промежуточные расчёты
	Опасность (ущерб)	Вероятность Y2	Актуальность угрозы	Y = (Y1+Y2)/20	Возм. реал. угрозы
Угрозы утечки информации по техническим каналам
угрозы утечки видовой информации	средняя	5	актуальная	0,5	Средняя
Просмотр (регистрация) ПДн непосредственно в служебных помещениях [с экранов дисплеев и других средств отображения графической, видео- и буквенно-цифровой информации]	средняя	2	актуальная	0,35	Средняя
Просмотр (регистрация) ПДн на расстоянии прямой видимости из-за пределов служебных помещений с использованием оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации.	средняя	2	актуальная	0,35	Средняя
Просмотр (регистрация) ПДн с помощью специальных электронных устройств съема, внедренных в служебных помещениях (видеозакладки) или скрытно используемых физическими лицами при посещении ими служебных помещений.	средняя	0	неактуальная	0,25	Низкая
Угрозы НСД к персональным данным
Разглашение паролей BIOS или дополнительных аппаратных средств аутентификации, например, записывание в доступном для нарушителя месте (на бумаге, клавиатуре и т.п.)	высокая	10	актуальная	0,75	Высокая
угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей тнформации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)	средняя	5	актуальная	0,5	Средняя
Предоставление пользователям прав доступа (в том числе по видам доступа) к ПДн и другим ресурсам ИСПДн сверх необходимого для работы	низкая	10	актуальная	0,75	Высокая
Неумышленная (случайная) отправка ПДн по ошибочным адресам электронной почты	средняя	5	актуальная	0,5	Средняя
Преднамеренное копирование доступных ПДн на неучтённые (в том числе отчуждаемые) носители в том числе печать неучтённых копий документов с ПДн на принтерах	средняя	2	актуальная	0,35	Средняя
Неумышленное (случайное) добавление (фальсификация) ПДн	средняя	2	актуальная	0,35	Средняя
Неумышленное (случайное) уничтожение доступных ПДн (записей, файлов, форматирование диска)	низкая	10	актуальная	0,75	Высокая
Преднамеренное уничтожение доступных ПДн (записей, файлов, форматирование диска)	высокая	2	актуальная	0,35	Средняя
Оставление без присмотра незаблокированных рабочих станций	средняя	10	актуальная	0,75	Высокая
Подкючение к ИСПДн стороннего оборудования (компьютеров, дисков и иных устройств, в том числе имеющих выход в беспроводные сети связи)	низкая	5	актуальная	0,5	Средняя
Использование оборудования, оставленного без присмотра, незаблокированных рабочих станций, использование чужих имён и паролей	средняя	5	актуальная	0,35	Средняя
угрозы внедрения вредоносных программ	средняя	10	актуальная	0,75	Высокая
угрозы типа «Отказ в обслуживании»	высокая	5	актуальная	0,5	Средняя
угрозы "анализа сетевого трафика" с перехватом информации, передаваемой по локальной сети, а также во внешние сети и принимаемой из внешних сетей	средняя	5	актуальная	0,5	Средняя
Использование возможностей удаленного управления системой. Использование скрытых компонентов ("троянских" программ) либо штатных средств управления и администрирования компьютерных сетей	средняя	2	актуальная	0,35	Средняя
Применение методов социальной инженерии (мошенничество, обман, фишинг)	средняя	10	актуальная	0,75	Высокая
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа	средняя	2	актуальная	0,35	Средняя
установка вредоносной программы для перехвата пароля	средняя	5	актуальная	0,5	Средняя
Ошибки при обслуживании серверного оборудования и проведении операций по обслуживанию прикладных систем, либо при проведении установочных работ	средняя	2	актуальная	0,35	Средняя
Физическое копирование носителей с ПДн	средняя	2	актуальная	0,35	Средняя
Хищение, утрата резервных копий носителей ПДн	средняя	2	актуальная	0,35	Средняя
Нарушение порядка резервного копирования ПДн	средняя	2	актуальная	0,35	Средняя
Доступ к информации ИСПДн, выходящей за пределы контролируемой зоны вследствие списания (утилизации) носителей информации, содержащих ПДн	средняя	2	актуальная	0,35	Средняя
игнорирование организационных ограничений (установленных правил) при работе с ресурсами АСЗИ, включая средства защиты информации:	средняя	10	актуальная	0,75	Высокая
нарушение правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации(в частности, ключевой, парольной и аутентифицирующей информации);	средняя	10	актуальная	0,75	Высокая
несообщение о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа.	средняя	10	актуальная	0,75	Высокая

1.7 Выбор механизмов и средств защиты информации от НСД

Средства защиты от НСД:

Для обеспечения защиты от НСД существует ряд продуктов, обладающих необходимым набором функций и удовлетворяющих требованиям нормативных документов:

ПАК Соболь 3.0: средство защиты от НСД, позволяет: проводить аутентификацию пользователей и регистрировать попытки доступа к рабочей станции, блокировать загрузку ОС со съемных носителей, контролировать целостность программной среды, контролировать целостность конфигурации реестра Windows, контролировать целостность конфигурации компьютера. Поддерживает идентификаторы: iButton, iKey 2032, eToken PRO, eToken PRO (Java) и Rutoken S/ RF S. Может применяться в ИСПДн класса К1 и АС класса 1Б. Цена продукта: 9 300 рублей;
Secret Net 6 (автономный вариант): средство защиты от НСД, позволяет: проводить аутентификацию пользователей и регистрировать попытки доступа к рабочей станции, производить разграничение доступа к информации и устройствам (мандатная и дискреционная модель), использовать замкнутую программную среду, проводить мониторинг и аудит безопасности, осуществлять контроль печати. Данное средство может работать как совместно с аппаратными модулями доверенной загрузки (АМДЗ): соболь, secret net card; так и в автономном варианте. Поддерживает следующие идентификаторы: Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO. При сочетании с АМДЗ, помимо своих функций имеет все возможности по контролю загрузки ОС. Может применяться в ИСПДн класса 3 и АС класса 1Б. Цена: 6 700 рублей (без АМДЗ), 9 600 рублей (с АМДЗ secret net card);
ПАК Аккорд-win64: средство защиты от НСД, позволяет: проводить аутентификацию пользователей и регистрировать попытки доступа к рабочей станции, блокировать загрузку ОС со съемных носителей, контролировать целостность программной и аппаратной среды, использовать замкнутую программную среду, производить разграничение доступа к информации по мандатной и дискреционной модели, использовать на терминальных станциях, осуществлять контроль печати. Поддерживает идентификаторы: Touch memory DS-199x, ПСКЗИ ШИПКА. Может применяться в ИСПДн класса 3 и АС класса 1Б. Цена: 13 400 рублей.

Принято решение использовать СЗИ НСД SecretNet 6 в сочетании с SecretNet Card в качестве АМДЗ, по причине больших функциональных возможностей данного средства по сравнению с комплексом Соболь, и меньшей стоимости по сравнению с комплексом Аккорд-win64. Стоимость для 7 рабочих станций и 2 серверов: 86 400 рублей.

Средства межсетевого экранирования.

Далее необходимо выбрать средства, обеспечивающие безопасное межсетевое экранирование, и средства, позволяющие создать защищенный канал связи. Были рассмотрены только средства, сочетающие в себе функции межсетевого экрана и криптошлюза, и соответствующие требованиям нормативных документов:

VipNet Coordinator HW100 (вариант на 2 криптотуннеля): Данное средство представляет собой межсетевой экран и криптошлюз, позволяет: осуществлять пакетную фильтрацию по IP адресам, номерам портов и типов протоколов, типов ICMP сообщений, направлению пакетов; Осуществлять контроль фрагментированных пакетов и предотвращать Dos-атаки, и спуфинг; шифровать трафик по ГОСТ 28147-89 (256 бит) и осуществлять аутентификацию зашифрованного IP-пакета на основе технологии симметричного распределения ключей VipNet и уникального идентификатора.

Может применяться в ИСПДн класса 3 и АС класса 1В. Так как для ИСПДн необходимо организовать криптошлюз с основной системой, то необходимо второе устройство на оконечном участке для установки соединения. Цена: 56 000 рублей за два устройства.

StoneGate Firewall/VPN FW-310: Сочетает в себе межсетевой экран и средство построения защищенных VPN соединений, позволяет: предотвращать (D)dos атаки и осуществлять фильтрацию трафика по IP адресам, номерам портов и типов протоколов, типов ICMP сообщений, направлению пакетов; Поддерживает контентную фильтрацию, имеет функции системы обнаружения вторжений. Может осуществлять шифрование по российским и зарубежным алгоритмам. Имеет функцию балансировки нагрузки. Может применяться в ИСПДн класса 3 и АС класса 1Г. Цена: 110 000 рублей.

Учитывая небольшой размер локально-вычислительной сети ИСПДн (6 рабочих станций и 1 сервер), было принято решение использовать VipNet Coordinator HW100, так как он реализует все необходимые для защиты функции, и имеет гораздо меньшую стоимость по сравнению со StoneGate Firewall/VPN FW-310.

Средства обнаружения вторжений.

Далее рассмотрим системы обнаружения вторжений:

Security Studio Honeypot Manager версия 2: программное средство обнаружения вторжений в локальную вычислительную сеть, позволяет: имитировать реальные данные в сети (ловушки), и обнаруживать попытки НСД к ним. Может применяться в ИСПДн класса 3.

. Цена: 38 000 рублей.

Cisco IPS 4215: система реализующая функции обнаружения и предотвращения вторжений, позволяет: применять широкий спектр алгоритмов обнаружения атак: (сигна-туры, аномалии, эвристика, отклонения от RFC и т. п.), позволяет блокировать не весь, а только атакующий трафик, распределять нагрузку между сенсорами, выявлять атаки на IP-телефонию и SCADA системы (системы диспетчерского управления в АСУТП). Может применяться в ИСПДн класса 3 и АС класса 1Г. Цена: 134 000 рублей.
StoneGate IPS-1030: система обнаружения и предотвращения вторжений, позволяет: обнаруживать и предотвращать НСД в систему в прозрачном для пользователей сети режиме, анализировать фрагментированный трафик, контролировать несколько сетей с разными скоростями одновременно, обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам). Может применяться в ИСПДн класса 1-3 и АС класса 1Г. Цена: 286 000 рублей.

Принято решение использовать Security Studio Honeypot Manager. Хотя другие системы обладают гораздо более широкими возможностями, но непозволительно дороги для нашей ИСПДн. Поэтому приходится выбирать наиболее дешевое средство для приведения системы в соответствие нормативным документам.

Средства антивирусной защиты.

Рассмотрим следующие антивирусы:

Антивирус Dr.Web для Windows 5.0: антивирусное программное обеспечение, позволяет: обеспечивать постоянный контроль системы с помощью сигнатур и эвристического анализа, что позволяет выявлять неизвестные угрозы, обеспечивать защиту от массовой рассылки почтовыми червями, использовать на зараженных машинах. Может применяться в ИСПДн класса 3 и АС 1В. Цена: 990 рублей/1 год (на одну рабочую станцию), итого на 7 рабочих станций, сервер баз данных и сервер резервного копирования: 8 910 рублей.
Антивирус Касперского 6.0 для Windows WorkStations mp4,: антивирусное программное обеспечение, позволяет: обеспечивать не только антивирусную защиту, но и защиту от спама и сетевых атак. Также компоненты антивируса позволяют защищать компьютер от неизвестных угроз и интернет-мошенничества, контролировать доступ пользователей компьютера к интернету. На каждый источник угроз предусмотрен отдельный компонент программы, обеспечивающий его контроль и необходимые мероприятия по предотвращению вредоносного воздействия этого источника на данные пользователя. Такое построение системы защиты позволяет гибко настраивать программу под нужды конкретного пользователя или предприятия в целом. Может применяться в ИСПДн класса 3 и АС 1В. Цена: 1100 рублей/1 год (на одну рабочую станцию), итого на 7 рабочих станций, сервер баз данных и сервер резервного копирования: 9 900 рублей.
Антивирус Eset NOD32 Platinum Pack 4.0, антивирусное программное обеспечение, позволяет: обеспечивать проактивное обнаружение всех типов угроз и лечение зараженных файлов (в том числе, в архивах) благодаря широкому применению интеллектуальных технологий, сочетанию эвристических методов и традиционного сигнатурного детектирования. Дополнительно имеет функцию персональной системы предотвращения вторжений (HIPS). Для мониторинга процессов, файлов и ключей реестра HIPS используется сочетание технологий поведенческого анализа с возможностями сетевого фильтра, что позволяет эффективно детектировать, блокировать и предотвращать подобные попытки вторжения. Может применяться в ИСПДн класса 3 и АС 1Г. Цена: 2500 рублей/2 года (на одну рабочую станцию), итого на 7 рабочих станций, сервер баз данных и сервер резервного копирования: 22500 рублей.

В качестве подсистемы антивирусной защиты было принято решение использовать Dr.Web для Windows версии 5.0, так как он соответствует необходимым нормативным документам, имеет все необходимые функции для защиты, и дешевле аналогичных средств.

Средства сканирования уязвимостей.

Рассмотрим следующие сканеры уязвимостей:

Сканер уязвимостей Сканер-ВС: специальное программное обеспечение, позволяет производить: поиск уязвимостей, локальный и сетевой аудит стойкости паролей, поиск остаточной информации на жестком диске, перехват и анализ сетевого трафика, аудит ПО и аппаратной конфигурации, контроль целостности по CRC32, ГОСТ Р 34.11-94, MD5. Может применяться в ИСПДн класса 3 и АС 1Г. Цена: 15 000 рублей/1год (на 10 рабочих станций).
Xspider 7.8-IP8: специальное программное обеспечение, позволяет проводить: анализ уязвимостей в сети независимо от аппаратной платформы узлов, полную идентификацию сервисов на случайных портах. Использует эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы. Позволяет обрабатывать RPC-сервисы (Windows и *nix) с их полной идентификацией, выполняет проверку слабости парольной защиты, проводит проверки на нестандартные DoS-атаки, имеет специальные механизмы, уменьшающие вероятность ложных срабатываний. Может применяться в ИСПДн класса 3 и АС 1Б. Цена: 16 140 рублей/1 год (на 7 рабочих станций и 2 сервера).

В качестве инструмента для проведения контроля защищенности ИСПДн было принято решение использовать Xspider 7.8-IP8, так как он обладает более широкими возможностями по сравнению со Сканер-ВС, при практически одинаковой цене.

Средства резервирования:

Сервер резервного копирования.

Таблица 6 – Соответствие требованиям

Требование	Средство защиты
	Secret Net 6	Dr. Web	VipNet Coordinator	Резервирование	Honeypot Manager	Xspider 7.8-ip8
Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных, с наличием подключения к сети международного обмена и равных правах доступа пользователей применяются следующие основные методы и способы защиты информации:
а) управление доступом:
- идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;	+
б) регистрация и учет:
- регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;	+
- учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);	Организационные меры
в) обеспечение целостности:
- обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;	+
- периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;						+
- наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации.	+			+

Информация о работе Формулирование политики безопасности подразделений и информационных служб