Формулирование политики безопасности подразделений и информационных служб

 

антивирусная защита		+
шифрование трафика, выходящего за пределы  КЗ			+
межсетевое экранирование			+
Обнаружения вторжений					+

 

Таблица 7 –  Стоимость средств защиты, в рублях.

Secret Net 6	Dr. Web	VipNet Coordinator	Honeypot Manager	Xspider 7.8-ip8	всего
86 400	8 910	56 000	38 000	16 140	205 450

 

Средства  защиты от НСД:

Принято решение использовать СЗИ НСД SecretNet 6 в сочетании с SecretNet Card в качестве АМДЗ, по причине больших функциональных возможностей данного средства по сравнению с комплексом Соболь, и меньшей стоимости по сравнению с комплексом Аккорд-win64. Стоимость для 7 рабочих станций и 2 серверов: 86 400 рублей.

Средства  антивирусной защиты:

В качестве подсистемы антивирусной защиты было принято решение использовать  Dr.Web для Windows    версии 5.0, так как он соответствует необходимым нормативным документам, имеет все необходимые функции для защиты, и дешевле аналогичных средств. Стоимость для 7 рабочих станций и 2 серверов: 8 910 рублей.

Средства сканирования уязвимостей.

В качестве инструмента для проведения проверки средств защиты  было принято  решение использовать Xspider 7.8-IP8, так как он обладает более широкими возможностями по сравнению со Сканер-ВС, при практически одинаковой цене. Стоимость для 7 рабочих станций и 2 серверов: 16 140 рублей.

Средства  резервирования:

Сервер резервного копирования.

Так как в данной АС обрабатываются сведения, составляющие государственную  тайну, то она будет физически  отделена от основной сети, и не будет иметь выход в сеть международного информационного обмена. Поэтому средства межсетевого экранирования и шифрования трафика здесь применяться не будут.

 

Таблица 10 – Соответствие требованиям

Подсистемы и требования	Средство защиты
	Secret Net 6	Dr. Web	Xspider 7.8-IP8	Резервирование
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности  и контроль доступа субъектов:
в систему	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам  связи, внешним устройствам ЭВМ	+
к программам	+
к томам, каталогам, файлам, записям, полям  записей	+
1.2. Управление потоками информации	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа  в (из) систему (узел сети)	+
выдачи печатных (графических) выходных документов	+
запуска (завершения) программ и процессов (заданий, задач)	+
доступа программ субъектов доступа  к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	+
доступа программ субъектов доступа  к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам  ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	+
создаваемых защищаемых объектов доступа	+
2.2. Учет носителей информации	Организационные меры
2.3. Очистка (обнуление, обезличивание)  освобождаемых областей оперативной  памяти ЭВМ и внешних накопителей	+
3. Подсистема обеспечения целостности
3.1. Обеспечение целостности программных средств и обрабатываемой информации	+
3.2. Физическая охрана средств вычислительной техники и носителей информации	Организационные меры
3.3. Наличие администратора (службы) защиты информации в АС	+
3.4. Периодическое тестирование СЗИ НСД			+
3.5. Наличие средств восстановления СЗИ НСД	+			+
3.6. Использование сертифицированных средств защиты	+	+	+
Антивирусная защита		+

Таблица 11 –  Стоимость средств защиты, в рублях.

Secret Net 6	Dr. Web	Xspider 7.8-ip8	всего
86 400	8 910	16 140	111 450

Таблица 12 –Стоимость средств защиты для всех подсистем, в рублях.

ИСПДн К2	АС 2Б	АС 1В	всего
205 450	331 170	111 450	648 070

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2 Формулирование политики безопасности   подразделений  и информационных служб

2.1 Определение способов реализации правил разграничения доступа пользователей к информационным ресурсам

На основе разработанной политики безопасности составим дискреционною  модель разграничения доступа, которая  будет являться базой формирования правил разграничения доступа и  выбора конкретных средств защиты информации.

Выбор модели основан на сформулированной политике безопасности и возможностях, предоставляемых выбранным способом построения информационной системы  и применяемыми программно-аппаратными  средствами.

Таблица 9 – Правила разграничения доступа

Должностные лица, допущенные к защищаемым ресурсам ОВТ	АРМ должностного лица	Защищаемый ресурс
		Наименование ресурса	Разрешенные виды доступа
2	3	4	5
Начальник режимно-секретного отдела	АРМ 1.1	Папка «Документы начальника режимно-секретного отдела» Папка «Документы замначальника Финансового отдела» Папка «Документы режимно-секретного отдела» Документы первого специалиста режимно-секретного отдела	RWD R RWD R
Заместитель начальника режимно-секретного отдела	АРМ 1.2	Папка «Документы замначальника Финансового отдела» Папка «Документы режимно-секретного отдела» Документы первого специалиста режимно-секретного отдела	RWD RWD R
Первый специалист режимно-секретного отдела	АРМ 1.3	Папка «Документы режимно-секретного отдела» Папка «Документы первого специалиста режимно-секретного отдела»	RWX RWX
Второй специалист режимно-секретного отдела	АРМ 1.4	Папка «Документы режимно-секретного отдела» Личная папка сотрудника	RWD RWD
Сотрудник режимно-секретного отдела	АРМ 1.5	Папка «Документы режимно-секретного отдела» Личная папка сотрудника	RW RWD
Сотрудник режимно-секретного отдела	АРМ 1.6	Папка «Документы режимно-секретного отдела» Личная папка сотрудника	RW RWD
Сотрудник режимно-секретного отдела	АРМ 1.7	Папка «Документы режимно-секретного отдела» Личная папка сотрудника	RW RWX
Системный администратор режимно-секретного отдела	АРМ 1.8	Папка «Документы режимно-секретного отдела» Личная папка сотрудника	RW RWX
Администратор безопасности режимно-секретного отдела	АРМ 1.9	Папка «Документы режимно-секретного отдела» Личная папка сотрудника	RWX RWX R

 

2.2 Формирование исчерпывающего набора правил разграничения доступа конкретных пользователей к конкретным объектам информационной службы.

 

Разработаем структуру ресурсов (каталогов) для заданного количества пользователей  АС, приведенных в задании.

Разработаем и реализуем таблицу  разграничения доступа для пользователей  в соответствии с их должностным  положением и возможностями прав доступа NTFS к каталогам по их смысловому содержанию.

«Ревизор 2 XP» - средства автоматизации процесса создания избирательной модели системы разграничения доступа (СРД) к файловым ресурсам АРМ (логическим дискам, каталогам, файлам) и сетевым ресурсам ЛВС в соответствии с установленными в организации требованиями разрешительной системы.

Выполним с помощью «Ревизор 2 XP» следующие операции:

1. сканирование ресурсов файловой системы АРМ (введенных каталогов, файлов), доступных пользователю АРМ;
2. автоматическое построение по результатам сканирования структуры объектов доступа, для каждого зарегистрированного пользователя;
3. заполнение таблицы полномочий доступа пользователей к объектам доступа.

Рисунок 1 - Разграничение доступа для  первого специалиста режимно-секретного отдела

Рисунок 2 - Разграничение доступа для зам.начальника режимно-секретного отдела

 

Рисунок 3 - Разграничение доступа для начальника режимно-секретного отдела

 

Далее выполним проверку правил разграничения  доступа с помощью программного средства Ревизор 2 XP.

«Ревизор 2 XР» - средства автоматизированной проверки соответствия прав пользователей по доступу к защищаемым информационным ресурсам АРМ, описанных в модели системы разграничения доступа (СРД), реальным правам доступа, предоставляемым установленной на АРМ системой защиты информации, либо соответствующей операционной системой.

 «Ревизор 2 XР»

Выполним с помощью «Ревизор 2 XР» следующие операции:

1) сравнение данных, полученных  сканированием структуры объектов  доступа с данными, указанными  в описании модели СРД пользователей  к объектам доступа;

2) проверку установленных в модели  СРД АРМ полномочий пользователей  по доступу к объектам доступа  на соответствие установленным  ПРД.

3) проверку реального предоставления  пользователям АРМ системой защиты  информации полномочий по доступу  к объектам доступа в соответствии  с установленными моделью СРД  полномочиями.

Далее представлены html-отчеты по результатам тестирования.

 

 

 

 

 

 

 

 

 

Рисунок 4 –  результат тестирования ПРД для  первого специалиста режимно-секретного отдела.

 

Рисунок 5 – результат тестирования ПРД для зам.начальника режимно-секретного отдела.

Рисунок 6 – результат тестирования ПРД  для начальника режимно-секретного отдела.

 

Таким образом, имеется полное соответствие модели правил разграничения доступа (ПРД) с реализованными ПРД.

 

 

 

Заключение

В результате выполнения курсового  проекта был разработан проект системы защиты информации от несанкционированного доступа для автоматизированной системы учреждения администрации района, созданной в виде распределенной вычислительной сети, состоящей из отдельных ЛВС, которые расположены в нескольких контролируемых зонах. Все зарегистрированные клиенты сети имеют одинаковые полномочия  по уровню допуска, и неограниченны в допуске к различным разделам информационной базы. Управление разграничением доступа к ресурсам системы осуществляется на основе специальных программно-аппаратных средств защиты от несанкционированного доступа. Разработана и реализована структура ресурсов (каталогов) для пользователей режимно-секретного отдела (начальник, заместитель, первый специалист. Выполнена проверка установленных в модели СРД полномочий пользователей по доступу на соответствие установленным ПРД  для начальника отдела, заместителя начальника отдела и  первого специалиста отдела.

Курсовое проектирование  закрепило, углубило и обобщило знания, полученных  в процессе изучения лекционного  курса по дисциплине    "Программно – аппаратные средства обеспечения информационной безопасности", а также умений и навыков, полученных при выполнении практических и лабораторных работ, и применению этих знаний, умений и навыков к решению конкретных инженерных задач, развитию навыков работы со специальной литературой и навыков инженерного проектирования.

 

 

Список источников

1. Учебно-методическое пособие  по подготовке выпускных квалификационных работ.-Краснодар: Изд-во КубГТУ,  2009.-156 с.
2. Хализев В.Н. Программно-аппаратная защита информации. Методические указания, Краснодар, М:.КубГТУ, 2008 г;
3. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения
4. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования
5. Специальные требования и рекомендации по технической защите конфиденциальной информации/ Гостехкомиссия России  - М., 2001.
6. ФСТЭК России - «Положение о методах и способах защиты информации в информационных системах персональных данных». Утверждено директором ФСТЭК России 5 февраля 2010 г.
7. ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
8. ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
9. Основы информационной безопасности. Учебное пособие для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, Л. А. Шелупанов. -М.: Горячая линия -Телеком, 2006. - 544 с.
10. Хорев П.Б. Программно-аппаратная защита информации. Учебное пособие для вузов - М.: Форум - Высшее образование, 2009.-352 с

 

 

 

Приложение 1

 

 

 

Приложение 2