Материалы для студентов→ Курсовая работа /

Анализ системы защиты конфиденциальной информациина предприятии

Скачать файл
Добавил: fafnir
Размер: 59.93 KB
Добавлен: 30.04.2015
Просмотров: 667
Закачек: 6
Формат: docx

Министерство образования и науки Российской Федерации

Федеральное государственное автономное образовательное учреждение высшего 

профессионального образования

«Уральский федеральный университет имени первого Президента России Б. Н. Ельцина»

Нижнетагильский технологический институт (филиал)

Факультет "Экономики и менеджмента"

Кафедра "Информационных технологий"

Оценка работы (проекта)

________________________

Члены комиссии:

________________________

(Ф.И.О, подпись)

________________________

(Ф.И.О, подпись)

Анализ системы защиты конфиденциальной информации

на предприятии 

КУРСОВАЯ РАБОТА

Пояснительная записка

230201 20070041 006 ПЗ

Руководитель

                 Глушенко В. В.   

                     

Студент гр. ЭМ-57123-ПОВТ

Мельников А.В.

                      

Н. Тагил 

2011 


Оглавление 

2


Введение

В   настоящее   время   одной   из   актуальных   проблем   в   сфере 

информационных   технологий   является   защита   информации,   утечка   которой 

может   привести   к   довольно   негативным   последствиям,   как   для   субъекта 

персональных данных, так и для предприятия в целом.

Деятельность   предприятий   связанная   с   обработкой   конфиденциальной 

информации   регламентируется   постановлениями   Президента   РФ, 

Правительства России, техническими документами ФСБ и ФСТЭК России, а 

также подлежит обязательной аттестации со стороны ФСБ России.

Целью   данной   работы   является   анализ   системы   защиты 

конфиденциальной

 

информации

 

энергоаудиторской

 

организации 

«Тяжпромэлектромет» и проверка ее соответствие требованиям, описанным в 

вышеуказанным документах.

3


Описание организации

Рассматриваемая   организация   занимается   энергоаудитом,   что   является 

очень актуальным направлением в последнее время. Она включает в себя сбор 

сведений   об   объектах,   осуществление   инструментального   контроля,   а   также 

вынесение   рекомендаций   по   более   эффективному   использованию 

энергоресурсов и заполнение энергетических паспортов. Организация занимает 

один этаж в офисном здании в центральной части Екатеринбурга. Доступ на 

этаж осуществляется по пропускной системе.

На предприятии имеется следующая организационная структура:

− бухгалтерия,   осуществляющая   расчет   заработной   платы, 

проведение   заявок   на   командировочные   расходы,   а   также 

оформление   финансовой   отчетности   перед   государственными 

структурами;

− отдел кадров, осуществляющий прием на работу сотрудников;

− общий   отдел,   занимающийся   общими   вопросами,   связанными   с 

деятельностью организации;

− за   выполнение   проектов   по   энергосбережению   отвечает 

соответствующий отдел;

− отдел высоковольтного и низковольтного оборудования;

− отдел по развитию и корпоративному управлению;

− служба безопасности предприятия;

− отдел АСУ;

− руководство организации;

Должности,   занимаемые   сотрудниками   в   данной   организации, 

перечислены ниже:

− генеральный директор;

− начальники отделов;

− инженеры по различным направлениям;

Каждый   сотрудник   имеет   свое   АРМ,   оборудованное   ПЭВМ,   которая 

включена   в   локальную   вычислительную   сеть   с   единой   точкой   доступа   в 

внешним   сетям   общего   пользования,   помимо   этого   в   помещениях   имеется 

возможность подключения к беспроводной сети предприятия.

4


Перечень необходимых организационных мероприятий 

Для  осуществления  контроля  над  исполнением правил  по обработке, а 

также   для   проведения   работ   в   области   обеспечения   безопасности 

конфиденциальной информации назначить ответственным начальника службы 

безопасности и возложить на него следующие обязанности:

− проведение   разбирательств   по   фактам   несоблюдения   условий 

хранения   носителей   информации,   использования   средств   защиты 

информации,   которые   могут   привести   к   нарушению 

конфиденциальности   информации   или   другим   нарушениям, 

приводящим к снижению уровня защищенности информации;

− приостановка   предоставления   конфиденциальной   информации 

пользователям   информационной   системы   при   обнаружении 

нарушений порядка ее предоставления.

Выполнение   работ   по   обеспечению   безопасности   конфиденциальной 

информации при её обработке в информационных системах возложить на отдел 

АСУ. В рамках проведения данных работ возложить на главу отдела следующие 

функции:

− администрирование информационных систем;

− администрирование   средств   антивирусной   защиты   информационных 

систем;

− администрирование   средств   и   систем   защиты   информации   в 

информационных системах.

Руководителям   структурных   подразделений   представить   начальнику 

службы   безопасности   списки   сотрудников,   доступ   которых   к   персональным 

данным,   обрабатываемым   в   информационных   системах,   необходим   для 

выполнения   ими   служебных   (трудовых)   обязанностей.   Начальнику   службы 

безопасности представить список лиц, имеющих доступ к конфиденциальной 

информации.

Руководителю отдела АСУ предоставить перечень правил, обязательных 

для   соблюдения   при   работе   с   конфиденциальной   информацией,   подготовить 

журнал   учета   обращений   сотрудников   к   информационной   системе, 

организовать   учет   носителей   информации.   Использование   неучтенных   в 

установленном порядке носителей информации не допускается.

Составить   комиссию   в   составе   генерального   директора,   начальника 

службы   безопасности,   начальника   отдела   АСУ   для   решения   вопросов 

связанных   с   использованием   информационной   системы   обработки 

конфиденциальной информации. 

5


Перечень конфиденциальной информации

Информация, обрабатываемая в системе, является стратегической, так как 

зачастую   относится   к   энергетическим   объектам   федерального   уровня. 

Информация,   приведенная   в   таблице   1,   используется   для   заполнения 

утвержденных форм на каждый объект и энергетического паспорта.

Таблица №1. Перечень конфиденциальной информации

Наименование 

вида 

информации

Источник

получения

Содержание сведений

1

Общие сведения

Реестр объектов

- ответственные лица

- место расположения

- наличие и вид документации

- балансовая принадлежность

2

Технические 

данные

Отчетная 

документация на 

объекте

- сведения по формам статистической 

отчетности

- данные о работе за последние 5 лет

- тепловая схема

- сведения об основном и 

вспомогательном оборудовании

- сведения о КИП

- сведения о приборах учета

- сведения о топливном хозяйстве

- перечень потребителей тепла

- утвержденные запасы топлива

3

Измерительная 

часть

Измерительные 

приборы

- тепловизионный контроль оборудования

- измерительная часть по оборудованию

- показания приборов учета

4

Обследование 

энергетических 

вводов в здание

Специальные 

измерительные 

средства

- описание ввода элекроэнергии

- приборы учета электроэнергии

- показатели использования 

электрической энергии на цели 

освещения

- листы оплаты счетов за электроэнергию

- приборы учета тепловой энергии

- сведения о наличии документации

- основные проблемы

- планы развития

5

Инструментальны

й контроль

- замеры на трубопроводах

- показатели качества электроэнергии

- показатели нагрузки 

электрооборудования

6


Перечень допущенных подразделений и сотрудников 

К   системе   обработки   конфиденциальной   информации   допускаются 

сотрудники   отдела   энергосбережения,   службы   безопасности,   отдела   АСУ. 

Сотрудники   службы   безопасности   имеют   доступ   только   к   журналу   учета 

пользователей   системы   обработки   информации,   но   имеют   доступа   к 

техническим средствам системы и самой информации. Сотрудники отдела АСУ 

имеют   доступ   к   техническим   средствам   и   журналу   учета   пользователей 

системы. Сотрудники отдела энергосбережения имеют доступ только к самой 

информации, обрабатываемой в системе. 

7


Топология информационной системы обработки информации

В рассматриваемой системе имеются   серверы обработки информации и 

АРМ сотрудников. Они объединены в локальную сеть с общей точкой доступа к 

внешним   сетям   общего   пользования,   территориально   находящейся   в   отделе 

АСУ. АРМ объединяются как по проводной, так и беспроводной технологии. 

Вся обработка конфиденциальной информации ведется по принципу «тонкого 

клиента», то есть конфиденциальная информация хранится на серверах, а на 

АРМ сотрудников ведется только ее обработка.

В   обработке   конфиденциальной   информации   участвует   следующее 

программное обеспечение:

− Microsoft Windows Server 2008;

− Microsoft Windows 7 Professional;

− СУБД собственной разработки.

8


Помещения для обработки конфиденциальной информации

Технические средства системы располагаются в следующих помещениях 

организации:

− Серверы – кабинет № 501

− Отдел энергосбережения – кабинет № 529

Помещение   отдела   энергосбережения   оборудовано   жалюзи,   серверное 

помещение   не   имеет   окон   –   меры   защиты   от   утечки   информации   по 

визуальному   каналу.   Мониторы,   являющиеся   средствами   отображения, 

расположены тыльной стороной к входной двери.

Охрана   помещений   с   техническими   средствами   хранения 

конфиденциальной   информации   осуществляется   службой   охраны.   Вскрытие 

производится   только   начальником   службы   и   фиксируется   в   журнале. 

Ответственность   за   помещения   с   АРМ   сотрудников   несет   начальник   отдела 

энергосбережения. В случае обнаружения нарушения целостности или следов 

несанкционированного доступа в помещение для хранения данных обработка 

данных приостанавливается до выяснения всех обстоятельств.

Границей контролируемой зоны следует считать кабинет № 529 в правом 

крыле   здания   и   кабинет   №   501   в   левом   крыле,   границы   этажа,   так   как 

организация располагается только в его пределах.

9


Положение по организации и проведению работ по обеспечению 

безопасности конфиденциальной информации

Организация осуществляет обработку конфиденциальной информации в 

соответствии   с   действующим   законодательством.   Ответственными   за 

обеспечение   безопасности   являются   начальник   службы   безопасности   и 

начальник   отдела   АСУ.   Начальник   отдела   энергосбережения   является 

ответственным   за   соблюдение   правил   обеспечения   безопасности   на   АРМ 

сотрудниками данного отдела. 

Информация,   обрабатываемая   в   системе,   может   быть   предоставлена 

государственным   органам   власти   только   по   официальному   запросу   в 

соответствии с действующим законодательством.

Возникающие   конфликты,   связанные   с   обработкой   конфиденциальной 

информации   рассматриваются   в   утвержденном   комиссией   состоящей   из 

начальников   отделов   АСУ   и   энергосбережения,   начальника   службы 

безопасности.   В   случае   существенного   нарушения   порядка   обработки 

информации, работа с системой приостанавливается, до вынесения заключения.

При   приеме   на   работу,   при   внесении   изменений   в   порядок   работы   с 

системой обработки информации проводится инструктаж по правилам работы с 

системой   и   в   отношении   правил   безопасности.   Помимо   этого,   ежегодно 

провидится внутренняя проверка соблюдения этих правил. 

Регистрация нового сотрудника проводится по заявке начальника отдела 

энергосбережения   с   последующей   передачей   сотруднику   логина/пароля   для 

входа в систему.   Ежеквартально каждый пользователь обязан менять пароля 

для входа в систему.

На   предприятии   для   антивирусной   защиты   используется   антивирус 

Dr.Web. Антивирусное ПО, как и сигнатуры вирусов регулярно обновляются. 

Общесистемное и прикладное ПО системы обработки информации регулярно 

обновляется, но только после согласования со службой безопасности и отделом 

АСУ.   Служба   безопасности   периодически   проводит   проверку   соблюдения 

правил использование прикладного ПО.

10


Классификация системы обработки информации

Для   рассматриваемой   системы   применима   категоризация   защищенной 

информации   сходная   по   своему   принципу   с   категоризацией   персональных 

данных.   Исходя   из   того,   что   нарушение   конфиденциальности   данных 

обрабатываемых   в   системе   может   привести   к   существенным   негативным 

последствиям для предприятий имеющим отношение к этой информации, этой 

информации присваивается категория 1. 

На   основании   таблицы   №   2   и   3   комиссия   состоящая   из   начальников 

отделов,   связанных   с   обработкой   информации   присвоила   рассматриваемой 

системе класс К1.

Таблица №2. Классификация системы обработки информации

Хпд/Хнпд

<1000

от 1000 до 100 000

>100 000

Категория 4

К4

К4

К4

Категория 3

К3

К3

К2

Категория 2

К3

К2

К1

Категория 1

К1

К1

К1

Таблица №3. Исходные данные для классификации

Параметр оценки

Значение параметра

2

Категория защищенной 

информации

Категория 1

1

Объём обрабатываемых ПДн

3

2

Заданные характеристики ПДн

Специальная

3

Структура информационной 

системы

Локальная

4

Наличие подключений к сетям 

общего пользования

Да

5

Режим обработки ПДн

Многопользовательский

6

Режим разграничения прав 

доступа

С разграничением прав 

доступа

7

Местонахождения технических 

средств

В пределах РФ

11


Частная модель угроз

Оценка исходной защищенности системы

Для   разработки   модели   угроз   необходимо   оценить   степень   исходной 

защищенности   системы.   Для   этого   применим   методику   для   персональных 

данных к нашей системе:

Таблица №4. Показатели исходной защищенности

Технические и эксплуатационные характеристики 

Уровень защищенности

1

По территориальному размещению:

Локальная информационная система, развернутая в пределах 

одного здания

Высокий

2

По наличию соединения с сетями общего пользования:

система,   имеющая   одноточечный   выход   в   сеть   общего 

пользования

Средний

3

По   встроенным   (легальным)   операциям   с   записями   баз 

персональных данных:

запись, удаление, сортировка

Средний 

4

По разграничению доступа к персональным данным:

система, к которой имеют доступ определенные переченем 

сотрудники организации, являющейся владельцем системы

Средний 

5

По   наличию   соединений   с   другими   базами   данных   иных 

систем:

одна база данных, принадлежащая организации – владельцу 

данной системы

Высокий

6

По уровню обобщения (обезличивания) ПДн:

система, в которой предоставляемые пользователю данные 

не являются обезличенными

Низкий

7

По объему  данных, которые предоставляются  сторонним 

пользователям системы без предварительной обработки:

система, не предоставляющая никакой информации.

Высокий

Рассматриваемая   система   имеет   средний   (Y1)   уровень   исходной 

защищенности, так как не менее 70% характеристик системы соответствуют 

уровню не ниже «средний», а остальные – низкому уровню защищенности.

Модель нарушителя

Для   составления   модели   нарушителя   также   воспользуемся   методикой, 

относящейся   к   персональным   данным.   В   таблице   №5   приведены   категории 

нарушителей с их кратким описанием, указанием уровня знаний о ИСПДн и 

уровня   технической   подготовленности.   Под   уровнем   технической 

подготовленности понимается степень технических навыков и знаний, а также 

технические ресурсы и средства, которые нарушитель может задействовать для 

достижения поставленной цели.

Таблица №5. Категории  нарушителей

Категория  Описание нарушителя

Уровень знаний 

об объектах атак

Уровень   технической 

подготовленности

Внутренние нарушители

К1

Лица, имеющие 

санкционированный доступ к 

системе, но не имеющие доступа 

Низкий

Низкий

12


к данным

К2

Зарегистрированные 

пользователи ИСПДн, 

осуществляющие ограниченный 

доступ к ресурсам ИСПДн с 

рабочего места. К этой категории 

относятся сотрудники отдела 

энергосбережения

Высокий 

Низкий

К3

зарегистрированные 

пользователи системы, 

осуществляющие удаленный 

доступ к данным по локальным 

системам

Не актуальна, т.к. 

возможность 

удаленного 

доступа 

отсутствует

Не актуальна, т.к. 

возможность 

удаленного доступа 

отсутствует

К4

Зарегистрированные 

пользователи с полномочиями 

системного администратора 

системы

Высокий

Средний 

К5

Зарегистрированные 

пользователи с полномочиями 

администратора безопасности 

системы

Средний    

Высокий

К6

Программисты-разработчики 

прикладного программного 

обеспечения и лица, 

обеспечивающие его 

сопровождение

Низкий  

Высокий

К7

Разработчики и лица, 

обеспечивающие поставку, 

сопровождение и ремонт 

технических средств системы

Низкий 

Низкий 

Внешние нарушители

К8

Физические и юридические 

лица, желающие заполучить 

доступ к конфиденциальной 

информации с целью извлечения 

выгоды

Низкий

Низкий 

В   таблице   №7   приведены   типовые   угрозы   для   локальных 

информационных   систем   персональных   данных,   имеющих   подключение   к 

сетям   связи   общего   пользования,   и   оценка   вероятности   реализации   каждой 

угрозы нарушителем определенной категории.

Таблица №7. Оценка вероятностей реализации угроз

Угроза безопасности ПДн

Вероятность реализации угрозы нарушителем 

категории Кn

К1

К2

К3

К4

К5

К6

К7

К8

Y2

1

Угрозы утечки информации по техническим каналам

1.1 угрозы утечки акустической 

(речевой) информации

0

0

0

0

0

0

0

0

0

1.2 угрозы утечки видовой 

информации

0

0

0

0

5

5

2

0

5

1.3 угрозы утечки информации по 

0

0

0

0

0

0

0

0

0

13


каналу ПЭМИН

2

Угрозы НСД к ПДн

2.1 угрозы, реализуемые в ходе 

загрузки операционной системы 

и направленные на перехват 

паролей или идентификаторов

2

2

2

2

2

2

0

0

2

2.2 угрозы внедрения вредоносных 

программ

2

2

5

5

5

5

0

0

5

2.3 угрозы «Анализа сетевого 

трафика» с перехватом 

передаваемой во внешние сети и 

принимаемой из внешних сетей 

информации

0

0

0

0

0

0

5

2

5

2.4 угрозы сканирования

0

0

0

0

0

0

2

2

2

2.5 угрозы выявления паролей

2

2

5

5

5

5

0

0

5

Таблица №7. Оценка вероятностей реализации угроз (продолжение)

2.6 угрозы получения НСД путем 

подмены доверенного объекта

0

0

0

0

0

0

5

2

5

2.7 угрозы типа «Отказ в 

обслуживании»

0

0

0

0

0

0

2

0

2

2.8 угрозы удаленного запуска 

приложений

0

0

0

0

0

0

2

2

2

2.9 угрозы внедрения по сети 

вредоносных программ

0

0

0

0

0

0

5

2

5

В   таблице   №8   проведен   анализ   актуальности   угроз   для   безопасности 

персональных данных, исходя из возможности реализации угрозы и вербальной 

оценки   её   опасности.   Возможность   реализации   определяется   на   основании 

коэффициента   реализуемости   угрозы,   который   рассчитывается   по   формуле 

Y=(Y1+Y2)/20.

Таблица №8. Анализ актуальности угроз

Угроза безопасности ПДн

Возможность 

реализации угрозы

Опасность 

угрозы

Актуальность

1

Угрозы утечки информации по техническим каналам

1.1 угрозы утечки акустической 

(речевой) информации

Низкая (Y=0.25)

Низкая

-

1.2 угрозы утечки видовой 

информации

Средняя (Y=0.5)

Средняя

+

1.3 угрозы утечки информации 

по каналу ПЭМИН

Низкая (Y=0.25)

Низкая

-

2

Угрозы НСД к ПДн

2.1 угрозы, реализуемые в ходе 

загрузки операционной 

системы 

и направленные на перехват 

паролей или 

идентификаторов

Низкая (Y=0.25)

Средняя

-

2.2 угрозы внедрения 

вредоносных программ

Средняя (Y=0.5)

Средняя

+

2.3 угрозы «Анализа сетевого 

Средняя (Y=0.5)

Средняя

+

14


трафика» с перехватом 

передаваемой во внешние 

сети и принимаемой из 

внешних сетей информации

2.4 угрозы сканирования

Низкая (Y=0.25)

Низкая

-

2.5 угрозы выявления паролей

Средняя (Y=0.5)

Средняя

+

2.6 угрозы получения НСД 

путем подмены доверенного 

объекта

Средняя (Y=0.5)

Средняя

+

2.7 угрозы типа «Отказ в 

обслуживании»

Низкая (Y=0.25)

Низкая

-

2.8 угрозы удаленного запуска 

приложений

Низкая (Y=0.25)

Низкая

-

2.9 угрозы внедрения по сети 

вредоносных программ

Средняя (Y=0.5)

Средняя

+

15


Заключение

Результатом   курсовой   работы   является   проект   защиты   персональных 

данных   сотрудников   и   студентов   частного   колледжа   в   соответствии   с 

требованиями   постановлений   Президента   РФ,   Правительства   России, 

технических документов ФСБ и ФСТЭК России. Были проработаны следующие 

этапы создания проекта:

− определение перечня необходимых организационных мероприятий,

− разработка перечня персональных данных,

− составление перечня допущенных подразделений и сотрудников,

− рассмотрение и анализ топологии информационной системы ПДн,

− определение помещений для обработки персональных данных,

− классификация ИСПД,

− разработка частной модели угроз.

16


Список литературы

1.

Грибунин В.Г. Политика безопасности: разработка и реазизация// 

«Информационная безопасность», 2005, №1.

2.

Демин В., Свалов В. Правовое обеспечение системы защиты информации 

на предприятии.

3.

Домарев В.В. Безопасность информационных технологий. Системный 

подход. - К.: ООО ТИД «Диасофт», 2004. - 992 стр.

4.

Торокин А.А. «Основы инженерно-технической защиты информации». – 

М.: 

5.

Ярочкин В.И. Информационная безопасность: Учебник для студентов 

Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр.

17