Войти в мой кабинет
Регистрация
ГОТОВЫЕ РАБОТЫ / ДИПЛОМНАЯ РАБОТА, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Разработка модели угроз утечки информации для защищаемого помещения

cool_lady 1675 руб. КУПИТЬ ЭТУ РАБОТУ
Страниц: 67 Заказ написания работы может стоить дешевле
Оригинальность: неизвестно После покупки вы можете повысить уникальность этой работы до 80-100% с помощью сервиса
Размещено: 21.03.2021
Актуальность данной работы заключается в том, чтобы максимально обезопасить информационную систему предприятия, необходимо полностью проанализировать все аспекты данной информационной системы, собрать информацию об организации в целом, проанализировать периметр объекта и контролируемые зоны, узнать существуют ли на предприятии системы безопасности, видеонаблюдения и пожарно-охранная сигнализация, описать составляющие информационной системы, порядок ее работы источники данных, топологию сети, программные и аппаратные системы защиты, составляющие и расположение серверов и рабочих станций сотрудников. На основании проанализированных данных составляется модель угроз и модель нарушителя информационной безопасности. Данный документ содержит сведения обо всех возможных угрозах и нарушителях, порядках их предотвращения для обеспечения стабильной работы информационной системы в целом и обеспечения непрерывности бизнеса. Теоретической основой исследования составляют положения и выводы, содержащихся в трудах российских и зарубежных ученых в области информационной безопасности: Беляева А.В., Грушо А. А., Долгина А. Б., Куприянова А.И., Малюк А.А.. Также использовались труды современных ученых с проблемами, связанных с конфиденциальной защитой информации. Это труды таких ученых, как Романец Ю. В., Хорев П. Б., Шаваева А.Г. Цель выпускной квалификационной ра?бо??ты: разработать модель угроз для защищаемого помещения. Для реализации по??ста?вленно??й цели нео??бхо??димо?? решить следующие за?да?чи: 1.Рассмотреть теоретические и нормативно-правовые основы модели угроз информационной безопасности; 2. Изучить требования и рекомендации к защищаемому помещению 3. Выявить актуальные угрозы 4. Описать меры защиты Объектом исследования является Орское линейное отделение МВД. Предмет исследо??ва?ния - модель угроз защищаемого помещения. Для на?писа?ния выпускно??й ква?лифика?цио??нно??й ра?бо??ты были испо??льзо??ва?ны следующие мето??ды исследо??ва?ния: на?блюдение, о??писа?ние, сра?внение, измерение, а?на?лиз. Практическая значимость исследования состоит в том, что реализация приведенных рекомендаций позволит учитывать все меры по предотвращению угроз безопасности. Материалы исследования могут быть использованы в учебном процессе при чтении курсов: «Техническая защита информации», «Информационная безопасность автоматизированных систем», «Информационная безопасность и защита информации» и др. Инфо??рма?цио??нно??й ба?зо??й для решения по??ста?вленных за?да?ч ста?ли но??рма?тивно??-пра?во??вые а?кты и но??рма?тивные до??кументы по?? ра?ссма?трива?емо??й про??блемы, мо??но??гра?фии, журна?льные и га?зетные публика?ции, о??ткрытые инфо??рма?цио??нные исто??чники Интернета? за 2016-2020 гг.
Введение

С развитием техники и технологий окружающая нас информация стремительно возрастает и человек уже не в силах хранить ее в собственной памяти. На помощь к нему приходят современные средства хранения информации, информационные системы. Но сохраняя информацию, на каком либо носителе мы подвергаем себя опасности вероятного доступа третьих лиц. Поэтому информационная безопасность не только становится обязательной, но и выступает как одна из важнейших характеристик информационной системы. Во многих системах безопасности отведена первостепенная роль фактору безопасности (Государственные, банковские системы). Большинство современных предприятий, занимающихся бизнесом в любом направлении, не могут вести нормальную деятельность, без уверенности в обеспечении безопасности своей информацией. Нельзя забывать и про персональные компьютерные системы, связанные между собой сетью интернет, на которых и тренируются взломщики. В общем смысле информация содержит сведения об окружающем нас мире, являющихся объектом хранения, передачи, преобразования и использования их для определенных целей. Исходя из этого человек размещается в постоянно изменяющемся информационном поле, влияющим на его действия и образ жизни. Информация по своему характеру может быть экономической, военной, политической, научно-технической, производственной или коммерческой. По степени секретности можно разделить информацию на секретную - конфиденциальную или несекретную. К секретной - конфиденциальной информации относят сведения, содержащие коммерческую тайну, некоторые виды служебной тайны, врачебную тайну, адвокатскую и следственную тайну, тайну переписки, почтовых и телеграфных отправлений, телефонных переговоров, а также сведения о частной жизни и деятельности граждан. Защите подлежит только та информация, которая имеет цену. А ценной информация становится, когда ее обладатель может получить какую либо выгоду: моральную, материальную или политическую. С современным развитием информационного общества очень большое значение приобретают проблемы, связанные с защитой конфиденциальной информации. Информация как категория, имеющая стоимость, защищается ее собственником от лиц и организаций, пытающихся завладеть ее любыми способами. В связи с этим складывается тенденция, что чем выше уровень секретности информации, тем выше и уровень ее защиты, а значит, тем больше средств затрачивается на ее защиту. Высокой эффективностью защиты информации можно определить как совокупность следующих факторов: своевременность, активность, непрерывность и комплексность. Очень важно проводить профилактические защитные мероприятия комплексно, то есть гарантировать нейтрализацию всех опасных каналов утечки информации. Нельзя забывать, что один открытый канал утечки информации может свести на нет эффективность всей системы защиты Современный этап развития российского общества характеризуется существенным возрастанием понимания роли и актуальности проблем обеспечения безопасности во всех сферах жизнедеятельности. Особенно показателен этот процесс для сферы информационной безопасности, которая за последнее десятилетие вышла из области компетенции сугубо специальных служб. Информация все в большей мере становится стратегическим ресурсом государства, производительной силой и дорогим товаром. Это не может не вызвать стремление государств, организаций и отдельных граждан получить преимущества за счет овладения информацией, не доступной оппонентам, а также за счет нанесения ущерба информационным ресурсам противника (конкурента) и защиты своих информационных ресурсов.
Содержание

Введение 3 1 Теоретические и нормативно-правовые основы модели угроз ……………...…7 1.1 Теоретические основы модели угроз безопасности в информационной системе 7 1.2 Нормативно-правовые основы базовой модели угроз безопасности.............12 1.3 Требования и рекомендации к защищаемому помещению 19 2 Исследование системы защиты в Орском линейном отделении МВД 27 2.1 Организационно управленческая характеристика Орского линейного отделения МВД 27 2.2 Обследование помещения предназначенного для ведения конфиденциальных переговоров 30 2.3 Построение модели угроз для защищаемого помещения 37 2.4 Проектирование системы защиты в Орском линейном отделении МВД 41 2.5 Оценка стоимости оборудования защищаемого помещения 48 3.2 Заключение 51 Список использованных источников 54 Приложение А……………….……………………………………………………...58
Список литературы

1. Базовая модель угроз безопасности персональным данным при обработке в информационных системах персональных данных, утвержденная 15 февраля 2008 г. заместителем директорая ФСТЭК России [сайт]. URL: www.data-sec.ru (дата обращения: 10.05.2020 г.) 2. Методика определения актуальных угроз безопасности персональных данных, утвержденная 14 февраля 2008 г. заместителем директора ФСТЭК России [сайт]. URL: www.fstec.ru (дата обращения 10.05.2020 г.) 3. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденная 11 февраля 2013 г. [сайт]. URL: https://fstec.ru (дата обращения 10.05.2020 г.) 4. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 18.03.2019) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.09.2015) [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 10.05.2020 г.). 5. Федеральный закон от 29.07.2004 № 98-ФЗ(ред. от 18.04.2018) "О коммерческой тайне" [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 10.05.2020 г.). 6. Федеральный закон от 04.05.2011 № 99-ФЗ (ред. от 15.04.2019) «О лицензировании отдельных видов деятельности» [Электронный ресурс] // КонсультантПлюс : справочно-правовая система / Режим доступа : / URL: http://base.www.consultant.ru/ (дата обращения 10.05.2020 г.). 7. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения (введен Приказом Федерального агентства по техническому регулированию и метрологии от 27.12.2006 N 373) [Электронный ресурс] // ГАРАНТ : справочно-правовая система / Режим доступа : / URL: http://base. http://www.garant.ru // (дата обращения 12.05.2020 г.). 8. ГОСТ 27296-87 Защиты от шума в строительстве. Звукоизоляция ограждающих конструкций. Методы измерений (введен Постановлением Госстандарта от 11.09.85 N 145) (ред. от 16.01.2015) [Электронный ресурс] // ГАРАНТ : справочно-правовая система / Режим доступа : / URL: http://base. http://www.garant.ru // (дата обращения 12.05.2020 г.). 9. Абрамов, А.В. Панасенко, С.П., VPN-решения для российских компаний /А.В. Абрамов. - М.: Наука, 2018. - 27 с. - ISBN 5-7692-0819-8. 10. Аверченков, В.И. Организационная защита информации: учебное пособие / В.И. Аверченков, М.Ю. Рытов. - Брянск: БГТУ, 2017. - 184 с. - ISBN 5-89838-141-4. 11. Батурин, Ю.М. Проблемы компьютерного права / Ю.М. Батурин. - М.: Юридическая литература, 2017. - 97 с. - ISBN5-8046-0133-4. 12. Бирюков, А.А. Информационная безопасность: учебник / А.А. Бирюков - М.: ДМК Пресс, 2017. — 434 с. -ISBN 978-5-4475-3946-7. 13. Брябрин, В.М. Программное обеспечение персональных ЭВМ / В.М Брябрин. - М.: Наука, 2015.-67 с.- ISBN 5-7692-0819-8. 14. Бузов, Г. А. Защита информации ограниченного доступа от утечки по техническим каналам : учебное пособие / Г.А. Бузов -М.: Горячая линия-Телеком, 2017. — 585 с.- ISBN 978-5-9912-0424-8. 15. Виснадул, Б.Д. Основы компьютерных сетей: учебник / Б.Д. Виснадул. - М.: Инфра-М, 2018. - 272 с. - ISBN: 5-8199-0294-7. 16. Волков, Е. А. Численные методы: учеб. пособие / Е. А. Волков. - М.: Наука, 2017. - 256 с. - ISBN-5-06-004763-9. 17. Голиков, А.М. Защита информации от утечки по техническим каналам: учебное пособие / А. М. Голиков - Томск: ТГУ систем управления и радиоэлектроники, 2017. -256с. -ISBN 978-5-6195-5818-1. 18. Грибунин, В.Г. Комплексная система защиты информации : учебное пособие / В. Г. Грибунин, В.В. Чудовский — М.: Издательский центр «Академия», 2019. — 416 с. - ISBN 978-5-7695-5448-3. 19. Грушо, А. А. Теоретические основы за¬щиты информации: учебное пособие / А.А. Грушо. - М.: Яхтсмен, 2017. - 82 с. - ISBN978-5-85438-171. 20. Денисов, А.В. Самоучитель Интернет / А.В. Денисов. - Спб: Питер, 2012. - 461 с. - ISBN 978-5-94614-074-4. 21. Долгин, А. Б. Как защитить информацию: учебник / А.Б. Долгин. - М., Инфра-М, 2019. - 632 с. - ISBN5-16-002911-7. 22. Ельчанинова, Н. Б.Правовые основы защиты информации с ограниченным доступом: учебное пособие / Н.Б. Ельчанинова - Таганрог: Издательство ЮФУ, 2017. - 77 с. - ISBN: 978-5-9275-2501-0. 23. Железняк, В.К. Защита информации от утечки по техническим каналам : учебное пособие / В.К. Железняк — СПб.: СПбГУАП, 2016. - 188 с. - ISBN 5-8088-0230-8. 24. Зайцев, А. П. Технические средства и методы защиты информации : учебник для вузов / А. П. Зайцев - М.: Горячая линия - Телеком, 2012. - 442 с. - ISBN 978-5-9912-0233-6. 25. Каторин, Ю.Ф., Защита информации техническими средствами : учебное пособие / Ю. Ф. Каторин, А. В. Разумовский - СПб.:НИУ ИТМО, 2018. - 416 с. - ISBN 978-59901488-1-9. 26. Куприянов, А.И. Основы защиты информации : учебное пособие / А.И. Куприянов. - М.: Академия, 2016 . - 256с. - ISBN-978-5-7695-4416. 27. Леонов, А. Е. Безопасность автоматизированных банковских и офисных систем: учебник / А.Е. Леонов. - Минск, Национальная книжная палата Белоруссии, 2012. - 136 с. - ISBN5-256-01494-3. 28. Малюк, А.А. Теория защиты информации / А.А. Малюк. - М.: Горячая линия - Телеком, 2019. - 184 с. - ISBN 978-5-9912-0246-6. 29. Нанс, Б. Компьютерные сети: учебник / Б. Нанс. - М.: БИНОМ, 2016. -111 с. - ISBN5-8459-0852-3. 30. Науманн, Ш. Компьютерная сеть. Проектирование, создание, обслуживание: учебник / Ш. Науманн. - М.: Вильямс, 2014. - 336 с. - ISBN: 5-93700-011-0. 31. Новиков, Ю. В. Курс лекций: учебник / Ю.В. Новиков. - М.: Интернет-университет информационных технологий, 2015. - 405 с. - ISBN: 5-9556-0032-9. 32. Петренко, В. И. Теоретические основы защиты информации: учебное пособие / В. И. Петренко - Ставрополь: СКФУ, 2015. - 222 с. - ISBN 978-5-9585-4153-8. 33. Титов, А.А. Инженерно-техническая защита информации : учебное пособие / А.А. Титов. - Томск : Томский государственный университет систем управления и радиоэлектроники, 2018. - 195 с.- ISBN 978-5-9912-0273-2. 34. Титов, А.А. Технические средства защиты информации : учебное пособие / А.А. Титов. - Томск : Томский государственный университет систем управления и радиоэлектроники, 2018. - 194 с. - ISBN 978-5-9912-0268-1. 35. Хорев, А. А. Технические каналы утечки информации : учебное пособие / А. А. Хорев - М.: НПЦ «Аналитика», 2018. - 436 с. - ISBN 978-59901488-1-9. 36. Шишов, О. В. Современные технологии и технические средства информатизации: учебник / О. В. Шишов - М.: НИЦ ИНФРА-М, 2016. - 462 с. - ISBN 978-5-16-011776-8.
Отрывок из работы

1 Теоретические и нормативно-правовые основы модели угроз 1.1 Теоретические основы модели угроз безопасности в информационной системе Проектирование системы информационной безопасности информационной системы с учетом всей важности вопроса является сложным процессом, который должен учитывать многие факторы: программные, технические, организационные и правовые. Система обеспечения информационной безопасности разрабатывается с целью достижения приемлемого уровня защиты информационной системы от случайных или преднамеренных действий различного происхождения, и ее разработка включает в себя следующие основные этапы: -оценку текущего состояния информационной безопасности информационной системы; - описание модели угроз информационной безопасности; -формирование рекомендаций по совершенствованию системы обеспечения информационной безопасности. С точки зрения проектирования системы информационной безопасности, первые два этапа являются взаимосвязанными, так как оценка текущего состояния информационной безопасности производится с учетом актуальных угроз информационной безопасности, которые определяются в результате анализа модели угроз. В оценке текущего состояния системы важную роль играет проект информационной системы, который позволяет детально проанализировать функционал системы на предмет защищенности от вероятных угроз информационной безопасности. Это, кстати, позволяет анализировать защищенность системы на любом этапе ее жизненного цикла. Для современных систем, отличающихся сложной многоуровневой архитектурой, множеством неоднородных компонентов и структур, разработка проекта является также автоматизированным процессом. Вполне разумно и при разработке проекта системы информационной безопасности использовать аналогичные инструменты. В этом контексте модель угроз может иметь два варианта реализации: - самостоятельный проект информационной безопасности информационной системы; - интегрированный компонент безопасности в проекте информационной системы. Сам процесс построения модели представляет собой последовательность следующих операций: - выявление источников угроз информационной безопасности; - определение критически важных активов; - определение актуальных угроз безопасности информационной системы и способов их реализации. Согласно «Методике определения угроз безопасности информации в информационных системах» (ФСТЭК), модель угроз безопасности информации должна содержать следующие основные разделы : -описание информационной системы и особенностей ее функционирования; - возможности нарушителей (модель нарушителя); - актуальные угрозы безопасности информации; Хорошо проработанные модели угроз безопасности информации позволяют сформулировать план защиты, который сосредоточен на актуальных угрозах и предусматривает эффективные контрмеры, повышающие уровень информационной безопасности. Понятие «модели угроз» выделено в ГОСТ Р 50922-2006 - «Защита информации. Основные термины и определения» и определено как «физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации» . То есть, модель угроз- это документ, в котором перечислены и описаны возможные угрозы информационной безопасности, вероятность реализации и их последствия. Сама угроза- это недочет или упущение в системе безопасности, которыми могут воспользоваться злоумышленники. Наличие угрозы не означает неминуемую утечку информации: это говорит о том, что у злоумышленников есть возможность несанкционированного доступа к персональным данным. Учитывая, что модели угроз разрабатываются для разных категорий систем, от ИСПДн до КИИ, список необходимых документов для каждой из них отличается. Структура модели не регламентирована: каждый оператор разрабатывает его самостоятельно под свою специфику работы. Приказом ФСТЭК №17определен список модулей, из которых должен состоять нормативный акт. В него должны входить: -описание информационной системы и ее структурные и функциональные характеристики; - модель нарушителя; - описание угроз и возможные уязвимости; - способы устранения угроз и возможные последствия от проникновения злоумышленников в систему . Если оператор использует средства криптографической защиты, ему необходимо при составлении модели нарушителя (которая входит в модель угроз) использовать «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», разработанные ФСБ. В документе находятся правила оформления разделов и все необходимые таблицы. Для создания модели необходимо проанализировать данные, полученные при аудите ИС. Это поможет выявить слабые места системы, понять, что будет ей угрожать, откуда придет угроза и какими средствами ее нейтрализовать. Угрозы определяются при обработке данных. В модели необходимо прописать, кем или чем они могут быть вызваны: 1. Физическим лицом. 2. Вредоносными программами. 3. Утечкой по техническим каналам. 4. Появиться при проектировании крупных электронных устройств . 5. Ненадежными производителями (т.н. аппаратные закладки). 6. При специальном или электромагнитном воздействии на ИСПДн. Источники угроз - раздел, который также необходимо отразить в модели. Ими могут стать внешний или внутренний нарушители, вирус или программно-аппаратная закладки. Необходимый блок модели угроз - общая характеристика уязвимостей ИСПДн. В нем детально прописываются особенности каждого класса и указываются причины их возникновения. СогласноГОСТ Р 56546-2015класса уязвимостей выделяется три: 1. По области происхождения: -кодовые; -конфигурационные; -организационные; -многофакторные. 2. По месту возникновения: -в общем ПО; -в прикладном ПО; -в специальном ПО; -в технических средствах; -в портативных технических средствах; -в средствах защиты информации; -в сетевом оборудовании. 3.По типу недостатков ИС: -неверная настройка параметров ПО; -управление разрешениями, доступом и привилегиями; -неполнота проверки входных данных; -недостатки, ведущие к утечке или раскрытию информации ограниченного доступа; -возможность внедрения команд ОС; -работа с учетными данными; -межсайтовый крипинг; -подмена межсайтовых запросов; -связанные с аутентификацией; -переполнение буфера памяти; -возможность перехода по ссылкам; -управление ресурсами; -внедрение произвольного кода; -криптографические преобразования. При составлении модели угроз определяется уровень исходной защищенности. Это глобальный параметр, который определяется одноразово и не меняется в зависимости от угрозы. Как его определить, указано в пункте «Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных» вметодике определения актуальных угроз безопасности ПДн при их обработке в ИСПДн. Далее выделяются актуальные угрозы и исключаются лишние - те, которые не несут для системы вред. Угрозы, которые не были исключены, вносятся в модель с описанием. Резюмирует документ перечисление средств защиты информационной системы с описанием их характеристик . 1.2 Нормативно-правовые основы базовой модели угроз безопасности. Модель угроз должна быть построена в соответствии со следующими действующими нормативно-методическими документами в области защиты информации и персональных данных: 1. Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 2. Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных». 3.Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119. 4. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года). 5.Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены приказом ФСТЭК России № 21 от 18 февраля 2013 года). 6. Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России). 7.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России). 8.Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия для нарушения безопасности персональных данных, которое ведет к ущербу жизненно важных интересов личности, общества и государства . Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных, связанным: - с перехватом ПДн по техническим каналам с целью их копирования или неправомерного распространения; - с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн. Модель угроз является методическим документом и предназначена для государственных и муниципальных органов, юридических и (или) физических лиц, организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и содержание обработки ПДн, заказчиков и разработчиков ИСПДн и их подсистем. С применением Модели угроз решаются следующие задачи: - разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования; - анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн; - разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн; -проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации; недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование; - контроль обеспечения уровня защищенности персональных данных . В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации. Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модель угроз осуществляется ФСТЭК России в устанавливаемом порядке. Исходя из приказа ФСТЭК России от 11 февраля 2013г. N 17 организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение: -неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации); - неправомерных уничтожения или модифицирования информации (обеспечение целостности информации); - неправомерного блокирования информации (обеспечение доступности информации). Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия: -формирование требований к защите информации, содержащейся в информационной системе; - разработка системы защиты информации информационной системы; - внедрение системы защиты информации информационной системы; -аттестация информационной системы по требованиям защиты информации и ввод ее в действие; - обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; -обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. При проектировании системы защиты информации информационной системы: - определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты; -определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе; -выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы; -определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации; - определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов; -осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы; - определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации; -определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации. Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает: - установку и настройку средств защиты информации в информационной системе; -разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации); - внедрение организационных мер защиты информации; -предварительные испытания системы защиты информации информационной системы; - опытную эксплуатацию системы защиты информации информационной системы; - анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению; - приемочные испытания системы защиты информации информационной системы. К внедрению системы защиты информации информационной системы привлекается оператор информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту внедрения системы защиты информации информационной системы и не является заказчиком данной информационной системы. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия: - планирование мероприятий по защите информации в информационной системе; - анализ угроз безопасности информации в информационной системе; -управление (администрирование) системой защиты информации информационной системы; - управление конфигурацией информационной системы и ее системой защиты информации; - реагирование на инциденты; - информирование и обучение персонала информационной системы; -контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе . 1.3 Требования и рекомендации к защищаемому помещению При подготовке и проведении переговоров по конфиденциальным вопросам в организации необходимо руководствоваться следующими основными нормативно-правовыми актами: 1. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Данный закон регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий; обеспечении защиты информации. Закон формулирует понятия «безопасность» и «защита информации», рассматривает основные понятия и положения, касающиеся защиты информации. Также данный закон определяет ответственность за правонарушения в сфере информации, информационных технологий и защиты информации. 2. Федеральный закон от 27.07.2006 N 152-ФЗ"О персональных данных", который регулируетотношения, связанные с обработкой персональных данных, осуществляемой государственными и муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизацииили без использования таких средств. Закон устанавливает принципы и условия обработки персональных данных, права субъекта персональных данных, обязанности оператора, а также ответственность за нарушение требований данного закона. 3. Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным законом, устанавливает режим коммерческой тайны. Режим коммерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, составляющей коммерческую тайну, принимаемые ее обладателем. В законе указываются обязательные меры по защите охраняемой информации. Они реализуются в рамках разрешительной системы доступа персонала предприятия к информации, составляющей коммерческую тайну. Также в законе определены основные условия правомерного доступа персонала к коммерческой информации. 4. Федеральный закон "О лицензировании отдельных видов деятельности" от 04.05.2011 N 99-ФЗ. Закон регулирует отношения, возникающие между органами исполнительной власти, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности. 5. Указ Президента Российской Федерации от 06.03.97 г. № 188 "Перечень сведений конфиденциального характера". 6. Основной нормативно-методический документ в области защиты информации при проведении переговоров - Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Данный методический документ устанавливает порядок организации работ, требований и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих гос. тайну на территории РФ. В документе указываются требования и рекомендации по защите речевой информации, направленные на исключение (существенное затруднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в защищаемых помещениях, в системах звукоусиления и звукового сопровождения кинофильмов, при осуществлении её магнитной звукозаписи и передачи по каналам связи. Защищаемые помещения - это помещения, в которых предполагается проведение конфиденциальных переговоров. Такие помещения должны быть хорошо защищены как от прослушивания посторонним человеком, так и от съема акустических сигналов с помощью спецсредств (направленных микрофонов, лазеров, акселерометров и т. д.). Аттестация таких объектов информатизации должна проводиться организацией, имеющей лицензию ФСТЭК России на проведение работ по технической защите конфиденциальной информации . Защите подлежит как само помещение, так и технические средства, рас положенные в этом помещении.Кроме того предусматриваются меры защиты от различных технических средств разведки, которые могут быть использованы злоумышленником для несанкционированного получения конфиденциальной информации. К основным требованиям и рекомендациям по защите информации, циркулирующей в защищаемых помещениях (ЗП) относится: - в учреждении должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию, а также составлен технический паспорт на ЗП; -ЗП должны размещаться в пределах контролируемой зоны. Ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других предприятий. Не рекомендуется располагать ЗП на первых этажах зданий; -для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи). - ЗП рекомендуется оснащать сертифицированными по требованиям безопасности информации основными или вспомогательными средствами и системами, либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию; - специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия; - во время проведения переговоров запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения переговоров; - системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать устройства, сертифицированные по требованиям безопасности, или образцы средств, прошедшие специсследования и имеющие предписание на эксплуатацию; - для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). Для снижения уровня виброакустического сигнала рекомендуется, расположенные в ЗП элементы инженерно-технических систем отопления и вентиляции, оборудовать звукоизолирующими экранами; - в случае если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления. Для этой цели должны применяться сертифицированные средства активной защиты; - при эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение НСД в помещение: двери в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ; выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение; установка и замена оборудования, мебели, ремонт помещения должны производиться только по согласованию и под контролем специалиста по защите информации предприятия . Основным показателем защищаемых помещений от утечки речевой информации является коэффициент разборчивости речи. Чем ниже этот коэффициент, тем меньше слов сможет разобрать злоумышленник из перехваченного разговора. Идеальным, но редко применяемым на практике, способом обезопасить помещение от утечки речевой информации является учет необходимых характеристик ограждающих конструкций и инженерных коммуникаций при строительстве. К сожалению, такой способ дорогостоящий и растянут во времени, поэтому в подавляющем большинстве случаев, приходится использовать дополнительные средства защиты (маскирования) речевой информации для обеспечения допустимого значения коэффициента разборчивости речи. Только опытные специалисты с применением современной поверенной аппаратуры могут корректно измерить текущее состояние принятых мер в защищаемом помещении от утечки речевой информации и предложить комплекс организационно-технических мер по устранению выявленных проблем.
Не смогли найти подходящую работу?
Вы можете заказать учебную работу от 100 рублей у наших авторов.
Оформите заказ и авторы начнут откликаться уже через 5 мин!
Похожие работы
Дипломная работа, Информационная безопасность, 55 страниц
650 руб.
Дипломная работа, Информационная безопасность, 42 страницы
5555 руб.
Дипломная работа, Информационная безопасность, 67 страниц
750 руб.
Дипломная работа, Информационная безопасность, 75 страниц
1875 руб.
Служба поддержки сервиса
+7(499)346-70-08
Принимаем к оплате
Способы оплаты
© «Препод24»

Все права защищены

Разработка движка сайта

/slider/1.jpg /slider/2.jpg /slider/3.jpg /slider/4.jpg /slider/5.jpg