АННОТАЦИЯ
Жоможаева Е.Г.. Разработка проекта КСЗИ
Администрации города Миасса. –
Челябинск: ЮУрГУ,
Кафедра Информационная безопасность, 2008
Список литературы – 15 наименования.
В курсовом проекте рассмотрена разработка проекта комплексной системы защиты информации на примере Администрации города Миасса. Проанализирована характеристика объекта защиты; построена модель бизнес-процессов с целью выявления конфиденциальной информации, составлен «Перечень сведений конфиденциального характера», выявлены объекты защиты, угрозы, уязвимости и рассчитаны риск для ключевых объектов защиты, построена модели злоумышленника; проанализирована степень защищенности организации по каждому из видов защиты информации (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ, инженерно-физическая ЗИ) и предложены меры по обеспечению защищенности организации.
Содержание:
1. Введение 3
2. Паспорт предприятия. 5
3. Описание модели бизнес-процессов 9
4. Задачи построения КСЗИ 10
5. Этапы построения КСЗИ 11
6. Расчет информационных рисков 13
7. Разработка ПИБ 19
8. Заключение 20
9. Источники 21
10. Приложения
Введение.
С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно.
Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря корой может повлечь большие изменения в самой организации и материальные потери. Так как Администрация г. Миасса является управленческим органом, то потеря конфиденциальной информации может повлечь потери не только для самой Администрации, как организации, так и для всего города в целом. Поэтому мероприятия по защите информации в данное время очень актуальны и важны.
Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию.
Целью своей курсовой работы я избрала разработку проекта КСЗИ на примере Администрации города Миасса..
Задачи, которые я поставила перед собой:
1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;
2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации;
3. Составить «Перечень сведений конфиденциального характера»;
4. Выявить объекты защиты, оформленные в виде «Списка объектов, подлежащих защите»;
5. Выявить угрозы, уязвимости и произвести расчет рисков для ключевых объектов защиты;
6. Построить модель злоумышленника;
7. Проанализировать степень защищенности объектов защиты по каждому из видов защиты информации (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ, инженерно-физическая ЗИ, криптографическая ЗИ);
Паспорт предприятия.
Здание Администрации находится в районе. По адресу г. Миасс, пр.Автозаводцев,55. Здание Администрации является трехэтажным. Имеет свой хозяйственный двор для служебного автотранспорта. Перед зданием имеется автопарковка. Вход людей в здание осуществляется через контрольно-пропускной пункт, находящемся на 1-ом этаже здания.
Доступ имеет свои разграничения:
— в Отдел, занимающийся вопросами работы с вопросами и просьбами населения, имеют доступ все посетители. Отдел находится на первом этаже здания.
— В отделы и помещения, находящиеся на втором этаже здания, где находиться конфиденциальная информация допуск осуществляемся только по пропускам.
— Во все остальные помещения и отделы имеют доступ лишь служащие и клиенты по записи,
— Доступ в кабинет Главы города в его отсутствие запрещен.
Границе КЗ Администрации является забор, ограничивающий периметр здания и хоз. двора..
Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией.
Здание окружено жилыми домами (5- этажными).
В состав ВТСС входят:
— система кондиционирования (по одному в каждом кабинете);
— телефонный аппарат (в каждом кабинете, телефонная связь осуществляется через общую АТС здания, кабели АТС выходят за пределы КЗ) . В каждом отделе по 2.
— компьютер ( на каждом рабочем месте, состав: системный блок, монитор, мышь, клавиатура, 2 динамика)
— принтер (в каждом отделе по 1 штуке).
— телевизор (1шт. в кабинете Главы города).
В Администрации в каждом кабинете по 1-3 окна, в зависимости от площади кабинета. Все окна – тройной евростеклопакет. На окнах установлены жалюзи. Окна с одной стороны здания выходят на хоз. двор., остальные на шумные улицы
Количество стояков отопления соответствует количеству окон. Трубы системы отопления проходят по всем этажам, заканчиваются в бойлерной(подвальное помещение здания).
Стены, потолок – железобетонные плиты толщиной 400 мм, отделаны гипсокартонном толщиной10мм, пол – железобетонные плиты толщиной 400 мм, покрытые паркетом (отделы) и ковролином (кабинет Главы города).
Количество дверей соответствует количеству кабинетов в здании.
Дверь входа в здание – железная укрепленная.
Требования к монтажу кабельной проводки – скрытый монтаж.
Генераторы вибро-акустического зашумления не установлены.
Генераторы электромагнитного шума не установлены.
Направления деятельности Администрации:
— юридический отдел;
— комитет по управлению Машгородка;
— отдел муниципального обслуживания;
— вопросами безопасности;
— проблемами строительства;
— вопросы ЗАГСа;
— вопросами коммунального хозяйства, распределения жилья;
— вопросы гуманитарного развития ;
— вопросы экономического развития;
— вопросами кадрового развития;
— вопросами хозяйственного обслуживания;
На предприятии отсутствуют сведения, составляющие государственную тайну, но ведется работа с коммерческой и служебной тайной. Существует ряд нормативно- правовых актов регламентирующих правила пользования этими сведениями.
В Администрации существует своя локальная сеть, доступ к которой имеют только служащие Администрации. В большинстве случаев имеется доступ лишь к ограниченному числу сайтов этой сети, необходимых в ходе трудовой деятельности. Информация о каждом выходе в сеть фиксируется системным администратором. Это также относится к сети Интернет.
Основными объектами защиты являются:
— АРМ сотрудников;
— сервер локальной сети;
— конфиденциальная информация (документы);
— кабинет Главы города;
— зал проведения совещаний;
— кабинеты с конфиденциальной документацией.
В Администрации разработана часть мер по защите информации:
— заключен договор об охране помещения и территории;
— разработан график работы и посещения населения;
— разработан режим и правила противопожарной безопасности;
— режим видеонаблюдения этажей;
— разработаны должностные инструкции служащих, разграничивающие их права и обязанности ;
—дополнительные соглашения к трудовым договорам сотрудников о неразглашении ими конфиденциальной информации, регламентирующие ответственность в области защиты информации;
— инструкции по охране периметра, по эксплуатации системы охранной сигнализации и видеонаблюдения;
— положение о конфиденциальном документообороте;
— описание технологического процесса обработки КИ;
— установлена антивирусная системы защиты на АРМ;
— разграничен доступ к АРМ паролями.
Задачи построения КСЗИ.
После анализа имеющихся данных можно выделить ряд задач необходимых для построения КСЗИ:
— дополнение имеющихся мер защиты, внедрение и организацию;
— составить комплекс организационных мероприятий;
—проработать перечень программно-аппаратных и инженерно-технических мер;
— необходимо составить перечень конфиденциальной информации;
— составляется перечень объектов защиты;
— определить перечень угроз для этих объектов;
— рассчитать информационные риски.
Рассмотрев состав информационных ресурсов предприятия, определяем состав конфиденциальной информации:
— Сведения, составляющие коммерческую тайну;
— Сведения, содержащие персональные данные.
Получаем перечень сведений, составляющих конфиденциальную информацию (Приложение №2);
Также необходимо определить местоположение защищаемой информации на предприятии. Для этого составляется перечень объектов защиты (Приложение №5), включающий структурную графическую схему второго этажа в здании Администрации (Приложение №6), где проходит основной поток конфиденциальной информации.
Этапы построения КСЗИ.
Для создания комплексной системы защиты информации на предприятии необходимо провести ряд мероприятий:
Эти мероприятия может проводить как специально приглашённая фирма- исполнитель, так и служба безопасности предприятия (если она имеет лицензию на осуществление этой деятельности).
1.Стартовый (начальный).
— Получение согласия высшего руководства на создание КСЗИ.
— Разработка плана работ по созданию КСЗИ.
— Формирование команды по созданию КСЗИ.
В результате проведения этого этапа должны появиться следующие документы:
— Приказ о создании КСЗИ,
— план работ по созданию КСЗИ,
— приказ о формировании команды,
— приказ о проведении обследования предприятия.
2. Этап предпроектного обследования.
На этом этапе проводится обследование (аудит) предприятия.
— Инвентаризация объектов информатизации и персонала.
— Выявление информационных потоков.
— Моделирование бизнес-процессов.
— Разработка отчёта, в который должны входить: объекты защиты с точки зрения угроз, модели злоумышленников, ответственные за объекты информатизации, расчёт рисков, ранжирование рисков.
— Разработка технического задания на проектирование КСЗИ. В него входят ключевые объекты защиты, меры и средства защиты, требования по защите.
3. Проектирование.
— Создание системного проекта.
— Создание “Политики безопасности”.
— Проведение работ по созданию КСЗИ (технический проект с опорой на ресурсы, «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ).
— Создание рабочего проекта.
4. Внедрение
На этом этапе создаётся пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— Инструкции эксплуатации КСЗИ и её элементов;
— Процедуры регламентного обслуживания КСЗИ;
— Правила и положения по проведению тестирования и анализа работы КСЗИ.
На этом этапе проводится все пусконаладочные работы, обучает и инструктирует персонал предприятия правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию. В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ. По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.
Разработка политики безопасности. (Приложение №4)
Под политикой информационной безопасности (ИБ) понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.
Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).
В России к нормативным документам, определяющим содержание политики ИБ, относится ряд РД ФСТЭКа. В отечественных и международные стандартах используются сходная методология, однако ряд вопросов в отечественных РД не рассмотрен или рассмотрен менее подробно. Таким образом, при разработке политики ИБ целесообразно использовать передовые зарубежные стандарты, позволяющие разработать более качественные документы, полностью соответствующие отечественным РД.
Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.
Основные этапы:
Разработка концепции политики информационной безопасности
Описание границ системы и построение модели ИС с позиции безопасности
Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рисков и оценка их параметров
Анализ возможных вариантов контрмер и оценка их эффективности.
Выбор комплексной системы защиты на всех этапах жизненного цикла
Заключение.
Таким образом, поставив перед собой цель разработать проект КСЗИ в Администрации города Миасса, мною были проделаны следующие работы:
1. Я рассмотрела общую характеристику объекта защиты;
2. Построила модель бизнес-процессов с целью выявления конфиденциальной информации;
3. Составила «Перечень сведений конфиденциального характера»;
4. Выявила угрозы, уязвимости и произвела расчет рисков для ключевых объектов защиты;
5. Описала техническое задание
6. Рассмотрела политику безопасности.
7. Получить теоретические знания и практические навыки в создание эффективной системы защиты информации.
Я считаю, что построение КСЗИ в таком муниципальном органе, как городская Администрация необходима.
Источники:
1. Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.
2. Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.
3. Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 с.
4. Торокин А.А. «Основы инженерно-технической защиты информации». – М.:
5. Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996.
6. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр
Приложение №3
«Техническое задание на систему защиты информации»
приложение 1 к Договору №____________от «____»____________2005г. |
Для служебного пользования
Экз. №__
От Заказчика: | От Исполнителя: |
Первый заместитель главы города | Генеральный директор ОАО «Безопасность» |
___________ А.С. Бородин | ______________ А.П. Заикин |
«___» ___________ 2008 г. | «___» __________ 2008 г. |
Техническое задание
Доступ к информации.
Доступ на территорию Администрации осуществляется свободно, кроме второго этаже где находится КПП. Пропускной режим обеспечивается круглосуточно силами сотрудников вневедомственной охраны УВД. Доступ на территорию Администрации и в помещения, где хранится кон информация, осуществляется по служебному удостоверению либо по специальной отметке в пропуске.
Допуск служащих Администрации к защищаемым информационным ресурсам осуществляется в соответствии с должностными обязанностями, утвержденными службой безопасности, и разграничивается штатными средствами ОС. Физический доступ к серверу и активному сетевому оборудованию ограничен, они размещены на втором этаже здания, в отдельном кабинете, в закрывающихся телекоммуникационных шкафах.
Для передачи данных между пользователями АРМ используются автоматизированные системы документооборота (внутренняя электронная почта, средства передачи сообщений).
Каналы утечки информации.
К возможным каналам утечки или нарушения целостности информации можно отнести:
- НСД к информации, обрабатываемой на ПЭВМ и на сервере;
- НСД к бумажным и машинным носителям информации;
- выход из строя технических и программных средств, в т.ч. машинных носителей информации.
Нарушение целостности информации возможно как путем физического разрушения носителей информации, так и путем искажения ее с помощью программных средств:
- Аварии, стихийные бедствия (пожар, затопление);
- Колебания в сети электропитания;
- Старение магнитной поверхности носителей информации;
- Ошибочное удаление информации пользователем;
- Сбои прикладного программного обеспечения.
Возможны следующие способы несанкционированного доступа к защищаемым ресурсам АС:
- физический доступ к носителям информации (к серверу) и их резервным копиям с целью их хищения;
- физический доступ к бумажным носителям информации, с целью их хищения, размножения, фотографирования;
- непосредственный (вне рамок прикладного ПО) доступ к файлам хранилища информации, таблицам БД и исполняемым модулям ПО - удаленно или локально с целью их копирования и дальнейшей установки, а также с целью их уничтожения;
- применение нештатных специальных программ, обеспечивающих восстановление удаленных данных с машинных носителей информации;
- передача файлов по каналам связи между сотрудниками и за пределы станции с целью предоставления НСД лицам, не имеющим допуска к данной информации в обход штатных средств защиты;
- доступ в рамках прикладного ПО локально или удаленно к базам данных и файлам с использованием недокументированных возможностей и режимов работы этого ПО, разработанных и установленных в качестве модификаций, в случае, когда разработчиком ПО является сторонняя организация;
- любой доступ к ПО и данным с использованием технологий взлома средств защиты с целью получения или уничтожения данных (в т.ч. компьютерные вирусы);
- доступ с использованием чужого идентификатора, а также с чужого рабочего места во время отсутствия пользователя этого АРМ.
Модель нарушителя
В качестве возможного нарушителя рассматривается субъект, имеющий доступ к работе с программными и техническими средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им всеми доступными средствами (Таблица 1).
Таблица 1.
Уро-вень | Возможности нарушителя по технологическому процессу | Потенциальная группа нарушителей | Возможный результат НСД |
1 | Нет | Служащие, не имеющие доступа к информации, но имеющие доступ в помещения (обслуживающий персонал, посетители) | Просмотр на экране монитора и хищение бумажных и машинных носителей. |
2 | Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации | Большинство пользователей АС, имеющих непосредственный доступ в помещения, к АРМ, с полномочиями, ограниченными на уровне системы защиты информации (СЗИ) | Доступ пользователя к информации другого пользователя в его отсутствие, в т.ч. через сеть, просмотр информации на мониторе (несоблюдение организационных требований). Просмотр и хищение бумажных носителей. |
3 | Управление функционированием АС, т.е. воздействие на базовое программное обеспечение ОС и СУБД, на состав и конфигурацию оборудования АС, на настройки СЗИ. Работа с внешними носителями. | Администраторы АС, наделенные неограниченными полномочиями по управлению ресурсами | Доступ администратора АС к информации других пользователей и к средствам СЗИ, непреднамеренное разрушение информации (несоблюдение организационных требований) |
4 | Весь объем возможностей лиц, осуществляющих ремонт технических средств АС. | Обслуживающий персонал АС. Специалисты сторонних организаций, осуществляющих поставку и монтаж оборудования для АС | Доступ обслуживающего персонала АС к МН с информацией других пользователей, разрушение информации, установка закладных устройств (несоблюдение организационных требований при ремонте ОТСС) |
Фактическая защищенность
Доступ служащих к ресурсам разграничивается штатными средствами ОС. Список служащих, имеющих доступ к ресурсам, документально определен. Доступ ограничивается в соответствии с должностными инструкциями.
Документ, определяющий порядок конфиденциального документооборота существует и утвержден.
Документально определена технология обработки информации (документ «Описание технологического процесса обработки информации»).
На серверах и рабочих станциях применяются операционные системы MS Windows, что позволяет применить сертифицированные средства защиты от НСД. Но также осуществляется обработка информации в СУБД, что практически исключает применение на данных объектах сертифицированных средств защиты от НСД по причине отсутствия таких средств на рынке.
Перечень мер по защите
Разработка перечня защищаемой информации
- Необходимо переработать перечень сведений конфиденциального характера в плане детализации обрабатываемых данных и отнесении сведений к той или иной степени конфиденциальности.
Конфиденциальность информации
С целью повышения степени защищенности информации в плане соблюдения конфиденциальности необходимо:
- разделить ввод и вывод информации одного грифа на уровне АРМ или пользователей с целью разделения ответственности и усиления контроля за этими этапами технологического процесса;
- ограничить (в т.ч. организационно) возможности несанкционированного вывода информации пользователями на внешние носители (дискеты, лазерные накопители CD-RW, USB-Flash) и на печать;
- ограничить количество или исключить использование локальных принтеров на АРМ пользователей, назначить ответственных за печать документов на сетевых принтерах;
- исключить доступ пользователей к ресурсам АРМ других пользователей, как на запись, так и на чтение, т.е. возможность создания пользователями общих сетевых ресурсов на своих АРМ. Обмен информацией между пользователями осуществлять через общие ресурсы на серверах;
- если один служащий относится к нескольким категориям пользователей, то при совмещении обязанностей он должен пользоваться разными идентификаторами. Например, администратор может выполнять работу пользователя, но не имеет права делать это с идентификатором администратора.
Целостность информации
С целью повышения степени защищенности информации в плане соблюдения целостности необходимо:
- внедрение исправлений и добавлений централизованно распространяемых ведомственных программных средств на АРМ пользователей и на сервер должно осуществляться в виде уже откомпилированных исполняемых модулей и процедур, в состав которых не должны включаться средства отладки.
Состав рабочей документации
Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы:
· «Описание технологического процесса обработки конфиденциальной информации», в котором отражен порядок проведения всех операций ТП (ввод, вывод, обработка и хранение, резервирование и восстановление, управление доступом);
· «Инструкция пользователя», в которой отражены порядок его работы с информацией, права, обязанности и ответственность;
· «Инструкции администраторов ОС, БД»;
· «Инструкция обслуживающего персонала»;
· «Журнал регистрации бумажных носителей информации», в котором учитываются все операции распечатывания документов, графы журнала заполняются исполнителями работ;
· «Журнал учета резервного копирования», в котором учитываются все операции резервного копирования и восстановления информации, все графы журнала заполняют администраторы.
· Перечень сведение конфиденциального характера Администрации города Миасса.
Приложение №4
«Политика безопасности Администрация города Миасса
|
Администрация города Миасса |
Политика
19.10.2007 г. № 1__
г. Челябинск
Назначение документа.
Политика является основой для:
Разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации;
Принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
Координации деятельности структурных подразделений Администрации при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований обеспечения безопасности информации.
II. Средства управления.
Планирование безопасности.
Защита персонала.
Планирование непрерывной работы.
IV. Технические средства.
Требования к процедурам идентификации и аутентификации.
Процедуры идентификации и аутентификации должны обеспечивать надёжный контроль доступа к ресурсам ИС.
Требования к системам контроля разграничения доступа.
Система контроля доступа должна обеспечивать надёжный контроль доступа к ресурсам ИС.
Требования к системе регистрации событий в ИС.
Система регистрации должна обеспечивать запись всех событий, происходящих в ИС, а так же предоставлять данные записи в удобочитаемом виде, для последующего ознакомления с ними соответствующими сотрудниками.
ПРИЛОЖЕНИЕ №5
«Список объектов защиты»
|
Администрация города Миасса |
СПИСОК
19.10.2007 г. № 1__
г. Челябинск
Объектов защиты
ПРИЛОЖЕНИЕ №6
АННОТАЦИЯ
Жоможаева Е.Г.. Разработка проекта КСЗИ
Администрации города Миасса. –
Челябинск: ЮУрГУ,
Кафедра Информационная безопасность, 2008
Список литературы – 15 наименования.
В курсовом проекте рассмотрена разработка проекта комплексной системы защиты информации на примере Администрации города Миасса. Проанализирована характеристика объекта защиты; построена модель бизнес-процессов с целью выявления конфиденциальной информации, составлен «Перечень сведений конфиденциального характера», выявлены объекты защиты, угрозы, уязвимости и рассчитаны риск для ключевых объектов защиты, построена модели злоумышленника; проанализирована степень защищенности организации по каждому из видов защиты информации (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ, инженерно-физическая ЗИ) и предложены меры по обеспечению защищенности организации.
Содержание:
1. Введение 3
2. Паспорт предприятия. 5
3. Описание модели бизнес-процессов 9
4. Задачи построения КСЗИ 10
5. Этапы построения КСЗИ 11
6. Расчет информационных рисков 13
7. Разработка ПИБ 19
8. Заключение 20
9. Источники 21
10. Приложения
Введение.
С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастет необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно.
Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря корой может повлечь большие изменения в самой организации и материальные потери. Так как Администрация г. Миасса является управленческим органом, то потеря конфиденциальной информации может повлечь потери не только для самой Администрации, как организации, так и для всего города в целом. Поэтому мероприятия по защите информации в данное время очень актуальны и важны.
Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию.
Целью своей курсовой работы я избрала разработку проекта КСЗИ на примере Администрации города Миасса..
Задачи, которые я поставила перед собой:
1. Проанализировать общую характеристику объекта защиты, оформленную в виде «Паспорта предприятия»;
2. Построить модель бизнес-процессов с целью выявления конфиденциальной информации;
3. Составить «Перечень сведений конфиденциального характера»;
4. Выявить объекты защиты, оформленные в виде «Списка объектов, подлежащих защите»;
5. Выявить угрозы, уязвимости и произвести расчет рисков для ключевых объектов защиты;
6. Построить модель злоумышленника;
7. Проанализировать степень защищенности объектов защиты по каждому из видов защиты информации (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ, инженерно-физическая ЗИ, криптографическая ЗИ);
Паспорт предприятия.
Здание Администрации находится в районе. По адресу г. Миасс, пр.Автозаводцев,55. Здание Администрации является трехэтажным. Имеет свой хозяйственный двор для служебного автотранспорта. Перед зданием имеется автопарковка. Вход людей в здание осуществляется через контрольно-пропускной пункт, находящемся на 1-ом этаже здания.
Доступ имеет свои разграничения:
— в Отдел, занимающийся вопросами работы с вопросами и просьбами населения, имеют доступ все посетители. Отдел находится на первом этаже здания.
— В отделы и помещения, находящиеся на втором этаже здания, где находиться конфиденциальная информация допуск осуществляемся только по пропускам.
— Во все остальные помещения и отделы имеют доступ лишь служащие и клиенты по записи,
— Доступ в кабинет Главы города в его отсутствие запрещен.
Границе КЗ Администрации является забор, ограничивающий периметр здания и хоз. двора..
Электропитание здания осуществляется от трансформаторной подстанции, которая расположена на неконтролируемой территории и обслуживается сторонней организацией.
Здание окружено жилыми домами (5- этажными).
В состав ВТСС входят:
— система кондиционирования (по одному в каждом кабинете);
— телефонный аппарат (в каждом кабинете, телефонная связь осуществляется через общую АТС здания, кабели АТС выходят за пределы КЗ) . В каждом отделе по 2.
— компьютер ( на каждом рабочем месте, состав: системный блок, монитор, мышь, клавиатура, 2 динамика)
— принтер (в каждом отделе по 1 штуке).
— телевизор (1шт. в кабинете Главы города).
В Администрации в каждом кабинете по 1-3 окна, в зависимости от площади кабинета. Все окна – тройной евростеклопакет. На окнах установлены жалюзи. Окна с одной стороны здания выходят на хоз. двор., остальные на шумные улицы
Количество стояков отопления соответствует количеству окон. Трубы системы отопления проходят по всем этажам, заканчиваются в бойлерной(подвальное помещение здания).
Стены, потолок – железобетонные плиты толщиной 400 мм, отделаны гипсокартонном толщиной10мм, пол – железобетонные плиты толщиной 400 мм, покрытые паркетом (отделы) и ковролином (кабинет Главы города).
Количество дверей соответствует количеству кабинетов в здании.
Дверь входа в здание – железная укрепленная.
Требования к монтажу кабельной проводки – скрытый монтаж.
Генераторы вибро-акустического зашумления не установлены.
Генераторы электромагнитного шума не установлены.
Направления деятельности Администрации:
— юридический отдел;
— комитет по управлению Машгородка;
— отдел муниципального обслуживания;
— вопросами безопасности;
— проблемами строительства;
— вопросы ЗАГСа;
— вопросами коммунального хозяйства, распределения жилья;
— вопросы гуманитарного развития ;
— вопросы экономического развития;
— вопросами кадрового развития;
— вопросами хозяйственного обслуживания;
На предприятии отсутствуют сведения, составляющие государственную тайну, но ведется работа с коммерческой и служебной тайной. Существует ряд нормативно- правовых актов регламентирующих правила пользования этими сведениями.
В Администрации существует своя локальная сеть, доступ к которой имеют только служащие Администрации. В большинстве случаев имеется доступ лишь к ограниченному числу сайтов этой сети, необходимых в ходе трудовой деятельности. Информация о каждом выходе в сеть фиксируется системным администратором. Это также относится к сети Интернет.
Основными объектами защиты являются:
— АРМ сотрудников;
— сервер локальной сети;
— конфиденциальная информация (документы);
— кабинет Главы города;
— зал проведения совещаний;
— кабинеты с конфиденциальной документацией.
В Администрации разработана часть мер по защите информации:
— заключен договор об охране помещения и территории;
— разработан график работы и посещения населения;
— разработан режим и правила противопожарной безопасности;
— режим видеонаблюдения этажей;
— разработаны должностные инструкции служащих, разграничивающие их права и обязанности ;
—дополнительные соглашения к трудовым договорам сотрудников о неразглашении ими конфиденциальной информации, регламентирующие ответственность в области защиты информации;
— инструкции по охране периметра, по эксплуатации системы охранной сигнализации и видеонаблюдения;
— положение о конфиденциальном документообороте;
— описание технологического процесса обработки КИ;
— установлена антивирусная системы защиты на АРМ;
— разграничен доступ к АРМ паролями.
Описание модели бизнес-процессов.
Модель бизнес-процесса Администрации города Миасса максимально подробно описан в Приложении №1, с помощью построения модели BPwin.
Проанализировав структуру Администрации можно выделить, что она имеет очень обширную сферу деятельности. Потому, что состоит из множества отделов. В каждом отделе рассматриваются различные вопросы по обеспечению жизнедеятельности города. Каждый отдел несет ответственность за свои действия.
Деятельность Администрации является очень важной, потому как это муниципальные орган управления города.
Задачи построения КСЗИ.
После анализа имеющихся данных можно выделить ряд задач необходимых для построения КСЗИ:
— дополнение имеющихся мер защиты, внедрение и организацию;
— составить комплекс организационных мероприятий;
—проработать перечень программно-аппаратных и инженерно-технических мер;
— необходимо составить перечень конфиденциальной информации;
— составляется перечень объектов защиты;
— определить перечень угроз для этих объектов;
— рассчитать информационные риски.
Рассмотрев состав информационных ресурсов предприятия, определяем состав конфиденциальной информации:
— Сведения, составляющие коммерческую тайну;
— Сведения, содержащие персональные данные.
Получаем перечень сведений, составляющих конфиденциальную информацию (Приложение №2);
Также необходимо определить местоположение защищаемой информации на предприятии. Для этого составляется перечень объектов защиты (Приложение №5), включающий структурную графическую схему второго этажа в здании Администрации (Приложение №6), где проходит основной поток конфиденциальной информации.
Этапы построения КСЗИ.
Для создания комплексной системы защиты информации на предприятии необходимо провести ряд мероприятий:
Эти мероприятия может проводить как специально приглашённая фирма- исполнитель, так и служба безопасности предприятия (если она имеет лицензию на осуществление этой деятельности).
1.Стартовый (начальный).
— Получение согласия высшего руководства на создание КСЗИ.
— Разработка плана работ по созданию КСЗИ.
— Формирование команды по созданию КСЗИ.
В результате проведения этого этапа должны появиться следующие документы:
— Приказ о создании КСЗИ,
— план работ по созданию КСЗИ,
— приказ о формировании команды,
— приказ о проведении обследования предприятия.
2. Этап предпроектного обследования.
На этом этапе проводится обследование (аудит) предприятия.
— Инвентаризация объектов информатизации и персонала.
— Выявление информационных потоков.
— Моделирование бизнес-процессов.
— Разработка отчёта, в который должны входить: объекты защиты с точки зрения угроз, модели злоумышленников, ответственные за объекты информатизации, расчёт рисков, ранжирование рисков.
— Разработка технического задания на проектирование КСЗИ. В него входят ключевые объекты защиты, меры и средства защиты, требования по защите.
3. Проектирование.
— Создание системного проекта.
— Создание “Политики безопасности”.
— Проведение работ по созданию КСЗИ (технический проект с опорой на ресурсы, «Технический проект на создание КСЗИ» представляет собой комплект документов, в который входит часть документов разработанных на предыдущих этапах и ряд новых документов, в которых описано, как именно будет создаваться, эксплуатироваться и, в случае необходимости, модернизироваться КСЗИ).
— Создание рабочего проекта.
4. Внедрение
На этом этапе создаётся пакет документов «Эксплуатационная документация на КСЗИ», который включает:
— Инструкции эксплуатации КСЗИ и её элементов;
— Процедуры регламентного обслуживания КСЗИ;
— Правила и положения по проведению тестирования и анализа работы КСЗИ.
На этом этапе проводится все пусконаладочные работы, обучает и инструктирует персонал предприятия правилам и режимам эксплуатации КСЗИ.
После реализации этого этапа внедренная КСЗИ готова к последующему испытанию. В процессе испытаний выполняются тестовые задания и контролируются полученные результаты, которые и являются индикатором работоспособности спроектированной КСЗИ. По результату испытания КСЗИ делается вывод относительно возможности представления КСЗИ на государственную экспертизу.
Дата: 2019-07-24, просмотров: 246.