Пояснительная записка (Разработка профиля защиты информации в государственной информационной системе), страница 2
Описание файла
Файл "Пояснительная записка" внутри архива находится в папке "Разработка профиля защиты информации в государственной информационной системе". Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Пояснительная записка"
Текст 2 страницы из документа "Пояснительная записка"
В УФК РФ по Хабаровскому краю данные формируются посредством ПО «АРМ Клиента СЭД». Сформированный отчет, содержащий персональные данные субъектов ПДн шифруется при помощи программы «КриптоПро CSP» и подписывается ЭЦП заместителем руководителя УОДМС.
ПК ПИ «Судимость» раз в месяц формирует отчет в виде статистических карточек и отправляет их в УСД. Сформированный отчет, содержащий персональные данные субъектов ПДн шифруется при помощи программы «КриптоПро CSP» и подписывается ЭЦП руководителя УОДМС.
-
Существующие меры защиты информации
Контроль доступа в здания осуществляется штатными работниками УОДМС (судебными приставами). Работники попадают в здание с помощью служебного удостоверения, предъявляя его судебным приставам на входе в здание. Также работники проходит через рамку металлодетектора. В середине коридора на первом этаже находится еще один пункт пропуска, на котором находится судебный пристав. Работники, которым необходимо пройти на следующие этажи, предъявляют удостоверение и проходят. Со второго по четвертый этаж в коридорах находится по одному судебному приставу, осуществляющему контроль за соблюдением порядка нахождения лиц в помещениях.
В здании УОДМС возможно нахождение посетителей. На первом пропускном пункте посетители предъявляют повестку в суд, либо разрешение на посещение заседания (при открытых судебных заседаниях) и проходят через рамку металлодетектора. Если посетителям требуется пройти на следующие этажи, то возле входа в здание имеется помещение, в котором посетителям выписывают разовый пропуск с разрешения того подразделения, в которое направляется посетитель. По этому пропуску посетитель проходит и второй пропускной пункт.
По периметру здания и внутри установлены камеры видеонаблюдения. Помещения оборудованы охранной сигнализацией. Охранная сигнализация включается в конце рабочего дня и отключается в начале рабочего дня, в выходные и праздничные дни охранная сигнализация не отключается. В нерабочее время охрана здание осуществляется частным охранным предприятием, с которым у УОДМС заключен договор. В помещениях имеется пожарная сигнализация, работающая круглосуточно. Вся поступающая информация со средств охраны помещений централизовано поступает на пульт охраны, помещение которого расположено на первом этаже у центрального входа и оборудовано «тревожной кнопкой».
Контроль доступа в помещения остальных сегментов ГИС так же осуществляется штатными сотрудниками (судебными приставами). На входе сотрудник УОДМС должен предъявить служебное удостоверение. Помещения оборудованы охранной сигнализацией, которая работает в нерабочее время.
Элементы сегмента г. Магадан располагаются с первого по четвертый этаж здания. В сегменте Омсукчанского городского округа элементы расположены на втором этаже. Во всех остальных сегментах ГИС элементы расположены на первом этаже здания.
Все кабинеты, где обрабатываются и хранятся данные, имеют двери, запирающиеся на ключ. Серверная находится в кабинете 403а, ограждена от кабинета 403 стеклянной перегородкой. Кабинет 403 является кабинетом администратора ГИС и имеет металлическую дверь. На окнах кабинетов установлены непрозрачные жалюзи. В серверной и в некоторых кабинетах на окнах установлены металлические решетки. На окнах помещений других сегментов также установлены жалюзи и решетки. Двери деревянные, запирающиеся на ключ.
Съемные носители персональных данных хранятся у пользователей. Журнал учета и другая регламентирующая документация не разработана.
Для защиты канала связи при обмене информацией с иными ИС в Управлении применяются КСЗИ КриптоПро CSP версии 3.6 ПО установлено на АРМ 406.1 и 406.2.
Антивирусная защита осуществляется с применением ПО «Kaspersky Endpoint Protection 10».
-
Классификация информационной системы
Обеспечение безопасности информации осуществляется реализацией перечня технических и организационных мер обеспечения безопасности, которые определяются нормативно-методической документацией ФСТЭК России и ФСБ России. Перечень технических и организационных мер зависит от определенного для информационной системы класса защищенности.
В связи с тем, что в ГИС обрабатываются разные виды информации: персональные данные и служебная тайна, необходимо проводить классификацию информационной системы отдельно для каждого вида информации.
-
Уровень защищенности ПДн
В ходе обследования было выявлено, что информационная система «МИРС 49» разделена на сегменты. Ввиду того, что сегменты обрабатывают одинаковые категории ПДн, то классификация производится для всей информационной системы в целом.
В ходе обследования ИС было выявлено:
-
в ГИС обрабатываются иные и специальные категории ПДн субъектов, не являющихся сотрудниками оператора;
-
в ГИС одновременно обрабатываются данные менее 100 тысяч субъектов, не являющихся сотрудниками УОДМС;
-
используется только лицензионное ПО, проводится регулярное обновление общесистемного и прикладного ПО;
-
прикладные программы, используемые для обработки ПДн лицензионные, несанкционированному изменению не подвергаются;
-
антивирусное ПО имеет сертификат ФСТЭК, вирусные базы регулярно обновляются.
Исходя из вышеизложенного, угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении не актуальны для информационной системы «МИРС 49».
Исходя из категорий и объема ПДн, одновременно обрабатываемых в ГИС «МИРС 49» и типа угроз на основании пункта 11 подпункта «б» Требований к защите ПДн [7] необходимо обеспечить третий уровень защищенности персональных данных.
-
Класс защищенности ГИС
В соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах [6], класс защищенности информационной системы определяется в зависимости от уровня значимости информации, обрабатываемой в этой информационной системе, и масштаба информационной системы.
В ходе обследования была установленная низкая степень возможного ущерба. В соответствии с низкой степенью возможного ущерба, для ГИС «МИРС 49» установлен низкий уровень значимости информации – третий.
ГИС функционирует на территории одного субъекта Российской Федерации, поэтому имеет региональный масштаб информационной системы.
Таким образом, на основании уровня значимости информации и масштаба ГИС «МИРС 49» должен быть установлен класс защищенности информационной системы К3.
-
Модель угроз безопасности информации
-
Модель вероятного нарушителя
В соответствии с документом «Модель угроз безопасности информации, обрабатываемой в государственной информационной системе ГИС «МИРС 49» Министерства государственно-правового развития Магаданской области» (далее – Модель угроз) (приложение Б), наиболее вероятными нарушителями являются:
-
внешние субъекты (физические лица) – внешние нарушители;
-
пользователи информационной системы – внутренние нарушители);
-
бывшие работники (пользователи) – внешние нарушители.
С учетом указанных видов нарушителей был определен потенциал нарушителя – базовый (низкий).
-
Модель угроз
Угрозами безопасности информации при обработке в ГИС считается ряд условий и факторов, которые создают опасность несанкционированного, а также случайного, доступа к защищаемой информации, в результате чего информация может быть уничтожена, изменена, заблокирована, скопирована, незаконно распространена.
Определение актуальных угроз производилось в «Модели угроз» (приложение Б).
В соответствии с «Моделью угроз», актуальные угрозы для государственной информационной системы «МИСР 49» являются:
-
кража, модификация и уничтожение информации;
-
несанкционированное отключение средств защиты;
-
модификация ПО базовой системы ввода/вывода (BIOS);
-
загрузка нештатной (не доверенной) операционной системы;
-
действия вредоносных программ (вирусов);
-
установка ПО, не связанного с исполнением служебных обязанностей;
-
утрата атрибутов доступа и ключей;
-
разглашение (например, при разговорах, записывание на бумаге и т.п.) логинов и паролей;
-
неумышленная (случайная) модификация (искажение) доступной информации;
-
неумышленное (случайное) добавление (фальсификация) информации;
-
непреднамеренное отключение средств защиты;
-
доступ к информации, её уничтожение или модификация сотрудниками, не допущенными к её обработке;
-
перехват информации за пределами контролируемой зоны;
-
угроза «сканирование сети»;
-
угроза выявления паролей;
-
угроза подмены доверенного объекта сети;
-
внедрение ложного объекта сети;
-
угрозы удаленного запуска приложений.
Согласно методике определения угроз безопасности информации в информационных системах [12], угроза безопасности информации является актуальной, если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы, и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.
Для оценки возможности реализации угрозы определялись два показателя: уровень исходной (проектной) защищенности ГИС и вероятность реализации рассматриваемой угрозы.
Под уровнем проектной защищенности ГИС понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИС, приведенных в таблице 1.1
Таблица 1.1 – Показатели, характеризующие проектную защищенность информационной системы
Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС | ||
Высокий | Средний | Низкий | |
По структуре ИС: | |||
| – | ||
| – | ||
| + | ||
По используемым информационным технологиям: | |||
| – | ||
| – | ||
| – | ||
| – | ||
| – | ||
| – | ||
По архитектуре информационной системы: | |||
| + | ||
| – |
Продолжение таблицы 1.1
Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС | ||
Высокий | Средний | Низкий | |
| + | ||
| – | ||
| – | ||
| – | ||
| – | ||
| + | ||
По наличию (отсутствию) взаимосвязей с иными информационными системами: | |||
| + | ||
| – | ||
По наличию (отсутствию) взаимосвязей (подключений) к сетям связи общего пользования: | |||
| – | ||
| + | ||
| – | ||
По размещению технических средств: | |||
| – | ||
| + | ||
| – | ||
По режимам обработки информации в ИС: | |||
| + |
Окончание таблицы 1.1
Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС | ||
Высокий | Средний | Низкий | |
| – | ||
По режимам разграничения прав доступа: | |||
| – | ||
| + | ||
По режимам разделения функций по управлению информационной системой: | |||
| – | ||
| + | ||
| + | ||
| – | ||
По подходам к сегментированию ИС: | |||
| – | ||
| + | ||
Общее количество решений | 5 | 14 | 16 |
Сумма положительных решений | 1 | 6 | 5 |
Величина в % одного положительного решения | 20% | 7,14% | 6,25% |
Процент характеристик, соответствующих уровню «высокий» | 20% | ||
Процент характеристик, соответствующих уровню «средний» | 42,9% | ||
Процент характеристик, соответствующих уровню «низкий» | 31,25% |
Вывод: по результатам анализа структурно-функциональных характеристик ГИС «МИРС 49» был присвоен «низкий» уровень проектной защищённости.