Пояснительная записка (Разработка профиля защиты информации в государственной информационной системе), страница 3

2020-10-04СтудИзба

Описание файла

Файл "Пояснительная записка" внутри архива находится в папке "Разработка профиля защиты информации в государственной информационной системе". Документ из архива "Разработка профиля защиты информации в государственной информационной системе", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .

Онлайн просмотр документа "Пояснительная записка"

Текст 3 страницы из документа "Пояснительная записка"

Теперь, с учётом выбранных показателей, определяющих структурно-функциональные характеристики и условия эксплуатации информационной системы, из перечня угроз, выбранных в соответствии со значением потенциала нарушителя, возможными способами реализации, а также уязвимостями, выбираются только те угрозы, которые реализуются с помощью применяемых в рассматриваемой информационной системе технологий, на основании чего мною была заполнена таблица «Перечень угроз, отобранных в соответствии с технологиями и структурно-функциональными характеристиками ГИС «МИРС 49». Перечень угроз, попавших в данную таблицу, выбран в соответствии с учётом потенциала и возможных способов реализации и информационных технологий, применяемых в ИС нарушителя и классов уязвимостей информационной системы. Затем, из получившегося перечня угроз мной были исключены угрозы, не соответствующие угрозам третьего типа. В таблице 1.3 представлен итоговый перечень угроз безопасности.

Так же мной был проведен анализ угроз утечки информации по техническим каналам, был проведен анализ техногенных угроз. Результаты показали, что ни одна из возможных угроз не принимается к рассмотрению, а соответственно не является актуальной для данной ГИС.

Помимо этого, мной было определено, что для рассматриваемой ГИС «МИРС 49», с заданными структурно-функциональными характеристиками и реализованными в ней мерами по защите информации из соответствующих возможностям источников атак угроз, необходимо использовать СКЗИ соответствующие классу КС2.

Таблица 1.3 – Итоговый перечень угроз безопасности.

Название угрозы

УБИ.004

Угроза аппаратного сброса пароля BIOS

УБИ.009

Угроза восстановления предыдущей уязвимой версии BIOS

УБИ.018

Угроза загрузки нештатной операционной системы

УБИ.023

Угроза изменения компонентов системы

УБИ.027

Угроза искажения вводимой и выводимой на периферийные устройства информации

Продолжение таблицы 1.3

Название угрозы

УБИ.028

Угроза использования альтернативных путей доступа к ресурсам

УБИ.031

Угроза использования механизмов авторизации для повышения привилегий

УБИ.034

Угроза использования слабостей протоколов сетевого/локального обмена данными

УБИ.045

Угроза нарушения изоляции среды исполнения BIOS

УБИ.053

Угроза невозможности управления правами пользователей BIOS

УБИ.067

Угроза неправомерного ознакомления с защищаемой информацией

УБИ.071

Угроза несанкционированного восстановления удалённой защищаемой информации

УБИ.074

Угроза несанкционированного доступа к аутентификационной информации

УБИ.075

Угроза несанкционированного доступа к виртуальным каналам передачи

УБИ.088

Угроза несанкционированного копирования защищаемой информации

УБИ.093

Угроза несанкционированного управления буфером

УБИ.104

Угроза определения топологии вычислительной сети

УБИ.113

Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники

УБИ.115

Угроза перехвата вводимой и выводимой на периферийные устройства информации

УБИ.116

Угроза перехвата данных, передаваемых по вычислительной сети

УБИ.123

Угроза подбора пароля BIOS

УБИ.130

Угроза подмены содержимого сетевых ресурсов

УБИ.145

Угроза пропуска проверки целостности программного обеспечения

Окончание таблицы 1.3

Название угрозы

УБИ.153

Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов

УБИ.155

Угроза утраты вычислительных ресурсов

УБИ.156

Угроза утраты носителей информации

УБИ.157

Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации

УБИ.158

Угроза форматирования носителей информации

УБИ.160

Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации

УБИ.167

Угроза заражения компьютера при посещении неблагонадёжных сайтов

УБИ.168

Угроза «кражи» учётной записи доступа к сетевым сервисам

УБИ.170

Угроза неправомерного шифрования информации

УБИ.171

Угроза скрытного включения вычислительного устройства в состав бот-сети

УБИ.172

Угроза распространения «почтовых червей»

УБИ.175

Угроза «фишинга»

УБИ.179

Угроза несанкционированной модификации защищаемой информации

УБИ. 185

Угроза несанкционированного изменения параметров настройки средств защиты информации



  1. Разработка методов и способов защиты персональных данных

    1. Определение набора организационных и технических мер

Для полного понимания того, как и чем защищать информацию, необходимо определить набор мер.

В соответствии с приказом ФСТЭК России от 11.02.2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, обрабатываемой в государственных информационных системах» [6] определен базовый набор мер, применяемых для обеспечения третьего класса защищенности ГИС.

Базовый набор мер был адаптирован с учетом структурно-функциональных характеристик информационной системы. Например, в ГИС «МИРС 49» не используются технологии виртуальной инфраструктуры, технологии беспроводного доступа и мобильные устройства, соответственно реализация мер, направленных на защиту данных технологий нецелесообразна. Перечень мер, которые были исключены из базового набора мер, представлен в таблице 2.1.

Таблица 2.1 – Перечень мер, исключенных из базового набора

Исключаемая мера (блок мер)

Причина исключения

ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

В ГИС отсутствуют внешние пользователи

УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа

В ГИС не используются технологии беспроводного доступа

УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств

В ГИС не используются мобильные технические средства

XI. Защита среды виртуализации (ЗСВ)

В ГИС отсутствует виртуальная инфраструктура





Окончание таблицы 2.1

Исключаемая мера (блок мер)

Причина исключения

ЗИС.5 Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств

В ГИС отсутствуют видеокамеры, микрофоны и иные периферийные устройства, которые могут активироваться удаленно

ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе

В ГИС отсутствуют технологии беспроводного доступа

ЗИС.30 Защита мобильных технических средств, применяемых в информационной системе

В ГИС не используются мобильные технические средства

Следующим шагом производилось уточнение адаптированного базового набора мер. При уточнении добавлялись меры, не включенные в базовый набор, но необходимые для нейтрализации всех актуальных угроз безопасности информации. Например, были добавлены меры УПД.17 «Обеспечение доверенной загрузки», так как угрозы загрузки нештатной ОС с внешнего носителя была определена как актуальная. Остальные добавленные меры представлены в таблице 2.2.

Таблица 2.2 – Перечень добавленных мер при уточнении адаптированного базового набора мер

Условное

обозначение

и номер

меры

Содержание меры защиты

информации в ИС

  1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.2

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

  1. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники

III. Ограничение программной среды(ОПС)

Продолжение таблицы 2.2

Условное

обозначение

и номер

меры

Содержание меры защиты

информации в ИС

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

ОПС.2

Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

IV Защита машинных носителей (ЗНИ)

ЗНИ.3

Контроль перемещения машинных носителей информации за пределы контролируемой зоны

ЗНИ.4

Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители информации

ЗНИ.7

Контроль подключения машинных носителей информации

VII. Обнаружение вторжений (СОВ)

СОВ.1

Обнаружение вторжений

СОВ.2

Обновление базы решающих правил

IX. Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

ОЦЛ.1

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

ОЦЛ.2

Контроль целостности информации, содержащейся в базах данных информационной системы

ОЦЛ.4

Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

ОЦЛ.5

Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы

Продолжение таблицы 2.2

Условное

обозначение

и номер

меры

Содержание меры защиты

информации в ИС

ОЦЛ.6

Ограничение прав пользователей по вводу информации в информационную систему

ОЦЛ.7

Контроль точности, полноты и правильности данных, вводимых в информационную систему

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.4

Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

ЗИС.7

Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода

ЗИС.10

Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам

ЗИС.11

Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

ЗИС.15

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации

ЗИС.16

Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов

ЗИС.21

Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы

ЗИС.23

Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями

Окончание таблицы 2.2

Условное

обозначение

и номер

меры

Содержание меры защиты

информации в ИС

ЗИС.28

Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы

Последним шагом к созданию конечного набора мер было дополнение уточненного адаптированного базового набора мер. Дополнение производилось в соответствии с требованиями руководящих документов ФСБ [14,15], в которых сказано, что в ГИС должна обеспечиваться криптографическая данных при передаче по каналам связи в сторонние организации и между сегментами ГИС, при передаче информации через сети связи международного информационного обмена.

Свежие статьи
Популярно сейчас
Зачем заказывать выполнение своего задания, если оно уже было выполнено много много раз? Его можно просто купить или даже скачать бесплатно на СтудИзбе. Найдите нужный учебный материал у нас!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
5193
Авторов
на СтудИзбе
434
Средний доход
с одного платного файла
Обучение Подробнее