1. Пояснительная_записка (Разработка профиля защиты информации в сегменте муниципальной информационной системы)
Описание файла
Файл "1. Пояснительная_записка" внутри архива находится в следующих папках: Разработка профиля защиты информации в сегменте муниципальной информационной системы, Usov_AK_2017. Документ из архива "Разработка профиля защиты информации в сегменте муниципальной информационной системы", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "1. Пояснительная_записка"
Текст из документа "1. Пояснительная_записка"
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»
| Кафедра "Информационные технологии и системы" |
| К ЗАЩИТЕ ДОПУСТИТЬ |
| Заведующий кафедрой |
| М.А. Попов, |
| " " июня 2017 г. |
| Разработка профиля защиты информации в сегменте муниципальной информационной системы |
| Пояснительная записка к дипломному проекту |
| ДП 10.05.03 25К ПЗ |
| Студент гр. 25К | А. К. Усов |
| Руководитель ВКР (доцент) | В. Н. Никитин |
| Консультант по БЖД (доцент, д.т.н., доцент) | А. А. Балюк |
| Консультант по экономике (ст. преподаватель) | С. Н. Курякина |
| Нормоконтроль (доцент, к.п.н., доцент) | В. И. Шестухина |
Хабаровск - 2017
Содержание
Введение 4
1 Исследование объекта защиты 9
1.1 Общие сведения об ИС «Комитет» 9
1.2 Параметры информационной системы «Комитет» 11
1.3 Структура информационной системы «Комитет» 14
1.4 Характеристика каналов связи и потоков информации, используемых при обработке и передаче в МИС 16
1.5 Существующие меры защиты информации 19
1.6 Модель нарушителя и модель угроз безопасности информации, обрабатываемой в ИС «Комитет» 20
1.6.1 Модель вероятного нарушителя 20
1.6.2 Модель угроз 21
2 Разработка методов и способов защиты информации, обрабатываемой в ИС «Комитет» 43
2.1 Определение набора организационных и технических мер 43
2.2 Требования к защите информации 50
2.3 Технические средства защиты информации 52
2.3.1 Secret Net Studio 53
2.3.2 XSpider 7.8.24 54
2.3.3 VipNet Administrator 3.2 54
2.3.4 VipNet Client 3.2 55
2.3.5 VipNet Coordinator HW1000 55
2.4 Организационные меры защиты информации 56
2.5 Выполнение набора мер техническими средствами защиты информации 57
Secret Net Studio 57
2.6 Профиль системы защиты информации 62
3 Экономика. Оценка экономической эффективности внедрения системы защиты информации 65
3.1 Расчет капиталовложения 66
3.2 Расчет выгоды 69
3.3 Расчет периодических затрат 72
3.4 Расчет нормы дисконта 73
3.5 Расчет чистого дисконтированного дохода и индекса доходности 74
4 Безопасность жизнедеятельности. Разработка мероприятий по пожарной безопасности в ИС «Комитет» 76
4.1 Пожар. Фазы развития пожара. Физико-химические процессы, протекающие при пожаре 76
4.2 Мероприятия по обеспечению пожарной безопасности 78
4.3 Обеспечение учреждения первичными средствами пожаротушения. Действия персонала при возникновении пожара 83
Заключение 85
Список использованных источников 86
Принятые сокращения 89
Приложение А 90
Приложение Б 93
Приложение В 96
Приложение Г 100
Введение
Согласно Доктрине информационной безопасности РФ, утвержденной Приказом Президента РФ РФ №1895 от 09.09.2000 г. [23], создание и внедрение информационных технологий, которые изначально были бы устойчивы к различным родам атак, внешнего и внутреннего воздействия, является основным направлением обеспечения безопасности информации.
В учреждениях, в которых ведется обработки такой информации, как персональные данные (далее – ПДн), причем не только лиц, работающих в данных организациях, но и лиц, взаимодействующих с ними по вопросам делового характера, а также информации, составляющей служебную тайну, вопрос защиты информации и создания информационной системы, устойчивой к внешним негативным воздействиям, является одним из важных и актуальных на сегодняшний день.
Для того, чтобы информационная система соответствовала требованиями обеспечивала необходимый уровень безопасности информации, которая в ней обрабатывается, необходимы анализ угроз безопасности, актуальных для данной информационной системы, разработка методов защиты информации, перекрывающих существующие угрозы, а также разработка конкретной системы защиты информации. Без сомнений, вышесказанное доказывает актуальность данной выпускной квалификационной работы (далее ВКР).
Цель ВКР заключается в разработке профиля защиты информации, обрабатываемой в сегменте муниципальной информационной системы комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края (далее – Комитет), который будет удовлетворять всем требованиям руководящих документов и других нормативно-правовых актов в области информационной безопасности.
Объект исследования ВКР – информационная система комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края.
Предметом исследования является информационная безопасность информационной системы «Комитет».
Для достижения постановленной цели был проведен следующий ряд мероприятий:
-
был сформирован ряд требований к защите информации, обрабатываемой в информационной системе (далее ИС) «Комитет»;
-
был разработан профиль защиты информации, обрабатываемой в исследуемой ИС.
Формирование требований к защите ПДн заключалось в следующем:
-
было принято решение о том, что обеспечение безопасности информации, обрабатываемой в ИС необходимо;
-
исследуемая информационная система была классифицирована в соответствии с требованиями информационной безопасности;
-
был определен вероятный нарушитель и его потенциал, определен перечень актуальных угроз безопасности информации, возможная реализация которых без сомнений приведет к негативным последствиям в области безопасности информации, разработана модель угроз безопасности защищаемой информации;
-
был определен ряд требований, применительно к информационной системе «Комитет».
После того, как все требования были сформированы, началось непосредственно проектирование системы защиты информационной системы, которое заключалось в следующем:
-
были определены организационные и технические меры защиты, принятие которых удовлетворит всем требованиям;
-
были определены виды и типы средств защиты информации, которые имеют актуальные сертификаты соответствия требованиям в области безопасности информации и способны обеспечить реализацию ранее разработанных мер защиты;
-
были определены параметры настройки программного обеспечения.
При разработке системы защиты информации, обработка которой происходит в ИС «Комитет», важно представлять, как устроена система, иметь представление о ее структурно-функциональных характеристика и об условиях, в которых она эксплуатируется.
По своей структуре ИС «Комитет» представляет не распределенную систему, в которой обрабатывается два вида информации: персональные данные и информация, составляющая служебную тайну. Обработка данных производится на одиннадцати автоматизированных рабочих станциях.
В ходе работы информация из ИС «Комитет» передается на хранение в другую информационную систему, в отношение которой в настоящее время так же ведется работа по разработке системы защиты информации. В ИС имеется доступ к сетям общего пользования, но защищаемая информация по данным каналам не передается.
Информационная система «Комитет» является многопользовательской, каждый сотрудник наделен собственными данными для аутентификации на рабочем месте.
Разделение прав доступа к данным в информационной системе отсутствует, то есть каждый работник имеет доступ ко всем данным, обрабатываемым в ИС.
В первом разделе производится исследование объекта защиты. Представляются общие сведения об информационной системе, цели и задачи, возложенные на организацию, виды информации, обрабатываемые сотрудниками в процессе работы, а также меры защиты, существующие в информационной системе.
Во втором разделе производится разработка системы защиты информации, обрабатываемой в ИС «Комитет», которая соответствует требованиям законов РФ в данной области. Раздел делится на следующие подразделы:
-
определение набора организационных и технических мер;
-
требования к защите информации;
-
технические средства защиты информации;
-
организационные меры защиты информации;
-
профиль системы защиты информации.
В третьем разделе (раздел «Экономика») производится оценка финансовых затрат на создание и внедрение разработанной системы защиты в существующую информационную систему, а так же приводится пример развития событий в случае невыполнения требований законодательства РФ.
В четвертом разделе (раздел «Безопасность жизнедеятельности») производится разработка плана мероприятий по обеспечению пожарной безопасности в здании, где функционирует информационная система.
В списке использованных источников приводятся используемые документы, литература, Интернет-сайты, и другие источники информации, используемой в данной ВКР.
В приложении А приводится выписка из Заключения по результатам аудита информационной системы комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края.
В приложении Б приводится выписка из Модели угроз безопасности информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края.
В приложении В приводится выписка из Аналитического обоснования о необходимости создания системы защиты информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края.
В приложении Г приводится выписка из Технического проекта на создание системы защиты информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края.
-
Исследование объекта защиты
-
Общие сведения об ИС «Комитет»
Комитет по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края создан на основании решения Собрания депутатов Ванинского муниципального района от 06 июня 2006 г. № 38 «Об органах администрации Ванинского муниципального района Хабаровского края» путем преобразования комитета по управлению имуществом администрации Ванинского района Хабаровского края и является его правопреемником.
Комитет входит в структуру администрации Ванинского муниципального района и является отраслевым (функциональным) органом администрации Ванинского района с правами юридического лица, осуществляющим функции по решению вопроса местного значения Ванинского муниципального района Хабаровского края по владению, пользованию и распоряжению имуществом, в том числе земельными участками, находящимися в муниципальной собственности Ванинского муниципального района Хабаровского края и по реализации полномочий Ванинского муниципального района в отношении земельных участков, расположенных на территории Ванинского муниципального района Хабаровского края, государственная собственность на которые не разграничена.
Основными задачами Комитета являются:
-
участие в проведении единой политики в области имущественных и земельных отношений на территории Ванинского муниципального района (далее – муниципальный район);
-
обеспечение эффективного управления, распоряжения, а также рационального использования муниципального имущества;
-
обеспечение эффективного управления, распоряжения земельными участками, расположенными на территории района, государственная собственность на которые не разграничена;
-
разработка и реализация прогнозного плана (программы) приватизации;
-
проведение инвентаризации муниципального имущества, обеспечение его учета и осуществление мероприятий по оформлению прав на него;
-
организация и осуществление муниципального имущественного контроля за использованием муниципального имущества на территории муниципального района;
-
создание и обеспечение функционирования системы учета объектов муниципальной собственности и земельных участков, государственная собственность на которые не разграничена, расположенных на территории района;
-
разграничение государственной собственности на земельные участки, расположенные на территории района;
-
прогнозирование доходов бюджета Ванинского муниципального района от использования муниципального имущества и сдачи в аренду земельных участков, государственная собственность на которые не разграничена, расположенных на территории района;
-
администрирование доходов бюджета Ванинского муниципального района от использования муниципального имущества и сдачи в аренду земельных участков, государственная собственность на которые не разграничена, расположенных на территории района;
-
организация и ведение работ по учету плательщиков арендной платы за имущество и землю.
-
Параметры информационной системы «Комитет»
В информационной системе обрабатывается два вида информации: персональные данные различных категорий нескольких видов субъектов ПДн и информация, составляющая служебную тайну.
Информация, обрабатываемая в процессе работы, хранится на жестких дисках АРМ пользователей ИС «Комитет», а так же на удаленном сервере БД, находящемся в пределах КЗ, но относящемуся к другому юридическому лицу - Муниципальному казённому учреждению «Комитет по содержанию объектов муниципальной собственности» Администрации Ванинского муниципального района Хабаровского края (далее КСОМС). В информационной системе «КСОМС» отсутствуют средства защиты информации, разграничение доступа к данным осуществляется путем создания нескольких виртуальных серверов на одном физическом сервере, ИС не аттестована по требованиям информационной безопасности.
В ходе обследования был определен перечень субъектов, персональные данные которых обрабатываются в ИС «Комитет»:
-
работники ИС «Комитет»;
-
физические лица, состоящие в договорных и иных гражданско-правовых отношениях с ИС «Комитет»;
-
юридические лица, состоящие в договорных и иных гражданско-правовых отношениях с ИС «Комитет».
Перечень данных, обрабатываемых В ИС в ходе своей деятельности:
-
фамилия, имя, отчество;
-
дата рождения;
-
место рождения;
-
пол;
-
гражданство;
-
прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения);
-
владение иностранными языками и языками народов Российской Федерации;
-
образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
-
образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
-
послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов);
-
выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.);
-
классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
-
государственные награды, иные награды и знаки отличия (кем награжден и когда);
-
степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены), сведения об иждивенцах;
-
места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
-
фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);
-
пребывание за границей (когда, где, с какой целью);
-
близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);
-
адрес регистрации и фактического проживания;
-
дата регистрации по месту жительства;
-
паспорт (серия, номер, кем и когда выдан);
-
паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);
-
номер телефона (домашний, мобильный);
-
отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
-
идентификационный номер налогоплательщика;
-
номер страхового свидетельства обязательного пенсионного страхования;
-
данные страхового медицинского полиса обязательного медицинского страхования;
-
номер банковского счета;
-
наличие (отсутствие) судимости;
-
допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);
-
наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения;
-
наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденного заключением медицинского учреждения;
-
сведения о состоянии здоровья и наличии заболеваний, о нахождении на различных медицинских учетах;
-
сведения о социальных льготах и о социальном статусе;
-
сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе и обязательствах имущественного характера супругов и несовершеннолетних детей;
-
сведения о последнем месте государственной или муниципальной службы;
-
биометрические персональные данные;
-
сведения о предпринимательской деятельности субъекта персональных данных и членов его семьи;
-
данные свидетельства о государственной регистрации акта гражданского состояния;
-
данные свидетельства о государственной регистрации права.
-
Структура информационной системы «Комитет»
Обследование показало, что в информационной системе «Комитет» отсутствует разделение на сегменты и на всех АРМ обрабатывается одинаковая информация и одинаковые категории ПДн.
