1. Пояснительная_записка (Разработка профиля защиты информации в сегменте муниципальной информационной системы), страница 2
Описание файла
Файл "1. Пояснительная_записка" внутри архива находится в следующих папках: Разработка профиля защиты информации в сегменте муниципальной информационной системы, Usov_AK_2017. Документ из архива "Разработка профиля защиты информации в сегменте муниципальной информационной системы", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "1. Пояснительная_записка"
Текст 2 страницы из документа "1. Пояснительная_записка"
Информационная система «Комитет»:
-
в ИС обрабатываются специальные категории персональных данных сотрудников оператора;
-
в ИС обрабатывается информация, составляющая служебную тайну;
-
для ИС актуальны угрозы 3 типа, то есть не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе;
-
в ИС обрабатываются данные менее 100 тысяч субъектов персональных данных.
Исходя из категорий и объема ПДн, обрабатываемых в ИС «Комитет» и типа угроз на основании пункта одиннадцать подпункта «в» «Требований к защите персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить третий уровень защищенности персональных данных.
Так как в случае нарушения какого – либо из свойств информации (конфиденциальность, целостность, доступность) возможны незначительные негативные последствия, а так же информационная система имеет объектовый масштаб, то необходимо обеспечить третий класс защищенности ИС.
Таким образом, для информационной системы «Комитет» необходимо обеспечение третьего класса защищенности ИС.
В ИС «Комитет» отсутствует разделение обязанностей по администрированию между несколькими сотрудниками. Администрированием всей информационной системы занимается один человек.
Режим обработки информации предусматривает следующие действия: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, уничтожение данных.
Все пользователи ИС «Комитет» наделены одинаковыми ролями, наделяющими их равными полномочиями.
На все компьютеры, на которых производится обработка информации в защищаемой информационной системе «Комитет» установлены актуальные версии операционной системы, сопровождение которых, а именно регулярные обновления регулярно устанавливаются. Это исключает необходимость рассмотрение угроз, связанных с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Все АРМ пользователей имеют схожую конфигурацию и схожий набор прикладного программного обеспечения, программы, которые могли бы нанести существенный вред, или являлись бы шпионскими программами, отсутствуют.
К некоторым компьютерам подключены устройства вывода информации, а именно принтеры, общий доступ к данному оборудованию отсутствует. АРМ администратора имеет схожий набор прикладного и программного обеспечения. На всех компьютерах сотрудников информационной системы установлен антивирус.
-
Характеристика каналов связи и потоков информации, используемых при обработке и передаче в МИС
В информационной сети «Комитет» подключение к сетям общего пользования предоставляется услугами провайдера «ТТК». Сетевое оборудование в ИС отсутствует.
Данные из ИС «Комитет» передаются в Росреестр, а также любым другим заинтересованным юридическим и физическим лицам.
В Росреестр данные доставляются, либо на бумажных носителях, либо в электронном виде на компакт диске непосредственно сотрудником ИС. Журнал контроля носителей информации не ведется, данные на диске находятся в незашифрованном виде.
Заинтересованным юридическим и физическим лицам данные передаются непосредственно на руки в пределах КЗ. Конфигурация информационной системы представлена на рисунке А.1 (см. Приложение А).
Параметры ИС «Комитет» представлены в таблице А.1 приложения А.
Конфигурация и топология ИС «Комитет» представлены на рисунках 1.1 и 1.2 соответственно.
Рисунок 1.1 – Конфигурация ИС «Комитет»
Рисунок 1.2 – Топология ИС «Комитет»
-
Существующие меры защиты информации
Все кабинеты ИС «Комитет», где обрабатываются и хранятся данные, закрываются на ключ. В помещениях имеется пожарная сигнализация, которая работает круглосуточно. Охранная сигнализация отсутствует. В здании администрации установлена система контроля и управления доступом (далее – СКУД). Все сотрудники имеют персональные идентификаторы (пропуски) установленного образца. Пропуск в здание посетителей осуществляется в сопровождении ответственного лица.
Бумажные документы хранятся в архивах в шкафах:
-
в архиве земельного отдела: металлические открытые стеллажи, дверь архива закрывается на ключ;
-
в архиве по приватизации: пара деревянных шкафов без замков;
-
в архиве по аренде муниципального имущества: пара деревянных шкафов без замков;
-
в архиве кадровой информации: металлический сейф с замком.
Вся информация хранится на различных компьютерах ИС и на виртуальном сервере КСОМСа, доступ к полям и записям базы данных сервера осуществляется с рабочих мест. Режимы работы автоматизированных систем – многопользовательский.
Аутентификация пользователей ПЭВМ, с помощью которых производится обработка персональных данных, осуществляется посредством использования персонального логина и пароля. Доступ к информации предоставляется только после прохождения авторизации на собственных АРМ.
Защита от вирусных атак осуществляется с применением ПО «Kaspersky Security Center 10». Обновление антивирусных баз происходит ежедневно.
Технические средства ИС находятся на втором этаже здания.
-
Модель нарушителя и модель угроз безопасности информации, обрабатываемой в ИС «Комитет»
-
Модель вероятного нарушителя
В ходе работы были разработаны Модель угроз и модель нарушителя безопасности информации, обрабатываемой в ИС «Комитет» (далее – Модель угроз) (приложение Б), в соответствии с которой наиболее вероятными для исследуемой информационной системы нарушителями являются:
-
внешние субъекты (физические лица);
-
лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
-
лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
-
пользователи ИС.
Беря в расчет предполагаемую компетентность, ресурсы и мотивацию возможного нарушителя, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками, был определен потенциал нарушителя – базовый (низкий).
Для того, чтобы была уверенность в совершенстве системы защиты, предполагается, что нарушитель обладает всеми необходимыми знаниями касательно ИС, а также имеет в своем распоряжении необходимые средства реализации угроз безопасности информации, обрабатываемой в исследуемой информационной системе.
-
Модель угроз
Под угрозами безопасности информации, обрабатываемой в ИС подразумевается ряд условий и факторов, наличие которых создают возможность осуществления неправомерных действий, которые могут привести к нарушению хотя бы одного свойства безопасности информации.
Определение актуальных угроз было произведено в модели угроз (приложение Б).
На основании определенного потенциала предполагаемого нарушителя информации, был определен перечень угроз безопасности информации, обрабатываемой в ИС, которые могут быть реализованы нарушителем.
Так же был определен перечень уязвимостей, характерных для обследуемой ИС:
-
уязвимости конфигурации;
-
уязвимости архитектуры;
-
организационные уязвимости;
-
многофакторные уязвимости;
-
уязвимости, связанные с неправильной настройкой ПО;
-
уязвимости, связанные с неполнотой проверки вводимых (входных) данных;
-
уязвимости, связанные с возможностью прослеживания пути доступа к каталогам;
-
уязвимости, связанные с возможностью перехода по ссылкам;
-
уязвимости, связанные с переполнением буфера памяти;
-
уязвимости, приводящие к утечке/раскрытию информации ограниченного доступа;
-
уязвимости, связанные с управлением полномочиями (учетными данными;
-
уязвимости, связанные с управлением разрешениями, привилегиями и доступом;
-
уязвимости, связанные с аутентификацией;
-
уязвимости, связанные с криптографическими преобразованиями (недостатки шифрования);
-
уязвимости в общесистемном (общем) программном обеспечении;
-
уязвимости в прикладном программном обеспечении;
-
уязвимости в сетевом (коммуникационном, телекоммуникационном) оборудовании;
-
уязвимости в средствах защиты информации.
Согласно методике определения угроз безопасности информации в информационных системах, угроза безопасности информации является актуальной, если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы, и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.
Для того, чтобы оценить возможность реализации угрозы безопасности информации, были определены два показателя: исходный уровень защищённости информационной системы и вероятность реализации угрозы.
На основе технических и эксплуатационных характеристик исследуемой информационной системы, приведенных в таблице 1.1, был получен обобщенный показатель, определяющий исходный уровень проектной защищенности ИС.
Таблица 1.1 – Показатели, характеризующие проектную защищенность информационной системы
Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС (Y1П) | ||
высокий | средний | низкий | |
По структуре ИС:
| + | ||
Окончание таблицы 1.1 | |||
Структурно-функциональные характеристики ИС, условия ее эксплуатации | Уровень проектной защищенности ИС (Y1П) | ||
высокий | средний | низкий | |
По архитектуре информационной системы:
| + | + | |
По наличию (отсутствию) взаимосвязей с иными информационными системами:
| + | ||
| + | ||
По размещению технических средств:
| + | ||
По режимам обработки информации в ИС:
| + | ||
По режимам разграничения прав доступа:
| + | ||
По режимам разделения функций по управлению информационной системой:
| + | ||
По подходам к сегментированию ИС:
| + |
В таблице 1.2 представлены значения характеристик в процентном соотношении.
Таблица 1.2 – Значения характеристик в процентном соотношении.
Значение характеристики (уровень защищенности) | Количество значений | Процент значений не ниже данного уровня |
Высокий | 1 | 20% |
Средний | 2 | 14,28% |
Низкий | 7 | 43,75% |
Вывод: В соответствии с методикой определения актуальных угроз [16] информационная система имеет низкую степень проектной защищенности, так как уровню не ниже среднего не соответствуют более 70% характеристик.