ВКР: Разработка комплексной системы защиты информации для информационной системы государственного медицинского учреждения
Описание
Оглавление
Термины и определения ..................…………………………………………….3
Список сокращений и обозначений ……....……………………………………4
Введение ………………………………………………………………………...10
Список используемых источников …………………………………………....79
Приложение …………………………………………………………………….81
АРМ - автоматизированное рабочее место
АС - автоматизированная система
БД - база данных
ВТСС - вспомогательные технические средства и системы
ИСПДн - информационная система персональных данных
ИТ - информационные технологии
КСЗИ - комплексная система защиты информации
МИС - медицинская информационная система
НСД - несанкционированный доступ
ОС - операционная система
ОТСС - основные технические средства и системы
ПАК - программно-аппаратный комплекс
ПДн - персональные данные
ПО - программное обеспечение
ПЭМИН - побочные электромагнитные излучения и наводки
РД - руководящие документы
САЗ - система анализа защищенности
СВТ - средства вычислительной техники
СКЗИ. - средства криптографической защиты информации
ТС - техническое средство
ФСБ - Федеральная служба безопасности
ФСТЭК - Федеральная служба по техническому и экспортному контролю
ЦС (CA) - центр сертификации
IT - information Technology
VPN - virtual private network
Актуальные угрозы — угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Атака — целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Безопасность объекта — состояние защищенности объекта от внешних и внутренних угроз.
Безопасность информации — состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.
Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на ПДн или ресурсы информационной системы ПДн
Вспомогательные технические средства и системы — технические средства и системы, не предназначенные для передачи, обработки и хранения КИ, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки ПДн или в помещениях, в которых установлены информационные системы содержащие ПДн
Доступность информации — возможность получения информации и ее использования.
Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Канал атаки — среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки.
Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Контролируемая зона — это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Криптосредство — шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Межсетевой экран — локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему ПДн и (или) выходящей из информационной системы.
Модель нарушителя — предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз — перечень возможных угроз информации.
Нарушитель (субъект атаки) — лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
Нарушитель безопасности персональных данных — физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Недекларированные возможности — функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных — совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Опубликованные возможности ПО или ТС — возможности, сведения о которых содержатся в общедоступных открытых источниках (технические и любые другие материалы разработчика ПО или ТС, монографии, публикации в СМИ, материалы конференций и других форумов, информация из сети Internet и т.д.).
Перехват (информации) — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Пользователь информационной системы персональных данных — лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программное (программно-математическое) воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Ресурс информационной системы — именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Среда функционирования криптосредства (СФК) — совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства и которые способны повлиять на выполнение предъявляемых к криптосредству требований.
Средства криптографической защиты информации — средства шифрования, средства имитозащиты, средства кодирования, средства электронной цифровой подписи, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).
Средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) — лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы — технические средства, осуществляющие обработку информации (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
Технический канал утечки информации — совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угроза безопасности — совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Угроза безопасности объекта — возможное нарушение характеристики безопасности объекта.
Угрозы безопасности информации — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение информации, а также иных несанкционированных действий при её обработке в информационной системе.
Уничтожение информации — действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.
Успешная атака — атака, достигшая своей цели.
Уязвимость — некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации.
Характеристика безопасности объекта — требование к объекту, или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства.
Целостность информации — способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Защита информации и, в частности, персональных данных является актуальной темой в нашей стране, поскольку законодательная база начала появляться
Термины и определения ..................…………………………………………….3
Список сокращений и обозначений ……....……………………………………4
Введение ………………………………………………………………………...10
- Анализ предметной области ………………………………………………..12
- Основные принципы информационной безопасности ...……………..12
- Описание типовой МИС ………………………………………………..14
- Теоретические аспекты построения модели угроз безопасности информации ……………………………………………………………..15
- План построения модели угроз безопасности …………………..16
- Описание возможных нарушителей ……………………………..17
- Описание каналов реализации угроз информационной безопасности ………………………………………………………...20
- Основные способы реализации угроз информационной безопасности ………………………………………………………...20
- Методы и средства обеспечения информационной безопасности организации ……………………………………………………………...22
- Анализ состояния защиты ГБУЗ НО «ИКБ №2» и существующие проблемы ……………………………………………………………………..24
- Общие сведения о рассматриваемой информационной системе ……24
- Выявление защищаемой информации ………………………………...24
- Выявление объектов защиты …………………………………………..30
- Разработка модели угроз и уязвимостей ……………………………...30
- Оценка негативных последствий ………………………………...31
- Определение объектов воздействия ……………………………..32
- Определение источников угроз информационной
- Определение способа реализации угрозы ……………………….40
- Оценка актуальности угроз инфраструктуры …………………...44
- Разработка комплексной системы защиты информации …………………65
- Установка межсетевого экрана ………………………………………..65
- Установка криптопровайдера в системе защиты данных …………...68
- Установка антивирусного средства защиты ………………………….72
- Экономическая оценка затрат на защиту информации …………………..76
Список используемых источников …………………………………………....79
Приложение …………………………………………………………………….81
Список сокращений и обозначений
АВС - антивирусные средстваАРМ - автоматизированное рабочее место
АС - автоматизированная система
БД - база данных
ВТСС - вспомогательные технические средства и системы
ИСПДн - информационная система персональных данных
ИТ - информационные технологии
КСЗИ - комплексная система защиты информации
МИС - медицинская информационная система
НСД - несанкционированный доступ
ОС - операционная система
ОТСС - основные технические средства и системы
ПАК - программно-аппаратный комплекс
ПДн - персональные данные
ПО - программное обеспечение
ПЭМИН - побочные электромагнитные излучения и наводки
РД - руководящие документы
САЗ - система анализа защищенности
СВТ - средства вычислительной техники
СКЗИ. - средства криптографической защиты информации
ТС - техническое средство
ФСБ - Федеральная служба безопасности
ФСТЭК - Федеральная служба по техническому и экспортному контролю
ЦС (CA) - центр сертификации
IT - information Technology
VPN - virtual private network
Термины и определения
Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.Актуальные угрозы — угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Атака — целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
Безопасность — состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Безопасность объекта — состояние защищенности объекта от внешних и внутренних угроз.
Безопасность информации — состояние защищённости информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации.
Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на ПДн или ресурсы информационной системы ПДн
Вспомогательные технические средства и системы — технические средства и системы, не предназначенные для передачи, обработки и хранения КИ, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки ПДн или в помещениях, в которых установлены информационные системы содержащие ПДн
Доступность информации — возможность получения информации и ее использования.
Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информация — сведения (сообщения, данные) независимо от формы их представления.
Канал атаки — среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки.
Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Контролируемая зона — это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Криптосредство — шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Межсетевой экран — локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему ПДн и (или) выходящей из информационной системы.
Модель нарушителя — предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз — перечень возможных угроз информации.
Нарушитель (субъект атаки) — лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
Нарушитель безопасности персональных данных — физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Недекларированные возможности — функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных — совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Опубликованные возможности ПО или ТС — возможности, сведения о которых содержатся в общедоступных открытых источниках (технические и любые другие материалы разработчика ПО или ТС, монографии, публикации в СМИ, материалы конференций и других форумов, информация из сети Internet и т.д.).
Перехват (информации) — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Пользователь информационной системы персональных данных — лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программное (программно-математическое) воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Ресурс информационной системы — именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Среда функционирования криптосредства (СФК) — совокупность технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства и которые способны повлиять на выполнение предъявляемых к криптосредству требований.
Средства криптографической защиты информации — средства шифрования, средства имитозащиты, средства кодирования, средства электронной цифровой подписи, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).
Средства шифрования — аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.
Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) — лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы — технические средства, осуществляющие обработку информации (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
Технический канал утечки информации — совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угроза безопасности — совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Угроза безопасности объекта — возможное нарушение характеристики безопасности объекта.
Угрозы безопасности информации — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение информации, а также иных несанкционированных действий при её обработке в информационной системе.
Уничтожение информации — действия, в результате которого невозможно восстановить содержание информации в информационной системе или в результате которых уничтожаются материальные носители информации.
Успешная атака — атака, достигшая своей цели.
Уязвимость — некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации.
Характеристика безопасности объекта — требование к объекту, или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства.
Целостность информации — способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
Введение
Вопрос, связанный с надежной защитой информации, является базовой задачей в области информационной безопасности для любого учреждения. В современном мире информационные технологии стали неотъемлемой частью жизни людей и организаций, создание информационных систем повысило производительность труда за счет облегчения рабочих процессов путем их автоматизации. Однако у процесса компьютеризации есть и другая сторона: упрощение доступа к массивам и базам данных приводит к легкому захвату конфиденциальных данных злоумышленниками, то есть активное развитие информационных технологий сопровождается увеличением количества угроз информационной безопасности. Кроме того, существует еще одна проблема, связанная со значительным отставанием темпов и уровней развития средств информационной безопасности от темпов и уровней развития самих информационных технологий, которые они защищают.Защита информации и, в частности, персональных данных является актуальной темой в нашей стране, поскольку законодательная база начала появляться
Характеристики ВКР
Учебное заведение
МГУ им. ЛомоносоваСеместр
Просмотров
1
Размер
4,09 Mb
Список файлов
Разработка комплексной системы защиты информации для информационной системы государственного медицинского учреждения.docx
Tortuga
06 ноября 2024 в 13:20
Комментарии
Нет комментариев
Стань первым, кто что-нибудь напишет!
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
