Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

– необнаруженные изменения в программном обеспечении, включая не декларированные возможности программ;

– отсутствие криптографической контрольной суммы для данных имеющих весомую значимость;

– механизм привилегий, который дозволяет пользователям избыточные права на запись;

– отсутствие средств антивирусной защиты.

1.8.6 Раскрытие трафика ЛВС

Раскрытие трафика ЛВС осуществляется, когда кто-то, кому это не разрешено, овладевает информацией, или получает к ней доступ иным способом, во время ее передачи по сети. Трафик ЛВС может быть скомпрометирован при прослушивании и перехвате, передаваемого по каналам связи (при подключении кабеля в сеть, прослушивании трафика, передаваемого по каналам, излишнее использование предоставленного подключения к сети с использованием сетевого анализатора, и т.д.). Многие пользователи отдают отчет важности конфиденциальной информации, хранимой на их автоматизированных рабочих местах или серверах; однако, также необходимо поддерживать эту конфиденциальность при передаче информации через каналы связи ЛВС. Информация, которая может быть скомпрометирована таким образом, содержит системные имена и имена пользователей, пароли, сообщения электронной почты, прикладные данные и т.д., например, если пароли подвергаются шифрованию при хранении в системе, возможно перехватить их в открытом виде в то время, когда их посылают с пользовательского рабочего места или ПК к файловому серверу. Файлы сообщений электронной почты, доступ к которым сильно ограничивается при хранении на компьютере, часто посылаются в открытом виде по среде передачи данных, что делает их легкой целью для перехвата. Компрометация трафика ЛВС может происходить при использовании следующих типов уязвимых мест:

– некорректная физическая защита устройств сети и среды передачи;

– передача незашифрованных данных с использованием широковещательных протоколов передачи;

– передача открытых данных по каналам локальной сети.

1.8.7 Подмена трафика ЛВС

Данные, передаваемые по сети, не должны быть изменены неавторизованным способом во время передачи либо самой ЛВС, либо злоумышленником. Пользователи ЛВС должны предусматривать вариант, что посланное сообщение будет получено неизмененным. Модификация происходит, при намеренном или случайном изменении части сообщения, включая его содержимое и информацию получателя или отправителя.

Сообщения, передаваемые по ЛВС, обязаны содержать адресную информацию, сообщающую адрес отправителя сообщения и адрес получателя. Подмена трафика ЛВС включает:

– способность получать сообщение, присваивая себе адрес получателя сообщения;

– способность маскироваться под машину - отправитель и посылать автоматическую рассылку пользователям сети.

Для маскировки под машину - получателю, нужно убедить ЛВС в том, что данный адрес машины - легитимный адрес машины-получателя. Получение трафика ЛВС возможно осуществить прослушиванием сообщений, ведь в широковещательном режиме они передаются всем узлам. Маскировка под машину - отправитель для убеждения машины-получателя в правомерности сообщения осуществляется заменой адреса отправителя в сообщении адресом авторизованной машины-отправителя или путем дублирования трафика. Дублирование предполагает перехват сеанса связи между отправителем и получателем и повторную передачу сообщений во время этого сеанса. Подмена трафика сети или модификации трафика может реализовываться при использовании следующих типов уязвимых мест:

– передача трафика в незашифрованном виде;

– отсутствие контрольных меток даты или (и) времени (показывающей время посылки и время получения);

– отсутствие способа аутентификации сообщения или цифровой подписи;

– отсутствие аутентификации в реальном времени.

1.8.8 Разрушение функций ЛВС

Разрушение функциональных возможностей локально вычислительной сети происходит, когда сеть не может своевременно обеспечить требуемые пользователями функциональные возможности или ресурсы. Разрушение функциональных возможностей происходит путем использования указанных типов уязвимых мест:

– неспособность обнаружить излишнюю активность трафика в сети (то есть намеренное переполнение трафика);

– неспособность маршрутизировать трафик, выявить отказы аппаратных средств, и т.д.;

– конфигурация ЛВС, имеющая возможность потерять всю работоспособность из-за отказа одного из узлов;

– неавторизованные изменения структуры аппаратных средств;

– некорректное обслуживание узлов корпоративной сети;

– недостаточная физическая защита аппаратных в пределах контролируемых зон.

2 Анализ информационной системы персональных данных(ИСПДн)

2.1 Классификация ИСПДн

Прежде чем определить какие меры требования и средства криптографической защиты (СКЗИ) следует применить к нашей системе, необходимо установить её класс защищенности, который складывается из списка актуальных угроз, приведенных в первой главе, категории данных обрабатываемых в ИСПДн и количеству субъектов персональных данных, не являющихся сотрудниками оператора.

Для нашей системы актуальны угрозы третьего типа и в ней обрабатываются иные категории персональных данных, менее 100000 субъектов. Следовательно, исходя из постановления правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» наша система имеет четвертый уровень защищенности персональных данных.

2.2 Требования защищенности

Для обеспечения четвертого уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

– организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

– обеспечение сохранности носителей персональных данных;

– утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

– использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

2.3 Меры защиты

Полный перечень мер защиты для автоматизированных систем четвертого класса защищенности указаны в приказе ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Компания обеспечила соблюдение всех необходимых критериев функционирования своей автоматизированной системы в пределах контролируемой зоны.

Контролируемая зона (КЗ) - пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

– периметр охраняемой территории предприятия (учреждения);

– ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.

Границей нашего предприятия является охраняемая территория, пребывание лиц, не имеющих допуска исключено.

В ходе деятельности предприятия возникла необходимость обеспечить удаленное подключение сотрудников к ресурсам корпоративной сети. Поэтому мне потребуется обратить внимание лишь на те меры защиты, которые способствуют созданию безопасного удаленного подключения к корпоративной сети предприятия.

2.3.1 Регламентация и контроль использования в информационной системе мобильных технических средств

Требования к реализации

Оператором должны обеспечиваться регламентация и контроль использования в информационной системе мобильных технических средств, направленные на защиту информации в информационной системе.

В качестве мобильных технических средств рассматриваются съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства).

Регламентация и контроль использования мобильных технических средств должны включать:

– установление (в том числе документальное) видов доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа), разрешенных для доступа к объектам доступа информационной системы с использованием мобильных технических средств, входящих в состав информационной системы;

– использование в составе информационной системы для доступа к объектам доступа мобильных технических средств (служебных мобильных технических средств);

– ограничение на использование мобильных технических средств в соответствии с задачами (функциями) информационной системы, для решения которых использование таких средств необходимо, и предоставление доступа с использованием мобильных технических средств в соответствии с УПД.2;

- мониторинг и контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных технических средств для доступа к объектам доступа информационной системы;

– запрет возможности запуска без команды пользователя в информационной системе программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством.

Правила и процедуры применения мобильных технических средств, включая процедуры выдачи и возврата мобильных технических средств, а также их передачи на техническое обслуживание (процедура должна обеспечивать удаление или недоступность информации), регламентируются в организационно-распорядительных документах оператора по защите информации.

2.3.2 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

Требования к реализации

Оператором должна обеспечиваться защита информации при доступе пользователей (процессов запускаемых от имени пользователей) и (или) иных субъектов доступа к объектам доступа информационной системы через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, с использованием стационарных и (или) мобильных технических средств (защита удаленного доступа).

Защита удаленного доступа должна обеспечиваться при всех видах доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа) и включает:

– установление (в том числе документальное) видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;

– ограничение на использование удаленного доступа в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление удаленного доступа для каждого разрешенного вида удаленного доступа в соответствии с УПД.2;

– предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);

– мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа информационной системы;

– контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой (передачи защищаемой информации).

2.3.3 Требования к криптографическим средствам защиты информации(СКЗИ) в информационной системе персональных данных(ИСПДн)

Необходимые технические и организационные меры, предназначенные для выполнения установленных правительством РФ требований к защите ПДН для четвертого уровня защищенности указаны в приказе ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Следовательно, из десятого пункта данного приказа СКЗИ класса КС1 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются указанные возможности.

В ИСПДн «Горсвет» присутствует возможность проведение атаки, находясь вне пространства, в пределах которого осуществляется контроль за пребыванием и действиями лиц и (или) транспортных средств, то есть вне контролируемой зоны. Значит, нам необходимо использовать средства, прошедшие сертификацию класса КС1 и выше.

Исходя из изложенных требований и мер оптимальным решение для обеспечения удаленного подключения будет использование VРN-соединения, защищенного с помощью продуктов ViРNet CUSTOM компании «ИнфоТеКС» или аппаратно-программный криптографический шлюз «Континент 3.7» компании «Код безопасности».

2.3.4 Анализ стоимости продуктов

Одним из ключевых факторов при выборе продуктов является их стоимость, для сравнения рассчитаем цену решения ведущих производителей средств защиты информации таких как компания «Код безопасности» и «ViрNet».

Расчет стоимости необходимых продуктов компании «ViРNet» отображен в таблице 2.3.4.1:

Таблица 2.3.4.1 – Расчет стоимости продуктов «ViРNet»

ИТОГО: 305 810,00 руб.

Расчет стоимости необходимых продуктов компании «Код безопасности» отображен в таблице 2.3.4.2:

Характеристики

Список файлов ВКР