Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

В списке использованных источников приводятся используемые документы, литература, Интернет-сайты, и другие источники информации, используемой в данномДП.

В приложении А приводится выписка из Рекомендации по выбору мер защиты информации.

1. Постановка цели и задачи

1.1 Исследование предметной области

Для обеспечения безопасности информации необходимо анализировать угрозы информационной безопасности, разрабатывать новые методы и способы защиты информации, а также важно создать конкретную систему защиты информации для каждой информационной системы.

В учебном центре кафедры «Информационные технологии и системы» создается программный комплекс, позволяющий решать в автоматизированном режиме разработку технического решения на создание системы защиты информации в информационной системе. Для разработки проекта технического решения требуются следующие процессы:

• процесс получения исходных данных;

• процесс выбора набор мер;

• процесс выбора СЗИ для нейтрализации определенных мер защиты информации;

• процесс создания проектной, технологической документации.

В общем случае работа программного комплекса представляет собой чтение исходных данных из файла, полученного с помощью программного комплекса «Оценки рисков информационной безопасности», ведение базы данных, получение списка технических и организационных мер для защиты информационной системы, а также получение требований к системе защиты информации информационной системы.

Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание на создание системы защиты информации информационной системы и должны включать в себя:

• цель и задачи обеспечения защиты информации в информационной системе;

• перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;

• требования к мерам и средствам защиты информации, применяемым в информационной системе;

• класс защищенности информационной системы;

• перечень объектов защиты информационной системы;

• требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Рассмотрим, выбор мер и средств защиты информации. Технические и организационные меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы, должны обеспечивать следующие пункты:

• идентификацию и аутентификацию субъектов доступа и объектов доступа;

• ограничение программной среды;

• управление доступом субъектов доступа к объектам доступа;

• защиту машинных носителей информации;

• антивирусную защиту;

• регистрацию событий безопасности;

• контроль (анализ) защищенности информации;

• обнаружение (предотвращение) вторжений;

• защиту технических средств;

• целостность информационной системы и информации;

• защиту среды виртуализации;

• доступность информации;

• защиту информационной системы, ее средств, систем связи и передачи данных.

Определение технических и организационных мер  трудоемкий процесс, требующий глубокого анализа, в результате которого необходимо получить меры защиты информации в соответствии со структурно-функциональными характеристиками информационной системы. А также определение технических и организационных мер требует анализа на определение мер защиты информации, с помощью которых будут нейтрализованы актуальные угрозы безопасности. Все это занимает достаточно продолжительное время. В связи с этим были проведены исследования и сформированы таблицы-соотношения (см. приложение А):

• набор мер защиты информации и структурно-функциональные характеристики информационной системы;

• угрозы безопасности информации и меры по их нейтрализации.

Данные рекомендации можно применять и при ручном определении набора мер, например, в случае выхода из строя программного комплекса, каких-либо непредвиденных обстоятельств или ситуаций.

В ходе определения технических и организационных мер необходимо использовать огромное количество приказов, методических документов и других руководящих документов ФСТЭК России, ФСБ России.

В связи с этим целесообразна автоматизация данного процесса, ведь нормативно-правовая база остается достаточно длительное время без изменений, а при обновлении правовой базы можно легко внести изменения в программу.

Так как мы используем результаты работы из программного комплекса «Оценки рисков информационной безопасности», то необходимо извлечь необходимые данные и занести их в разрабатываемый программный комплекс. В случае успешного получения исходных данных, создается запись с названием информационной системы, ее класса или уровня защищенности в зависимости от обрабатываемой информации в ней, списком актуальных угроз, структурно-функциональными характеристиками информационной системы.

На рисунке 1.1 представлены этапы выбора мер защиты информации.

Структурно-функциональные характеристики информационной системы, информационные технологии, особенности функционирования

Адаптированный базовый набор мер защиты информации

Рисунок 1.1  Общий порядок действий по выбору мер защиты информации

Первым шагом определяется базовый набор мер в соответствии Приказом ФСТЭК России от 11 февраля 2013 г. N 17«Требования о защите информации, не составляющей государственную тайну, содержащейся в информационных государственных системах» или Приказом ФСТЭК России от 18 февраля 2013 г. N 21 «Состав и содержаниетехнических и организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах». В качестве начального перечня мер выбирается только одна колонка из четырех или трех базовых наборов мер защиты информации, соответствующий установленному классу или уровню защищенности информационной системы соответственно. Меры информации защиты, которые обозначены положительным знакомвключены в базовый набор мер защиты информации для соответствующего классаили уровня защищенности данной информационной системы. Меры защиты информации, которые никак не обозначены, к базовому набору мер не относятся, и могут в дальнейшем использоваться для расширения перечня мер при адаптации мер, уточнении мер и дополнении мер защиты информации, а также разработке мер защиты информации, которые будут компенсирующие.

Вторым действием является адаптация базового набора мер, то есть изменение изначального выбранного базового набора мер защиты информации применительно к структуре, особенностям эксплуатации и реализации информационной системы. При адаптации базового набора мер защиты информации, как правило, происходит исключение мер, связанных непосредственно с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, которые не свойственны информационной системе.

В качестве примера адаптации базового набора мер можно привести следующую ситуацию: в информационной системе не применяются мобильные технические устройства или их применение запрещено, следовательно, из базового набора мер защиты информации можно исключить меры по защите мобильных технических средств.

Третьим действием будет являться уточнение адаптированного базового набора мер защиты информации с учетом оценки возможности адаптированного базового набора мер защиты информации нейтрализовать все определенные угрозы безопасности информации, включенные в модель угроз безопасности информации.

Исходными данными при работе по уточнениюадаптированного базового набора мер защиты информации будет являться перечень угрозинформации безопасности актуальных для информационной системы. Используя результаты модуля «Оценка угроз безопасности информации, реализуемых за счет НСД к информации в ИС», получаем перечень актуальных угроз безопасности информации. При уточнении адаптированного базового набора мер защиты информации для каждой определенной актуальной угрозы информации безопасности сопоставляется мераинформации защиты из адаптированного базового набора мер информациизащиты, обеспечивающая нейтрализацию этой угрозы безопасности или снижающая степень вероятности ее реализации, исходя из условий функционирования информационной системы. В случае если адаптированный базовый набор мер защиты информации не обеспечивает нейтрализацию всех угроз безопасности информации, в него дополнительно включаются меры информации защиты с учетом класса защищенности информационной системы и потенциала нарушителя.

В качестве примера по работе при уточнении адаптированного базового набора мер информации защиты можно привести следующую ситуацию: информационная система имеет третий класс защищенности, а в модели угроз информации безопасности есть угрозы, связанные с возможностью загрузки операционной системы с машинного нештатного носителя или нарушения целостности программной среды и (или) состава компонентов аппаратного обеспечения средств вычислительной техники в информационной системе. Тогда в перечень мер мы добавляем меры по обеспечению доверенной загрузки.

Четвертым шагом является работа по дополнению уточненного адаптированного базового набора меринформации защиты с целью выполнения требований поинформационной защите, которые установленыдругими нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.Например, на основании требований руководящих документов ФСБ России, изложенных в «Типовых требованиях по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 г. № 149/6/6-622 и «Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» утвержденных руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/5-144, в ИСПДн должна обеспечиваться криптографическая защита персональных данных при передаче по каналам связи в сторонние организации и между сегментами ИСПДн, при передаче информации через сети связи международного информационного обмена.

После получения дополненного набора мер происходит подбор технических средств и организационных мер для нейтрализации полученных мер защиты информации. На выходе мы должны получить разделы проектной и технологической документации.

Таким образом, предметом автоматизации являются чтение исходных данных, систематизация, хранение, накопление данных, необходимых для функционирования программного комплекса, получение мер защиты информации, а также решение по их нейтрализации и получение разделов проектной и технологической документации.

Создание данного программного комплекса позволит существенно облегчить работу специалиста по информационной безопасности, снизить в несколько раз затраты на документооборот, повысить скорость и качество по получению разделов проектной и технологической документации, упорядочить организационную структуру документооборота, и в результате повысить эффективность работы специалиста по информационной безопасности.

1.2 Цель работы

Целью данного проекта является разработка автоматизированного комплекса, который должен увеличить эффективность разработки технического задания и технического проекта для защиты информационной системы и качество разрабатываемых разделов для проектной и технологической документации. Разработка программного комплекса ведется с учетом уже имеющегося модуля «Оценка угроз безопасности информации, реализуемых за счет НСД к информации в ИС», разработанного в прошлом году.

1.3 Задачи работы

При разработке программного обеспечения был поставлен перечень, содержащий следующие требования:

• хранение данных об исследуемой информационной системе;

• обеспечение высокой надежности при хранении информации;

• возможность выдачи полученной информации на экран монитора;

• возможность создания выходного документа.

Представленные выше требования к программному обеспечению, могут быть реализованы при помощи выбора средств разработки, отвечающих данным требованиям.

1. Выбор средств разработки

1.4.1 Язык программирования

В первую очередь, выбор языка программирования зависит от круга задач, решаемых разрабатываемым приложением и используемых технологий при его создании.

В качестве высокоуровневого языка программирования был выбран язык программирования C#, так как с помощью него можно решить большой круг задач, необходимых для разработки автоматизированного приложения в соответствии с пунктом 1.3, таких как:

• относительно простое создание пользовательского приложения;

• встроенные механизмы криптографии в программную платформу .NETFrаmework 4.0;

• простота взаимодействия компонентов программного комплекса с MicrosoftWord;

• глубокая интеграция и простота взаимодействия со встроенным функционалом ОС Windows.

Кроме того, при использовании языка программирования C# имеются и другие положительные факторы:

• программная платформа .NetFrаmework специально спроектированная для работы в среде ОС Windows;

• язык программирования основан на самой популярной, на текущий момент, объектно-ориентированной методологий программирования;

• для обмена данными между приложениями встроен в платформу frаmework WCF;

• постоянная поддержка как платформы, так и самого языка программирования компанией Microsoft.

В качестве среды для разработки была использован продукт Microsoft Visuаl Studio 2015 Community Edition. Причины его выбора следующие:

• поддержкавыбранного языка программирования;

• мощные инструменты, помогающие при разработке ПО;

• встроенные механизмы вершинного контроля и тестирования;

• бесплатное использование в рамках программы Dreаms Pаrk.

1. Система управления базой данных

Для хранения данных об информационной системы, информации аутентификации, а также справочных данных была выбрана система управления реляционными базами данных MS SQL Server 2014.

Характеристики

Список файлов ВКР