Пояснительная записка Шикова И.А. 24Б (1208568), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Схема взаимодействия представлена на рисунке 1.1.1.4.

Рисунок 1.1.1.4 – Схема взаимодействия системы 1С Предприятие 8.3

В ИСПДн «ВЗМ-Строй» осуществляется информационный обмен с ИСПДн сторонних организаций, которые обеспечивают реализацию основных функций компании.

Схема информационного взаимодействия с сторонними организациями представлена на рисунке 1.1.1.5.

Рисунок 1.1.1.5 – Схема информационного взаимодействия в ИСПДн «ВЗМ-Строй»

1.2 Установление уровней защищенности ПДн в ИСПДн компании

Обеспечение безопасности персональных данных регламентируется комплексом технических и организационных мер защиты которые в свою очередь определяются в соответствии с требованиями регулирующих органов ФСТЭК и ФСБ России.

В соответствии с Постановлением Правительства от 01 ноября 2012 N 1119 [1] «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливается четыре уровня защищенности. На основании тих требований уровень защищенности для ИСПДн является комплексным показателем который выявляется из следующих показателей:

• типы актуальных угроз;

• категории обрабатываемых данных;

• тип субъектов ПДн, обрабатываемых в ИСПДн;

• количество субъектов ПДн.

Уровень защищенности персональных данных в ИСПДн «ВЗМ-Строй» устанавливался в соответствии с Актом установления уровня защищённости ПДн при их обработке в ИСПДн «ВЗМ-Строй» на основании результатов анализа исходных данных, руководствуясь Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119«Требования к защите персональных данных при их обработке в информационных системах персональных данных»[1] и Методикой определения актуальных угроз безопасности информации в информационных системах (проект) [4]. Было установлено, что в ИСПДн требуется обеспечить четвертый уровень защищенности персональных данных.

1.3 Актуальные угрозы безопасности в ИС компании

1.3.1 Актуальные угрозы для ИСПДн «ВЗМ-Строй»

Для ИСПДн определены актуальные угрозы безопасности информации в соответствии с Моделью угроз безопасности информации, обрабатываемой в ИСПДН «ВЗМ-Строй».

Данные угрозы соответствуют угрозам Банка данных угроз безопасности информации ФСТЭК [13]. Данными угрозами являются:

• анализ криптографических алгоритмов и их реализации;

• аппаратный сброс пароля BIOS;

• внедрение кода или данных;

• восстановление аутентификационной информации;

• восстановление предыдущей уязвимой версии BIOS;

• деструктивное изменение конфигурации/среды окружения программ;

• деструктивное использование декларированного функционала BIOS;

• длительное удержание вычислительных ресурсов пользователями;

• доступ к защищённым файлам с использованием обходного пути;

• доступ к локальным файлам сервера при помощи URL;

• доступ/перехват/изменение HTTP cookies;

• загрузка нештатной операционной системы;

• заражение DNS-кеша;

• избыточное выделения оперативной памяти;

• изменение компонентов системы;

• использование альтернативных путей доступа к ресурсам;

• использование информации идентификации/ау­тентификации, заданной по умолчанию;

• использование механизмов авторизации для повышения привилегий;

• использование слабостей протоколов сетевого обмена данными;

• исчерпание вычислительных ресурсов хранилища больших данных;

• исчерпание запаса ключей, необходимых для обновления BIOS;

• нарушение изоляции среды исполнения BIOS;

• нарушение целостности данных кеша;

• неверное определение формата входных данных, поступающих в хранилище больших данных;

• невозможность восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания;

• невозможность управления правами пользователей BIOS;

• неконтролируемое копирование данных внутри хранилища данных;

• неконтролируемый рост числа зарезервированных вычислительных ресурсов;

• неконтролируемое уничтожение информации хранилищем данных;

• неправомерное ознакомление с защищаемой информацией;

• неправомерные действия в каналах связи;

• несанкционированное восстановление удалённой защищаемой информации;

• несанкционированное выключение или обход механизма защиты от записи в BIOS;

• несанкционированный доступ к аутентификационной информации;

• несанкционированное изменение аутентификационной информации;

• несанкционированное копирование защищаемой информации;

• несанкционированное редактирование реестра;

• несанкционированное создание учётной записи пользователя;

• несанкционированное удаление защищаемой информации;

• несанкционированное управление буфером;

• несогласованность правил доступа к большим данным;

• обнаружение открытых портов и идентификации привязанных к нему сетевых служб;

• обнаружение хостов;

• обход некорректно настроенных механизмов аутентификации;

• определение типов объектов защиты;

• определение топологии вычислительной сети;

• отказ в загрузке входных данных неизвестного формата хранилищем больших данных;

• перезагрузка программно-аппаратных средств вычислительной техники;

• перехват вводимой и выводимой на периферийные устройства информации;

• перехват данных, передаваемых по вычислительной сети;

• повреждение системного реестра;

• подбор пароля BIOS;

• подделка записей журнала регистрации событий;

• подмена действий пользователя путём обмана;

• подмена доверенного пользователя;

• подмена резервной копии программного обеспечения BIOS;

• подмена содержимого сетевых ресурсов;

• подмена субъекта сетевого доступа;

• получение предварительной информации об объекте защиты;

• преодоление физической защиты;

• приведение системы в состояние «отказ в обслуживании»;

• программный сброс пароля BIOS;

• пропуск проверки целостности программного обеспечения;

• удаление аутентификационной информации;

• утрата вычислительных ресурсов;

• утрата носителей информации;

• физическое выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;

• форматирование носителей информации;

• хищение средств хранения, обработки и (или) ввода/вывода/передачи информации;

• скрытное включения вычислительного устройства в состав бот-сети;

• «спам» веб-сервера;

• «фарминг»;

• «фишинг»;

• нарушение технологического/производственного процесса из-за временных задержек, вносимых средством защиты;

• неподтверждённый ввод данных оператором в систему, связанную с безопасностью;

• несанкционированное использование системных и сетевых утилит;

• несанкционированная модификация защищаемой информации;

• отказ подсистемы обеспечения температурного режима;

• перехват одноразовых паролей в режиме реального времени;

• физическое устаревания аппаратных компонентов.

ИСПДн «ВЗМ-Строй» характеризуется с помощью следующих технических и эксплуатационных характеристик:

• информационная система имеет структуру – распределенная;

• информационная система имеет архитектуру – клиент-серверная система с использованием прикладных программ, независимых от операционных систем;

• наличие подключений к сетям связи общего пользования – имеется;

• расположение относительно контролируемых зон технических средств – все технические средства расположены в пределах своих контролируемых зон расположенных на территории Российской Федерации;

• обработка информации в информационной системе осуществляется в режиме – многопользовательском;

• наличие режима разграничения прав доступа – с разграничением прав доступа;

• управление информационной системой – режим разделения функций по управлению ИС (для администраторов ИСПДн выделяются рабочие места на которых они осуществляют управление информационной системой в соответствии с своими должностными обязанностями).

1.3.2 Определение для ИСПДн актуальных угроз безопасности информации

Согласно банку данных угроз безопасности информации сформированным Федеральной службой по техническому и экспортному контролю России [13] в Модели угроз безопасности обрабатываемой в информационной системе персональных данных «ВЗМ-Строй» определен полный перечень актуальных угроз безопасности информации (данный перечень может уточняться и дополняться по мере выявления новых источников угроз персональных данных в ИСПДн).

Актуальной угрозой безопасности персональных данных является (УБИj^А), в том случае если для информационной системы в которой заданы структурно-функциональные характеристики и особенности функционирования существуют вероятности реализации рассматриваемой угрозы нарушителем (с определенным потенциалом) и реализация этой угрозы приведет к неприемлемому негативному ущербу нарушения основополагающих характеристик целостности, конфиденциальности и доступности защищаемой информации.

Так как в компании «ВЗМ-Строй» отсутствуют статистические данные о возникновении инцидентов безопасности, актуальность угроз безопасности информации (УБИ) определяется на основании оценки возможности реализации УБИ (Yj).

Актуальность угрозы безопасности персональных данных (УБИj^А) определяется как комплексный показатель по формуле:

УБИ_j^А = [возможность реализации угрозы (Y_j); степень ущерба (X_j)].

Оценка показателя (Y_j) – возможность реализации j-ой угрозы проводится относительно следующих показателей:

• проектной защищённости информационной системы (Y_1П)

• потенциала нарушителя (Y₂)

которые необходимы для реализации этой угрозы безопасности информации в рассматриваемой информационной системе. Формула оценки показателя (Y_j):

Y_j = [уровень проектной защищённости (Y_1п); потенциал нарушителя (Y₂)].

Оценка показателя (X_j) – степень ущерба проводится с расчетом следующих показателей:

• для каждого вида ущерба (конфиденциальности, целостности и доступности) степень последствия от реализации угрозы;

• в зависимости к чему приводит реализация угрозы – вид ущерба;

• в зависимости от реализации угрозы – возможный результат.

1.3.2.1 Оценка уровня проектной защищенности информационной системы

Под показателем (Y_1п) понимают исходную защищенность ИС которая обуславливается структурно-функциональными характеристиками при проектировании самой информационной системы и условиями её функционирования.

В ИСПДн «ВЗМ-Строй» на основе анализа проектных структурно-функциональных характеристик определялся Уровень проектной защищенности. Показатели которые характеризуют проектную защищенность информационной системы представлены в таблице 1.3.2.1.1.

Таблица 1.3.2.1.1 – Показатели представляющие характеристики проектной защищенности информационной системы

Показатель	Характеристика показателя	Уровень проектной защищенности
Структура ИС	Распределенная	Низкий
Используемые ИТ	Мобильные устройства	Низкий
Архитектура ИС	Удаленный доступ	Низкий
Подключение к иным ИС	Взаимодействует	Низкий
Подключение к сети общего пользования	Присутствует	Низкий
Размещение технических средств	В пределах нескольких КЗ	Средний
Режим обработки ПДн	Многопользовательский	Низкий
Разграничение прав доступа	Присутствует	Средний
Режим разделения функций управления ИС	Выделение рабочих мест в отдельный домен	Низкий
Сегментирование ИС	Отсутствует	Низкий

Данные показателей уровня проектной защищенности (Y_1п) представлены ниже:

• высокий уровень проектной защищенности (Y1П) ИС имеет, если не менее 80% характеристик ИС соответствуют уровню «высокий» (суммируется положительное решения по второму столбцу, соответствующему высокому УЗ), а остальные - среднему УЗ (положительные решения по третьему столбцу);

• средний уровень проектной защищенности (Y1П) ИС имеет, если не выполняются условия по пункту а) и не менее 90% характеристик ИС соответствуют уровню не ниже «средний» (берется отношение суммы положительных решений по третьему столбцу, соответствующему среднему УЗ, к общему количеству решений), а остальные – низкому уровню;

• низкий уровень проектной защищенности (Y1П) ИС имеет, если не выполняются условия по пунктам а) и б).

В таблице 1.3.2.1.2 представлена оценка уровня проектной защищенности ИС на основании ее структурно-функциональных характеристик.

Таблица 1.3.2.1.2 – Проведение оценки уровня проектной защищенности

Продолжение таблицы 1.3.2.1.2

Окончание таблицы 1.3.2.1.2

На основании показателей, которые характеризуют проектную защищённость информационной системы определено:

• 0 процентов соответствуют уровню «высокий»;

• 14,28 процентов соответствуют уровню «средний».

Таким образом делается вывод об уровне проектной защищенности (Y_1п) который характерен для рассматриваемое информационной системы строительной компании.

Характеристики

Список файлов ВКР