Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Abstract

This graduation project deals with process of implementation of security analysis in information system. Usually it is implemented by security department of organization using various existing methodics and experience. This project’s target is to suggest methodic recommendations of implementation of security analysis, which will be base for development of national standard.

It this graduation project process of developing methodic recommendations is divided into several stages:

• getting information about basic understanding of security analysis;

• existing methods of implementing of security analysis;

• dividing security analysis action by stages of developing and exploitation of information system;

• creating exact order of actions at every stage.

This project proposes developed methodic recommendations of security analysis. This project also researches economic efficiency of creating and using this protection in wireless network systems, which is very high due to little cost and preventing big damage.

The graduation project includes 120 pages of explanatory note, 25 tables and 2 pictures

Содержание

Введение 4

1 Общие сведения об анализе защищенности 6

2 Исследование существующих методик проведения анализа защищенности 12

3 Составление методических рекомендаций по анализу защищенности 19

3.1 Этапы проведения анализа защищенности 19

3.2 Мероприятия анализа защищенности 19

3.2.1 Выявление, анализ и устранение уязвимостей информационной системы (АНЗ 1) 20

3.2.2 Контроль установки обновлений программного обеспечения (АНЗ 2) 40

3.2.3 Контроль работоспособности, правильности функционирования и верности конфигурации (АНЗ 3) 42

3.2.4 Контроль состава технических средств, программного обеспечения и средств защиты информации (АНЗ 4) 47

3.2.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе (АНЗ 5) 51

3.3 Определение мероприятий, проводимых на этапах жизни информационной системы 52

3.3.1 Этап проектирования 53

3.3.2 Этап введения в эксплуатацию 53

3.3.3 Этап эксплуатации 55

3.4 Средства анализа защищенности 56

3.4.1 Сканеры безопасности 56

3.4.2 Средства инвентаризации ресурсов информационной системы 60

4 Разработка мероприятий по обеспечению безопасности жизнедеятельности 62

4.1 Общие сведения 62

4.2 Проблема совместимости 63

4.3 Комплекс средств пожарной автоматики 64

4.4 Установка пожаротушения контейнеров МК-ЭЦ 66

5 Обоснование экономической эффективности от проведения анализа защищенности 68

5.1 Исходные данные для расчёта экономической эффективности внедряемого проекта 68

5.2 Расчет затрат на проведение анализа защищенности 72

5.3 Расчет экономической эффективности 75

5.3.1 Расчет наносимого ущерба при разглашении конфиденциальной информации 76

5.3.2 Расчет экономической эффективности внедрения программного комплекса 81

Заключение 84

Приложение А 85

Приложение Б 117

Приложение В 120

Введение

Обеспечение информационной безопасности в информационных системах основано на следовании требованиям нормативных документов РФ в области защиты информации. В настоящее время таких документов действует большое множество, что приводит специалиста информационной безопасности к необходимости собирать данные о требованиях и способах их выполнения из различных источников.

Одной из требуемых мер обеспечения безопасности информационных систем является проведение анализа защищенности информации. Такое требование предъявляется к государственным информационным системам в приказе ФСТЭК №17 [7, раздел 18].

Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты информации и организационно-распорядительными документами по защите информации и в том числе включает:

• управление (администрирование) системой защиты информации информационной системы;

• выявление инцидентов и реагирование на них;

• управление конфигурацией аттестованной информационной системы и ее системы защиты информации;

• контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.

Также это требование предъявляется и информационным системам персональных данных в приказе ФСТЭК №21[8, раздел 8].

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входит (среди прочего):

• контроль (анализ) защищенности персональных данных;

Выполнение данного требования возлагается на оператора информационной системы при выполнении работ по организации системы защиты информации. Однако в методическом документе ФСТЭК «Меры защиты информации» представлены только требования и общий порядок их исполнения. Другие нормативные документы также не содержат рекомендаций по проведению контроля защищенности информации в информационных системах. Это приводит к выводу о необходимости использования сторонних методик обеспечения анализа защищенности, популярных на данный момент. Также актуальной становится задача создания методических рекомендаций проведения анализа защищенности информации в информационной системе, подробно раскрывающих процесс проведения всех мероприятий. Результатом выполнения таких методических рекомендаций должно стать полное выполнение требований нормативных документов в области обеспечения информационной безопасности.

1 Общие сведения об анализе защищенности

Анализ защищенности – это комплекс действий по выявлению уязвимостей информационной системы и контролю выполнения и эффективности используемых мер защиты. Выполнение этих действий позволяет проверить адекватность реализованных механизмов организации безопасности информации существующим угрозам и рискам.

Анализ защищенности является основным элементом таких видов работ как аттестация, аудит и обследование безопасности АС.

Проведение анализа защищенности позволяет ответить на следующие вопросы:

• насколько адекватны реализуемые в информационной системе механизмы безопасности существующим рискам;

• можно ли доверять данной информационной системе обработку конфиденциальной информации;

• содержит ли установленное в информационной системе программное обеспечение уязвимости, которые могут быть использованы для взлома защиты;

• имеются ли в текущей конфигурации информационной системы ошибки, позволяющие потенциальным злоумышленникам обойти механизмы контроля доступа;

• какие контрмеры позволят повысить уровень защищенности информационной системы.

На практике всегда существует большое ко­личество неподдающихся точной оценке возмож­ных путей осуществления угроз безопасности в отношении ресурсов информационной системы. В идеале каждый путь осуществления угрозы должен быть перекрыт со­ответствующим механизмом защиты. Данное ус­ловие является первым фактором, определяю­щим защищенность информационной системы. Вторым фактором является прочность существующих механизмов защи­ты, характеризующаяся степенью сопротивляе­мости этих механизмов попыткам их обхода либо преодоления. Третьим фактором является вели­чина ущерба, наносимого владельцу информационной системы в случае успешного осуществления угроз безопасности. На практике получение точных значений приведенных характеристик затруднено, т. к. по­нятия угрозы, ущерба и сопротивляемости меха­низма защиты трудно формализуемы. Например, оценку ущерба в результате несанкционированного доступа к информации политического и военного характера точно опре­делить вообще невозможно, а определение веро­ятности осуществления угрозы не может базиро­ваться на статистическом анализе. Оценка степе­ни сопротивляемости механизмов защиты всегда является субъективной.

Анализ защищенности преследует следующие цели:

• получение актуальных данных о состоянии информационной безопасности системы организации;

• подготовка рекомендаций, способных повысить уровень безопасности информационной системы организации;

• реализация подготовленных рекомендаций по повышению уровня безопасности информационной системы организации.

Регулярное выполнение анализа защищенности обеспечивает постоянную поддержку состояния безопасности информационной системы путем выполнения указанных мероприятий.

С анализом защищенности связаны следующие нормативные документы:

• приказ ФСТЭК №17 от 11.02.2013;

• приказ ФСТЭК №21 от 18.02.2013;

• методический документ ФСТЭК «Меры защиты информации» от 11.02.2014 [9];

• «Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ по технической защите конфиденциальной информации» ФСТЭК от 19.04.2017;

• «Положение о сертификации средств защиты информации» Государственной технической комиссии от 25.10.1995(Утверждено Приказом Государственной технической комиссии от 27 октября 1995 г. N 199);

• ГОСТ Р 56545-2015 [10];

• ГОСТ Р 56546-2015 [11];

• ГОСТ Р ИСО/МЭК 27002-2012.

Приказы ФСТЭК №17 и №21 определяют этапы жизни информационной системы, на которых требуется выполнения анализа защищенности, как полностью, так и в сокращенном виде. Приказ ФСТЭК №17 утверждает следующее:

• требуется проведение действий по выявлению и устранению возможных уязвимостей на этапе проектирования информационной системы (п. 15.1);

• требуется проведение действий по выявлению и устранению уязвимостей на этапе внедрения в эксплуатацию системы защиты информации (п. 16);

• требуется разработать организационно-распорядительные документы по защите информации, в том числе для контроля уровня защищенности информации, содержащейся в информационной системы (п. 16.2);

• требуется проверка правильности установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректности работы средств защиты информации (п. 16.6);

• требуется выполнение контроля защищенности информации, содержащейся в информационной системе на этапе эксплуатации информационной системы (п. 18.4).

Приказы ФСТЭК №17 и 21 также вводят анализ защищенности в состав мер по обеспечению безопасности информации и определяют его как действия, обеспечивающие контроль уровня защищенности информации путем проведения соответствующих мероприятий и тестирования системы защиты информации.

Методический документ ФСТЭК «Меры защиты информации» определяет содержание анализа защищенности в виде пяти мер защиты информации АНЗ:

• АНЗ.1 Выявление, анализ и устранение уязвимостей информационной системы;

• АНЗ.2 Контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации;

• АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;

• АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации;

• АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.

Требуется обязательное выполнение данных мер для всех классов (уровней) защищенности, кроме четвертого.

«Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ по технической защите конфиденциальной информации» ФСТЭК определяет функциональные характеристики средств анализа защищенности информационных систем. Данный текст приводится в таблице 1.1.

Таблица 1.1 – Выписка из перечня контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ по технической защите конфиденциальной информации

Важно, что данный документ устанавливает два функционала средств анализа защищенности:

• автоматизированная инвентаризация ресурсов информационных систем;

• выявление уязвимостей в ресурсах информационных систем.

Данные функции могут быть реализованы как в одном средстве, так и в отдельных. Также важно, что требуется при выполнении анализа защищенности использовать только сертифицированные средства анализа защищенности.

«Положение о сертификации средств защиты информации» Государственной технической комиссии от 25.10.1995 определяет процедуру сертификации средств защиты информации, как для производства, так и единичных партий. Вторая ситуация возникает в том случае, когда производитель не желает продлевать срок действия сертификата, но использование средства защиты признается необходимым оператором защищаемой информационной системы. Также положение определяет срок подачи заявления на продление сертификата (за 3 месяца до окончания срока действия сертификата), что также позволяет определить срок, в который производитель должен принять решение о продлении. Именно в такой срок оператор защищаемой информационной системы должен запросить информацию у производителя средства защиты о продлении сертификата.

ГОСТ Р 56545-2015 и ГОСТ Р 56546-2015 определяют классификацию и правила описания уязвимостей соответственно. Использование стандартной формы описания и классификации уязвимостей позволяет облегчить работы по анализу и устранению уязвимостей.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР