Антиплагиат (1209870), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Нарабочих станциях и двух серверах используются лицензионныенесертифицированные операционные системы.Конфигурация Учебной ИСОП представлена на рисунке 1.1.Топология ЛВС Учебной ИСОП представлена на рисунке 1.2.Параметры Учебной ИСОП представлены в таблице А.1 приложения А.Расположение элементов Учебной ИСОП относительно границконтролируемой зоны представлено на рисунке А.1 приложения А.12Рисунок 1.1 – Конфигурация Учебной ИСОП13Рисунок 1.2 – Топология ЛВС Учебной ИСОП141.2.

Существующие меры защиты информацииКонтроль доступа в помещение, в котором расположены техническиесредства Учебной ИСОП, в учебное время осуществляетсяпреподавательским составом Университета. Помещение имеет двери,закрывающиеся во внеучебное время на ключ, который хранится у дежурногоработника отдела охраны Университета.

В помещении отсутствуют камерывидеонаблюдения. Также отсутствуют и средства охранной сигнализации. Наокнах установлены непрозрачные жалюзи. Для предотвращения сбоев иотказов технических средств от скачка электропитания используются сетевыефильтры электропитания. Кабели связи, используемые для передачиинформации, защищены кабельными коробами. Помещение расположено на5-м этаже учебного корпуса No2 Университета.Антивирусная защита реализована с помощью ПО «АнтивирусКасперского 6.0 для Windows», которое имеет сертификат ФСТЭК России, нообновление антивирусных баз происходит нерегулярно.Границами контролируемой зоны Учебной ИСОП являются ограждающиеконструкции ауд.

3517.Учебная ИСОП в учебных целях оборудована следующими СЗИ:СЗИ Secret Net 5;ПАК «Соболь» 2.0;СЗИ «Аккорд-АМДЗ»;СЗИ «Страж NТ 2.0»;МЭ «Security Studio Endpoint Protection»;АПКШ «Континент».Средства защиты информации, использующиеся в учебных целях (кромеАПКШ «Континент» и СЗИ «Аккорд-АМДЗ»), имеют сертификаты ФСТЭК систекшими сроками применения и не соответствуют новым требованиям позащите информации.151.3. Классификация информационной системыВ соответствии с Требованиями [2] в зависимости от значимостисодержащейся в них информации и требований к ее защите разделяются надва класса.В 34 ходе обследования было определено:Учебная ИСОП не является информационной системой общегопользования Правительства Российской Федерации;Учебная ИСОП не является информационной системой общегопользования, в которой нарушение целостности и доступностиинформации, содержащейся в 34 ней, может привести к возникновениюугроз безопасности Российской Федерации. 34Исходя из этого на основании подпункта 5.2 пункта 5 Требований [2]Учебная ИСОП относится ко II классу.1.4.

Модель угроз безопасности информации, обрабатываемой вУчебной ИСОП1.4.1. Модель нарушителя, характерного для Учебной ИСОПВ соответствии с Моделью угроз безопасности информации,обрабатываемой в учебной информационной системе общего пользования(далее – Модель угроз) внешними нарушителями, характерными для УчебнойИСОП являются внешние субъекты (физические лица), внутренниминарушителями – пользователи (студенты, слушатели) Учебной ИСОП.В соответствии с нарушителями, характерными для Учебной ИСОП былопределен потенциал этих нарушителей:Внешние нарушители – низкий потенциал; 18Внутренние нарушители – низкий потенциал; 18Наиболее вероятными целями (мотивацией) пользователей (студентов,слушателей) Учебной ИСОП по реализации угроз являются:16причинение имущественного ущерба путем мошенничества или инымпреступным путем;любопытство или желание самореализации (подтверждение статуса);месть за ранее совершенные действия.непреднамеренные, неосторожные или неквалифицированныедействия.

47Наиболее вероятными целями (мотивацией) внешних субъектов(физических лиц) по реализации угроз являются:причинение имущественного ущерба путем мошенничества или инымпреступным путем;любопытство или желание самореализации (подтверждение статуса);выявление уязвимостей с целью их дальнейшей продажи и полученияфинансовой выгоды.1.4.2. 47 Модель угрозОпределение актуальных угроз производилось в Модели угроз(приложение Б).Определение актуальных угроз 10 начиналось с определения актуальныхугроз 10 НСД к информации.При определении актуальных угроз НСД к информации учитывалисьследующие показатели:а) Возможность реализации угроз безопасности информации:1) 23 Потенциал нарушителя;2) 23 Уровень проектной защищенности информационной системы;б) 26 Степень возможного ущерба от реализации угроз безопасностиинформации. 26Потенциал нарушителя был определен в пункте 1.4.1 раздела 1.

Из Банкаданных угроз безопасности информации ФСТЭК России [35] на основаниипотенциала нарушителя были отобраны угрозы безопасности информации,17реализовать которые могут внешние и внутренние нарушители с низкимпотенциалом. Пример такого отбора представлен в таблице 1.1.Таблица 1.1 – Пример отбора перечня угроз безопасности информации наосновании потенциала нарушителяИдентификаторУБИНазвание УБИ Источник УБИУБИ.014Угроза длительногоудержания вычислительныхресурсов пользователямитип: внешний, потенциал:базовый (низкий);тип: внутренний, потенциал:базовый (низкий).УБИ.008Угроза восстановленияаутентификационнойинформациитип: внешний, потенциал:базовый (низкий);тип: внутренний, потенциал:базовый (низкий).При определении актуальных угроз 10 учитывались уязвимостиинформационной системы и возможные способы реализации угрозбезопасности информации.В 10 Учебной ИСОП был определен перечень классов уязвимостей:Уязвимости, связанные с аутентификацией (в связи с использованиемОС Windows XP);Уязвимости в общесистемном (общем) программном обеспечении (всвязи с использованием ОС Windows XP);Уязвимости в прикладном программном обеспечении (в связи снерегулярным обновлением);Уязвимости в средствах защиты информации (в связи сиспользованием ОС Windows XP и нерегулярным обновлением средствантивирусной защиты информации).Из перечня угроз безопасности информации, составленного на основаниипотенциала нарушителя отбились угрозы, при реализации которых могутбыть использованы эти уязвимости.

В таблице 1.2 представлен пример такогоотбора.Таблица 1.2 – Пример отбора угроз безопасности информации на18основании классов уязвимостей информационной системыИдентификаторУБИНазвание УБИУязвимости Учебной ИСОП,используемые приреализации угрозыУБИ.100Угроза обхода некорректнонастроенных механизмоваутентификацииуязвимости, связанные саутентификацией;уязвимости вобщесистемном (общем)программном обеспечении.УБИ.121Угроза повреждениясистемного реестрауязвимости вобщесистемном (общем)программном обеспеченииДалее определялись возможные способы реализации угроз безопасностиинформации нарушителем с целью формирования предположений овозможных сценариях реализации угроз безопасности информации,описывающих последовательность (алгоритмы) действий отдельных видовнарушителей или групп нарушителей и применяемые ими методы и средствадля реализации угроз безопасности информации.Для Учебной ИСОП были определены следующие возможные способыреализации угроз безопасности информации:путем НСД и ( или) воздействия на объекты на общесистемном уровне(в 23 связи с использованием ОС Windows XP);путем НСД и ( или) воздействия на объекты на прикладном уровне; 23путем несанкционированного физического доступа и (или) воздействияна линии, (каналы) связи, технические средства, машинные носителиинформации.

23Из перечня угроз, при реализации которых могут быть использованыуязвимости информационной системы, отбирались угрозы, соответствующиеопределенным возможным способам реализации УБИ. Пример данногоотбора представлен в таблице 1.3.Таблица 1.2 – Пример угроз безопасности информации, выбранных всоответствии с возможными способами их реализации19ИдентификаторУБИНазвание УБИВозможные способыреализации угрозыУБИ.030Угроза использованияинформацииидентификации/аутентификации,заданной поумолчаниюпутем НСД и ( или) воздействияна объекты на общесистемномуровне; 23путем несанкционированногодоступа и (или) воздействия наобъекты на прикладном уровне; 23путем несанкционированногофизического доступа и (или)воздействия на линии, (каналы)связи, технические средства,машинные носителиинформации.

23УБИ.074Угрозанесанкционированногодоступа каутентификационнойинформациипутем НСД и ( или) воздействияна объекты на общесистемномуровне; 23путем несанкционированногофизического доступа и (или)воздействия на линии, (каналы)связи, технические средства,машинные носителиинформации. 23Следующим шагом осуществлялось определение уровня проектнойзащищенности информационной системы. 23Под уровнем проектной защищенности (Y1П) 23 понимается исходнаязащищенность информационной системы, 26 обусловленная ее структурнофункциональными характеристиками, 26 применяемыми информационнымитехнологиями и условиями функционирования. Определение уровняпроектной защищенности Учебной ИСОП представлено в таблице 1.3.20Таблица 1.3 – Показатели проектной защищенности Учебная ИСОПСтруктурно-функциональныехарактеристики 26 ИС, условия ее эксплуатацииУровень проектнойзащищенности 26 ИС (Y1П)Высокий Средний НизкийПо структуре 26 ИС:– автономное автоматизированноерабочее место;– локальная 26 ИС; +– распределенная ИСПо используемым ИТ:системы на основе виртуализации;системы, реализующие «облачныевычисления»;системы с мобильными устройствами;системы с технологиямибеспроводного доступа;грид-системы;суперкомпьютерные системыПо архитектуре информационнойсистемы:системы на основе «тонкого клиента»;системы на основе одноранговой сети;файл-серверные системы; +центры обработки данных;системы с удаленным доступомпользователей;использование разных типовоперационных систем (гетерогенностьсреды);использование прикладных программ,независимых от операционных систем;использование выделенных каналовсвязиПо наличию (отсутствию) взаимосвязей сиными информационными системами:взаимодействующая с системами;– невзаимодействующая с системами + 2621 26Продолжение таблицы 1.3Структурно-функциональныехарактеристики 26 ИС, условия ее эксплуатацииУровень проектнойзащищенности 26 ИС (Y1П)Высокий Средний Низкий 26По наличию (отсутствию) взаимосвязей(подключений) к сетям связи общегопользования:– подключенная; +– подключенная через выделеннуюинфраструктуру (gov.ru или иную);– неподключеннаяПо размещению технических средств:– расположенные в пределах однойконтролируемой зоны;+– расположенные в пределах несколькихконтролируемых зон;– расположенные вне контролируемойзоныПо режимам обработки информации в 23ИС|:– многопользовательский; +– однопользовательскийПо режимам разграничения прав доступа:– без разграничения;– с разграничением +По режимам разделения функций поуправлению информационной системой:– без разделения;– выделение рабочих мест дляадминистрирования в отдельный домен;+– использование различных сетевыхадресов;– использование выделенных каналовдля администрированияПо подходам к сегментированию ИС:– без сегментирования; +– с сегментированием 2622 26Окончание таблицы 1.3Структурно-функциональныехарактеристики 26 ИС, условия ее эксплуатацииУровень проектнойзащищенности 26 ИС (Y1П)Высокий Средний Низкий 26Общее количество решений 5 14 16Сумма положительных решений 1 4 4Величина в % одного положительногорешения20% 7,14% 6,25%% характеристик, соответствующихуровню «высокий»20%% характеристик, соответствующихуровню «средний»28,57%% характеристик, соответствующихуровню «низкий»25%По результатам анализа структурно – функциональных характеристик изтаблицы 1.3 в соответствии с Методикой определения угроз безопасностиинформации в информационных системах [10] 19 на основании того, что менее90% характеристик информационной системы соответствуют уровню не ниже«средний», а 23 также менее 80% характеристик информационной системысоответствуют уровню «высокий», 23 Учебной ИСОП был присвоен низкийуровень проектной защищенности.Перечень угроз, выбранных в соответствии с определенныминарушителями, уязвимостями и возможными способами реализацииизменялся с учетом информационных технологий и структурнофункциональных характеристик Учебной ИСОП.

Характеристики

Список файлов ВКР