Антиплагиат (1209870), страница 6
Текст из файла (страница 6)
Таким образом, дляУчебной ИСОП не рассматриваются угрозы утечки информации потехническим каналам, так как реализация данных угроз направлена нанарушение конфиденциальности защищаемой информации.31В таблице 1.12 приведен перечень угроз безопасности информации,актуальных для Учебной ИСОП.Таблица 1.12 – Актуальные угрозы безопасности информации УчебнойИСОПИдентификатор угрозыОписание угрозыАктуальностьугрозыУгрозы безопасности информации, реализуемые за счет НСД кинформационной системеУБИ.014Угроза длительного удержаниявычислительных ресурсов пользователямиАктуальнаяУБИ.015Угроза доступа к защищаемым файлам сиспользованием обходного путиАктуальнаяУБИ.022Угроза избыточного выделенияоперативной памятиАктуальнаяУБИ.023 Угроза изменения компонентов системы АктуальнаяУБИ.049Угроза нарушения целостности данныхкешаАктуальнаяУБИ.074Угроза несанкционированного доступа каутентификационной информацииАктуальнаяУБИ.086Угроза несанкционированногоизменения аутентификационнойинформацииАктуальнаяУБИ.089Угроза несанкционированногоредактирования реестраАктуальнаяУБИ.090Угроза несанкционированного созданияучётной записи пользователяАктуальнаяУБИ.091Угроза несанкционированного удалениязащищаемой информацииАктуальнаяУБИ.093Угроза несанкционированногоуправления буферомАктуальнаяУБИ.100Угроза обхода некорректно настроенныхмеханизмов аутентификацииАктуальнаяУБ И.113Угроза перезагрузки аппаратных ипрограммно-аппаратных средстввычислительной те 26 хникиАктуальнаяПродолжение таблицы 1.12Идентификатор угрозыОписание угрозыАктуальностьугрозы32УБИ.121 Угроза повреждения системного реестра АктуальнаяУБИ.124Угроза подделки записей журналарегистрации событийАктуальнаяУБИ.152Угроза удаления аутентификационнойинформацииАктуальнаяУБИ.155Угроза утраты вычислительныхресурсовАктуальнаяУБИ.158Угроза форматирования носителейинформацииАктуальнаяУБИ.170Угроза неправомерного шифрованияинформацииАктуальнаяУБИ.178Угроза несанкционированногоиспользования системных и сетевых утилитАктуальнаяУБИ.185Угроза несанкционированногоизменения параметров настройки средствзащиты информацииАктуальнаяУБИ.191Угроза внедрения вредоносного кода вдистрибутив программного обеспеченияАктуальнаяУБИ.192Угроза использования уязвимых версийпрограммного обеспеченияАктуальнаяУБ И.027Угроза искажения вводимой ивыводимой на периферийные устройстваинфор 6 мацииАктуальнаяУБИ.017Угроза доступа/перехвата/измененияHTTP cookiesАктуальнаяУБИ.012Угроза деструктивного измененияконфигурации/среды окружения программАктуальнаяУБИ.030Угроза использования информацииидентификации/аутентификации, заданнойпо умолчаниюАктуальнаяУБИ.031Угроза использования механизмовавторизации для повышения привилегийАктуальнаяУБ И.167Угроза заражения компьютера припосещении неблагонадёжных с 18 айтовАктуальнаяУБ И.171Угроза скрытного включениявычислительного устройства в состав бот- 18сетиАктуальнаяОкончание таблицы 1.12Идентификатор угрозыОписание угрозыАктуальностьугрозыУБИ.028Угроза использования альтернативныхпутей доступа к ресурсамАктуальнаяТехногенные угрозы безопасности информации33ТУ.001 Угроза отказа и неисправности техническихсредств, обрабатывающих информациюАктуальнаяТУ.002 Угроза отказа и неисправности техническихсредств, обеспечивающихработоспособность средств обработкиинформации (вспомогательных техническихсредств)АктуальнаяТУ.003 Угроза отказа и неис-правности техническихсредств, обеспечивающих охрану и контрольдоступаАктуальная342.
Разработка методов и способов защиты информации2.1. Требования по защите информации, обрабатываемой в УчебнойИСОПВ соответствии с Требованиями [2] при создании и эксплуатации ИСОП IIкласса необходимо:использовать средства защиты информации от неправомерныхдействий, сертифицированные ФСБ России и (или) ФСТЭК России сучетом их компетенции; 34использовать средства обнаружения вредоносного программногообеспечения, в том числе антивирусные средства, сертифицированныеФСБ России и (или) ФСТЭК России с учетом их компетенции; 34использовать средства контроля доступа к информации, в том числе 34средства обнаружения компьютерных атак, 34 сертифицированные ФСБРоссии и (или) ФСТЭК России с учетом их компетенции; 34использовать средства фильтрации и блокирования сетевого трафика, втом числе средства межсетевого экранирования, сертифицированныеФСБ России и (или) ФСТЭК России с учетом их компетенции; 34осуществлять локализацию и ликвидацию неблагоприятныхпоследствий нарушения порядка доступа к информации;осуществлять запись и хранение сетевого трафика при обращении кгосударственным информационным ресурсам за последние сутки иболее и 34 предоставлять доступ к записям по запросам уполномоченныхгосударственных органов, осуществляющих оперативно-розыскнуюдеятельность; 34обеспечивать защиту от воздействий на технические и программныесредства 34 ИСОП, в результате которых нарушается ихфункционирование, и несанкционированного доступа к помещениям, в 3435которых находятся данные средства; 34осуществлять регистрацию действий обслуживающего персонала;обеспечивать частичное резервирование технических средств идублирование массивов информации;использовать системы обеспечения гарантированного электропитания(источники бесперебойного питания);В Учебной ИСОП необходимо применять средства защиты информации,которые имеют в соответствии с документами ФСТЭК России определенныйкласс защиты.Оператором учебной ИСОП было принято решение о применении средстввычислительной техники класса не ниже, че м для информационных систем 3класса защищеннос 25 ти.
В 22 соответствии с Требованиями о защите информации,не составляющей государственную тайну, содержащейся в государственныхинформационных системах, утвержденными приказом ФСТЭК России от11.02.2013 г. 16 No 17 [ 4], в 6 информационных системах 3 класса защищенностиприменяются средства вычислительной техники не ниже 5 класса.В 2 соответствии с Требованиями безопасности информации коперационным системам, утвержденным приказом ФСТЭК России от 19августа 2016 г. No 119 [14] в ИСОП II класса применяются операционныесистемы, соответствующие 4 классу защиты.В соответствии с Требованиями к средствам доверенной загрузки,утвержденными приказом ФСТЭК России от 27.09.2013 No119 [6], в ИСОП IIкласса применяются средства доверенной загрузки, соответствующие 4классу защиты.В соответствии с Требованиями к средствам контроля съемных машинныхносителей информации, 27 утвержденными приказом ФСТЭК России от28.07.2014 27 No87 [5], в информационных системах общего пользования IIкласса применяются средства контроля съемных машинных носителейинформации, соответствующие 4 классу защиты.В соответствии с Требованиями к системам обнаружения вторжений, 2736 27утвержденными приказом ФСТЭК России от 06.12.2011 27 No638 [7], в ИСОП IIкласса применяются системы обнаружения вторжений, соответствующие 4классу защиты.В соответствии с Требованиями к межсетевым экранам, утвержденнымиприказом ФСТЭК России от 09.01.2016 No9 [8], в ИСОП II классаприменяются межсетевые экраны, соответствующие 4 классу защиты.2.2.
Соответствие Учебной ИСОП предъявляемым требованиямНа основании требований, определенных в пункте 2.1 и существующихмер защиты информации, определенных в пункте 1.2, было определено, чтоУчебная ИСОП не соответствует требованиям безопасности информации,что, в свою очередь, не позволяет создать лабораторию в областизащищенных автоматизированных систем на основании требований пункта7.3.1 ФГОС ВО [3], а также не позволяет провести аттестациюавтоматизированных рабочих мест Учебной ИСОП по требованиямбезопасности информации на основании требований примерных программпрофессиональной переподготовки и повышения квалификации специалистовв области информационной безопасности, разработанными ФСТЭК России.Также было определено, что учебные СЗИ не соответствуют требованиямпункта 7.3.2 ФГОС ВО [3].2.3. Определение набора мер защиты информацииВ соответствии с пунктом 7 Требований [2] 16 методы и способы защитыинформации в информационных системах общего пользования определяютсяоператором 34 ИСОП и должны соответствовать этим Требованиям [2].Достаточность принятых мер защиты информации в ИСОП оценивается присоздании этих систем и ходе контроля за их функционированием.Для обеспечения целей модернизации Учебной ИСОП определение мер37по обеспечению безопасности информации осуществляется в соответствииТребованиями [2] для ИСОП II кла сса и методическим документом Мерызащиты информации в государственных информационных системах,утвержд 24 енным 10 ФСТЭК России 11 февраля 2014 г.
[1] с 16 у четом Требований озащите информации, не составляющей государственную тайну, содержащейсяв государственных информационных системах, утвержденных приказомФСТЭК России от 11 февраля 20 22 13 г. 16 No 17 [4].Базовый набор 5 мер, основанный на требованиях по защите информации,предъявляемых к ИСОП II класса представлен в таблице 2.1.Таблица 2.1 – Базовый набор мер защиты информацииУсловноеобозна чениемерыМера защиты информации в информационных системахИдентификация и аутентификация субъектов доступа и объектов доступа(ИАФ)ИАФ.1 Идентификация и аутентифи 12 кация 2 администраторовинформационной системы и преподава телей 14ИАФ.3 Управление идентификаторами, в том числе создание,присвоение, уничтожение идентификаторовИАФ.4 Управление средствами аутентификации, в том числе хранениевыдача, инициализация, блокирование средстваутентификации и принятие мер в случае утраты и (или)компрометации средств аутентификацииИАФ.5 Защита обратной связи при вводе аутентификационнойинформацииИАФ.6 Идентификация и аутентификация пользователей, неявляющихся работниками оператора (внешних пользователей)Управление доступом субъектов доступа к объектам доступа (УПД)УПД.1 Управление (заведение, активация, блокирование иуничтожение) учетными записями пользователей, в том числевнешних пользователейУПД.2 Реализация необходимых методов (дискреционный,мандатный, ролевой или иной метод), типов (чтение, запись,выполнение или иной тип) и правил разграничения доступа 8Продолжение таблицы 2.1Усл 12 овноеобозна чениемерыМера защиты информации в информационных системах 12УПД.3 Управление (фильтрация, маршрутизация, контроль 338соединений, однонаправленная передача и иные способыуправления) информационными потоками междуустройствами, сегментами информационной системы, а такжемежду информационными системамиУПД.4 Разделение обязанностей полномочий (ролей) 3 пользователей( 1 студентов, слушате лей), 10 администраторов и лиц,обеспечивающих функционирование информационнойсистемыУПД.5 Назначение минимально необходимых прав и привилегийпользователям ( 2 студентам, слушателям), преподават елям,администраторам и лицам, обеспечивающимфункционирование информационной системыУПД.6 Ограничение неуспешных по 10 пыток входа в информационнуюсистемуУПД.9 Ограничение числа параллельных сеансов доступа для каждойучетной записи пользователя информационной системыУПД.10 Блокирование сеанса доступа в информационную системупосле установленного времени бездействия (неактивности)пользователя или по его запросуУПД.11 Разре 7 шение действий пользователей, разрешенных доидентификации и аутентификации 9УПД.13 Реализация защищенного удаленного доступа субъектовдоступа к объектам доступа через внешние информационнотелекоммуникационные сетиУПД.14 Регламентация и контроль использования в информационнойсистеме технологий беспроводного доступаУПД.15 Регламентация и контроль использования в информационнойсистеме мобильных технических средствУПД.16 Управление взаимодействием с информационными системамисторонних организаций (внешние информационные системы)УПД.17 Обеспечение доверенной загрузки средств вычислительнойтехникиОграничение программной среды (ОПС)ОПС.1 Управление запуском (обращениями) компонентовпрограммного обеспечения, в том числе определениезапускаемых компонентов, настройка параметров запускакомпонентов, контроль за запуском компонентовпрограммного обеспечения 2Продолжение таблицы 2.1Усл 12 овноеобозна чениемерыМера защиты информации в информационных систем 12 ах 1039ОПС.2 Управление устан 10 овкой компонентов программногообеспечения, в том числе определение компонентов,подлежащих установке, настройка параметров установкикомпонентов, контроль за установкой компонентовпрограммного обеспеченияОПС.3 Уста 10 новка 13 только разрешенного к использованиюпрограммного обеспечения и (или) его компонентовОПС.4 Управление временными файлами, в том числе запрет,разрешение, перенаправление записи, удаление временныхфайловЗащита машинных носителей информации (ЗНИ)ЗНИ.1 Учет машинных носителей информации, 2 встроенных в к орпус 25средств вычислительной техники ( 2 накопителей на жесткихди сках) 6ЗНИ.2 Управление доступом к машинным носителям информации, 2встроенным в к орпус 25 средств вычислительной техники( 2 накопителям на жестких дисках)ЗНИ.3 Контроль перемещения машинных носителей информации, 2встроенных в к орпус средств вычислительной тех 25 ники( 2 накопителей на жестких дисках) за преде лы КЗ 5Регистрация событий безопасности (РСБ)РСБ.1 Определение событий безопасности, подлежащихрегистрации, и сроков их храненияРСБ.2 Определение состава и содержания информации о событияхбезопасности, подлежащих регистрацииРСБ.3 Сбор, запись и хранение информации о событияхбезопасности в течение установленного времени храненияРСБ.4 Реагирование на сбои при регистрации событий безопасности,в том числе аппаратные и программные ошибки, сбои вмеханизмах сбора информации и достижение предела илипереполнения объема (емкости) памятиРСБ.5 Мониторинг (просмотр, анализ) результатов регистрациисобытий безопасности и реагирование на нихРСБ.6 Генерирование временных меток и (или) синхронизациясистемного времени в информационной системеРСБ.7 Защита информации о событиях безопасностиРСБ.8 Обеспечение возможности просмотра и анализа информации одействиях отдельных пользователей в информационнойсистеме 1Продолжение таблицы 2.1Усл 12 овноеобозна чениемерыМера защиты информации в информационных систем 12 ах 740 7Антивирусная защита (АВЗ)АВЗ.1 Реализация антивирусной защитыАВЗ.2 Обновление базы данных признаков вредоносныхкомпьютерных программ (вирусов)Обнаружение вторжений (СОВ)СОВ.1 Обнаружение вторженийСОВ.2 Обновление базы решающих правил 8Контроль (анализ) защищенности информации (АНЗ)АНЗ.1 Выявление, анализ уязвимостей информационной системы иоперативное устранение вновь выявленных уязвимостейАНЗ.2 Контроль установки обновлений программного обеспечения,включая обновление программного обеспечения средствзащиты информацииАНЗ.3 Контроль работоспособности, параметров настройки иправильности функционирования программного обеспеченияи средств защиты информацииАНЗ.4 Контроль состава технических средств, программногообеспечения и средств защиты информацииАНЗ.5 Контроль правил генерации и смены паролей 2администраторов и преподават елей, 4 заведения и удаленияучетных записей пользователей, реализации правилразграничения доступом, полномочий пользователей винформационной системеОбеспечение целостности информационной системы и информации (ОЦЛ)ОЦЛ.1 Контроль целостности программного обеспечения, включаяпрограммное обеспечение средств защиты информацииОЦЛ.2 Контроль целостности информации, содержащейся в базахданных информационной системыОЦЛ.3 Обеспечение возможности восстановления программногообеспечения, включая программное обеспечение средствзащиты информации, при возникновении нештатных ситуацийОЦЛ.5 2 Контроль содержания информации, передаваемой изинформационной системы (контейнерный, основанный насвойствах объекта доступа, и контентный, основанный напоиске запрещенной к передаче информации сиспользованием сигнатур, масок и иных методов) 2Продолжение таблицы 2.1Усл 12 овноеобозна чениемерыМера защиты информации в информационных сис 12 темах 5ОЦЛ.6 Ограничение прав пользователей по вводу информации в 441информационную системуОбеспечение доступности информации 4 (ОДТ) 7ОДТ.2 Резервирование технических средств, программногообеспечения, каналов передачи информации, средствобеспечения функционирования информационной системыОДТ.3 Контроль безотказного функционирования техническихсредств, обнаружение и локализация отказовфункционирования, принятие мер по восстановлениюотказавших средств и их тестированиеОДТ.4 Периодическое резервное копирование информации нарезервные машинные носители информацииОДТ.5 Обеспечение возможности восстановления информации срезервных машинных носителей информ 2 ации (резервныхкопий) в течении установленного временного интервалаЗащита среды виртуализации (ЗСВ)ЗСВ.1 Идентификация и аутентификация субъектов доступа иобъектов доступа в виртуальной инфраструктуре, в том числеадминистраторов управления средствами виртуализацииЗСВ.2 Управление доступом субъектов доступа к объектам доступа ввиртуальной инфраструктуре, в том числе внутри виртуальныхмашинЗСВ.3 Регистрация событий безопасности в виртуальнойинфраструктуреЗСВ.4 Управление (фильтрация, маршрутизация, контрольсоединения, однонаправленная передача) потокамиинформации между компонентами виртуальнойинфраструктуры, а также по периметру виртуальнойинфраструктурыЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальноймашины (контейнера), серверов управления виртуализациейЗСВ.6 Управление перемещением виртуальных машин (контейнеров)и обрабатываемых на них данныхЗСВ.7 Контроль целостности виртуальной инфраструктуры и ееконфигурацийЗСВ.8 Резервное копирование данных, резервирование техническихсредств, программного обеспечения виртуальнойинфраструктуры, а также каналов связи внутри виртуальнойинфрастру 5 ктурыПродолжение таблицы 2.1Усл 12 овноеобозна чениемерыМера защиты информации в информационных сис 12 темах 14ЗСВ.9 Реализация и управление антивирусной защитой в 242виртуальной инфраструктуре 2Защита технических средств (ЗТС) 8ЗТС.2 Организация контролируемой зоны, в пределах которойпостоянно размещаются стационарные технические средства,обрабатывающие информацию, и средства защитыинформации, а также средства обеспеченияфункционированияЗТС.3 Контроль и управление физическим доступом к техническимсредствам, средствам защиты информации, средствамобеспечения функционирования, а также в помещения исооружения, в которых они установлены, исключающиенесанкционированный физический доступ к средствамобработки информации, средствам защиты информации исредствам обеспечения функционирования информационнойсистемы и помещения и сооружения, в которых ониустановленыЗТС.5 2 Защита от внешних воздействий (воздействий окружающейсреды, нестабильности электроснабжения,кондиционирования и иных внешних факторов)Защита 8 информационной системы, ее средств, систем связи и передачиданных (ЗИС)ЗИС.3 Обеспечение защиты информац 6 ии от модификации инавязывания (ввода ложной информации) при ее передаче(подготовке к передаче) по каналам связи, имеющим выход запределы контролируемой зоны, в том числе беспроводнымканалам связи 10ЗИС.5 Запрет несанкционированной удаленной активациивидеокамер, микрофонов и иных периферийных устройств,которые могут активироваться удаленно, и оповещениепользователей об активации таких устройствЗИС.6 Передача и контроль целостности атрибутов безопасности(меток безопасности), связанных с информацией, при обменеинформацией с иными информационными системамиЗИС.7 Контроль санкционированного и исключениенесанкционированного использования технологий мобильногокода, в том числе регистрация событий, связанных сиспользованием технологий мобильного кода, их анализ иреагирование на нарушения, связанные с использованиемтехнологий мобильного кода 2Окончание таблицы 2.1УсловноеобозначениемерыМера з 2 ащиты информации в информационных сис 19 темах 5ЗИС.8 Контроль санкционированного и исключение 243несанкционированного использования технологий передачиречи, в том числе регистрация событий, связанных сиспользованием технологий передачи речи, их анализ иреагирование на нарушения, связанные с использованиемтехнологий передачи речиЗИС.9 Контроль санкционированной и исключениенесанкционированной передачи видеоинформации, в томчисле регистрация событий, связанных с передачейвидеоинформации, их анализ и реагирование на нарушения,связанные с передачей видеоинформацииЗИС.15 2 Защита архивных файлов, параметров настройки средствзащиты информации и программного обеспечения и иныхданных, не подлежащих изменению в процессе обработкиинформацииЗИС20 З 10 ащита беспроводных соединений, применяемых винформационной системе 19ЗИС.22 Защита информационной системы от угроз безопасностиинформации, направленных на отказ в обслуживанииинформационной системыЗИС.23 Защита периметра (физических и (или) логических границ)информационной системы при ее взаимодействии с инымиинформационными системами и информационнотелекоммуникационными сетямиЗИС.30 2 Защита мобильных технических средств, применяемых винформационной системе 2Базовый набо 5 р мер подвергался адаптации в соответствии со структурнофункциональными характеристиками Учебной ИСОП.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
