Пояснительная записка (1209876), страница 11
Текст из файла (страница 11)
Заключение по результатам аудита учебной информационной системы общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения»
(выписка)
Информация, обрабатываемая в Учебной ИСОП, является общедоступной и хранится на серверах. Доступ к информации пользователи осуществляют со своих АРМ с правами на чтение с возможностью копирования информации на жесткие диски своих АРМ и съемные машинные носители информации. Также пользователи имеют право на создание, изменение, уничтожение и копирование на своих АРМ личных информационных ресурсов. Преподаватели и администраторы имеют расширенный набор прав доступа к информации, включающий набор прав пользователя, а также создание, изменение, копирование и удаление информации на серверах Учебной ИСОП.
Параметры Учебной ИСОП представлены в таблице А.1.
Таблица А.1 – Параметры информационной системы
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Отсутствует |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах одной контролируемой зоны |
| Режим обработки информации | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системой | Выделение рабочих мест для администрирования в отдельный домен |
| Сегментирование информационной системы | Система без сегментирования |
Рисунок А.1 – Размещение элементов Учебной ИСОП относительно границ контролируемой зоны
Приложение Б
Модель угроз безопасности информации, обрабатываемой в учебной информационной системе общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения»
(выписка)
Для Учебной ИСОП в качестве внешнего нарушителя были определены внешние субъекты (физические лица). Наиболее вероятными целями (мотивацией) внешних субъектов (физических лиц) по реализации угроз являются:
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
любопытство или желание самореализации (подтверждение статуса);
-
выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды.
В качестве внутреннего нарушителя были определены пользователи Учебной ИСОП. Наиболее вероятными целями (мотивацией) пользователей Учебной ИСОП по реализации угроз являются:
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
любопытство или желание самореализации (подтверждение статуса);
-
месть за ранее совершенные действия.
-
непреднамеренные, неосторожные или неквалифицированные действия.
В таблице Б.1 представлен потенциал нарушителей, характерных для Учебной ИСОП.
Таблица Б.1 – Потенциал нарушителей, характерных для Учебной ИСОП
| Вид нарушителя | Тип нарушителя | Потенциал нарушителя |
| Внешние субъекты (физические лица) | Внешний | Базовый (низкий) |
| Пользователи Учебной ИСОП | Внутренний | Базовый (низкий) |
Для создания устойчивой системы защиты информации предполагается, что вероятный нарушитель владеет всей необходимой информацией, навыками, и знаниями для реализации угроз, а также обладает средствами реализации угроз, возможности которых не превосходят возможности средств реализации угроз, соответствующих потенциалу нарушителя.
В таблице Б.2 представлен перечень угроз безопасности информации, актуальных для Учебной ИСОП.
Таблица Б.2 – Актуальные угрозы безопасности Учебной ИСОП
| Идентификатор угрозы | Описание угрозы |
| Угрозы безопасности информации, реализуемые за счет НСД к информационной системе | |
| УБИ.014 | Угроза длительного удержания вычислительных ресурсов пользователями |
| УБИ.015 | Угроза доступа к защищаемым файлам с использованием обходного пути |
| УБИ.022 | Угроза избыточного выделения оперативной памяти |
| УБИ.023 | Угроза изменения компонентов системы |
| УБИ.049 | Угроза нарушения целостности данных кеша |
| УБИ.074 | Угроза несанкционированного доступа к аутентификационной информации |
| УБИ.086 | Угроза несанкционированного изменения аутентификационной информации |
| УБИ.089 | Угроза несанкционированного редактирования реестра |
| Продолжение таблицы Б.2 | |
| Идентификатор угрозы | Описание угрозы |
| УБИ.090 | Угроза несанкционированного создания учётной записи пользователя |
| УБИ.091 | Угроза несанкционированного удаления защищаемой информации |
| УБИ.093 | Угроза несанкционированного управления буфером |
| УБИ.100 | Угроза обхода некорректно настроенных механизмов аутентификации |
| УБИ.113 | Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники |
| УБИ.121 | Угроза повреждения системного реестра |
| УБИ.124 | Угроза подделки записей журнала регистрации событий |
| УБИ.152 | Угроза удаления аутентификационной информации |
| УБИ.155 | Угроза утраты вычислительных ресурсов |
| УБИ.158 | Угроза форматирования носителей информации |
| УБИ.170 | Угроза неправомерного шифрования информации |
| УБИ.178 | Угроза несанкционированного использования системных и сетевых утилит |
| УБИ.185 | Угроза несанкционированного изменения параметров настройки средств защиты информации |
| УБИ.191 | Угроза внедрения вредоносного кода в дистрибутив программного обеспечения |
| УБИ.192 | Угроза использования уязвимых версий программного обеспечения |
| УБИ.027 | Угроза искажения вводимой и выводимой на периферийные устройства информации |
| УБИ.017 | Угроза доступа/перехвата/изменения HTTP cookies |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ |
| УБИ.030 | Угроза использования информации идентификации/аутентификации, заданной по умолчанию |
| УБИ.031 | Угроза использования механизмов авторизации для повышения привилегий |
| УБИ.167 | Угроза заражения компьютера при посещении неблагонадёжных сайтов |
| УБИ.171 | Угроза скрытного включения вычислительного устройства в состав бот-сети |
| УБИ.028 | Угроза использования альтернативных путей доступа к ресурсам |
| Техногенные угрозы безопасности информации | |
| ТУ.001 | Угроза отказа и неисправности технических средств, обрабатывающих информацию |
| Окончание таблицы Б.2 | |
| Идентификатор угрозы | Описание угрозы |
| ТУ.002 | Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) |
| ТУ.003 | Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа |
Приложение В
Аналитическое обоснование необходимости модернизации учебной информационной системы общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения»
(выписка)
Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице В.1
Таблица В.1 – Ориентировочная стоимость предлагаемых технических средств
| Продукт | Примерная стоимость, руб. |
| Средства защиты от несанкционированного доступа на 10 рабочих мест и 4 сервера | 545500,00 |
| Средства анализа защищенности | 63000,00 |
| Средства межсетевого экранирования | 34100,00 |
| Средства резервного копирования и восстановления | 188760,00 |
| ИТОГО, руб. | 831360,00 |
Университет является лицензиатом ФСТЭК России и органом по аттестации объектов информатизации, имеет лицензию на деятельность по технической защите конфиденциальной информации, поэтому мероприятия по модернизации выполняются силами и средствами ДВУНЦ.
Дополнительных затрат на установку и настройку средств защиты информации не требуется.
Испытания Учебной ИСОП проводятся самостоятельно.
Приложение Г
| УТВЕРЖДАЮ Ректор, профессор __________________ Ю.А. Давыдов м.п. «___»_____________ 2017 г. |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
