Пояснительная записка (1209876), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Администратор безопасности информации имеет доступ к управлению контроллерами домена, к удаленному подключению к рабочим станциям и серверам и отвечает за хранение учебных средств защиты информации.

Обучаемые, допущенные к работе в информационной системе, для входа в информационную систему используют учетную запись «Студент», не защищенную паролем. Администраторы и преподаватели для входа в информационную систему используют учетные записи, защищенные паролем.

Информация, обрабатываемая в Учебной ИСОП, является общедоступной и хранится на серверах, доступ к которой пользователи (студенты, слушатели) осуществляют со своих АРМ с правами на чтение с возможностью копирования информации на свои АРМ и съемные машинные носители информации. Преподаватели и администраторы имеют расширенный набор прав доступа, включающий создание, уничтожение, изменение, чтение и копирование информации.

Для обработки информации используются следующие программы:

• пакет программ «Microsoft Office профессиональный плюс 2010»;

• Adobe Reader 9.1.

Информационный ресурс включает в себя:

1. учебно-методическую документацию:

1. учебно-методические комплексы;

2. учебные пособия;

3. методические рекомендации;

4. методические указания;

5. руководства пользователей и администраторов для используемых СЗИ,

1. нормативно-правовую базу в области безопасности информации.

В Учебной ИСОП используется лицензионное программное обеспечение, обновление системного и прикладного ПО происходит нерегулярно. На рабочих станциях и двух серверах используются лицензионные несертифицированные операционные системы.

Конфигурация Учебной ИСОП представлена на рисунке 1.1.

Топология ЛВС Учебной ИСОП представлена на рисунке 1.2.

Параметры Учебной ИСОП представлены в таблице А.1 приложения А.

Расположение элементов Учебной ИСОП относительно границ контролируемой зоны представлено на рисунке А.1 приложения А.

Рисунок 1.1 – Конфигурация Учебной ИСОП

Рисунок 1.2 – Топология ЛВС Учебной ИСОП

1. Существующие меры защиты информации

Контроль доступа в помещение, в котором расположены технические средства Учебной ИСОП, в учебное время осуществляется преподавательским составом Университета. Помещение имеет двери, закрывающиеся во внеучебное время на ключ, который хранится у дежурного работника отдела охраны Университета. В помещении отсутствуют камеры видеонаблюдения. Также отсутствуют и средства охранной сигнализации. На окнах установлены непрозрачные жалюзи. Для предотвращения сбоев и отказов технических средств от скачка электропитания используются сетевые фильтры электропитания. Кабели связи, используемые для передачи информации, защищены кабельными коробами. Помещение расположено на пятом этаже учебного корпуса №2 Университета.

Антивирусная защита реализована с помощью ПО «Антивирус Касперского 6.0 для Windows», которое имеет сертификат ФСТЭК России, но обновление антивирусных баз происходит нерегулярно.

Границами контролируемой зоны Учебной ИСОП являются ограждающие конструкции ауд. 3517.

Учебная ИСОП в учебных целях оборудована следующими СЗИ:

• СЗИ Secret Net 5;

• ПАК «Соболь» 2.0;

• СЗИ «Аккорд-АМДЗ»;

• СЗИ «Страж NТ 2.0»;

• МЭ «Security Studio Endpoint Protection»;

• АПКШ «Континент».

Средства защиты информации, использующиеся в учебных целях (кроме АПКШ «Континент» и СЗИ «Аккорд-АМДЗ»), имеют сертификаты ФСТЭК с истекшими сроками применения и не соответствуют новым требованиям по защите информации.

1. Классификация информационной системы

В соответствии с Требованиями [2] в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

В ходе обследования было определено:

• Учебная ИСОП не является информационной системой общего пользования Правительства Российской Федерации;

• Учебная ИСОП не является информационной системой общего пользования, в которой нарушение целостности и доступности информации, содержащейся в ней, может привести к возникновению угроз безопасности Российской Федерации.

Исходя из этого на основании подпункта 5.2 пункта 5 Требований [2] Учебная ИСОП относится ко второму классу.

1. Модель угроз безопасности информации, обрабатываемой в Учебной ИСОП

1. Модель нарушителя, характерного для Учебной ИСОП

В соответствии с Моделью угроз безопасности информации, обрабатываемой в учебной информационной системе общего пользования Федерального государственного бюджетного образовательного учреждения высшего образования «Дальневосточный государственный университет путей сообщения» (далее – Модель угроз) внешними нарушителями, характерными для Учебной ИСОП являются внешние субъекты (физические лица), внутренними нарушителями – пользователи (студенты, слушатели) Учебной ИСОП.

Для нарушителей, характерных для Учебной ИСОП, был определен потенциал нарушителей:

• внешние нарушители – низкий потенциал;

• внутренние нарушители – низкий потенциал.

Наиболее вероятными целями (мотивацией) пользователей (студентов, слушателей) Учебной ИСОП по реализации угроз являются:

• причинение имущественного ущерба путем мошенничества или иным преступным путем;

• любопытство или желание самореализации (подтверждение статуса);

• месть за ранее совершенные действия.

• непреднамеренные, неосторожные или неквалифицированные действия.

Наиболее вероятными целями (мотивацией) внешних субъектов (физических лиц) по реализации угроз являются:

• причинение имущественного ущерба путем мошенничества или иным преступным путем;

• любопытство или желание самореализации (подтверждение статуса);

• выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды.

1. Модель угроз

Определение актуальных угроз производилось в Модели угроз (приложение Б).

Определение актуальных угроз начиналось с определения актуальных угроз НСД к информации.

При определении актуальных угроз НСД к информации учитывались следующие показатели:

1. возможность реализации угроз безопасности информации:

1. потенциал нарушителя;

2. уровень проектной защищенности информационной системы,

1. степень возможного ущерба от реализации угроз безопасности информации.

Потенциал нарушителя был определен в пункте 1.4.1 раздела 1. Из Банка данных угроз безопасности информации ФСТЭК России [35] на основании потенциала нарушителя были отобраны угрозы безопасности информации, реализовать которые могут внешние и внутренние нарушители с низким потенциалом. Пример такого отбора представлен в таблице 1.1.

Таблица 1.1 – Пример отбора перечня угроз безопасности информации на основании потенциала нарушителя

При определении актуальных угроз учитывались уязвимости информационной системы и возможные способы реализации угроз безопасности информации.

В Учебной ИСОП был определен перечень классов уязвимостей:

• уязвимости, связанные с аутентификацией (в связи с использованием ОС Windows XP);

• уязвимости в общесистемном (общем) программном обеспечении (в связи с использованием ОС Windows XP);

• уязвимости в прикладном программном обеспечении (в связи с нерегулярным обновлением);

• уязвимости в средствах защиты информации (в связи с использованием ОС Windows XP и нерегулярным обновлением средств антивирусной защиты информации).

Из перечня угроз безопасности информации, составленного на основании потенциала нарушителя отбирались угрозы, при реализации которых могут быть использованы эти уязвимости. В таблице 1.2 представлен пример такого отбора.

Таблица 1.2 – Пример отбора угроз безопасности информации на основании классов уязвимостей информационной системы

Идентификатор УБИ	Название УБИ	Уязвимости Учебной ИСОП, используемые при реализации угрозы
УБИ.100	Угроза обхода некорректно настроенных механизмов аутентификации	уязвимости, связанные с аутентификацией; уязвимости в общесистемном (общем) программном обеспечении.
УБИ.121	Угроза повреждения системного реестра	уязвимости в общесистемном (общем) программном обеспечении

Далее определялись возможные способы реализации угроз безопасности информации нарушителем с целью формирования предположений о возможных сценариях реализации угроз безопасности информации, описывающих последовательность (алгоритмы) действий отдельных видов нарушителей или групп нарушителей и применяемые ими методы и средства для реализации угроз безопасности информации.

Для Учебной ИСОП были определены следующие возможные способы реализации угроз безопасности информации:

• путем НСД и (или) воздействия на объекты на общесистемном уровне (в связи с использованием ОС Windows XP);

• путем НСД и (или) воздействия на объекты на прикладном уровне;

• путем несанкционированного физического доступа и (или) воздействия на технические средства, машинные носители информации.

Из перечня угроз, при реализации которых могут быть использованы уязвимости информационной системы, отбирались угрозы, соответствующие определенным возможным способам реализации УБИ. Пример данного отбора представлен в таблице 1.3.

Таблица 1.3 – Пример угроз безопасности информации, выбранных в соответствии с возможными способами их реализации

Идентификатор УБИ	Название УБИ	Возможные способы реализации угрозы
УБИ.030	Угроза использования информации идентификации/ аутентификации, заданной по умолчанию	путем НСД и (или) воздействия на объекты на общесистемном уровне; путем несанкционированного доступа и (или) воздействия на объекты на прикладном уровне; путем несанкционированного физического доступа и (или) воздействия на технические средства, машинные носители информации.
УБИ.074	Угроза несанкционированного доступа к аутентификационной информации	путем НСД и (или) воздействия на объекты на общесистемном уровне; путем несанкционированного физического доступа и (или) воздействия на технические средства, машинные носители информации.

Следующим шагом осуществлялось определение уровня проектной защищенности информационной системы.

Под уровнем проектной защищенности (Y_1П) понимается исходная защищенность информационной системы, обусловленная ее структурно-функциональными характеристиками, применяемыми информационными технологиями и условиями функционирования. Определение уровня проектной защищенности Учебной ИСОП представлено в таблице 1.4.

Таблица 1.4 – Показатели проектной защищенности Учебной ИСОП

Структурно-функциональные характеристики ИС, условия ее эксплуатации	Уровень проектной защищенности ИС (Y1П)
	Высокий	Средний	Низкий
По структуре ИС:
автономное автоматизированное рабочее место;
локальная ИС;		+
распределенная ИС.
По используемым ИТ:
системы на основе виртуализации;
системы, реализующие «облачные вычисления»;
системы с мобильными устройствами;
системы с технологиями беспроводного доступа;
грид-системы;
суперкомпьютерные системы.
По архитектуре информационной системы:
системы на основе «тонкого клиента»;
системы на основе одноранговой сети;
файл-серверные системы;			+
центры обработки данных;
системы с удаленным доступом пользователей;
использование разных типов операционных систем (гетерогенность среды);
использование прикладных программ, независимых от операционных систем;
использование выделенных каналов связи.
По наличию (отсутствию) взаимосвязей с иными информационными системами:
взаимодействующая с системами;
невзаимодействующая с системами.		+
Продолжение таблицы 1.4
Структурно-функциональные характеристики ИС, условия ее эксплуатации	Уровень проектной защищенности ИС (Y1П)
	Высокий	Средний	Низкий
По наличию (отсутствию) взаимосвязей (подключений) к сетям связи общего пользования:
подключенная;			+
подключенная через выделенную инфраструктуру (gov.ru или иную);
неподключенная.
По размещению технических средств:
расположенные в пределах одной контролируемой зоны;	+
расположенные в пределах нескольких контролируемых зон;
расположенные вне контролируемой зоны.
По режимам обработки информации в ИС:
многопользовательский;			+
однопользовательский.
По режимам разграничения прав доступа:
без разграничения;
с разграничением.		+
По режимам разделения функций по управлению информационной системой:
без разделения;
выделение рабочих мест для администрирования в отдельный домен;		+
использование различных сетевых адресов;
использование выделенных каналов для администрирования.
По подходам к сегментированию ИС:
без сегментирования;			+
с сегментированием.
Окончание таблицы 1.4
Структурно-функциональные характеристики ИС, условия ее эксплуатации	Уровень проектной защищенности ИС (Y1П)
	Высокий	Средний	Низкий
Общее количество решений	5	14	16
Сумма положительных решений	1	4	4
Величина в % одного положительного решения	20%	7,14%	6,25%
% характеристик, соответствующих уровню «высокий»	20%
% характеристик, соответствующих уровню «средний»		28,57%
% характеристик, соответствующих уровню «низкий»			25%

Характеристики

Список файлов ВКР