Пояснительная записка (ПЗ) (1209928), страница 5

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Ставится внутри защищаемой сети на рабочее местоадминистратора.Абонентский пункт (Континент АП) осуществляет установление VPNтуннеля между удаленным рабочим местом пользователя и внутреннейзащищаемой сетью организации. При подключении по сетям общего доступаи Интернет выполняет аутентификацию пользователя/ поддержкудинамического распределения адресов/ удаленный доступ к ресурсамзащищаемой сети по шифрованному каналу/ доступ по выделенным икоммутируемым каналам связи/ возможность доступа к ресурсам сетейобщего пользования.Сервер доступа осуществляет обеспечение связи между удаленным АП изащищаемой сетью, а также определение уровня доступа пользователя и егоаутентификацию.Топология ЛВС медицинского учреждения после установки средствзащиты информации представлена на рисунке 3.1.48Рисунок 3.1 – Топология ЛВС медицинского учреждения после установки средств защиты информации49ЗаключениеРазработанныйпрофильзащитыперсональныхданныхдляинформационной системы персональных данных медицинского учрежденияв соответствии с требованиями нормативно-правовых актов, национальныхстандартов и других методических документов обеспечивает безопасностьперсональных данных при их обработке.Предложенные к применению технические средства и системы являютсясертифицированными и соответствуют требованиям ФСТЭК и ФСБ поклассу защищенности средства и уровню контроля не декларированныхвозможностей.Таким образом, разработанные организационные и технические решенияпозволяютперсональныхподдерживатьданныхвустановленныйсоответствиисуровеньзащищенноститребованиямикзащитеперсональных данных при их обработке в информационных системахперсональных данных, утвержденными постановлением ПравительстваРоссийской Федерации от 01.11.2012 г.

№ 1119 [7].50Список использованных источников1. Меры защиты информации в государственных информационныхсистемах // Методический документ ФСТЭК от 11.02.2014 г. // [сайт] URL:http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnyenormativnye-dokumenty/805-metodicheskij-dokument.2. Требования к средствам контроля съемных машинных носителейинформации // Приказ ФСТЭК от 28.07.2014 № 87.3. Состав и содержание организационных и технических мер пообеспечению безопасности персональных данных при их обработке винформационных системах персональных данных с использованием средствкриптографической защиты информации, необходимых для выполнениеустановленных Правительством Российской Федерации требований к защитеперсональных данных для каждого из уровней защищенности // Приказ ФСБот 10.07.2014 г.

№ 378.4. Об утверждении состава и содержания организационных и техническихмер по обеспечению безопасности персональных данных при их обработке винформационных системах персональных данных // Приказ ФСТЭК №21 от18.02.2013г.//[сайт]URL:http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21.5.

Требования к средствам доверенной загрузки // Приказ ФСТЭК от27.09.2013 № 119.6. Требования о защите информации, не составляющей государственнуютайну, содержащейся в государственных информационных системах //Приказ ФСТЭК от 11.02.2013 г. № 17. // [сайт] URL:7. http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossiiot-11-fevralya-2013-g-n-178. Требования к защите персональных данных при их обработке винформационных системах персональных данных от 01.11.2012 г. № 1119 //51СправочнаяправоваясистемаКонсультантПлюс:[сайт].URL:http://www.consultant.ru/document/cons_doc_LAW_137356/.9.

О противопожарном режиме // Правила противопожарного режима вРФ от 25.04.2012 №390 // Справочная правовая система Гарант: [сайт]. URL:http://www.garant.ru/products/ipo/prime/doc/70070244/.10.Базовая модель угроз безопасности персональных данных при ихобработке в информационных системах персональных данных : 15.02.2008 г// URL: http://fstec.ru/component/attachments/download/289.11.Типовыефункционированиятребованияпошифровальныхорганизациииобеспечению(криптографических)средств,предназначенных для защиты информации, не содержащей сведений,составляющих государственную тайну в случае их использования дляобеспечения безопасности персональных данных при их обработке винформационных системах персональных данных // Приказ ФСБ России от21.02.2008 г.

№ 149/6/6-622.12.Методические рекомендации по обеспечению с помощьюкриптосредств безопасности персональных данных при их обработке винформационных системах персональных данных с использованием средствавтоматизации // Приказ ФСБ от 21.02.2008 г. № 149/5-144.13.Методикаопределенияактуальныхугрозбезопасностиперсональных данных при их обработке в информационных системах //Методика ФСТЭК 14.02.

2008 г.14.Об информации, информационных технологиях и о защитеинформации : ФЗ от 27.07.2006 г. № 149-ФЗ // Справочная правовая системаКонсультантПлюс:[сайт].URL:http://www.consultant.ru/document/cons_doc_LAW_61798/.15.О персональных данных : ФЗ от 27.07.2006 г. № 152-ФЗ //СправочнаяправоваясистемаКонсультантПлюс:[сайт].URL:http://www.consultant.ru/document/cons_doc_LAW_61801/.5216.Нормативно-методический документ «Специальные требования ирекомендации по технической защите конфиденциальной информации (СТРК)» // Приказ Гостехкомиссии от 30.08.2002 г. №282.17.Доктрина информационной безопасности РФ от 09.09.2000 г.

№Пр-1895 // Справочная правовая система КонсультантПлюс: [сайт]. URL:http://www.consultant.ru/document/cons_doc_LAW_28679/.18.Методические указания. Информационная технология. Комплексстандартов и руководящих документов на автоматизированные системы.Автоматизированные системы. Требования к содержанию документов : РД50-34.698-90. Введ. 27.12.1990 г.19.Информационнаятехнология.Комплексстандартовнаавтоматизированные системы. Автоматизированные системы.

Термины иопределения : ГОСТ 34.003-90. Введ. 27.12.1990 г. № 3399.20.Информационнаяавтоматизированныетехнология.системы.КомплексТехническоестандартовзаданиенанасозданиеавтоматизированной системы : ГОСТ 34.602-89. Введ. 24.03.1989 г. № 661.21.Информационнаяавтоматизированныесистемы.технология.Виды,Комплекскомплектностьстандартовинаобозначениедокументов при создании автоматизированных систем : ГОСТ 34.201-89.Введ. 24.03.1989 № 664.22.https://www.securitycode.ru/products/secret_net/documentation/-официальный сайт средства разграничения доступа Secret Net компании ООО«Код безопасности».23.https://www.securitycode.ru/company/news/security_studio_endpoint_protection_7_novaya_versiya_sertifitsirovannogo_resheniya_s_podderzhkoy_win/-официальный сайт средства для централизованной защиты рабочих станцийот внешних угроз Security Studio Endpoint Protection 7 компании ООО «Кодбезопасности».5324.

https://www.securitycode.ru/products/apksh_kontinent/ - официальныйсайт комплекса для защиты сетевой инфраструктуры и создания VPN-сетейАПКШ «Континент» компании ООО «Код безопасности».25.http://www.securitycode.ru/-официальныйсайтсредствадоверенной загрузки ПАК «Соболь» 3.0 компании ООО «Код безопасности».54Принятые сокращенияАРМ – автоматизированное рабочее местоАС – автоматизированная системаГОСТ – государственный стандартИСПДн – информационная система, обрабатывающая персональные данныеЛВС – локальная вычислительная сетьНДВ – не декларированные возможностиНСД – несанкционированный доступОС – операционная системаПДн – персональные данныеПК – программный комплексПО – программное обеспечениеПЭВМ – персональная электронно-вычислительная машинаРД – руководящий документСЗИ – система защиты информацииСКЗИ – средства криптографической защиты информацииСрЗИ – средства защиты информацииФСБ – Федеральная служба безопасностиФСТЭК– Федеральная служба технического и экспортного контроляR - разрешение на открытие файлов только для чтения;55W - разрешение на открытие файлов для записи;A - разрешение на создание файлов на диске/создание таблиц в БД;D - разрешение на удаление файлов/записи в БД;Х - разрешение на запуск программ;S - разрешение на настройку средств защиты56Приложение АПриложение А – Оценка актуальности угроз информационной безопасности для медицинского учрежденияТаблица А.1 – Актуальные угрозы для медицинского учрежденияУгрозыУгрозы утечки акустической информацииНепосредственное прослушивание акустической речевойинформации физическими лицами при посещении имислужебных помещенийПерехват акустических сигналов с использованиемнаправленных микрофоновПерехват акустических сигналов с использованиемакустооптических модуляторовПерехват вибрационных сигналов с использованием оптикоэлектронной аппаратуры дистанционного лазерногозондированияПерехват вибрационных сигналов с использованиемвибродатчиковПерехват электрических сигналов, возникающих врезультате «микрофонного эффекта» в техническихсредствах обработки информации и ВТСС с использованиемсредств съема электрических сигналов с гальваническимподключениемКоэффициентвероятности угрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность20,6СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная57Продолжение таблицы А.1УгрозыПерехват радиоизлучений, модулированныхинформативными сигналом, возникающих при ВЧоблучении технических средств обработки информации иВТСС с использованием ВЧ-генераторов и средств съемаэлектрических сигналов с гальваническим подключениемПерехват радиоизлучений, модулированныхинформативным сигналом, возникающих при ВЧ-облучениитехнических средств обработки информации и ВТСС сиспользованием ВЧ-генераторов и приемниковэлектромагнитного излученияУгрозы утечки видовой информацииНепосредственных просмотр информации с экрановдисплеев и других средств отображения графической,видео- и буквенно-цифровой информации физическимилицами при посещении ими служебных помещенийКоэффициентвероятности угрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная20,6СредняяНизкаяНеактуальная58Продолжение таблицы А.1УгрозыПросмотр (регистрация) информации с экранов дисплеев идругих средств отображения, средств вычислительнойтехники, информационно-вычислительных комплексов,технических средств обработки графической, видео- ибуквенно-цифровой информации на расстоянии прямойвидимости из-за пределов служебных помещений сиспользованием оптических (оптоэлектронных) средствПросмотр (регистрация) информации с помощьюспециальных электронных устройств съема, внедренных вслужебных помещениях (видеозакладки) или скрытноиспользуемых физическими лицами при посещении имислужебных помещенийУгрозы утечки информации по каналу ПЭМИНПерехват информации техническими средствами побочныхэлектромагнитных излучений информативных сигналов оттехнических средств и линий передачи информации сиспользованием портативных сканерных приемников,цифровых анализаторов спектра, селективныхмикровольтметров и специальных программно-аппаратныхкомплексовКоэффициентвероятности угрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная59Продолжение таблицы А.1УгрозыПерехват информации техническими средствами наводокинформативного сигнала, обрабатываемого техническимисредствами, на цепи электропитания и линии связи,выходящие за пределы служебных помещений сиспользованием токосъемниковПерехват информации техническими средствамирадиоизлучений, модулированных информативнымсигналом, возникающих в результате работы различныхгенераторов в составе ИСПДн или в результате паразитнойгенерации в узлах (элементах) технических средств сиспользованием портативных сканерных приемников,цифровых анализаторов спектра, селективныхмикровольтметров и специальных программно-аппаратныхкомплексовПерехват информации техническими средствамирадиоизлучений, формируемых за счет высокочастотногооблучения технических средств ИСПДн с использованиемпортативных сканерных приемников, цифровыханализаторов спектра, селективных микровольтметров испециальных программно-аппаратных комплексовКоэффициентвероятности угрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная00,5СредняяНизкаяНеактуальная60Продолжение таблицы А.1УгрозыКоэффициентвероятности угрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальностьПерехват информации техническими средствамиоптического излучения с боковой поверхности оптического0,5СредняяНизкаяНеактуальная0волокна в волоконно-оптической системе передачи данныхПерехват информации с применением электронныхустройств перехвата информации, подключенных к каналам0,5СредняяНизкаяНеактуальная0связи или техническим средствам обработки информации(«аппаратные закладки»)УРОЗЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИОННОЙ СИСТЕМЕУгрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДнКража ПЭВМ АРМ или сервера ИСПДн0,6СредняяНизкаяНеактуальная2Кража носителей информации0,75ВысокаяСредняяАктуальная5Кража ключей и атрибутов доступа20,6СредняяНизкаяНеактуальнаяКража, модификация и уничтожение информацииВывод из строя узлов ПЭВМ, каналов связиНесанкционированный доступ к информации притехническом обслуживании (ремонте) узлов ПЭВМ220,60,6СредняяСредняяНизкаяСредняяНеактуальнаяАктуальная50,75ВысокаяСредняяАктуальная61Продолжение таблицы А.1УгрозыКоэффициентвероятности угрозы2КоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальностьНесанкционированное отключение средств защиты0,6СредняяСредняяАктуальнаяУгрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) сприменением программно-аппаратных и программных средств (в том числе программно-математических воздействий)Действия вредоносных программ (вирусов)0,6СредняяСредняяАктуальная2Недекларированные возможности (НДВ) системного ПО и0,5СредняяНизкаяНеактуальная0ПО, предназначенного для обработки ПДнУстановка ПО, не связанного с исполнением служебных0,6СредняяСредняяАктуальная2обязанностейУгрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в её составе из-засбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры и-за ненадежности элементов, сбоевэлектропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характераУтрата ключей и атрибутов доступа0,75ВысокаяСредняяАктуальная5Разглашение (например, при разговорах, записывание на1Очень высокая ВысокаяАктуальная10бумаге и т.п.) логинов и паролейНеумышленная (случайная) модификация (искажение)0,6СредняяСредняяАктуальная2доступной информации62Продолжение таблицы А.1УгрозыНеумышленное (случайное) добавление (фальсификация)информацииНепреднамеренное отключение средств защитыВыход из строя программно-аппаратных средствСбой системы электроснабженияСтихийное бедствиеУгрозы преднамеренных действий внутренних нарушителейДоступ к информации, модификация, уничтожениесотрудниками, не допущенными к её обработкеРазглашение информации, модификация, уничтожениесотрудниками, допущенными к её обработкеУгрозы несанкционированного доступа по каналам связиПерехват информации за пределами контролируемой зоныПерехват информации в пределах контролируемой зонывнешними нарушителямиКоэффициентвероятности угрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность00,5СредняяСредняяАктуальная52200,750,60,60,5ВысокаяСредняяСредняяСредняяСредняяСредняяНизкаяНизкаяАктуальнаяАктуальнаяНеактуальнаяНеактуальная20,6СредняяСредняяАктуальная50,75ВысокаяСредняяАктуальная50,75ВысокаяСредняяАктуальная20,6СредняяНизкаяНеактуальная63Окончание таблицы А.1УгрозыПерехват информации в пределах контролируемой зонывнутренними нарушителямиУгроза «сканирование сети»Угроза выявления паролейУгроза подмены доверенного объекта сетиВнедрение ложного объекта сетиУгроза типа «отказ в обслуживании»Угрозы удаленного запуска приложенийУгрозы внедрения вредоносных программ по сетиКоэффициентвероятности угрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность50,75ВысокаяСредняяАктуальная52555520,750,60,750,750,750,750,6ВысокаяСредняяВысокаяВысокаяВысокаяВысокаяСредняяСредняяСредняяСредняяСредняяСредняяСредняяСредняяАктуальнаяАктуальнаяАктуальнаяАктуальнаяАктуальнаяАктуальнаяАктуальная64Приложение БПриложение Б – перечень угроз информационной безопасности для медицинского учрежденияТаблица Б.1 – перечень угрозИдентификаторугрозыУБИ.022Название угрозыОписание угрозыИсточник угрозыУгрозаизбыточноговыделенияоперативнойпамятиТип: Внешний,Потенциал:Базовый (низкий)Тип: Внутренний,Потенциал:Базовый (низкий)УБИ.021Угрозазлоупотреблениядовериемпотребителейоблачных услугУгроза заключается в возможности выделения значительных ресурсовоперативной памяти для обслуживания запросов вредоносных программ исоответственного снижения объёма ресурсов оперативной памяти, доступных всистеме для выделения в ответ на запросы программ легальных пользователей.Данная угроза обусловлена наличием слабостей механизма контроля выделенияоперативной памяти различным программам.Реализация данной угрозы возможна при условии нахождения вредоносногопрограммного обеспечения в системе в активном состоянииУгроза заключается в возможности нарушения (случайно или намеренно)защищённости информации потребителей облачных услуг внутренниминарушителями поставщика облачных услуг.Данная угроза обусловлена тем, что значительная часть функций безопасностипереведена в сферу ответственности поставщика облачных услуг, а такженевозможностью принятия потребителем облачных услуг мер защиты отдействий сотрудников поставщика облачных услуг.Реализация данной угрозы возможна при условии того, что потребителиоблачных услуг не входят в состав организации, осуществляющей оказаниеданных облачных услуг (т.е.

Характеристики

Список файлов ВКР