Усов636329261709751498 (1209981), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Выполняемая работа с начала трудовой деятельности (включаявоенную службу, работу по совместительству, предпринимательскуюдеятельность и т.п.)12. Классный чин федеральной государственной гражданской службы,гражданской службы субъекта Российской Федерации, муниципальнойслужбы, дипломатический ранг, воинское, специальное звание,классный чин правоохранительной службы (кем и когда присвоены)13. Государственные награды, иные награды и знаки отличия (кемнагражден и когда)14. Степень родства, фамилии, имена, отчества, даты рождения близкихродственников (отца, матери, братьев, сестер и детей), а также мужа(жены), 23 сведения об иждивенцах15.

Места рождения, места работы и домашние адреса близкихродственников (отца, матери, братьев, сестер и детей), а также мужа(жены)16. Фамилии, имена, отчества, даты рождения, места рождения, местаработы и домашние адреса бывших мужей (жен)17. Пребывание за границей (когда, где, с какой целью) 231418. Близкие родственники (отец, мать, братья, сестры и дети), а также муж(жена), в том числе бывшие, постоянно проживающие за границей и(или) оформляющие документы для выезда на постоянное местожительства в другое государство (фамилия, имя, отчество, с какоговремени проживают за границей)19.

Адрес регистрации и фактического проживания20. Дата регистрации по месту жительства21. Паспорт (серия, номер, кем и когда выдан)22. Паспорт, удостоверяющий личность гражданина РоссийскойФедерации за пределами Российской Федерации (серия, номер, кем икогда выдан)23. Номер телефона (домашний, мобильный)24. Отношение к воинской обязанности, сведения по воинскому учету(для граждан, пребывающих в запасе, и лиц, подлежащих призыву навоенную службу)25. Идентификационный номер налогоплательщика26. Номер страхового свидетельства обязательного пенсионногострахования27. 23 Данные страхового медицинского полиса обязательного медицинскогострахования28.

Номер банковского счета29. Наличие (отсутствие) судимости30. Допуск к государственной тайне, оформленный за период работы,службы, учебы (форма, номер и дата)31. Наличие (отсутствие) заболевания, препятствующего поступлению на 23муниципальную 96 службу Российской Федерации или ее прохождению,подтвержденного заключением медицинского учреждения32.

Наличие (отсутствие) медицинских противопоказаний для работы сиспользованием сведений, составляющих государственную тайну,подтвержденного заключением медицинского учреждения 231533. Сведения о 23 состоянии здоровья и наличии заболеваний, о нахождениина различных медицинских учетах34. Сведения о социальных льготах и о социальном статусе35. Сведения о доходах, расходах, имуществе и обязательствахимущественного характера, а также о доходах, расходах, имуществе иобязательствах имущественного характера супругов инесовершеннолетних детей36. Сведения о последнем месте государственной или муниципальнойслужбы37.

23 Биометрические персональные данные38. Сведения о предпринимательской деятельности субъектаперсональных данных и членов его семьи39. Данные свидетельства о государственной регистрации актагражданского состояния40. Данные свидетельства о государственной регистрации права1.3 Структура информационной системы «Комитет»Обследование показало, что в информационной системе «Комитет»отсутствует разделение на сегменты и на всех АРМ обрабатываетсяодинаковая информация и одинаковые категории ПДн.Информационная система «Комитет»:в ИС обрабатываются специальные категории персональных данныхсотрудников оператора;в ИС обрабатывается информация, составляющая служебную тайну;для ИС актуальны угрозы 3 типа, то е сть 22 не связанные с наличиемнедокументированных (недекларированных) возможностей в системном иприкладном программном обеспечении, используемом в информационнойсистеме;в 53 ИС обрабатываются данные менее 100 тысяч субъектов персональных16данных.Исходя из категорий и объема ПДн, обрабатываемых в ИС «Комитет» итипа угроз на основании пункта 11 подпункта « в» « 22 Требований к защитеперсональных данных при их обработке в информационных системахперсональных данных» 35 необход 10 имо обеспечит ь 3 уровень защищенностиперсональных данн 12 ых.Так как в случае нарушения какого – либо из свой ств информации(конфиденциальность, целостность, доступность) возможны незначительныенегативные последствия 20 , а также информационная система имеет объектовыймасштаб, то необходимо обеспечить 3 класс защищенности ИС.Таким образом, для информационной системы «Комитет» необходимообеспечение 3 класса защищенности ИС.В ИС «Комитет» отсутствует разделение обязанностей поадминистрированию между несколькими сотрудниками.Администрированием всей информационной системы занимается одинчеловек.Режим обработки информации предусматривает следующие действ ия: 7сбор, систематизацию, накопление, хранение, уточнение (обновление,изменение), использование, 97 передачу, уничтожение данных.Все пользователи ИС «Комитет» наделены одинаковыми ролями,наделяющими их равными полномочиями.1.4 Характеристика каналов связи и потоков информации,используемых при обработке и передаче в МИСВ информационной сети «Комитет» подключение к сетям общегопользования предоставляется услугами провайдера «ТТК».

Сетевоеоборудование в ИС отсутствует.Данные из ИС «Комитет» передаются в Росреестр, а также любым другимзаинтересованным юридическим и физическим лицам.17В Росреестр данные доставляются, либо на бумажных носителях, либо вэлектронном виде на компакт диске непосредственно сотрудником ИС.Журнал контроля носителей информации не ведется, данные на дискенаходятся в незашифрованном виде.Заинтересованным юридическим и физическим лицам данные передаютсянепосредственно на руки в пределах КЗ. Конфигурация информационнойсистемы представлена на рисунке А.1 (см. Приложение А).Параметры ИС «Комитет» представлены в таблице А.1 приложения А.Конфигурация и топология ИС «Комитет» представлены на рисунках 1.1 и1.2 соответственно.Рисунок 1.1 – Конфигурация ИС «Комитет»19Рисунок 1.2 – Топология ИС «Комитет»201.5 Существующие меры защиты информацииВсе кабинеты ИС «Комитет», где обрабатываются и хранятся данные,закрываются на ключ.

В помещениях имеется пожарная сигнализация, котораяработает круглосуточно. Охранная сигнализация отсутствует. В зданииадминистрации установлена система контроля и управления доступом (далее –СКУД). Все сотрудники имеют персональные идентификаторы (пропуски)установленного образца. Пропуск в здание посетителей осуществляется всопровождении ответственного лица.Бумажные документы хранятся в архивах в шкафах:в архиве земельного отдела: металлические открытые стеллажи, дверьархива закрывается на ключ;в архиве по приватизации: пара деревянных шкафов без замков;в архиве по аренде муниципального имущества: пара деревянных шкафовбез замков;в архиве кадровой информации: металлический сейф с замком.Вся информация хранится на различных компьютерах ИС и на виртуальномсервере КСОМСа, доступ к полям и записям базы данных сервераосуществляется с рабочих мест.

Режимы работы автоматизированных систем –многопользовательский.Аутентификация пользователей ПЭВМ, с помощью которых производитсяобработка персональных данных, осуществляется посредством использованияперсонального логина и пароля. Доступ к информации предоставляется толькопосле прохождения авторизации на собственных АРМ.Защита от вирусных атак осуществляется с применением ПО «KasperskySecurity Center 10». Обновление антивирусных баз происходит ежедневно.Технические средства ИС находятся на втором этаже здания.1.6 Модель нарушителя и модель угроз безопасности информации,обрабатываемой в ИС «Комитет»211.6.1 Модель вероятного нарушителяВ ходе работы были разработаны Модель угроз и модель нарушителябезопасности информации, обрабатываемой в ИС «Комитет» (далее – Модельугроз) (приложение Б), в соответствии с которой наиболее вероятными дляисследуемой информационной системы нарушителями являются:внешние субъекты (физические лиц а); 19лица, привлекаемые для установки, наладки, монтажа, пусконаладочных ииных видов работ;лица, обеспечивающие функционирование информационных систем илиобслуживающие инфраструктуру оператора (администрация, охрана,уборщики и т.д.);пользователи 27 ИС.Беря в расчет предполагае мую компетентность, ресурсы и мотива 19 циювозможного нарушите ля, требуемыми для реализации угроз безопасностиинформации в информационной системе с заданными структурнофункциональными характеристика 19 ми, 27 был определен потенциал нарушителя –базовый (низкий).Для того, чтобы была уверенность в совершенстве системы защиты,предполагается, что нарушитель обладает всеми необходимыми знаниямикасательно ИС, а также имеет в своем распоряжении необходимые средствареализации угроз безопасности информации, обрабатываемой в исследуемойинформационной системе.221.6.2 Модель угрозПод угрозами безопасности информации, обрабатываемой в ИСподразумевается ряд условий и факторов, наличие которых создаютвозможность осуществления неправомерных действий, которые могут привестик нарушению хотя бы одного свойства безопасности информации.Определение актуальных угроз было произведено в модели угроз(приложение Б).На основании определенного потенциала предполагаемого нарушителяинформации, был определен перечень угроз безопасности информации,обрабатываемой в ИС, которые могут быть реализованы нарушителем.Так же был определен перечень уязвимостей, характерных для обследуемойИС:-Уязвимости конфигурации;-Уязвимости архитектуры;-Организационные уязвимости;-Многофакторные уязвимости;-Уязвимости, связанные с неправильной настройкой ПО;-Уязвимости, связанные с неполнотой проверки вводимых (входных)данных;-Уязвимости, связанные с возможностью прослеживания пути доступа ккаталогам;-Уязвимости, связанные с возможностью перехода по ссылкам;-Уязвимости, связанные с переполнением буфера памяти;-Уязвимости, приводящие к утечке/раскрытию информации ограниченногодоступа;-Уязвимости, связанные с управлением полномочиями (учетными данными;-Уязвимости, связанные с управлением разрешениями, привилегиями идоступом;23-Уязвимости, связанные с аутентификацией;-Уязвимости, связанные с криптографическими преобразованиями(недостатки шифрования);-Уязвимости в общесистемном (общем) программном обеспечении;-Уязвимости в прикладном программном обеспечении;-Уязвимости в сетевом (коммуникационном, телекоммуникационном)оборудовании;-Уязвимости в средствах защиты информации.Согла сно методике определения угроз безопасности информации винформационных систем 19 ах, угроза безопасности информации являетсяактуальной, если для информационной системы с заданными структурнофункциональными характеристиками и особенностями функционированиясуществует вероятность реализации рассматриваемой угрозы 19 , и 19 ее реализацияприведет к неприемлемым негативным последствиям (ущербу) от нарушенияконфиденциальности, целостности или доступности информации.

27Для того, чтобы оценить возможность реализации угрозы безопасностиинформации, были определены два показателя: исходный уровеньзащищённости информационной системы и вероятность реализации угрозы.На основе технических и эксплуатационных характеристик 42 исследуемойинформационной системы, приведенных в таблице 1.1, 42 был полученобобщенный показатель, определяющий исходный уровень проектнойзащищенности ИС.1924Таблица 1.1 – Показатели, характеризующие проектную защищенностьинформационной сист 19 емыСтруктурно-функциональныехарактеристики ИС, условия ееэксплуата 19 цииУровень проектнойзащищенности ИС (Y1П)высокий средний низкийПо структуре ИС:– локальная ИС; +По архитектуре информационной системы:файл-серверные системы;использование прикладных программ,независимых от операционных систем;++По архитектуре информационной системы:файл-серверные системы ; +По наличию (отсутствию) взаимосвязей сиными информационными система 19 ми:взаимодействующая с системами ;+По наличию (отсутствию)взаимосвязей (подключен 19 ий)подключенна я к сетям связи общегопользования 19 :+По размещению технических средств:расположенные в пределах однойконтролируемой зоны 19 ;+По режимам обработки информаци 19 и в ИС:многопользовательский ; +По режимам разграничения прав доступа:с разграничение 19 м +По режимам разделения функций поуправлению информационной систем 19 ой:без разделения;+По подходам к сегментированию ИС:без сегментирования; +В таблице 1.2 представлены значения характеристик в процентном25соотношении.Таблица 1.2 – Значения характеристик в процентном соотношении.Значение характеристики(уровень защищенности)КоличествозначенийПроцент значений нениже данного уровняВысокий 1 20%Средний 3 21,4%Низкий 6 39,9%Вывод: В соответствии с методикой определения актуальных угроз [16]информационная система имеет низкую степень проектной защищенности, таккак уровню не ниже среднего не соответствуют более 70% характеристик.Уро вню 16 исходной защищенности ставится в соответствие числовойкоэффициент Y1, а именно:для высокой степени исходной защищенности – 0;для средней степени исходной защищенности – 5;для низкой степени исходной защищенности – 10.В 28 соответствии с таблицей 1.2 и выводом, коэффициент Y1 = 10.Для того, чтобы определить, является ли рассматриваемая угроза актуальнойдля конкретной ИС, поределяется числовой коэффициент Y2, которыйсоответствует ее вероятности.Учитывая вышеизложенное, коэффициент возможности реализации угрозыYбудет определяться по формуле (1.1):Y = (Y1 + Y2) / 20, (1.1)где Y1 = 10 (низкий уровень защищенности),Y2 – коэффициент вероятно сти угрозы.По значению коэффицие 16 нта возможности реализа ции угрозыформировалась вербальная интерпретация реализуемости угро 16 зы.На основании низкого уровня проектной защищенности ИС можно сделатьвывод, что в соответствии порядком определения возможности реализации УБИ(таблица 1.3), определяется высокая возможность реализации угрозы врассматриваемой ИС.26Таблица 1.3 – Порядок определения возможности реализации УБИУровеньзащищенности(Y1П)Потенциалнарушителя (Y2)Высокий Средний НизкийБазовый (низкий) Низкая Средняя ВысокаяБазовый повышенный(средний)Средняя Высокая Высокая 111Высокий Высокая Высокая Высокая 111Ввиду того, что вероятность реализации угрозы безопасности информациивысокая, в рассмотрение степени возможного ущерба нет необходимости, таккак даже при низком ущербе, угроза будет считаться актуальной.Для исследуемой информационной системы были определены актуальнымиугрозы 3-го типа.В силу того, что в процессе обработки защищаемой информации в ИСотсутствует система голосового ввода, а но окнах установлены жалюзи, утечкаинформации по техническим каналам не является актуальной.На основании всего вышеуказанного, был определен итоговый переченьактуальных угроз безопасности информации, обрабатываемой в ИС «Комитет»,который приведен в таблице 1.4.Таблица 1.4 – Итоговый перечень актуальных угроз безопасностиинформации, характерных для ИС «Комитет»Noп/пИдентификатор/НазваниеугрозыОписание угрозы271УБИ.

Характеристики

Список файлов ВКР