Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

На границах контролируемой территории установлен металлический забор, и установлены камеры видеонаблюдения. Помещения оборудованы охранной сигнализацией.

Охранная сигнализация включается в конце рабочего дня и отключается в начале рабочего дня, в выходные и праздничные дни охранная сигнализация не отключается. В помещениях имеется пожарная сигнализация, работающая круглосуточно. Вся поступающая информация со средств охраны помещений централизовано поступает на пост охраны, помещение которого расположено на первом этаже у центрального входа и оборудовано «тревожной кнопкой».

Помещения МИС МКУ «ЦОД» находится на третьем этаже здания. Вход в помещение осуществляется через дверь, которая запирается на замок. На окнах установлены непрозрачные жалюзи.

Границами контролируемой зоны МИС являются ограждающие конструкции помещений.

1. Классификация муниципальной информационной системы МКУ «ЦОД»

На основании документа «Об утверждении требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11.02.2013 г. №17 [2] и на основании документа «О внесении изменений в требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. n 17», утвержденного приказом ФСТЭК России от 15.02.2017 г. №27 [3] устанавливаются три класса защищенности информации от первого до третьего. Самым низким уровнем защищенности является третий, а самым высоким соответственно первый.

Уровень защищенности зависит от следующих показателей:

• масштаб информационной системы;

• уровень значимости информации.

На основании Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и на основаниях документа «Об утверждении требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11.02.2013 г. №17 [2] и документа «О внесении изменений в требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. n 17», утвержденного приказом ФСТЭК России от 15.02.2017 г. №27 [3] каждая организация, взаимодействующая с «ЦОД» определила класс защищенности своей информационной системы. При заключении договора с МИС МКУ «ЦОД» каждая организация указала необходимый класс защищенности своей информационной системы. Для того чтобы «ЦОД» мог эффективно выполнять возложенные на него функции по организации защиты информации, обрабатываемой в МИС МКУ «ЦОД».

МИС МКУ «ЦОД» должен обеспечивать для каждой организации необходимый класс защищенности, которая указана в договоре с МИС МКУ «ЦОД». Исходя из этого, чтобы обеспечить защиту каждой информационной системы, с которой МИС МКУ «ЦОД» взаимодействует, МИС МКУ «ЦОД» должен обеспечить максимальный класс защищенности. Максимальным классом защищенности для информационных систем входящих в МИС МКУ «ЦОД» является второй класс защищенности, следовательно, для обеспечения необходимой безопасности информации, МИС МКУ «ЦОД» должны обеспечивать второй класс защищённости.

Обеспечение безопасности информации осуществляется реализацией перечня технических и организационных мер обеспечения безопасности, которые определяются нормативно-методической документацией ФСТЭК России и ФСБ России. Перечень технических и организационных мер зависит от определенного для информационной системы класса защищенности информации.

1. Модель угроз безопасности МИС МКУ «ЦОД»

1. Модель вероятного нарушителя

На основании методики определения угроз безопасности информации в информационных системах [18] и методических рекомендаций по определению актуальных угроз безопасности информации в информационных системах, в муниципальной информационной системе МКУ "ЦОД" в качестве наиболее вероятных нарушителей были установлены:

• внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИС;

• внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИС.

В связи с изложенным, с целью создания необходимых условий безопасности информации предполагается, что вероятные нарушители обладают всей информацией, необходимой для подготовки и реализации угроз, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация.

С учетом видов нарушителей, характерных для МИС МКУ «ЦОД» были определены значения потенциалов возможных нарушителей. Таким образом, было установлено, что характерными для МИС МКУ «ЦОД» нарушителями будут следующие:

• внешний нарушитель с потенциалом базовый повышенный (средний);

• внутренний нарушитель с потенциалом базовый (низкий).

1. Угрозы безопасности информации в МИС МКУ «ЦОД»

В качестве угроз безопасности для информации, обрабатываемой в МИС МКУ «ЦОД» можно выделить ряд факторов, который являются источниками опасности несанкционированного доступа к информации, в результате которого информация может быть изменена, уничтожена, скопирована, заблокирована, скопирована.

Определение актуальных угроз производилось на основании методики определения угроз безопасности информации в информационных системах [18] и методических рекомендаций по определению актуальных угроз безопасности информации в информационных системах в муниципальной информационной системе МКУ "ЦОД".

Полный список угроз, признанных актуальным для муниципальной информационной системы МКУ «ЦОД» приведен в таблице Б.1.

1. Разработка методов и способов защиты информации

В качестве основной цели защиты информации в муниципальной информационной системе МКУ «ЦОД» можно выделить обеспечение функционирования центра обработки данных в нормальном режиме, при котором система не выходит за границы предельных значений параметров выполнения целевых функций центров обработки данных, а также исключается неправомерный доступ к информации, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации.

Обеспечение защиты информации в системе центров обработки данных является составной частью работ по созданию и эксплуатации центров обработки данных и должна обеспечиваться на всех этапах жизненного цикла центра обработки данных путем выполнения в рамках системы защиты информации организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации.

Защита информации в системе центров обработки данных обеспечивается:

• своевременным выявлением угроз безопасности информации и уязвимостей в центрах обработки данных;

• реализацией необходимых мер и средств защиты информации и обеспечением их соответствия требованиям уполномоченных федеральных органов исполнительной власти;

• реализацией единого подхода к обеспечению информационной безопасности в рамках системы центров обработки данных как совокупности центров обработки данных, отвечающих требованиям в области обеспечения информационной безопасности;

• обеспечением подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

• реализацией мероприятий по периодическому внутреннему и внешнему контролю состояния обеспечения информационной безопасности в рамках системы центров обработки данных как совокупности центров обработки данных.

Защита информации в ходе создания и эксплуатации системы центров обработки данных должна обеспечиваться в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, установленными Федеральной службой по техническому и экспортному контролю в пределах компетенции. Защита информации с использованием криптографических (шифровальных) средств защиты информации должна обеспечиваться в соответствии с требованиями Федеральной службы безопасности Российской Федерации.

Система защиты информации в рамках системы центров обработки данных должна:

• обеспечивать блокирование (нейтрализацию) угроз безопасности информации в системе центров обработки данных;

• учитывать организационные и юридические аспекты защиты информации;

• иметь подтверждение соответствия требованиям по защите информации (должна быть аттестована на соответствие требованиям по защите информации);

• проходить периодический внутренний и внешний контроль состояния защиты информации.

Также необходимо реализовать мероприятия, направленные на обеспечение устойчивости и защищенности сетей связи общего пользования, в том числе от компьютерных атак.

1. Определение набора организационных и технических мер

Для создания и внедрения профиля защиты в муниципальной информационной системе «ЦОД» были выбраны меры, которые должны быть реализованы в системе для обеспечения заданного уровня защищённости ИС и для нейтрализации угроз актуальных для МИС МКУ «ЦОД».

Базовый набор мер для защищенности МИС МКУ «ЦОД» будет основываться на методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11.02.2014 г. [1] а также на основаниях документа «Об утверждении требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11.02.2013 г. №17 [2] и документа «О внесении изменений в требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17», утвержденного приказом ФСТЭК России от 15.02.2017 г. №27 [3] .

Для муниципальной информационной системы «ЦОД» при проведении аудита ИС был определен перечень ИС которые используют вычислительные ресурсы МИС МКУ «ЦОД». Каждая организация при заключении договора указала необходимый класс защищенности своей информационной системы. В связи с этим для ИС был выбран максимальный уровень защищенности информации с учетом анализа уровня защищенности самого «ЦОД». В результате для МИС МКУ «ЦОД» был выбран второй уровень значимости информации и второй класс защищенности ИС.

Для создания мер защиты из приведенных выше документов были выбраны меры, необходимые для обеспечения второго класса защищенности информации.

Базовый набор мер является общим для всех систем и определяется только уровнем защищенности ИС. Чтобы построить необходимую защиту и нейтрализовать актуальные угрозы необходимо создать набор мер, необходимых только для МИС МКУ «ЦОД».

Первым шагом в создании частного набора мер, было адаптация базового набора мер с учетом структурно-функциональных характеристик МИС МКУ «ЦОД». На данном шаге из базового набора мер исключаются меры, которые не могут быть реализованы в ИС, из-за отсутствия необходимых технологий для которых необходима реализация данных мер. Например, в МИС МКУ «ЦОД» не используются технологии беспроводного доступа и отсутствуют мобильные устройства. Исключаемые меры и причина исключения приведены в таблице 3. 1.

Таблица 3. 1– Исключаемые меры при адаптации

После адаптации базового набора мер выполнялось уточнение адаптированного набора мер. Данный шаг необходим чтобы обеспечить нейтрализацию все актуальных угроз для МИС МКУ «ЦОД». При уточнении адаптивного набора мер, необходимо добавить меры, которые не были выбраны ранее и необходимые для нейтрализации актуальных угроз безопасности информации в соответствии с Моделью нарушителя и угроз безопасности информации при их обработке в муниципальной информационной системе Муниципального Казенного Учреждения "ЦОД" Перечень добавленных мер приведен в таблице 3. 2.

Таблица 3.2 – Меры, добавленные при уточнении

Конечный набор мер представлен в таблице Г.1 приложения Г.

1. Требования к защите информации в МИС МКУ «ЦОД»

Для обеспечения безопасности МИС МКУ «ЦОД» будем опираться на методический документ «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11.02.2014 г., на документ «Об утверждении требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11.02.2013 г. №17 [2] и на документ «О внесении изменений в требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. n 17», утвержденного приказом ФСТЭК России от 15.02.2017 г. №27 [3], а также на документ "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", утвержденным ФСТЭК России от 1 ноября 2012 г. N 1119[6]. Исходя из того, что МИС МКУ «ЦОД» происходит обработка в том числе персональных данных клиентов ЦОД, для информационной системы второго класса защищенности необходимо обеспечить второй, третий и четверты1 уровни защищенности персональных данных. Согласно этим приказам для создания защиты информационной системы, необходимо выполнение соответствующих организационных и технических мер по обеспечению второго уровня защищенности информации.

Для обеспечения второго уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих условий:

• организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

• утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к информации, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

• использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

• должно быть назначено должностное лицо (работник), ответственный за обеспечение безопасности информации в информационной системе.

• необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Главным из приведенного выше списка является использование в системе защиты сертифицированных средств защиты информации. Сертифицированное средство защиты информации дает уверенность в защите ИС, так как после проведения сертификационных испытаний испытательная лаборатория или орган по сертификации дает гарантию, что в данном средстве защиты информации отсутствуют недекларированные возможности, которые используются нарушителем для проведения атак, а также подтверждает, что сертифицированное средство выполняет требования и реализует меры, необходимые для указанного уровня защищенности информации или класса защищенности информационной системы.

Характеристики

Список файлов ВКР