Пояснительная записка (814191)
Текст из файла
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»
| Кафедра "Информационные технологии и системы" |
| К ЗАЩИТЕ ДОПУСТИТЬ Заведующий кафедры _______________ М.А. Попов, «___» 2017 г. |
| РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ОПРЕДЕЛЕНИЮ ПАРАМЕТРОВ НАСТРОЙКИ ТЕХНИЧЕСКИХ СРЕДСТВ И СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ |
| Пояснительная записка к выпускной квалификационной работе бакалавра |
ВКР 10.03.01 24Б ПЗ
| Студент гр. 24Б Руководитель доцент Нормоконтроль доцент, к.п.н., доцент | В.Д. Митряев В.Н. Никитин В.И. Шестухина |
Хабаровск – 2017
Содержание
Введение 3
1 Комплексная система защиты информации 4
2 Алгоритм определения параметров настройки СЗИ 9
2.1 Алгоритм определения параметров настроек на примере подсистемы управления доступом ТСЗИ Dallas Lock 8.0-С 17
3 Разработка методических рекомендаций по определению параметров настройки СЗИ 29
3.1 Формы и перечни для заполнения сведений по определению параметров настройки СЗИ 47
Заключение 57
Список использованной литературы 58
Принятые сокращения 60
Основные определения 61
Приложение А 62
Введение
Защита жизненно важных интересов личности, персональных данных граждан, общества и государства от внутренних и внешних угроз являются целями обеспечения безопасности государства, описанных в Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента РФ №646 от 05.12.2016 г. Согласно этому документу, практика внедрения информационных технологий без обеспечения информационной безопасности существенно повышает вероятность проявления информационных угроз.
В связи с тем, что информация является предметом собственности (государства, коллектива или субъекта), то неизбежно возникает проблема угрозы безопасности этой информации, заключающейся в её неконтролируемом распространении, хищении, несанкционированном уничтожении, искажении, передаче, копировании, блокировании доступа к информации.
На момент написания этой работы огромная часть информационных систем, обрабатывающих конфиденциальную информацию, имеют некорректные настройки технических средств защиты информации, использующихся в системе защиты информации. В связи с этим злоумышленнику становится значительно проще реализовать угрозы безопасности информации.
Объектом исследования данной работы является любая информационная система, обрабатывающая, хранящая или передающая конфиденциальную информацию, а предметом исследования – определение параметров настроек технических средств защиты информации.
1 Комплексная система защиты информации
Главное направление поиска новых путей защиты информации заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для защиты информации, наиболее рациональным образом объединяются в единый целостный механизм причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.
На основе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации. Под системностью как основной частью системно-концептуального похода понимается:
-
системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации;
-
системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия;
-
системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам;
-
системность организационная, означающая единство организации всех работ по ЗИ и управления ими.
Однако компоненты защиты информации являются составной частью системы, с одной стороны, а с другой сами организуют систему, осуществляя защитные мероприятия. Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение система защиты информации состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. Таким образом, подобный подход предусматривает анализ и оптимизацию всей системы, а не отдельных ее частей, что позволяет обеспечить баланс характеристик, тогда как улучшение одних параметров нередко приводит к ухудшению других.
Обеспечение требуемого уровня защищённости должно достигаться с использованием мер, методов и средств безопасности. Меры обеспечения безопасности ИС подразделяются на:
-
правовые;
-
организационные;
-
физические;
-
технические;
-
контролирующие.
К правовым мерам защиты относятся действующие в стране законы, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений, а также устанавливающие ответственность за нарушение этих правил. В основном носят упреждающий и профилактический характер.
Организационные меры защиты – это меры организационного характера, регламентирующие процессы функционирования ИС, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с ИС таким образом, чтобы в наибольшей степени затруднить реализацию угроз безопасности или снизить ущерб от их реализации.
Физические меры защиты характеризуются применением различных электронно-механических устройств или сооружений, с целью создания физических препятствий на возможных путях проникновения потенциальных нарушителей к защищаемой информации или системе защиты.
Технические меры защиты основаны на применении разного рода электронных устройств и программного обеспечения, входящего в состав ИС и выполняющих функции защиты информации.
С учётом всех требований, в состав СЗИ должны быть включены:
-
средства идентификации и аутентификации;
-
средства разграничения доступа пользователей;
-
средства контроля целостности ПО;
-
средства регистрации событий безопасности;
-
криптографические средства защиты.
Успешное применение средств защиты предполагает, что выполнение требований к защите обеспечено организационными мерами и используемыми физическими средствами защиты.
Контроль эффективности СЗИ проводится периодически. Целью контроля является выявление сбоев, ненадлежащих режимов работы, прогнозирование новых угроз безопасности информации.
Контроль, как правило, проводится администратором безопасности, однако зачастую для этого привлекаются компетентные организации, владеющие лицензией на этот вид деятельности, а также ФСТЭК и ФСБ России.
Таким образом, необходимо постоянно уточнять требования к СЗИ для поддержания актуального уровня защищённости (рисунок 1.1).
Рисунок 1.1 – Уточнение требований к СЗИ
Одной из главных мер по обеспечению информационной безопасности является поддержание актуального уровня защищённости информационной системы. Это комплексный показатель, который характеризует выполнение требований к СЗИ, нейтрализующих угрозы безопасности информационных систем. Данные требования соответствуют мерам защиты, описанным в методическом документе ФСТЭКа России «Меры защиты информации в государственных информационных системах». Методический документ детализирует организационные и технические меры защиты информации (далее – меры защиты информации), принимаемые в государственных информационных системах (далее – информационные системы) в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, а также определяет содержание мер защиты информации и правила их реализации.
Меры защиты информации выбираются в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы или техническим заданием на создание системы защиты информации.
Выбор мер защиты информации определяется в зависимости от класса защищенности информации, обрабатываемой в ИС, определяющего требуемый уровень защищённости обрабатываемой в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также иных характеристик информационной системы, применяемых информационных технологий и особенностях ее функционирования.
2 Алгоритм определения параметров настройки СЗИ
Алгоритм определения параметров настройки СЗИ приведён ниже.
-
Определение класса защищённости информации, обрабатываемой в информационной системе в соответствии с Приложением №1 Приказа ФСТЭК №17 (рисунок 2.1).
Рисунок 2.1 – Определение класса защищённости информации, обрабатываемой в ИС
По результатам проведённого анализа исходных данных ИС «Администрация» были выявлены следующие характеристики (таблица 2.1).
Таблица 2.1 – Характеристики информационной системы
| Масштаб информационной системы | Объектовый |
| Уровень значимости информации | УЗ 3 |
На основании полученных данных в соответствии с моделью угроз конфиденциальной информации информационной системы «Администрация» и «Требования о защите информации, не составляющей государственную тайну, в государственных информационных системах», утверждённых приказом ФСТЭК от 11.02.2013 г. №17, необходимо обеспечить класс защищённости К3.
-
Определение базового набора мер защиты информации для установленного класса защищенности информационной системы – основывается на классе информационной системы. Для определения базового набора необходимо обратиться к Приложению 2 приказа ФСТЭК №17 «Требования о защите информации, не составляющей государственную тайну, в государственных информационных системах» и выбрать один из трёх базовых наборов мер защиты, соответствующий классу защищённости информационной системы.
-
Адаптацию базового набора мер защиты информации – изменение выбранного базового набора мер в соответствии со структурой, реализацией и особенностям эксплуатации информационной системы.
Пример адаптации базового набора мер защиты информации.
При адаптации из базового набора мер защиты информации исключаются меры, непосредственно связанные со структурно-функциональными характеристиками, несвойственными информационной системе или с информационными технологиями, не используемыми в информационной системе. Исключаемые меры приведены в таблице 2.2.
Таблица 2.2 – Исключаемые меры
| Исключаемая мера | Причина исключения |
| ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | В ИС отсутствуют внешние пользователи |
Окончание таблицы 2.2
| Исключаемая мера | Причина исключения |
| УПД.14 Регламентация и контроль использования в информационной системе технологии беспроводного доступа | В ИС не применяются технологии беспроводного доступа |
| УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств | В ИС не используются мобильные технические средства |
| ЗИС.20 Защита беспроводных соединений, применяемых в ИС | В ИС не применяются технологии беспроводного доступа |
-
Уточнение адаптации базового набора мер с помощью модели угроз и политики информационной безопасности.
Пример уточнения адаптированного базового набора мер.
При уточнении адаптированного базового набора мер по обеспечению безопасности КИ добавляются меры, не выбранные ранее, нейтрализующие все актуальные угрозы безопасности КИ. Перечень добавленных мер приведён в таблице 2.3.
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
