Безопасность ИСПДн

Организация и обеспечение безопасности обработки персональных данных с использованием шифровальных (криптографических) средств. Построение модели угроз. Классификация нарушителей согласно ФСБ России. Расчет исходной защищенности информационной системы.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 05.11.2017
Размер файла 434,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Федеральное государственное образовательное учреждение

высшего профессионального образования

«Сибирский государственный университет телекоммуникаций

и информатики»

(ФГОБУ ВПО «СибГУТИ»)

Кафедра: САПР

Курсовая работа на тему

Безопасность ИСПДн

Выполнил

Студент 3 курса, ф. МРМ

гр. РИ-27, Исенев Е.В.

Проверил

преподаватель Гончаров. С.А.

Новосибирск, 2014 г.

Введение

Проектирование информационных систем является важной задачей в развитии ИТ инфраструктуры любого предприятия. В задачу проектирования информационных систем входят также и следующие важные задачи - это проектирование структурированных кабельных систем, проектирование систем информационной безопасности. Целью курсовой работы является усвоение навыков расчета пропускной способности структурированных кабельных сетей, расчета актуальных угроз информационной безопасности в соответствии с текущими нормативными документами. Однако, поскольку область обеспечения информационной безопасности является стремительно развивающейся отраслью, необходимо также, самостоятельно изучить литературу при отмене руководящих документов, указанных в источниках.

Задание: Вариант № 07

Исходные данные:

Организация, имеющая 3 автоматизированные системы: ИСПДн первого класса, ИСПДн второго класса и ИС Конфиденциальной информации. Режимы обработки многопользовательские. Все системы являются локальными, однако расположены в трех офисах компании зданиях в разных городах, существует необходимость передачи данных из одной ИСПДн в другую. Выход в сеть Интернет в каждом офисе отдельный.

Среди сотрудников присутствуют следующие категории пользователей: пользователи ИС, системные администраторы, администраторы безопасности, разработчики прикладного ПО. Информационные системы после обработки предоставляют сторонним пользователям информацию в рамках существующего законодательства.

Рис. 1 Исходная схема к варианту № 07

Задание:

В соответствии с выбранным вариантом необходимо:

1. Рассчитать исходную защищенность

2. Построить модель угроз

3. Построить модель нарушителя с учетом использования криптографических средств.

1. Расчет исходной защищённости

криптографический нарушитель угроза данные

Для расчета исходной защищенности информационных систем обработки персональных данных необходимо воспользоваться руководящим документом.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Таблица 1. Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;

-

-

+

2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования;

-

-

+

3. По встроенным (легальным) операциям с записями баз персональных данных: запись, удаление, сортировка;

-

+

-

4. По разграничению доступа к персональным данным: ИСПДн с открытым доступом

-

-

+

5. По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);

-

-

+

6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);

+

-

-

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю базу данных

-

-

+

Исходная степень защищенности:

ИСПДн имеет низкую степень исходной защищенности, так как не выполняются условия по пунктам 1 и 2.

1.1 Построение модели угроз

Сформировали примерные допустимые угрозы и определили их актуальность.

При составлении перечня актуальных угроз безопасности ПДн исходной защищенности поставили числовой коэффициент , а именно:

Исходная низкая степень защищенности низкая, следовательно, Y1=10.

Высокая вероятность - объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности ПДн не приняты (Y2 = 10).

Определили Коэффициент реализуемости угрозы:

Y = (Y1 + Y2)/20=(10+10)/20=1

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом: если Y > 0,8, то возможность реализации угрозы признается очень высокой.

Примерная оценка реализуемости УБПДн представлена в таблице 2.

Таблица 2- Реализуемость УБПДн.

Тип угроз безопасности ПДн

Коэффициент реализуемости угрозы (Y)

Возможность реализации

2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа

2.4. Утрата и компрометация ключей и атрибутов доступа

1

Очень высокая

3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств

3.2. Утечка информации через порты ввода/вывода

1

Очень высокая

3.4. Установка ПО, не связанного с исполнением служебных обязанностей

1

Очень высокая

4. Угрозы несанкционированного доступа к информации по каналам связи

4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны

1

Очень высокая

4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

1

Очень высокая

4.3. Угрозы выявления паролей по сети

1

Очень высокая

5. Угрозы антропогенного характера

5.1. Разглашение информации

1

Очень высокая

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем:

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

· низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

· средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

· высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Учитывая данные нашего задания выберем третий показатель: высокая опасность - реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Затем, осуществим выбор из общего (предварительного) перечня угроз безопасности, и получим актуальность угроз ИСПДн, в соответствии с правилами, приведенными в таблице 3.

Таблица 3- Актуальность угроз

Возможность реализации угроз

Показатель опасности угроз

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

В данной курсовой работе возможность реализации угроз - очень высокая, опасность угроз - высокая. Следовательно, по таблице определяем актуальность угрозы - угроза является актуальной.

Примерная оценка актуальности угроз безопасности представлена в таблице 4.

Таблица 4 - Актуальность УБПДн

Тип угроз безопасности ПДн

Актуальность угрозы

2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа

2.1. Кража и уничтожение носителей информации

актуальная

2.2. Кража физических носителей ключей и атрибутов доступа

актуальная

2.4. Утрата и компрометация ключей и атрибутов доступа

актуальная

3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств

3.1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа

актуальная

3.2. Утечка информации через порты ввода/вывода

актуальная

3.3. Воздействие вредоносных программ (вирусов)

актуальная

3.4. Установка ПО, не связанного с исполнением служебных обязанностей

актуальная

3.5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных

актуальная

3.6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему

актуальная

4. Угрозы несанкционированного доступа к информации по каналам связи

4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны

актуальная

4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

актуальная

4.3. Угрозы выявления паролей по сети

актуальная

4.5. Угрозы внедрения по сети вредоносных программ

актуальная

4.6. Перехват, модификация закрытого ключа ЭЦП

актуальная

4.7. Угрозы удаленного запуска приложений

актуальная

5. Угрозы антропогенного характера

5.1. Разглашение информации

актуальная

5.2. Сокрытие ошибок и неправомерных действий пользователей и администраторов

актуальная

5.3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей

актуальная

5.4. Угроза нарушения политики предоставления и прекращения доступа

актуальная

1.2 Построение модели нарушителя с учетом использования криптографических средств

По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

- внешние нарушители - физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

- внутренние нарушители - физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Внешний нарушитель:

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных на утечку информации по техническим каналам.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Внутренний нарушитель:

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа. К внутренним нарушителям могут относиться:

администраторы ИСПДн (категория I);

администраторы конкретных подсистем или баз данных ИСПДн (категория II);

пользователи ИСПДн (категория Ш);

пользователи, являющиеся внешними по отношению к конкретной ИСПДн (категория IV);

лица, обладающие возможностью доступа к системе передачи данных (категория V);

сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются элементы ИСПДн, но не имеющие права доступа к ним (категория VI);

обслуживающий персонал предприятия (охрана, работники инженерно-технических служб и т.д.) (категория VII);

уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн (категория VIII).

На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями.

Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.

К лицам категорий I, II и III применяется комплекс организационно-правовых мер при принятии на работу, назначению на должность и контролю выполнения функциональных обязанностей.

Предполагается, что в число лиц категорий I, II и III будут включаться доверенные лица, с которыми установлен особый организационно-правовой режим отношений, и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категорий IV-VIII относятся к вероятным нарушителям.

Предполагается, что возможность сговора внутренних нарушителей маловероятна ввиду принятых организационных и контролирующих мер.

Организация и обеспечение безопасности обработки с использованием шифровальных (криптографических) средств персональных данных:

1. Безопасность обработки персональных данных с использованием крипто средств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку персональных данных и (или) лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки в информационной системе персональных данных с использованием крипто средств.

2. Операторы несут ответственность за соответствие проводимых ими мероприятий по организации и обеспечению безопасности обработки с использованием крипто средств персональных данных лицензионным требованиям и условиям, эксплуатационной и технической документации к крипто средствам, а также настоящим Требованиям.

3. При этом операторы должны обеспечивать комплексность защиты персональных данных, в том числе посредством применения не криптографических средств защиты.

4. Пользователи криптосредств допускаются к работе с ними по решению, утверждаемому оператором. При наличии двух и более пользователей криптосредств обязанности между ними должны быть распределены с учетом персональной ответственности за сохранность криптосредств, ключевой, эксплуатационной и технической документации, а также за порученные участки работы.

5. Пользователи криптосредств обязаны: не разглашать информацию, к которой они допущены, в том числе сведения о криптосредствах, ключевых документах к ним и других мерах защиты; соблюдать требования к обеспечению безопасности персональных данных, требования к обеспечению безопасности криптосредств и ключевых документов к ним; сообщать о ставших им известными попытках посторонних лиц получить сведения об используемых криптосредствах или ключевых документах к ним; немедленно уведомлять оператора о фактах утраты или недостачи криптосредств, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых персональных данных.сдать криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящими Требованиями, при увольнении или отстранении от исполнения обязанностей, связанных с использованием криптосредств;

Классификация нарушителей согласно ФСБ России.

К первому типу относятся внешние нарушители.

Ко второму типу - обслуживающий персонал ИСПДн (охрана, работники инженерно-технических средств и т.д.)

К третьему типу - пользователи ИСПДн, осуществляющие передачу ПДн в рамках ИСПДн.

К четвертому типу - пользователи ИСПДн, осуществляющие непосредственный доступ к техническим средствам ИСПДн (системные администраторы, администраторы безопасности, технические специалисты по администрированию периферийного оборудования).

К пятому типу - программисты-разработчики (поставщики) программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн, не являющиеся пользователями ИСПДн, но имеющие право доступа (временного или постоянного) в контролируемую зону.

К шестому типу - спецслужбы и представители специальных органов (контролирующих, правоохранительных, надзорных и т.п.) имеющих возможность применять специальные средства и способы атак, а также специализирующиеся в области анализа СКЗИ и СФК.

По заданию курсового проекта:

Соответствие типов нарушителей табл. 5

Таблица №5

Классификация ФСБ России

Классификация ФСТЭК России

Должностные единицы

Третья (Н3)

Вторая (И2)

Сотрудники, осуществляющие передачу ПДн в рамках ИСПДн

Четвертая (Н4)

Пятая (И5)

Системные администраторы (настройка и управление ПО и оборудованием, в том числе и оборудование отвечающее за безопасность ИСПДн)

Четвертая (Н4)

Шестая (И6)

Администраторы информационной безопасности ИСПДн (отвечает за правила разграничение доступа, смену паролей и т.д.)

Пятая (Н5)

Седьмая (И7)

Разработчики прикладного ПО, и осуществляющие сопровождение ПО

Заключение

Основное содержание данной курсовой работы - это расчет исходной защищенности, модели угроз и предполагаемых нарушителей:

Из расчетов данной курсовой работы видно, что степень защищённости низкая, следовательно, получили высокий коэффициент реализуемости, который равен 1. Модель угроз по расчетам - актуальная. Для снижения угрозы необходимо принять меры, для того чтобы снизить вероятность угрозы в данной организации.

Библиография

1 Методические рекомендации к выполнению курсовой работы по курсу «Компьютерные сети»

Размещено на Allbest.ur


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.