РОССИЙСКАЯ ФЕДЕРАЦИИЯ
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ООБРАЗОВАНИЯ
«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
ИНСТИТУТ МАТЕМАТИКИ И КОМПЬЮТЕРНЫХ НАУК
КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Допустить к защите в ГАК
Заведующий кафедрой информационной безопасности
д.т.н. профессор
А.А. Захаров
(подпись)
«___» ________20__ г.
Евдокимов Павел Андреевич
АНАЛИЗ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ГОСУДАРСТВЕННОМ УЧРЕЖДЕНИИ.
(Выпускная квалификационная работа)
Научный руководитель:
Старший преподаватель
К.А. Бажин
(подпись)
Автор работы:
П.А.Евдокимов
Тюмень, 2014
Оглавление
Оглавление 3
Введение 6
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 13
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ 20
Нормативно правовая база по защите персональных данных. 26
Федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ. 26
Постановление Правительства № 687 27
Постановление Правительства № 1119 27
Приказ ФСТЭК №21 28
Приказ ФСТЭК №17 29
Базовая модель угроз безопасности персональных данных и Методика определения актуальных угроз 29
Общие положения 31
Объекты угроз 38
Основные ресурсы, содержащие персональные данные 38
Модель нарушителя 40
Описание нарушителей безопасности ПДн 40
Внешние нарушители 41
Описание каналов атак 42
Внутренние нарушители 43
Зарегистрированные пользователи ИСПДн 44
Предположения об имеющейся у нарушителя информации об объектах атак. 45
Предположения об имеющихся у нарушителя средствах атак 45
Описание каналов атак 46
Основными объектами атак являются: 47
Определение типа нарушителя 47
Идентификация уязвимых звеньев 50
Идентификация уязвимых по отношению к НСД звеньев ИСПДн 50
Определение актуальных угроз безопасности ПДн 55
Определение уровня исходной защищенности ИСПДн 55
Вероятность реализации угроз ЗС 57
Опасность реализации угроз ЗС 58
Определение необходимого уровня защищенности ПДн 63
Требования к обеспечению безопасности ПДн по приказам ФСТЭК №17 и №21 65
Актуальный перечень угроз ЗС 65
Организационные меры защиты персональных данных 65
Технические меры защиты персональных данных 68
Защита от утечек по каналам побочных электромагнитных излучений и наводок 68
Защита от утечек видовой информации 69
Защита от несанкционированного доступа к информации, содержащей персональные данные. 69
Заключение 76
Список использованной литературы 77
Приложение №1 78
Приложение №2 80
Приложение №3 102
Приложение №4 110
Инструкция по организации защиты информации автоматизированной информационной системы ПФР (далее – Инструкция) разработана в соответствии с требованиями «Концепции безопасности информации автоматизированной информационной системы ПФР».
Инструкция определяет цели и основные задачи защиты информации автоматизированной информационной системы (АИС) Пенсионного фонда Российской Федерации, основные требования и единый порядок ее организации в органах ПФР.
Нормативной базой Инструкции являются федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, регулирующие вопросы безопасности информации.
Инструкция является нормативным документом ПФР, обязательным для выполнения (в части касающейся) всеми работниками системы ПФР.
Лица, виновные в нарушении правил обеспечения защиты информации АИС, могут быть привлечены к дисциплинарной ответственности.
Лица виновные в нарушении безопасности информации АИС ПФР могут быть привлечены к административной или уголовной ответственности в соответствии с действующим законодательством Российской Федерации.
Целью защиты информации АИС ПФР является достижение ее безопасности, то есть состояния защищенности информации от внешних и внутренних угроз, характеризуемого способностью персонала, технических средств и информационных технологий обеспечить в процессе обработки ее конфиденциальность целостность, доступность и аутентичность.
Защите подлежит вся циркулирующая в АИС ПФР информация. Методы и меры защиты ресурсов определяются дифференцированно, исходя из их важности, особенностей реализации и использования. Защита общедоступной информации производится только в целях обеспечения ее целостности, доступности и аутентичности.
Цель защиты информации АИС ПФР достигается решением следующих задач:
реализация комплекса мер по предотвращению противоправного получения информации Пенсионного фонда или ее несанкционированной передачи (распространения);
своевременное обнаружение фактов несанкционированного доступа к информации и предотвращение неавторизованного (неполномочного) воздействия на информационные ресурсы;
недопущение воздействия на технические средства обработки и хранения информации, нарушающего их функционирование;
предупреждение неблагоприятных последствий нарушения порядка доступа к информации;
обеспечение восстановления в приемлемые срокиинформации после не предусмотренной технологией ее обработки модификации, в том числе уничтожения.
техническое и программное обеспечение автоматизированной информационной системы ПФР;
информационно-телекоммуникационная сеть ПФР;
информационные ресурсы, представленные в виде носителей на различной физической основе, информативных физических полей, информационных массивов и баз данных;
помещения, в которых размещаются носители или средства обработки защищаемой информации;
все технические средства и системы, размещенные в помещениях, в которых обрабатывается (циркулирует) информация ограниченного доступа;
система защиты информации.
Выполнение задач защиты информации в АИС ПФР обеспечивается организацией эффективной системы защиты информации – комплексным применением организационных и технических (программно и аппаратно реализуемых) мероприятий:
созданием системы нормативных (руководящих) документов по организации защиты;
четким распределением ответственности в вопросах защиты информации между должностными лицами и работниками органов системы ПФР;
установлением персональной ответственности работников органов системы ПФР за обеспечение безопасности обрабатываемой информации;
организацией выполнения подразделениями, должностными лицами и работниками органов ПФР требований нормативных документов по защите информации;
юридической защитой безопасности информации при ее предоставлении сторонним организациям;
своевременным выявлением угроз безопасности информации и принятием соответствующих мер защиты;
дифференцированием мер защиты в зависимости от степени угрозы и важности объекта защиты;
комплексным применением программно и аппаратно реализованных средств защиты информации от несанкционированного доступа к ней и от специальных воздействий на информационные ресурсы в целях их уничтожения, искажения, блокирования или фальсификации;
регламентированием порядка применения средств ввода-вывода информации и контролем его выполнения;
содержанием актуальных резервных копий информационных ресурсов;
применением прикладных программных продуктов, отвечающих требованиям обеспечения защиты информации;
содержанием штата специалистов по защите информации, организацией эффективной системы их профессиональной подготовки и повседневной деятельности;
организацией контроля доступа в помещения и здания ПФР, их охраной в нерабочее время;
проведением аттестации помещений, специальных исследований и специальных проверок технических средств ПФР;
систематическим анализом безопасности информации и совершенствованием системы её защиты;
эффективной противопожарной защитой;
приданием мероприятиям защиты информации характера обязательных элементов производственного процесса ПФР, а требованиям по их исполнению – элементов производственной дисциплины;
глубоким знанием и пониманием работниками требований безопасности информации.
Применение технических средств защиты информации в ПФР основано на принципах безопасности, правомочности и эффективности. Используемые средства должны соответствовать требованиям всех указанных принципов.
Безопасность. Применяемые технические средства защиты должны иметь сертификат компетентных государственных органов (организаций):
отсутствия деструктивного воздействия на защищаемую информацию или возможности их использования для такого воздействия;
обеспечения требуемого уровня защищенности.
Правомочность. Для обеспечения защиты информации ПФР используются лицензированные или свободно распространяемые программные средства защиты.
Эффективность. Защита информации должна обеспечивать положительный результат, соотносимый с затратами ресурсов на ее реализацию.
В ПФР комплексно применяются организационные и технические методы защиты информации АИС ПФР.
К числу основных организационных методов защиты информации, применяемых в ПФР, относятся:
разработка системы нормативных (руководящих) документов по защите информации;
документальное оформление требований к защите информации;
определение порядка отнесения данных к информации ограниченного доступа;
определение перечня защищаемых помещений;
минимизация перечня лиц, допущенных к информации ограниченного доступа;
учет и контроль перемещения носителей информации ограниченного доступа;
контроль допуска в здания работников и посетителей;
нормативное определение порядка обмена информацией ограниченного доступа с другими организациями;
организация допуска к информационным ресурсам;
организация контролируемой зоны и видеонаблюдения помещений и прилегающей к зданиям территории; разграничение прав доступа к информационным ресурсам;
минимизация выхода побочных излучений за пределы контролируемой зоны;
доведение до пользователей АИС ПФР требований по защите информации и обучение их правилам работы в АИС.
К числу основных технических методов защиты информации, применяемых в ПФР, относятся:
использование корпоративной информационно-телекоммуникационной сети;
шифрование данных при передаче и хранении (криптографическая защита);
использование электронной цифровой подписи;
аутентификация пользователей вычислительных средств и информационных ресурсов;
резервное копирование данных;
авторизация доступа к информации;
применение межсетевых защитных (фильтрующих) экранов;
использование протоколов, обеспечивающих маршрутизацию сообщений;
|