Совершенствование модели системы информационной безопасности федерального государственного бюджетного учреждения

Целью является разработка комплексной системы защиты электронного документооборота (КСЗЭД) ФГБУЦИТП Минздрава России и мероприятий по ее внедрению и управлению. Приемы и способы исследования
Объектом исследования является ФГБУЦИТП Минздрава России, а предметом исследования - комплексная система защиты электронного документооборота ФГБУЦИТП Минздрава России.
Для достижения поставленной цели в работе решались следующие задачи:
1. на основе анализа условий функционирования автоматизированных информационных систем ФГБУЦИТП Минздрава России определить актуальные требования, предъявляемые к системе защиты электронного документооборота;
2. разработать методику оценки эффективности защиты электронного

Введение 3
1.Анализ условий и факторов, оказывающих влияние на систему обеспечения ИБ предприятия 8
1.1.Внешние факторы 8
1.2.Внутренние факторы 32
1.3.Цель исследования 41
2.Совершенствование модели системы обеспечения информационной безопасности 53
2.1.Развитие политики обеспечения ИБ предприятия 53
2.2.Усовершенствование модели обеспечения ИБ 61
2.3.Оценка влияния усовершенствованной модели на усовершенствование ИБ 69
3.Рекомендации руководству по реализации предложений по совершенствованию ИБ 80
3.1.Предложение по внедрению 80
3.2 Практические рекомендации по управлению комплексной системой защиты электронного документооборота в процессе функционирования предприятия 87
3.3 Рекомендации по совершенствованию системы ИБ 92
Заключение 97
Источники, использованные при разработке 104
Приложения 110

- Введение и частая смена паролей.
- Использование криптографических средств защиты информации.
Угрозами конфиденциальности являются:
- кражи оборудования;
- делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;
- открытие портов;
- установка нелицензионного ПО;
- злоупотребления полномочиями.
Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:
- Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет;
- Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;
- Внутренний отказ информационной системы, т.е.
...

1.Анализ условий и факторов, оказывающих влияние на систему обеспечения ИБ предприятия
1.1.Внешние факторы
Автоматизация документооборота позволяет более продуктивно организовывать работу предприятия. Быстрое получение бумажного и электронного образцов документа посредством использования технологий сканирования, распознавания и печати документа делает легко доступным переход от бумажной версии документа к электронной и обратно. Перенос документов из бумажного представления в электронное не требует значительных финансовых затрат, при этом появляется возможность использования преимуществ компьютеров для повышения качества и эффективности управления предприятием.
Одним из способов автоматизации документооборота является внедрение АИС. Как известно, АИС это комплекс технических, программных, других средств и персонала, предназначенный для сбора, хранения, поиска и выдачи информации потребителям по их запросам.
...

2.1.Развитие политики обеспечения ИБ предприятия
В настоящее время существует множество методов оценки эффективности защиты информации на предприятии. Их можно разделить на 3 группы:
• методы основанные на оценке экономических рисков [5, 33, 7, 34];
• методы основанные на расчетах результатов экспертных оценок [13, 1];
• методы оценки на основе коэффициента защищенности [13, 9].
Методы основанные на оценке экономических рисков базируются на расчете возможных экономических потерь предприятия от разглашения, нарушения целостности и доступности конфиденциальной информации. Поскольку на предприятии работают с разнотипной конфиденциальной информацией стоимость потерь которой может сильно разниться, то расчет оценки эффективности защиты всей конфиденциальной информации методами из данной группы становится достаточно трудоемкой задачей.
...

2.2.Усовершенствование модели обеспечения ИБ
Анализ работ в области построения АИС различного назначения [44] показал, что важнейшим концептуальным требованием к архитектуре КСЗЭД должно быть требование адаптируемости, т.е. способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования АИС предприятия. Важность требования тем, что перечисленные факторы могут существенно изменяться, а с другой - тем, что процессы защиты электронных документов относятся к слабоструктурированным, то есть содержащим высокий уровень неопределенности. Управление слабоструктурированными процессами может быть эффективным лишь при условии наличия системы защиты и наличия в ней механизмов, позволяющих системе адаптироваться к изменяющимся условиям.
Помимо общего концептуального требования к КСЗЭД предъявляется еще целый ряд требований, которые могут быть разделены на функциональные, эргономические, экономические, технические и организационные.
...

2.3.Оценка влияния усовершенствованной модели на усовершенствование ИБ
Вполне понятно, что предлагаемая КСЗЭДФГБУЦИТП Минздрава России не эффективна до тех пор, пока не будут определены степень ответственности и функции каждого сотрудника, занимающегося поддержкой АИС предприятия, порядок действий сотрудников в различных ситуациях, степень защищенности тех или иных ЭлД. С этой целью на предприятии должны быть разработаны ряд руководящих документов, инструкций, правил, которыми должны руководствоваться сотрудники в ходе их повседневной деятельности.
Исследования показали, что наиболее целесообразным, для предприятия является организация информационной безопасности согласно требованиям международного стандарта ISO17799, созданного в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией.
...

3.1.Предложение по внедрению
Как было показано в предыдущих главах, КСЗЭД предприятия представляет собой достаточно сложную структуру, учитывающую самые различные механизмы исключения НСДк конфиденциальным ЭлД, поэтому ее внедрение, эксплуатацию, модернизацию и управление в повседневной деятельности должны осуществлять специально обученные сотрудники предприятия. Число таких сотрудников и их место в общей организации кадров предприятия зависит от размеров самого предприятия, его целей, а так же принятой модели организации управления предприятием.
Исследования показали, что сотрудники, занимающиеся вопросами защиты ЭД должны организационно входить в состав подразделения занимающегося вопросами информационной безопасности.
На схеме во главе предприятия стоит его генеральный директор, в подчинении которого находятся заместители, отвечающие за свою сферу деятельности и руководящие соответствующим отделом.
...

3.2 Практические рекомендации по управлению комплексной системой защиты электронного документооборота в процессе функционирования предприятия
Вполне понятно, что предлагаемая КСЗЭД не эффективна до тех пор, пока не будут определены степень ответственности и функции каждого сотрудника, занимающегося поддержкой АИС предприятия, порядок действий сотрудников в различных ситуациях, степень защищенности тех или иных ЭлД. С этой целью на предприятии должны быть разработаны ряд руководящих документов, инструкций, правил, которыми должны руководствоваться сотрудники в ходе их повседневной деятельности.
Исследования показали, что наиболее целесообразным, для предприятия является организация информационной безопасности согласно требованиям международного стандарта ISO 17799, созданного в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией.
...

3.3.Рекомендации по совершенствованию системы ИБ
Управление КСЗЭД предприятия представляет собой деятельность руководства предприятия по планированию и реализации мероприятий, обеспечивающих выполнение целей и задач, определенных Политикой безопасности. Основная цель управления заключается в сохранении структуры КСЗЭД и поддержания установленного режима ее работы. В соответствии с предложенной схемой организации оно осуществляется следующими должностными лицами:
• заместителем генерального директора по собственной безопасности предприятия. Он несет ответственность за организацию и согласование работ по обеспечению безопасности предприятия, в том числе по вопросам защиты ЭД, как одной из составляющих информационной безопасности предприятия.
...

Заключение

1. Для управления КСЗЭД предприятия, в зависимости от штатной численности сотрудников необходимо иметь специальные органы управления. В крупных предприятиях (штат свыше 1000 человек), в службе информационной безопасности отдела собственной безопасности необходимо иметь: секцию защиты локальной сети; секцию защиты серверов предприятия и секцию защиты АИС предприятия.
На малом производстве (штатная численность до 100 человек) где отсутствует отдел собственной безопасности предприятия возможно совмещение ряда функций сотрудниками службы администрирования.
Анализ взаимодействия секции защиты АИС службы информационной безопасности с различными подразделениями предприятия позволил выявить восемь основных информационных потоков, необходимых для обеспечения ее деятельности. Форма и содержание предоставляемой информации этими подразделениями в секцию защиты АИС, как правило, определяются общими требованиями, разработанными на данном предприятии.

Источники, использованные при разработке
1. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года.
2. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 года.
3. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждена руководством 8 Центра ФСБ России 21 февраля 2008 года, № 149/54-144.
4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Приложения
Приложение 1.
Оценка эффективности защиты ЭД предприятия при использовании штатных мер защиты, реализованных в АИС.

Число атак реализующих угрозу (из параграфа 1.
...

1. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года.
2. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 года.
3. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждена руководством 8 Центра ФСБ России 21 февраля 2008 года, № 149/54-144.
4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
7. «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», одобренные решением коллегии Гостехкомиссии России № 7.2 от 2 марта 2001 г.
8. «Отчет об обследовании информационно-аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации».
9. «Порядок проведения классификации информационных систем персональных данных». Утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
10. «Положение о методах и способах защиты информации в информационных системах персональных данных» приложение к приказу ФСТЭК России от 05.02.2010 г. № 58.
11. «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 года № 66 (зарегистрирован Минюстом России 3 марта 2005 года, регистрационный № 6382).
12. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года, № 149/6/6-622.
13. «Модель угроз безопасности ПДн для информационно - аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАСЦАМЗРФ)»
14. Федеральный закон Российской Федерации 2006 года № 152-ФЗ «О персональных данных».
15. Указ Президента Российской Федерации 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».
16. Регламент распределения и инсталляции ключевых дистрибутивов в ИАСЦАМЗРФ.
17. Руководство администратора безопасности ИАСЦАМЗРФ.
18. Положение о методах и способах защиты информации в информационных системах персональных данных».Приложение к приказу ФСТЭК России от 05.02.2010 г. № 58
19. Руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (в тексте, для краткости, - РД «МЭ»)
20. Гольдштейн Р.В. О построении эффективной многоуровневой защиты в иерархических сложных технических системах/ Р.В.Гольдштейн, Д.А.Онищенко. -М., 1995.-23 с.
21. ГрушоA.A. Теоретические основы защиты информации/ А.А.Грушо, Е.Е.Тимонина. -М.: Изд-во Агентства "Яхтсмен", 1996. - 188 с.
22. Турин H.H. Защита систем электронной почты сети интернет от неправомерного использования -М., 1998. - 66 с.
23. Гусева H.H. Методология и алгоритмы комплексной оценки экономической эффективности функционирования системы защиты информации корпоративной сети: Науч. монография -М.: МЭСИ, 2004. -236 с.
24. Данько Н.И. Информационные системы и технологии предприятия: Учебное пособие для студентов 4 курса заочн. отд-ния фак. "Бизнес- управление" -X.: Нар. укр. акад., 2001. - 72с.
25. ДомаревВ.В. Безопасность информационных технологий. Методология создания систем защиты -M.: DiaSoft, 2002. - 671 с.
26. ЗавгороднийВ.И. Комплексная защита информации в компьютерных системах : Учеб.пособие для студентов вузов -М.: Логос, 2001.-263 с.
27. ЗамулаА.А. Методология анализа рисков и управления рисками. Радиотехника: Всеукр. межвед. науч.-техн. сб. 2002. Вып. 126.
28. Защита объектов и информации от несанкционированного доступа/ В.И.Дикарев, В.А.Заренков, Д.В.Заренков, Б.В.Койнаш; Под ред. В.А. Заренкова. -СПб.: Стройиздат СПб., 2004. - 319 с.
29. Захаров А.П. Методология оценки информационной безопасности профиля защиты, http://beda.stup.ac.ru/rv-conf/
30. ИзрайлевА.И. Электронный документооборот: перспективы на 2005 год // Informationsecurity. Информационная безопасность. - 2004. №5, ноябрь. - С. 14.
31. Инструкция по безопасности информации. Приложение 2 к документу С 2001-70, редакция 1-0 от 06.08.2001.
32. Информационная безопасность. Защита информации от компьютерных вирусов в сетях ЭВМ : Учеб. пособие/ С.В.Молотков, Д.П.Зегжда, Ю.И.Мазничка, В.А.Петров. -М., 1993. - 68 с.
33. Информационная безопасность: экономические аспекты // Jetinfo. - 2003. №10.-С. 3-24.
34. Информационные ресурсы развития Российской Федерации: Правовые проблемы / Ин-т государства и права. - М.: Наука, 2003. - 403 с.
35. КалендаревА.С. Защита корпоративных сетей : Учеб. пособие/ А.С.Календарев, М.Г.Пантелеев. -СПб, 1999. - 63 с.
36. Киселев А.В. О соответствии систем автоматизации электронного документооборота требованиям ФСТЭК России. IX Международная конференция "Комплексная защита информации": материалы конференции (1-3 марта 2005 года, Раубичи (Беларусь)). - Мн.: ОИПИ НАН Беларуси, 2005. - С.74-77
37. Киселев А.В. Методы фильтрации "спама" во входящих электронных документах. IX Международная конференция "Комплексная защита информации": материалы конференции (1-3 марта 2005 года, Раубичи (Беларусь)). - Мн.: ОИПИ НАН Беларуси, 2005. - С.127-129
38. Киселев А.В. Электронная цифровая подпись, как один из способов защиты электронного документооборота. VIII Международная конференция "Комплексная защита информации": материалы
39. Киселев А.Н. Информационные системы управления промышленными предприятиями. Учебное пособие / А.Н.Киселев, А.А.Копанев, Р.Э.Францев Издание второе, переработанное. - СПб.: СПГУВК, 2001 - 128 с.
40. Клименко C.B. Электронные документы в корпоративных сетях: второе пришествие Гутенберга / С.В.Клименко, И.В.Крохин, В.М.Кущ, ЮЛ.Лагунин -М.: Эко-Трендз, 1999. - 272 с.
41. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям // Jetinfo. - 2004. №6.-С. 2-16.
42. Компьютерная преступность и информационная безопасность / Под общ. ред. А.П.Леонова -Мн: АРИЛ, 2000.— 552 с.
43. КонеевИ.Р., Беляев A.B. Информационная безопасность предприятия. - СПб: БХВ-Петербург, 2003. - 752с.
44. КонявскийВ.А. Основы понимания феномена электронного обмена информацией / В.А. Конявский, В.А. Гадасин -Мн: "Беллитфонд", 2004. - 282 с.
45. КонявскийВ.А. Техническая защита электронных документов в компьютерных системах // Управление защитой информации - 2003. Том 7, №4.-С. 437-443.
46. КонявскийВ.А. Управление защитой информации на базе СЗИНСД "Аккорд" -М.: Радио и связь, 1999. - 324 с.
47. Коул Э. Руководство по защите от хакеров: Пер. с англ. -М.: Вильяме, 2002. - 634 с.
48. Кузьминов Т.В. Криптографические методы защиты информации/ Т.В.Кузьминов; Отв.ред. В.А.Евстигнеев. -Новосибирск: Наука. Сиб.предприятие РАН, 1998. - 185 с.
49. Куликов Г.Г. Системы управления деловыми процессами и документами в управлении безопасностью и риском / Г.Г. Куликов, О.М. Куликов, И.У. Ямалов -Уфа : УГАТУ, 2000. - 121с.
Лиховидов М.В., ПолещенкоВ.Я. Применение цифровой подписи в системах электронного документооборота // Управление защитой информации - 2004. Том 8, №1. - С. 63 - 68.