Организация защиты конфиденциальной информации в исследуемой системе

Надежная защита информационной инфраструктуры учреждения является базовой задачей в области информационной безопасности. Невозможно обеспечить стопроцентный уровень защиты информации, при этом корректно расставляя приоритеты в задачах по защите конфиденциальных данных в условиях ограниченности доли бюджета, направленной на информационные технологии.
В последние годы обеспечение информационной безопасности государственных учреждений становится все более актуальным, это показали, например, атаки на государственные учреждения начиная с 2014 году, после присоединения Крыма. Широкий спектр задач обеспечение информационной безопасности требуют непрерывной подготовки специалистов высокого уровня. Быстрое развитие информационных технологий способствует появлению новых угроз и уязвимостей. В то же время уже зарекомендовавшие себя векторы атак используются более активно злоумышленниками.
Актуальность выполненной работы в условиях угроз информационной безопасности высока.

Введение 4
Глава 1. Теоретическая часть. Анализ предметной области 6
1.1. Нормативно-правовая основа защиты информации 6
1.2. Описание предприятия 12
1.2.1 Анализ (движение) информационных потоков и информационных ресурсов 15
1.2.2 Физическая безопасность учреждения 19
1.2.3. Анализ угроз и рисков ИБ 22
1.2.4 Модель угроз и нарушителя ИБ учреждения 25
1.2.5. Основные недостатки существующей системы безопасности учреждения 29
Глава 2. Практическая часть. Совершенствование системы ИБ учреждения 35
2.1. Разработка системы защиты информации 35
2.2. Выбор целесообразных технических средств и организационных мероприятий 39
2.3. Совершенствование физической безопасности учреждения 49
Заключение 52
Список литературы 54
Приложения 57

1.1. Нормативно-правовая основа защиты информации
В Доктрине информационной безопасности РФ дается определение информационной безопасности. Под информационной безопасностью Российской Федерации понимается «состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».
В основе понятия «информационная безопасность» лежит понятие «безопасность», которое нашло свое отражение в Законе РФ «О безопасности».
Безопасность – это состояние защищенности жизненно важных интересов личности, общества, государства от внутренних и внешних угроз.
К жизненно важным интересам закон относит совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
...

1.2. Описание предприятия
Объектом выполненной работы является администрация города Реутова, административное здание располагается по адресу: 143966, Московская область, г. Реутов, ул. Ленина 27.
Основными направлениями деятельности отдела информационных технологий администрации города Реутова являются:
• обслуживание информационных систем и информационно-телекоммуникационных сетей органов исполнительной власти (далее – ОИВ);
• создание, внедрение и развитие информационных технологий в сфере государственного управления;
• обеспечение защиты информации в ОИВ.
...

1.2.2 Физическая безопасность учреждения
Охрана здания администрации города Реутов осуществляется в круглосуточном режиме из числа сотрудников ЧОП «БАРС». Вход в здание сотрудников учреждения и посетителей организован в форме пропускного режима через КПП, оснащенный турникетом и СКУД.
Пронос техники, в том числе СВТ и съемных носителей информации не ограничен.
Схема СКУД 2, 3 этажа здания администрации города Реутов изображена на рисунке 3,4.

Рисунок 3 – Схема СКУД 2 этажа здания администрации города Реутов


Рисунок 4 – Схема СКУД 3 этажа здания администрации города Реутов

В помещениях администрации города Реутов ведется видеонаблюдение (рисунок 5,6).

Рисунок 5 – Схема видеонаблюдения 2 этажа здания администрации города Реутов

Рисунок 6 – Схема видеонаблюдения 3 этажа здания администрации города Реутов

Основное серверное и телекоммуникационное оборудование размещается в серверном помещении, оснащенном системами кондиционирования, охранной и пожарной сигнализацией.
...

1.2.3. Анализ угроз и рисков ИБ
Уровни защиты информации представлены на рисунке 7.

Рисунок 7 – Уровни защиты информации

Защита информации – это набор комплексных мероприятий, совершающихся с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации, несанкционированного копирования, блокирования информации и т.п.
Из-за того, что потеря информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подходят также и мероприятия, связанные с повышением надежности сервера из-за отказов или нарушений в работе жестких дисков, недостатков в текущих программных средствах и т.д. [3, 6]
Анализ рисков является одним из способов управления ими, позволяя выбирать адекватные меры для защиты информации с помощью определения уязвимостей, угроз, а также оценки возможного воздействия, позволяя своевременно реагировать на угрозы.
...

1.2.4 Модель угроз и нарушителя ИБ учреждения
Для составления модели угроз необходимо определить наиболее важную информацию, проходящую в локальной вычислительной сети администрации города Реутов, а также хранимую на бумажных носителях.
В организации циркулируют:
• персональные данные сотрудников организации;
• персональные данные граждан РФ;
• интеллектуальная собственность;
• служебная информация;
• коммерческая тайна;
• открытая информация;
• открытая информация.
Под угрозой имеется в виду высокая существующая вероятность специального или непреднамеренного действия, в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность. [15]
Модель угроз информационной безопасности представлена в Приложении 2.
Следует иметь в виду, что финальная цель нарушения может быть разной, она варьируется от категории объекта и облика возможного нарушителя.
...

1.2.5. Основные недостатки существующей системы безопасности учреждения
Для проведения анализа систем защиты информации выбрана модель оценки Домарева, позволяющая оценить эффективность функционирования системы информационной безопасности и защищённость подсистемы технической защиты.
В.В. Домарев разработал свою модель оценки систем защиты информации, основанную на системном подходе. Понятие системности по Домареву заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы. При этом все средства, методы и мероприятия, используемые для защиты информации, объединяются в единый целостный механизм – систему защиты.
Создавая данную модель, Домарев исходил из того, что многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них.
...

2.1. Разработка системы защиты информации
Проектирование системы защиты, обеспечивающей достижение поставленных перед технической защитой информации целей и решение задач, проводится путем системного анализа существующей и разработки вариантов требуемой системы защиты.
Последовательность проектирования системы технической защиты включает три основных этапа:
1. моделирование объектов защиты;
2. моделирование угроз информации;
3. выбор мер защиты.
В общем случае подсистему технической защиты администрации города Реутов целесообразно разделить на комплексы, каждый из которых объединяет силы и средства предотвращения одной из угроз утечки информации (рисунок 10) из анализа которой видно, какими способами и средствами реализуется защита основных объектов помещения.
В общем случае комплекс защиты информации от наблюдения должен обеспечивать:
1. маскировку объектов наблюдения в видимом, инфракрасном и радиодиапазонах электромагнитных волн;

2.2. Выбор целесообразных технических средств и организационных мероприятий
Для построения подсистемы технической защиты информации рассмотренного объекта от утечки информации по техническим каналам, можно предложить следующие средства и системы защиты.
Ответственная эксплуатация ТСЗИ в современных условиях практически невозможна без комплексного подхода. Прежде всего, это обусловлено тем, что помимо реализации основных функций, необходимо обеспечить дополнительные условия функционирования:
1. комфортное оперативное управление;
2. мониторинг режима работы и исправности входящих в его состав устройств;
3. исключение возможности негативного взаимного влияния устройств, входящих в комплекс.
В связи с этим предлагается создание комплекса технических средств защиты информации (ТСЗИ), включающего в себя:
1. систему виброакустической защиты (СВАЗ);
2. систему защиты от утечек за счет побочных электромагнитных излучений и наводок (ПЭМИН);

2.3. Совершенствование физической безопасности учреждения
Для предотвращения хищения и утраты информации из рассматриваемого объекта в целях совершенствования защитных мер планируется использовать ряд мер по обеспечению информационной безопасности.
К этим мерам относятся: пожарно-охранная сигнализация, СКУД, система разграничения доступа, двери, окна.
За организацию и ведение пропускного режима и охранной деятельности отвечает служба охраны.
Двери в защищаемые помещения не являются взломостойкими, запираются на обычный ключ, не имеют тепло- и шумоизоляцию.
Во избежание утечки акустической информации с помощью лазерного устройства съема информации со стекла рекомендуется покрыть окна металлизированной пленкой, а также заменить двери. Предлагается модель Форпост М65 с дополнительной тепло- и шумоизоляцией, утолщенным корпусом с 4 контурами уплотнения и комплексной защитой цилиндра.
...

Заключение

Развитие информационных технологий и рост их значения для обеспечения потребностей социальных сфер объективно приводят к увеличению расходов на информационные технологии.
В настоящее время уровень затрат на информационные технологии организации приближается, а иногда и превышает уровень инвестиций в другие производственные процессы, вместе взятые.
Одним из наиболее широко распространенных методов является метод оценки совокупных затрат на информационные технологии позволяющий оценить совокупные затраты на информационные технологии (оборудование, инструментальные средства (ПО), процессы сопровождения информационных систем, а также действия конечных пользователей), анализировать их и соответственно управлять ИТ-затратами (бюджетом) для достижения наилучшей отдачи от ИТ в организации.
...

1. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». М.: Стандартинформ, 2011
2. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008
3. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России;
4. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России;
5. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
6. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения;
7. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью;
8. ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности;
9. ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем;
10. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий;
11. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 5 декабря 2016 г. №646).
12. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. №149 - ФЗ // «Российская газета» от 29 июля 2006 г.
13. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
14. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
15. Постановление Правительства Российской Федерации от 15.09. 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
16. Постановление Правительства РФ от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
17. Альтерман, А.Д. Современное программное и аппаратное обеспечение, Международный научный журнал «Инновационное развитие», Пермь, 2017
18. Астахов А.М. Искусство управления информационными рисками, ДМК Пресс, 2015
19. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие, Риор, 2018
20. Бирюков, А.А. Информационная безопасность: защита и нападение, ДМК Пресс, 2013
21. Воронов А.А. Обеспечение системы управления рисками при возникновении угроз информационной безопасности, Информация и безопасность,2016
22. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие, Форум, 2018
23. Денисов Ю. А Экономьте время и деньги. Часть 1. Построение локальной сети, «Системный администратор», 2011
24. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты, ТИД Диа Софт, 2012
25. Лушников, Н.Д. Комплексная установка элементов системы безопасности предприятий, Международный научный журнал «Инновационное развитие», Пермь, 2017
26. Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие, ИНФРА-М, 2016
27. Торокин А.А. Инженерно-техническая защита информации, Гелиос АРВ, 2015
28. Трофимова, Н.О. Анализ угроз информационной безопасности. Экономика и социум, М., 2016
29. Хорев, А.А. Защита информации от утечки по техническим каналам. Технические каналы утечки информации: учеб. пособие, Гостехкомиссия России, 2008
30. Эпельфельд И.И., Сухотерин А.И. Рекомендации по внедрению защищенного документооборота на предприятии, Сборник материалов XV Ежегодной научной конференции студентов Финансово-технологической академии. Часть 1, Королёв: Финансово, 2017
31. Научная электронная библиотека. [Электронный ресурс] - Режим доступа: http://www.elibrary.ru (дата обращения 10.05.2020)