Дипломная работа Проектирование системы защиты конфиденциальной информации

Цель выпускной квалификационной работы является проектирование системы защиты конфиденциальной информации в организации OOO «МаксТрейдинг»
Для достижения цели ВКР решены следующие задачи:
1) Определить виды защищаемой информации на предприятии OOO «МаксТрейдинг»;
2) Определить существующие угрозы и уязвимости информации;
3) Произвести анализ деятельности организации и циркулирующих информационных потоков, несущих конфиденциальную информацию;
4) Определить общие принципы защиты конфиденциальной информации;
5) Произвести выбор средств защиты от НСД и межсетевой защиты;
6) Разработать проект системы информационной безопасности на предприятии OOO «МаксТрейдинг»;
7) Оценить экономическую эффективность от внедрения СИБ OOO «МаксТрейдинг».

СПИСОК СОКРАЩЕНИЙ 4
ВВЕДЕНИЕ 6
1. ТЕОРЕТИЧЕСКИЙ РАЗДЕЛ 8
1.1 Виды защищаемой информации 8
1.2 Угрозы и уязвимости информации 11
1.3 Уязвимости web-приложений 21
1.4 Несанкционированный доступ 31
1.5 Анализ деятельности предприятия ООО «МаксТрейдинг» 35
1.5.1 Анализ организационной деятельности ООО «МаксТрейдинг» 35
1.5.2 Анализ информационных потоков организации 42
1.5.3 Исследование возможных угроз 46
2 ОПИСАНИЕ КОМПЛЕКСНЫХ МЕР ПО ПРЕДОТВРАЩЕНИЮ АКТУАЛЬНЫХ УГРОЗ 47
2.1 Общие принципы защиты персональных данных 47
2.2 Система обеспечения информационной безопасности 51
2.3 Этапы создания системы обеспечения информационной безопасности 53
2.4 Выбор средств межсетевой защиты 56
3 ВНЕДРЕНИЕ СИСТЕМЫ ЗАЩИТЫ В ТЕСТОВОМ РЕЖИМЕ 59
3.1 Внедрение СОВ 59
3.2 Выбор и внедрение средств защиты рабочих станций и сервера от НСД 71
3.3 Разработка организационных мероприятий по защите конфиденциальной информации 76
3.4 Экономическая эффективность от внедрения СОВ на предприятии 80
ЗАКЛЮЧЕНИЕ 88
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 91
ПРИЛОЖЕНИЕ А 96

ВВЕДЕНИЕ
В настоящее время технические средства ПЭВМ, компьютерные сети, автоматизированные системы находят применение в различных сферах деятельности человека. Одна из таких сфер — управление производственными и технологическими процессами. Автоматизированная система управления производственными и технологическими процессами является сложной системой, которая требует защиты, т. к. получение управления производственными и технологическими процессами третьими лицами может привести к серьёзным материальным затратам, гибели людей, техногенным катастрофам и т. п.
Сформированный защитные меры относительно информации, информационных систем, сервисов или сетей и касающиеся их информационной безопасности (ИБ) не всегда могут полностью гарантировать защиту. После внедрения таких мер могут остаться уязвимые места, которые повлекут за собой возникновение инцидентов информационной безопасности, снижение уровня защищенности информации, и, как правило, выявление новых угроз.
...

1.1 Виды защищаемой информации
Прежде чем проектировать систему защиты информации на предприятии, необходимо определить, какая информация подлежит защите.
Информация подразделяется на общедоступную информацию и ограниченного доступа
Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
К информации ограниченного доступа относят государственную тайну и сведения конфиденциального характера (конфиденциальная информация). Перечень сведений конфиденциального характера определен в указе президента N 188 в РФ. [1]. Согласно данному указу в РФ действует следующий перечень сведений конфиденциального характера:

1.2 Угрозы и уязвимости информации
Угрозы безопасности защищаемой информации подробно изложены в "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных [13] . Хотя этот документ создан только для персональных данных, но его также можно распространить и на остальные виды конфиденциальной информации, так как любая конфиденциальная информация, включая персональные данные, может существовать в речевой, документированной и телекоммуникационной формах Полный список возможных угроз представлен на рисунке А.1 (приложение А).
...

1.3 Уязвимости web-приложений
Web-приложения, написанные на языках, использующих JavaScript/PHP и др. могут быть уязвимы к таким традиционным атакам как XSS, могут быть произведены манипуляция кодом и содержимым SQL-инъекции и PHP-инъекции.
Одной из главных причин возникновения таких уязвимостей является недостаточное знание безопасных методов программирования разработчиками web-приложений. В результате получается, что защита приложения не является основной целью разработки. Другая причина появления уязвимостей - это большая сложность свойственная онлайновым системам, что требует создание комплексных проектов и логики программирования.
Ниже рассмотрены атаки на web-приложения.
1. Межсайтовый скриптинг (XSS). Межсайтовый скриптинг (или XSS) — это один из самых распространенных видов хакерской атаки на прикладном уровне. Целью XSS является вставка в страницу скриптов, которые обычно выполняются на стороне клиента (в браузере пользователя), а не на сервере.
...

• Несанкционированный доступ
ОА
• Обнаружение аномалий
ООО
• Общество с ограниченной ответственностью
ОС
• Операционная система
ПАК
• Программно-аппаратный комплекс
ПО
• Программное обеспечение
ПЭВМ
• Персональная электронно-вычислительная машина
СИБ
• Система информационной безопасности
СКЗИ
• Средство криптографической защиты информации
СМС
• Служба коротких сообщений
СОВ
• Система обнаружения вторжений
СПВ
• Система предотвращения вторжений
ФСБ
• Федеральная служба безопасности
ФСТЭК
• Федеральная служба по техническому и экспортному контролю
ЭВМ
• Электронно-вычислительная машина
ВВЕДЕНИЕ
В настоящее время технические средства ПЭВМ, компьютерные сети, автоматизированные системы находят применение в различных сферах деятельности человека. Одна из таких сфер — управление производственными и технологическими процессами.
...

1.5.1 Анализ организационной деятельности ООО «МаксТрейдинг»
ООО «МаксТрейдинг» является коммерческой фирмой и осуществляет свою деятельность в соответствии с Федеральным законодательством Российской Федерации. Общество считается созданным, как юридическое лицо с момента его государственной регистрации.
Организационно-правовая форма фирмы - ООО. Форма собственности - частная.
Общество осуществляет свою деятельность для удовлетворения потребностей физических и юридических лиц в товарах и услугах, производимых Обществом, с целью излечения прибыли.
ООО «МаксТрейдинг» является юридическим лицом, имеет расчетный счет, текущий счет в банке, бланки со своим фирменным наименованием, собственную эмблему, а также зарегистрированный в установленном порядке товарный знак. Целью создания фирмы является получение прибыли и оказания необходимых услуг потребителям.
Всего в фирме числятся 15 человек. Организационная структура фирмы ООО «МаксТрейдинг» представлена на рисунке 1.11.
...

1.5.2 Анализ информационных потоков организации
Под информационными потоками понимают физические перемещения информации между сотрудниками организации или подразделениями. Изменение информации не может рассматриваться в качестве информационного потока. Системой информационных потоков называют совокупность всех физических перемещений информации. Система информационных потоков дает возможность осуществить какой-либо бизнес-процесс организации.
С точки зрения защиты информацию можно разделить на две группу:
- Информация ограниченного доступа;
-Открытая информация.
Согласно статье 9 ФЗ N149-ФЗ [6] к информации ограниченного доступа относят следующую информацию (таблица 1.2).
Таблица 1.2

Сведения, отнесенные к категории ограниченного доступа
Сведения категории ограниченного доступа
Основания отнесения сведений к категории ограниченного доступа
Информация, отнесенная к категории ограниченного доступа
Государственная тайна
Статья 5 Закона РФ от 21.07.
...

2.1 Общие принципы защиты персональных данных
Защита ПДн – это совокупность организационных и технических методов защиты информации, а также процесс мероприятия по установления и поддержанию защищенности ПДн.
...

2.2 Система обеспечения информационной безопасности

Система обеспечения информационной безопасности (СОИБ) является комплексным решением, позволяющим определять актуальные угрозы и уязвимость информации и организовывать защиту информации в организации надлежащим образом. 
СОИБ решает следующие задачи:
1) Защита информационных активов, информационно-телекоммуникационной инфраструктуры предприятия или организации, а именно:
• Аудит ИБ (информационной безопасности);
• защита от несанкционированного доступа (НСД);
• сетевая безопасность;
• криптографическая защита информации;
• защита баз данных;
• защита приложений;
• защита виртуальных платформ.
...

2.3 Этапы создания системы обеспечения информационной безопасности
Этапы создания СОИБ изображены на рисунке 2.2.

Рисунок 2.2 – Этапы создания СОИБ

Выделяют 4 этапа создания СОИБ:
• Планирование Системы.
• Реализация Системы.
• Проверка Системы.
• Совершенствование Системы.
Этап планирования включает в себя следующие подэтапы:
1) Определение области и границы действия СОИБ.
2) Определение политики СОИБ.
3) Определение подхода к оценке риска в организации. 
4) Идентификация рисков.
5) Анализ и оценка рисков.  
6) Определение и оценка различных вариантов обработки рисков .
7) Выбор цели и меры управления для обработки рисков. 
8) Получение подтверждения руководством предполагаемых остаточных рисков.
9) Получение разрешения руководства на внедрение СОИБ. 
10) Подготовка Положения о применимости.
Этап реализации (внедрения и функционирования) СОИБ включает:
1) Разработку плана обработки рисков.
...

2.4 Выбор средств межсетевой защиты
Межсетевые экраны обеспечивают безопасность границ компьютерной сети, обеспечивают целостность ее периметра в точках подключения внутренней защищенной сети к внешней неконтролируемой сети (как правило, сети Интернет). В переводной литературе также встречаются альтернативные термины для МЭ - firewall или брандмауэр.
МЭ обеспечивает защиту автоматизированных систем путем фильтрации сетевых пакетов проходящих через него. То есть содержимое сетевого пакета анализируется по ряду критериев на основе заданных правил, затем принимается решение о его дальнейшем продвижении. Подобным способом межсетевой экран разграничивает доступ между АС. Правила реализуются применением последовательной фильтрации. Т.е. в межсетевых экранах присутствует набор фильтров, разрешающих или запрещающих передачу данных (пакетов) на следующий фильтр.

Рисунок 2.
...

3.1 Внедрение СОВ
В предыдущей главе были описаны средства межсетевой защиты. В качестве средства межсетевой защиты было решено использовать СОВ, так как она наиболее полноценно защищает сеть организации от вторжений извне.
В качестве СОВ был выбран детектор атак «Континент».
Детектор атак контролирует следующие данные о сетевом трафике:
• сетевой адрес;
• используемый порт;
• значения полей сетевого пакета;
• аппаратный адрес устройства (при отсутствии сетевого адреса);
• идентификаторы протоколов;
• последовательность команд протоколов (при наличии);
• размер полей пакета;
• интенсивность трафика.
Анализ данных с целью обнаружения вторжений осуществляется с использованием сигнатурного и эвристического методов.
Метод сигнатурного анализа основан на применении набора решающих правил, предварительно загруженных в базу данных ЦУС и постоянно обновляемых с требуемой периодичностью.
...

3.2 Выбор и внедрение средств защиты рабочих станций и сервера от НСД
Основную же роль в обеспечении безопасности компьютеров в сети, играют СЗИ от НСД. СЗИ от НСД являются обязательными для применения в целом ряде ситуаций. Например, использование СЗИ от НСД необходимо при создании ИС, которые подлежат аттестации по требованиям регуляторов информационной безопасности, а также при защите ИС, в которых обрабатываются персональные данные граждан, сведения, составляющие государственную тайну и т. д. Согласно Руководящему документу "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" [30] СЗИ от НСД должно обеспечивать безопасность информации следующими четырьмя основными подсистемами:
1. Подсистема идентификации и аутентификации;
2. Подсистема регистрации и учета;
3. Подсистема криптографической защиты;
4. Подсистема обеспечения целостности.
...

3.3 Разработка организационных мероприятий по защите конфиденциальной информации
Кроме того, в организации должен быть предусмотрен порядок работы с конфиденциальной информацией, а именно, коммерческой тайной и персональными данными.
Что касается сведений, составляющих коммерческую тайну, организация сама устанавливает перечень таких сведений. После установления такого перечня организация должна принять меры по защите конфиденциальной информации в соответствии с ФЗ № 98-ФЗ, а именно:
• ограничить доступ к защищаемой информации путем установления порядка обращения с ней и контролем соблюдения этого порядка;
• вести учет лиц, которые получили доступ к защищаемой информации;
• регулировать отношения по использованию защищаемой информации работниками организации на основании трудовых договоров;
• нанести на материальные носители или реквизиты документов с защищаемой информацией грифа «Коммерческая тайна», а также указать обладателя этой информации.
...

3.4 Экономическая эффективность от внедрения СОВ на предприятии
Установка СОВ защититься от атак и вторжений в сеть, в результате которых могут быть реализованы угрозы безопасности объекта и произойти утечка или утрата конфиденциальной информации.
Расчет единовременных капитальных затрат
Общие затраты на реализацию проекта Среал содержат следующие составляющие:
(3.1)
где, себестоимость проектирования равна:
(3.2)
где М – затраты на материалы, руб.;
ЗП – зарплата разработчиков, руб.;
Осоц – отчисления на социальные нужды, руб.;
ЗЭВМ – затраты, которые связаны с эксплуатацией ПЭВМ, руб;
Синтернет – затраты на сеть Интернет руб.;
Н – накладные расходы, руб.
Таблица 3.3
Расчет стоимости используемых материалов
№
Наименование материала
Единица измерения
Цена за единицу в рублях
Расход на разработку
Коэффициент КТ
Сумма в рублях
1
2
3
4
5
6
7
1
Бумага для принтера
шт.
220
2
1,13
497,2
2
Бумага писчая
шт
80
1
1,13
90,4
3
Папка канцелярская
шт.
...

ЗАКЛЮЧЕНИЕ
Целью данной дипломной работы являлось исследование принципов Целью выпускной квалификационной работы (ВКР): проектирование системы защиты конфиденциальной информации в организации OOO «МаксТрейдинг».
Для достижения цели ВКР следует решить ряд задач:
1) Определить виды защищаемой информации на предприятии OOO «МаксТрейдинг»;
2) Определить существующие угрозы и уязвимости информации;
3) Произвести анализ деятельности организации и циркулирующих информационных потоков, несущих конфиденциальную информацию;
4) Определить общие принципы защиты конфиденциальной информации;
5) Произвести выбор средств защиты от НСД и межсетевой защиты;
6) Разработать проект системы информационной безопасности на предприятии OOO «МаксТрейдинг»;
7) Оценить экономическую эффективность от внедрения СИБ OOO «МаксТрейдинг».
...

1. Указ президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" // Вестник Высшего Арбитражного Суда Российской Федерации, 1997, N 5
2. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных// "Российская газета", N 165, 29.07.2006,
3. Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" // Собрание законодательства Российской Федерации от 24 ноября 1997 г., N 47, ст. 5340
4. Федеральный закон от 20.04.1995 N 45-ФЗ (ред. от 07.02.2017) "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов"// "Российская газета", N 82, 26.04.1995
5. Федеральный закон от 20.08.2004 N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" потерпевших, свидетелей и иных участников уголовного судопроизводства" // "Собрание законодательства РФ", 23.08.2004, N 34, ст. 3534
6. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 N 51-ФЗ // "Собрание законодательства РФ", 23.08.2004, N 34, ст. 3534
7. Проект № 124871-4 Федерального закона «О служебной тайне». [Электронный ресурс]. - Режим доступа: http://www.iso27000.ru/zakonodatelstvo/federalnye-zakony-rf/federalnyi-zakon-o-sluzhebnoi-taine-proekt-No-124871-4
8. Постановление Правительства 3 ноября 1994 г. n 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» // Собрание Законодательства РФ, №30, 25.07.2005
9. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне" // "Парламентская газета", N 144, 05.08.2004
10. Уголовный кодекс Российской Федерации от 13.06.1996 N 63-ФЗ // "Собрание законодательства РФ", 17.06.1996, N 25, ст. 2954
11. Федеральный закон от 02.10.2007 N 229-ФЗ (ред. от 28.12.2016) "Об исполнительном производстве" // "Российская газета", N 223, 06.10.2007
12. Закон РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) "О государственной тайне" // "Собрание законодательства РФ", 13.10.1997, N 41, стр. 8220-8235
13. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. зам. директора ФСТЭК России 15.02.08 г. (ДСП) [Электронный ресурс]. - Режим доступа: http://fstec.ru/.
14. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. - М.: Гостехкомиссия РФ, 1998. - 320 с.
15. Приказ ФСТЭК N21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». [Электронный ресурс] – Режим доступа: http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=146520&fld=134&dst=1000000001,0&rnd=0.9189881543179738#1
16. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" // "Российская газета", N 256, 07.11.2012
17. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" // "Российская газета", N 4637, 12.04.2008
18. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных....
....
....
....