Разработка политики информационной безопасности системы
Аннотация
В данном курсовом проекте был проведен анализ
технической оснащённости, схемы ЛВС и технического паспорта объекта. Во второй
части курсовой работы необходимо провести анализ угроз информационной
безопасности (УИБ). Степень опасности каждой угрозы оценивалась методом
экспертных оценок способом неформального оценивания. В третьей части работы был
произведен подбор технических и программных средств защиты информации, а также,
разработана политику информационной безопасности. Для каждого подобранного
средства указаны его стоимость и технические характеристики. В конце основной
части курсовой работы был произведен приближенный анализ эффективности системы.
В практической части проекта была реализована функция хеширования с помощью
алгоритма AES.
Содержание
1.
Описание информационной системы
.1
Анализ технической оснащенности ИС
.2
Анализ информации, циркулирующий в компании
.3
Информационная политика предприятия
.
Анализ угроз информационной безопасности
.
Разработка политики информационной безопасности ИС
.1
Средства защиты информации в ИС
.2
Разграничение доступа к информации
.
Анализ эффективности систем защиты информации
.
Практическая часть
Список
используемой литературы
1. Описание информационной системы
Компания ООО «ЦИТ «Аспект» является коммерческой
организацией, и является региональным представителем множества крупнейших
организаций продающих ПО.
.1 Анализ технической оснащенности ИС
Локально-вычислительная сеть состоит из 7 АРМ
(автоматизированное рабочее место), одного сервера , также имеется периферийное
оборудование (принтеры).
Схема продемонстрирована на рис. 1.
Рис.1. Схема ЛВС
Таблица 1. Технический паспорт объекта
|
Наименование
объекта
|
ЦИТ
Аспкет
|
|
Офис
(этажей в многоэтажном здании)
|
Офисный
комплекс (2 этажа)
|
|
Наличие
комнат с неконтролируемым доступом
|
-
|
|
Порядок
доступа в помещения
|
На
внутреннем дворе имеется помещение охраны, которое контролирует въезд всех
машин на территорию двора.
|
|
Наличие
других предприятий
|
Да
|
|
Состав
технических средств
|
|
Количество
и тех. характеристики серверов
|
Сервер
баз данных Meijin Intel Xeon 4U 4x E7-4850 128G 1.8T SAS
|
|
Количество
и характеристики АРМ
|
1.
ASUS K75D <90NB3C4-18W528-35813AC> A8 4500M / 4 / 1Tb / DVD-RW /
HD7670M / WiFi / BT / Win8 / 17.3" / 3.26 кг 2. DELL Inspiron 5520
<5520-5872> i5 3210M / 6 / 1Tb / DVD-RW / HD7670M / WiFi / BT / Win7HB
/ 15.6" / 2.8 кг 3. ПЭВМ C5000MB (C533XLNi): Core i3-3220 / 4 Гб / 500
Гб / HD Graphics 2500 / DVDRW / Win7 Pro (5 штук)
|
|
Количество
коммутаторов ЛВС
|
1.
D-Link DES-1210-28P/ 2 x Ethernet 100 Мбит/сек/ 28
|
|
Характеристика
ПО
|
|
Наименование
|
«1С:
Бухгалтерия», Kaspersky CRYSTAL, Kaspersky Internet Security
|
|
Дополнительное
ПО
|
|
Наименование
|
Гарант,
Гектор, Консультант +, и другое продаваемое ПО
|
|
Выход
в Internet
|
|
Тип
подключения
|
VPN-подключение
скорость передачи - 5 мб/сек провайдер- БКС
|
|
Коммуникационное
оборудование
|
Realtek
pci-e gbe family controller
|
|
Дополнительное
оборудование
|
|
Факсы
|
Факс
Brother FAX-2845
|
|
Факс-модемы
(не используемые для Internet)
|
Нет
|
|
Внутренняя
АТС
|
Нет
|
|
Телефоны
|
1.
Телефон teXet TX-212 (3 штуки) 2. Телефон Panasonic KX-TS 2365RUW
<http://izava.ru/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=66&category_id=15&option=com_virtuemart&Itemid=60>
(3 штуки)
|
.2 Анализ информации, циркулирующий в компании
Таблица 2. Анализ информации в ИС
|
№
элемента информации
|
Элемент
информации
|
Местонахождение
источника информации
|
|
1
|
Финансовые
документы
|
Кабинет
директора, кабинет бухгалтера
|
|
2
|
Отчеты
об уровне доходов
|
Кабинет
директора, кабинет бухгалтера
|
Приказы
|
Кабинет
директора
|
|
4
|
Организационные
документы
|
Все
кабинеты
|
|
5
|
Бухгалтерские
документы
|
Кабинет
бухгалтера
|
|
6
|
Данные
о партнёрах и ценах
|
Отдел
по работе с клиентами
|
|
7
|
Продаваемое
ПО и цена его закупки
|
Отдел
по работе с клиентами
|
.3 Информационная политика предприятия
В учреждении применяется ролевая модель
безопасности. Для всех клиентов, во-первых, всегда доступен сайт, который
постоянно обновляется и содержит самую последнюю информацию. Во-вторых,
работает телефон тех поддержки.
2. Анализ угроз информационной безопасности
Таблица 3. Анализ угроз информационной
безопасности
|
№
ИР
|
Угроза
информационной безопасности
|
Степень
опасности
|
Уровень
потерь
|
|
1
|
Перехват
управления загрузкой операционной системы (ОС) АС, в том числе с использованием
отчуждаемых носителей информации, и получение прав доверенного пользователя
для осуществления НСД к конфиденциальной информации
|
средняя
|
~
20 000
|
|
2
|
Вызов
штатных программ ОС АС или запуск специально разработанных программ,
реализующих НСД к АС
|
средняя
|
~25
000
|
|
3
|
Внедрение
в АС вредоносных программ
|
средняя
|
~23
000
|
|
4
|
Перехват
и анализ сетевого трафика для извлечения конфиденциальной или
аутентификационной информации
|
средняя
|
~
20 000
|
|
5
|
Подмена
доверенного объекта сети и передача по каналам связи сообщений от его имени с
присвоением его прав доступа
|
высокая
|
~300
000
|
|
6
|
Удаленный
запуск приложения в АС
|
высокая
|
~60
000
|
|
7
|
Внедрение
по сети вредоносных программ
|
средняя
|
~20
000
|
|
8
|
Хищение
элементов АС, содержащих конфиденциальной информации
|
высокая
|
~300
000
|
|
9
|
Вывод
из строя элементов АС
|
средняя
|
~45
000
|
|
10
|
Внедрение
в АС аппаратных закладок
|
высокая
|
~150
000
|
|
11
|
Утрата
паролей доступа к АС
|
низкая
|
~19
000
|
|
12
|
Искажение
или уничтожение информации в результате ошибок пользователя
|
средняя
|
~9
000
|
Выход
из строя аппаратно-программных средств АС
|
средняя
|
~45
000
|
Таблица 4. Методы защиты информации
|
№
п.п
|
№
УИБ
|
Мероприятия
по защите
|
|
1
|
1
|
Запрет
загрузки АРМ с отчуждаемых носителей информации. Контроль доступа в
помещения, где ведется обработка конфиденциальной информации.
|
|
2
|
2
|
Предоставление
персоналу АС привилегий, минимально необходимых для выполнения ими своих
функциональных обязанностей.
|
|
3
|
3
|
Использование
на серверах и АРМ, входящих в состав АС, антивирусного ПО. Выполнение
регулярного обновления ПО АРМ и серверов АС. Настройка антивирусного ПО на
проверку подключаемых отчуждаемых носителей информации.
|
|
4
|
4
|
Сегментирование
ЛВС с помощью виртуальных локальных сетей. Запрет установки ПО, не связанного
с исполнением служебных обязанностей. Регулярный контроль со стороны
работников, ответственных за обеспечение безопасности конфиденциальной
информации при их обработке в АС, прав доступа пользователей к АРМ и
установленного на них ПО. Предоставление персоналу АС привилегий, минимально
необходимых для выполнения ими своих функциональных обязанностей.
|
|
5
|
5
|
Сегментирование
ЛВС с помощью виртуальных локальных сетей. Использование систем обнаружения и
предотвращения вторжений. Предоставление персоналу АС привилегий, минимально
необходимых для выполнения ими своих функциональных обязанностей.
|
|
6
|
6
|
Сегментирование
ЛВС с помощью виртуальных локальных сетей. Выполнение регулярного обновления
ПО с помощью ПО АС. Использование систем обнаружения и предотвращения
вторжений.
|
|
7
|
7
|
Использование
на серверах и АРМ входящих в состав АС антивирусного ПО. Выполнение
регулярного обновления ПО АРМ и серверов АС.
|
|
8
|
8
|
Организация
пропускного режима. Контроль доступа в помещения, где ведется обработка
конфиденциальной информации.
|
|
9
|
9
|
Организация
пропускного режима. Контроль доступа в помещения, где ведется обработка
конфиденциальной информации.