Построение системы защиты территориальной информационной системы и функционирование в виртуальной среде

ЗАКЛЮЧЕНИЕ

В рамках данной работы был проведен аудит организации защиты информации на примере центра обработки данных ООО «Автотранс-Новосибирск», проведена оценка рисков, угроз активам.
Рассмотрены теоретические основы и нормативная база систем информационной безопасности. Определен перечень информации, отнесенной к разряду персональных данных, перечень документов, образующихся в работе организации, работающих с персональными данными. Рассмотрена классификация типов конфиденциальной информации по методике ФСТЭК, защищенности автоматизированных информационных систем, проанализировано документационное и организационное обеспечения выполнения требований законодательства относительно определенного класса конфиденциальности информации.
Проведен анализ организации процесса защиты информаци ...

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ 6
1 Аналитическая часть 8
1.1. Технико-экономическая характеристика предметной области и предприятия 8
1.2. Анализ рисков информационной безопасности 11
1.2.1. Идентификация и оценка информационных активов 11
1.2.2. Оценка уязвимостей активов 15
1.2.3 Оценка угроз активам 17
1.2.4.Оценка существующих и планируемых средств защиты виртуальной среды в центре обработки данных 27
1.2.5.Оценка рисков 33
1.3.Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии 35
1.3.1. Анализ системы обеспечения информационной безопасности и защиты информации 36
1.3.3.Выбор комплекса задач обеспечения информационной безопасности центра обработки данных 40
1.3.3.Определение местапроектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации 42
1.4.Выбор защитных мер 43
1.4.1.Выбор организационных мер 43
1.4.2.Выбор инженерно-технических мер 46
2 Проектная часть 48
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. 48
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия 48
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия 57
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 64
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия 64
2.3.2. Предложения по совершенствованию системы информаицонной безопасности 69
3 Выбор и обоснование методики расчёта экономической эффективности 74
3.1 Выбор и обоснование методики расчёта экономической эффективности 74
3.2 Расчёт показателей экономической эффективности проекта 78
4. Безопасность жизнедеятельности 83
4.1. Задачи и права федеральной службы "Ростехнадзора" 83
4.2. Разработка, учет и пересмотр инструкций по охране труда в организации 87
ЗАКЛЮЧЕНИЕ 91
СПИСОК ЛИТЕРАТУРЫ 93

ВВЕДЕНИЕ

В настоящее время с развитием информационных технологий появляются возможности обработки больших массивов информации. Общество всецело зависит от получаемых, обрабатываемых и передаваемых данных. По этой причине данные сами по себе приобретают высокую ценность. Объектом обработки данных становится финансовая информация, информация, составляющая коммерческую тайну, а также данные о личной жизни и состоянии здоровья людей. Утечка информации, содержащей коммерческую тайну, может привести к прямым убыткам, а в некоторых случаях поставить под угрозу само существование организации. Все чаще становятся известными случаи, когда утечка персональной информации приводила к совершениям неправомерных операций злоумышленниками (выдача кредитов, снятие наличных средств). Недостаточная защищен ность электронных учетных записей также зачастую приводит к утечкам денежных средств со счетов граждан. Все вышесказанное показывает актуальность внедрения технологий защиты информации во все сферы, связанные с работой в автоматизированных системах.
Цель дипломной работы заключается в построении проекта системы защиты информации в виртуальной среде центра обработки данных на примере автотранспортного предприятия.
Объект исследования: ООО «Автотранс-Новосибирск».
Предмет исследования: система информационной безопасности ООО «Автотранс-Новосибирск».
Специфика деятельности исследуемого предприятия такова, что для полноценного функционирования информационной системы требуется доступ к единой информационной базе с нескольких филиальных площадок, а также в режиме мобильного доступа. Для реализации данной задачи необходима организация системы защиты от сетевых угроз, а также построение полноценной системы защиты информации в виртуальной среде центра обработки данных.
В рамках выполнения дипломной работы мной были выполнены следующие задачи:
- анализ системы информационной безопасности ООО «Автотранс-Новосибирск»;
- анализ исполнения требований федерального законодательства в области информационной безопасности специалистами ООО «Автотранс-Новосибирск»;
- построение модели угроз безопасности;
- анализ структуры информационной системы в условиях центра обработки данных;
- анализ документационного обеспечения системы информационной безопасности;
- анализ системы защиты от сетевых угроз в условиях центра обработки данных предприятия;
- формулировка предложений по совершенствованию системы информационной безопасности центра обработки данных.
Проведена разработка организационных мероприятий по обеспечению информационной безопасности, сформулированы предложения по совершенствованию технологии защиты информации.
Потребность предприятия в аудите системы информационной безопасности обусловлена требованиями законодательства в области информационной безопасности, ростом числа угроз информационной безопасности, необходимостью выработки политики информационной безопасности на предприятии.
Методы исследования: изучение литературных источников, нормативно-правовой базы, изучение технической документации средств защиты информации, анализ состояния работы с персональными данными, сравнения, включенного наблюдения

В качестве средств технической защиты применяются также средства контроля эффективности защиты информации, средств и систем управления, предназначенных для обеспечения защиты информации.В целях обеспечения безопасности информации АИС принимаются меры по предотвращению проникновения нарушителей на объекты защиты, по предотвращению потери информации и функциональности средств АИС в различных ситуациях.К мерам морально-этического характера, призванным повысить эффективность защиты, относятся меры по привитию работникам определенных нравственных норм. Соблюдение этих норм, в том числе и не утверждаемых нормативными актами, должно поощряться, повышать авторитет работников и уважение к ним, быть престижным как для работников, так и для трудовых коллективов. Морально-этические нормы могут быть идокументально оформленными в виде устава, свода правил или кодекса профессиональной этики. Эти меры должны подкрепляться постоянной работой по созданию и поддержанию здорового морального климата в трудовых коллективах.В качестве организационных мер рекомендуется провести следующие мероприятия (таблица 18):Таблица 18. Выбор организационных мер совершенствования системы информационной безопасностиМероприятиеОрганизационная мераНазначить администраторов защиты информацииПриказ, Положение об администраторе защиты информацииПровести уведомление сотрудников компании о неразглашении их паролей, запретить отключать систему антивирусной защиты с объяснением возможных последствий несоблюдения данных мер предосторожностиВыпуск приказа и доведение его до сведения начальников каждого подразделения, участвующего в обороте конфиденциальной информации компанииПровести уведомление руководителей проектов о неразглашении и надежном хранении документов, содержащих данные о текущих проектах компанииОрганизация собрания с руководителями проектовПривести в соответствие документационное обеспечение работы с криптосредствамиВыпуск приказа о положении по работе с криптосредствамиОзнакомление сотрудников с требованиями законодательства в области работы с ПДВыпуск приказа об обучении сотрудниковОзнакомление сотрудников с организационными аспектами технологии антивирусной защитыВыпуск Положения о работе с криптосредствами Введение в номенклатуру дел отдельного делопроизводства в области защиты информацииВыпуск приказаВыпуск положения об отнесении обрабатываемой информации к конфиденциальнойПриказ, ПоложениеПродолжение таблицы 18Выпуск перечня конфиденциальной информации, обрабатываемой в АИС ООО «Автотранс-Новосибирск»Приказ, переченьВыпуск перечня конфиденциальной информации, обрабатываемой в ООО «Автотранс-Новосибирск» неавтоматизированным способомПриказ, переченьНазначение списка сотрудников, допущенных к обработке конфиденциальной информацииПриказ, перечень1.4.2.Выбор инженерно-технических мерВ качестве инженерно-технических мер совершенствования системы информационной безопасности в рамках данной работы будет рассмотрены вопросы:- модернизации существующей охранной системы безопасности, - повышение параметров стабильности функционирования компьютерной техники, с использованием которой производится обработка и хранение конфиденциальной информации.Совершенствование системы информационной безопасности предлагается реализовать путем установки дополнительного аппаратного обеспечения:Введение в эксплуатацию дополнительной камеры видеонаблюдения в общем коридоре с целью повышения степени охранного мониторинга.Дооснащение кабинетов специалистов камерами видеонаблюдения в дополнение к инфракрасным датчикам движения, либо замена датчиков движения на камеры со встроенными датчиками движения для повышения эффективности системы охранного мониторинга.Установка системы видеонаблюдения и инфракрасного датчика движения в грузовом подъезде к зданию ООО «Автотранс-Новосибирск».Внедрение системы бесперебойного питания на рабочие места пользователей для предотвращения потери данных в случае отключения электроэнергии.Декодирование смарт-карт уволенных сотрудников для повышения охранной безопасности.Для решения задач, описанных в п.п. 1.3.2 необходимо совершить закупку и установку следующих устройств: камеры, видеорегистратор, а так же генераторы шума. Приведение данных мер в исполнение повысит как уровень охранной безопасности компании, так и уровень сохранности информации, находящейся на компьютерах сотрудников. 2 Проектная часть2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятияРассмотрим нормативную базу систем защиты информации применительно к объектам информатизации. Объектами защиты в автоматизированных системах могут являться [2]:- персональные данные граждан;- криптографические системы, ключи ЭЦП;- объекты, связанные с коммерческой тайной;- автоматизированные системы, связанные с денежными транзакциями.С развитием автоматизированных средств обработки данных становится возможной утечка больших массивов информации по определенной тематике, в том числе и содержащей информацию персонифицированного характера. Современные носители информации малогабаритны, и при этом позволяют хранить региональные или даже федеральные базы данных. Распространены случаи продаж баз данных, содержащих большие объемы информации, в том числе через сеть Интернет. Известны прецеденты, когда утечка информации приводила к прямым материальным потерям их обладателя. Нормативной базой технологии информационной безопасности являются: федеральное законодательство, нормативные правовые акты Президента Российской Федерации и Правительства Российской Федерации, а также руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности Российской Федерации (ФСБ), регулирующие вопросы безопасности информации.В настоящее время основными нормативными актами, регулирующими вопросы защиты информации, являются:- Конституция Российской Федерации;- Федеральный закон о персональных данных (152-ФЗ от 27.07.2006);- Федеральный закон об информации информационных технологиях и о защите информации (149-ФЗ от 27.07.2006);- Федеральный закон об электронной подписи (63-ФЗ от 06.04.2011);- регламентирующие документы ФСТЭК, ФСБ и ФАПСИ.Определение понятия «защита информации» дается в ст. 16 ФЗ «Об информации, информационных технологиях и защите информации» (149-ФЗ от 27.07.2006):Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;2) соблюдение конфиденциальности информации ограниченного доступа;3) реализацию права на доступ к информации». Статья 1 указанного Закона показывает, что:- деятельность по защите информации применима ко всем категориям информации, описанной в ст. 5 Закона. Для различных категорий информации содержание защиты (выбираемые способы защиты информации) будет различаться;- выбираемые способы защиты информации применимы ко всем описанным ранее объектам информационного права;- государственное регулирование отношений в сфере защиты информации осуществляется в двух формах: установление требований о защите информации и установление ответственности за ответственности за нарушение информационного законодательства;- основным субъектом информационного права, на которого возложена обязанность защиты информации, является обладатель информации;- для защиты государственных информационных ресурсов и технологий федеральные органы исполнительной власти устанавливают обязательные для исполнения требования на обеспечение информационной безопасности этих ресурсов и технологий;- федеральное законодательство может ограничивать использование в РФ определенных средств защиты информации и осуществление отдельных видов деятельности по защите информации для всех субъектов информационного права. Ограничения могут выражаться в форме прямых запретов или государственного контроля [например, лицензирование деятельности).Информационная безопасность включает в себя все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, неотказуемости, доступности, аутентичности, подотчетности и достоверности информации и средств ее обработки [2].Согласно 149-ФЗ, информацию можно разделить на:- общедоступную;- конфиденциальную;- информацию, относимую к государственной тайне. Конфиденциальная информация - это информация, не относящаяся к государственной тайне, доступ к которой ограничен согласно федеральным нормативно-правовым актам. Группы конфиденциальной информации [2]:1) информация для служебного использования;2) информация, относимая к коммерческой тайне;3) информация, содержащая персональные данные;4) информация, относимая к профессиональной тайне.Каждая из перечисленных категорий информации определяется и защищается правовыми нормами, источники которых можно рассматривать отдельно.К деятельности по обеспечению информационной безопасности относят также защиту интеллектуальной собственности.С вопросами обеспечения информационной безопасности тесно связанная проблемы юридические аспекты, регулирующие деятельность в области ИТ-технологий, которые можно разделить по сферам деятельности:1) телекоммуникационные технологии;2) криптографические системы, в т.ч. электронный документооборот;3) сертификация, лицензирование и аттестация инфраструктуры информационной безопасности.Кроме этого, к деятельности по защите информации относят механизмы применения мер ответственности за нарушение законодательства РФ об информации, информационных технологиях и о защите информации. Эта деятельность регулируется на государственном уровне.Таким образом, при обзоре нормативно-правовых актов РФ предлагается отдельно рассматривать направления, регламентирующие деятельность в сфере обработки и защиты [7]:1) общедоступной информации;2) информации, относимой к коммерческой тайне;3) служебной информации ограниченного распространения;4) информации, относимой к профессиональной тайне;5) информации, содержащей персональные данные;6) информации, относимой к гостайне;7) объектов интеллектуальной собственности;8) информации с использованием объектов связи и коммуникаций;9) информации с использованием криптографических средств;10) информации и объектов информатизации при необходимости лицензирования, сертификации и аттестации объектов и средств защиты информации;11) в случаях нарушения законодательства РФ об информации, информационных технологиях и о защите информации. Таким образом, основная нормативная база федеральных законов определяет общие принципы аттестации объектов информатизации по безопасности информации. Детализация требований к объектам информатизации содержится в нормативных актах ФАПСИ, ФСБ, ФСТЭК.Согласно нормативным документам в области информационной безопасности проведена классификация автоматизированных систем по типам обрабатываемой информации, к каждому из которых сопоставлены соответствующие организационно-технологические меры по защите информации.При моделировании угроз сохранности конфиденциальной информации в информационных системах необходимо применение классификаций. Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» классификацию персональных данных на следующие категории [9]:Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.Категория 2 - персональные данные, позволяющие произвести идентификацию субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.Категория 3 - персональные данные, позволяющие однозначно произвести идентификацию субъекта персональных данных.Категория 4 - обезличенные и (или) общедоступные персональные данные.Классификация персональных данных, обрабатываемых в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения: - обработка до 100000 ПДн в пределах РФ или субъекта РФ;- обработка от 1000 до 100000 ПДн в пределах мунициапльного образования или субъекта РФ;- обработка менее 1000 ПДн в пределах конкретной организации.Такой тип классификации персональных данных необходим для определения класса ИСПДн, от которого зависят меры по обеспечению безопасности ПДн при обработке в информационных системах.Каждой категории конфиденциальной информации сопоставляется своя модель угроз. Угрозы могут быть внешними или внутренними в зависимости от дислокации источников угроз вне или внутри контролируемой зоны охраняемых объектов.Таким образом, любой информационный массив, обрабатываемый на предприятии, должен быть отнесен к одной из вышеперечисленных категорий. Классификация ИС производится на этапе создания или в ходе их эксплуатации с целью возможности установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.Проведение классификации информационных систем включает в себя следующие этапы [9]:- сбор и анализ исходных данных по информационной системе; - присвоение ей соответствующего класса; - его документальное оформление (составление и утверждение руководством организации Актов классификации на конкретные ИСПДн). В таблице 19 приведено определение классов типовой информационной системы предприятия. Данные таблицы 1 используются при аттестации соответствующей информационной системы.Таблица 19. Определение класса типовой информационной системы 321категория 4К4К4К4категория 3К3К3К2категория 2К3К2К1категория 1К1К1К1Зависимость классов типовой информационной системы от категории обрабатываемых данных и количества субъектов, охватываемых системой, показана на рисунке 6Рисунок 6 - Зависимость классов типовой информационной системы от категории обрабатываемых данных и количества субъектов, охватываемых системойДля каждого типа информационных систем относительно типа обрабатываемых данных законодательно определены типы защищенности, представленные в таблице 20.Таблица 20. Типы защищенности информационных системТребованияУровни защищенностиК1К2К3К4Режим обеспечения безопасности помещений, где обрабатываются персональные данные++++Сохранность носителей персональных данных++++Перечень лиц, допущенных к персональным данным++++СЗИ, прошедшие процедуру оценки соответствия++++Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн +++-Ограничение доступа к содержанию электронного журнала сообщений++--Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным+---Структурное подразделение, ответственное за обеспечение безопасности персональных данных +---Каждая информационная система, в которой производится обработка персональных данных, подразделяется на классы защищенности по признакам [2, c.36]:- наличие информации различного уровня конфиденциальности; - наличие или отсутствие различий в уровне полномочий пользователей; - наличие коллективного или индивидуального режима обработки данных. Первая (высшая) группа - многопользовательская автоматизированная система с информацией различного уровня конфиденциальности и различным уровнем полномочий пользователей.Классы [28, c.34]:1А, 1Б, 1В, 1Г, 1Д.Вторая группа (многопользовательская АС с информацией различного уровня конфиденциальности и одинаковым уровнем полномочий пользователей). Классы: 2А, 2Б.Третья группа (однопользовательская АС с информацией одного уровня конфиденциальности). Классы: 3А, 3Б. Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.К специальным ИСПДн автоматически относятся [5]:- информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн; - информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы. В информационных системах, отнесенных к классам К1, К2, К3 необходимо применение как специальных средств защиты информации, так и организационных мер, направленных на определение ответственности сотрудников за нарушение законодательства в области защиты информации конфиденциального характера.Таким образом, аудит информационной системы в части информационной безопасности заключается в отнесении типа обрабатываемых данных к определенному классу в соответствии с которым выбирается тип защищенности информационной системы, который определяет порядок организационно-технологических мер применяемых на предприятии. Аудит может осуществляться:- сторонними лицензированными организациями;- специалистами государственных структур;- специалистами подразделения безопасности предприятия.Согласно проведенному исследованию, по результатам аудита информационной системы ООО «Автотранс-Новосибирск» класс информационной системы отнесен к типу К3, соответственно требования к информационной безопасности должны быть сопоставлены данному классу.2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятияОрганизационные меры защиты информации в ООО «Автотранс-Новосибирск» включают в себя:- документационное оформление процессов защиты информации;- организацию пропускного и внутриобъектового режима;- определение ответственности специалистов в рамках нормативных документов в области защиты информации;- организацию защиты от несанкционированного доступа.В целях обеспечения безопасности информации ООО «Автотранс-Новосибирск» принимаются меры правового, организационного, технического и морально-этического характера.Создание нормативно-правовой базы защиты информации осуществляется путем принятия на основе действующего законодательства нормативных актов, регламентирующих правила обращения (выполнения операций) с информацией. Данные акты закрепляют права и обязанности участников информационных отношений, правила предоставления, порядок обработки информации, использования средств защиты, а также ответственность работников за нарушение установленных правил, определяют требования по мерам защиты информации организационного и технического характера.Организационные меры защиты - это меры административного, управленческого характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить реализацию угроз безопасности (минимизировать размер ущерба в случае их реализации).Техническая защита информации АИС ООО «Автотранс-Новосибирск» представляет собой процесс комплексного применения технических мер защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к ней, от непредусмотренных технологией обработки, в том числе умышленных, воздействий. В качестве средств технической защиты применяются также средства контроля эффективности защиты информации, средств и систем управления, предназначенных для обеспечения защиты информации