Разработка комплекса защитных мер информационной безопасности для информационной системы Социальная карта

ВВЕДЕНИЕ 2
1 Описание информационной системы 4
2 Основные характеристики информационной системы 7
3 Класс автоматизированной системы согласно Руководящему документу 8
4 Уровень защищенности персональных данных 10
5 Уровень значимости информации 12
6 Класс защищенности ИСПДн 13
7 Внутренние и внешние нарушители УБПДн 14
8 Определение актуальности УБПДн для ИСПДн 18
8.1 Исходная защищенность ИСПДн 18
8.2 Угрозы утечки видовой информации 20
8.3 Угрозы внедрения вредоносных программ (программно-математического воздействия) 21
8.4 Расчет УБПДн ИСПДн 23
9 Комплекс защитных мероприятий по обеспечению информационной безопасности УБПДн в ИС 25
10 Определить потенциал нарушителя, действия которого приводят к угрозе безопасности информации (для нейтрализации угроз безопасности) 26
ЗАКЛЮЧЕНИЕ 27

1 Описание информационной системы

Информационная система «Социальная карта».
Данная ИС развернута в пределах муниципального округа. Для защиты и изоляции приложений и сервисов используется межсетевой экран.
Цель ИС "Социальная карта" - решать задачи персонифицированного предоставления и учёта мер социальной поддержки, отнесённых к расходным обязательствам Российской Федерации и субъектов Российской Федерации.
Социальная карта (СК) представляет собой многофункциональную микропроцессорную именную пластиковую карту с защищенной операционной системой. СК является материальным носителем персональных данных держателя карты и поддерживает приложения, связанные с предоставлением и учетом мер социальной поддержки и других информационных сервисов и услуг в рамках интегрированной информационной системы государственных и муниципальных услуг.
...

2 Основные характеристики информационной системы

Информационная система «Социальная карта» является территориально-распределенной ИС, которая функционирует на федеральном и региональном уровне. Данная ИС состоит из ЦМВ и РС УСК, включающую в себя: РСРН, РР УСК, базы данных о фактически предоставленных мерах социальной поддержки, единой информационно-лингвистического обеспечение, организационное и нормативное правовое обеспечение.
РСРН формируется в виде территориально-распределенной базы данных, содержащей информацию о гражданах, имеющих право на социальную поддержку в соответствии с действующим законодательством и зарегистрированных по месту жительства и по месту пребывания в пределах субъекта РФ, а также информацию, подтверждающую права этих граждан на получение социальной поддержки.
РР УСК содержит информацию о выданных гражданам унифицированных социальных картах, персональные данные о держателях унифицированных социальных карт и их права на меры социальной поддержки.
...

3 Класс автоматизированной системы согласно Руководящему документу

Согласно Руководящему документу (РД), установлено девять классов защищенности автоматизированных систем (АС) от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. На рисунке 3.1 представлена схема классификации АС.

Рисунок 3.1 – Схема классификации АС
Словесное описание группы АС:
• первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС.
...

4 Уровень защищенности персональных данных

Уровень защищенности (УЗ) персональных данных (ПДн) - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в ИСПДн.
Актуальные угрозы безопасности ПДн - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИС, результатом которого могут стать: уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, иные неправомерные действия.
Выделяют следующие типы угроз ПДн:
• Угрозы 1-го типа актуальны для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (НДВ) возможностей в системном ПО, используемом в ИС.
...

5 Уровень значимости информации

Согласно приложению №1 приказа ФСТЭК России от 11 февраля 2013г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности, целостности или доступности информации:
УЗ = [(конфиденциальность, степень ущерба)
(целостность, степень ущерба) (доступность, степень ущерба)],
где степень возможного ущерба определяется обладателем информации и (или) оператором самостоятельно экспертным или иными методами и может быть – высокой, средней или низкой.
На рисунке 5.1 представлена таблица определения уровня значимости информации (УЗ).

Рисунок 5.1 – Таблица определения УЗ
ИС «Социальная карта» имеет 3 уровень значимости для общедоступной информации.
...

6 Класс защищенности ИСПДн

Согласно приложению №1 приказа ФСТЭК России от 11 февраля 2013г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы.
Класс защищенности (К) = [уровень значимости информации; масштаб системы].
На рисунке 6.1 представлена таблица определения классов защищенности ИСПДн.

Рисунок 6.1 – Таблица классов защищенности ИСПДн
Исходя из
Данная ИС имеет федеральный масштаб и УЗ 3, поэтому класс защищенности ИСПДн – К2.
Ко второму классу защищенности ИСПДн относятся информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных.
...

7 Внутренние и внешние нарушители УБПДн

Внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИС.
...

8.1 Исходная защищенность ИСПДн

Согласно методике определения актуальных угроз, безопасность персональных данных при их обработке в информационных системах персональных данных, актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем:
Для оценки возможности реализации угрозы применяются два показателя:
• уровень исходной защищенности ИСПДн;
• частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн.
Выделяют три степени исходной защищенности:
• высокая (Y1 = 10) – не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
• средняя (Y1 = 5) – не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню «средний»;
• низкая (Y1 = 0) – не выполняются условия по пунктам 1 и 2.
...

8.2 Угрозы утечки видовой информации

Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптико-электронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео и буквенно-цифровой информации, входя­щих в состав ИСПДн.
Вероятности возникновения угрозы ставится в соответствие числовой коэффициент, а именно:
• маловероятные угрозы - Y2 = 0;
• низкой вероятности угрозы - Y2 = 2;
• средней вероятности угрозы - Y2 = 5;
• высокой вероятности угрозы - Y2 = 10.
Поскольку в настоящее время, в большинстве организации окна занавешены жалюзи, а мониторы располагаются в сторону от окон и возможных посетителей, определим вероятность утечки видовой информации как низкую.
Числовой коэффициент Y21 = 2.


8.4 Расчет УБПДн ИСПДн

Коэффициент реализуемости угрозы Y определяться формулой 8.4.1.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы:
• (– возможность реализации низкая;
• ( – возможность реализации средняя;
• ( – возможность реализации высокая;
• ( – возможность реализации очень высокая.
Коэффициент реализации угрозы утечки видовой информации:

Коэффициент реализации угрозы внедрения вредоносных программ:

Таким образом, вероятности реализации угроз утечки видовой информации и угроз внедрения вредоносных программ являются низкими.
Таблица 8.
...

9 Комплекс защитных мероприятий по обеспечению информационной безопасности УБПДн в ИС

Согласно Приказа ФСТЭК N 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн», для обеспечения безопасности персональных данных в данной ИС предлагается использовать следующие меры. Уровень защищенности ПДн – 2 УЗ.
Таблица 9.
...