- •Содержание
- •Частьi. Разработка проекта подсистемы защиты информации от несанкционированного доступа………5
- •Часть II. Формулирование политики безопасности подразделений и информационных служб………………...33
- •Введение
- •Часть I. Разработка проекта подсистемы защиты информации от несанкционированного доступа
- •1. Определение перечня защищаемых ресурсов и их критичности
- •2. Определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности
- •3. Определение особенностей расположения, функционирования и построения средств компьютерной системы. Определение угроз безопасности информации и класса защищенности ас
- •3.1. Анализ информационной архитектуры системы
- •3.1.1. Определение информационных потребностей должностных лиц подразделений
- •3.1.2. Формирование (определение) перечня информационных услуг (информационных служб, функциональных компонент), предоставляемых информационной системой пользователям
- •3.2. Определение класса защищенности ас
- •3.2.1. Определение уровня защищенности испДн
- •4. Формирование требований к построению сзи
- •5. Определение уязвимостей ис и выбор средств защиты информации. Разработка модели угроз
- •5.1. Модель угроз
- •5.2. Модель нарушителя
- •6. Выбор механизмов и средств защиты информации от нсд
- •Часть II. Формулирование политики безопасности подразделений и информационных служб
- •1. Определение способов реализации правил разграничения доступа пользователей к информационным ресурсам
- •2. Формирование исчерпывающего набора правил разграничения доступа конкретных пользователей к конкретным службы.
- •Заключение
- •Список источников
- •Прииложение а
- •Приложение б
Содержание
ВВЕДЕНИЕ………………………………………………………………………4
Частьi. Разработка проекта подсистемы защиты информации от несанкционированного доступа………5
1 ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ ЗАЩИЩАЕМЫХ РЕСУРСОВ И ИХ КРИТИЧНОСТИ…………………….….5
2 ОПРЕДЕЛЕНИЕ КАТЕГОРИЙ ПЕРСОНАЛА И ПРОГРАММНО-АППАРАТНЫХ СРЕДСТВ, НА КОТОРЫЕ РАСПРОСТРОНЯЕТСЯ ПОЛИТИКА БЕЗОПАСНОСТИ…………………………………………..8
3 ОПРЕДЕЛЕНИЕ ОСОБЕННОСТЕЙ РАСПОЛОЖЕНИЯ, ФУНКЦИОНИРОВАНИЯ ПОСТРОЕНИЯ СРЕДСТВ КОМПЬЮТЕРНОЙ СИСТЕМЫ. ОПРЕДЕЛЕНИЕ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И КЛАССА ЗАЩЕЩЕННОСТИ АС…………………………………………………………………………………10
4 ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К ПОСТРОЕНИЮ СЗИ………………………………………………….14
5 ОПРЕДЕЛЕНИЕ УЯЗВИМОСТЕЙ ИС И ВЫБОР СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ. РАЗРАБОТКА МОДЕЛИ УГРОЗ……………………………………………………………………………………………………18
6 ВЫБОР МЕХАНИЗМОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НСД……………………………….29
Часть II. Формулирование политики безопасности подразделений и информационных служб………………...33
1 ОПРЕДЕЛЕНИЕ СПОСОБОВ РЕАЛИЗАЦИИ ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ К ИНФОРМАЦИОННЫМ РЕСУРСАМ…………………………………………………...33
2 ФОРМИРОВАНИЕ ИСЧЕРПЫВАЮЩЕГО НАБОРА ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА КОНКРЕТНЫХ ПОЛЬЗОВАТЕЛЕЙ К КОНКРЕТНЫМ ОБЪЕКТАМ ИНФОРМАЦИОННОЙ СЛУЖБЫ…36
ЗАКЛЮЧЕНИЕ………………………………………………………………...46
СПИСОК ИСТОЧНИКОВ……………………………………………………47
ПРИЛОЖЕНИЕ А……………………………………………………………...48
ПРИЛОЖЕНИЕ Б……………………………………………………………...49
Введение
В данном курсовом проекте рассматривается разработка системы защиты информации от несанкционированного доступа (далее – НСД) на основе механизмов операционных систем учреждения – администрации района , а также частной модели угроз и модели нарушителя безопасности для учреждения.
В учреждении предъявляются высокие требования к защите информации, так как данные, циркулирующие в организации, кроме общедоступной информации содержат сведения, составляющие служебную и коммерческую тайну, персональные данные сотрудников организации, а также секретные сведения.
Одной из обязанностей службы информационной безопасности является разработка системы защиты от несанкционированного доступа в соответствии с нормативными актами Российской Федерации.
Часть I. Разработка проекта подсистемы защиты информации от несанкционированного доступа
1. Определение перечня защищаемых ресурсов и их критичности
Для разработки проекта подсистемы защиты информации от НСД, необходимо определить перечень защищаемых ресурсов и степень их критичности.
Для определения степени критичности информации, обрабатываемой на Предприятии:
Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»;
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в ред. от 05.04.2013 № 43-ФЗ);
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (в ред. от 05.04.2013 N 50-ФЗ);
Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (в ред. от 23.09.2005 № 1111).
На основании этих документов можно выделить следующие виды информации, подлежащей защите в учреждении:
- Общедоступная информация;
Персональные данные сотрудников учреждения;
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами.
Таким образом, информация, обрабатываемая в информационной системе Предприятия, делится на:
общедоступную информацию;
сведения, составляющие служебную тайну;
сведения, составляющие коммерческую тайну;
персональные данные сотрудников;
секретные сведения.
Наиболее критичными данными, с точки зрения защиты информации, являются сведения, содержащие гриф Секретно. Критичность выделенных данных обусловлена тем, что в случае их разглашения, ведомствам или отраслям экономики РФ может быть нанесен ущерб. В связи с этим, нужно уделять огромное внимание системе защиты информации, чтобы снизить вероятность появления ущерба. Составим перечень защищаемых ресурсов учреждения (Таблица 1).
Таблица 1 – Перечень защищаемых ресурсов в учреждении.
№ п.п. |
полное наименование |
условное наименование |
категория доступа |
К ресурсу допущены |
1 |
2 |
3 |
4 |
5 |
|
Рабочее место начальника отдела М |
М |
Секретно |
Начальник отдела М |
|
Рабочее место зам начальника отдела М |
М_1 |
Секретно |
Зам начальник отдела М |
|
Рабочее место отдела М |
М_2 |
Секретно |
Специалист отдела М |
|
Рабочее место отдела М |
М_3 |
Секретно |
Специалист отдела М |
|
Рабочее место отдела М |
М_4 |
Секретно |
Специалист отдела М |
|
Рабочее место отдела М |
М_5 |
Секретно |
Специалист отдела М |
|
Рабочее место |
М_6 |
Секретно |
Специалист о-л |
|
Рабочее место начальника отдела О |
О |
Коммерческая тайна |
Начальник отдела О |
|
Рабочее место отдела О |
О_1 |
Коммерческая тайна |
Специалист отдела О |
|
Рабочее место отдела О |
О_2 |
Коммерческая тайна |
Специалист отдела О |
|
Рабочее место отдела О |
О_3 |
Коммерческая тайна |
Специалист отдела О |
|
Рабочее место отдела О |
О_4 |
Коммерческая тайна |
Специалист отдела О |
|
Рабочее место отдела О |
О_5 |
Коммерческая тайна |
Специалист отдела О |
|
Рабочее место начальника отдела S |
S |
Конфиденциально |
Начальник отдела S |
|
Рабочее место отдела S |
S_1 |
Конфиденциально |
Специалист отдела S |
|
Рабочее место отдела S |
S_2 |
Конфиденциально |
Специалист отдела S |
|
Рабочее место отдела S |
S_3 |
Конфиденциально |
Специалист отдела S |
|
Рабочее место отдела S |
S_4 |
Конфиденциально |
Специалист отдела S |
|
Рабочее место отдела S |
S_5 |
Конфиденциальо |
Специалист отдела S |
|
Сервер БД секретных данных |
Serv_BD_S |
Секретно
|
Администратор безопасности АС |
|
Сервер БД |
Serv_BD |
Конфиденциально |
Администратор безопасности АС |
|
Сервер ролей |
Serv_ROL |
Конфиденциально |
Администратор безопасности АС |
|
Сервер ISA |
Serv_ISA |
Конфиденциально |
Администратор безопасности АС |
|
Сервер БД ПДн |
Serv_BD_PD |
Служебная тайна |
Администратор безопасности АС, Администратор безопасности ИСПДн |