ВКР Проектирование программно-аппаратных средств защиты информации в Федеральное казенное учреждение «Налог-сервис»

В настоящее время все большее распространение, как в производстве, так и в документообороте предприятий, находит компьютерная техника, все шире становится перечень охватываемых ею задач. Постоянно растет объем и сложность обрабатываемой информации, требуются все новые виды ее представления.

Вот только некоторые из преимуществ, которые дает использование вычислительной техники при работе организации:

• возможность оперативного контроля над достоверностью информации;
• уменьшение числа возможных ошибок при генерировании производных данных;
• возможность быстрого доступа к любым данным;
• возможность быстрого формирования отчетов;
• экономия трудозатрат и затрат времени на обработку информации.

Все эти преимущества в данный момент оценены многими организациями, поэтому сегодня наблюдается процесс бурного развития специализированных информационных систем, а, следовательно, защита автоматизированных систем, становится все актуальнее.

Целью данной работы является описание и проектирование программно-аппаратной защиты информации предприятия ФКУ «Налог-Сервис», филиала в Нижегородской области.

В ходе выполнения работы был проведен анализ информационной безопасности защищаемого объекта, в результате которого выявлены состав источников и носителей информации, проведено категорирование информации, выявлены возможные каналы утечки информации. В рамках аудита информационной безопасности была проанализирована текущая деятельность предприятия по вопросам защиты информации, проведена оценка информационной системы организации, в которой циркулирует конфиденциальная информация; были выявлены недостатки системы защиты, способы, устранения которых представлены в работе.

В результате выполнения работы была спроектирована  модель программно-аппаратной системы защиты, был проведен анализ действующих программно-аппаратных средств, а так же разработана документация, используемая при работе с программно-аппаратными средствами защиты.

В дипломном проекте представлены схемы, отображающие расположение средств защиты информации, предложенных в данной работе.

В экономической части работы рассчитаны затраты на проектирование и эксплуатацию системы защиты.

Глава 1 Основы защиты информационной системы в Федеральном казенном учреждении «Налог-Сервис»

• Основные законы защиты персональных данных

В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее – ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятых во исполнение его положений, нормативно-правовых актов и методических документов.

В силу требований указанного Федерального закона «О персональных данных» все информационные системы персональных данных (далее – ИСПДн), созданные до введения его в действие, должны быть приведены в соответствие установленным требованиям не позднее 1 июля 2011 года.[1]

Другими нормативными актами, оказывающие правовое регулирование в области защиты персональных данных являются:

1) Федеральный закон Российской Федерации от 27 июля 2006 г. №149ФЗ «Об информации, информационных технологиях и о защите информации»;

2) Постановление Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

3) Постановление Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Рассмотрим основные определения, используемые в законодательстве.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Безопасность персональных данных, при их обработке в информационных системах, обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные - криптографические средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять требованиям, устанавливаемым в соответствии с законодательством Российской Федерации, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

• Классификация угроз информационной безопасности

Под угрозой понимают потенциально возможное событие (воздействие, процесс или явление), которое может привести к нанесению ущерба чьим-либо интересам, в частности под угрозой информационной безопасности автоматизированных систем (АС) обработки информации понимается возможность воздействия на АС, которое прямо или косвенно может нанести ущерб ее безопасности. АС является наиболее уязвимой частью ИСПДн, поскольку предоставляет злоумышленнику самый быстрый доступ к информации, в отличие от баз данных (БД), хранящихся на бумажных носителях.

Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для анализа риска реализации угроз и формулирования требований к системе защиты АС. Кроме выявления возможных угроз, целесообразно проведение анализа этих угроз на основе их классификации по ряду признаков. Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. Угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.

Классификации угроз в информационной безопасности АС необходима,  так как хранимая и обрабатываемая в них информация, подвержена воздействию  большого количества факторов, в связи с этим становится невозможно перечислить полное количество угроз. Поэтому для защищаемой системы обычно определяют не полный перечень угроз, а перечень классов угроз.

Классификация возможных угроз информационной безопасности АС может быть проведена по следующим базовым признакам:

1 По природе возникновения:

а) естественные угрозы, вызванные воздействиями на АС объективных физических процессов или стихийных природных явлений;

1. b) искусственные угрозы безопасности АС, вызванные деятельностью человека.

2 По степени преднамеренности проявления:

а) угрозы, вызванные ошибками или халатностью персонала, например некомпетентное использование средств защиты, ввод ошибочных данных и т.п.;

1. b) угрозы преднамеренного действия, например действия злоумышленников.

3) По непосредственному источнику угроз:

а) природная среда, например стихийные бедствия, магнитные бури и пр.;

1. b) человек, например: вербовка путем подкупа персонала, разглашение конфиденциальных данных и т.п.;
2. c) санкционированные программно-аппаратные средства, например удаление данных, отказ в работе ОС;
3. d) несанкционированные программно-аппаратные средства, например заражение компьютера вирусами с деструктивными функциями.

4 По положению источника угроз:

1. a) вне контролируемой зоны АС, например перехват данных, передаваемых по каналам связи, перехват побочных электромагнитных, акустических и других излучений устройств;
2. b) в пределах контролируемой зоны АС, например применение подслушивающих устройств, хищение распечаток, записей, носителей информации и т.п.;
3. c) непосредственно в АС, например некорректное использование ресурсов АС.

5 По степени зависимости от активности АС:

1. a) независимо от активности АС, например вскрытие шифров криптозащиты информации;
2. b) только в процессе обработки данных, например угрозы выполнения и распространения программных вирусов.

6 По степени воздействия на АС:

1. a) пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС, например угроза копирования секретных данных;
2. b) активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС, например внедрение троянских коней и вирусов.

7 По этапам доступа пользователей или программ к ресурсам:

1. a) угрозы, проявляющиеся на этапе доступа к ресурсам АС, например: угрозы несанкционированного доступа в АС;
2. d) угрозы, проявляющиеся после разрешения доступа к ресурсам АС, например угрозы несанкционированного или некорректного использования ресурсов АС.

8 По способу доступа к ресурсам АС:

1. a) угрозы, осуществляемые с использованием стандартного пути доступа к ресурсам АС;
2. b) угрозы, осуществляемые с использованием скрытого нестандартного пути доступа к ресурсам АС, например: несанкционированный доступ к ресурсам АС путем использования недокументированных возможностей ОС.

9 По текущему месту расположения информации, хранимой и обрабатываемой в АС:

1. a) угрозы доступа к информации, находящейся на внешних запоминающих устройствах, например: несанкционированное копирование секретной информации с жесткого диска;
2. b) угрозы доступа к информации, находящейся в оперативной памяти, например: чтение остаточной информации из оперативной памяти, доступ к системной области оперативной памяти со стороны прикладных программ;
3. c) угрозы доступа к информации, циркулирующей в линиях связи, например: незаконное подключение к линиям связи с последующим вводом ложных сообщений или модификацией передаваемых сообщений, незаконное подключение к линиям связи с целью прямой подмены законного пользователя с последующим вводом дезинформации и навязыванием ложных сообщений;
4. d) угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере, например: запись отображаемой информации на скрытую видеокамеру[4].

1. Хализев В. Н. Программно-аппаратная защита информации. Методические указания, Краснодар, М:.КубГТУ, 2008 г;
2. Девянин П.Н. «Модели безопасности компьютерных систем» М.: Цифровая Академия – 2008 г.
3. Безбогов А. А., Яковлев А. В., Шамкин В. Н. «Методы и средства защиты компьютерной информации» М.: Тамбов ТГТУ – 2006 г.
4. Малюк А.А. «Информационная безопасность: концептуальные и методологические основы защиты информации» М.: Вега 2008 г.
5. Биячуев Т. А. «Безопасность корпоративных сетей», М.: ИТМО, 2007 г.;
6. Завгородний В. И. «Комплексная защита информации в компьютерных системах», М.: Логос, 2007 г.;
7. Е.Б. Основы информационной безопасности. Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. -М.: Горячая линия - Телеком, 2006. - 544с
8. Белов Е.Б. Основы информационной безопасности. Е.Б. Белов, В.П.Лось, Р.В. Мещеряков, А.А. Шелупанов. -М.: Горячая линия - Телеком,   -      544с Галатенко В.А. Стандарты информационной безопасности: курс лекций. Учебное
9. Пособие. - 2-ое издание. М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2009. - 264 с.
10. . Глатенко В.А. Стандарты информационной безопасности / Открытые системы 2006.- 264с
11. . Долженко А.И. Управление информационными системами: Учебный курс. - Ростов-на-Дону: РГЭУ, 2008.-125 с
12. . Калашников А. Формирование корпоративной политики внутренней информационной безопасности http://www.bytemag.ru/?ID=612637
13. . Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации/ М.2009- 280с
14. . Мэйволд Э., Безопасность сетей. Самоучитель // Эком, 2009.-528 с
15. . Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И., Основы организационного обеспечения информационной безопасности объектов информатизации // Гелиос АРВ, 2008 г., 192 с
16. . Тихонов В.А., Райх В.В., Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты // Гелиос АРВ, 2009г., 528 с
17. . Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. :М - ДМК Пресс, 2008. - 544 с
18. . Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2009. - 352 с
19. . Ярочкин В.И., Информационная безопасность: учебник для студентов вузов// -М.: Академический проект; Гаудеамус, 2-е изд., 2009 г., 544 с
20. http://www.fstec.ru/_razd/_isp0o.htm ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.
21. http://www.fstec.ru/_razd/_isp0o.htm ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г