Разработка концепции защищенной автоматизированной системы для адвокатской конторы

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ

КАФЕДРА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ДОПУЩЕНО К ЗАЩИТЕ

КУРСОВОЙ ПРОЕКТ

по дисциплине

«Технология построения защищенных автоматизированных систем»

на тему:

«Разработка концепции защищенной автоматизированной системы для адвокатской конторы»

Студент гр. ДИБ-41

В.М. Нерсесов

Студент гр. ДИБ-41

Руководитель

проф., д.т.н. Г.А. Попов

АСТРАХАНЬ - 2013



Содержание

Введение

1. Предметная область

2. Общие положения

2.1 Назначение и правовая основа документа

3. Объекты защиты

3.1 Назначение, цели создания и эксплуатации АС «Фемида» как объекта информатизации

3.2 Структура, состав и размещение основных элементов АС «Фемида», информационные связи с другими объектами

3.3 Категории информационных ресурсов, подлежащих защите

3.4 Категории пользователей АС «Фемида», режимы использования и уровни доступа к информации

3.5 Уязвимость основных компонентов АС «Фемида»

4. Цели и задачи обеспечения безопасности информации

4.1 Интересы затрагиваемых при эксплуатации АС «Фемида» субъектов информационных отношений

4. Цели защиты

4.3 Основные задачи системы обеспечения безопасности информации АС «Фемида»

4.4 Основные пути достижения целей защиты (решения задач системы защиты)

5. Основные угрозы безопасности информации

5.1 Угрозы безопасности информации и их источники

5.2 Меры нейтрализации угроз безопасности информации в АС «Фемида»

6. Основные положения технической политики в области обеспечения безопасности информации

6.1 Техническая политика в области обеспечения безопасности информации

6.2 Формирование режима безопасности информации

7. Основные принципы построения системы комплексной защиты информации

8. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов

8.1 Меры обеспечения безопасности

8.2 Законодательные (правовые) меры защиты

8.3 Организационные (административные) меры защиты

8.4 Физические средства защиты

8.5 Технические средства защиты

Заключение

Список литературы



Введение

Адвокатская контора «Фемида» - является одной из крупнейших адвокатских фирм г.Астрахани , специализирующихся на обслуживании физических лиц, индивидуальных предпринимателей и предприятий малого бизнеса.

В адвокатской конторе «Фемида» циркулируют большое количество потоков информации, в том числе информация, относящаяся к коммерческой, адвокатской тайне, а так же персональные данные клиентов и сотрудников. Такая информация хранится и обрабатывается в автоматизированной системе (далее - АС) «Фемида». АС «Фемида» развернута в клиент-серверной архитектуре. Таким образом, рабочие места сотрудников представляют собой «тонкий клиент», а вся информация необходимая для работы фирмы хранится на сервере.

Настоящая «Концепция обеспечения безопасности информации в автоматизированной системе «Фемида»» (далее - Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в единой информационной телекоммуникационной системе (далее автоматизированной системе - АС) «Фемида»» и представляет собой систематизированное изложение целей и задач защиты, а также основных принципов и способов достижения требуемого уровня безопасности информации в АС «Фемида».

Законодательство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, таким образом, данная работа является актуальной.

Цель работы: сформировать концепцию обеспечения безопасности информации в автоматизированной системе для адвокатской конторы «Фемида». Концепция является методологической основой для формирования и проведения в «Фемиде» единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению.



1. Предметная область

Адвокатская контора «Фемида» оказывает юридические услуги российским и иностранным как юридическим, так и физическим лицам. Основные направления деятельности адвокатской конторы:

практика в области собственности;

корпоративное право;

налогообложение;

медиация(посредничество);

финансовое право, ценные бумаги;

антикризисные (банкротные) процедуры;

страхование;

международное право;

защита интеллектуальной собственности;

защита нематериальных благ (честь, достоинство, деловая репутация, доброе имя);

экологическое право;

уголовное и административное право;

В составе фирмы сейчас 5 адвокатов, 1 секретарь, 2 бухгалтера, 1 системный администратор, 2 охранника. «Фемида» состоит из дипломированных специалистов, среди которых доктора и кандидаты юридических наук, а также адвокаты со значительным опытом работы, профессиональный уровень которых подтвержден результатами практики. Партнеры фирмы являются членами Международного союза (Содружества) адвокатов и Федерального союза адвокатов России.

В офисе установлено 9 персональных компьютеров (у каждого адвоката свой, т.к. каждый занимается определенной отраслью права, + компьютер секретаря +компьютеры бухгалтеров + компьютер системного администратора ), 5 принтеров, 2 ксерокса, 2 сканера.

В адвокатской конторе «Фемида» циркулируют следующие потоки информации:

коммерческая тайна (бухгалтерская и финансовая отчетность, объем закупок, список поставщиков и пр.);

адвокатская тайна (информация о клиентах);

персональные данные клиентов;

персональные данные сотрудников адвокатской конторы (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих адвокатскую и коммерческую тайну)

Вся эта информация обрабатывается в АС «Фемида», таким образом, необходимо сформировать концепцию обеспечения безопасности информации, которая обрабатывается в данной АС.



2. Общие положения

2.1 Назначение и правовая основа документа

Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в АС «Фемида», и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС «Фемида».

Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы (в том числе Федеральные законы РФ «Об адвокатской деятельности и адвокатуре в Российской Федерации», «О коммерческой тайне» и «О персональных данных»), указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (на сегодняшний день - Федеральная служба по техническому и экспортному контролю), а также нормативно-методические материалы и организационно - распорядительными документы «Фемида» отражающие вопросы обеспечения информационной безопасности в автоматизированных системах.

Концепция учитывает современное состояние и ближайшие перспективы развития АС «Фемида», цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для ресурсов АС «Фемида».

Основные положения и требования Концепции распространяются на все структурные подразделения «Фемида», в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие коммерческую, адвокатскую тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС «Фемида». Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с АС «Фемида» в качестве поставщиков и потребителей (пользователей) информации АС «Фемида».

Концепция является методологической основой для:

формирования и проведения единой политики в области обеспечения безопасности информации в АС «Фемида»;

принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

координации деятельности структурных подразделений адвокатской фирмы «Фемида» при проведении работ по созданию, развитию и эксплуатации АС «Фемида» с соблюдением требований обеспечения безопасности информации;

разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС «Фемида».

Концепция не регламентирует вопросы охраны помещений и обеспечения сохранности и физической целостности компонентов АС, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов «Фемида». Однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности «Фемида» в целом (имущественная, физическая и т.д.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы.

Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в АС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.

При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.

Основные положения Концепции базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.



3. Объекты защиты

Основными объектами информационной безопасности в «Фемида» являются:

информационные ресурсы с ограниченным доступом, составляющие коммерческую, адвокатскую тайны, персональные данные, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления,;

процессы обработки информации в АС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;

информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС.

3.1 Назначение, цели создания и эксплуатации АС «Фемида» как объекта информатизации

АС «Фемида» предназначена для автоматизации учетных задач, таких как кадровый учет, расчет зарплат, бухгалтерский учет, а также информационно-аналитических функций персонала адвокатская конторы.

Создание и применение АС «Фемида» преследует следующие цели:

повышение качества управления кадровым учетом;

повышение качества контроля за движением материальных и финансовых ресурсов фирмы;

повышение качества проведения бухгалтерского учета;

автоматизация процесса расчета зарплаты сотрудникам подразделений;

сокращение финансовых и временных затрат на поддержку внутреннего и внешнего документооборота.

3.2 Структура, состав и размещение основных элементов АС «Фемида», информационные связи с другими объектами

АС «Фемида» является локальной системой, расположенной в центральном здании фирмы. Адвокатская контора «Фемида» не имеет филиалов на территории РФ.

В АС «Фемида» предусмотрено взаимодействие с внешними (государственными и коммерческими) организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации.

Для безопасного доступа пользователей локальной сети адвокатской конторы в Интернет, для защиты компьютеров от вторжений хакеров, вирусов, спама, точного подсчета трафика используется Интернет-шлюз Advanced на платформе Windows (от ИТ Энигма). В состав программного обеспечения входят прокси-сервер, межсетевой экран, антивирусная защита, система обнаружения атак, система анализа содержимого трафика, анти-спам, система построения VPN, система биллинга, система квотирования трафика.

Комплекс технических средств АС «Фемида» включает средства обработки данных (ПЭВМ, сервер БД, почтовый сервер) средства обмена данными в ЛВС, а также средства хранения (в том числе архивирования) данных.

К основным особенностям функционирования АС «Фемида», относятся:

локальный характер расположения системы;

объединение в единой БД персональных данных клиентов;

строгая политика разграничения доступа к АС, в связи с обработкой конфиденциальной информации;

особые требования к электронному документообороту в связи со спецификой деятельности адвокатской конторы;

разнообразие категорий пользователей и обслуживающего персонала системы.

Обеспечение функционирования и эксплуатация АС «Фемида» осуществляется технической службой «Фемида» на основании требований организационно-распорядительных документов руководства адвокатской конторы.

3.3 Категории информационных ресурсов, подлежащих защите

В АС «Фемида» циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (коммерческая, адвокатская тайна, персональные данные) и открытые сведения.

В документообороте АС «Фемида» присутствуют:

платежные поручения и другие расчетно-денежные документы;

отчеты (финансовые, аналитические и др.);

персональные данные клиентов;

персональные данные сотрудников;

обобщенная информация и другие конфиденциальные (ограниченного распространения) документы.

Защите подлежит вся информация, циркулирующая в АС «Фемида» и содержащая:

сведения, составляющие коммерческую тайну, доступ к которым ограничен руководителем адвокатской конторы в соответствии с предоставленными Федеральными законами «Об адвокатской деятельности и адвокатуре в Российской Федерации», «О коммерческой тайне» и «Об информации, информатизации и защите информации» правами;

сведения, составляющие адвокатскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «Об адвокатской деятельности и адвокатуре в Российской Федерации»;

персональные данные клиентов, доступ к которым ограничен в соответствии с Федеральными законами «О персональных данных».

3.4 Категории пользователей АС «Фемида», режимы использования и уровни доступа к информации

В «Фемида» имеется несколько категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС «Фемида»:

пользователи базы данных (адвокаты фирмы, секретарь, бухгалтера);

администратор серверов (файлового сервера, сервера базы данных) и ЛВС;

администратор информационной безопасности (специальных средств защиты) и др.

3.5 Уязвимость основных компонентов АС «Фемида»

Наиболее доступными и уязвимыми компонентами АС «Фемида» являются рабочие станции (АРМ сотрудников «Фемида»). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на сервере), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки.

На мониторы и печатающие устройства рабочих станций выводится информация при работе операторов, выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты. Нарушителями могут быть использованы мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.



4. Цели и задачи обеспечения безопасности информации

4.1 Интересы затрагиваемых при эксплуатации АС «Фемида» субъектов информационных отношений

Субъектами правоотношений при использовании АС «Фемида» являются:

Адвокатская контора как собственник информационных ресурсов;

подразделения управлений и отделений адвокатской конторы, обеспечивающие эксплуатацию системы автоматизированной обработки информации;

должностные лица и сотрудники структурных подразделений адвокатская контора, как пользователи и поставщики информации в АС «Фемида» в соответствии с возложенными на них функциями;

юридические и физические лица, сведения (в том числе и персональные данные) о которых накапливаются, хранятся и обрабатываются в АС «Фемида»;

другие юридические и физические лица, задействованные в процессе создания и функционирования АС «Фемида» (разработчики компонент АС, обслуживающий персонал, организации, привлекаемые для оказания услуг в области безопасности информационных технологий и др.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

своевременного доступа к необходимой им информации;

целостности необходимой информации;

конфиденциальности определенной части информации;

достоверности (полноты, точности, адекватности, целостности) информации;

разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;

возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.

4.2 Цели защиты

Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС «Фемида» или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

обеспечения конфиденциальности определенной части информации, хранимой, обрабатываемой СВТ и передаваемой по каналам связи;

доступности обрабатываемой информации для зарегистрированных пользователей (устойчивого функционирования АС «Фемида», при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);

целостности и аутентичности информации, хранимой, обрабатываемой в АС «Фемида» и передаваемой по каналам связи.



4.3 Основные задачи системы обеспечения безопасности информации АС «Фемида»

Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности АС «Фемида» должна обеспечивать эффективное решение следующих задач:

защиту от вмешательства в процесс функционирования АС «Фемида» посторонних лиц, с целью нарушения конфиденциальности, целостности или доступности информации:

защита от утечки информации по акустическим и видовым каналам(посторонним запрещен вход в служебные помещения, в которых происходит обработка защищаемой информации, на окнах установлены жалюзи, разработаны Инструкции пользователям информационных систем, которые запрещают пользователям покидать рабочее место без завершения сеанса работы системы и т.д.);

защита от утечки информации по каналам ПЭМИН(использование АРМ в защищенном исполнении, увеличение границ контролируемой зоны);

защита от кражи аппаратных средств обработки информации(видеонаблюдение в помещениях адвокатской конторы);

защита от несанкционированного доступа к информации и от угроз несанкционированного доступа по каналам связи( использование СЗИ Secret Net актуальной версии);

защита от угроз сбоя работы программных средств защиты(возможности резервирования и восстановления).

разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС «Фемида» (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям АС «Фемида» для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа:

к информации, циркулирующей в АС «Фемида»;

средствам вычислительной техники АС «Фемида»;

аппаратным, программным и криптографическим средствам защиты, используемым в АС «Фемида»;

помещениям, где хранится обрабатываемая информация;

регистрацию действий пользователей при использовании защищаемых ресурсов АС «Фемида» в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений информационной безопасности;

контроль целостности среды исполнения программ и ее восстановление в случае нарушения;

обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;

прогнозирование и своевременное выявление источников угроз безопасности персоналу, ресурсам адвокатской конторы, в том числе и информационным ресурсам, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, и создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

создание условий и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения;

создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния на достижение стратегических целей адвокатской конторы и ликвидация последствий нарушения безопасности информации.

документирование процесса защиты информации с тем, чтобы в слу-чае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что адвокатская фирма принимала необходимые меры к защите этих сведений.

организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации

4.4 Основные пути достижения целей защиты (решения задач системы защиты)

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ);

регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений фирмы, использующих АС «Фемида», и персонала, осуществляющего обслуживание и модификацию программных и технических средств АС «Фемида», на основе утвержденных руководителем адвокатской конторы организационно-распорядительных документов по вопросам обеспечения безопасности информации;

полнотой, реальной выполнимостью и непротиворечивостью, а также четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС «Фемида», требований организационно-распорядительных документов «Фемида» по вопросам обеспечения безопасности информации;

эффективным контролем за соблюдением сотрудниками подразделений фирмы - пользователями АС «Фемида» требований по обеспечению безопасности информации;

назначением и подготовкой должностных лиц, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

наделением каждого сотрудника (пользователя АС) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС «Фемида»;

персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС «Фемида»;

разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;

юридической защитой интересов адвокатской конторы при взаимодействии его подразделений с внешними организациями от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;

проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС «Фемида».



5. Основные угрозы безопасности информации

5.1 Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации АС «Фемида» (способами нанесения ущерба субъектам информационных отношений) являются:

Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн.

Кража ПЭВМ;

Кража носителей информации;

Кража ключей и атрибутов доступа;

Кражи, модификации, уничтожения информации;

Вывод из строя узлов ПЭВМ, каналов связи;

Несанкционированное отключение средств защиты.

Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).

Действия вредоносных программ (вирусов);

Недекларированные возможности системного ПО и ПО для обработки персональных данных;

Установка ПО, не связанного с исполнением служебных обязанностей.

Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.

Утрата ключей и атрибутов доступа;

Непреднамеренная модификация (уничтожение) информации сотрудниками;

Непреднамеренное отключение средств защиты;

Выход из строя аппаратно-программных средств;

Сбой системы электроснабжения;

Стихийное бедствие.

Угрозы преднамеренных действий внутренних нарушителей.

Доступ, модификация, уничтожение информации лицами, не допущенными к ее обработке;

Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке.

Угрозы несанкционированного доступа по каналам связи.

Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

Перехват за пределами контролируемой зоны;

Перехват в пределах контролируемой зоны внешними нарушителями;

Перехват в пределах контролируемой зоны внутренними нарушителями.

Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

Угрозы выявления паролей по сети.

Угрозы навязывание ложного маршрута сети.

Угрозы подмены доверенного объекта в сети.

Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях. (Внедрение ложного объекта сети)

Угрозы типа «Отказ в обслуживании».

Угрозы удаленного запуска приложений.

Угрозы внедрения по сети вредоносных программ.

5.2 Меры нейтрализации угроз безопасности информации в АС «Фемида»

Пользователи, операторы, системные администраторы и сотрудники адвокатской конторы «Фемида», обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.

Основные пути реализации угроз АС «Фемида» и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 1.

Таблица 1

Угрозы и меры их нейтрализации

Тип угроз безопасности	Последствия реализации угрозы	Меры противодействия угрозе
		Технические	Организационные
Угрозы несанкционированного доступа к информации
Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
Кража ПЭВМ	При краже сервера возможен полный доступ ко всей базе ПДн, КИ и сведений отосящихся к адвокатской тайне	Двери закрываются на замок; На окнах установлены решетки	В адвокатской фирме введен контроль доступа в контролируемую зону; в штате фирмы состоит сторож
Кража носителей информации	Возможно использование ПДн, КИ и сведений относящихся к адвокатской тайне уничтожение и использование во вред клиентам и фирме	Двери закрываются на замок; На окнах установлены решетки Наличие биометрического турникета	В адвокатской фирме введен контроль доступа в контролируемую зону; Съемные носители используются только для резервного копирования, и ведется их учет и хранение в сейфе
Кража ключей и атрибутов доступа	Возможен полный доступ внутренних нарушителей ко всей базе ПДн и КИ; уничтожение и использование во вред клиентам и фирме	Двери закрываются на замок; На окнах установлены решетки; Наличие биометрического турникета	В адвокатской конторе введен контроль доступа в контролируемую зону; Съемные носители используются только для резервного копирования, и ведется их учет и хранение в сейфе; Введена политика «чистого стола»
Кражи, модификации, уничтожения информации	Возможен полный доступ ко всей базе ПДн и КИ, а также критичные для субъекта ПДн последствия уничтожение и использование во вред клиентам и фирме	Двери закрываются на замок; На окнах установлены решетки АРМ функционируют со съемными жесткими дисками, убирающимися в железный шкаф по заверщению работы	В адвокатской фирме введен контроль доступа в контролируемую зону В «Фемиде» ведется внешнее видеонаблюдение В ночное время здание находится под охраной сторожа
Вывод из строя узлов ПЭВМ, каналов связи	Нарушение интенсивности документооборота; При поломке сервера		В фирме введен контроль доступа в контролируемую зону Внутреннее видеонаблюдение Резервирование информации
Тип угроз безопасности	Последствия реализации угрозы	Меры противодействия угрозе
		Технические	Организационные
Угрозы несанкционированного доступа к информации
Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
Несанкционированное отключение средств защиты	Возможен полный доступ внутренних нарушителей ко всей базе ПДн, КИ и АТ	Двери закрываются на замок; На окнах установлены решетки	В адвокатской фирме введен контроль доступа в контролируемую зону; Инструкция администратора безопасности; Технологический процесс обработки информации; Акт установки средств защиты
Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)
Действия вредоносных программ (вирусов)	Критичные для клиента фирмы последствия	Установлена антивирусная защита	Инструкция пользователя; Инструкция администратора безопасности; Технологический процесс обработки информации; Инструкция по антивирусной защите
Недекларированные возможности системного ПО и ПО для обработки персональных данных	Возможен полный доступ ко всей базе ПДн и КИ Критические последствия для клиентов фирмы	Произведена сертификация ПО собственной разработки или стандартного ПО, доработанного под нужды адвокатской фирмы
Установка ПО не связанного с исполнением служебных обязанностей	Возможно появление дополнительного канала утечки ПДн и КИ для внутреннего нарушителя	Запрет на подключение съемных устройств и носителей информации, Установлен восьмисимвольный пароль на BIOS	Инструкция пользователя; Инструкция администратора безопасности; Технологический процесс обработки информации; В адвокатской фирме введено разграничение правами пользователей на установку ПО; Осуществляется контроль установки ПО
Тип угроз безопасности	Последствия реализации угрозы	Меры противодействия угрозе
		Технические	Организационные
Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и тп) характера
Утрата ключей и атрибутов доступа	Простои в работе с клиентом Возможность попадания ключевой информации к нарушителям и как следствие полный доступ ко всей базе ПДн, КИ и АТ Критическое влияние на клиентов фирмы	Хранение в сейфе Строгая учетность атрибутов доступа в специальном журнале	Введена парольная политика, предусматривающая требуемую сложность пароля и периодическую его смену; Инструкция пользователя; Инструкция администратора безопасности; Введена политика «чистого стола»
Непреднамеренная модификация (уничтожение) информации сотрудниками	Критичные для субъекта ПДн и КИ последствия		Резервное копирование; Инструкция пользователя
Непреднамеренное отключение средств защиты	Возможен полный доступ внутренних нарушителей ко всей базе ПДн и КИ Несанкционированное проникновение на территорию фирмы и в помещения, с хранящей в них конфиденциальной информацией	Двери закрываются на замок; Доступ к установлению режимов работы средств защиты предоставляется только администратору безопасности	В адвокатской конторе введен контроль доступа в контролируемую зону; Инструкция пользователя; Инструкция администратора безопасности; Инструкция по антивирусной защите;
Выход из строя аппаратно-программных средств	Простои в сборе, накоплении, передаче информации		Резервное копирование
Сбой системы электроснабжения	Уничтожение ПДн и КИ	Использование источника бесперебойного электропитания	Резервное копирование
Тип угроз безопасности	Последствия реализации угрозы	Меры противодействия угрозе
		Технические	Организационные
Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и тп) характера
Стихийное бедствие	Уничтожение ПДн и КИ,сведений составляющих адвокатскую тайну в электронном и бумажном виде		Разработаны план эвакуации персонала с объектов и вывоза материально-технических ценностей и инструкции при возникновении ЧС; пользователи под роспись ознакомлены с данным документом и проинструктированы о действиях в случае возникновения внештатных ситуаций
Угрозы преднамеренных действий внутренних нарушителей
Доступ, модификация, уничтожение информации лицами, не допущенными к ее обработке	Возможен полный доступ внутренних нарушителей ко всей базе ПДн и КИ	Двери закрываются на замок; Установлены решетки на окнах	Разрешительная система допуска; Технологический процесс обработки информации; Введен контроль доступа в контролируемую зону
Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке			Обязательство о не разглашении в трудовом договоре; Инструкция пользователя
Тип угроз безопасности	Последствия реализации угрозы	Меры противодействия угрозе
		Технические	Организационные
Угрозы несанкционированного доступа по каналам связи
Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
Перехват за пределами контролируемой зоны	Возможен полный доступ нарушителей к ПДн	Использование антивирусной защиты; Использование межсетевых экранов; Использование систем обнаружения атак; Использование систем анализа содержимого трафика; Пересылка данных между учреждениями только в шифрованном виде; Использование программного комплекса VipNet Использование СЗИ Secre Net.
Перехват в пределах контролируемой зоны внешними нарушителями
Перехват в пределах контролируемой зоны внутренними нарушителями
Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др
Угрозы выявления паролей по сети
Угрозы навязывание ложного маршрута сети
Угрозы подмены доверенного объекта в сети
Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях
Угрозы типа «Отказ в обслуживании»	Простои в обработке, передаче и анализе информации
Угрозы удаленного запуска приложений	Возможен полный доступ нарушителей к ПДн и КИ
Угрозы внедрения по сети вредоносных программ	Критичные для субъекта ПДн и КИ последствия
Тип угроз безопасности	Последствия реализации угрозы	Меры противодействия угрозе
		Технические	Организационные
Угрозы от утечки по техническим каналам
Угрозы утечки видовой информации	Возможно просмотреть часть записей общим списком (от до записей в зависимости от разрешения экрана)	АРМ пользователей расположены так, что практически исключен визуальный доступ к мониторам; На окнах установлены шторы; Здание ограждено забором	Инструкция пользователя; Технологический процесс обработки информации; Организация пропускного режима
Угрозы утечки по каналам ПЭМИН	Возможен полный доступ нарушителей ко всей базе ПДн и КИ	Активное зашумления, увеличение контролируемой зоны



6. Основные положения технической политики в области обеспечения безопасности информации

6.1 Техническая политика в области обеспечения безопасности информации

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС «Фемида» являются:

обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий (от НСД);

обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и при передаче по каналам связи.

Система обеспечения безопасности информации АС «Фемида» должна предусматривать комплекс организационных, программных и технических средств и мер по защите информации в процессе ее обработки и хранения, при передаче информации по каналам связи, при ведении конфиденциальных переговоров, раскрывающих сведения с ограниченным доступом, при использовании импортных технических и программных средств.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;

реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защита информации в подсистемах различного уровня и назначения, входящих в АС «Фемида»;

предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок.

криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение;

необходимое резервирование технических средств и дублирование массивов и носителей информации;

снижение уровня и информативности ПЭМИН, создаваемых различными элементами автоматизированных подсистем;

электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;

активное зашумление в различных диапазонах.

6.2 Формирование режима безопасности информации

С учетом выявленных угроз безопасности информации АС «Фемида» режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Комплекс мер по формированию режима безопасности информации включает:

установление в адвокатской конторе организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, специальное делопроизводство);

выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам (аттестация объектов информатизации);

организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС «Фемида»;

комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) следующих организационно-распорядительных документов:

Положение об обработке персональных данных и Положение об обработке конфиденциальной информации. Указанные Положения регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) учреждениям и организациям;

Перечни сведений, составляющих служебную, коммерческую и адвокатская тайны. Перечни определяют сведения, отнесенные к категориям конфиденциальных («ДСП», коммерческая тайна, адвокатская тайна, персональные данные), уровень и сроки обеспечения ограничений по доступу к защищаемой информации;

Приказы и распоряжения по установлению режима безопасности информации:

о вводе в эксплуатацию объектов информатизации;

о допуске сотрудников к работе с информацией ограниченного распространения;

о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС «Фемида» и др.;

Инструкции и функциональные обязанности сотрудников:

Инструкция пользователя;

Инструкция администратора;

Инструкция по антивирусной защите;

Инструкция действий во время ЧС.

другие нормативные документы.

Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:

введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, биометрические турникеты, карточки допуска и т.д.);

визуальный и технический контроль контролируемой зоны объекта защиты;

применение систем охранной и пожарной сигнализации и т.д.

Выполнение режимных требований при работе с информацией ограниченного распространения предполагает:

разграничение допуска к информационным ресурсам ограниченного распространения;

разграничение допуска к программно-аппаратным ресурсам АС «Фемида»;

ведение учета ознакомления сотрудников с информацией ограниченного распространения;

включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;

организация уничтожения информационных отходов (бумажных, магнитных и т.д.);

оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д.

Мероприятия технического контроля предусматривают:

контроль за проведением технического обслуживания, ремонта носителей информации и средств ЭВТ;

оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.

7. Основные принципы построения системы комплексной защиты информации

Построение системы обеспечения безопасности информации АС «Фемида» и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

Законность предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС «Фемида» в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. В связи со спецификой деятельности адвокатской конторы, принятые меры безопасности информации должны препятствовать доступу правоохранительных органов в соответствии с законодательством РФ «Об адвокатской деятельности и адвокатуре в Российской Федерации» от 31.05.2002. Пользователи и обслуживающий персонал АС «Фемида» должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного Кодекса РФ и т.п.).

Системность предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации АС «Фемида».

Комплексность использования методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами.

Непрерывность защиты предполагает принятие соответствующих мер на всех этапах жизненного цикла АС «Фемида», начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Своевременность предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности.

Преемственность и совершенствование предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат) предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения.

Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Принцип минимизации полномочий означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью.

Взаимодействие и сотрудничество предполагает создание благоприятной атмосферы в коллективах подразделений «Фемида», в которой сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации.