Анализ исходного состояния комплексной системы защиты корпоративной информационной системы юридической фирмы "Грантум"

Анализ системы управления торговлей и персоналом фирмы, бухучёта, уровня защищённости корпоративной информационной системы персональных данных. Разработка подсистемы технических мер защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 08.07.2014
Размер файла 3,6 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Введение

Защита конфиденциальной информации получила особенную актуальность в связи с большим количеством атак как на коммуникативные средства связи, так и на данные, хранимые на различных видах электронных носителей. Наблюдается повсеместное усиление зависимости успешности деятельности организации от развития ее информационной системы, внедренных информационных технологий, системы защиты информации.

Необходимость обеспечения безопасности персональных данных в наше время - объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления. Именно поэтому персональные данные нуждаются в серьезной защите.

С развитием средств электронной коммерции и доступных средств массовых коммуникаций возросли также и возможности злоупотреблений, связанных с использованием собранной и накопленной информации о человеке. Появились и эффективно используются злоумышленниками средства интеграции и быстрой обработки персональных данных, создающие угрозу правам и законным интересам человека.

Требования Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Обеспечение безопасности персональных данных является не правом организации, а ее прямой обязанностью. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Статья 19 Федерального закона «О персональных данных» гласит: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать криптографические средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Целью курсового проекта является разработка подсистемы защиты корпоративной информационной системы сетевой инфраструктуры юридической фирмы «Грантум».

Задачи курсового проекта:

1. Анализ деятельности и организационной структуры юридической фирмы «Грантум».

2. Анализ информационной структуры юридической фирмы «Грантум».

3. Анализ и категорирование ПДн, обрабатываемых в юридической фирме «Грантум».

4. Анализ исходного состояния комплексной системы защиты корпоративной информационной системы юридической фирмы «Грантум».

5. Определение уровня исходной защищённости информационной системы персональных данных юридической фирмы «Грантум».

6. Составление модели актуальных угроз.

7. Классификация ИСПДн юридической фирмы «Грантум».

8. Определение состава и содержания организационных мер и технических средств подсистемы защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн юридической фирмы «Грантум».

9. Разработка подсистемы технических мер защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн юридической фирмы «Грантум».

маршрутизация коммутация межсетевой информационный

1. Общие сведения о юридической фирме «Грантум»

1.1 Характеристика деятельности юридической фирмы «Грантум»

Юридическая фирма «Грантум» была основана в 2013 году и предоставляет широкий спектр юридических услуг юридическим лицам в городе Ставрополе.

Юридическая фирма «Грантум» расположена на втором этаже административного здания в 7 офисах. Схема размещения офисов юридической фирмы «Грантум» на этаже показана на рисунке 1.1.

Рисунок 1.1. - Схема размещения офисов юридической фирмы «Грантум»

Основные направления деятельности юридической фирмы «Грантум»

1. Абонентское обслуживание юридических лиц.

1.1. Анализ правоустанавливающей и первичной документации юридического лица в целях минимизации возможных конфликтов с налоговыми органами, с совладельцами компании, а также в целях повышения защиты от недружественного поглощения.

1.2. Консультации по вопросам организации и хозяйственной деятельности юридических лиц, в том числе разработка и предоставление списка контрактов для шаблонных бизнес-операций (поставка, купля-продажа, оказание услуг, кредиты и займы, аренда, хранение и т.п.).

1.3. Консультирование по вопросам применения законодательства.

1.4. Участие в переговорах с контрагентами.

1.5. Представление интересов в государственных органах.

1.6. Представление интересов в арбитражном суде и суде общей юрисдикции (досудебная подготовка, составление исковых заявлений, встречных исков, апелляционных жалоб, кассационных жалоб, заявлений о пересмотре судебных актов в порядке надзора и по вновь открывшимся обстоятельствам, и других документов, участие в судебном разбирательстве при разбирательстве споров в первой, апелляционной, кассационной и надзорной инстанциях).

1.7. Представительство в процессе исполнительного производства.

2. Защита при обороте недвижимости.

2.1. Подготовка заключений о соответствии действующему законодательству документов по планируемой к заключению сделке, с предложениями по защите слабых мест и возможным методам защиты.

2.2. Подготовка заключений о текущем положении дел по уже заключенным сделкам, если имеются основания предполагать, что они могут быть оспорены, с предложением конкретных действий по защите.

2.3. Защита прав и интересов в суде, в случае, если контрагентами сделка оспаривается в судебном порядке.

2.4. Представление интересов в суде, в случае необходимости судебной защиты нарушенных прав.

3. Правовое сопровождение банкротного процесса.

3.1. Разработка комплекса мероприятий по предупреждению банкротства организаций.

3.2. Разработка рекомендаций по наиболее оптимальной процедуре банкротства предприятия должника (наблюдение, финансовое оздоровление, внешнее управление, конкурсное производство, мировое соглашение), разработка концепции выбранной процедуры банкротства и ее правовое сопровождение.

3.3. Правовая защита бизнеса и активов должника при возбуждении производства по делу о несостоятельности (банкротстве).

3.4. Анализ сделок, совершенных с активами должника до возбуждения дела о несостоятельности (банкротстве), в целях определения перспектив их судебного оспаривания.

3.5. Правовое сопровождение деятельности арбитражного управляющего.

3.6. Представление интересов кредитора/должника в арбитражном суде, на собраниях кредиторов, в отношениях с арбитражным управляющим, регулирующим органом, саморегулируемой организацией и прочее

3.7. Взыскание дебиторской задолженности должника.

3.8. Правовая экспертиза предъявляемых должнику требований.

3.9. Представительство в арбитражном процессе.

4. Вопросы корпоративного права.

4.1. Реализация имущественных и неимущественных прав акционеров/участников

4.2. Защита прав акционеров (учредителей).

4.3. Защита прав и интересов участников обществ с ограниченной ответственностью.

4.4. Подготовка и содействие в проведении общих собраний акционеров/участников.

4.5. Подготовка и оформление сделок по отчуждению акций/долей.

4.6. Обжалование в судебных и иных органах решений органов управления общества.

4.7. Оспаривание крупных сделок и сделок, в совершении которых имеется заинтересованность, заключенных от имени акционерных обществ (обществ с ограниченной ответственностью), наносящих ущерб интересам акционеров (учредителей) и самого акционерного общества (общества с ограниченной ответственностью).

4.8. Оспаривание сделок по отчуждению акций (долей) акционерного общества (общества с ограниченной ответственностью), совершенных с нарушением преимущественного права акционеров (учредителей) по приобретению акций (долей).

2. Обобщённая организационная структура юридической фирмы «Грантум»

«Грантум» - юридическая фирма, штат которой состоит из 32 человек.

Состав штата представлен в таблице 2.1.

Таблица 2.1 - Состав штата фирмы «Грантум»

Должность

Количество человек

Директор

1

Офис-менеджер

1

Начальник отдела по абонентскому обслуживанию юридических лиц

1

Начальник отдела по защите при обороте недвижимости

1

Начальник отдела по вопросам корпоративного права

1

Начальник отдела по правовому сопровождению банкротного процесса

1

Начальник ИТ-отдела

1

Специалист по абонентскому обслуживанию юридических лиц

6

Специалист по защите при обороте недвижимости

6

Специалист по вопросам корпоративного права

6

Специалист по правовому сопровождению банкротного процесса

6

Специалист по технической поддержке

1

Ввиду того, что фирма вышла на рынок совсем недавно, клиентская база ещё не наработана, однако согласно бизнес-модели, которой придерживается «Грантум», при текущей организационной структуре, планируется достичь клиентской базы в 8-10 тысяч субъектов до конца текущего года.

Юридическая фирма «Грантум» имеет организационную структуру, представленную в приложении 1 к дипломному проекту. Как видно из приложения 1, в фирме реализован линейно-функциональный тип организационной структуры, то есть, организована она строго иерархически и характеризуется разделением зон ответственности и единоначалием, деятельность структурных подразделений специализирована и определяется основным функциональным признаком.

Организационно-управленческая структура предприятия представляется в виде трех уровней управления: верхнего, среднего и низшего.

Верхнему уровню управления соответствует управленческая подсистема.

Во главе верхнего уровня управления находится директор фирмы. Он осуществляет общее руководство деятельностью юридической фирмы «Грантум» и несет ответственность за выполнение задач, непосредственно входящих в его обязанности.

В непосредственном подчинении у руководителя находятся все должностные лица, входящие в состав юридической фирмы.

Средний уровень управленческой структуры обеспечивает функции, входящие в обеспечивающую подсистему. К среднему уровню относятся руководители всех структурных подразделений, обеспечивающие рабочую деятельность фирмы и выполнение производственных задач, поставленных на высшем уровне.

Низший (оперативный) уровень управления включает в себя персонал всех структурных подразделений, непосредственно выполняющих задачи, поставленные на высшем и среднем уровнях управления.

3. Анализ информационной структуры юридической фирмы «Грантум»

3.1 Анализ информационных систем

3.1.1 Общая характеристика корпоративных информационных систем

В юридической фирме «Грантум» функционирует корпоративная информационная система, состоящая из следующих подсистем:

- подсистема управления торговлей и взаимоотношениями с клиентами;

- подсистема бухгалтерского учёта;

- подсистема управления персоналом.

Схема состава корпоративной информационной системы фирмы приведена на рисунке 3.1.

Рисунок 3.1 - Схема состава корпоративной информационной системы юридической фирмы «Грантум»

3.1.2 Подсистема управления торговлей и взаимоотношениями с клиентами

CRM-система используемая в фирме представлена программным продуктом «1С:Предприятие 8. Управление торговлей и взаимоотношениями с клиентами (CRM)».

Подсистема построена на основе архитектуры «клиент-сервер». База клиентов хранится на локальном сервере, пользовательский доступ к ней имеют все сотрудники фирмы, за исключением офис-менеджера.

Максимальный уровень доступа к системе у специалистов ИТ-отдела и директора фирмы.

В CRM-системе «1С:Предприятие 8. Управление торговлей и взаимоотношениями с клиентами» выделяют две группы пользователей:

1) администраторы;

2) пользователи.

Администраторам доступен полный набор действий по изменению базы данных CRM-системы, в то время как операторы могут изменять содержимое строго определённого перечня данных.

Общие права пользователей информационной системы представлены в таблице 3.1.

Таблица 3.1 - Подсистема разграничения доступа в CRM-системе

Группа

Уровень доступа к CRM-системе

Разрешенные действия с данными

Администраторы

Обладают полной информацией о программном и аппаратном обеспечении CRM-системы.

Обладает полными правами по конфигурированию программных и аппаратных средств CRM-системы.

- сбор;

- систематизация;

- накопление;

- хранение;

- уточнение;

- использование;

- уничтожение.

Пользователи

Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ на чтение и изменение ко всем данным.

- сбор;

- систематизация;

- накопление;

- хранение;

- уточнение;

- использование;

- уничтожение.

3.1.3 Подсистема бухгалтерского учёта

Подсистема бухгалтерского учёта, используемая в юридической фирме представлена программным продуктом «1С:Бухгалтерия 8.0».

Подсистема построена на основе архитектуры «клиент-сервер». База клиентов хранится на локальном сервере, доступ к ней имеют офис-менеджер и управляющее звено компании.

Полный уровень доступа к системе - у специалистов ИТ-отдела и директора фирмы.

3.1.4 Подсистема управления персоналом

Подсистема бухгалтерского учёта, используемая в юридической фирме представлена программным продуктом «1С:Зарплата и кадры 8.0».

Подсистема построена на основе архитектуры «клиент-сервер». База клиентов хранится на сервере, доступ к ней имеют офис-менеджер и управляющее звено компании.

Полный уровень доступа к системе у специалистов ИТ-отдела и директора фирмы.

3.2 Анализ информационных сетей

Юридическая фирма «Грантум» имеет локальную вычислительную сеть, состоящую более чем из тридцати сетевых устройств. Локальная вычислительная сеть предприятия расположена в пределах одного здания в нескольких офисах.

В состав сети входят:

- один маршрутизатор;

- один коммутатор;

- две беспроводные точки доступа;

- два сервера;

- 36 персональных компьютеров;

- пять сетевых принтеров;

Схема сети фирмы представлена на рисунке 3.2:

Рисунок 3.2 - Общая схема информационной структуры юридической фирмы «Грантум»

Сеть построена по классической топологии звезда. Для небольших информационных систем данная схема является наиболее часто используемой в связи с её простотой и относительно невысокой стоимостью.

Указанные на рисунке 3.2 элементы сетевой инфраструктуры следующих моделей:

- маршрутизатор: Cisco 851-K9;

- коммутатор: Cisco SLM248GT;

- Wi-Fi точки доступа: ZyXEL Keenetic Giga II.

- сервер СУБД и IP-телефонии: HP ProLiant ML110 G6;

- принтеры: HP LaserJet Pro 400 MFP M425dn;

Рабочие станции пользователей представляют собой моноблоки Acer Veriton VZ2650G-UG645X.

На рисунке 3.3 представлена схема информационной структуры юридической фирмы «Грантум» с наложением на этаж, т.е. данная схема, показывает физическое размещение сетевого оборудования.

Рисунок 3.3 - Схема информационной структуры юридической фирмы «Грантум» с наложением на этаж

Из рисунка 3.3 видно, что основное оборудование, такое как коммутаторы, маршрутизаторы и сервера сосредоточено в одном помещении (Серверная). Серверная является специально оборудованным помещением, в котором расположены системы резервного питания и кондиционирования. Наличие резервного питания и кондиционирования позволяет снизить риск выхода из строя оборудования, установленного в аппаратной.

3.3 Анализ информационных потоков

Данные об информационных потоках на конкретных участках сети сведены в таблице 3.2:

Таблица 3.2 - Сведения об информационных потоках на конкретных участках сети

Участок сети

Тип передаваемых данных

Отделы фирмы - сервер СУБД;

Руководство фирмы - сервер СУБД;

служебная информация;

данные о клиентах;

формы документов.

ИТ-отдел - сервер СУБД; Руководство фирмы - сервер СУБД;

кадровые документы;

финансовые документы

Схема информационных потоков юридической фирмы изображена на рисунке 3.4

Рисунок 3.4 - Схема информационных потоков в юридической фирме «Грантум»

3.4 Анализ и категорирование персональных данных, обрабатываемых в юридической фирме «Грантум»

База данных юридической фирмы «Грантум» содержит персональные данные как сотрудников самой фирмы, так и клиентов, следовательно, требуется провести категорирование персональных данных.

База данных сотрудников фирмы содержит следующие персональные данные:

- Ф.И.О. сотрудника;

- дата рождения;

- занимаемая должность;

- семейное положение;

- личный телефон;

- паспортные данные;

- ИНН;

- СНИЛС.

База данных клиентов фирмы содержит следующие персональные данные:

- Ф.И.О. клиента;

- контактный номер телефона;

- адрес электронной почты;

- паспортные данные;

- ИНН;

- номер банковского счёта.

В соответствии с пунктом 5 постановления правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", персональные данные клиентов и сотрудников фирмы имеют категорию «иные» персональные данные.

4. Анализ исходного состояния комплексной системы защиты корпоративной информационной системы юридической фирмы «Грантум»

4.1 Анализ действующих организационных мер по обеспечению информационной безопасности

Перечень имеющейся организационно-распорядительной документации по защите персональных данных в юридической фирме «Грантум»:

1. Политика информационной безопасности фирмы:

- описывает цели и задачи информационной безопасности;

- определяет направления работы подразделения информационной безопасности.

2. Положение о коммерческой тайне и конфиденциальной информации - регулирует отношения, связанные с обработкой и защитой коммерческой тайны и конфиденциальной информации.

3. Приказ о контролируемой зоне:

- устанавливает границы контролируемой зоны;

- определяет ответственных за обеспечение границ контролируемой зоны.

4. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" - устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

4.2 Анализ действующих технических мер по обеспечению информационной безопасности

4.2.1 Анализ границ контролируемой зоны юридической фирмы «Грантум»

Юридическая фирма «Грантум» расположена в административном здании на втором этаже и не выходит за его пределы. Фирма занимает 8 офисов, расположение которых показано на рисунке 1.1.

Физически контролируемая зона ограничена стенами каждого из офисов и заканчивается в точках выхода кабельной инфраструктуры за пределы офисов.

4.2.2 Анализ системы контроля и управления доступом юридической фирмы «Грантум»

В юридической фирме «Грантум» установлена и функционирует система контроля и управления доступом «Кодос», которая решает следующие задачи:

- разграничение доступ в помещение;

- предотвращение несанкционированного проникновения на объект.

Данная система контроля и управления доступом имеет единый центральный узел управления и группу считывателей. На каждой входной двери расположены два считывателя с каждой стороны двери. Разделение считывателей на «внутренние» и «внешние» позволяет контролировать пребывание пользователей внутри помещения. Система контроля и управления доступом является независимой системой контроля входа в служебные помещения.

Система контроля и управления доступом в юридической фирме «Грантум» используется для доступа в серверную и кабинет директора.

Схема расположения системы контроля управления доступом представлена на рисунке 4.1:

Рисунок 4.1 - Схема расположения системы контроля управления доступом юридической фирмы «Грантум»

Выводы к первой главе

Основное направление деятельности фирмы «Грантум» - предоставление широкого спектра юридических услуг юридическим лицам в городе Ставрополе. Основными направлениями деятельности фирмы являются:

- абонентское обслуживание юридических лиц;

- защита оборота при недвижимости;

- правовое сопровождение банкротного процесса;

- реализация имущественных и неимущественных прав акционеров или участников.

Для предоставления юридических услуг в фирме существует 4 отдела:

- отдела по абонентскому обслуживанию юридических лиц;

- отдел по защите при обороте недвижимости;

- отдел по вопросам корпоративного права;

- отдел по правовому сопровождению банкротного процесса.

Функция по сопровождению информационно-телекоммуникационных систем возложена на ИТ-отдел.

В юридической фирме «Грантум» функционирует корпоративная информационная система, состоящая из 3-х подсистем:

- подсистема управления торговлей и взаимоотношениями с клиентами;

- подсистема бухгалтерского учёта;

- подсистема управления персоналом.

Корпоративная информационная система имеет клиент-серверную архитектуру и расположена в пределах локальной вычислительной сети фирмы. Доступ к системе осуществляется с помощью программ-клиентов, установленных на автоматизированных рабочих местах пользователей. Подсистема разграничения доступа в корпоративной информационной системе содержит две группы доступа:

- администраторы;

- пользователи.

Локальная сеть юридической фирмы «Грантум» работает по топологии «звезда» и имеет одно подключение к сетям связи общего пользования. Следует отметить, что кабельная инфраструктура информационно-телекоммуникационной системы проходит за границами контролируемой зоны, определённой приказом о контролируемой зоне.

Анализ базы данных корпоративной информационной системы показал, что в ней обрабатываются следующие категории данных:

- персональные данные сотрудников и клиентов фирмы, имеющие категорию «иные»;

- коммерческая тайна.

По результатам анализ исходной комплексной системы защиты выявлено, что фирма имеет ряд организационных и технических мер по обеспечению информационной безопасности.

Перечень организационных мер, по защите информации, используемые в юридической фирме «Грантум»:

- политика информационной безопасности фирмы;

- положение о коммерческой тайне и конфиденциальной информации;

- приказ о контролируемой зоне;

- положение об обеспечении безопасности персональных данных.

Технические меры по обеспечению информационной безопасности в юридической фирме «Грантум» реализованы с использованием системы контроля и управления доступом «Кодос», однако её применение ограничено наиболее важными информационными узлами фирмы.

На основе результатов проведённого анализа, текущего состояния комплексной системы защиты информации можно сделать вывод о том, что требуется разработка подсистемы защиты персональных данных и коммерческой тайны, циркулирующих в корпоративной информационной системе юридической фирмы «Грантум».

5. Составление модели актуальных угроз ИСПДн юридической фирмы «Грантум». Классификация ИСПДн

5.1 Определение уровня исходной защищённости информационной системы персональных данных юридической фирмы «Грантум»

В соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных разработанной ФСТЭК, определение уровня исходной защищённости производится на основании анализа технических и эксплуатационных характеристик ИСПДн, в таблице (5.1) представлены характеристики ИСПДн, определена степень исходной защищенности ИСПДн клиентов и сотрудников юридической фирмы «Грантум».

Исходный уровень защищенности определяется следующим образом:

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициентY1, а именно:

0 - для высокой степени исходной защищенности;

5 - для средней степени исходной защищенности;

10 - для низкой степени исходной защищенности.

Таблица 5.1 - определение уровня исходной защищенности ИСПДн юридической фирмы «Грантум»

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

По территориальному размещению

распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом

городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка)

корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации

локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий

локальная ИСПДн, развернутая в пределах одного здания

+

По наличию соединения с сетями общего пользования

ИСПДн, имеющая многоточечный выход в сеть общего пользования

ИСПДн, имеющая одноточечный выход в сеть общего пользования

+

ИСПДн, физически отделенная от сети общего пользования

По встроенным (легальным) операциям с записями баз персональных данных

чтение, поиск

запись, удаление, сортировка

+

модификация, передача

По разграничению доступа к персональным данным

ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;

+

ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;

ИСПДн с открытым доступом

По наличию соединений с другими базами ПДн иных ИСПДн

интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);

ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн

+

По уровню обобщения (обезличивания) ПДн

ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн

+

По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

ИСПДн, предоставляющая всю базу данных с ПДн

ИСПДн, предоставляющая часть ПДн

ИСПДн, не предоставляющая никакой информации

+

Количество баллов по уровням

3

3

1

Процент характеристик ИСПДн по уровням

42,8%

42,8%

14,4%

Уровень исходной защищённости ИСПДн

Средний

Коэффициент защищённости ИСПДн (Y1)

5

Определение вероятности реализации угроз безопасности в информационной системе персональных данных.

В соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, разработанной ФСТЭК, под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Вводятся четыре вербальных градации показателя «Вероятность реализации угрозы»:

- маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

- низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

- средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

- высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2, а именно:

0 - для маловероятной угрозы;

2 - для низкой вероятности угрозы;

5 - для средней вероятности угрозы;

10 - для высокой вероятности угрозы.

Определение коэффициента реализуемости угрозы.

С учетом изложенного, коэффициент реализуемости угрозы Y будет определяться соотношением (2.1)

, (2.1)

где:

.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

- если , то возможность реализации угрозы признается низкой;

- если , то возможность реализации угрозы признается средней;

- если , то возможность реализации угрозы признается высокой;

- если , то возможность реализации угрозы признается очень высокой.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

- низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

- средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

- высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 5.2.

Таблица 5.2 Правила отнесения угрозы безопасности ПДн к актуальной

Возможность реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

На основании экспертных оценок вероятности реализации угроз, показателя опасности, учета коэффициента исходной защищенности ИСПДн и Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, рассчитана степень актуальности угроз безопасности ПДн сотрудников и клиентов юридической фирмы «Грантум». Модель угроз приведена в Приложении 2 - «Модель угроз ИСПДн сотрудников и клиентов юридической фирмы «Грантум».

5.2 Определение перечня актуальных угроз ИСПДн

Исходя из составленной модели угроз, перечень актуальных угроз ИСПДн юридической фирмы «Грантум» имеет следующий вид:

1. Угрозы утечки информации по техническим каналам:

- угрозы утечки видовой информации.

2. Угрозы преднамеренных действий внутренних нарушителей:

- разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке;

- применение отчуждаемых носителей вредоносных программ.

3. Угрозы НСД:

- угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов;

- угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);

- угрозы внедрения вредоносных программ.

4. Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия:

- угрозы "Анализа сетевого трафика" с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации

- угрозы сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.;

- угрозы выявления паролей;

- угрозы внедрения по сети вредоносных программ.

5.3 Классификация ИСПДн юридической фирмы «Грантум»

Субъектами персональных данных являются как сотрудники фирмы, так и клиенты, общей численностью не более 100 тыс. субъектов.

В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", ИСПДн юридической фирмы «Грантум» является информационной системой, обрабатывающей категорию персональных данных «иные».

Используя метод экспертных оценок, установим, что для ИСПДн юридической фирмы «Грантум» актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Уровень защищённости ИСПДн определяется на основании количества субъектов персональных данных, категории ПДн, типа актуальных угроз, а также того, являются субъекты ПДн сотрудниками фирмы или нет. Из приведённых выше значений характеристик, используя таблицу (5.3), следует отнести ИСПДн юридической фирмы «Грантум» к четвёртому уровню защищённости.

Таблица 5.3 - Критерии определения уровня защищённости ИСПДн

Категории ПДН

Специальные

Биометрические

Иные

Общедоступные

Собственные работники

нет

нет

да

нет

нет

да

нет

нет

да

Количество субъектов

более 100 тыс.

менее 100 тыс.

более 100 тыс.

менее 100 тыс.

более 100 тыс.

менее 100 тыс.

Тип актуальных угроз

1

1 УЗ

1 УЗ

1 УЗ

1 УЗ

1 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

2

1 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

3 УЗ

3 УЗ

2 УЗ

3 УЗ

3 УЗ

3

2 УЗ

3 УЗ

3 УЗ

3 УЗ

3 УЗ

4 УЗ

4 УЗ

4 УЗ

4 УЗ

4 УЗ

Выводы ко второй главе

Проведена оценка исходной защищённости информационной системы персональных данных юридической фирмы «Грантум». В результате оценки уровень исходной защищённости ИСПДн определён как «средний».

Исходя из уровня исходной защищённости, а также метода экспертных оценок построена модель угроз, по которой составлен перечень актуальных угроз ИСПДн. Выделены следующие категории актуальных угроз:

- угрозы утечки информации по техническим каналам;

- угрозы преднамеренных действий внутренних нарушителей;

- угрозы НСД;

- угрозы, реализуемые с использованием протоколов межсетевого взаимодействия.

На основании экспертных оценок вероятности реализации угроз, показателя опасности, учета коэффициента исходной защищенности ИСПДн и Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, определены актуальные угрозы безопасности ПДн сотрудников и клиентов юридической фирмы «Грантум».

Проведена классификация ИСПДн, по результатам которой ИСПДн юридической фирмы «Грантум» присвоен четвёртый уровень защищённости.

Так как тема курсового проектирования звучит «разработка подсистемы защиты корпоративной информационной системы сетевой инфраструктуры юридической фирмы» далее будет рассматриваться перечень актуальных угроз применительно к сетевой инфраструктуре фирмы, а также меры и средства для защиты от них.

маршрутизация коммутация межсетевой информационный

6. Разработка подсистемы защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн юридической фирмы «Грантум» с учётом данных о классе ИСПДн и составленного перечня актуальных угроз

6.1 Определение состава и содержания организационных мер и технических средств подсистемы защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн юридической фирмы «Грантум»

Из приведённого ранее перечня актуальных угроз, применительно к системе сетевой инфраструктуры юридической фирмы «Грантум», актуальны угрозы, реализуемые с использованием протоколов межсетевого взаимодействия:

- угрозы "Анализа сетевого трафика" с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации

- угрозы сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.;

- угрозы выявления паролей;

- угрозы внедрения по сети вредоносных программ.

Выбор мер по обеспечению безопасности ПДн, подлежащих реализации в информационной системе в рамках подсистемы защиты от НСД включает:

- определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных;

- адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы;

В соответствии с приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" для обеспечения четвёртого уровня защищенности ИСПДн юридической фирмы «Грантум», подсистема защиты маршрутизации, коммутации и межсетевого экранирования должна реализовывать адаптированный базовый набор мер, приведённыы в таблице 6.1:

Таблица 6.1 - Адаптированный базовый набор мер для подсистемы защиты маршрутизации, коммутации и межсетевого экранирования

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности ПДн

Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.2

Идентификация и аутентификация устройств, в том

числе стационарных, мобильных и портативных

Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.3

Управление (фильтрация, маршрутизация, контроль

соединений, однонаправленная передача и иные способы

управления) информационными потоками между

устройствами, сегментами информационной системы, а

также между информационными системами

УПД.14

Регламентация и контроль использования в

информационной системе технологий беспроводного

доступа

УПД.15

Регламентация и контроль использования в

информационной системе мобильных технических средств

Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.7

Защита информации о событиях безопасности

Антивирусная защита (АВЗ)

АВЗ.1

Реализация антивирусной защиты

АВЗ.2

Обновление базы данных признаков вредоносных

компьютерных программ (вирусов)

Обнаружение вторжений (СОВ)

СОВ.1

Обнаружение вторжений

СОВ.2

Обновление базы решающих правил

Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)

ЗИС.3

Обеспечение защиты персональных данных от

раскрытия, модификации и навязывания (ввода ложной

информации) при ее передаче (подготовке к передаче)

по каналам связи, имеющим выход за пределы

контролируемой зоны, в том числе беспроводным

каналам связи

ЗИС.20

Защита беспроводных соединений, применяемых в

информационной системе

Для защиты от перечисленных актуальных угроз используются следующие технические средства:

- шифрование;

- межсетевое экранирование;

- антивирусное ПО;

- система обнаружения вторжений.

Для защиты от перечисленных актуальных угроз используются следующие организационные меры:

- ведение контрольно-пропускного режима;

- организация технологического процесса таким образом, чтобы исключить возможность реализации угроз или минимизировать их вероятность реализации до максимально возможного уровня;

- инструкция пользователя, где указываются правила безопасной работы в ИС, т.е. порядок действий, который не приводит к возникновению угроз безопасности;

- инструкция администратора безопасности, где указываются средства, которые необходимо использовать для защиты и действия в случае проявления одной из угроз;

- после установки средств защиты или изменения их состава оформляется акт установки средств защиты.

На рисунке 6.1 показаны перечни технических средств и организационных мер подсистемы защиты маршрутизации, коммутации и межсетевого экранирования.

Рисунок 1.1 - Подсистема защиты маршрутизации, коммутации и межсетевого экранирования

6.2 Разработка подсистемы защиты маршрутизации, коммутации и межсетевого экранирования с использованием технических средств

6.2.1 Выбор средств защиты

На сегодняшний день сертифицированных продуктов, способных обеспечить 4-ый уровень защищённости подсистемы маршрутизации, коммутации и межсетевого экранированию ИСПДн существует немного. Наиболее подходящим решением, включающим в себя шифрование, межсетевое экранирование и систему обнаружения вторжений, считаю программно-аппаратный комплекс ViPNet CUSTOM, т.к. решения ViPNet имеют следующие конкурентные преимущества:

1. Сертификация в ФСТЭК России и ФСБ России, позволяет легитимно использовать предлагаемые решения для выполнения требований по защите конфиденциальной информации при передаче информации через сеть Интернет и обработке на рабочем месте. С точки зрения сертификации продукты ViPNet представляют собой законченные изделия, не требующие дополнительной проверки корректности встраивания (требование ФСБ).

2. Масштабируемость. Анализ решений ViPNet в ряде организаций РФ позволяет сделать вывод о возможности защиты для ИСПДн с числом пользователей 100000 и более. Удаленное управление обеспечивает непрерывность функционирования системы защиты и отсутствие негативного влияния на уже существующую инфраструктуру.

3. Надежность. Реализована технологии «горячего резервирования», позволяющая повысить надежность и живучесть системы.

4. Клиентская часть. Особое внимание уделено клиентскому модулю, реализующему абонентское шифрование, а также имеющему интегрированный персональный сетевой экран, необходимый по требованиям ФСБ для эксплуатации СКЗИ при подключении к сетям передачи данных. Клиентский модуль дает возможность работать пользователям в любой адресной среде и нечувствителен к устройствам NAT.

5. Технология клиент-клиент. Реализована уникальная технология, позволяющая устанавливать прямые защищенные соединения типа «клиент-клиент», что может значительно снизить нагрузку серверы центрального узла.

6. Поддержка современных ОС позволяет решать вопросы защиты информации на современных платформах.

В качестве антивирусного ПО оптимальным вариантом считаю антивирус Dr.Web, так как он соответствует требованиям Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006, предъявляемым как к антивирусным подсистемам локальной сети компании. Одним из ключевых преимуществ является незначительное воздействие на производительность рабочей станции или сервера, при обеспечении достаточного уровня защищённости.

6.2.2 Краткое описание технологии ViPNet CUSTOM

Комплекс ViPNet CUSTOM нацелен на решение двух важных задач информационной безопасности:

- создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления;

- развертывание инфраструктуры открытых ключей (PKI) с организацией Удостоверяющего Центра с целью использования механизмов электронно-цифровой подписи в прикладном программном обеспечении заказчика (системах документооборота и делопроизводства, электронной почте, банковском программном обеспечении, электронных торговых площадках и витринах), с поддержкой возможности взаимодействия с PKI-продуктами других отечественных производителей.

Администрирование, удостоверяющий центр

Для управления VPN и организации Удостоверяющего центра предлагается использовать ПО ViPNet Администратор. ViPNet Администратор - это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя:

- ViPNet NCC (Центр Управления Сетью, ЦУС) - программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью ViPNet;

- ViPNet KC & CA (Удостоверяющий и Ключевой Центр, УКЦ) - программное обеспечение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей - Ключевого Центра, а также функции Удостоверяющего Центра.

Межсетевое экранирование и шифрование

Функции криптошлюза и межсетевого экрана выполняет ViPNet Координатор, который обеспечивает защищённую (зашифрованную) передачу данных между серверами приложений и рабочими станциями ЛВС с использованием сертифицированных криптографических функций и является сертифицированным межсетевым экраном.

ViPNet Координатор может быть как в программном исполнении (ПО ViPNet Координатор), так и программно-аппаратном исполнении (ПАК ViPNet Координатор HW1000, ViPNet Координатор HW100С).

Координатор также организует защищённый доступ к ресурсам защищаемой сети удаленных пользователей, на компьютерах которых установлено ПО ViPNet Клиент.

6.2.3 Построение подсистемы защищённого информационного обмена

Для построения защищённого информационного обмена на уровне АРМ осуществляется установка ПО ViPNet Клиент (сервер БД, в данном случае, является АРМ).

В качестве криптошлюза устанавливается ViPNet Координатор HW100C.

На выделенное автоматизированное рабочее место осуществляется установка ПО ViPNet Администратор.

Установка антивирусного ПО Dr.Web осуществляется на всех АРМ.

Перечень и количество компонентов СЗИ, необходимых для обеспечения подсистемы защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн юридической фирмы «Грантум» представлен в таблице 6.2:

Таблица 6.2 Перечень и количество СЗИ:

№ п/п

Наименование

Количество

1

Программное обеспечение ViPNet Клиент

38

2

Программное обеспечение ViPNet Администратор

1

3

Программно-аппаратный комплекс ViPNet Координатор HW 100C

1

4

Антивирусное программное обеспечение Dr.Web

38

Используя перечисленные компоненты СЗИ, разработан вариант технического решения подсистемы защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн юридической фирмы «Грантум». Схема подсистемы защищённого информационного обмена в ИСПДн юридической фирмы «Грантум» приведена в приложении 3 к дипломному проекту.

Выводы к третье главе

В соответствии с приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" предложен адаптированный базовый набор мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы для подсистемы защиты маршрутизации, коммутации и межсетевого экранирования.

Перечень организационных мер:

- контрольно-пропускной режим;

- организация технологического процесса;

- инструкция пользователя;

- инструкция администратора безопасности;

- оформление акта установки средств защиты.

Перечень технических средств:

- шифрование;

- межсетевое экранирование;

- антивирусное ПО;

- система обнаружения вторжений.

Разработана подсистема защиты маршрутизации, коммутации и межсетевого экранирования с использованием технических средств, основанная на применении технологии ViPNet CUSTOM и антивирусного программного обеспечения DR.Web.

Разработан вариант технического решения подсистемы защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн юридической фирмы «Грантум» с построением схемы подсистемы защищённого информационного обмена в ИСПДн.

Заключение

В курсовом проекте проведён анализ деятельности и организационной структуры юридической фирмы «Грантум», в ходе которого были установлены вид и направления деятельности фирмы.

Анализ информационной структуры показал, что в юридической фирме «Грантум» функционирует корпоративная информационная система, состоящая из трёх подсистем:

- подсистема управления торговлей и взаимоотношениями с клиентами;

- подсистема бухгалтерского учёта;

- подсистема управления персоналом.

Корпоративная информационная система имеет клиент-серверную архитектуру и расположена в пределах локальной вычислительной сети фирмы. Кабельная инфраструктура информационно-телекоммуникационной системы проходит за границами контролируемой зоны, определённой приказом о контролируемой зоне.

На основе проведённого анализа ПДн, обрабатываемых в юридической фирме «Грантум», персональные данные сотрудников и клиентов фирмы, отнесены к категории «иные».

По результатам анализ исходной комплексной системы защиты выявлено, что фирма имеет ряд организационных и технических мер по обеспечению информационной безопасности.

Перечень организационных мер, по защите информации, используемые в юридической фирме «Грантум»:

- политика информационной безопасности фирмы;

- положение о коммерческой тайне и конфиденциальной информации;

- приказ о контролируемой зоне;

- положение об обеспечении безопасности персональных данных.

Технические меры по обеспечению информационной безопасности в юридической фирме «Грантум» реализованы с использованием подсистемы контроля и управления доступом «Кодос», однако её применение ограничено наиболее важными информационными узлами фирмы.

Определён уровень исходной защищённости ИСПДн, как «средний», и в соответствии с ним составлена частная модель угроз.

Исходя из составленной модели угроз, перечень актуальных угроз ИСПДн юридической фирмы «Грантум» имеет следующий вид:

- угрозы утечки информации по техническим каналам;

- угрозы преднамеренных действий внутренних нарушителей;

- угрозы НСД;

- угрозы, реализуемые с использованием протоколов межсетевого взаимодействия.

Проведена классификация ИСПДн, по результатам которой ИСПДн юридической фирмы «Грантум» присвоен четвёртый уровень защищённости.

Предложен адаптированный базовый набор мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы для подсистемы защиты маршрутизации, коммутации и межсетевого экранирования.

Перечень организационных мер:

- контрольно-пропускной режим;

- организация технологического процесса;

- инструкция пользователя;


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.