Меню Услуги

Обеспечение информационной безопасности на предприятии


Страницы:   1   2   3

Узнай стоимость написания такой работы!

Ответ в течение 5 минут!Без посредников!

Содержание

  • Обозначения и сокращения
  • Введение
  • Глава 1. Анализ информационной системы
  • 1.1. Описание предприятия
  • 1.2. Схема системы документооборота
  • 1.3. Структура и особенности сети предприятия
  • 1.4. Информационные ресурсы
  • Глава 2. Разработка частной модели угроз
  • 2.1. Описание ИСПДн
  • 2.2. Анализ и классификация источников угроз информации, циркулирующей на объекте
  • 2.3. Модель нарушителя
  • 2.4. Анализ предполагаемой квалификации нарушителя
  • 2.5. Определение актуальных угроз безопасности ПДн в ИСПДн
  • 2.6. Частная модель угроз
  • Глава 3. Разработка политики информационной безопасности и организационно-распорядительной документации
  • 3.1. Правовая основа обеспечения ИБ предприятия
  • 3.2. Цели обеспечения безопасности информации на предприятии
  • 3.3. Цели и задачи политики информационной безопасности
  • 3.4. Порядок внутреннего анализа рисков
  • 3.5. Должностные обязанности администраторов
  • 3.6. Планирование мероприятий по информационной безопасности для компонент автоматизированной системы
  • 3.7. Физическая безопасность
  • 3.8. Технические средства
  • 3.9. Функциональные средства
  • Заключение
  • Список используемой литературы

 

Обозначения и сокращения

ИБ – информационная безопасность
ПДн – персональные данные
ИСПДн – информационная система персональных данных
УБПДн – угрозы безопасности персональных данных
СЗПДн – средство защиты персональных данных
АС – автоматизированная система
ИС – информационная система
АРМ – автоматизированное рабочее место
ПЭМИ – побочное электромагнитное излучение
ИР – информационные ресурсы
ПО – программное обеспечение
СЗИ – средство защиты информации
СКЗИ – средство криптографической защиты информации
ЛВС – локальная вычислительная сеть
СВТ – средства вычислительной техники
ДМЗ – демилитаризованная зона
НСД – несанкционированный доступ
КЗ – контролируемая зона
ОРД – организационно-распорядительная документация
ФСБ России – Федеральная служба безопасности
ФСТЭК России – Федеральная служба по техническому и экспортному контролю

 

Введение

Актуальность работы. Обеспечение информационной безопасности на сегодняшний день выступает в качестве одного из самых главных требований к информационным системам. Причиной этому служит  наличие неразрывной связи между информационными технологиями и основными бизнес-процессами во всех организациях, будь то государственная служба, промышленное предприятие, финансовая структура, операторы телекоммуникаций.

Обеспечить внутреннюю информационную безопасность — не только российская, но и общемировая проблема. В первые годы внедрения корпоративных локальных сетей основная головная боль компании заключалась в несанкционированном доступе к коммерческим данным путем внешнего взлома (хакерская атака), на сегодняшний день с этой проблемой успешно справляются. Во всех IT-отделах крупных уважающих себя компаний, как правило, имеется обширное число антивирусов, которые  ограждают программы (файрволы) и другие средства борьбы с внешними атаками. Так, достижения российских программистов в вопросах обеспечения внешней безопасности достаточно велики — отечественные антивирусы по праву считаю одними из лучших в мире.

С позиции информационной безопасности множество современных компаний имеют вид крепостей, окруженных несколькими мощными стенами. Однако исходя из практики, все равно происходит утечка информации. Так, становится явной необходимость создания эффективных и экономически выгодных систем безопасности информационных систем предприятия.

Для повышения осведомленности пользователей в области рисков, связанных с информационными ресурсами и для определения степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности на предприятии было решено разработать политику информационной безопасности и организационно-распорядительную документацию в области информационной безопасности для предприятия ФКУ «Налог-Сервис» ФНС России в Тюменской области.

Целью дипломной работы является разработка политики информационной безопасности и организационно-распорядительной документации в области информационной безопасности для предприятия ФКУ «Налог-Сервис» ФНС России в Тюменской области.

Целью дипломного проекта является совершенствование системы защиты информации в ФКУ «Налог-Сервис».

Объектом дипломного проектирования является – технология обеспечения информационной безопасности, а предметом дипломного проектирования – информационная безопасность предприятия.

Для достижения поставленной цели были выделены следующие задачи:

Узнай стоимость написания такой работы!

Ответ в течение 5 минут!Без посредников!
  • анализ информационной системы;
  • анализ и классификация источников угроз информации;
  • разработка частной модели угроз информационной безопасности;
  • разработка политики информационной безопасности;
  • разработка регламентов, положений и инструкций в области информационной безопасности.

Теоретическую и методологическую основу данной работы составляют труды, выполненные отечественными и зарубежными учеными в сфере безопасности информационных систем. Особая роль отводится законодательным актам и нормативным документам Российской Федерации, периодическим изданиям, учетным и отчетным данным организации. В ходе разработки и решения поставленных задач были применены такие методы, как наблюдение, группировка, сравнение, обобщение, абстрактно-логическое суждение и др.

 

Глава 1. Анализ информационной системы

1.1. Описание предприятия

ФКУ «Налог-Сервис» ФНС России в Тюменской области (ФКУ «Налог-Сервис») создано для уменьшения объема ручных операций и сроков обработки информации, максимальной автоматизации процедур налогового администрирования, а также централизации информационных ресурсов на федеральном уровне, что даст возможность значительно улучшить качество обслуживания налогоплательщиков.

Основной целью деятельности предприятия является организационно-техническое и информационное обеспечение деятельности Федеральной налоговой службы России и ее территориальных органов, в пределах полномочий, переданных от ФНС России.

ФКУ «Налог-Сервис» осуществляет администрирование технического, программного и информационного обеспечения автоматизированной информационной системы ФНС России (АИС Налог).

Основные виды деятельности ФКУ «Налог-Сервис»:

  • централизованный ввод в систему электронной обработки данных (ЭОД) данные, поступившие в налоговую инспекцию на бумажном носителе или в электронном виде по каналам связи, а это: налоговые декларации и бухгалтерская отчетность;
  • ввод сведений по иным документам, поступающим в налоговые инспекции, а также ввод сведений, получаемых ИФНС на плановой основе в соответствии со статьей 85 Налогового Кодекса РФ. Это сведения об имуществе, земельных участках, сведения кадастрового учета, паспортные данные лиц и многие другие. (Полный перечень этих сведений можно посмотреть в ст. 85 НК);
  • большое количество документов истребуется налоговыми органами. Двойное истребование (повторное у одного и того же плательщика) на данный момент запрещено, поэтому сотрудники вводят сведения об истребованных документах в систему ЭОД и в центр обработки данных, чтобы исключить повторное истребование. Это касается таких документов, как: счета-фактуры, книги покупок/продаж, выписки банков и другие, которые получены налоговыми органами в результате процедуры истребования;
  • централизованная печать и/или массовая рассылка налогоплательщикам налоговых документов по имущественным налогам, в т.ч. в электронном виде по телекоммуникационным каналам связи;
  • централизованное архивное хранение в бумажном и электронном виде документов, поступающих или образующихся в результате деятельности налоговых органов;
  • формирование архивных фондов, осуществление учета, хранения научно-технической обработки архивных документов, образовавшихся в результате деятельности налоговых органов;
  • обеспечение мероприятий по защите информации.

1.2. Схема системы документооборота

Общая схема циркуляции информации в системе документооборота представлена на Рисунке 1.1.

Рисунок 1 — общая схема циркуляции информации в системе документооборота

1.3. Структура и особенности сети предприятия

Рассмотрим структуру и особенности сети предприятия (рис. 2):

Рисунок 2 — структура сети предприятия

Внутренний сегмент ЛВС – сегмент (или совокупность сегментов) ЛВС налогового органа, в котором расположены сервера и рабочие станции пользователей, на которых обрабатывается информация ограниченного доступа или которые взаимодействуют с компонентами автоматизированной системы (АС), на которых такая информация обрабатывается.

Интернет-сегмент ЛВС – сегмент ЛВС налогового органа, в котором расположены рабочие станции пользователей и, возможно, сервера, на которых не обрабатывается информация ограниченного доступа и которые не взаимодействуют с компонентами АС, на которых такая информация обрабатывается.

Демилитаризованная зона (ДМЗ) – сегмент (или совокупность сегментов) ЛВС налогового органа, в котором расположены компоненты АС, взаимодействующие с сетью Интернет.

Ключевые особенности сети:

  • Локальная вычислительная сеть (ЛВС) налогового органа и Интернет-сегмент реализованы в различных структурированных кабельных системах (СКС);
  • Подключение к сети Интернет ЛВС налогового органа допускается осуществлять только с использованием средств шифрования трафика (в виде VPN-туннеля);
  • Взаимодействие между внутренним сегментом ЛВС и интернет-сегментом запрещено;
  • Взаимодействие между внутренним сегментом ЛВС и сетью Интернет запрещено;
  • Специальных ограничений на взаимодействие между интернет-сегментом и демилитаризованной зоной не накладывается;
  • Взаимодействие между внутренним сегментом ЛВС и демилитаризованной зоной допускается только по протоколу терминального соединения (для установления связи с терминальным сервером доступа в сеть Интернет), протоколу FTP (для передачи файлов из ДМЗ на рабочую станцию пользователя) и почтовым протоколам.

1.4. Информационные ресурсы

Объектом защиты являются информационные ресурсы (ИР) налоговых органов (библиотеки, архивы и фонды; банки, базы и файлы данных; отдельные документы на традиционных носителях), содержащие зафиксированные на материальном носителе (независимо от его формы) сведения, используемые в процессе сбора, обработки, накопления, хранения, распространения, взаимодействия в рамках исполнения возложенных на ФКУ «Налог-Сервис» функций.

К ИР ФКУ «Налог-Сервис», содержащим информацию ограниченного доступа (распространения) относится информация конфиденциального характера:

  • Налоговые ИР — ресурсы по государственной регистрации налогоплательщиков; содержащие полученные налоговыми органами сведения о налогоплательщиках: охраняемые налогоплательщиком сведения о производственной деятельности и коммерческой деятельности (ресурсы: «Недействительные паспорта», «Банковские счета», НДС, «Налоговая отчетность по форме 7-НП», «Сведения о физических лицах», частично: «ЕГРИП», «ЕГРЮЛ» в части сведений о номере документа, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица и т.д.);
  • ИР персональных данных — ресурсы, содержащие сведения, составляющие персональные данные работников налоговых органов (ресурсы: «Бухгалтерия», «Кадры», «Бюро пропусков» и другие);
  • Служебные ИР — ресурсы, содержащие сведения, необходимые для обеспечения работы информационно-аналитической системы ФКУ «Налог-Сервис», в том числесведения, составляющие служебную тайну взаимодействующих с ФКУ «Налог-Сервис»органов государственной власти;
  • Технологические ИР — ресурсы, содержащие сведения о принципах, методах, технических решениях и правилах обеспечения безопасности информации в ФКУ «Налог-Сервис» и ее территориальных органах;
  • ИР ключевых систем информационной инфраструктуры.

Защита ИР, содержащих информацию ограниченного доступа (распространения), представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации;
  • реализацию права на доступ к информации в соответствии с законодательством Российской Федерации.

К ИР, содержащих открытую информацию, которые подлежат защите от уничтожения, модифицировании, блокирования, а также от иных неправомерных действий в отношении такой информации, и на реализацию права на доступ к информации относятся:

  • Открытые налоговые ИР – ресурсы, содержащие сведения о нарушениях законодательства о налогах и сборах, и мерах ответственности за эти нарушения, а также сведения, передаваемые средствам массовой информации, в соответствии с законодательством Российской Федерации;
  • Базовые государственные ИР – ресурсы, содержащие сведения, по реализации государственной услуги, по регистрации юридических лиц и индивидуальных предпринимателей, а также ресурсы, подключаемые к единой системе межведомственного электронного взаимодействия (ресурсы: «ЕГРН», «ЕГРИП», «ЕГРЮЛ» (за исключением сведений, отнесенных к информации ограниченного доступа);
  • Общедоступные ИР – ресурсы, содержащие информацию о деятельности налоговых органов в соответствии Федеральным законом № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления».

Защита Открытых ИР представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от уничтожения, модифицирования, блокирования, а также от иных неправомерных действий в отношении такой информации;
  • реализацию права каждого на доступ к информации.

 

Глава 2. Разработка частной модели угроз

2.1. Описание ИСПДн

ИСПДн предприятия представляет собой распределенную информационную систему, состоящую из рабочих станций и серверов. ИСПДн имеет подключения к сетям связи общего пользования. Обработка ПДн производится в многопользовательском режиме с разграничением прав доступа, речевая обработка ПДн не производится. Технические средства ИСПДн находятся в пределах Российской Федерации.

В ИСПДн одновременно обрабатываются данные менее 1000 субъектов, которые позволяют идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением 1 категории персональных данных.

Для объектов защиты ИСПДн установлены следующие характеристики безопасности:

  • конфиденциальность;
  • целостность;
  • доступность.

Осуществляется взаимодействие с информационными системами:

  • Федеральной налоговой службы;
  • Пенсионного фонда РФ;
  • Фонда социального страхования;
  • Трудовой инспекции;
  • Федеральной миграционной службы;
  • Кредитно-финансовых организаций (банки).

2.1.1. Организация физической безопасности объектов (охрана)

Охрана осуществляется круглосуточным постом на входе в охраняемую территорию компании. Режим входа работников в организацию — по персональным идентификационным карточкам доступа или на основании служебного удостоверения. Пребывание посетителей осуществляется в сопровождении работника предприятия. В организации действует охранно-пожарная сигнализация. Во всех кабинетах установлены пожарные и охранные датчики различных типов. Ведется видеонаблюдение.

2.1.2. Описание объектов безопасности, требующих защиты

Таблица 1 — Содержание объектов защиты для ИСПДн предприятия

Узнай стоимость написания такой работы!

Ответ в течение 5 минут!Без посредников!
Описание объекта безопасности Примечание
ПДн в виде акустических (речевых) сигналов.

Носителем ПДн является пользователь ИСПДн, осуществляющий голосовой ввод ПДн в ИСПДн, акустическая система ИСПДн, воспроизводящая ПДн, а также технические средства ИСПДн и ВТСС, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

В организации не производится голосовая обработка ПДн.
ПДн на средствах отображения графической, видео- и буквенно-цифровой информации.

Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптико-электронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

В организации применяются СВТ, обрабатывающие видовую информацию: мониторы АРМ и серверов.
ПДн в виде побочных информативных электромагнитных полей и электрических сигналов.

Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПДн.

В ИСПДн применяются средства вычислительной техники, обладающие свойствами излучения ПЭМИ: (системные блоки, мониторы и т.п.).
АРМ пользователя ИСПДн.

АРМ пользователей являются технической частью ИСПДн, через которые возможна реализация различных видов атак.

В ИСПДн имеются рабочие станции пользователей, на которых производится обработка персональных данных.
Серверы ИСПДн.

Серверы ИСПДн обрабатывают наибольшие объемы конфиденциальной информации и являются объектом различных угроз и атак.

В ИСПДн имеются серверы, на которых производится обработка персональных данных.
Базовая система ввода-вывода АРМ пользователя или сервера.

Несанкционированный доступ базовой системе ввода/вывода (BIOS) дает возможность перехвата управления загрузкой операционной системы и получения прав доверенного пользователя.

Применяемые в ИСПДн средства вычислительной техники включают в свою архитектуру базовую систему ввода/вывода.
Атрибуты безопасности (логины, пароли), данные, содержащие аутентификационную информацию.

Аутентификационные данные являются наиболее критичной в плане безопасности информацией.

В ИСПДн применяются методы идентификации и аутентификации пользователей ИСПДн, с целью обеспечения санкционированного доступа к конфиденциальной информации.
Общесистемное или прикладное ПО.

Угрозы, связанные с получением несанкционированного доступа к ПО, дают возможность нарушения основных характеристик безопасности информации.

В ИСПДн используется следующее основное ПО:

— Microsoft SQL Server

— Microsoft Windows Server 2008

— Microsoft Windows Server 2003

— Microsoft Windows XP Pro RU

— 1С 8.2 Конфигурация «Зарплата и управление персоналом»

— Microsoft Windows Server Standart 2003 R2

— 1С Бухгалтерия+Зарплата и кадры  8.0

— Microsoft SQL Server 2005

— Kaspersky Business Space Security Russian Edition

Технические средства ИСПДн.

Технические средства ИСПДн подвержены угрозам утечки информации по техническим каналам, а также другим угрозам нарушения основных характеристик безопасности информации.

В ИСПДн используются современные общепринятые технические средства: персональные компьютеры, мониторы, ноутбуки, принтеры, сканеры, копиры, факсы, телефоны и т.п.
ПДн, иная конфиденциальная информация на бумажных носителях. Конфиденциальная информация, обрабатываемая не автоматизированным способом, во избежание нанесения ущерба субъектам ПДн, должна защищаться. В ИСПДн возможна обработка ПДн сотрудников организации на бумажных носителях.
Состав, маршрутно-адресная информация, сетевые службы и некоторые иные характеристики сети и ее узлов.

Информация об сетевой инфраструктуре конфиденциальна. Цель – снижение вероятности реализации сетевых атак и других угроз, использующих уязвимости ЛВС.

 
Носители информации с ПДн.

Все носители конфиденциальной информации, используемые в организации должны быть учтены в установленном порядке. Характер работы с ними должен находиться под контролем ответственных лиц.

В организации могут использоваться различные виды носителей: диски, их массивы, флэш-карты, бумажные носители.
Списываемые технические средства ИСПДн, носители информации.

Списываемые технические средства могут содержать остаточную конфиденциальную информацию, данные о ИСПДн и способах ее защиты. Процедуры утилизации должны быть регламентированы и выполняться под контролем ответственных лиц.

В организации организовано плановое обновление технических средств на более современные.
Персонал организации.

Сотрудники организации могут попасть под воздействие со стороны злоумышленника, могут нанести вред субъектам ПДн по неосторожности или самостоятельно преследовать корыстные цели. Поэтому работа с персоналом по линии информационной безопасности является наиболее актуальной.

Доступ к элементам ИСПДн имеют сотрудники, обрабатывающие персональные данные, а также обеспечивающие функционирование системы.

2.2. Анализ и классификация источников угроз информации, циркулирующей на объекте

При анализе и классификации источников угроз информации, циркулирующей на объекте исходим из предположения, что для одной и той же угрозы методы отражения для внешних и внутренних источников могут быть разными.Особую группу внутреннихисточников составляют специально внедрённые и завербованные агенты из числа вспомогательного, основного, технического персонала и представителей отдела информационной безопасности.

Было решено разделить все источники угроз безопасности информации на три основные группы:

  • антропогенные источники угроз (ошибки эксплуатации, ошибки проектирования и разработки компонентов АС,преднамеренные действия нарушителей и злоумышленников;
  • техногенные источники угрозы (аварии, сбои и отказы оборудования (технических средств));
  • обусловленные стихийными источниками (стихийные бедствия, катаклизмы).

Таким образом, классификация и перечень источников угроз присущих объекту информатизации представлены Таблицах 2; 3

Таблица 2 — Антропогенные источники угроз

№ п/п Внешние антропогенные источники № п/п Внутренние антропогенные источники
1. Криминальные группы и отдельные преступные субъекты 1. Работники предприятия (Основной персонал)
2. Потенциальные преступники (недобросовестные налогоплательщики) и хакеры 2. Администраторы АС, ЛВС, ТКУ, Администратор безопасности, программисты, администратор домена
3. Персонал поставщиков телематических услуг (Провайдеры) 3. Технический персонал
4. Представители надзорных организаций и аварийных служб 4. Работники отдела безопасности

 

В качестве антропогенных источников угрозвыступают субъекты, имеющие санкционированный/несанкционированный доступ к работе со штатными средствами объекта информатизации, действия которых могут быть распознаны, как умышленные или совершенные по неосторожности. Данная группа источников угроз представляет наибольший интерес, так как действия субъекта всегда можно оценить, спрогнозировать, и принять соответствующие меры.Контрмеры в этом случае напрямую зависят от действий организаторов информационной безопасности.

Таблица 3 — Техногенные источники угроз

№ п/п Внешние техногенные

источники угроз

№ п/п Внутренние техногенные

источники угроз

1. Средства связи,

промышленные установки

ионизирующего излучения,

системы энергообеспечения

1. Некачественные технические

средства обработки информации

2. Сети инженерных коммуникаций

(водоснабжения, канализации)

2. Некачественные программные

средства обработки информации

3. Транспорт (авиационный,

железнодорожный, автомобильный,

водный)

3. Вспомогательные средства

(охраны, сигнализации, телефонии,

видеонаблюдения, СКУД)

    4. Другие технические средства,

применяемые на предприятии

 

Техногенные источники угроз характеризуются технократической деятельностью человека и развитием техники.

Группа стихийных источников угроз объединяет обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех, которые невозможно предусмотреть или предотвратить,или возможно предусмотреть, но невозможно предотвратить. Защитные меры от стихийных источников угроз должны применяться всегда, т.к. их невозможно спрогнозировать. Стихийные источники угроз информационной безопасностипо отношению к защищаемому объекту, как правило, являются.


Страницы:   1   2   3


Узнай стоимость написания такой работы!

Ответ в течение 5 минут!Без посредников!