Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
КУРСОВАЯ РАБОТА
“ШИРОКОПОЛОСНЫЙ КАНАЛ ВЫХОДА В ИНТЕРНЕТ КРУПНОЙ
МЕЖДУНАРОДНОЙ КОМПАНИИ”
1
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ..............................................................................................................3
1 ОПИСАНИЕ И АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ ИНФОРМАЦИИ.................4
1.1. Описание направления деятельности объекта защиты информации.. . .4
1.2. Описание организационной структуру объекта защиты информации.. 5
1.3. Описание основных видов информации в бумажном и электронном
виде, в том числе внутреннюю нормативную документацию.........................5
1.4. Перечень конфиденциальной информации (включая персональные
данные)..................................................................................................................6
1.5. Спецификация оборудования и программных средств, используемых
на объекте защиты информации (при этом объект защиты информации
рассматривается как комплексная вычислительная система, выполняющая
определенный набор функций)...........................................................................7
1.6. Описание средства защиты информации.................................................8
2. АНАЛИЗ УЯЗВИМОСТЕЙ И УГРОЗ..........................................................10
2.1 Виды угроз....................................................................................................10
2.2 Меры по снижению уязвимости.................................................................12
2.3. Характер и виды происхождения угроз..................................................14
2.4. Классы каналов несанкционированного получения информации.......15
2.5. Возможные причины нарушения целостности информации...............16
2.6. Класс защиты информации в соответствии с Руководящими
документами Гостехкомиссии России.............................................................17
3. РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ............................21
3.1. Требования к системе защиты информации...........................................21
3.2. Факторы, влияющие на требуемый уровень защиты............................24
3.3. Программно-аппаратные и организационно-административные
способы защиты объекта...................................................................................25
3.4 Основы политики безопасности в области эксплуатации анализируемого
объекта................................................................................................................32
ЗАКЛЮЧЕНИЕ......................................................................................................34
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ.............................................35
2
ВВЕДЕНИЕ
3
1 ОПИСАНИЕ И АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ ИНФОРМАЦИИ
4
1.2. Описание организационной структуру объекта защиты информации.
Генеральный директор;
Начальники отделов;
Отдел маркетинга;
Отдел управления;
Технический отдел;
Бухгалтерские услуги находятся на аутсорсинге.
1.3. Описание основных видов информации в бумажном и электронном
виде, в том числе внутреннюю нормативную документацию.
Основной вид информации в бумажном и электронном виде:
1) данные о клиентах компании:
общая информация;
персональные данные о каждом клиенте;
2) документация о совершенных операциях купли-продажи услуг компании;
3) договоры с клиентами и акты исполнения работ;
4) персональные данные сотрудников компании.
Внутренняя нормативная документация:
правила внутреннего трудового распорядка;
штатное расписание (Форма Т-3);
программа вводного инструктажа
локальный нормативный акт в соответствии со ст. 10 Федерального
закона от 29.07.2004 № 98-ФЗ "О коммерческой тайне"
должностная инструкция руководителя;
должностная инструкция сотрудников;
политика безопасности компании;
форма договора об оказании услуг;
форма договора трудового найма;
форма заявления о согласии сотрудника на сбор и обработку
персональных данных;
5
1.4. Перечень конфиденциальной информации (включая персональные
данные)
1. персональные данные сотрудников:
фамилия, имя, отчество сотрудника;
год, месяц, дата рождения;
место рождения;
место регистрации;
место проживания;
паспортные данные;
семейное положение;
образование;
уровень дохода;
сведения о предыдущем месте работы;
сведения о состоянии здоровья;
результаты собеседования при приеме на работу;
2. данные об уровне заработной платы сотрудников;
3. сведения об управлении компанией:
планы развития компании;
результаты аудита деятельности компании;
управленческие решения;
4. бухгалтерская отчетность
5. налоговая отчетность
6
Спецификация оборудования и программных средств ЛВС:
– компьютеры с процессором семейства Intel;
– объем оперативной памяти 8 Гбайта и выше;
– манипуляторы типа мышь и клавиатура;
– операционные системы семейства MS Windows, а также MS
Windows Server 2019;
– Браузеры MS Internet Explorer и Yandex;
– количество сотрудников, имеющих ПК — 60.
– Топология ЛВС — звезда.
– Кабельная система — беспроводная сеть и оптоволоконный
кабель.
– Все компьютеры сети подключены к коммутаторам витой
парой.
Для обработки информации используется 60 компьютеров. К каждому
рабочему месту привязан внутренний телефонный номер (общих телефонных
номеров — два). Хранилище бумажных документов находится в кабинете
руководства.
7
1.6. Описание средства защиты информации:
На объекте используются следующие меры по защите
информации.
Все сотрудники компании наняты по договору трудового найма,
включающего в себя пункт по сохранению персональных данных и
коммерческой тайны.
Вход в здание осуществляется по пропускам через пункт охраны.
Получение ключей от помещений осуществляется через регистрацию
получения ключа в журнале регистрации получения и сдачи ключей от
помещений на вахте после предъявления пропуска в здание.
Все помещения оборудованы системами противопожарной
сигнализации.
Осуществляются идентификация и аутентификация
пользователей. Существует разграничение прав доступа. Доступ в ИС
разрешен только зарегистрированным пользователям. Каждому
пользователю настроены соответствующие его должности права
доступа на различные объекты ИС. Перечень объектов и субъектов
доступа определяется на основе прав, которые определены для каждого
пользователя ИС. Защита доступа к ресурсам осуществляется при
помощи пароля.
Организационные и технические меры защиты конфиденциальной
информации
• Идентификация и аутентификация субъектов и объектов доступа
осуществляется встроенными средствами MS Windows. Защита
обратной связи при вводе информации, используемой для
аутентификации, осуществляется при помощи сокрытия ее
посредством специальных символов.
• Управление доступом субъектов к объектам доступа.
Пользователи и администраторы имеют различные обязанности и
наделены разными правами.
8
• Обеспечение целостности информационной системы и
информации.
• Антивирусная защита рабочих станций, файловых и почтовых
серверов, средства борьбы со спамом.
• Межсетевой экран или система обнаружения атак.
• Аппаратные средства аутентификации пользователей.
• Средства защиты от несанкционированного доступа.
• Организация разграничения доступа пользователей к
конфиденциальным данным с помощью штатных механизмов защиты
информации.
• Организация разграничения доступа к операционным системам,
прикладным программам, маршрутизаторам и т. п.
• Программные криптографические средства и средства создания
электронной цифровой подписи для обмена конфиденциальными
данными через открытые каналы связи.
• Средства "прозрачного" шифрования логических дисков
пользователей, которые используются для хранения
конфиденциальных данных.
• Средства уничтожения неиспользуемых конфиденциальных
данных.
• Программы для резервного копирования.
9
2. АНАЛИЗ УЯЗВИМОСТЕЙ И УГРОЗ
14
внешними, так и внутренними. Данные источники можно спрогнозировать, и
принять адекватные меры.
15
Второй класс:
Третий класс:
Четвертый класс:
16
2.5. Возможные причины нарушения целостности информации
Объективные:
Субъективные:
1.Непреднамеренные:
2.Преднамеренные:
17
2.6. Класс защиты информации в соответствии с Руководящими
документами Гостехкомиссии России.
Широкополосный канал выхода в интернет крупной международной
компании относится к АС поскольку содержит в себе признаки АС, а именно:
система содержит пользовательскую информацию. Помимо
пользовательской информации при создании АС появляются такие
отсутствующие при разработке СВТ характеристики АС, как полномочия
пользователей, модель нарушителя, технология обработки информации.
18
Кража информации, фигурирующей в данном объекте защиты может
привести к финансовым потерям, нарушения юридических прав сотрудников
данной организации.
В данной группе имеется пять классов — 1Д, 1Г, 1В, 1Б, 1А.Определим,
к какому классу относится объект защиты:
Классы
Подсистемы и требования 1
1Д 1Г 1В 1Б
А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль
доступа субъектов:
в систему + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи,
- + + + +
внешним устройствам ЭВМ
к программам - + + + +
к томам, каталогам, файлам, записям, полям записей - + + + +
1.2. Управление потоками информации - - + + +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети) + + + + +
выдачи печатных (графических) выходных документов - + + + +
запуска (завершения) программ и процессов (заданий,
- + + + +
задач)
доступа программ субъектов доступа к защищаемым - + + + +
19
файлам, включая их создание и удаление, передачу по
линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ,
узлам сети ЭВМ, каналам связи, внешним устройствам
- + + + +
ЭВМ, программам, томам, каталогам, файлам, записям,
полям записей
изменения полномочий субъектов доступа - - + + +
создаваемых защищаемых объектов доступа - - + + +
2.2. Учет носителей информации + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых
- + + + +
областей оперативной памяти ЭВМ и внешних накопителей
2.4. Сигнализация попыток нарушения защиты - - + + +
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации - - - + +
3.2. Шифрование информации, принадлежащей различным
- - - - +
субъектам доступа (группам субъектов) на разных ключах
3.3. Использование аттестованных (сертифицированных)
- - - + +
криптографических средств
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и
+ + + + +
обрабатываемой информации
4.2. Физическая охрана средств вычислительной техники и
+ + + + +
носителей информации
4.3. Наличие администратора (службы) защиты
- - + + +
информации в АС
4.4. Периодическое тестирование СЗИ НСД + + + + +
4.5. Наличие средств восстановления СЗИ НСД + + + + +
4.6. Использование сертифицированных средств защиты - - + + +
20
3. РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
21
операционной системы и ее программного останова. Регистрация выхода из
системы или останов не проводится в моменты аппаратурного отключения
АС. В параметрах регистрации указываются:
Криптографическая подсистема:
22
- должны использоваться разные криптографические ключи для
шифрования информации, принадлежащей различным субъектам доступа
(группам субъектов);
При этом:
23
- должен быть предусмотрен администратор (служба) защиты
информации, ответственный за ведение, нормальное функционирование и
контроль работы СЗИ НСД. Администратор должен иметь свой терминал и
необходимые средства оперативного контроля и воздействия на безопасность
АС;
25
составление планов восстановления системы на случай выхода из строя
по любым причинам.
Программно-аппаратные средства защиты — это способы контроля
оборудования и программных средств от взлома, перехвата информации,
несанкционированного подключения третьих лиц. Программные и
технические средства защиты информации необходимы там, где утечка
данных и ценной информации влечет за собой серьезные финансовые,
репутационные, производственные риски для компании.
К программно-аппаратным средствам обеспечения информационной
безопасности можно отнести:
Межсетевой экран – программное или программно-аппаратное
комплексное решение для обеспечения сетевой безопасности. Обеспечивает
фильтрацию трафика, идентификацию приложений, пользователей, контента,
предотвращает угрозы в соответствии с ранее определенными правилами.
Сетевой экран необходим для решения следующих задач:
Контроль доступа (группы пользователей, приложений, контента) и его
ограничение в соответствии с политикой безопасности организации
(компании, предприятия) к внутренней сети;
Ограничение доступа, идентификация и фильтрация контента,
приложений к внешней сети.
Основными характеристиками программно-аппаратных комплексов для
сетевой безопасности являются:
Пропускная способность. Трафик в единицу времени, передаваемый по
сети, анализируемый и фильтруемый брандмауэром для предотвращения
угроз. Может быть от 100-250 Мбит/с до 10-40 Тбит/с и больше;
Количество новых подключений. Возможность оборудования
обеспечивать заданное количество новых подключений к сети в секунду, а
также количество одновременных сессий. От 100 до 1000 и больше;
26
Политики безопасности. Количество политик безопасности, которые
можно задать с учетом особенностей сети конкретного предприятия. От 20-
40 до 1000 политик и больше.
Сеть экран контролирует, как правило, по трем основным критериям –
пользователи, приложения и контент. Такой подход обеспечивает
максимальную сетевую безопасность и защиту от несанкционированного
доступа, шпионского ПО и вирусов.
27
Межсетевой экран для нужд малого и среднего бизнеса Zyxel USG20-VPN
располагает интерфейсами 2x WAN GE, среди которых предусмотрен порт
RJ-45 для взаимодействия с Ethernet-сетью и разъем SPF для подключения к
оптоволоконной линии. Разъемы 4x LAN обеспечивают подключение
пользовательских устройств. Потоковый антивирус с поддержкой
сканирования в реальном времени надежно защищает подключенное к
устройству оборудование от вредоносных и шпионских программ.
28
Удаленное устранение неполадок и эффективное распространение ПО
выполняется при помощи технологии Multicast.
Решение позволяет легко создавать, хранить и развертывать «золотые
образы» операционной системы при помощи консоли управления и
поддерживает интерфейс UEFI.
Благодаря интеграции с SIEM-системами, такими как IBM® QRadar® и
HP® ArcSight®, компании могут получать полную информацию о
безопасности корпоративной сети в режиме реального времени.
29
шифрсьютов TLS_GOSTR341001_WITH_28147_CNT_IMIT и
TLS_GOSTR341112_256_WITH_28147_CNT_IMIT).
Возможность экспорта/импорта ключевой информации и цифровых
сертификатов в формате PKCS#12, что позволяет иметь резервную копию,
осуществлять перенос ключей и сертификатов при смене рабочих станций,
серверов, криптопровайдеров, и использовать их в продуктах сторонних
производителей на различных аппаратных платформах.
управления ключевыми элементами системы в соответствии с
регламентом средств защиты.
30
Функция Защита сети защищает конечные точки от веб-угроз,
блокируя любые процессы на устройстве, идущие к недоверенным узлам и
IP-адресам, с помощью фильтра SmartScreen Защитника Windows.
Функция Контролируемый доступ к файлам защищает
конфиденциальные данные от программ-шантажистов, блокируя доступ
недоверенных процессов к защищенным папкам.
Защита от эксплойтов — это набор мер защиты от уязвимостей (замена
EMET), которые можно легко настроить для обеспечения безопасности
системы и приложений.
31
хранилище, обеспечивающее накопление первичных событий и
результатов анализа
консоль управления, позволяющая конфигурировать СОВ, наблюдать за
состоянием защищаемой системы и СОВ, просматривать выявленные
подсистемой анализа инциденты.
32
3.4 Основы политики безопасности в области эксплуатации анализируемого
объекта
• Политика обновлений ОС и ПО – для поддержания защиты
необходимо работать с актуальными версиями программ. Обновления
производятся планово, раз в квартал. Обновления сначала проверяются на
копии сервера и тестируются администратором в течении нескольких дней, и
после устанавливаются на основной сервер.
• Отбор и обучение персонала. Для работы в качестве администратора
отбираются кандидаты с опытом работы не менее трёх лет, и не замеченные в
инцидентах, связанных с раскрытием коммерческой информации.
Перед началом работы нового сотрудника знакомят с устройством
работы сервера на копии сервера, проводят инструктаж по принятым в
организации средствам и мерам защиты сервера. До сотрудника доносится
важность и ценность информации, обрабатываемой на оборудовании
организации.
Производятся периодические проверки актуальности знаний
сотрудников, в случае необходимости, проводится дообучение.
• Политика паролей – требования к паролям, для ОС и исполняемых
программ:
1. длина не менее 8 символов; 16 символов для эксплуатационного
персонала;
2. использование букв в разных регистрах, цифр;
3. запрет на использование легко подбираемых цифробуквенных
сочетаний, такие как имена, названия, даты и т. п.;
4. смена паролей не реже одного раза в месяц.
5. обеспечение возможности самостоятельной смены паролей;
33
ЗАКЛЮЧЕНИЕ
34
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Kaspersky TOTAL Security для бизнеса [Электронный ресурс]. –
Режим доступа: https://www.kaspersky.ru/small-to-medium-business-
security/endpoint-advanced
2. XSpider 7.8 [Электронный ресурс]. – Режим доступа:
https://www.ptsecurity.com/ru-ru/products/xspider/
3. Zyxel USG20-VPN [Электронный ресурс]. – Режим доступа:
https://www.zyxel.com/ru/ru/products_services/Business-Firewall-USG20-VPN-
USG20W-VPN/
4. Информационная безопасность [Электронный ресурс]. – Режим
доступа: https://ru.wikipedia.org/wiki/Информационная_безопасность
5. Средства криптографической защиты информации [Электронный
ресурс]. – Режим доступа: http://soft.lissi.ru/ls_product/skzi/skzi_lirssl_csp/
35