Вы находитесь на странице: 1из 35

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

федеральное государственное образовательное бюджетное учреждение высшего образования


«Вологодский государственный университет»
(ВоГУ)

КУРСОВАЯ РАБОТА
“ШИРОКОПОЛОСНЫЙ КАНАЛ ВЫХОДА В ИНТЕРНЕТ КРУПНОЙ
МЕЖДУНАРОДНОЙ КОМПАНИИ”

Дисциплина: Защита информации

Направление подготовки: 09.03.01 Информатика и вычислительная техника

Направленность (профиль): Программное обеспечение средств вычислительной


техники и автоматизированных систем
Форма обучения: ___ очная ____
(очная / заочная)
Институт:
(указывается наименование института, к которому относится данное направление подготовки / специальность)
Кафедра:
(указывается наименование кафедры, обеспечивающей подготовку)
Группа:
(аббревиатура)
Студент:
(ФИО)
Преподаватель:
(ФИО)

1
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ..............................................................................................................3
1 ОПИСАНИЕ И АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ ИНФОРМАЦИИ.................4
1.1. Описание направления деятельности объекта защиты информации.. . .4
1.2. Описание организационной структуру объекта защиты информации.. 5
1.3. Описание основных видов информации в бумажном и электронном
виде, в том числе внутреннюю нормативную документацию.........................5
1.4. Перечень конфиденциальной информации (включая персональные
данные)..................................................................................................................6
1.5. Спецификация оборудования и программных средств, используемых
на объекте защиты информации (при этом объект защиты информации
рассматривается как комплексная вычислительная система, выполняющая
определенный набор функций)...........................................................................7
1.6. Описание средства защиты информации.................................................8
2. АНАЛИЗ УЯЗВИМОСТЕЙ И УГРОЗ..........................................................10
2.1 Виды угроз....................................................................................................10
2.2 Меры по снижению уязвимости.................................................................12
2.3. Характер и виды происхождения угроз..................................................14
2.4. Классы каналов несанкционированного получения информации.......15
2.5. Возможные причины нарушения целостности информации...............16
2.6. Класс защиты информации в соответствии с Руководящими
документами Гостехкомиссии России.............................................................17
3. РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ............................21
3.1. Требования к системе защиты информации...........................................21
3.2. Факторы, влияющие на требуемый уровень защиты............................24
3.3. Программно-аппаратные и организационно-административные
способы защиты объекта...................................................................................25
3.4 Основы политики безопасности в области эксплуатации анализируемого
объекта................................................................................................................32
ЗАКЛЮЧЕНИЕ......................................................................................................34
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ.............................................35

2
ВВЕДЕНИЕ

На протяжении всего развития человечества важное значение имеет


создание людьми в интернета. В настоящее время люди взаимодействуют с
интернетом, для чего создают компании. По мере перехода от аграрного
общества к индустриальному, а затем к информационному наблюдается
качественное изменение в передаче информации: раньше это были
сигнальные костры и гонцы, то со временем, скорость передачи становится
более быстрой до мгновенных сообщений в любую точку земного шара.
Целями и миссиями таких интернет компаний становятся облегчения
пользования интернета, разработка чего-то нового, помощь людям.
В современном мире эта тенденция набирает обороты, но вместе с тем,
компании стараются совместить эти цели с целями получения максимальной
прибыли и минимизации расходов. Но, как и раньше, важным ресурсом в
компании маркетинг. Важно правильное и эффективное управление
маркетингом предприятия, необходим эффективный инструмент для этой
цели, который позволит получить максимальную прибыль и сократить
расходы компании. Таким средством выступить информационная система.
В рамках данного курсового проекта необходимо провести анализ на
предмет наличия уязвимостей и угроз заданного объекта – широкополосный
канал выхода в интернет крупной международной компании, а также, исходя
из результатов исследования, обеспечить его информационную безопасность.

3
1 ОПИСАНИЕ И АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ ИНФОРМАЦИИ

Объект защиты информации: широкополосный канал выхода в интернет


крупной международной компании.
Основные сведения: Офис компании расположен на 3-м этаже
кирпичного 5-этажного здания с пропускным режимом. Сотрудников — 110
человек. Посетителей до 5 человек в день.
Офисные помещения находятся в аренде. Офис представляет собой
помещение из шести комнат: кабинет руководства (10 сотрудников), зал для
принятия посетителей (10 сотрудников), 3 кабинета специалистов (90
сотрудников) и комната для персонала.
Вход в кабинет руководства, комнату для персонала и кабинеты
специалистов осуществляется из зала для принятия посетителей. Вход в
кабинеты осуществляется путем получения на вахте ключа от комнаты после
предъявления пропуска. При получении и сдаче ключа сотрудник фиксирует
дату, время и ФИО в журнале регистрации получения и сдачи ключей от
помещений.
1.1. Описание направления деятельности объекта защиты информации.
 Обеспечение обслуживания сайтов в интернете;
 Совершенствование систем контроля пользователей в интернете;
 Повышение уровня использования сети интернет;
 Развитие и поддержание на высоком уровне репутации компании в сети
интернет;
 Управление маркетингом компании в сети интернет;

4
1.2. Описание организационной структуру объекта защиты информации.
 Генеральный директор;
 Начальники отделов;
 Отдел маркетинга;
 Отдел управления;
 Технический отдел;
 Бухгалтерские услуги находятся на аутсорсинге.
1.3. Описание основных видов информации в бумажном и электронном
виде, в том числе внутреннюю нормативную документацию.
Основной вид информации в бумажном и электронном виде:
1) данные о клиентах компании:
 общая информация;
 персональные данные о каждом клиенте;
2) документация о совершенных операциях купли-продажи услуг компании;
3) договоры с клиентами и акты исполнения работ;
4) персональные данные сотрудников компании.
 Внутренняя нормативная документация:
 правила внутреннего трудового распорядка;
 штатное расписание (Форма Т-3);
 программа вводного инструктажа
 локальный нормативный акт в соответствии со ст. 10 Федерального
закона от 29.07.2004 № 98-ФЗ "О коммерческой тайне"
 должностная инструкция руководителя;
 должностная инструкция сотрудников;
 политика безопасности компании;
 форма договора об оказании услуг;
 форма договора трудового найма;
 форма заявления о согласии сотрудника на сбор и обработку
персональных данных;

5
1.4. Перечень конфиденциальной информации (включая персональные
данные)
1. персональные данные сотрудников:
 фамилия, имя, отчество сотрудника;
 год, месяц, дата рождения;
 место рождения;
 место регистрации;
 место проживания;
 паспортные данные;
 семейное положение;
 образование;
 уровень дохода;
 сведения о предыдущем месте работы;
 сведения о состоянии здоровья;
 результаты собеседования при приеме на работу;
2. данные об уровне заработной платы сотрудников;
3. сведения об управлении компанией:
 планы развития компании;
 результаты аудита деятельности компании;
 управленческие решения;
4. бухгалтерская отчетность
5. налоговая отчетность

1.5. Спецификация оборудования и программных средств, используемых на


объекте защиты информации (при этом объект защиты информации
рассматривается как комплексная вычислительная система, выполняющая
определенный набор функций).

6
Спецификация оборудования и программных средств ЛВС:
– компьютеры с процессором семейства Intel;
– объем оперативной памяти 8 Гбайта и выше;
– манипуляторы типа мышь и клавиатура;
– операционные системы семейства MS Windows, а также MS
Windows Server 2019;
– Браузеры MS Internet Explorer и Yandex;
– количество сотрудников, имеющих ПК — 60.
– Топология ЛВС — звезда.
– Кабельная система — беспроводная сеть и оптоволоконный
кабель.
– Все компьютеры сети подключены к коммутаторам витой
парой.
Для обработки информации используется 60 компьютеров. К каждому
рабочему месту привязан внутренний телефонный номер (общих телефонных
номеров — два). Хранилище бумажных документов находится в кабинете
руководства.

Рисунок 1- Схема расположения оборудования

7
1.6. Описание средства защиты информации:
На объекте используются следующие меры по защите
информации.
Все сотрудники компании наняты по договору трудового найма,
включающего в себя пункт по сохранению персональных данных и
коммерческой тайны.
Вход в здание осуществляется по пропускам через пункт охраны.
Получение ключей от помещений осуществляется через регистрацию
получения ключа в журнале регистрации получения и сдачи ключей от
помещений на вахте после предъявления пропуска в здание.
Все помещения оборудованы системами противопожарной
сигнализации.
Осуществляются идентификация и аутентификация
пользователей. Существует разграничение прав доступа. Доступ в ИС
разрешен только зарегистрированным пользователям. Каждому
пользователю настроены соответствующие его должности права
доступа на различные объекты ИС. Перечень объектов и субъектов
доступа определяется на основе прав, которые определены для каждого
пользователя ИС. Защита доступа к ресурсам осуществляется при
помощи пароля.
Организационные и технические меры защиты конфиденциальной
информации
• Идентификация и аутентификация субъектов и объектов доступа
осуществляется встроенными средствами MS Windows. Защита
обратной связи при вводе информации, используемой для
аутентификации, осуществляется при помощи сокрытия ее
посредством специальных символов.
• Управление доступом субъектов к объектам доступа.
Пользователи и администраторы имеют различные обязанности и
наделены разными правами.
8
• Обеспечение целостности информационной системы и
информации.
• Антивирусная защита рабочих станций, файловых и почтовых
серверов, средства борьбы со спамом.
• Межсетевой экран или система обнаружения атак.
• Аппаратные средства аутентификации пользователей.
• Средства защиты от несанкционированного доступа.
• Организация разграничения доступа пользователей к
конфиденциальным данным с помощью штатных механизмов защиты
информации.
• Организация разграничения доступа к операционным системам,
прикладным программам, маршрутизаторам и т. п.
• Программные криптографические средства и средства создания
электронной цифровой подписи для обмена конфиденциальными
данными через открытые каналы связи.
• Средства "прозрачного" шифрования логических дисков
пользователей, которые используются для хранения
конфиденциальных данных.
• Средства уничтожения неиспользуемых конфиденциальных
данных.
• Программы для резервного копирования.

9
2. АНАЛИЗ УЯЗВИМОСТЕЙ И УГРОЗ

Угроза информационной безопасности – это возможные действия или


события, которые могут вести к нарушениям безопасности информации.
В свою очередь, угроза – это совокупность условий и факторов,
создающих опасность несанкционированного, в том числе случайного,
доступа к персональным данным, результатом которого могут стать
уничтожение, изменение, блокирование, копирование, предоставление,
распространение персональных данных, а также иные неправомерные
действия.

2.1 Виды угроз


Угрозы информационной безопасности могут быть классифицированы
по различным признакам:
По аспекту информационной безопасности, на который направлены
угрозы:
• Угрозы конфиденциальности (неправомерный доступ к информации).
Угроза нарушения конфиденциальности заключается в том, что информация
становится известной тому, кто не располагает полномочиями доступа к ней.
Она имеет место, когда получен доступ к некоторой информации
ограниченного доступа, хранящейся в вычислительной системе или
передаваемой от одной системы к другой. В связи с угрозой нарушения
конфиденциальности, используется термин «утечка». Подобные угрозы
могут возникать вследствие «человеческого фактора» (например, случайное
делегировании тому или иному пользователю привилегий другого
пользователя), сбоев работе программных и аппаратных средств. К
информации ограниченного доступа относится государственная тайна и
конфиденциальная информация (коммерческая тайна, персональные данные,
профессиональные виды тайна: врачебная, адвокатская, банковская,
служебная, нотариальная, тайна страхования, следствия и судопроизводства,
10
переписки, телефонных переговоров, почтовых отправлений, телеграфных
или иных сообщений (тайна связи), сведения о сущности изобретения,
полезной модели или промышленного образца до официальной публикации
(ноу-хау) и др.).
• Угрозы целостности (неправомерное изменение данных). Угрозы
нарушения целостности — это угрозы, связанные с вероятностью
модификации той или иной информации, хранящейся в информационной
системе. Нарушение целостности может быть вызвано различными
факторами — от умышленных действий персонала до выхода из строя
оборудования.
• Угрозы доступности (осуществление действий, делающих
невозможным или затрудняющих доступ к ресурсам информационной
системы). Нарушение доступности представляет собой создание таких
условий, при которых доступ к услуге или информации будет либо
заблокирован, либо возможен за время, которое не обеспечит выполнение тех
или иных бизнес-целей.
По расположению источника угроз:
• Внутренние (источники угроз располагаются внутри системы);
• Внешние (источники угроз находятся вне системы).
По размерам наносимого ущерба:
• Общие (нанесение ущерба объекту безопасности в целом, причинение
значительного ущерба);
• Локальные (причинение вреда отдельным частям объекта
безопасности);
• Частные (причинение вреда отдельным свойствам элементов объекта
безопасности).
По степени воздействия на информационную систему:
• Пассивные (структура и содержание системы не изменяются);
• Активные (структура и содержание системы подвергается
изменениям).
11
По природе возникновения:
• Естественные (объективные) — вызванные воздействием на
информационную среду объективных физических процессов или стихийных
природных явлений, не зависящих от воли человека;
• Искусственные (субъективные) — вызванные воздействием на
информационную сферу человека. Среди искусственных угроз в свою
очередь выделяют:
• Непреднамеренные (случайные) угрозы — ошибки программного
обеспечения, персонала, сбои в работе систем, отказы вычислительной и
коммуникационной техники;
• Преднамеренные (умышленные) угрозы — неправомерный доступ к
информации, разработка специального программного обеспечения,
используемого для осуществления неправомерного доступа, разработка и
распространение вирусных программ и т. д. Преднамеренные угрозы
обусловлены действиями людей. Основные проблемы информационной
безопасности связаны прежде всего с умышленными угрозами, так как они
являются главной причиной преступлений и правонарушений.

2.2 Меры по снижению уязвимости


В следующей таблице описаны угрозы и меры по снижению уязвимости
для объекта защиты:
Таблица 1:меры по снижению уязвимости
Угроза Меры по снижению уязвимости
Технический канал утечки Для предотвращения утечки информации по
информации (получение техническим каналам применяют меры,
информации об объекте с направленные на закрытие каналов утечки.
помощью технического Для этого в потенциально опасных зонах
средства разведки). ослабляют уровень информационных
сигналов или уменьшают отношение сигнала
к шуму (например, создают вибрационные и
акустические помехи).
Сбои рабочих станций обновление системы безопасности для
(аппаратные и программные) предотвращения атак на уязвимые места ОС;
12
Техническое обслуживание компьютеров –
комплекс мероприятий, который направлен
на бесперебойную и надежную работу
вычислительной и оргтехники, ПО, сетевого,
терминального и другого сопутствующего
оборудования;
Вредоносное ПО - считается Антивирусное ПО. Специализированный
любое программное софт для обнаружения, нейтрализации и
обеспечение, которое удаления компьютерных вирусов.
пытается заразить компьютер Обнаружение может выполняться во время
или мобильное устройство. проверок по расписанию или запущенных
администратором. Программы выявляют и
блокируют подозрительную активность
программ в «горячем» режиме. Кроме того,
современные антивирусы могут
возобновлять файлы, зараженные
вредоносными программами.
Естественные. Угрозы, Создание резервных копий документов,
вызванные причинами, не данных, хранимых на серверах
зависящими от человека. К их (использование резервного сервера); защита
числу относятся ураганы, помещений и линий связи от прямого
пожары, удары молнии, контакта природных осадков (дождя, снега и
наводнения, другие т.д.).
природные катаклизмы.
Человеческий фактор Обучать всех сотрудников современным
средствам защиты информации; иметь в
штате специалиста, профессионально
разбирающегося в проблемах защиты
информации; чётко классифицировать всю
информацию по степени её закрытости и
ввести правила обращения с документами
ограниченного распространения; Решения
DLP (Data Leak Prevention). Специальные
программные решения, предотвращающие
утечку данных. Это комплекс технологий,
которые эффективно защищают предприятия
от потери конфиденциальной информации в
силу самых разных причин.
Разрешения для доступа к информационным
ресурсам. По умолчанию разрешения
Несанкционированный предоставляются группам безопасности
доступ — доступ к служб Службы Reporting Services, созданным
информации в нарушение в процессе установки; Для защиты
13
информации от несанкционированного
должностных полномочий доступа применяются технические и
сотрудника, доступ к программные средства, организационные
закрытой для публичного мероприятия (контроль физического доступа,
доступа информации со пропускной режим); Системы криптографии.
стороны лиц, не имеющих (DES — Data Encryption Standard, AES —
разрешения на доступ к этой Advanced Encryption Standard). Преобразуют
информации. данные, после чего их расшифровка может
быть выполнена только с использованием
соответствующих шифров. Помимо этого,
криптография может использовать другие
полезные приложения для защиты
информации, в том числе дайджесты
сообщений, методы проверки подлинности,
зашифрованные сетевые коммуникации,
цифровые подписи

2.3. Характер и виды происхождения угроз


Носителями угроз безопасности информации являются источники угроз.
В качестве источников угроз могут выступать как субъекты (личность), так и
объективные проявления, например, конкуренты, преступники,
коррупционеры, административно-управленческие органы. Источники угроз
преследуют при этом следующие цели: ознакомление с охраняемыми
сведениями, их модификация в корыстных целях и уничтожение для
нанесения прямого материального ущерба.

Все источники угроз информационной безопасности можно разделить на


три основные группы:

• Обусловленные действиями субъекта (антропогенные источники) —


субъекты, действия которых могут привести к нарушению безопасности
информации, данные действия могут быть квалифицированы как
умышленные или случайные преступления. Источники, действия которых
могут привести к нарушению безопасности информации могут быть как

14
внешними, так и внутренними. Данные источники можно спрогнозировать, и
принять адекватные меры.

• Обусловленные техническими средствами (техногенные источники) —


эти источники угроз менее прогнозируемы, напрямую зависят от свойств
техники и поэтому требуют особого внимания. Данные источники угроз
информационной безопасности, также могут быть как внутренними, так и
внешними.

• Стихийные источники — данная группа объединяет обстоятельства,


составляющие непреодолимую силу (стихийные бедствия или другие
обстоятельства, которые невозможно предусмотреть или предотвратить, или
возможно предусмотреть, но невозможно предотвратить), такие
обстоятельства, которые носят объективный и абсолютный характер,
распространяющийся на всех. Такие источники угроз совершенно не
поддаются прогнозированию и, поэтому меры против них должны
применяться всегда. Стихийные источники, как правило, являются внешними
по отношению к защищаемому объекту и под ними, как правило,
понимаются природные катаклизмы.

2.4. Классы каналов несанкционированного получения информации


Первый класс:

- Ввод программных продуктов, позволяющих злоумышленнику


получать информацию

-Установка закладных устройств в помещение и съем информации с их


помощью.

- использование багов и недостатков операционных систем и языков


программирования.

- Копирование информации с носителей (материально-вещественных,


магнитных и т. д.).

15
Второй класс:

-Фотографирование или видеосъемка носителей информации внутри


помещения

-Подслушивание разговоров (в том числе аудиозапись).

-использование багов и недостатков операционных систем и языков


программирования.

-Копирование информации с технических устройств отображения


(фотографирование с мониторов и др.).

-подключение к базам данных и ПЭВМ по компьютерным сетям

Третий класс:

-Выведывание информации у обслуживающего персонала за пределами


объекта

-Получение информации по акустическим каналам (в системах


вентиляции, теплоснабжения, а также с помощью направленных
микрофонов).

- Подслушивание разговоров (в том числе аудиозапись).

-маскировка и вход в систему под видом зарегистрированного


пользователя.

Четвертый класс:

- подключения к линиям связи;

- утечка по каналам проводной и радиосвязи, не имеющим шифрующей


и дешифрирующей аппаратуры;

- перехват электромагнитного излучения канала связи;

- подсветка (принудительное электромагнитное облучение) каналов


связи с целью получения паразитных модуляций несущей и дальнейшей её
расшифровки;

16
2.5. Возможные причины нарушения целостности информации
Объективные:

Естественные. Угрозы, вызванные причинами, не зависящими от


человека. К их числу относятся ураганы, пожары, удары молнии, наводнения,
другие природные катаклизмы.

Отказы (полный выход из строя) аппаратуры, программ, систем питания


и жизнеобеспечения

Сбои (кратковременный выход из строя) аппаратуры, программ, систем


питания и жизнеобеспечения

Несчастные случаи (пожары, взрывы, аварии)

Субъективные:

1.Непреднамеренные:

Плохая степень контроля над средствами по охране сведений.

Некомпетентность сотрудников, которые занимаются защитой данных,


их непонимание важности процесса и халатное отношение к информации в
целом.

Постоянная смена сотрудников, которые занимаются защитой


персональных данных.

Использование нелицензионных средств или не прошедших аттестацию


программ по защите персонала и клиентов, сохранению их
конфиденциальности.

2.Преднамеренные:

Информационное воздействие (электромагнитное облучение, ввод в


компьютерные системы разрушающих программных средств)

Непосредственные действия над носителем (хищение, подмена


носителей, уничтожение информации)

Диверсия (организация пожаров, взрывов, повреждений электропитания


и др.)

17
2.6. Класс защиты информации в соответствии с Руководящими
документами Гостехкомиссии России.
Широкополосный канал выхода в интернет крупной международной
компании относится к АС поскольку содержит в себе признаки АС, а именно:
система содержит пользовательскую информацию. Помимо
пользовательской информации при создании АС появляются такие
отсутствующие при разработке СВТ характеристики АС, как полномочия
пользователей, модель нарушителя, технология обработки информации.

Защита АС обеспечивается комплексом программнотехнических средств


и поддерживающих их организационных мер.... Защита АС должна
обеспечиваться на всех технологических этапах обработки информации и во
всех режимах функционирования, в том числе при проведении ремонтных и
регламентных работ.

Для автоматизированных систем (АС) руководящим


документом является «Автоматизированные системы. Защита от
несанкционированного доступа к информации» (утвержден 30 марта 1992
года), в котором устанавливается девять классов защищенности от НСД.

Каждый класс характеризуется определённой минимальной


совокупностью требований по защите. Классы разделяются на три группы,
отличающиеся особенностями обработки информации в АС. В пределах
каждой группы соблюдается иерархия требований по защите в зависимости
от ценности (конфиденциальности информации) и, следовательно, иерархия
классов защищенности АС.

Категория информации, обрабатываемой в АС управления персоналом


относится к служебной и коммерческой. Такая информация принадлежит
грифу конфиденциально и предназначена для служебного пользования.

18
Кража информации, фигурирующей в данном объекте защиты может
привести к финансовым потерям, нарушения юридических прав сотрудников
данной организации.

АС управления персоналом является многопользовательской,


существует раздельный контроль доступа к различным уровням системы и
имеет выход в интернет.

Исходя из определяющих признаков можно отнести рассматриваемую


информационную систему к первой группе. Первая группа включает
многопользовательские ИС, в которых одновременно обрабатывается и (или)
хранится информация разных уровней конфиденциальности. Не все
пользователи имеют право доступа ко всей информации АСУ.

В данной группе имеется пять классов — 1Д, 1Г, 1В, 1Б, 1А.Определим,
к какому классу относится объект защиты:

Классы
Подсистемы и требования 1
1Д 1Г 1В 1Б
А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль
доступа субъектов:
в систему + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи,
- + + + +
внешним устройствам ЭВМ
к программам - + + + +
к томам, каталогам, файлам, записям, полям записей - + + + +
1.2. Управление потоками информации - - + + +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети) + + + + +
выдачи печатных (графических) выходных документов - + + + +
запуска (завершения) программ и процессов (заданий,
- + + + +
задач)
доступа программ субъектов доступа к защищаемым - + + + +
19
файлам, включая их создание и удаление, передачу по
линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ,
узлам сети ЭВМ, каналам связи, внешним устройствам
- + + + +
ЭВМ, программам, томам, каталогам, файлам, записям,
полям записей
изменения полномочий субъектов доступа - - + + +
создаваемых защищаемых объектов доступа - - + + +
2.2. Учет носителей информации + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых
- + + + +
областей оперативной памяти ЭВМ и внешних накопителей
2.4. Сигнализация попыток нарушения защиты - - + + +
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации - - - + +
3.2. Шифрование информации, принадлежащей различным
- - - - +
субъектам доступа (группам субъектов) на разных ключах
3.3. Использование аттестованных (сертифицированных)
- - - + +
криптографических средств
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и
+ + + + +
обрабатываемой информации
4.2. Физическая охрана средств вычислительной техники и
+ + + + +
носителей информации
4.3. Наличие администратора (службы) защиты
- - + + +
информации в АС
4.4. Периодическое тестирование СЗИ НСД + + + + +
4.5. Наличие средств восстановления СЗИ НСД + + + + +
4.6. Использование сертифицированных средств защиты - - + + +

Объект относится к классу 1А: для контроля доступа для каждого


сотрудника необходимо, чтобы соблюдались все подпункты из подсистемы
управления доступа. подсистема регистрации и учёта будет проводить
контроль "пользователей". Криптографическая подсистема не позволит
получить конфиденциальные данные сотрудников и процесса организации
труда в компании. подсистема обеспечения целостности будет поддерживать
рабочее состояние всей системы.

20
3. РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

3.1. Требования к системе защиты информации


Объект защиты относится к классу 1А поэтому для него необходимо
реализовать следующие требования:

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности


субъектов доступа при входе в систему по биометрическим характеристикам
или специальным устройствам (жетонам, картам, электронным ключам) и
паролю временного действия длиной не менее восьми буквенно-цифровых
символов;

- должна осуществляться аппаратурная идентификация и проверка


подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних
устройств ЭВМ по уникальным встроенным устройствам;

- должна осуществляться идентификация и проверка подлинности


программ, томов, каталогов, файлов, записей, полей записей по именам и
контрольным суммам (паролям, ключам);

- должен осуществляться контроль доступа субъектов к защищаемым


ресурсам в соответствии с матрицей доступа;

- должно осуществляться управление потоками информации с помощью


меток конфиденциальности. При этом уровень конфиденциальности
накопителей должен быть не ниже уровня конфиденциальности,
записываемой на него информации.

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в


систему (из системы), либо регистрация загрузки и инициализации

21
операционной системы и ее программного останова. Регистрация выхода из
системы или останов не проводится в моменты аппаратурного отключения
АС. В параметрах регистрации указываются:

- дата и время входа (выхода) субъекта доступа в систему (из системы)


или загрузки (останова) системы;

- результат попытки входа: успешная или неуспешная -


несанкционированная;

- идентификатор (код или фамилия) субъекта, предъявленный при


попытке доступа;

- код или пароль, предъявленный при неуспешной попытке;

- должна осуществляться регистрация выдачи печатных (графических)


документов на "твердую" копию. Выдача должна сопровождаться
автоматической маркировкой каждого листа (страницы) документа его
последовательным номером и учетными реквизитами АС с указанием на
последнем листе документа общего количества листов (страниц).

Криптографическая подсистема:

должно осуществляться шифрование всей конфиденциальной


информации, записываемой на совместно используемые различными
субъектами доступа (разделяемые) носители данных, в каналах связи, а также
на любые съемные носители данных (дискеты, микрокассеты и т.п.)
долговременной внешней памяти для хранения за пределами сеансов работы
санкционированных субъектов доступа. При этом должна выполняться
автоматическая очистка областей внешней памяти, содержавших ранее
незашифрованную информацию;

22
- должны использоваться разные криптографические ключи для
шифрования информации, принадлежащей различным субъектам доступа
(группам субъектов);

- доступ субъектов к операциям шифрования и к соответствующим


криптографическим ключам должен дополнительно контролироваться
посредством подсистемы управления доступом;

- должны использоваться сертифицированные средства


криптографической защиты. Их сертификацию проводят специальные
сертификационные центры или специализированные предприятия, имеющие
лицензию на проведение сертификации криптографических средств защиты.

Подсистема обеспечения целостности:

должны быть обеспечена целостность программных средств СЗИ НСД, а


также неизменность программной среды.

При этом:

- целостность СЗИ НСД проверяется по имитовставкам алгоритма ГОСТ


28147-89 или по контрольным суммам другого аттестованного алгоритма
всех компонент СЗИ как в процессе загрузки, так и динамически в процессе
функционирования АС;

- целостность программной среды обеспечивается качеством приемки


любых программных средств в АС;

- должна осуществляться физическая охрана СВТ (устройств и


носителей информации), предусматривающая постоянное наличие охраны
территории и здания, где размещается АС, с помощью технических средств
охраны и специального персонала, использование строгого пропускного
режима, специальное оборудование помещений АС;

23
- должен быть предусмотрен администратор (служба) защиты
информации, ответственный за ведение, нормальное функционирование и
контроль работы СЗИ НСД. Администратор должен иметь свой терминал и
необходимые средства оперативного контроля и воздействия на безопасность
АС;

- должно проводиться периодическое тестирование всех функций СЗИ


НСД с помощью специальных программных средств не реже одного раза в
квартал;

- должны быть в наличии средства восстановления СЗИ НСД,


предусматривающие ведение двух копий программных средств СЗИ НСД и
их периодическое обновление и контроль работоспособности, а также
автоматическое оперативное восстановление функций СЗИ НСД при сбоях;

- должны использоваться сертифицированные средства защиты. Их


сертификацию проводят специальные сертификационные центры или
специализированные предприятия, имеющие лицензию на проведение
сертификации средств защиты СЗИ НСД.

3.2. Факторы, влияющие на требуемый уровень защиты


Можно выделить следующие группы факторов, влияющих на уровни
защиты информации:

Факторы, обуславливаемые характером обрабатываемой информации,


включают степень секретности, объемы, интенсивность обработки.
Факторы, обуславливаемые архитектурой автоматизированной системы
обработки данных, включают геометрические размеры, территориальную
распределенность, структурированность компонентов.
Факторы, обусловливаемые условиями функционирования
автоматизированной системы обработки данных, включают расположение в
населенном пункте, расположение на территории объекта, обустроенность.
24
Факторы, обусловливаемые технологией обработки информации,
включают масштаб, стабильность, доступность, структурированность.
Факторы, обусловливаемые организацией работы автоматизированной
системы обработки данных, включают, общую постановку дела,
укомплектованность кадрами, уровень подготовки и воспитания кадров,
уровень дисциплины.

3.3. Программно-аппаратные и организационно-административные


способы защиты объекта
Организационные (административные) меры защиты – это меры
организационного характера, регламентирующие процессы
функционирования системы обработки данных, использование ее ресурсов,
деятельность персонала, а также порядок взаимодействия пользователей с
системой таким образом, чтобы в наибольшей степени затруднить или
исключить возможность реализации угроз безопасности. Они включают:
внутреннюю документацию, которая устанавливает правила работы с
компьютерной техникой и конфиденциальной информацией;
инструктаж и периодические проверки персонала
организацию охраны и надежного пропускного режима;
разграничение зоны ответственности, чтобы исключить ситуации,
когда массивы наиболее важных данных находятся в распоряжении одного
из сотрудников;
организацию учета, хранения, использования и уничтожения
документов и носителей с информацией;
распределение реквизитов разграничения доступа (паролей, ключей
шифрования и т.п.);
организацию явного и скрытого контроля за работой пользователей;
мероприятия, осуществляемые при проектировании, разработке, ремонте и
модификациях оборудования и программного обеспечения и т.п.

25
составление планов восстановления системы на случай выхода из строя
по любым причинам.
Программно-аппаратные средства защиты — это способы контроля
оборудования и программных средств от взлома, перехвата информации,
несанкционированного подключения третьих лиц. Программные и
технические средства защиты информации необходимы там, где утечка
данных и ценной информации влечет за собой серьезные финансовые,
репутационные, производственные риски для компании.
К программно-аппаратным средствам обеспечения информационной
безопасности можно отнести:
Межсетевой экран – программное или программно-аппаратное
комплексное решение для обеспечения сетевой безопасности. Обеспечивает
фильтрацию трафика, идентификацию приложений, пользователей, контента,
предотвращает угрозы в соответствии с ранее определенными правилами.
Сетевой экран необходим для решения следующих задач:
Контроль доступа (группы пользователей, приложений, контента) и его
ограничение в соответствии с политикой безопасности организации
(компании, предприятия) к внутренней сети;
Ограничение доступа, идентификация и фильтрация контента,
приложений к внешней сети.
Основными характеристиками программно-аппаратных комплексов для
сетевой безопасности являются:
Пропускная способность. Трафик в единицу времени, передаваемый по
сети, анализируемый и фильтруемый брандмауэром для предотвращения
угроз. Может быть от 100-250 Мбит/с до 10-40 Тбит/с и больше;
Количество новых подключений. Возможность оборудования
обеспечивать заданное количество новых подключений к сети в секунду, а
также количество одновременных сессий. От 100 до 1000 и больше;

26
Политики безопасности. Количество политик безопасности, которые
можно задать с учетом особенностей сети конкретного предприятия. От 20-
40 до 1000 политик и больше.
Сеть экран контролирует, как правило, по трем основным критериям –
пользователи, приложения и контент. Такой подход обеспечивает
максимальную сетевую безопасность и защиту от несанкционированного
доступа, шпионского ПО и вирусов.

Для объекта защиты выберем Межсетевые экран от компании Zyxel USG20-


VPN

Межсетевой экран Zyxel USG20-VPN (рис. 2) - средство для построения


VPN-каналов и обеспечения офисным сетевым устройствам защищенного
доступа к ресурсам Интернета. Прибор в красно-сером корпусе служит для
защиты устройств в локальной сети от угроз и обеспечивает управление
трафиком, демонстрируя производительность на уровне 350 МБит/сек.
Производительность VPN при этом достигает 90 МБит/сек. Экран
поддерживает протоколы VPN IKEv2, IPSec, L2TP over IPSec VPN и SSL.

Рисунок 2- Межсетевой экран Zyxel USG20-VPN

27
Межсетевой экран для нужд малого и среднего бизнеса Zyxel USG20-VPN
располагает интерфейсами 2x WAN GE, среди которых предусмотрен порт
RJ-45 для взаимодействия с Ethernet-сетью и разъем SPF для подключения к
оптоволоконной линии. Разъемы 4x LAN обеспечивают подключение
пользовательских устройств. Потоковый антивирус с поддержкой
сканирования в реальном времени надежно защищает подключенное к
устройству оборудование от вредоносных и шпионских программ.

Антивирусное программное обеспечение:


Так как объектом защиты является система управления персоналом в
крупной компании, то использовать будем Kaspersky Endpoint Security для
бизнеса Расширенный:
Он сочетает многоуровневую защиту от угроз с широкими
возможностями управления и защиты корпоративных данных. Это выбор
компаний, которые уделяют пристальное внимание защите
конфиденциальной информации и стремятся защитить сложную
корпоративную среду от атак нулевого дня. Кроме того, это решение
позволяет IT-департаменту оперативнее и эффективнее выполнять многие
повседневные задачи, что сокращает расходы и позволяет высвободить
ресурсы, необходимые для развития IT-инфраструктуры.
Автоматизированное выявление и приоритизация уязвимостей ОС и
приложений, в сочетании с быстрым автоматическим распространением
исправлений и обновлений, повышает надежность защиты, в то же время
обеспечивая более эффективное администрирование и уменьшая сложность
управления IT-инфраструктурой. Автоматизированная проверка программ
позволяет быстро обнаруживать их устаревшие версии, нарушающие
безопасность и требующие обновления.
Доступно удаленное развертывание и установка программ по
требованию и по расписанию, включая поддержку технологии Wake-on-LAN.

28
Удаленное устранение неполадок и эффективное распространение ПО
выполняется при помощи технологии Multicast.
Решение позволяет легко создавать, хранить и развертывать «золотые
образы» операционной системы при помощи консоли управления и
поддерживает интерфейс UEFI.
Благодаря интеграции с SIEM-системами, такими как IBM® QRadar® и
HP® ArcSight®, компании могут получать полную информацию о
безопасности корпоративной сети в режиме реального времени.

Средства криптографической защиты информации (СКЗИ) –


аппаратные, программные и аппаратно–программные средства, системы и
комплексы, реализующие алгоритмы криптографического преобразования
информации и предназначенные для защиты информации при передаче по
каналам связи и (или) для защиты информации от несанкционированного
доступа при ее обработке и хранении.
Выберем для защиты нашего объекта продукт - Лисси CSP.
Криптопровайдер Лисси CSP предназначен для:
авторизации и обеспечения юридической значимости электронных
документов при обмене ими между пользователями, посредством
использования процедур формирования и проверки электронной подписи
(ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 /
ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-
2012);
обеспечения конфиденциальности и контроля целостности информации
посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-
89;
Установив Лисси CSP, пользователь автоматически получает
поддержку российской криптографии в браузере Internet Explorer, в том
числе HTTPS (протоколы TLS 1.0, TLS 1.1 и TLS 1.2 с поддержкой

29
шифрсьютов TLS_GOSTR341001_WITH_28147_CNT_IMIT и
TLS_GOSTR341112_256_WITH_28147_CNT_IMIT).
Возможность экспорта/импорта ключевой информации и цифровых
сертификатов в формате PKCS#12, что позволяет иметь резервную копию,
осуществлять перенос ключей и сертификатов при смене рабочих станций,
серверов, криптопровайдеров, и использовать их в продуктах сторонних
производителей на различных аппаратных платформах.
управления ключевыми элементами системы в соответствии с
регламентом средств защиты.

Сервер работает на базе операционной системы Windows Server 2019.


Данная ОС включает в себя ряд встроенных систем безопасности:

Датчики глубокого анализа и ответные действия платформы ATP


выявляют атаки на уровне памяти и ядра и реагируют на них путем
подавления вредоносных файлов и завершения вредоносных процессов.
Exploit Guard для ATP в Защитнике Windows представляет собой новый
набор средств предотвращения вторжений в узлы. Четыре компонента Exploit
Guard в Защитнике Windows предназначены для блокировки различных
векторов атак на устройство, а также блокировки поведений, которые часто
используются в атаках с использованием вредоносных программ, при
одновременном сохранении баланса между активным реагированием на
угрозы безопасности и производительностью.
Сокращение направлений атак (ASR) — это набор элементов
управления, которые предприятия могут использовать для предотвращения
попадания вредоносных программ на компьютер путем блокировки
подозрительных вредоносных файлов (например, файлов Office), скриптов,
бокового смещения, программ-шантажистов и угроз на основе электронной
почты.

30
Функция Защита сети защищает конечные точки от веб-угроз,
блокируя любые процессы на устройстве, идущие к недоверенным узлам и
IP-адресам, с помощью фильтра SmartScreen Защитника Windows.
Функция Контролируемый доступ к файлам защищает
конфиденциальные данные от программ-шантажистов, блокируя доступ
недоверенных процессов к защищенным папкам.
Защита от эксплойтов — это набор мер защиты от уязвимостей (замена
EMET), которые можно легко настроить для обеспечения безопасности
системы и приложений.

Система обнаружения вторжений (СОВ) — программное или


аппаратное средство, предназначенное для выявления фактов
неавторизованного доступа в компьютерную систему или сеть либо
несанкционированного управления ими в основном через Интернет.
Соответствующий английский термин — Intrusion Detection System (IDS).
Системы обнаружения вторжений обеспечивают дополнительный уровень
защиты компьютерных систем.
Системы обнаружения вторжений используются для обнаружения
некоторых типов вредоносной активности, которая может нарушить
безопасность компьютерной системы. К такой активности относятся сетевые
атаки против уязвимых сервисов, атаки, направленные на повышение
привилегий, неавторизованный доступ к важным файлам, а также действия
вредоносного программного обеспечения (компьютерных вирусов, троянов и
червей)
Обычно архитектура СОВ включает:
сенсорную подсистему, предназначенную для сбора событий, связанных
с безопасностью защищаемой системы
подсистему анализа, предназначенную для выявления атак и
подозрительных действий на основе данных сенсоров

31
хранилище, обеспечивающее накопление первичных событий и
результатов анализа
консоль управления, позволяющая конфигурировать СОВ, наблюдать за
состоянием защищаемой системы и СОВ, просматривать выявленные
подсистемой анализа инциденты.

Выберем XSpider 7.8 - сканер уже сегодня определяющий более трети


уязвимостей, которые принесет завтрашний день. Основная задача сканера
XSpider – обнаружить уязвимости в сетевых ресурсах до того, как это будет
сделано злоумышленниками, а также выдать чёткие и понятные
рекомендации по устранению обнаруженных уязвимостей.

XSpider 7.8 быстро и точно обнаруживает сетевые узлы, открытые


порталы, идентифицирует операционную систему и серверные приложения, а
также отслеживает изменения в состоянии информационной системы.

Рисунок 4 – работа СОВ при атаке на корпоративную сеть

32
3.4 Основы политики безопасности в области эксплуатации анализируемого
объекта
• Политика обновлений ОС и ПО – для поддержания защиты
необходимо работать с актуальными версиями программ. Обновления
производятся планово, раз в квартал. Обновления сначала проверяются на
копии сервера и тестируются администратором в течении нескольких дней, и
после устанавливаются на основной сервер.
• Отбор и обучение персонала. Для работы в качестве администратора
отбираются кандидаты с опытом работы не менее трёх лет, и не замеченные в
инцидентах, связанных с раскрытием коммерческой информации.
Перед началом работы нового сотрудника знакомят с устройством
работы сервера на копии сервера, проводят инструктаж по принятым в
организации средствам и мерам защиты сервера. До сотрудника доносится
важность и ценность информации, обрабатываемой на оборудовании
организации.
Производятся периодические проверки актуальности знаний
сотрудников, в случае необходимости, проводится дообучение.
• Политика паролей – требования к паролям, для ОС и исполняемых
программ:
1. длина не менее 8 символов; 16 символов для эксплуатационного
персонала;
2. использование букв в разных регистрах, цифр;
3. запрет на использование легко подбираемых цифробуквенных
сочетаний, такие как имена, названия, даты и т. п.;
4. смена паролей не реже одного раза в месяц.
5. обеспечение возможности самостоятельной смены паролей;

33
ЗАКЛЮЧЕНИЕ

В рамках данного курсового проекта был проведен анализ уязвимостей


заданного объекта защиты, рассмотрены возможные угрозы. Выбраны
программно-аппаратные средства защиты объекта согласно определённому
уровню. Разработана система организационных правил, которые при верном
соблюдении позволят избежать вредоносных вмешательств.

34
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Kaspersky TOTAL Security для бизнеса [Электронный ресурс]. –
Режим доступа: https://www.kaspersky.ru/small-to-medium-business-
security/endpoint-advanced
2. XSpider 7.8 [Электронный ресурс]. – Режим доступа:
https://www.ptsecurity.com/ru-ru/products/xspider/
3. Zyxel USG20-VPN [Электронный ресурс]. – Режим доступа:
https://www.zyxel.com/ru/ru/products_services/Business-Firewall-USG20-VPN-
USG20W-VPN/
4. Информационная безопасность [Электронный ресурс]. – Режим
доступа: https://ru.wikipedia.org/wiki/Информационная_безопасность
5. Средства криптографической защиты информации [Электронный
ресурс]. – Режим доступа: http://soft.lissi.ru/ls_product/skzi/skzi_lirssl_csp/

35