Untitled

РЕФЕРАТ
Тема выпускной квалификационной работы: разработка комплексной

системы обеспечения информационной безопасности школы «МАОУ гимназия
им. Н.В. Пушкова».
Данная выпускная квалификационная работа включает:
 67 Страниц;
 3 Главы;
 11 разделов;
 5 таблиц;
 12 рисунков;
 14 используемых источников.
Ключевые слова: информационная безопасность, угрозы, уязвимости,
средства вычислительной техники, антивирус, конфиденциальность,
целостность, доступность
Целью данной дипломной работы является – разработка и
совершенствование комплексной системы обеспечения информационной
безопасности МАОУ «Гимназии им. Н.В. Пушкова».
Объектом исследования является МАОУ «Гимназия им. Н.В. Пушкова».
Предмет исследования – разработка и совершенствования комплексной системы
обеспечения информационной безопасности объекта.
Методы исследования: анализ, моделирование, практическое
моделирование комплексной системы обеспечения информационной
безопасности.
В данной работе проанализировано состояние защищённости объекта и
предложен комплекс мер информационной безопасности. По итогам работы
были выявлены и устранены уязвимости на объекте защиты, что значительно
повышает степень защищённости организации.
Практическая значимость данной работы подтверждается актом
внедрения, подписанным директором школы.
1
ОГЛАВЛЕНИЕ
СПИСОК ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ................................................... 4
СОКРАЩЕНИЯ................................................................................................. 6
ВВЕДЕНИЕ ........................................................................................................ 7
ГЛАВА 1. ТЕОРИТИЧЕСКАЯ ЧАСТЬ .......................................................... 9
1.1 Правовое обеспечение информационной безопасности ..................... 9
1.2 Угрозы информационной безопасности и их классификация.......... 17
1.3 Основные методы противодействия угрозам информационной

безопасности .......................................................................................................... 21
Вывод............................................................................................................ 26
ГЛАВА 2. АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ.................................................. 27
2.1 Общие сведения об организации ......................................................... 27
2.2 Информационные активы объекта ...................................................... 30
2.3 Текущее состояние защищённости объекта ....................................... 39
2.4 Анализ угроз и уязвимостей объекта защиты .................................... 45
Вывод............................................................................................................ 54
ГЛАВА 3. СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ ..................................................................................................... 56
3.1 Организационные меры обеспечения безопасности ......................... 56
3.2 Программные меры обеспечения безопасности ................................ 60
3.3 Совершенствование СКУД .................................................................. 61
3.4 Дополнительные меры обеспечения безопасности ........................... 63
Вывод............................................................................................................ 64
2
ЗАКЛЮЧЕНИЕ ............................................................................................... 65
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ ............................................ 66
3
СПИСОК ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ
Информация – это данные и сведения о субъектах, объектах, процессах,
событиях, фактах и явлениях независимо от формы их представления.
Информационная безопасность – это состояние защищенности
информации, информационных систем и информационной среды.
Защита информации – использование организационных, технических,
аппаратных и программно-аппаратных мер в целях обеспечения
информационной безопасности.
Угроза информационной безопасности – это любые действия, влияния и
происшествия, которые потенциально могут нанести ущерб разной степени
тяжести любым информационным активам организации (информации,
средствам вычислительной техники, информационным системам, сотрудникам).
Уязвимость – это брешь в системе безопасности, посредствам которой
реализуются угрозы ИБ.
Конфиденциальность – это одно из свойств информации, выражающаяся в
необходимости предотвращения утечки.
Целостность – это свойство информации подтверждающее её полноту.
Доступность – свойство информации гарантирующее доступ к ней.
Средство защиты информации – техническое, аппаратно-программное
устройство или программное обеспечение, применяемое для обеспечения
информационной безопасности.
Средство вычислительной техники – совокупность программных и
технических средств, использующаяся для обработки данных, имеющая
возможность работать самостоятельно или в составе других систем.
Система видеонаблюдения – это совокупность аппаратно-программных
средств, использующаяся для обеспечения видеонаблюдения на защищаемой
территории.
Система контроля и управления доступом – комплекс технических и
программно-аппаратных средств контроля и управления доступом, создающих
4
ограничение на пропуск и фиксирование входа-выхода на территорию
охраняемого объекта людей и транспорта.
5
СОКРАЩЕНИЯ
МАОУ – Муниципальное автономное общеобразовательное учреждение;
РФ – Российская Федерация;
ФСБ – Федеральная служба безопасности;
ГОСТ – Государственный стандарт;
ФСТЭК – Федеральная служба по техническому и экспортному контролю;
ИБ – Информационная безопасность;
ИС – Информационная система;
КС – Компьютерная система;
ДСП – Для служебного пользования;
ИА – информационный актив;
СКУД – Система контроля и управления доступом;
КПП – Контрольно-пропускной пункт;
НСД – несанкционированный доступ;
СВТ – Средства вычислительной техники;
БД – База данных;
СУБД – Система управления базами данных;
МЭ – Межсетевой экран.
6
ВВЕДЕНИЕ
Развитие технологий и их повсеместное внедрение во все аспекты жизни
человека, значительно улучшает уровень жизни и облегчает различные процессы
жизнедеятельности человека, организации и государства. Однако с интенсивным
прогрессом в области информационных технологий образуется и множество
уязвимостей затрагивающие все аспекты информационной безопасности:
конфиденциальность, доступность и целостность.
Объектом исследования является МАОУ «Гимназия им. Н.В. Пушкова».
Предмет исследования – разработка и совершенствования комплексной системы
обеспечения информационной безопасности объекта.
Актуальность темы, безусловно подтверждается развитием технологий и
их внедрением в жизнь образовательных учреждений. Каждый день в школах
циркулирует ряд информации ограниченного доступа – это персональные
данные, отчёты, интеллектуальная собственность и др. К тому же в большинстве
образовательных учреждений интегрированы различные информационные
системы. На примере «Гимназии им. Н.В. Пушкова» мы можем выделить полный
переход системы оценки успеваемости учеников с бумажных носителей на
электронный журнал и дневники, а также подключение к централизованной
бухгалтерии, наличие собственной базы данных в которой хранится большой
пласт информации и документов, регулярно использующихся в различных
бизнес-процессах организации. Необходимость в постоянной поддержке
работоспособности информационных систем и технологий, и должной защите
информационных активов, подтверждает актуальность выбранной темы. К тому
же учитывая, что в образовательном учреждении обучаются
несовершеннолетние, которым необходимо обеспечить комфортное и
безопасное нахождение в пределах школы, а также уберечь от нежелательной
информации и любых других угроз необходимо разработать и применить
комплекс мер безопасности, чем обуславливается актуальность темы
исследования.
7
Целью данной дипломной работы является – разработка и
совершенствование комплексной системы обеспечения информационной
безопасности МАОУ «Гимназии им. Н.В. Пушкова».
Основными задачами являются:
1. Анализ текущего состояния информационной безопасности объекта;
2. Разработка и внедрение мер безопасности.
Из этих двух задач следуют и остальные:
1. Анализ информационных активов организации;
2. Анализ угроз и уязвимостей;
3. Анализ эффективности имеющихся мер и систем безопасности;
4. Совершенствование существующих систем безопасности;
5. Разработка и внедрение комплекса организационных, инженерно-
технических, программных и программно-аппаратных мер
8
ГЛАВА 1. ТЕОРИТИЧЕСКАЯ ЧАСТЬ
1.1 Правовое обеспечение информационной безопасности
Создание законодательной базы в сфере информационной безопасности,
является одной из основных задач любого государства. Учитывая интенсивное
развитие информационных технологий и их повсеместное внедрение во все
аспекты жизнедеятельности государства, образуется надобность в создании и
поддержании актуальности законодательной базы, упорядочивающей и
регламентирующей, поведение субъектов и объектов информационных
отношений.
Законодательная база в области информационных технологий образуется
различными актами федерального законодательства, нормативно-
методическими документами и стандартами информационной безопасности.
Крепким фундаментом законодательной базы в области информационной
безопасности можно выделить три документа, это однозначно Конституция РФ,
Доктрина информационной безопасности РФ и Федеральный закон «Об
информации, информационных технологиях и защите информации».
Несомненно, конституция РФ является основным источникам права в
области обеспечения информационно безопасности в России.
Согласно Конституции:
- каждый имеет право на неприкосновенность частной жизни, личную и
семейную тайну, на тайну переписки, телефонных переговоров, почтовых,
телеграфных и иных сообщений;
- сбор, хранение, использование и распространение информации о частной
жизни лица без его согласия не допускаются;
- каждый имеет право свободно искать, получать, передавать, производить
и распространять информацию любым законным способом, перечень сведений,
составляющих государственную тайну, определяется федеральным законом;
- каждый имеет право на достоверную информацию о состоянии
окружающей среды;
9
Доктрина информационной безопасности Российской Федерации
представляет собой совокупность официальных взглядов на цели, задачи,
принципы и основные направления обеспечения информационной безопасности
Российской Федерации.
Настоящая Доктрина служит основой для:
- формирования государственной политики в области обеспечения
информационной безопасности Российской Федерации;
- разработки целевых программ обеспечения информационной
безопасности Российской Федерации.
- подготовки предложений по совершенствованию правового,
методического, научно-технического и организационного обеспечения
информационной безопасности Российской Федерации;
Настоящая Доктрина развивает Концепцию национальной безопасности
Российской Федерации применительно к информационной сфере.
Основоположным законодательным актом в России, регулирующим
отношения в информационной сфере (в том числе связанные с защитой
информации), является Федеральный закон «Об информации, информационных
технологиях и защите информации».
- предметом регулирования данного Закона являются общественные
отношения, возникающие в трех взаимосвязанных направлениях:
- формирование и использование информационных ресурсов;
- создание и использование информационных технологий и средств их
обеспечения;
- защита информации, прав субъектов, участвующих в информационных
процессах и информатизации.
Конечно же вышеперечисленные законодательные акты не являются
единственными в РФ документами в сфере информационной безопасности.
10
Ниже приведён список основных законодательных актов, нормативно-
методических документов и государственных стандартов в сфере
информационной безопасности:
Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации,
информационных технологиях и о защите информации».
Распоряжение Правительства Российской Федерации от 15 августа 2007 г.
№ 1055-р «О плане подготовки проектов нормативных актов, необходимых для
реализации Федерального закона «О персональных данных».
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной
подписи».
Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в
отдельные законодательные акты Российской Федерации в связи с принятием
федерального закона «О ратификации Конвенции Совета Европы О защите
физических лиц при автоматизированной обработке персональных данных» и
федерального закона «О персональных данных».
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных
данных».
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ
Указ Президента Российской Федерации от 30 мая 2005 года N 609 «Об
утверждении Положения о персональных данных государственного
гражданского служащего Российской Федерации и ведении его личного дела».
Указ Президента Российской Федерации от 17 марта 2008 года N 351 «О
мерах по обеспечению информационной безопасности Российской Федерации
при использовании информационно-телекоммуникационных сетей
международного информационного обмена».
Распоряжение Президента Российской Федерации от 10 июля 2001 года №
366-рп «О подписании Конвенции о защите физических лиц при
автоматизированной обработке персональных данных».
11
Постановление Правительства Российской Федерации от 12 декабря 2005
г. N 756 «О представлении Президенту Российской Федерации предложения о
подписании Дополнительного протокола к Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных,
касающегося наблюдательных органов и трансграничной передачи данных».
Постановление Правительства Российской Федерации от 13 июня 2012 г.
N 584 «Об утверждении положения о защите информации в платежной системе».
Постановление Правительства Российской Федерации от 21 марта 2012 г.
N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным законом «О персональных
данных».
Постановление Правительства Российской Федерации от 4 марта 2010 г. N
125 «О перечне персональных данных, записываемых на электронные носители
информации, содержащиеся в основных документах, удостоверяющих личность
гражданина Российской Федерации, по которым граждане Российской
Федерации осуществляют выезд из Российской Федерации и въезд в Российскую
Федерацию».
Постановление Правительства Российской Федерации от 15 сентября 2008
г. № 687 «Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации».
Постановление Правительства Российской Федерации от 6 июля 2008 г. №
512 «Об утверждении требований к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне
информационных систем персональных данных».
Постановление Правительства Российской Федерации от 12 декабря 2005
г. N 756 «О представлении Президенту Российской Федерации предложения о
подписании Дополнительного протокола к Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных,
касающегося наблюдательных органов и трансграничной передачи данных».
12
Указ Президента Российской Федерации от 6 марта 1997 года N 188 «Об
утверждении перечня сведений конфиденциального характера».
Постановление Правительства Российской Федерации от 3 ноября 1994 г.
№ 1233 «Об утверждении Положения о порядке обращения со служебной
информацией ограниченного распространения в федеральных органах
исполнительной власти».
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных».
Распоряжение Правительства РФ от 30 июня 2018 г. № 1322-р «Об
утверждении формы согласия на обработку персональных данных, необходимых
для регистрации гражданина РФ в единой системе идентификации и
аутентификации, и иных сведений, если такие сведения предусмотрены
федеральными законами в указанной системе, и биометрических персональных
данных гражданина РФ в единой информационной системе персональных
данных, обеспечивающей обработку, включая сбор и хранение биометрических
персональных данных, их проверку и передачу информации о степени их
соответствия предоставленным биометрическим персональным данным
гражданина РФ».
Приказ Министерства связи и массовых коммуникаций Российской
Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного
регламента исполнения Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций государственной
функции по осуществлению государственного контроля (надзора) за
соответствием обработки персональных данных требованиям законодательства
российской федерации в области персональных данных».
Приказ ФСБ России и ФСТЭК России от 31.08.2010 № 416/489 «Об
утверждении требований о защите информации, содержащейся в
информационных системах общего пользования».
13
Постановление Центральной избирательной комиссии РФ от 3 ноября 2003
г. N 49/463-4 «О Перечне персональных данных и иной конфиденциальной
информации, обрабатываемой в комплексах средств автоматизации
Государственной автоматизированной системы Российской Федерации
«Выборы» и организации доступа к этим сведениям».
Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении
Состава и содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных».
Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации
Конвенции Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных».
Приказ Роскомнадзора от 03 декабря 2012 г. № 1255 «Об утверждении
Положения об обработке и защите персональных данных в центральном
аппарате Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций».
Приказ Роскомнадзора от 15 июня 2017 г. № 105 «О внесении изменений в
Перечень иностранных государств, не являющихся сторонами Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных и обеспечивающих адекватную защиту прав субъектов
персональных данных, утвержденный приказом Федеральной службы по
надзору в сфере связи, информационных технологий и массовых коммуникаций
от 15 марта 2013 г. № 274».
Приказ Роскомнадзора от 30 мая 2017 г. № 94 «Об утверждении
методических рекомендаций по уведомлению уполномоченного органа о начале
обработки персональных данных и о внесении изменений в ранее
представленные сведения».
Приказ Роскомнадзора от 29 октября 2014 г. № 152 «О внесении изменений
в приказ Федеральной службы по надзору в сфере связи, информационных
14
технологий и массовых коммуникаций от 15 марта 2013 г. № 274 «Об
утверждении перечня иностранных государств, не являющихся сторонами
Конвенции Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных и обеспечивающих адекватную защиту прав
субъектов персональных данных».
Конвенция о защите физических лиц при автоматизированной обработке
персональных данных (Страсбург, 28 января 1981 г.).
Дополнительный протокол к Конвенции о защите частных лиц в
отношении автоматизированной обработки данных личного характера, о
наблюдательных органах и трансграничной передаче информации» ETS N 181
(Страсбург, 08 ноября 2001 г.).
Директива Европейского Парламента и Совета Европейского Союза
95/46/ЕС от 24 октября 1995 г. о защите физических лиц при обработке
персональных данных и о свободном обращении таких данных.
2002/22/ЕС от 7 марта 2002 г. об универсальных услугах и правах пользователей
в отношении сетей электронных коммуникаций и услуг (Директива об
универсальных услугах).
2002/58/ЕС от 12 июля 2002 г. в отношении обработки персональных данных и
защиты конфиденциальности в секторе электронных средств связи (Директива о
конфиденциальности и электронных средствах связи).
Постановление Правительства от 08 февраля 2018 г. № 127 «Об
утверждении Правил категорирования объектов критической информационной
инфраструктуры Российской Федерации, а также перечня показателей критериев
значимости объектов критической информационной инфраструктуры
Российской Федерации и их значений».
15
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении
Требований о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах».
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности
критической информационной инфраструктуры Российской Федерации».
Постановление Правительства от 17 февраля 2018 г. № 162 «Об
утверждении Правил осуществления государственного контроля в области
обеспечения безопасности значимых объектов критической информационной
инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 06 декабря 2017 г. № 227 «Об утверждении
Порядка ведения реестра значимых объектов критической информационной
инфраструктуры Российской Федерации».
формы акта проверки, составляемого по итогам проведения государственного
контроля в области обеспечения безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации».
Требований к созданию систем безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации и обеспечению их
функционирования».
формы направления сведений о результатах присвоения объекту критической
информационной инфраструктуры Российской Федерации одной из категорий
значимости либо об отсутствии необходимости присвоения ему одной из таких
категорий».
Требований по обеспечению безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации».
16
Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции
об организации и обеспечении безопасности хранения, обработки и передачи по
каналам связи с использованием средств криптографической защиты
информации с ограниченным доступом, не содержащей сведений, составляющих
государственную тайну»
Приказ от 14 марта 2014 г. № 31 ФСТЭК (АСУ).
Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах
персональных данных с использованием средств криптографической защиты
информации, необходимых для выполнения установленных Правительством
Российской Федерации требований к защите персональных данных для каждого
из уровней защищенности».
Приказ ФСБ России от 9 февраля 2005 г. № 66 «Об утверждении
Положения о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации (Положение
ПКЗ-2005)».
Методические рекомендации по разработке нормативных правовых актов,
определяющих угрозы безопасности персональных данных, актуальные при
обработке персональных данных в информационных системах персональных
данных, эксплуатируемых при осуществлении соответствующих видов
деятельности от 31 марта 2015 г. № 149/7/2/6-432.
1.2 Угрозы информационной безопасности и их классификация

Угроза информационной безопасности – это любые действия, влияния и
происшествия, которые потенциально могут нанести ущерб разной степени
тяжести любым информационным активам организации (информации,
средствам вычислительной техники, информационным системам, сотрудникам).
17
Ущерб, является категорией классификации угроз. Проявления
нанесенного ущерба могут быть различны:
1. Моральный и материальный ущерб от нарушения международных
отношений;
2. Моральный, физический и материальный ущерб связанный с
разглашением персональных данных отдельных лиц;
3. Финансовый ущерб от необходимости восстановления нарушенных
защищаемых информационных ресурсов;
4. Моральный и материальный ущерб от деорганизации деятельности;
5. Финансовый ущерб от конфиденциальной информации;
6. Материальный ущерб от невыполнения обязательств перед третьей
стороной;
7. Моральный и материальный репутации организации.
Какой-либо субъект может нанести ущерб и это будет являться
правонарушением, а также ущерб может быть нанесён от действий независящих
от субъекта.
Основным угрозами ИБ являются:
1. Отрицание подлинности информации;
2. Уничтожение информации;
3. Блокирование информации;
4. Распространение ложной информации;
5. Искажение информации;
6. Уничтожение информации.
Субъекты и объекты, которые потенциально могут нанести вред
информационной безопасности, являются источниками угроз.
Источники угроз делят на следующие группы; выделим из них три
основные группы:
1. Антропогенные источники угроз;
2. Техногенные источники угроз;
18
3. Стихийные источники.
Антропогенные источники угроз – это субъекты, которые могут
умышленно или случайно нанести вред информационной безопасности.
Техногенные источники угроз, определяются воздействием человека и
развитием цивилизации. Они зависят от состояния техники и поэтому требуют
внимания.
Стихийные источники угроз – это стихийные бедствия и другие угрозы,
которых очень сложно предвидеть и ликвидировать.
Антропогенные источники классифицируются на несколько уровней:
1. Нулевой уровень – невозможно использовать программы;
2. Первый уровень – ограничен возможностью использования
нескольких программ (неквалифицированный пользователь);
3. Второй уровень – можно создавать и использовать программы,
написанные самим пользователем с новыми функциями обработки
данных (квалифицированный пользователь);
4. Третий уровень – можно использовать сетью, воздействовать на ПО,
конфигурацию и состава (сис. Админ);
5. Четвертый уровень – определяется всеми возможностями субъектов,
проектирующих и ремонтирующих технические средства
(разработчик и администратор).
Когда речь идёт об угрозах ИБ в большинстве случаев подразумевается
нарушение одного или более аспектов информационной безопасности:
конфиденциальности, целостности и доступности.
Классифицировать угрозы можно разными способами. В виду их большего
разнообразия существует множество различных классификаций. Однако при
классификации угроз обычно первым делом их классифицируют по
происхождению (антропогенные, техногенные и стихийные), по степени ущерба
(незначительные, значительные, критические) и по предвидению последствий
19
(намеренные, ненамеренные). Различные виды классификации угроз
представлены в рисунках 1.1, 1.2, 1.3.
Рисунок 1.1 – классификация угроз
20
1.3 Основные методы противодействия угрозам информационной

безопасности
Угрозы информационной безопасности затрагивают каждого человека и
каждое предприятие из-за реализации угроз любого характера могут нести
значительные убытки, как и малые организации, так и крупные корпорации.
Поэтому в каждой компании необходимо предпринять достаточные меры в
целях противодействия угрозам информационной безопасности. Деструктивные
воздействия угроз информационной безопасности решаются различными
методами и способами, однако определяют четыре основные группы методов:
1. Организационные;
2. инженерно-технические;
3. технические;
4. программно-аппаратные.
21
Организационные методы подразумевают применение административных
и процедурных мер. К таким мерам относятся регламентация любых процессов,
связанных с работой с важной информацией (обработка данных, хранение,
распространение, передача и так далее), разработка локальных нормативных
документов связанных с обеспечением ИБ объекта, организация системы
пожарной безопасности, системы видеонаблюдения и любых других систем
защиты организация пропускного режима на территории объекта, работа с
персоналом, проведение инструктажей и т.д.
Инженерно-технические методы – направлены на создание инженерно-
технических конструкций и сооружений для решения угроз того или иного вида.
Инженерно-технические методы следует применять при строительстве или
реконструкции объекта, так как их интеграция в общую систему безопасности
является не дешёвым процессом. Однако инженерно-технические средства
зачастую являются оптимальными и наиболее эффективными для
противодействия угрозам различного вида. Ниже перечислены средства,
применяемые при использовании инженерно-технических методов:
1. средства механической защиты (инженерные конструкции, средства
контроля и управления доступом);
2. средства технической охраны (средства обнаружения,
видеоконтроля);
3. средства противодействия наблюдению;
4. средства противодействия подслушиванию;
5. средства противодействия перехвату.
Технические методы – реализуются с использованием разнообразных
электронных и механических устройств, направленных на обеспечение
информационной безопасности. Это могут быть средства предотвращения
физического проникновения, средства ограничения доступа к данным, сетевые
фильтры, генераторы шума, сигнализация, электронные замки и т.д.
22
Программно-аппаратные методы – обеспечивают защищённое хранение,
обработку и передачу данных на программно-аппаратном уровне.
Классифицировать методы противодействия угрозам можно по-разному.
Данная классификация является одной из основных, но не единственной. Часто
применяют более детализированную классификацию.
Применение выше перечисленных методов противодействия угрозам
является обязательным при обеспечении безопасности объекта. Однако наиболее
эффективным способом обеспечения ИБ будет применение комплекса
организационных, инженерно-технических, технических и программно-
аппаратных мер.
Организационные методы защиты принято разделять на:
1. Ограничение доступа;
2. Разграничение доступа;
3. Контроль доступа.
При ограничении доступа действия каждого субъекта контролируются в
определенных условиях и позволяет субъекты лишь исполнять некоторые
функциональные обязанности. При ограничении доступа к ИС
(информационной системе), пользоваться ею может определенный круг лиц, а
для посторонних субъектов доступ исключен.
Разграничение доступа к КС (компьютерная система), обуславливается
разделением данных на различные части, доступ к которым осуществляется по
обязанностям и полномочиям субъекта.
Контроль доступа, определяет подлинность пользователя.
Организационные меры обеспечения защиты информации можно
разделить на 4 группы:
1. Разовые мероприятия;
2. Мероприятия, которые проводятся при появлении некоторых
изменений в защищаемом объекте или внешней среде;
23
3. Мероприятия, которые проводятся повторно спустя некоторое
время;
4. Мероприятия, которые проводятся постоянно.
Инженерно-технические меры обеспечения информационной
Инженерно-техническая защита – представляет собой комплекс
специальных органов, мероприятий и технических средств, которые
используется для защиты информации.
Классифицировать инженерно-техническую защиту, можно так:
1. По объекту воздействия;
2. По характеру мероприятий;
3. По способам реализации;
4. По масштабу охвата;
5. По классу ТСЗ;
6. По классу средств злоумышленника.
Так же она классифицируется по функциональному назначению:
Физические средства – они включают в себя множество сооружений,
методов и средств защиты, которые мешают злоумышленникам получить доступ
к информации, так же они обеспечивают защиту работникам, той или иной
организации, которая использует данные физические средства и защищает
бюджет от не законных действий с ними. Физический средства можно разделить
на средства предупреждения, средства обнаружения и средства ликвидации
угроз
Аппаратные средства – это различные устройства, которые требуется для
защиты информации. В основном аппаратные средства используют для
ликвидации брешей в технических средствах, посредством которых,
злоумышленники имеют возможность получить доступ к конфиденциальной
информации.
24
Криптографические средства – это специальные средства защиты в
которых используются алгоритмы шифрования, тем самым защищая
информацию при передаче информации по сетям связи.
Программные средства – это программы, служащие для защиты
информации.
Программно-аппаратные меры обеспечения информационной
безопасности необходимы для защиты данных, которые обрабатываются и
хранятся на различных объектах информационных систем. Программно-
аппаратные меры обеспечения безопасности реализуют некоторые
сопричастные процессы:
Защита ИС при помощи антивирусов;
1. Протоколирование и аудит;
2. Криптографическая защита;
3. Управление политикой безопасности и доступом;
4. Нахождение уязвимостей и атак с помощью программных средств;
5. Защита сети;
6. Идентификация и аутентификация.
Антивирусы защищают информационную систему и её составные части от
вредоносного программного обеспечения и атак злоумышленников.
Протоколирование – это сбор данных о событиях, которые происходят в
данной ИС, а аудит анализирует эти данные.
Криптографические методы – являются одними из самых эффективных
средств, которые сохраняют конфиденциальность и целостность информации.
Управление доступом служит для ограничения, разграничения и
контролирования действий пользователей над информацией.
Сетевая защита – это совокупность средств и приборов, которые
используются для блокирования вредоносных атак до того, как они успеют
нанести ущерб информационной системе
25
Идентификация - это процедура, в процессе которой субъект
предоставляет свои идентификационные данные (пароль, имя, биометрические
данные и тд) для входа в систему.
Аутентификация – это процедура в процессе которой проверяется
подлинность данных идентификаций пользователя.
Вывод
По итогам первой главы, в ходе выполнения выпускной-
квалификационной работы, были перечислены основные документы
составляющие законодательную базу в области информационной безопасности.
Также были описаны угрозы информационной безопасности их
классификация и методы противодействия выявленным угрозам.
26
ГЛАВА 2. АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ
2.1 Общие сведения об организации
МАОУ «Гимназия имени Н.В. Пушкова» - образовательная организация
основным предметом деятельности, которой является осуществление
государственной политики в области образования, а конкретно: реализация
общеобразовательных программ начального общего, основного общего и
среднего общего образования, а также воспитание и формирование общей
культуры личности учащихся. Территориально организация расположена в
спальном районе по адресу город Москва, город Троицк, Школьная улица, дом
10. Здание школы и прилегающие к ней территории ограждены забором высотой
3 метра. На территорию школы есть два входа: главный, который находится у
лицевой стороны самого здания, а также с левой стороны ограждения имеется
въезд с прилегающим контрольно-пропускным пунктом. Само здание школы
представляет собой трёхэтажное здание, разделенное на два корпуса, которые
соединены не большим коридором. Здание имеет 8 входов/выходов, главный
вход, оснащённый турникетом и постом охраны, по два пожарных входа/выхода
в первом и втором корпусах, один вход/выход в спортивном зале, находящийся
во втором корпусе и 2 пожарных выхода находящиеся в помещении
соединяющее оба корпуса. Территориальный план охраняемого объекта можно
увидеть на рисунке 2.1. Рядом со школой находятся жилые двенадцатиэтажные
дома, здание администрации округа, поликлиника, не большой лес, а также с
правой стороны ограждения располагается другое образовательное учреждение
«Лицей города Троицк». Школа работает 6 дней в неделю с понедельника по
пятницу с 08:00 до 18:00 и в субботу с 08:00 до 15:00.
27
Рисунок 2.1. Территориальный план объекта
Криминогенная обстановка в Троицке одна из самых низких в Москве. В

районе «Новой Москвы» к которому относится Троицк. За 2021 год совершенно
6 тыс. преступлений.
Планы первого, второго и третьего этажей можно увидеть на рисунках 2.2,
2.3, 2.4.
28
Рисунок 2.2. - план первого этажа
Рисунок 2.3 – план второго этажа
29
Рисунок 2.4 – план третьего этажа
2.2 Информационные активы объекта

Для начала нужно дать определение понятию «информационный актив».
Если опираться на ГОСТ Р ИСО/МЭК 17799:2005 «Информационная
технология. Практические правила управления информационной
безопасностью», то информация — это актив, который, подобно другим активам
организации, имеет ценность и, следовательно, должен быть защищен
надлежащим образом. Исходя из этого мы можем дать определение:
Информационные активы (ресурсы) – информация, процессы, ресурсы
(программные, информационные и технические), которые представляют
ценность для организации, хранят и/или обрабатывают информацию, и подлежат
защите соответствующей классификации самого актива. Перечень
информационных активов с описанием представлен в таблице 2.1
30
Таблица 2.1
Перечень информационных активов организации
Название группы информационных
№ Описание
активов
Информационные активы
Лицензии на программное продукты
1 Лицензии на программное обеспечение такие как: Windows 8, Microsoft Office
и др.
Текстовые документы бумажного и
электронного форматов, хранящие
2 Технологии и методики обучения
сведения о правилах и нормах
проведения уроков
Разработанные сотрудниками школы Текстовые документы бумажного и
3 учебные программы, учебно- электронного форматов, хранящие
методические разработки информацию о учебных программах
Классные журналы, дневники, а
Материалы и результаты учебных
4 также учебные работы (диктанты,
работ обучающихся
контрольные, рефераты и др.)
Персональные данные, имена, адреса,
Информация, составляющая базу почтовые, телеграфные, банковские,
5
данных о контрагентах школы телефонные реквизиты и др.
контрагентов школы
Выписки и отчёты, бумажного или
Информация о заработной плате электронного формата, хранящие
6
сотрудников информацию о заработной плате
сотрудников
Исполнительная документация с
Сведения о безопасности информации подробным описанием системы,
7
на СВТ средств защиты и методов обработки
информации на СВТ
Исполнительная документация с
подробным описанием устройства
8 Сведения о системах безопасности охранных систем, средств защиты,
охранного и пропускного режима в
школе
Правовой акт, издаваемый
9 Приказы и распоряжения руководителем отдела в целях
разрешения производственных задач.
Письменное или устное сообщение по
10 Отчёты конкретному вопросу, которое
основано на документальных данных.
Четкая система расчетных
показателей, демонстрирующих
фактическое положение дел в
11 Бухгалтерские документы
организации и отражающих итоги
производственно-финансовой
деятельности.
31
Продолжение таблицы 2.1
Учебники, методические документы
бумажного или электронного
12 Учебные материалы
форматов, презентации,
видеоматериалы и др.
Любые конфиденциальные сведения,
относящиеся к прямо или косвенно,
определённому или определяемому
Персональные данные работников и физическому лицу (субъекту
13
учащихся (специальные) персональных данных), которые
предоставляются другому
физическому или юридическому лицу
либо лицам.
Любые общедоступные сведения,
относящиеся к прямо или косвенно
определённому или определяемому
Персональные данные работников и физическому лицу (субъекту
14
учащихся (общедоступные) персональных данных), которые
предоставляются другому
физическому или юридическому лицу
либо лицам.
Сведения открытого доступа, такие
как: контактная информация,
15 Общие сведения об организации
реквизиты компании, лицензии,
аккредитации и др.
Активы программного обеспечения
Любое ПО на СВТ компании,
16 Учебное программное обеспечение
использующиеся в учебных целях
Любое ПО на СВТ компании,
17 Служебное программное обеспечение
использующиеся в служебных целях
База данных установленная на
выделенном сервере, хранящая всю
18 База данных информацию, обрабатываемую в
организации (Документы, отчёты,
учебные материалы и др.)
Физические активы
Стационарные и портативные
компьютеры, использующиеся
19 Служебная вычислительная техника сотрудниками организации (могут
хранить и обрабатывать информацию
содержащую КТ)
Стационарные и портативные
20 Учебная вычислительная техника компьютеры, использующиеся
учениками
32
Дав определение понятию «информационный актив», необходимо
определить, как классифицируются информационные активы в соответствии с
нормами действующего законодательства Российской Федерации.
При анализе и квалификации информационных активов задаётся модель
классификации. Модель может быть однофакторной или многофакторной,
качественной или количественной.
В данной работе будет использоваться многофакторная, качественная
модель классификации. Каждый информационный актив будет
классифицироваться по требованиям к:
- конфиденциальности;
- целостности;
- доступности.
Изначально каждый информационный актив классифицируется на один из
следующих классов:
1. Открытый (О) – не накладываются ограничение на распространение
и использование, материальный и финансовый ущерб отсутствует;
2. Для служебного использования (ДСП) – данный информационный
актив используется внутри организации и не распространяется в
открытом доступе, в случае потери, утечки или уничтожения
данного актива прямой финансовый ущерб отсутствует, однако есть
вероятность возникновениях других видов ущерба;
3. Конфиденциальный (КТ) – данный вид информационных активов
может нести существенный финансовый ущерб, моральный и др.,
используется, как внутри организации, так и при обмене с другими
организациями и гос. структурами.
Конфиденциальные активы также градируют по степени ценности:
1. Секретная (С) – к секретной информации доступ имеют только
работники высших руководящих должностей;
33
2. С ограниченным доступом (Д) – к данной информации доступ имеет
ограниченный круг работников организации.
Далее каждый информационный актив будет получать качественную
оценку по требованиям к конфиденциальности, целостности и доступности по
трёх-бальной шкале (низкие, средние, высокие).
В виду того, что на данном предприятии имеется большое количество
информационных активов при оценке мы будем делить их на группы, такие как:
лицензии на программное обеспечение, приказы, портативные компьютеры
(служебные), компьютеры общего пользования (для учеников) и др.
Классификация информационных активов организации представлена в
таблице 2.2.
Таблица 2.2
Классификация информационных активов по требованиям к
конфиденциальности, целостности и доступности
Название группы
№ Формат Класс К Ц Д
информационных активов
Лицензии на программное
1 Б/Э Д Средние Высокие Средние
обеспечение
Технологии и методики
2 Б/Э ДСП Средние Высокие Высокие
обучения
Разработанные сотрудниками
школы учебные программы,
3 Б/Э ДСП Средние Высокие Высокие
учебно-методические
разработки
Материалы и результаты
4 Б/Э Д Средние Высокие Средние
учебных работ обучающихся
Информация, составляющая
5 базу данных о контрагентах Б/Э Д Высокие Средние Средние
школы
Информация о заработной плате
6 Б/Э С Высокие Высокие Низкие
Сведения о безопасности
информации на СВТ
Сведения о системах
9 Приказы и распоряжения Б/Э ДСП Средние Высокие Средние
10 Отчёты Б/Э ДСП Средние Высокие Средние
11 Бухгалтерские документы Б/Э ДСП Средние Высокие Средние
34
12 Учебные материалы Б/Э ДСП Низкие Высокие Высокие
Персональные данные
13 работников и учащихся Б/Э ДСП Высокие Высокие Средние
(специальные)
Персональные данные
14 работников и учащихся Б/Э О Низкие Высокие Средние
(общедоступные)
15 Общие сведения об организации Б/Э О Низкие Высокие Высокие
Учебное программное
16 Э ДСП Средние Высокие Высокие
Служебное программное
18 База данных Э Д Высокие Высокие Средние
Служебная вычислительная
техника
Учебная вычислительная
техника
После классификации информационных активов организации по

требованиям к конфиденциальности, целостности и доступности. Необходимо
классифицировать все активы по степени нанесения ущерба в случае утечки и
утраты (потеря, разрушение). Классифицировать будем по пяти-бальной шкале,
где 1 – минимальный ущерб, а 5 – максимальный ущерб. Соответствующие
сведения приведены в таблицах 2.3 и 2.4. Также не мало важно будет
классифицировать ИА по их жизненному циклу (таблица 2.5)
Таблица 2.3
Классификация ИА по нанесению ущерба в случае утечки
№
Название группы информационных активов Степень нанесения ущерба
1 Лицензии на программное обеспечение

1
2
35
3 Разработанные сотрудниками школы учебные
2
программы, учебно-методические разработки
4 Материалы и результаты учебных работ 1
обучающихся
5 Информация, составляющая базу данных о 4
контрагентах школы
6 Информация о заработной плате сотрудников 4
7 Сведения о безопасности информации на СВТ 5
8 Сведения о системах безопасности 5
9 Приказы и распоряжения 3
10 Отчёты 3
11 Бухгалтерские документы 4
12 Учебные материалы 1
13 Персональные данные работников и учащихся 4

(специальные)
14 Персональные данные работников и учащихся 1
(общедоступные)
15 Общие сведения об организации 1
16 Учебное программное обеспечение 1
17 Служебное программное обеспечение 3
18 База данных 5
19 Служебная вычислительная техника 5
20 Учебная вычислительная техника 2
36
Таблица 2.4
Классификация ИА по нанесению ущерба в случае утраты
№ Название группы информационных
активов Степень нанесения ущерба

3
3
3 Разработанные сотрудниками школы
учебные программы, учебно- 4
методические разработки
4 Материалы и результаты учебных работ 4
5 Информация, составляющая базу 3
данных о контрагентах школы
6 Информация о заработной плате 2
7 Сведения о безопасности информации 4
на СВТ
8 Сведения о системах безопасности 4
9 Приказы и распоряжения 2
10 Отчёты 4
11 Бухгалтерские документы 4
12 Учебные материалы 4
13 Персональные данные работников и 2

учащихся (специальные)
14 Персональные данные работников и 2
учащихся (общедоступные)
15 Общие сведения об организации 1
16 Учебное программное обеспечение 4
17 Служебное программное обеспечение 5
18 База данных 5
37
19 Служебная вычислительная техника 5
20 Учебная вычислительная техника 3
Таблица 2.5
Классификация ИА по жизненному циклу
№ Название группы информационных
активов Стадия ЖЦ

Архивный режим
2 Технологии и методики обучения Операционный режим
3 Разработанные сотрудниками школы Операционный режим

учебные программы, учебно-
методические разработки
4 Материалы и результаты учебных работ Архивный режим
5 Информация, составляющая базу Архивный режим
данных о контрагентах школы
6 Информация о заработной плате Архивный режим
7 Сведения о безопасности информации Архивный режим
на СВТ
8 Сведения о системах безопасности Архивный режим
10 Отчёты Архивный режим
11 Бухгалтерские документы Архивный режим
12 Учебные материалы Операционный режим
13 Персональные данные работников и Архивный режим

учащихся (специальные)
14 Персональные данные работников и Архивный режим
учащихся (общедоступные)
15 Общие сведения об организации Архивный режим
38
16 Учебное программное обеспечение Операционный режим
17 Служебное программное обеспечение Операционный режим
18 База данных Операционный режим
19 Служебная вычислительная техника Операционный режим
20 Учебная вычислительная техника Операционный режим
По итогам классификации выявлено, что все информационные активы

содержащие коммерческую тайну подлежат соответствующей защите.
Наибольшую ценность для организации представляют база данных, служебное
программное обеспечение и служебная вычислительная техника, так как во всех
выше перечисленных активах хранится или обрабатывается информация
высокой степени важности. Также в случае утечки информации большой ущерб
могут принести следующие активы: сведения о безопасности информации на
СВТ, сведения о системах безопасности.
На основе данных из таблицы 2.2 – видно, что требования к состоянию
целостности практически всех информационных активов находятся на высоком
уровне, поэтому необходимо применить надлежащие меры защиты с
использованием организационных, технических, программных и аппаратных
средств обеспечения безопасности.
2.3 Текущее состояние защищённости объекта

Безопасность любого предприятия конечно же начинается с его периметра.
Здание школы ограждено забором, а по всему периметру установлены наружные
камеры видеонаблюдения покрывающие большую часть территории. Это
39
позволяет в реальном времени отслеживать и предотвращать угрозы
проникновения на территорию школы нежелательных лиц. План системы
наружного видеонаблюдения можно увидеть на рисунке 2.5.
Рисунок 2.5 – план системы наружного видеонаблюдения.
Помимо наружного видеонаблюдения в школе присутствует

видеонаблюдение внутри здания. Камерами оснащены вестибюль, раздевалки
все коридоры, лестницы, актовый и спортивный залы. Администрацией школы
было принято решение не устанавливать камеры в учебных классах, кабинетах
администрации и служебных помещениях, потому что факт съёмки пагубно
влияет на работоспособность сотрудников и учащихся.
Состав системы видеонаблюдения следующий:
1. IP видеокамеры купольные RVi-1NCT4030 (2.8);
2. Сетевые коммутаторы RVi-1NSM24G-4C;
3. Источники бесперебойного питания SKAT-UPS 2000 RACK+4X9Ah;
4. Компьютер;
5. Мониторы AOC U3277FWQ;
6. Жесткий диск WD Purple на 10ТБ.
40
Система видеонаблюдения реализована качественно и работает исправно.
Однако был замечен один большой минус. Все технические средства системы
видеонаблюдения расположены на открытой стойке рядом с главным входом и
постом охраны. Данная стойка расположена слишком близко ко входу и
злоумышленники имеют прямой доступ к ней. Существует вероятность
случайного или преднамеренного повреждения элементов системы, что выведет
из строя всю систему наблюдения, так как записи с видеокамер в единственном
экземпляре обрабатываются и хранятся на компьютере находящимся на этой
стойке
Следующее о чём стоит сказать – это пропускной режим на территории
объекта.
Пропускной режим на территории МАОУ «Гимназия имени Н.В.
Пушкова» регламентирован положением о пропускном режиме от 01.09.2015. В
нём описаны правила пропуска учеников, сотрудников, транспортных средств и
других посетителей организации. Пропускной режим на территории школы
реализуется при помощи системы контроля и управления доступом.
СКУД (Система контроля и управления доступом) – комплекс технических
и программно-аппаратных средств контроля и управления доступом, создающих
ограничение на пропуск и фиксирование входа-выхода на территорию
охраняемого объекта людей и транспорта.
Управление доступом подразумевает две основные задачи СКУД:
1. ограничение доступа;
2. идентификация людей, имеющих доступ;
А также дополнительные задачи, которые решает СКУД:
1. учёт рабочего времени;
2. ведение базы посетителей;
3. интеграция с другими системами безопасности.
На разных предприятиях состав СКУД может сильно отличаться, но
основные элементы системы всегда остаются теми же:
41
1. устройство ограничение доступа (замки, двери, заборы, турникеты);
2. идентификатор (бесконтактные брелки, браслеты, карты RFID
метки, биометрические данные, NFC);
3. считыватели (устройства считывающие данные идентификатора и
передающие его контроллеру);
4. контроллер (обрабатывает информацию, считанную с
идентификатор и отправляет команды на устройства ограничения
доступа);
5. программно-аппаратный комплекс, на базе которого инсталлируют
программное обеспечение СКУД.
Состав системы СКУД на территории МАОУ «Гимназия имени Н.В.
Пушкова» выглядит следующим образом. В вестибюле расположено три
турникета со встроенными считывателями. У каждого ученика и сотрудников
организации имеются именные RFID карты. В вестибюле на посту охраны
располагается аппаратно-программный комплекс, на котором установлено ПО
СКУД на нём же и хранятся все данные. Помимо вестибюля в здание школы есть
ещё 7 входов, которые связаны со СКУД, с обоих сторон каждой двери
установлены считыватели RFID карт. СКУД интегрирована с противопожарной
системой и в случае обнаружения пожара, автоматически разблокируются все
средства ограничения доступа.
СКУД значительно повышает безопасность на объекте и предотвращает
проникновение в здание школы. Однако СКУД реализовано недостаточно
эффективно. С лицевой стороны здания установлена железная дверь в
ограждении забора с электромеханическим замком, которая открывается с
внутренней стороны нажатием кнопки и с поста охраны. Данный вход/выход не
связан с системой СКУД и проход через него не регистрируется в общей базе
данных. Существует вероятность проникновения на территорию школы
посторонних лиц, что является недопустимым, так как на переменах часть детей
выходит из здания и находятся на улице.
42
С левой стороны здания установлено КПП с турникетом и въездом (ворота,
закрыты навесным замком). Турникет также не связан с основной СКУД. КПП
не оборудовано никаким программно-аппаратным комплексом, связанным со
СКУД. Въезд/выезд и вход/выход на территорию объекта с КПП никаким
образом не фиксируется.
Помимо положения о пропускном режиме из организационных мер
обеспечения безопасности составлено положение о дежурстве на территории
школы с целью обеспечения порядка, безопасности учащихся и сохранности
школьного имущества.
Организовано ежедневное дежурство администратора, дежурного учители
и дежурного класса с 08:00 до 15:30.
График дежурства администрации ежегодно составляется директором и
утверждается приказом.
График дежурства дежурного класса и дежурного учителя, составляется
дважды в год 1-го сентября и 13 января.
Администратор контролирует дежурство класса, контролирует
посещаемость и подводит итоги дежурства в конце рабочего дня.
Для организации дежурства составлено 5 постов: Вход, холл 1 этажа,
раздевалка, столовая и коридоры 2, 3 этажей.
Дежурство проводится каждую перемену. В обязанности дежурства
входит:
- осуществлять дежурство на назначенных постах;
- не покидать пост до конца отведенного времени;
- следить за сохранностью имущества школы;
- препятствовать нарушению дисциплины.
Порядок проведение дежурств на мероприятиях устанавливается
отдельным приказом директора.
Кроме этих документов также присутствует ряд организационно-
распорядительной документации и локальных, актов, регламентирующих
43
образовательный процесс и взаимоотношения его участников. Однако
отсутствуют локальные документы, регламентирующие работу с
информационными активами организации из-за чего, повышается риск
возникновения ряда угроз, связанных с некомпетентностью и недостаточным
осознанием безопасности сотрудников и учеников, что ведёт к нарушению всех
трёх ключевых аспектов информационной безопасности: конфиденциальности,
целостности и доступности.
В школе каждый учебный кабинет оборудован компьютером и
проектором. Так же имеется 4 компьютерных класса по 20 компьютеров в
каждом. Так же на каждом этаже в складном помещении имеется 20 портативных
компьютеров, которые используются на уроках физики, химии, математики и
астрономии. В кабинетах старших классов установлены «умные доски». В
кабинетах администрации (бухгалтерии, директора, секретаря) также
установлены компьютеры, в которых обрабатывается информация, имеющая
различную степень конфиденциальности.
По итогам проверки оказалось, что ни на одном из компьютеров в школе
не установлено никаких программных защитных средств, кроме стандартного
защитника Windows.
Отсутствие программных средств защиты создаёт огромную брешь в
информационной безопасности организации. Высокий риск заражения вирусами
различных типов, комфортные условия для злоумышленников к НСД. Всё это
может привести к частичному или полному уничтожению данных, к утечкам, к
нарушению нормальной работы СВТ и остановке множества бизнес-процессов
организации.
Информационная система школы интегрирована с централизованной
бухгалтерией на которую возложено часть обязанностей, связанных с
бухгалтерскими работами. Создана база данных на выделенном сервере в
которой хранится большая часть документов. Доступ к базе данных имеет
директор, секретарь, старший экономист и сотрудники компании
44
предоставляющие услуги централизованной бухгалтерии. База данных
находится на удалённом сервере, работа с ней реализуется по средствам СУБД,
для подключения к базе данных необходимо пройти многофакторную
авторизацию. Безопасность БД обеспечена программными и аппаратно-
программными средствами защиты, предоставленными дата-центром, который
обслуживает выделенный сервер. Также подключена функция ежедневного
резервного копирования.
2.4 Анализ угроз и уязвимостей объекта защиты

Когда мы говорим о системе информационной безопасности на
предприятии, то в первую очередь имеем в виду, защиту СВТ, баз данных,
информационных систем от НСД, взлома, утечек конфиденциальных данных и
данных составляющих коммерческую и другие тайны. Однако система
информационной безопасности в образовательном учреждении, а конкретно в
школе – это отдельный частный случай, требующий особого внимания. В школе
обучаются дети и подростки возрастом от 6 до 18 лет, которые являются самым
уязвимым слоем общества в том числе и к пропаганде. Администрация школы
несёт полную ответственность за их безопасность, поэтому пристальное
внимание будет направлено на выявление угроз и уязвимостей, связанных с
учениками.
В информационных системах школы обрабатывается и хранится
информация различного рода, как открытого доступа, так и особо важная
информация, составляющая коммерческую тайну. В случае утечек, краж, взлома
или уничтожения любых информационных активов, школа может понести
колоссальный ущерб. Ущерб может быть различного рода: финансовый,
имущественный, моральный. Особого внимания заслуживает репутационный
ущерб, ведь от репутации напрямую зависит желание школьников и родителей
обучаться и обучать своих детей в этой школе, также репутация влияет на
45
государственное финансирование. В связи с этим необходимо выявить все
угрозы и уязвимости школы, чтобы незамедлительно их устранить.
Важной особенностью в образовательном учреждении является то, что
угрозы НСД, хищения сведений, нарушения работоспособности
информационных систем, порча или уничтожение любых информационных
активов школы, реализуются не только злоумышленниками, действующими из
вне организации, но и школьниками. Их деятельность может пагубно влиять на
все процессы жизнедеятельности организации, по злому умыслу или при
некомпетентном и небрежном отношении к любым материальным ценностям, в
частности к средствам вычислительной техники и сетям.
Перед выявлением угроз, необходимо выявить уязвимости из-за которых
Для начала идентифицируем уязвимости выявленный в ходе проверки
объекта защиты.
Уязвимости:
- Неадекватная процедура набора кадров – набор кадров очень
ответственный процесс, играющий важную роль в жизни образовательного
учреждения. Как правило наибольшее количество угроз, ущерб от которых
может ранжироваться от минимального, до критического, реализуется через
сотрудников организации. Поэтому, чтобы на начальном этапе устранить и
снизить риски возникновения угроз необходим ответственный и качественный
процесс найма сотрудников и персонала;
- Отсутствие физических средств защиты информации – на предприятии
где обрабатывается информация различной степени конфиденциальности и
хранится на бумажных носителях, необходимы физические средства защиты,
такие как сейфы. Иначе существует большой риск утечки и хищения
информационных активов. В кабинетах директора, секретаря и главного
экономиста, обрабатывается и хранится множество информации на бумажных
носителях содержащую коммерческую тайну все эти информационные активы,
находятся прямо на рабочем столе или на полках в кабинете.
46
- Отсутствие резервных копий – отсутствие резервных копий программных
средств и операционных систем создаёт угрозу потери информации различной
степени важности или же замедление и остановку бизнес-процессов
организации, так как на восстановление программных средств и операционных
систем может уйти много времени;
- Недостаточные условия, касающиеся безопасности в договорах со
служащими – отсутствие достаточных условий, касающихся информационной
безопасности в договорах, приводит к неосведомлённости служащих в вопросах
ИБ и их правовым обязательствам, что ведёт к злоупотреблению правами. В виду
отсутствия локальных документов регламентирующих, порядок действий
сотрудников при работе с информационными активами организации и
информации, составляющей коммерческую тайну, при найме сотрудников лишь
в устном виде обговариваются не многие моменты обеспечивающие
информационную безопасность организации;
- Отсутствие программных средств защиты – отсутствие программных
средств защиты создаёт огромный риск к заражению СВТ вирусами различных
типов и создаёт комфортные условия злоумышленникам для НСД. Это может
привести к полной потери данных, к хищению информации, к отказу СВТ и
остановке бизнес-процессов организации, обобщая, отсутствие программных
средств защиты может повлечь за собой угрозы, нарушающие все 3 аспекта
основных аспекта ИБ: нарушение конфиденциальности, целостности и
доступности;
- Отсутствие «завершения сеанса» при уходе с рабочего места – данная
уязвимость даёт прямой доступ злоумышленникам к информации, хранящейся
на компьютере. В случае, если учитель не завершит сеанс и покинет рабочее
место, ученики имеют возможность, скопировать не желательные для них
данные, нарушить целостность информации, получить доступ к электронному
дневнику авторизированного учителем, что может повлечь за собой
несанкционированное изменение оценок учащихся. В ходе анализа
47
защищённости объекта, было выявлено, что сотрудники, часто, хоть и не на
долгое время, отлучаются от рабочего места не завершая сеанс;
- Отсутствие локальных документов, регламентирующих работу с СВТ –
отсутствие локальных документов ведёт к неосведомлённости сотрудников и
неадекватному обращению со средствами вычислительной техники, что создаёт
другие уязвимости, относящиеся к СВТ, и повышает риск возникновения таких
угроз как: хищение информации, потеря информации, сбой в работе СВТ, НСД
к информации и физическим повреждениям СВТ;
- Отсутствие локальных документов, регламентирующих работу с ценной
информацией – отсутствие локальных документов, регламентирующих работу с
ценной информацией и средствами их обработки, в том числе и политики
безопасности, приводит к некомпетентности сотрудников при работе с важной
информацией, что может привести к нарушению конфиденциальности,
целостности и доступности;
- Неудовлетворительный менеджмент паролей – при
неудовлетворительном менеджменте паролей, существует вероятность, что они
попадут нежелательным лицам, которые смогут получить доступ к средствам
вычислительной техники, рабочей почте, электронному дневнику. Какой
сложный пароль бы не был, вся сложность теряет смысл, когда его записывают
на листочке, который хранят на рабочем месте. Существование данной
уязвимости в организации свидетельствует и о некомпетентности сотрудников в
вопросах информационной безопасности;
- Некомпетентность сотрудников в вопросах информационной
безопасности – некомпетентность сотрудников создаёт ряд уязвимостей,
которые могут повлечь за собой ущерб разной степени тяжести. Когда
сотрудники не осведомлены в вопросах безопасности, даже при наличии
дорогостоящих средств защиты создаётся огромный риск возникновения
большинства угроз;
48
- Использование СВТ в личных целях – использование сотрудниками
рабочей техники в личных целях создаёт вероятность заражения техники
вредоносами. Посещение вредоносных сайтов, скачивание любых файлов с
непроверенных сайтов, использование личной почты всё это может привести к
заражению компьютеров, утечкам данных и отказу в работе СВТ. При анализе
объекта защиты мною было выявлено, что почти все сотрудники используют
СВТ организации в личных целях, в виду того, что на них отсутствуют
программные средства защиты риск угроз и степень ущерба возрастает в разы;
- Недостаточно эффективная СКУД – главная задача системы контроля и
управления доступом является, контролирование посещения защищаемого
объекта. Однако наличие СКУД не говорит о полной безопасности, не до конца
продуманная система не сможет эффективно обеспечивать безопасность
организации. О недостатках СКУД на защищаемом объекте сказано в разделе
2.3;
- Отсутствие механизмов протоколирования и аудита – фиксация действий
пользователей, является неотъемлемой частью любой информационной
системы. При возникновении угроз, связанных с НСД или не надлежащим
использованием компьютерных средств важно отследить и устранить угрозу,
однако без наличия механизмов протоколирования и аудита, сделать это будет
гораздо сложнее, в некоторых случаях невозможно. Поэтому отсутствие
механизмов протоколирования и аудита развязывает руки злоумышленникам и
создаёт потенциальную угрозу утечки данных;
- Возможность проникновения на территорию школы третьих лиц –
проникновение на территорию школы нежелательных лиц, является
недопустимой угрозой в безопасности школы, ведь это может повлечь за собой
в худшем случае угрозу здоровью и жизни учащихся. Помимо этого, появляется
и ряд других угроз: прослушивание, хищение информации, хищение активов
организации и др. Необходим полный контроль прохода на территорию объекта;
49
- Небрежное размещение элементов СКУД и системы видеонаблюдения –
СКУД и система видеонаблюдения является неотъемлемой частью в
обеспечении безопасности объекта, поэтому нарушение нормальной работы этих
систем категорически нежелательно. К тому же не допускается распространение
информации о элементах систем безопасности, однако, когда данные элементы
находятся в открытом доступе, злоумышленник сможет распознать элементы
системы, более того существует вероятность прямого контакта злоумышленника
с элементами системы, от чего возникает риск выведения из строя отдельных
технических средств или всей системы целиком. Больше о небрежном
размещении элементов СКУД и системы видеонаблюдения сказано в разделе 2.3;
- Отсутствие фильтрации трафика в сети интернет – школьники являются
уязвимой частью общества максимально подверженной пропаганде и
психологическому влиянию. Учитывая, что школьники на многих уроках
работают с компьютерными средствами, имеющих доступ в интернет,
необходимо фильтровать трафик и ограничить доступ к ряду сайтов, где
учащиеся могут получить нежелательную информацию и подвергнуться
террористической, нацисткой и др. пропаганде.
Угрозы:
- Кража паролей – угроза кражи паролей является актуальной для
образовательного учреждения. Современные технологии в образовательной
среде стали незаменимой частью образовательных процессов. Планы уроков,
методические материалы, ответы на контрольные, тесты, доступ к электронному
дневнику и т.д. Всё это хранится на рабочих компьютерах учителей. Помимо
этого, на них может храниться и другая информация, содержащая коммерческую
тайну. Однако не все учителя идут в ногу с развитием технологий и не
соблюдают базовые правила безопасности. Многие из них, особенно
представители старшего поколения, зачастую записывают пароли от рабочего
компьютера, почты, электронного дневника на листочек, который хранят в
лучшем случае при себе, а в худшем прям на рабочем месте;
50
- Хищение информации – угроза актуальна. В подавляющем большинстве
случаев в школе при реализации угроз этого типа злоумышленниками
выступают подростки, оставленные без присмотра, которые в целях получения
ответов на тесты и информации о будущих контрольных и диктантах, идут на
подобные преступления. Однако подобные преступления не несут большого
ущерба, ни финансового, ни морального, ни репутационного. Большую
опасность и ущерб несут злоумышленники, основной целью которых является
нарушить нормально работу организации, дискредитировать сотрудников
руководящих должностей, подорвать репутацию школы и иные личные умыслы,
при которых организация несёт убытки и даже правовую ответственность;
- Кража имущества – угроза несёт прямые финансовые убытки и нарушает
нормальную работу организации. Также при краже СВТ существует вероятность
того, что вместе с ними в руки злоумышленников попадёт информация
коммерческой тайны;
- Угроза прослушивания – данная угроза так же, подразумевает получение
нежелательной информации третьими лицами. Угроза является актуальной, но
лишь для некоторых кабинетов где может излагаться секретная информация, это
кабинет директора и кабинет для совещаний;
- Угроза нарушения целостности данных – в жизненном цикле
образовательного учреждения каждый день обрабатывается и используется
большое количество информации, как учебной, так и информации другого
характера. Нарушение целостности данных может повлечь за собой нарушение
нормальной работы организации и информационных систем, вынужденную
остановку уроков, недовольство учеников и родителей, а в следствии
репутационный и финансовый ущерб;
- Вредоносное программное обеспечение – технологии вредоносного ПО с
каждым годом совершенствуется, также и растёт количество заражённых СВТ.
Как и всегда вредоносы – это в основном шифровальщики. Однако за последние
годы получили большое распространение «майнеры», которые устанавливаются
51
на компьютер или сервер, и незаметно используют ресурсы видеокарт,
процессоров и жёстких дисков в целях обогащения создателей вредоноса
данного типа. Заметно снижается скорость работы СВТ, а часто приводит к
полному отказу работы оборудования, без возможности восстановления. В
школах эта угроза более чем актуальна, ведь без соответствующих защиты СВТ
и надзора за действиями пользователей, сотрудников и учащихся, в особенности
за вторыми, вредоносное ПО может нарушить нормальную работоспособность и
доступность вычислительной техники, что может привести к ухудшению
качества занятий или к их полной отмене;
- Угроза НСД к СВТ и ИС – данная угроза может привести к утечкам
данных различной степени важности и к нарушению целостности информации,
что влечёт за собой финансовый, моральный и репутационный ущерб;
- Угроза нарушения энергоснабжения – в современных школах каждый
урок проводится с применением современных технологий, требующих
бесперебойного питания. Помимо проведения занятий, все остальные бизнес-
процессы учебного заведения производятся при помощи СВТ. Нарушение
энергоснабжения может нарушить и полностью остановить нормальную
работоспособность организации, что влечёт за собой ухудшение качества
занятий, нарушение и поломки СВТ, искажение и уничтожение информации на
электронных носителях, а следственно и финансовые убытки. Также длительное
отсутствие энергоснабжения может привести к отказу систем, обеспечивающих
безопасность школы (СКУД, системы видеонаблюдения и др.);
- Угроза пропаганды среди учащихся – дети являются уязвимым звеном в
обществе, которые больше всего поддаются пропаганде. Пропаганда может
нести террористический, нацистский или другой нежелательный характер.
Данная угроза может реализовываться, как в сети интернет, так и напрямую
внутри школы по средствам других учеников и учителей. Данная угроза может
причинить большой вред культурному развитию учеников и репутации школы;
52
- Угроза получения нежелательно информации среди учащихся - под
нежелательной информацией подразумевается: нецензурная лексика,
непристойности, алкоголь, наркотики, табак, сайты категории 18+, казино,
азартные игры, тотализаторы и пропаганда. Все выше перечисленные
нежелательные сегменты сети несут негативный характер и оказывают сильное
негативное влияние на развитие ребёнка, в том числе на его культурное и
моральное развитие. Угроза является актуальной ведь наравне с обучением
учеников перед образовательной организацией стоит цель обезопасить их от
любых негативных воздействий, а также воспитать и сформировать
положительную культуру личности, основанную на основополагающих
культурных и моральных ценностях;
- Угроза травли – угроза травли в общеобразовательных учреждениях
является обширной темой для размышлений, ведь несформированный детский
разум не всегда имеет достаточные представления о культуре и морали, такие
дети могут нарушать все меры адекватности и жестокости, и издеваться
морально и физически над сверстниками. В особенности, когда большинство
встаёт на сторону обидчика, ребёнку невыносимо тяжело переносить травлю.
Зачастую это приводит к непоправимым последствиям, таких как тяжелые
психологические травмы и суицид;
- Угроза кибербулинга – данная угроза получила распространение с
совершенствованием информационных технологий и внедрения их в
повседневную жизнь. Аналогично угрозе травли, дети становятся жертвами
обидчиков. Данная угроза непоправимо влияет на развитие личности учащихся,
наносит тяжелые психологические травмы, в не редких случаях доводит детей
до суицида;
- Угроза похищения детей – ежегодно в России пропадает более 15 тыс.
детей. Их похищают с целью выкупа, насильственно удерживают или даже
убивают. Данная угроза является одной из самых значимых для школы, ведь это
53
несёт непоправимый вред репутации школы, а главное она несёт прямую угрозу
здоровью и жизни обучающихся;
- Угроза проникновения – угроза проникновения нежелательных лиц на
территорию школы является очень серьёзной, ведь это может нести угрозу
физическому и моральному здоровью и жизни детей.
Вывод
В заключении второй главы. Можно сделать вывод, что безусловно на
территории МАОУ «Гимназия имени Н.В. Пушкова» обеспечена безопасность
учеников и сотрудников в виду пропускного режима, хорошей системы
видеонаблюдения, КПП, охраны и качественно реализованной системы
дежурства. Однако с ускоренным ростом технологий и внедрения их в
образовательный процесс появилось и множество уязвимостей, которые
остались не разрешёнными и делают возможным ряд угроз информационной
безопасности различной степени ущерба.
Из основных уязвимостей, которые необходимо устранить, выделены
следующие:
- отсутствие фильтрации трафика в сети интернет;
- использование СВТ в личных целях;
- некомпетентность сотрудников в вопросах информационной
безопасности;
- отсутствие локальных документов, регламентирующих работу с СВТ;
- отсутствие локальных документов, регламентирующих работу с ценной
информацией;
- отсутствие программных средств защиты;
- недостаточные условия, касающиеся безопасности в договорах со
служащими;
- отсутствие физических средств защиты информации.
54
Также нельзя оставить без внимания и другие уязвимости. Необходимо
усовершенствовать СКУД, провести организационные работы в целях
повышения компетентности сотрудников и учеников в вопросах
информационной безопасности;
Для устранения вышеперечисленных уязвимостей, будет необходимо
применить ряд организационных, технических и программных мер защиты.
55
ГЛАВА 3. СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1 Организационные меры обеспечения безопасности
Сотрудники организации являются ключевым элементом системы
безопасности в любой организации. Большая часть угроз реализуется через них,
будь они преднамеренные или случайные. Поэтому обеспечение безопасности
должно начинаться уже на этапе приёма на работу.
По итогам анализа процесса набора кадров было выявлено, что в договорах
с сотрудниками не описаны достаточные условия, касающиеся информационной
безопасности – это обуславливается отсутствием локальных документов и
правил, регламентирующих права, обязанности и порядок действий при работе с
важной информацией и СВТ.
Для обеспечения информационной безопасности в рамках школы.
Составлен список требований, который необходимо задокументировать в
соответствующие локальные документы:
- всем сотрудником, имеющим доступ к информации повышенной степени
важности запрещается выносить её за пределы школы без официального
разрешения директора или других уполномоченных членов администрации;
- запрещается копировать на бумажные или электронные носители
информацию содержащую коммерческую тайну, без разрешения директора или
администрации школы;
- запрещается оставлять без присмотра любые носители информации,
содержащие информацию повышенной степени важности в кабинете,
предварительно не заперев его;
- передача информации содержащую коммерческую тайну организациям и
юридическим лицам, осуществляется только в рамках оферт и договоров или по
официальному разрешению директора. Лица, получающие информацию в
обязательном порядке должны уведомлены о степени конфиденциальности
56
информации и осведомлены об их обязательствах соблюдения
конфиденциальности информации;
- вышестоящие должностные лица при предоставлении доступа к
информации повышенной степени важности другим сотрудникам, обязаны,
осведомлять их о степени важности информации и проводить инструктаж о
порядке действий при работе с информацией повышенной степени важности.
Сотрудник должен расписаться в документе подтверждающем, что он прошёл
инструктаж;
- соблюдать «политику чистого стола» на автоматизированных рабочих
местах;
- перед включением СВТ должна происходить проверка элементов
электросистемы, которая обеспечивает питание;
- запрещается размещать посторонние предметы на корпусах любой
вычислительной техники, в том числе и на периферийных устройствах;
- в случае возникновения любых неисправностей СВТ обращаться к
соответствующему должностному лицу, отвечающему за работоспособность
средств вычислительной техники школы;
- при найме сотрудников перед предоставлением доступа к СВТ,
необходимо провести обязательный инструктаж по безопасной работе со
средствами вычислительной техники;
- запрещается часто и необоснованно включать/выключать СВТ;
- запрещается оставлять включенные компьютерные средства без
присмотра, не выйдя из своей учётной записи;
- запрещается предоставлять доступ к своей учетной записи третьим
лицам;
- запрещается самостоятельная инсталляций и деинсталляция любых
программных средств, этим занимается специальное уполномоченное лицо;
57
- запрещается использовать СВТ в личных целях, просмотр личной почты,
хранение личной информации и любые другие действия не связанные с
деятельностью школы;
- запрещается разглашать свои пароли другим сотрудникам;
- запрещается хранить пароли на бумажных носителях в пределах рабочего
места;
Все вышеперечисленные требования необходимо задокументировать в
виде локальных нормативных актов и включить в условия трудового договора
при найме сотрудников. Всем сотрудникам выдать памятки, содержащие все
требования, относящиеся к обеспечению информационной безопасности
объекта.
Не мало важно психологическое здоровье сотрудников особенно в
образовательном учреждении. Ведь психически не здоровый человек является не
предсказуемым членом общества, который может нанести ущерб разной степени
тяжести организации и её сотрудникам, а главное ученикам. Поэтому при найме
сотрудников необходимо проводить консультацию при участии психолога, чья
рекомендация будет учитываться при принятии решения о заключении договора.
В целях поддержки психологического здоровья сотрудников и сплочения
коллектива, предлагается минимум раз в полгода проводить коллективные
психологические работы.
Также предлагается минимум раз в год проводить обязательный
инструктаж по информационной безопасности, в целях поддержания и
улучшения состояния защищённости и осведомлённости сотрудников в
вопросах информационной безопасности. Помимо инструктажа предлагается
проводить внеурочные курсы для учеников по теме «Основы информационной
безопасности».
В целях защиты детей от нежелательной информации и пропаганды
необходимо разработать соответствующие курсы и памятки, и в обязательном
порядке ознакомить с ними родителей.
58
Назначить лицо ответственное за настройку автоматического резервного
копирования на всех средствах вычислительной техники школы.
59
3.2 Программные меры обеспечения безопасности
При анализе объекта защиты выяснилось, что на компьютерных средствах
не имеется программных средств защиты.
Предлагается установить на все рабочие компьютеры комплексное
решение Kaspersky Endpoint Security. Kaspersky Endpoint Security является
оптимальным решением для организаций средней величины.
Возможности Kaspersky Endpoint Security:
- Защита Windows, Linux, Mac, Android, iOS;
- Контроль запуска приложений;
- Защита интернет-шлюзов и почтовых серверов;
- Контроль программ, веб-контроль и контроль устройств на рабочих
станциях;
- Поведенческий анализ;
- Откат вредоносных действий;
- Разрешение на переключение среды и система предотвращения
вторжений;
- Интеграция Kaspersky Sandbox;
- Защита от почтовых и веб-угроз;
- Адаптивный контроль аномалий;
- Управление установкой исправлений;
- Управление шифрованием, в том числе встроенным в операционную
систему.
Кроме Kaspersky Endpoint Security предлагается установить на все
компьютерные средства, которыми пользуются ученики, контент-фильтр
SkyDNS.
Контент-фильтр необходим в школе для ограничения школьникам доступа
в интернет. Контент-фильтр фильтрует сайты по их содержимому и запрещает
доступ, если там обнаружена неприемлемая для учащихся информация. В
контент-фильтре SkyDNS есть централизованная панель управления, с помощью
60
которой администратор может просматривать реестр заблокированных сайтов,
добавлять сайты в черный и белый списки. Снимать или включать ограничения.
В целях устранения угроз НСД, хищение информации и нарушения работы
в сети следует внедрить в систему информационной безопасности организации
межсетевой экран.
Межсетевой экран (МЭ, фаервол) – это аппаратно-программный или
программный продукт, который реализует фильтрацию и контроль сетевого
трафика.
Предложено приобрести аппаратно-программный модуль Cisco Firepower
2100. Это современный межсетевой экран, обеспечивающий многоуровневую
защиту и безопасность сети согласно современным требованиям. Фаервол
Firepower 2100 от Cisco разработан согласно международным стандартам и
успешно интегрируется с другими элементами системы защиты безопасности
Cisco и технологиями других компаний.
3.3 Совершенствование СКУД

По итогам выявленных уязвимостей в системе контроля и управления
доступом принято решение заменить раздвижные ворота с навесным замком на
откатные ворота ВЕКТОР 4000х2000 ВОК 12111 (рисунок 3.1), с
соответствующим аппаратно-программным комплексом (рисунок 3.2).
61
Рисунок 3.1 – Ворота откатные ВЕКТОР 4000х20000 ВОК 12111
Рисунок 3.2 – программно-аппаратный комплекс для раздвижных ворот
Также рекомендуется оснастить текущую СКУД программным

обеспечением, выполняющим функцию отправки уведомлений по СМС
родителям и законным представителям детей о факте прибытия/убытия
учеников в школу.
62
3.4 Дополнительные меры обеспечения безопасности
Была выявлена уязвимость в небрежном размещении элементов СКУД и
системы видео наблюдения. Уязвимость ликвидируется путём приобретения и
установки телекоммуникационного шкафа.
Оптимальным решением будет телекоммуникационный шкаф TWT-
CBW3G-15U-6x6-GY (рисунок 3.3)
Рисунок 3.3 - телекоммуникационный шкаф TWT TWT-CBW3G-15U-6x6-GY
Для решения уязвимости отсутствия физических средств защиты

информации принято решение приобрести 2 сейфа Aiko TM-63T (рисунок 3.5) и
разместить их кабинете директора и старшего экономиста. Использование
сейфов подразумевает хранение в них особо важных информационных активов
во избежание кражи и нарушения целостности: деньги, носители данных,
информация повышенной степени конфиденциальности и др.
63
Рисунок 3.4 - сейф Aiko TM-63T
Вывод
По итогам третьей главы был предложен комплекс организационных,
инженерно-технических, программных и аппаратных мер, обеспечивающих
информационную безопасность объекта защиты.
Выше перечисленные меры значительно снижают риск возникновения
выявленных угроз безопасности и устраняют найденные уязвимости.
64
ЗАКЛЮЧЕНИЕ
В ходе выпускной-квалификационной работы было проанализировано
состояние безопасности образовательного учреждения МАОУ «Гимназия имени
Н.В. Пушкова», выявлены уязвимости и угрозы информационной безопасности,
и предложен комплекс организационных, технических, программных и
аппаратно-программных мер обеспечения безопасности.
Реализована цель работы - разработка и совершенствование комплексной
системы обеспечения информационной безопасности МАОУ «Гимназии им.
Н.В. Пушкова».
Также выполнены поставленные задачи:
1. Анализ текущего состояния информационной безопасности
объекта;
2. Анализ информационных активов организации;
3. Анализ угроз и уязвимостей;
4. Анализ эффективности имеющихся мер и систем безопасности;
5. Совершенствование существующих систем безопасности;
6. Разработка и внедрение комплекса организационных, инженерно-
технических, программных и программно-аппаратных мер
По итогам анализа и выполнения работы подтверждена актуальность темы
исследования.
Результаты данной выпускной-квалификационной работы внедрены в
деятельность объекта защиты. Составлен акт внедрения.
В том числе была приведена и описана нормативно-правовая база
Российской Федерации в области информационной безопасности.
65
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. А. Баутов. Стандарты и оценка эффективности защиты информации.
Доклад на третьей Всероссийской практической конференции «Стандарты в
проектах современных информационных систем» Москва, 23-24 апреля 2003;
2. А. Баутов, экономический взгляд на проблемы информационной
безопасности. Открытые системы, 2002, № 2.
3. С. Вихорев, А. Ефимов, Практические рекомендации по
информационной безопасности. Jet Info, № 10-11, 1996;
4. С. Вихорев, Р. Кобцев, Как определить источники угроз. Открытые
системы 2002, № 7-8;
5. А. Горбунов, В. Чуменко, Выбро рациональной структуры средств
защиты информации в АСУ;
6. ГОСТ Р 50922 – 96. Защита информации. Основные термины и
определения;
7. Е. Зиндер, Революционные изменения базовых стандартов в области
системного проектирования. Директор информационной службы, 2001, № 5;
8. ИСО/МЭК 1540899 «Критерии оценки безопасности информационных
технологий»;
9. В. Козлов. Критерии информационной безопасности и поддерживающие
их стандарты: состояние и тенденции. «Стандарты в проектах современных
информационных систем». Сборник трудов второй Всероссийской практической
конференции. Москва, 27 – 28 марта 2002 года;
10. Л. Хмелев. Оценка эффективности мер безопасности, закладываемых
при проектировании информационных систем. Труды научно-технической
конференции «Безопасность информационных технологий», Пенза, (июнь 2001);
11. Федеральный закон от 27 июля 2006г. N 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
66
12. Муниципальное автономное общеобразовательное учреждение
«Гимназия имени Н.В. Пушкова» - URL: https://gympushkova.mskobr.ru; (дата
обращения 15.05.2022);
13. Защита информации – URL: https://it-security.admin-
smolensk.ru/zinfo/szi (дата обращения 25.05.2022);
14. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении
состава и содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных».
67
68

Untitled

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Untitled

Загружено:

Авторское право:

Доступные форматы

РЕФЕРАТ

Тема выпускной квалификационной работы: разработка комплексной

ГЛАВА 1. ТЕОРИТИЧЕСКАЯ ЧАСТЬ .......................................................... 9

1.1 Правовое обеспечение информационной безопасности ..................... 9

1.2 Угрозы информационной безопасности и их классификация.......... 17

1.3 Основные методы противодействия угрозам информационной

ГЛАВА 2. АНАЛИЗ ОБЪЕКТА ЗАЩИТЫ.................................................. 27

2.1 Общие сведения об организации ......................................................... 27

2.2 Информационные активы объекта ...................................................... 30

2.3 Текущее состояние защищённости объекта ....................................... 39

2.4 Анализ угроз и уязвимостей объекта защиты .................................... 45

ГЛАВА 3. СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ

3.1 Организационные меры обеспечения безопасности ......................... 56

3.2 Программные меры обеспечения безопасности ................................ 60

3.3 Совершенствование СКУД .................................................................. 61

3.4 Дополнительные меры обеспечения безопасности ........................... 63

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ ............................................ 66

1.2 Угрозы информационной безопасности и их классификация

Рисунок 1.1 – классификация угроз

Рисунок 1.3 – классификация угроз

1.3 Основные методы противодействия угрозам информационной

Криминогенная обстановка в Троицке одна из самых низких в Москве. В

Рисунок 2.3 – план второго этажа

2.2 Информационные активы объекта

После классификации информационных активов организации по

1 Лицензии на программное обеспечение

7 Сведения о безопасности информации на СВТ 5

8 Сведения о системах безопасности 5

13 Персональные данные работников и учащихся 4

Активы программного обеспечения

16 Учебное программное обеспечение 1

17 Служебное программное обеспечение 3

19 Служебная вычислительная техника 5

20 Учебная вычислительная техника 2

1 Лицензии на программное обеспечение

13 Персональные данные работников и 2

Активы программного обеспечения

16 Учебное программное обеспечение 4

17 Служебное программное обеспечение 5

19 Служебная вычислительная техника 5

20 Учебная вычислительная техника 3

1 Лицензии на программное обеспечение

3 Разработанные сотрудниками школы Операционный режим

10 Отчёты Архивный режим

11 Бухгалтерские документы Архивный режим

12 Учебные материалы Операционный режим

13 Персональные данные работников и Архивный режим

16 Учебное программное обеспечение Операционный режим

17 Служебное программное обеспечение Операционный режим

18 База данных Операционный режим

19 Служебная вычислительная техника Операционный режим

20 Учебная вычислительная техника Операционный режим

По итогам классификации выявлено, что все информационные активы

2.3 Текущее состояние защищённости объекта

Рисунок 2.5 – план системы наружного видеонаблюдения.

Помимо наружного видеонаблюдения в школе присутствует

2.4 Анализ угроз и уязвимостей объекта защиты

3.3 Совершенствование СКУД

Рисунок 3.2 – программно-аппаратный комплекс для раздвижных ворот

Также рекомендуется оснастить текущую СКУД программным

Рисунок 3.3 - телекоммуникационный шкаф TWT TWT-CBW3G-15U-6x6-GY

Для решения уязвимости отсутствия физических средств защиты

Вам также может понравиться