Разработка системы программно-аппаратной защиты автоматизированной системы предприятия

Разработка системы программно-аппаратной защиты автоматизированной системы предприятия

1. Перечень защищаемых ресурсов на объекте информатизации

защищаемый безопасность информационный автоматизированный

Перед началом осуществления плана по защите данных в АС, представленной в виде ЛВС, следует выделить информационные ресурсы, нуждающиеся в защите и оценить важность защищаемой информации. Чтобы определить информацию, подлежащую защите в предприятия муниципального подчинения, необходимо обратиться к следующим нормативным документам: ФЗ №149 от 27.07.2006 «Об информации, информационных технологиях и защите информации»; ФЗ №98 от 29.07.2004 «О коммерческой тайне»; ФЗ №152 от 27.07.2006 «О персональных данных»; Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями на 23 сентября 2005 г.). Данные нормативные документы позволяют выделить следующие виды информации предприятия муниципального подчинения, подлежащей защите: Общедоступная информация - открытая информация об организационно-штатной структуре, распорядительные документы (устав, различные положения и т.д.; 2) Персональные данные - данные руководителей организации и её сотрудников (сведения о судимости, состояние здоровья, опыт работы, профессиональные знания, навыки и умения, деловые связи, вероисповедание, домашний адрес, паспортные данные, семейное положение); 3) Служебная тайна; 4) Коммерческая тайна.

Необходимо обеспечивать комплексную защиту всех информационных служб и коммуникационных каналов между ними. Чтобы определить необходимые механизмы безопасности, нужно разработать программно-аппаратную реализацию всех серверов, рабочих мест, каналов связи информационной системы, а также других коммуникационных систем, особенно связанных с элементами информационной системы.

Таблица 1.1. ЛВС финансового отдела, отдела кадров и отдела промышленности

№ ппЗащищаемый ресурсК ресурсу допущеныПолное наименованиеУсловное наименованиеКатегория доступа1Рабочее место начальника финансового отделаАРМФ1КонфиденциальноНачальник и заместитель начальника финансового отдела2Рабочее место заместителя начальника финансового отделаАРМФ2КонфиденциальноНачальник и заместитель начальника финансового отдела3Рабочее место финансового отделаАРМФ3КонфиденциальноВсе сотрудники финансового отдела4Рабочее место финансового отделаАРМФ4КонфиденциальноВсе сотрудники финансового отдела5Рабочее место начальника и зам. начальника отдела кадровАРМК1КонфиденциальноНачальник и заместитель начальника отдела кадров6Рабочее место отдела кадровАРМК2КонфиденциальноВсе сотрудники конструкторского отдела7Рабочее место отдела кадровАРМК3КонфиденциальноВсе сотрудники отдела кадров8Рабочее место начальника отдела промышленностиАРМП1КонфиденциальноНачальник и заместитель начальника отдела кадров9Рабочее место зам. начальника отдела промышленностиАРМП2КонфиденциальноНачальник и заместитель начальника отдела промышлености10Рабочее место отдела промышленностиАРМП3КонфиденциальноВсе сотрудники отдела промышленности11Рабочее место отдела промышленностиАРМП4КонфиденциальноВсе сотрудники отдела промышленности12Сервер ЛВССЛВСКонфиденциальноАдминистратор безопасности13Сервер БДСБДКонфиденциальноАдминистратор безопасности14ОС МСВС 3.0МСВСнесекретноАдминистратор безопасности13Межсетевой экранFWнесекретноАдминистратор безопасности

2. Таблица разграничения доступа

Таблица 1.2 - Таблица разграничения доступа в АС предприятия к ресурсам

№ ппДолжностные лица, допущенные к защищаемым ресурсам ОВТЗащищаемые ресурсыПолное наименование ресурса (папки)Условное наименование ресурсаРазрешенные виды доступа2Все сотрудники предприятия«Документы»DOCS_ALLR3Начальник и зам. начальника финансового отдела«Финансовый отдел»DOCS_FINRWDEC4Все сотрудники финансового отделаRWEC4Начальник зам. начальника отдела промышленности«Отдел промышленности»DOCS_PROMRWDEC5Сотрудники отдела промышленностиRWEC4Начальник зам. начальника отдела кадров«Отдел кадров»DOCS_KADRWDEC5Сотрудники отдела кадровRWEC

3. Описание реализации информационных сервисов

. обмен файлами. Реализуется встроенными средствами операционной системы windows посредством ЛВС. Сетевые папки пользователей хранятся на сервере.

. Доступ в ас высшего звена реализуется по каналу связи с использованием сервера ЛВС и сетевого экрана.

. Электронная почта реализуется с помощью установленного почтового сервера и почтовой прикладной программой outlook Express.

. Вывод документов на печать реализуется посредством установки принтеров у начальников отделов и общих принтеров в отделах.

. Доступ в базы данных реализуется с помощью установленного сервера баз данных.

. Электронный документооборот реализован с помощью программного комплекса vipnet.

4. Определение класса защищенности АС

Для того чтобы сформировать набор требований по безопасности, которым должна отвечать АС, необходимо определить ее класс защищенности.

Класс защищенности согласно руководящему документу Гостехкомиссии «Автоматизированные системы.

Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации» определяется на основании:

перечня лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

матрицы доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

режимов обработки данных в АС.

Определение класса защищенности АС позволяет сформировать набор требований по безопасности, которые предъявляются к этому классу систем. Эти требования изложены в РД ФСТЭК «Средства вычислительной техники. Защита от НСД. Показатели защищенности от несанкционированного доступа к информации». Кроме того, на основе класса защищаемой АС выбираются средства вычислительной техники (СВТ), которые должны иметь соответствующий класс защищенности СВТ. Также необходимо обратить внимание на то, что в АС обрабатываются персональные данные, следовательно, необходимо определить и класс ИСПДн.

5. Классификация ИСПДн

Согласно порядку проведения классификации информационных систем персональных данных, введенному Приказом ФСТЭК России, ФСБ России, Мининформсвязи России №55/86/20, нам необходимо установить для ИСПДн следующее:

Определить категорию обрабатываемых персональных данных;

Определить объем персональных данных, обрабатываемых в информационной системе.

Категория ПДн - 2-я (персональные данные позволяют идентифицировать субъекта персональных). Объем обрабатываемых ПДн - более 100000 субъектов. На основании этого можно сделать вывод, что ИСПДн относиться к классу К2 и требует дополнительной защиты. Требования к 2 классу ИСПДн:

идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного остановка.

обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды.

6. Формирование требований к защищённости АС

Подсистема управления доступом: должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Подсистема регистрации и учета: должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются:

дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

результат попытки входа: успешная или неуспешная (при НСД);

должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку). Подсистема обеспечения целостности: должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом:

целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;

целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;

должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;

должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление, и контроль работоспособности.

7. Выбор механизмов и средств защиты информации от НСД

В процессе проектирования аппаратно-программного комплекса защиты информации (АПКЗИ) решается задача создания оптимальных для защищаемой автоматизированной информационной системы (АИС) механизмов защиты, средств управления ими и механизмов общей организации работы АПКЗИ, предназначенных для обеспечения эффективного взаимодействия и координации работы всех компонентов защиты. На выбор общей структуры АПКЗИ наибольшее влияние оказывают следующие факторы: требования по защищенности; общая структура защищаемой АИС; перечень угроз; модель нарушителя. Основу любой СЗИ составляет совокупность некоторых механизмов защиты информации, которые можно выделить на основе различных критериев. Обычно выделяют следующие механизмы (или службы безопасности): идентификацию и аутентификацию; управление доступом; протоколирование и аудит; криптографию; экранирование. Выбор способа реализации механизмов защиты информации и решения задач защиты заключается в выборе типа средств, которые планируется использовать для решения каждого из механизмов: организационные; инженерно-технические (физические); программно-технические; криптографические.

8. Выбор механизмов и средств защиты информации от НСД

Основу любой СЗИ составляет совокупность некоторых механизмов защиты информации, которые можно выделить на основе различных критериев. Обычно выделяют следующие механизмы (или службы безопасности):

1. идентификацию и аутентификацию,
2. управление доступом,
3. протоколирование и аудит,
4. криптографию,
5. экранирование.

Таблица 4. Механизмы безопасности и средства их обеспечения

Механизмы безопасностиСредства обеспечения механизмов безопасностиВстроенные службы средств защиты1. Идентификацию и аутентификацию; 2. Управление доступом; 3. Протоколирование и аудит.Средства встроенные в ОС МСВС4. Криптографическая защита5. Экранирование

9. Определение списка сотрудников отдела и списка защищаемых ресурсов АС

Список сотрудников отдела и их должности

ФамилияДолжность1. ШпунтенкоНачальник финансового отдела2. АфанасьеваНачальник отдела кадров3. ДмитроваНачальник отдела промышлености4. ЧерняховаЗаместитель начальника финансового отдела5. КарповСпециалист отдела финансов6. БочаровСпециалист отдела промышлености7. Воробьева8. СарбаевСпециалист отдела кадров9. Лиренко

Список ресурсов и условное наименование

РесурсУсловное наименованиеФинансовый отделПапка «Распоряжения начальника»RASPOR_FINПапка «Отчеты зам. нач. отдела»REP_SUB_FINПапка «Распоряжения зам. нач. отдела»RASPOR_SUB_FINПапка «Отчеты сотрудников»REP_FINОтдел ПромышленостиПапка «Распоряжения начальника»RASPOR_PROMПапка «Отчеты сотрудников»REP_PROMБД «Производство»DB_PROMОтдел КадровПапка «Распоряжения начальника»RASPOR_KADПапка «Отчеты сотрудников»REP_KADБД «Работающие сотрудники»DB_WORKБД «Кандидаты»DB_CAND

Таблица разграничения доступа

Ф.И.О.РесурсыRASPOR_FINREP_SUB_FINRASPOR_SUB_FINREP_FINШпунтенкоRWDECRDRRDЧерняховаRWRWDECRКарповRNARWRASPOR_KADREP_KADDB_WORKDB_CANDАфанасьеваRWDECRDRWDRWDСарбаевRWRWRWЛиренкоRWRWRW

Заключение

В результате выполнения был разработан проект системы защиты информации от несанкционированного доступа для автоматизированной системы учреждения администрации края, созданной в виде локально - вычислительной сети, соединённых каналами передачи данных общедоступного пользования, ЭВМ которой находятся в пределах контролируемой зоны. Все зарегистрированные пользователи имеют одинаковые полномочия по уровню допуска к АС, но различные уровни доступа к разделам информационной базы данных.

Список литературы

1. Девянин П.Н. «Модели безопасности компьютерных систем» М.: Цифровая. Академия - 2010 г.

. Безбогов А.А., Яковлев А.В., Шамкин В.Н. «Методы и средства защиты компьютерной информации» М.: Тамбов ТГТУ - 2009 г.

. Малюк А.А. «Информационная безопасность: концептуальные и методологические основы защиты информации» М.: Вега 2010 г.

. Биячуев Т.А. «Безопасность корпоративных сетей», М.: ИТМО, 2009 г.;

. Завгородний В.И. «Комплексная защита информации в компьютерных системах», М.: Логос, 2011 г.

Больше работ по теме: