 |
Анализ существующих нормативных документов в области информационной безопасности
|
|
|
|
Техническое задание
В дипломном проекте рассматривается проблема модернизации существующей системы защиты информации в локальной сети управления ОАО «Газпром нефтехим Салават».
Система защиты информации должна:
1. обеспечивать защиту информации внутри локальной сети от внутренних и внешних атак;
2. защищать от атак из глобальной сети Интернет;
. осуществлять антивирусную защиту;
. осуществлять резервное копирование;
. обеспечивать требования класса защищенности 1Г согласно РД Гостехкомиссии России.
. обеспечивать снижение уровня риска нарушения безопасности информации; значение относительного риска нарушения безопасности информациине должно превышать 10%;
Стоимость модернизации системы защиты информации не должна превышать 4 000 000 рублей.
Перечень принятых сокращений
АС - автоматизированная система
ГОСТ - государственный стандарт
ЗИ - защита информации
ИБ - информационная безопасность
ИР - информационные ресурсы
ОАО - открытое акционерное общество
СЗИ - система защиты информации
СУБД - система управления базой данных
РД - руководящий документ
РС - рабочая станция
Введение
На сегодняшний день автоматизированные системы (АС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование АС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям.
|
|
|
Практически любая АС может выступать в качестве объекта информационной атаки, которая может быть определена как совокупность действий злоумышленника, направленная на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. Свойство конфиденциальности позволяет не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретной информации с целью её дальнейшей перепродажи. Целостность информации подразумевает её способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе. Доступность информации определяется, как её свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации злоумышленник тем самым может нарушить бизнес-процессы компании, которые базируются на информационных ресурсах, которые являлись объектом атаки.
Новые информационные технологии активно внедряются во все сферы народного хозяйства. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях, то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.
|
|
|
По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий;
высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности;
резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
многочисленные уязвимости в программных и сетевых платформах;
бурной развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире;
современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.
Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.
Целью данного дипломного проекта является модернизация системы защиты информации локальной сети управления ОАО “Газпром нефтехим Салават”.
Расчетно-проектная часть
Анализ существующих нормативных документов в области информационной безопасности
При построении системы защиты одну из важнейших ролей в конечном решении играют нормативные документы и государственные стандарты. Они необходимы для помощи при выборе средств защиты, при организации информационной безопасности, являясь практическим руководством специалиста.
Наиболее значимыми нормативными документами в области информационной безопасности, определяющими критерии для оценки защищенности АС, и требования, предъявляемые к механизмам защиты, являются:
|
|
|
. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».
2. ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью».
. ИСО/МЭК 13335 «Информационные технологии. Методы и средства обеспечения безопасности»
. Руководящие документы (РД) Гостехкомиссии России.
. ГОСТ Р ИСО/МЭК 15408 «Общие критерии оценки безопасности информационных технологий».
. Стандарт достаточно объемен и сложен. Он состоит из трех частей общим объемом около 600 страниц.
Часть первая стандарта содержит методологию оценки безопасности информационных технологий, определяет виды требований безопасности (функциональных и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах трех категорий пользователей: потребителей, разработчиков и оценщиков продуктов и систем информационных технологий. Требования безопасности, предъявляемые к объекту оценки по методологии Общих критериев определяются исходя из целей безопасности, которые в свою очередь основываются на анализе защищаемых информационных ресурсов, назначения объекта оценки и условий среды его использования (угроз, предположений политики безопасности).
Часть вторая стандарта содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
Часть третья стандарта содержит систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы информационных технологий для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям безопасности. В той же части содержатся оценочные уровни доверия, представляющие собой стандартизованные наборы требований, которые позволяют с возрастающей степенью полноты и строгости провести оценку проектной, тестовой и эксплуатационной документации, правильности функционирования комплекса средств безопасности, оценку уязвимостей продукта или системы информационных технологий, стойкости механизмов защиты.
|
|
|
ИСО/МЭК 17799 «Информационные технологии. Практические правила управления ИБ»
Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799, принятом в 2000г. Данный стандарт является международной версией британского стандарта BS 7799 и содержит практические правила по управлению ИБ.
Стандарт может быть использован в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.
Общая структура стандарта представлена на рисунке 1.1.
Рисунок 1.1 - Структура стандарат ИСО/МЭК 17799
В стандарте выделяются 10 ключевых механизмов управления безопасностью, представленных на рисунке 1.2.
Рисунок 1.2 - Механизмы управления безопасностью
ИСО/МЭК 13335 «Информационные технологии. Методы и средства обеспечения безопасности»
Данный стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий на предприятии. Целью данного стандарта является формирование основных общепринятых понятий и модели управления безопасностью активов.
Структура стандарта ИСО/МЭК 13335 представлена на рисунке 1.3
Рисунок 1.3 - Структура стандарта ИСО/МЭК 13335
Рекомендации по выбору защитных мер представлены на рисунке 1.4.
Рисунок 1.4 - Рекомендации по выбору защитных мер
Защитные меры могут выполнять одну из нескольких функций: предотвращение, сдерживание, обнаружение, ограничение, исправление, восстановление, мониторинг, осведомление.
РД «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»
Руководящий документ устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.
Требования к АС первой группы представлены в таблице 1.1
Таблица 1.1 - Требования к АС первой группы
| Подсистемы и требования | Классы | ||||
| 1Д | 1Г | 1В | 1Б | 1А | |
| 1 | 2 | 3 | 4 | 5 | 6 |
| 1. Подсистема управления доступом | |||||
| 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||
| в систему | + | + | + | + | + |
| к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | - | + | + | + | + |
| к программам | - | + | + | + | + |
| к томам, каталогам, файлам, записям, полям записей | - | + | + | + | + |
| 1.2. Управление потоками информации | - | - | + | + | + |
| 2. Подсистема регистрации и учета | |||||
| 2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) систему (узел сети) | + | + | + | + | + |
| выдачи печатных (графических) выходных документов | - | + | + | + | + |
| запуска (завершения) программ и процессов (заданий, задач) | - | + | + | + | + |
| доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | - | + | + | + | + |
| доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | - | + | + | + | + |
| изменения полномочий субъектов доступа | - | - | + | + | + |
| создаваемых защищаемых объектов доступа | - | - | + | + | + |
| 2.2. Учет носителей информации | + | + | + | + | + |
| 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ ивнешних накопителей | - | + | + | + | + |
| 2.4. Сигнализация попыток нарушения защиты | - | - | + | + | + |
| 3. Криптографическая подсистема | |||||
| 3.1. Шифрование конфиденциальной информации | - | - | - | + | + |
| 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | - | - | - | - | + |
| 3.3. Использование аттестованных (сертифицированных) криптографических средств | - | - | - | + | + |
| 4. Подсистема обеспечения целостности | |||||
| 4.1. Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + |
| 4.2. Физическая охрана средств вычислительной техники и носителей информации | + | + | + | + | + |
| 4.3. Наличие администратора (службы) защиты информации в АС | - | - | + | + | + |
| 4.4. Периодическое тестирование СЗИ НСД | + | + | + | + | + |
| 4.5. Наличие средств восстановления СЗИ НСД | + | + | + | + | + |
| 4.6. Использование сертифицированных средств защиты | - | - | + | + | + |
|
|
|
|
|
|
