
- •Содержание
- •1 Цели и задачи курсового проектирования
- •2 Тематика и содержание курсовых проектов
- •3 Задания по курсовому проектированию
- •Часть 1-я. Теоретическая (проектная) Разработать проект подсистемы защиты информации от несанкционированного доступа для автоматизированной системы
- •Часть 2 . Практическая (экспериментальная). Разработать структуру ресурсов (каталогов) для заданного количества пользователей ас, приведенных в таблице 3.Восьмой символ:
- •4 Правила оформления пояснительной записки
- •5 Правила оформления графического материала
- •6 Порядок защиты
- •Список рекомендуемой литературы
- •Приложение а (справочное) методика курсового проектирования
- •Часть I . Разработка проекта подсистемы защиты информации от несанкционированного доступа
- •1 Определение перечня защищаемых ресурсов и их критичности
- •1.1 Определение необходимости формирования политики безопасности
- •1.2 Классификация защищаемой информации
- •2 Определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности
- •2.1 Определение правил разграничения доступа к информации
- •2.2 Определение категорий персонала, на которые распространяются требования политики безопасности
- •3 Определение особенностей расположения, функционирования и построения средств компьютерной системы. Определение угроз безопасности информации и класса защищенности ас
- •3.1 Анализ информационной архитектуры системы
- •3.1.1 Определение информационных потребностей должностных лиц подразделений
- •3.1.2 Формирование (определение) перечня информационных услуг (информационных служб, функциональных компонент), предоставляемых информационной системой пользователям
- •3.1.3 Определение особенностей программно-аппаратной организации информационной системы, способов и средств связи самостоятельных компонент системы с внешней информационной средой
- •3.1.4 Определение особенностей размещения основных систем и служб информационной системы, а также прокладки и использования кабельной системы, линий и каналов связи
- •3.1.5 Определение особенностей расположения и использования элементов систем коммуникаций и жизнеобеспечения
- •3.2 Определение класса защищенности ас
- •5.1 Выбор анализируемых компонент информационной системы, в рамках которых возможно возникновение нарушений безопасности
- •5.2. Определение точек информационного контакта анализируемых компонент с внешней информационной средой, через которые возможны нарушения безопасности информации
- •5.3. Формирование моделей источников угроз безопасности
- •5.4 Выбор механизмов и средств защиты информации от нсд
- •5.4.1 Выбор защитных механизмов, предназначенных для предотвращения выявленных угроз безопасности информации или для усиления системы защиты, а также способов их реализации
- •5.4.2 Определение функциональных компонент (информационных служб), в которых предполагается использовать выбранные механизмы защиты
- •5.4.3 Оценка остаточного риска
- •5.4.4 Определение способов интеграции механизмов безопасности в комплексную систему защиты информации
- •5.4.5 Определение способов реагирования на нарушения безопасности информации и планирование восстановления работоспособности после нарушений безопасности ресурсов информационной системы
- •6. Формулирование и оформление в виде организационно-распорядительных документов правил работы с конкретными информационными службами
- •Часть II. Формулирование политики безопасности подразделений и информационных служб
- •1 Определение особенностей функционирования подразделений
- •2 Определение перечня ресурсов подразделений, относительно которых решаются задачи обеспечения целостности и конфиденциальности, а также доступности для легитимных пользователей
- •3 Определение способов реализации правил разграничения доступа пользователей к информационным ресурсам
- •4 Определение лиц, ответственных за ведение информационных массивов, а также возможностей их модификации другими пользователями
- •5 Формирование исчерпывающего набора правил разграничения доступа пользователей к объектам
- •Приложение б
- •(Обязательное)
- •Закрепление вариантов индивидуальных заданий
- •На курсовое проектирование
- •(2011-2012 Учебный год)
- •Приложение в
- •Программно – аппаратная защита информации
5.4.2 Определение функциональных компонент (информационных служб), в которых предполагается использовать выбранные механизмы защиты
Реализация политики безопасности информации в разных компонентах системы, как правило, строится на основе разных подходов и преследует разные цели в соответствии с тем, что в разных информационных службах главный упор делается на разные свойства информации (целостность, доступность, конфиденциальность).
Реализация механизмов защиты информации базируется на двух подходах:
использование встроенных в основные информационные службы (в том числе операционные системы, прикладные программы и др.) средств защиты;
использование дополнительных экранирующих (навесных) средств защиты.
Задачей распределения механизмов защиты по компонентам является построение наиболее экономичной и наиболее эффективной системы защиты информации. Рациональным подходом в данном случае может рассматриваться использование одного механизма (или одного набора средств) для обслуживания некоторой совокупности взаимодействующих информационных служб.
Основное внимание уделяется анализу недостатков используемых аппаратных и системных программных средств для определения необходимости применения в отдельных элементах информационной системы дополнительных средств защиты информации.
В курсовом проекте выполняется подробный информационный поиск и аналитический обзор существующих наборов средств защиты информации по одному из механизмов, заданному номером варианта индивидуального задания на курсовое проектирование. Приводится итоговая таблица (пример – таблица в приложении В), содержащая перечень всех существующих на данный момент средств защиты, реализующих данный механизм, и их технические характеристики, по которым осуществляется выбор того или иного средства. Обосновывается критерий выбора для различных типов архитектур АС, приводится обоснованный по этим критериям выбор средства для заданного варианта индивидуального задания.
Мероприятия по выбору состава и содержание организационных и технических мер по обеспечению безопасности персональных данных подробно описаны в следующих документах ФСТЭК: «Положение о методах и способах защиты информации в информационных системах персональных данных». Утверждено директором ФСТЭК России, Приказ № 58 от 5 февраля 2010 г. С 2013 года вводится в действие новый документ ФСТЭК России – «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Выбор мер по обеспечению безопасности ПДн включает: выбор базового набора мер, адаптацию его к особенностям ИСПДн, дополнение этих мер для нейтрализации оставшихся актуальных угроз.
5.4.3 Оценка остаточного риска
После определения базовой конфигурации системы защиты информации необходимо заново оценить оставшиеся угрозы безопасности информации в соответствии с изменившимися параметрами информационной системы (внести в таблицу А5 выбранные СЗИ и определить не блокированные ими угрозы). Оценив новые параметры угроз, необходимо принять решение о применении дополнительных средств защиты информации для обеспечения нейтрализации оставшихся угроз или о достижении требуемого уровня безопасности информационной системы.
Составив решения по комплексу технических средств для разработки подсистемы защиты от НСД, составляются таблицы соответствия установленным требования для АС и ИСПДн соответствующих классов и уровней защищенности (пример - таблица А.6).
Таблица А.6– Соответствие СЗИ требованиям по безопасности
Требование |
Средство защиты |
||||
Состав и содержание организационных и технических мер безопасности |
Аккорд-NT/2000 V3.0 TSE |
СЗИ Соболь |
Cisco PIX 515 |
ПСКЗИ ШИПКА |
Антивирус касперского 6.0 |
Обеспечение доверенной загрузки (ДЗГ) |
|||||
Блокировка доступа к ресурсам средств вычислительной техники |
+ |
+ |
+ |
+ |
+ |
Блокировка загрузки нештатной операционной системы или программного обеспечения, способного модифицировать загрузочную область штатной операционной системы, в том числе со съемных машинных носителей информации
|
+ |
|
|
|
|
Блокировка интерфейсов и цепей питания средств вычислительной техники
|
+ |
+ |
|
|
|
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|||||
…… |
|||||
Управление доступом субъектов доступа к объектам доступа (УПД) |
|||||
…… |
|||||
Ограничение программной среды (ОПС) |
|||||
Защита машинных носителей информации (ЗНИ) |
|||||
Регистрация событий безопасности (РСБ) |
|||||
Обеспечение целостности информационной системы и информации (ОЦЛ) |
|||||
Защита среды виртуализации (ЗСВ) |
|||||
Защита технических средств (ЗТС) |
|||||
Защите информационной системы, ее средств и систем связи и передачи данных (ЗИС) |