- •Минобрнауки россии
- •Разработка комплексных методов обеспечения информационной безопасности в организации, занимающейся разработкой программного обеспечения для банковских терминалов
- •Оглавление
- •Предлагаемыемеры и средства защиты
- •1)Системы регистрации и контроля доступа в помещение:
- •2) Межсетевые экраны
2) Межсетевые экраны
Оба межсетевых экрана имеют сертификаты ФСБ и ФСТЭК, пропускная скорость фильтрации ViPNet Custom - 250Мбит\с, ALTELL NEO 100 – 120Мбит\с
ViPNet Custom производства компании ОАО «Инфотекс»:
Наименование
Цена (в рублях за 1 шт)
Передача права на использование ПО ViPNet Administrator
72300
ПЭВМ (Аппаратная часть)
65200
ViPNet Coordinator HW100A
31000
Установка и настройка
22300
Техническое сопровождение (1 год)
41500
Общая стоимость
232300
ALTELL NEO 100 производства компании ООО «ALTELL».
Наименование |
Цена (в рублях за 1 шт) |
ALTELL NEO 100 |
72100 |
Установка и настройка |
13300 |
Техническое сопровождение (1 год) |
24500 |
Общая стоимость |
109900 |
Выбор средств защиты: принятие решения
Принимая во внимание следующие факты:
OOO “Altius Plus” является коммерческой организацией
Все представленные варианты удовлетворяют требованиям скорости и надёжности работы.
Выбор средств защиты будет основываться на минимизации материальных расходов.
Таким образом, на основе вышесказанного рекомендуется установить и настроить:
- систему регистрации и контроля доступа TAGMASTERот компанииKeytex
- межсетевой экран ALTELL NEO 100 производства компании ООО «ALTELL».
Заключение
В результате проведённой работы по анализу информационной системы OOO Altius Plus было установлено, что уровень исходной защищённости объекта не полностью соответствует требованиям нормативно-методических документов и были предложены инженерно-технические средства защиты информации и меры по привидению его в соответствие с требованиями нормативно-методических документов.
Перечень используемых определений и терминов
Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию установленных функций. [5]
Безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. [5]
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. [5]
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных. [5]
Доступ к информации — возможность получения информации и её использования. [1]
Доступность информации — состояние информации, характеризуемое способностью автоматизированной системы обеспечить беспрепятственный доступ к информации субъектов, имеющих на это полномочия. [5]
Закладочное устройство – элемент средства съёма информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съёма информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации). [5]
Защита информации от несанкционированного доступа или воздействия — деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию). [5]
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. [5]
Информационные сети общего пользования — вычислительные (информационно-телекоммуникационные) сети, открытые для использования всем физическим и юридическим лицам, в услугах которых этим лицам не может быть отказано. [5]
Информация — сведения (сообщения, данные) независимо от их формы представления. [1]
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. [5]
Контролируемая зона — пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных, технических и иных материальных средств. [5]
Конфиденциальная информация — информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. [5]
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. [5]
Локальная вычислительная сеть — совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, через определённые точки входа/выхода информации, которые являются границей локальной вычислительной сети. [5]
Межсетевой экран - локальное (однокомпонентное) или функционально распре делённое программное (программно-аппаратное) средство (комплекс), реализующая контроль за информацией, поступающей в автоматизированную систему и (или) выходящей из автоматизированной системы. [5]
Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных. [5]
Несанкционированный доступ — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средством вычислительной техники или автоматизированной системой. [5]
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. [2]
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. [2][5]
Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, приём и обработку информативных сигналов. [5]
Персональные данные — любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его имя, фамилия, отчество, год, месяц и дата рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. [2]
Побочные электромагнитные излучения и наводки — электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания. [5]
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты её функционирования. [5]
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. [5]
Программная закладка – скрытно внесённый в программное обеспечение функциональный объект, который при определённых условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода. [5]
Программно-математическое воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ. [5]
Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. [5]
Субъект доступа — лицо или процесс, действия которого регламентируются правилами разграничения доступа. [5]
Технические средства информационной системы персональных данных — средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных. [5]
Технический канал утечки информации — совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. [5]
Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. [5]
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. [5]
Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации. [5]
Уязвимость – некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации. [5]
Целостность информации — состояние защищённости информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на неё в процессе обработки и хранения. [5]
DNS( система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.
Домен Windows NT —собрание участников безопасности (все объекты Active Directory), имеющих единый центр (который называется контроллером домена), использующий единую базу, известную как Active Directory.
Ба́нковская кaрта (BC, BCard, Bank Card) — пластиковая карта, привязанная к одному или нескольким расчётным счетам в банке. Используется для оплаты товаров и услуг, в том числе через Интернет, а также снятия наличных. Карты бывают дебето́вые и кредитные. Бывают карты с магнитной полосой, контактным и бесконтактным чипом.
POS терминал - электронное программно-техническое устройство для приема к оплате по банковским картам, оно может принимать карты с чип-модулем, магнитной полосой и бесконтактные карты, а также другие устройства, имеющие бесконтактный интерфейс. Также под POS-терминалом часто подразумевают весь программно-аппаратный комплекс, который установлен на рабочем месте кассира.
Система контроля версий (SVN) - программное обеспечение для облегчения работы с изменяющейся информацией. Система управления версиями позволяет хранить несколько версий одного и того же документа, при необходимости возвращаться к более ранним версиям, определять, кто и когда сделал то или иное изменение, и многое другое.
Перечень используемых сокращений
Ниже приведён перечень использованных в курсовой работе сокращений и аббревиатур.
АРМ |
- Автоматизированное рабочее место |
АС |
- Автоматизированная система |
БД |
- База данных |
ВТСС |
- Вспомогательные технические средства и системы |
ИВС |
- Информационно-вычислительная система |
ИС |
- Информационная система |
|
|
КЗ |
- Контролируемая зона |
ЛВС |
- Локальная вычислительная сеть |
|
|
|
|
МЭ |
- Межсетевой экран |
НМД |
- Нормативно-методический документ |
НСД |
- Несанкционированный доступ |
ОАО |
- Открытое акционерное общество |
ОИ |
- Объект информатизации |
ОМС |
- Обязательное медицинское страхование |
ООО |
- Общество с ограниченной ответственностью |
ОРД |
- Организационно-распорядительная документация |
ОРМ |
- Организационно-режимные меры |
ОС |
- Операционная система |
ОТСС |
- Основные технические средства и системы |
|
|
ПК |
- Программный комплекс |
ПМВ |
- Программно-математическое воздействие |
ПО |
- Программное обеспечение |
ПФР |
- Пенсионный фонд Российской Федерации |
ПЭВМ |
- Персональная электронно-вычислительная машина |
ПЭМИН |
- Побочные электромагнитные излучения и наводки |
РД |
- Руководящий документ |
РФ |
- Российская Федерация |
СВТ |
- Средства вычислительной техники |
СЗИ |
- Система (средство) защиты информации |
|
|
|
|
СУБД |
- Система управления базой данных |
ТС |
- Технические средства |
|
|
ФЗ |
- Федеральный закон |
ФСБ |
- Федеральная служба безопасности |
ФНС |
- Федеральная налоговая служба |
ФСС |
- Фонд социального страхования |
ФСТЭК |
- Федеральная служба по техническому и экспортному контролю |
ЯО |
- Ярославская область |
Список литературы
При подготовке курсовой работы использовались следующие документы и информационные источники:
Торокин А.А. Инженерно-техническая защита информации. – М.: Гелиос АРВ, 2005. – 959 с.
Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации»
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
«Положение о методах и способах защиты информации в информационных системах персональных данных» утверждённое Приказом № 58 ФСТЭК от 5 февраля 2010г.
Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13.02.2008 «Об утверждении «Порядка проведения классификации информационных систем персональных данных».
Нормативно-методический документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
Нормативно-методический документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
Нормативно-методический документ ФСТЭК «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»
«Уголовный кодекс Российской Федерации» от 13.06.1996 № 63-ФЗ (принят ГД ФС РФ 24.05.1996) (редакция от 07.04.2010) (с изменениями и дополнениями, вступающими в силу с 18.04.2010)
«Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 № 195-ФЗ (принят ГД ФС РФ 20.12.2001) (редакция от 05.04.2010)
Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;