- •Автономная некоммерческая организация высшего профессионального образования
- •Факультет информационной безопасности курсоВой проект
- •Аннотация
- •Список сокращений
- •Введение
- •Глава 1. Анализ технического задания
- •1.1. Категорирование помещений
- •1.2. Анализ архитектурной уязвимости автоматизированной банковской системы
- •1.3. Анализ уязвимостей компонентов автоматизированной банковской системы
- •Угрозы нарушения целостности
- •Угрозы нарушения доступности
- •1.4. Формирование модели угроз
- •Глава 2. Методы противодействия угрозам
- •2.1. Архитектура автоматизированной банковской системы как основа для организации противодействия угрозам
- •2.1.1. Структурированная кабельная система как основа управления безопасностью локальной вычислительной сети
- •Преимущества структурированных кабельных систем.
- •2.1.2. Физическое сегментирование локальной вычислительной сети
- •2.1.3. Архитектура структурированной кабельной системы
- •2.2.4. Защита периметра локальной вычислительной сети
- •2.3. Организационно-технические мероприятия противодействия угрозам
- •2.3.1. Подсистема технической укрепленности объектов
- •2.3.2. Подсистема управления доступом персонала к объектам локальной вычислительной сети
- •2.3.3. Подсистема видеонаблюдения
- •2.3.4. Организационные мероприятия противодействия угрозам
- •Глава 3. Синтез оптимального технического решения
- •3.1. Выбор критерия оптимизации и методики синтеза технического решения
- •3.2. Выбор оптимизируемых подсистем локальной вычислительной сети
- •3.3. Формирование сценарной модели реализации угроз для оптимизируемых подсистем
- •3.4. Выбор оптимального технического решения на множестве сценариев жизненного цикла информационных систем банка
- •3.5. Инструмент выбора оптимального технического решения
- •3.6. Детализация выбранного технического решения
- •Заключение
- •Список использованных источников
- •Организация
Глава 1. Анализ технического задания
1.1. Категорирование помещений
Категорирование – это специальная классификация различных объектов, имеющих отношение к информационной системе Банка, устанавливающая признак важности объекта соответственно, требуемый уровень его защиты. Необходимость категорирования вызвана большим разнообразием таких объектов, не позволяющим разрабатывать и реализовывать отдельные комплексы мер защиты для каждого из них. В ходе категорирования все объекты разбиваются на группы (категории), для каждого из которых разрабатывается стандартный комплекс мер защиты.
Категорированию подвергаются:
компьютерная информация;
средства вычислительной техники;
помещения, в которых размещаются средства вычислительной техники.
Категорирование производится в ходе информационного обследования подразделений Банка и в ходе работ по автоматизации их деятельности. Категорирование выполняется сотрудниками функционального подразделения, за которым закреплены категорируемые объекты Результаты категорирования оформляются протоколом, который подписывают выполнявшие категорирование сотрудники и утверждает руководитель подразделения информационной безопасности.
Категория указывается:
в заявке на автоматизацию и в функциональных требованиях на вновь разрабатываемые автоматизированные системы (категория информации, которую должна обрабатывать система);
в требованиях по безопасности (категории средств вычислительной техники, входящих в состав вычислительного комплекса, и помещений, в которых размещаются указанные средства вычислительной техники);
в протоколах аттестации автоматизированной системы (категории информации, которую обрабатывает система, средств вычислительной техники, входящих в состав вычислительного комплекса, и помещений, в которых размещаются указанные средства вычислительной техники – при описании реализованных мер информационной безопасности).
Вводимые категории объектов информационной системы представлены в таблице 1.1.
Таблица 1.1
Категории объектов информационной системы
Категория |
Критерии определения категории |
1 |
2 |
Информация |
|
И-0 |
Информация, содержащая сведения, относящиеся к государственной тайне. |
И-1 |
Информация, содержащая сведения, составляющие коммерческую тайну Банка Информация, подлежащая защите в соответствии с Законом «О банках и банковской деятельности» Недопустимы как активные, так и пассивные формы несанкционированного доступа. Несанкционированный доступ приводит к прямому материальному ущербу. |
И-2 |
Информация, содержащая сведения, составляющие коммерческую тайну Банка. Информация, подлежащая защите в соответствии с Законом «О банках и банковской деятельности» Недопустимы как активные, так и пассивные формы несанкционированного доступа. Несанкционированный доступ не приводит к прямому материальному ущербу |
1 |
2 |
И-3 |
Недопустимы систематические или крупномасштабные формы несанкционированного доступа. Разовый несанкционированный доступ не опасен, но в совокупности информация данной категории должна быть защищена. |
И-4 |
Несанкционированный доступ в любых формах не опасен. |
Средства вычислительной техники |
|
С-0 |
Средства вычислительной техники, на которых хранится или с помощью которых передается или обрабатывается информация категории И-0 |
С-1 |
Средства вычислительной техники, на которых хранится и обрабатывается информация категории И-1. |
С-2 |
Средства вычислительной техники, на которых хранится и/или обрабатывается информация категории И-2, а также АРМ сотрудников Банка, с которых осуществляется доступ к информации категории И-1, однако информация этой категории непосредственно на локальных дисках АРМ не хранится. В том числе к данной категории относится коммуникационное оборудование ЛВС и рабо- чие станции администраторов СВТ категории С-1, С-2. |
С-3 |
Средства вычислительной техники, на которых хранится или с помощью которых обрабатывается информация категории не выше И-3. |
С-4 |
Средства вычислительной техники, на которых хранится и обрабатывается информация только категории И-4. |
Помещения |
|
П-0 |
Помещения, в которых обрабатывается информация категории И-0 |
1 |
2 |
П-1 |
Помещения, в которых установлены сервера, предназначенные для обработки и хранения информации категории И-1, И-2, или средства вычислительной техники категории С-1.
|
П-2 |
Помещения, в которых установлены средства вычислительной техники категории не выше С-2.
|
П-3 |
Помещения, в которых установлены средства вычислительной техники категории не выше С-3. |
Результаты категорирования помещений объекта защиты (Приложение 1) приведены в Приложении 3.