Защита конфедициальной информации в системах дистанционного обучения на основе Модус (на примере ДСО Сибади)

eToken служит для строгой двухфакторной аутентификации, защиты электронной переписки, установления защищенных соединений (VPN, SSL), проведения финансовых транзакций и криптографической защиты информации. Идентификатор etoken RF можно одновременно использовать для доступа в помещения и к ресурсам информационных систем. USB-токеныeToken широко применяются в системах защищенного документооборота, электронных платежей, в системах предоставления отчетности в государственные органы и в системах клиент-банк. Они выступают как единое устройство для доступа ко всем ресурсам корпоративной сети и легко интегрируются с системами и приложениями, поддерживающими технологии смарт-карт и PKI. Электронные USB-ключи eToken в сравнение с аналогичными продуктами имеют наиболее удобный интерфейс использования, подключаются с использованием USB-порта, что значительно облегчает установку и перенос ключа. Также данное устройство полностью совместимо с системой SecretNet. В системах, использующих PKI, возможности eToken позволяют получать безопасный доступ к корпоративной сети, защищать свои персональные файлы и данные, осуществлять электронные сделки, подписывать и шифровать электронные письма и много другое — все это без ограничения мобильности и под надежной защитой. eToken позволяет с легкостью внедрить строгую аутентификацию пользователей и криптографические решения на основе PKI, приспособив их к конкретным условиям и требованиям организации. Ключевые пары генерируются в доверенной среде — защищенной памяти eToken. При этом закрытые ключи никогда не покидают память устройства, а сертификаты открытого ключа доступны для внешних приложений после ввода пароля eToken. Аутентификация с использованием одноразовых паролей (One-TimePassword — OTP) Аутентификация с использованием одноразовых паролей подразумевает использование нового пароля для каждого нового сеанса доступа. Такой способ особенно актуален при доступе из ненадежной среды, например, из интернет-кафе. Рисунок 3.3 — Процедура идентификации.

Архитектура eToken ОТР предполагает наличие сервера аутентификации RADIUS, что делает возможным интеграцию с любыми VPN-шлюзами и приложениями, поддерживающими этот протокол. Сервер RADIUS использует для получения информации о пользователе инфраструктуру ActiveDirectory (с использованием TMS — системы централизованного управления устройствами линейки eToken).Внедрение Token Management System (TMS)eTokenTMSэто решение, предназначенное для построения инфраструктуры безопасного доступа к информационным ресурсам предприятия с централизованным управлением.Назначение.

Централизованное управление средствами аутентификации в течение всего жизненного цикла (инициализация/выпуск сертификата, ввод в эксплуатацию/выдача, обслуживание, вывод из эксплуатации/блокирование).Учет средств аутентификации, аудит их использования. Автоматизация типовых операций и сценариев администрирования в соответствии с политиками безопасности, принятыми в организации. Быстрое и самостоятельное решение проблем пользователей без обращения к администраторам. eToken TMS является связующим звеном между пользователями, средствами аутентификации, приложениями информационной безопасности — основанных как на PKI, так и на традиционной аутентификации с применением регистрационных имен и паролей — и политикой безопасности. Для расширения возможностей TMS доступен комплект разработчика eToken TMS Connector SDK, позволяющий добавить возможность работы со сторонними приложениями в процессе стандартных операций с устройствами eToken (добавление, назначение, отзыв и т. д.).Рисунок3.

4 — СтруктураTokenManagementSystem3.5 Выбор программных средств для организации защиты СДОДля обеспечения информационной безопасности требуется соблюдение ряда требований по управлению сетью, к ним относятся:

мониторинг сетевых устройств;

обеспечение антивирусной защиты;

внедрение системы контроля за несанкционированным доступомсвоевременная и регулярная архивация данных.

3.5. 1 Мониторинг и реагирование.

В качестве программного обеспечения мониторинга сетевого оборудования выбран программный комплекс NateksFlexGainView, построены на базе CastleRockSNMPc. Общая архитектура системы строится по системе «клиент/сервер» (различные «клиенты» могут быть установлены на нескольких физических машинах, подключенных к одному и тому же серверу) и по принципу «агент/менеджер» на основе протокола SNMP. Этот комплекс обеспечивает такие важные функции, как:

картография сети;

сигнализация аварийных сообщений на карте устройств;

конфигурирование сетевых элементов;

ведение журналов текущих и прошедших событий. Ее основными преимуществами перед конкурентами стали: относительно невысокая цена, русскоязычная техническая поддержка, невысокие аппаратные требования, установка на Windows платформу. В качестве серверных операционных системы выбрана Windows 2012 Server, предустановленная на сервера поставщиком. Эта операционная система стабильна и за годы ее существования были выявлены и устранены основные недостатки. Операционными системами на рабочих местах остаются существующие системы семейства Windows. На указанных операционных системах также включается агент SNMP, что позволяет вести мониторинг состояния не только сетевого оборудования, но и рабочих станций и серверов. В качестве дополнительного ПО для мониторинга работы серверов будет использоваться «10-Страйк: Мониторинг Сети». Это легкое удобное программное обеспечение позволяет предлагает следующее:

Мониторинг служб, баз данных, портов TCP;Мониторинг температуры, напряжения, места на дисках и прочих параметров по SNMP и WMI;Информирование с помощью e-mail, SMS, звука или сообщения на экране;

Анализ статистики мониторинга, графики и отчеты.

3.5. 2 Архивирование.

Не смотря на все меры по предотвращению аварийных ситуаций и предупреждению выхода из строя оборудования, полностью исключать такую возможность нельзя. А раз такое может произойти, то задача ИТ специалистов быть к ней готовым. Основной проблемой, которая возникнет после выход из строя сервера будет не поиск нового «железа», а восстановление данных, потому что информация зачастую стоит гораздо дороже оборудования, а ее отсутствие каждую минуту приводит к финансовым потерям. Поэтому важно регулярно и систематически создавать архивные копии важной инормации. Выбор средств резервного копирования производился из четырех самых популярных пропиретарных программных продуктов. Программное обеспечение с GPL лицензией не принималось во внимание в виду отсутствия технической поддержки. Сводные характеристики этих продуктов приведены в таблице 3.

2.Таблица 3.2 — Сводные характеристики средств резервного копирования. AcronisBackup & RecoveryParagonDriveBackupHandyBackupServerGFI BackupBusinessИнкрементное и дифференциальное копирование++++Дедупликация.

Дополнительный модуль—-Работа с образами разделов++±Универсальное восстановление.

Дополнительный модуль.

Дополнительный модуль—Виртуализация++—Хранилище на локальных дисках рабочих станций++—Централизованное развертывание и управление+Дополнительный модуль++Дублирование архивов+—-На основании этих данных в качестве средства резервного копирования в сети.

СибАДИ был выбран AcronisBackup. В проектируемой сети все сервера должны быть обеспечены программным обеспечением, которое позволит в кротчайшие сроки восстановить данные и возобновить работу сервера после повреждения. Также компьютеры дирекции, начальников отделов оборудуются средствами резервного копирования.

3.5. 3 Антивирусная защита.

Важным компонентом информационной инфраструктуры является антивирусное программное обеспечение. Вред, которой могут нанести вирусы может быть значительным и иметь очень неприятные последствия, что в конечном итоге ведет к простоям, потере информации и пр. Поэтому внедрение программного обеспечения защищающего от вирусных программ — является необходимым. На сегодняшний день на рынке ПО представлено огромное количество средств антивирусной защиты. В проектируемой сети помимообщий требований (поиск вирусов, лечение, надежность) требуется:

централизованное обновление;

настройка по сети;

невозможность отключить антивирус пользователем;

не требовательность к ресурсам. Для выбора антиврусного ПО был проведен анализ, на основании тестирования, которое регулярно проводят организации занимающиеся информационной безопасностью, такие как: AV Comparatives.

http://www.av-comparatives.org/AV-Test.

http://www.av-test.org/Virus Bulletin.

http://www.virusbtn.com/Dennis Technology Labs.

http://www.dennistechnologylabs.com/Оценка программного обеспечения, с точки зрения пользователя и разработчика может осуществляться с использованием различных показателей качества. Под моделью качества АОС понимается совокупность наиболее существенных качественных показателей в достаточной степени характеризующих АОС, таких как: Простота и легкость установки. Данный показатель характеризует способность быть установленным или развернутым в определенном окружении. Поддержка стандартов.Надёжность.Включает в себя два основных аспекта:

отсутствие в готовой программе ошибок проектирования и программирования;

защищённость программы от деструктивного вмешательства в ход процесса и формируемый результат. Функциональная ёмкость.Характеризует степень удовлетворения потребностей пользователя в смысле возможности решения конкретных задач, стоящих перед ним. Техническая эффективность.

характеризует объёмы требующихся ресурсов вычислительной системы:

объёма оперативной памяти;

объёма внешней памяти;

времени работы процессора;

привлекаемых компонент операционной системы. Данные показатели могут получить числовую оценку. При этом из двух программ с одинаковыми функциональными свойствами лучше та, которая потребляет меньше ресурсов.Стоимость.Свойство программы, которое в денежном выражении определяется ценой. Наглядность и удобство интерфейса. Данное качество отражает простоту понимания, простоту использования, возможность дальнейших улучшений без существенных переделок так, чтобы применение программы или системы осуществлялось с минимальными затратами. Устойчивость к сбоям. Данный показатель характеризует способность поддерживать заданный уровень работоспособности при сбоях.Адаптивность.Это возможность модификации в случае изменения параметров решаемых задач, операционного окружения, аппаратного состава или типа ПЭВМ. Экспертное оценивание.

Все системы создаются для удовлетворения возникших у общества потребностей. Целью системы является стремление к более полному удовлетворению этих потребностей. Степень соответствия системы поставленным целям называют её эффективностью. Сложность и многообразие функций, выполняемых современными системами, требует учета определения количества целей, каждая из которых описывается своим критерием. Поэтому многокритериальность есть естественное свойство любой системы и вопросы повышения эффективности не могут быть разрешены кардинальным образом, без решения проблемы многокритериальности. Существует несколько форм представления ОПЭ (обобщенный показатель эффективности): векторная, скалярная, эвристическая. У каждой из этих форм существуют весомые недостатки, так при векторном представлении снижается наглядность по мере увеличения размерности пространства, происходит одновременно резкое возрастание объема вычислительных операций и усложнение процедур учета значимости отдельных составляющих вектора ОПЭ. Скалярная форма имеет ряд преимуществ: наглядность практически не зависит от размерности ОПЭ, учет значимости частных показателей упрощается, но одновременно, скаляризация требует приведения показателей к безразмерному виду.

Эвристические приемы формирования оценок систем основываются на интуиции. Наличие интегрального критерия решает проблемы многокритериальности наиболее радикальным образом — за счет «свертки» набора критериев в один критерий. Форм интегрального критерия существует также несколько: нормальная форма, мультиаддитивная форма, аддитивная форма. В рамках данной дипломной работы наиболее приемлема аддитивная форма. Формирование группы экспертов.

Для правильного и качественного проектирования создаваемой системы и определения ее эффективности, сформируем группу экспертов из высококвалифицированных специалистов:

После формирования группы экспертов, необходимо оценить их компетентность, которая будет учитываться при ранжировании характеристик. Экспертная оценка сред разработки по частным критериям.

Выбор показателей реализует систему ценностей, скрытую в целях построения, функционирования и управления системой. Необходимо найти способ измерения соответствующих целей. Разные цели могут иметь различную степень измеримости. Для оценки, необходимой для разработки обучающей мультимедийной системы, по пяти наиболее важным показателям применим бальную шкалу. Понятие цели вводится исключительно для того, чтобы получить возможность сравнивать системы между собой по степени предпочтительности. Считается, что одна система лучше другой только тогда, когда она в большей степени соответствует поставленным целям. Выберем пять наиболее значимых показателей и опишем предельные оценки n) и для каждого из них: Удобство проведения проверки (D1):"5″ - стандарт совместимости со стандартами LOM, IMS, SCORM."1″ - продукт имеет собственный стандарт и не совместим с другими. Техническая эффективность (D2):"5″ - продукту требуется минимальный объем ресурсов вычислительной системы."1″ - продукту требуется достаточно большой объем ресурсов вычислительной системы. Функциональная ёмкость (D3):"5″ - в системе есть все необходимые функции для пользователя."1″ - отсутствие необходимых функций для пользователя более 50%. Наглядность и удобство интерфейса (D4):"5″ - интерфейс понятен пользователю, логически обоснован, создан с учетом современных технических новшеств."1″ - интерфейс не понятен пользователю, логически не обоснован, современные технические новшества не задействованы. Стоимость продукта (D5): «5» — продукт поставляется бесплатно."1″ - продукт имеет завышенную стоимость. Определим компетентность экспертов по взаимному оцениванию следующим способом:

Составим списки экспертов в количестве экземпляров равных числу экспертов. Выбираем требуемые значения характеристик по оценкам экспертов. Средняя оценка для характеристик находится по формуле, (3.1)Произведем нормирование характеристик путем отнесения критерия к его интервалу изменений. Нормирование по диапазону изменений частного критерия осуществляется по формуле: (3.2)Результаты экспертного оценивания приведены в таблицах 3.3 — 3.

6.Таблица 3.3 Экспертная оценка антивирусParagonDriveBackupПоказатели minmaxЭксперты Значение iСр. оценка12345iD115543540,104,20,8D215544540,054,40,85D315545450,104,60,9D415443440,243,80,7D515434440,243,80,7Таблица 3.4 Экспертная оценка антивирусDr. WebSecuritySpaceПоказатели minmaxЭксперты Значение iСр. оценка12345iD115344340,103,60,65D215555550,0551D315443330,103,40,6D415455540,244.

60,9D515555550,2451.

Таблица 3.5 Экспертная оценка антивирусESET SecureEnterpriseПоказатели minmaxЭксперты Значение iСр. оценка12345iD115545540,104,60,9D215554550,054,80,95D315455540,104,60,9D415555450,244,80,95D515555550,2451.

Таблица 3.6 Экспертная оценка антивирусKasperskySecureEnterpriseПоказатели minmaxЭксперты Значение iСр. оценка12345iD115544450,104,40,85D215444440,0540,75D315455440,104,40,85D415343430,243,40,6D515455440,244,40,85Расчет обобщенного показателя эффективности.

Расчет производим по формуле: (3.3)АнтивирусParagonDriveBackupАнтивирусDr.WebSecuritySpaceАнтивирусESET SecureEnterpriseАнтивирусKasperskySecure EnterpriseПроанализируем полученные результаты. Среди рассмотренных систем, наиболее высокий ОПЭ имеет программный продукт ESET SecureEnterprise (ОПЭ = 0,7). Этот программный продукт, по оценкам экспертов, наиболее удовлетворяет потребностям организации защиты вычислительной сети СДО. Это вполне оправдано, так как ESET SecureEnterpriseявляется очень удобным и многофункциональным средством. В качестве антивирусной защиты в данном проекте выбрана система от ESET — ESET SecureEnterprise, представляющая собой комплексную защиту от вирусов и вредоносных программ для рабочих станций и файловых серверов небольших корпоративных сетей. Данная система обеспечивает оптимальный уровень безопасности компьютера и высокую производительность работы при минимальных системных требованиях. 19]Компоненты:ESET SecureEnterprise, ESET File Security для Microsoft Windows Server, ESET File Security для Linux/BSD/Solaris, ESET Mobile Security Business Edition, ESET RemoteAdministratorЗащита от неизвестных угроздетектирование угроз на основе облачного сервиса ESET LiveGridраспознавание ранее неизвестных угроз по принципу технологии эвристического анализа ThreatSense®поведенческий анализ потенциально опасного ПОблокирование вредоносных ссылок в сети интернетограничение доступа пользователей к веб-сайтам по категориямуправление списками адресов.

Эффективное средство защиты файлового сервера ESET FileSecurityСпециализированное решение обеспечивает эффективную и надежную защиту файловых серверов от всех типов вредоносных программ для MicrosoftWindowsServer. 19]Защита от внешних вторжений и фильтрация трафиканастраиваемая система обнаружения внешних вторжений HIPS (Host-basedIntrusionPreventionSystem)Проверка корпоративной почтыфильтрация почты и вложений на наличие вредоносного кодаподдержка большинства почтовых клиентов: MicrosoftOutlook, OutlookExpress, MozillaThunderbird, WindowsMail, WindowsLiveMail и другие потовые клиенты, поддерживающие протокол РОР3 и POP3S, IMAP и IMAPSРегулярное обновлениеобновление сигнатурных баз — 4 раза в сутки.

Системные требования.

Поддерживаемые ОС: Microsoft Windows® 7/Vista/XP/2000 (32-bit и 64-bit версии) Microsoft Windows® Server 2008 R2/ 2008/ 2003 /2000 (32-bit и 64-bit версии) Microsoft Windows Small Business Server 2003/ 2003 R2/ 2008/2011Microsoft® Windows® 2000, XP, Server 2003Microsoft® Windows® 7, Vista, Home Server, Server 2008Linux (RedHat, Mandrake, SuSE, Debian, FreeBSD 4. X, 5. X и 6. Х, NetBSD 4) SunSolaris 10 Mac OS X 10.

5.x (Leopard), Mac OS X 10.

6.x (Snow Leopard), Mac OS X 10.

7.x (Lion)Требования к оперативной памяти 512 MB Необходимое свободное место на жестком диске 60 MB (для установки 320 MB) Данное программное обеспечение призвано эффективно выявлять и обезвреживать любые вредоносные программные объекты, которые попадают в область действия данного комплекса. При этом SecureEnterprise, позволяет выявлять ранее не известные виды вредоносного ПОна основе анализа действия конкретной программы в момент запуска. Для этого существует режим первоначального запуска. Установку ESET SecureEnterprise можно осуществить одним из четырех способов:

удаленнаяустановкаспомощью ESET Remote Administrator Server 5 и ESET Remote Administrator Console 5;установка при помощи групповых политик безопасности и при помощи специально написанных скриптов (Logon-script);установка по электронной почте. В этом случае пользователю нужно только запустить установку агента, полученного по электронной почте;

локальная установка. К защите сети относится персональныйфаервол, который занимается фильтрацией сетевого трафика по заданным правилам. Фаервол может работать в одном из пяти режимов:

автоматический режим. Разрешается весь исходящий трафик и блокируются новые соединения;

автоматический режим с исключениями. То же, что и автоматический режим, только с возможностью задавать правила пользователям или администратору;

интерактивный режим. Фильтрация трафика осуществляется на основе правил пользователей. Если было обнаружено соединение, не попадающее под правило, то будет выведено предупреждение о неизвестном подключении;

режим на основе политик. Блокируются все соединения, для которых нет правил их работы;

режим обучения. Создание правил в процессе работы на основе диалога с пользователем. Назначение ESET SecureEnterprise 5 состоит в защите компьютеров в локальной сети. При разворачивании защиты на компьютеры в сети, администратор может задавать настройки всех компонентов защиты ESET SecureEnterprise 5 и задачи, которые он будет выполнять.

3.5. 4 Система защиты информации он НСДSecretNetпредназначен для защиты конфиденциальной информации, составляющей коммерческую, государственную тайну или относящейся к персональным данным. Система SecretNet 7 дополняет стандартные механизмы защиты операционных систем функциями защиты от НСД к информационным ресурсам компьютеров. Система контроля доступа SecretNet, в отличие от своих аналогов, поддерживает усиленную аутентификацию пользователей в том числе и с использованием аппаратной поддержки. В качестве индивидуальных идентификаторов могут быть использованы: — iButton (серия DS199x) — eToken PRO, eToken PRO Java (USB, смарт-карта) — RutokenSecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов: № 98-ФЗ («о коммерческой тайне») № 152-ФЗ («о персональных данных») № 5485−1-ФЗ («о государственной тайне») СТО БР (Стандарт Банка России[40]В SecretNet 7 поддерживается применение электронных СИА на базе идентификаторов iButton и USB-ключей eToken PRO, iKey 2032, Rutoken v.1, Rutoken S, Rutoken RF S. Обладает сертификатами ФСТЭК России и может использоваться в автоматизированных системах до класса 1Б включительно и для защиты персональных данных в ИСПДн до класса К1 включительно. 40]Рисунок 3.4 — Основные возможности SecretNet 7Ключевые возможности СЗИ от НСД SecretNet: Аутентификация пользователей. Разграничение доступа пользователей к информации и ресурсам автоматизированной системы. Доверенная информационная среда. Контроль утечек и каналов распространения конфиденциальной информации. Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации. Централизованное управление системой защиты, оперативный мониторинг, аудит безопасности. Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов. 40]На стадии ввода в действие СЗИ SecretNet осуществляются:

предварительные испытания средств защиты;

опытная эксплуатация средств защиты и функциональных задач АС в условиях их работы;

приемочные испытания средств защиты;

приемочные испытания СЗСИ в составе автоматизированной системы комиссией соответствующего ранга. Предварительные испытания средств защиты SecretNet проводит разработчик этих средств совместно с уполномоченными лицами отдела ИТ-администрирования и с привлечением специалистов отраслевых органов безопасности информации в целях проверки отдельных средств по ГОСТ 21 552–84, ГОСТ 16 325–88 и ГОСТ 23 773–88, соответствия технической документации требованиям ТЗ, выработки рекомендаций по их доработке и определения порядка и сроков проведения опытной эксплуатации. Приемочные испытания СЗИ SecretNet проводятся в составе автоматизированной системы, предъявляемой комиссии заказчика. Ответственность за организацию работ при вводе в действие СЗСИ, за функционирование средств защиты после приемочных испытаний несет заказчик. Сетевой режим (с централизованным управлением) — предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNetможет быть успешно развернут в сложной доменной сети (domaintree/forest).Система позволяет эффективно контролировать и разграничивать доступ пользователей к защищенной информации. Рисунок 3.5 — Разграничение прав пользователей.

Структура ПО ЛВС после внедрения программных средств защиты информации представлена на рисунке 3.6Рисунок 3.6 — Структура ПО в модернизированной вычислительной сети.

ЗАКЛЮЧЕНИЕ

Для дальнейшего развития и становления системы дистанционного электронного обучения ДСО Сиб.

АДИ необходимо обеспечить наиболее полную защиту электронных документов частных лиц от несанкционированного доступа. Особенностью распределенной СДО является передача персональных данных граждан по неконтролируемому каналу, чаще всего представляющему из себя сеть связи общего пользования или Интернет. Эта особенность влияет на все основные характеристики безопасности СДО, в том числе на необходимость криптографической защиты передаваемых данных. Ввиду распределенной и разнородности средств информатизации и защиты, остро становится вопрос выбора СЗИ, вопрос централизации механизмов мониторинга и управления. В выпускной квалификационной работе использованы углубленные знания из теории и практики построения и использовании информационных систем на корпоративных предприятиях и изучения архитектуры современных систем электронного документооборота. Проведен анализ объекта защиты системы дистанционного электронного обучения ДСО Сиб.

АДИ, охарактеризованы его виды деятельности, проведен анализ основных задач всех отделов. Рассмотрены основные виды документооборота в организации и схема корпоративной системы защиты документооборота. Результатом работы стала разработка предложений, содержащих в себе перечень прорабатываемых задач:

Обеспечена защиту ЛВС от возможности заражения вредоносным ПО. Данная задача решена в полном объеме. Для решения этой задачи на рабочие станции и серверы учебного заведения было установлено антивирусное ПО компании ESET. Данная мера позволяет надежно контролировать и своевременно выявлять появившиеся в сети вредоносное ПО. Обеспечен требуемый уровень безопасности конфиденциальных документов и информации. Для сотрудников были приобретены электронные ключи-устройства аппаратного шифрования данных, позволяющие повысить уровень надежности авторизации и идентификации сотрудника учебного заведения, а также надежно защитить конфиденциальные данные. Предложены меры по модернизации вычислительной сети для обеспечения требуемого уровня безопасности: Внедрение аппаратного межсетевого экрана, модернизация сетевого оборудования, настройка и разграничение прав доступа, деление сети на виртуальные сети. Таким образом, можно считать, что система ИБ организации системы дистанционного обучения, в результате модернизации теперь соответствует предъявленным требованиям. Нововведения обеспечат защиту электронного документооборота и стабильной работы с информацией, что позволит повысить эффективность работы ДСО Сиб.

АДИСПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВБазовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г // СПС Консультант Плюс. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г // СПС Консультант Плюс.В. А. Тихонов, В. В. Райх.

Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты. М: 2006 с. 235. Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли ФСТЭК России от 04.

06.2010 г. № 240/2/2271.

Баймакова И.А., Новиков А. В., Рогачев А. И. Обеспечение защиты персональных данных. Методическое пособие / И. А. Баймакова. — М.: 1С-Паблишинг, 2010. — 214 с. Безопасность и управление доступом в информационных системах. А. В. Васильков, И. А. Васильков. Учебное пособие.

М.: ФОРУМ, 2010. 368 с. Комплексная система защиты информации на предприятии, Н. В. Гришина. Учебное пособие.

М.: ФОРУМ, 2011. — 240 с. Андреев, А.А. Учебно-методическое обеспечение для Интернет-обучения / А. А. Андреев, В. Н. Фокина // Всероссийская научно-практическая конференция «Информационные технологии в образовании и науке». ИТОН, 2007.

Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2011. -76с.Каменева Е. ЭЦП и электронное согласование проектов документов с использованием ИС / Екатерина Каменева // Делопр-во и документооборот на предприятии. — 2011.

— № 9.

— C.&# 160;48−56.Блэк У. Интернет: протоколы безопасности. Учебный курс. — СПб.: Питер, 2011. — 288 с.: ил.

Домарев В.В., Безопасность информационных технологий. Системный подход. — К.: ООО ТИД Диа Софт, 2012. -.

992 с. Биячуев Т. А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л. Г. — СПб.: СПбГУ ИТМО, 2011. — 161 с. Андреев, А. В. Практика электронного обучения с использованием Moodle / А. В. Андреев, С. В. Андреева, И. Б. Доценко. — Таганрог: Изд-во ТТИ ЮФУ, 2008.

— 146 с. Анисимов, А. М. Работа в системе дистанционного обучения Moodle: учебное пособие / А. М. Анисимов. — Харьков, ХНАГХ, 2009. — 292 с. Белозубов, А. В. Система дистанционного обучения Moodle: учебно-методическое пособие / А. В. Белозубов, Д. Г. Николаев.

— СПб., 2007. — 108 с. Гильмутдинов, А. Х. Электронное образование на платформе Moodle [Текст] / А. Х. Гильмутдинов, Р. А. Ибрагимов, И. В. Цивильский.

— Казань, КГУ, 2008. — 169 с. Белов, Е. Б. Основы информационной безопасности [Текст]. Учебное пособие для вузов / Е. Б. Белов, В. П. Лось, Р. В. Мещеряков, А. А. Шелупанов.

— М.: Горячая линия — Телеком, 2006. — 544 с. Малюк, А. А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст]. Учеб.

пособие для вузов / А. А. Малюк. — М.: Горячая линия-Телеком, 2004. — 280 с. Чипига, А. Ф. Информационная безопасность автоматизированных систем: учеб.

пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности [ Текст]/ А. Ф. Чипига. — М.: Гелиос АРМ, 2010.

— 336 с. Ярочкин, В. И. Информационная безопасность [Текст]: Учебник для вузов / В. И. Ярочкин. — М.: Академический Проект, 2004. -.

544 с. Скрипкин, К. Г. Экономическая эффективность информационных систем. — М.: ДМК Пресс, 2002. — 256 с. SafeNetEthernetEncryptor [Электронный документ] URL:

http://www.datasec.ru/products/kanalnoe_shifrovanie/safenet_ethernet_encryptor/ESET SecureEnterprise [Электронный документ] URL:

http://www.esetnod32.ru/business/products/СЗИ от НСД SecretNet [Электронный документ] URL:

http://www.securitycode.ru/products/secret_net/Калыгин, В. Г. Безопасность жизнедеятельности. Промышленная и экологическая безопасность, безопасность в техногенных чрезвычайных ситуациях [Текст] / В. А. Бондарь. — М.: Колос.

С, 2006. — 520 с. Кукин, П. П. Безопасность жизнедеятельности. Безопасность технологических процессов производств. Охрана труда [Текст] / В. Л. Лапин. -.

М.: Высшая школа, 2007. — 336 с. Приложение 1. Оценка информационных активов предприятия.

Вид деятельности.

Наименование актива.

Форма представления.

Владелец актива.

Критерии определения стоимости.

Размерность оценки.

Количественная оценка.

КачественнаяИнформационные активы.

Кадровое обеспечение.

Персональные данные сотрудников.

Электронная/Бумажная.

Специалист по кадрам.

Стоимость воссоздания170 тыс. руб.Средняя.

Обучающая деятельность.

Персональные данные клиентов.

Электронная/Бумажная.

Специалист по кадрам.

Стоимость воссоздания300 тыс. руб.Средняя.

Реализация Данные по оплате.

ЭлектроннаяБухгалтер

Стоимость воссоздания500 тыс. руб.Критическая.

Активы аппаратного обеспечения.

Обработка информации.

СервераМатериальная.

Системный администратор

Первоначальная стоимость300 тыс. руб.Критическая.

Обработка информации.

КомпьютерыМатериальная.

Системный администратор

Первоначальная стоимость100 тыс. руб.Средняя.

Обработка информации.

ПринтерыМатериальная.

Системный администратор

Первоначальная стоимость25 тыс. руб.Малая.

Обработка информации.

СканераМатериальная.

Системный администратор

Первоначальная стоимость15 тыс. руб.Малая.

Активы программного обеспечения.

Обработка информацииMicrosoftWindowsЭлектронная.

Системный администратор

Стоимость воссоздания15 тыс. руб.Малая.

Обработка информацииMicrosoftOfficeЭлектронная.

Системный администратор

Стоимость воссоздания17 тыс. руб.Малая.

Обработка информации.

ПО MoodleЭлектронная.

Системный администратор

Стоимость воссоздания120 тыс. руб.Высокая.

Физические активы.

Процесс обучения.

Договора с клиентами.

БумажнаяЗам. декана.

Стоимость воссоздания55 тыс. руб.Малая.

БухгалтерияБухгалтерская отчетность.

БумажнаяБухгалтер

Стоимость воссоздания75 тыс. руб.Малая.

Приложение 2 Результаты оценки уязвимости активов.

Группа уязвимостей.

Содержание уязвимости.

Персональные данные клиентов.

Персональные данные сотрудников.

Финансовые и прочие документы учебного заведения.

Договора с клиентами.

Программно-аппаратные средства.

Безопасность кадровых ресурсов (ISO/IEC 27 002:

2005, раздел 8) Недостаточное обучение безопасности.

ВысокаяВысокая.

СредняяНизкая.

СредняяОтсутствие политик в области корректного использования средств телекоммуникаций и передачи сообщений.

СредняяСредняя.

СредняяНизкая.

СредняяНе отменяются права доступа при увольнении.

ВысокаяВысокая.

НизкаяНизкая.

ВысокаяНе существует процедуры, гарантирующей возврат ресурсов при увольнении.

СредняяСредняя.

СредняяВысокая.

СредняяНемотивированный или недовольный персонал.

ВысокаяВысокая.

СредняяВысокая.

ВысокаяБезнадзорная работа внешнего персонала или персонала, работающего в нерабочее время.

СредняяСредняя.

НизкаяСредняя.

СредняяФизическая безопасность и безопасность окружающей среды (ISO/IEC 27 002:

2005, раздел 9) Отсутствие физической защиты здания, дверей и окон.

СредняяСредняя.

НизкаяВысокая.

СредняяРазмещение в зоне, подверженной затоплению.

ВысокаяВысокая.

НизкаяСредняя.

ВысокаяНезащищенное хранение.

ВысокаяВысокая.

СредняяВысокая.

СредняяНедостаточное сопровождение/неудачная установка средств хранения информации.

СредняяСредняя.

СредняяСредняя.

СредняяОтсутствие схемы периодической замены оборудования.

СредняяСредняя.

НизкаяНизкая.

СредняяПодверженность оборудования перепадам температур

НизкаяНизкая.

НизкаяСредняя.

НизкаяНестабильное электропитание.

СредняяСредняя.

СредняяВысокая.

СредняяУправление коммуникациями и операциями (ISO/IEC 27 002:

2005, раздел 10) Передача или повторное использование средств хранения информации без надлежащей очистки.

СредняяСредняя.

НизкаяНизкая.

СредняяНеадекватный контроль изменений.

ВысокаяВысокая.

ВысокаяНизкая.

НизкаяОтсутствие процедур резервного копирования.

ВысокаяВысокая.

СредняяНизкая.

СредняяОтсутствие обновления программного обеспечения, используемого для защиты от вредоносного кода.

СредняяСредняя.

СредняяНизкая.

СредняяНет разделения тестового и рабочего оборудования.

НизкаяНизкая.

СредняяСредняя.

НизкаяНезащищенные соединения с сетями общего пользования.

СредняяСредняя.

НизкаяНизкая.

СредняяКонтроль доступа (ISO/IEC 27 002:

2005, раздел 11) Неправильное разграничение доступа в сетях.

ВысокаяВысокая.

НизкаяНизкая.

СредняяОтсутствие механизмов идентификации и аутентификации, таких как аутентификация пользователей.

ВысокаяВысокая.

НизкаяНизкая.

СредняяОтсутствующая или некорректная политика контроля доступа.

ВысокаяВысокая.

СредняяНизкая.

СредняяОтсутствие «выхода из системы», когда покидается рабочая станция.

ВысокаяВысокая.

НизкаяНизкая.

СредняяОтсутствие или проведение в недостаточном объеме тестирования программного обеспечения.

СредняяСредняя.

СредняяНизкая.

НизкаяПлохое управление паролями (легко угадываемые пароли, хранение паролей, недостаточно частая смена) Средняя.

СредняяНизкая.

НизкаяСредняя.

Неконтролируемое использование системных утилит.

СредняяСредняя.

НизкаяНизкая.

НизкаяПриобретение, разработка и сопровождение информационных систем (ISO/IEC 27 002:

2005, раздел 12) Недостаточная защита криптографических ключей.

ВысокаяВысокая.

НизкаяНизкая.

СредняяНесовершенная политика в области использования криптографии.

ВысокаяВысокая.

НизкаяНизкая.

СредняяОтсутствие контроля входных или выходных данных.

СредняяСредняя.

ВысокаяНизкая.

НизкаяОтсутствие проверки обрабатываемых данных.

СредняяСредняя.

ВысокаяСредняя.

НизкаяНевыполнение или выполнение в недостаточном объеме тестирования программного обеспечения.

СредняяСредняя.

СредняяНизкая.

СредняяНеконтролируемая загрузка и использование программного обеспечения.

СредняяСредняя.

НизкаяНизкая.

НизкаяНеконтролируемое использование условно бесплатного или бесплатного программного обеспечения в корпоративных приложениях.

СредняяСредняя.

СредняяНизкая.

НизкаяНеправильный выбор тестовых данных.

НизкаяНизкая.

ВысокаяНизкая.

НизкаяПриложение 3 Результаты оценки угроз активам.

Группа угроз.

Содержание угроз.

Персональные данные клиентов.

Персональные данные сотрудников.

Финансовые и прочие документы учебного заведения.

Договора с клиентами.

Программно-аппаратные средства.

Угрозы утечки информации по техническим каналам:

Угрозы утечки акустической информации:

Использование направленных (ненаправленных) микрофонов воздушной проводимости для съема акустического излучения информативного речевого сигнала.Низкая.

НизкийНизкий.

НизкийНизкий.

Использование «контактных микрофонов» для съема виброакустических сигналов.Низкая.

НизкийНизкий.

НизкийНизкий.

Использование «лазерных микрофонов» для съема виброакустических сигналов.Низкая.

НизкийНизкий.

НизкийНизкий.

Использование средств ВЧ-навязывания для съема электрических сигналов, возникающих за счет микрофонного эффекта в ТС обработки ПДн и ВТСС (распространяются по проводам и линиям, выходящим за пределы служебных помещений).Низкий.

НизкийНизкий.

НизкийНизкий.

Применение средств ВЧ-облучения для съема радиоизлучения, модулированного информативным сигналом, возникающего при непосредственном облучении ТС обработки ПДн и ВТСС ВЧ-сигналом.Средняя.

СредняяНизкая.

НизкаяНизкая.

Применение акустооптических модуляторов на базе ВОЛ, находящихся в поле акустического сигнала («оптических микрофонов»).Низкая.

НизкаяНизкая.

НизкаяНизкая.

Угрозы утечки видовой информации:

Визуальный просмотр на экранах дисплеев, других средств отображения СВТ, ИВК, входящих в состав ИСПДн.Средняя.

СредняяНизкая.

НизкаяСредняя.

Визуальный просмотр с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, ИВК, входящих в состав ИСПДн.Средняя.

СредняяНизкая.

НизкаяНизкая.

Использование специальных электронных устройств съема видовой информации (видеозакладки).Низкая.

НизкаяНизкая.

НизкаяНизкая.

Угрозы утечки информации по каналам ПЭМИН:

Применение специальных средств регистрации ПЭМИН от ТС и линий передачи информации (ПАК, сканерные приемники, цифровые анализаторы спектра, селективные микровольтметры).Низкая.

НизкаяНизкая.

НизкаяНизкая.

Применение токосъемников для регистрации наводок информативного сигналов, обрабатываемых ТС, на цепи электропитания и линии связи, выходящие за пределы служебных помещений.Низкая.

НизкаяНизкая.

НизкаяНизкая.

Применение специальных средств регистрации радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав ТС ИСПДн или при наличии паразитной генерации в узлах ТС.Низкая.

НизкаяНизкая.

НизкаяНизкая.

Применение специальных средств регистрации радиоизлучений, формируемых в результате ВЧ-облучения ТС ИСПДн в которых проводится обработка информативных сигналов — параметрических каналов утечки.Низкая.

НизкаяНизкая.

НизкаяНизкая.

Угрозы НСД в ИСПДнУгрозы использования уязвимостей ИСПДн:

Ошибки либо преднамеренное внесение уязвимостей при проектировании и разработке СПО и ТС, недекларированные возможности СПО.Высокая.

ВысокаяСредняя.

НизкаяСредняя.

Доступ в операционную среду (локальную ОС отдельного ТС ИСПДн) с возможностью выполнения НСД вызовом штатных процедур или запуска специально разработанных программ.Высокая.

ВысокаяСредняя.

СредняяСредняя.

Доступ в среду функционирования прикладных программ (локальная СУБД, например) Высокая.

ВысокаяСредняя.

НизкаяСредняя.

Доступ непосредственно к информации пользователя, обусловленных возможностью нарушения ее конфиденциальности, целостности, доступности.Высокая.

ВысокаяСредняя.

СредняяСредняя.

Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия:

Сканирование сети и анализ сетевого трафика для изучения логики работы ИСПДн, выявления протоколов, портов, перехвата служебных данных (в том числе, идентификаторов и паролей), их подмены.Высокая.

ВысокаяСредняя.

НизкаяСредняя.

Применение специальных программ для выявления пароля (сниффинг, IP-спуффинг, разные виды перебора).Высокая.

ВысокаяСредняя.

СредняяСредняя.

Подмена доверенного объекта сети с присвоением его прав доступа, внедрение ложного объекта сети.Высокая.

ВысокаяСредняя.

СредняяСредняя.

Реализация угрозы отказа в обслуживании.

СредняяСредняя.

НизкаяНизкая.

СредняяВнедрение специализированных троянов, вредоносных программ.Высокая.

ВысокаяСредняя.

ВысокаяСредняя.

Сетевые атаки.Средняя.

СредняяНизкая.

НизкаяСредняя.

Применение утилит администрирования сети.Низкая.

НизкаяНизкая.

НизкаяНизкая.

Угрозы программно-математических воздействий:

Внедрение программных закладок.Средняя.

СредняяСредняя.

НизкаяНизкая.

Внедрение вредоносных программ (случайное или преднамеренное, по каналам связи).Высокая.

ВысокаяСредняя.

СредняяНизкая.

Внедрение вредоносных программ (случайное или преднамеренное, непосредственное).Средняя.

СредняяСредняя.

НизкаяНизкая.

Угрозы несанкционированного физического доступа к ТС и системам обеспечения:

Хищение ПЭВМ.Низкая.

НизкаяНизкая.

НизкаяНизкая.

Хищение сервера.Низкая.

НизкаяНизкая.

НизкаяНизкая.

Нарушение функционирования АРМ, НЖМД.Средняя.

СредняяНизкая.

НизкаяСредняя.

Нарушение функционирования сервера, НЖМД.Средняя.

СредняяНизкая.

НизкаяСредняя.

Нарушение функционирования кабельных линий связи, оборудования.Высокая.

ВысокаяСредняя.

СредняяСредняя.

Доступ к системам обеспечения, их повреждение.

НизкаяНизкая.

НизкаяНизкая.

НизкаяДоступ к снятым с эксплуатации носителям информации (содержащим остаточные данные).Средняя.

СредняяСредняя.

ВысокаяСредняя.

Угрозы неправомерных действий со стороны лиц, имеющих право доступа к информации:

Несанкционированное изменение информации.Высокая.

ВысокаяСредняя.

НизкаяСредняя.

Несанкционированное копирование информации.Высокая.

ВысокаяВысокая.

ВысокаяВысокая.

Разглашение информации лицам, не имеющим права доступа к ней.Высокая.

ВысокаяСредняя.

НизкаяВысокая.

Передача защищаемой информации по открытым каналам связи.Средняя.

СредняяНизкая.

НизкаяСредняя.

Копирование информации на незарегистрированный носитель информации, в том числе печать.Высокая.

ВысокаяВысокая.

СредняяВысокая.

Передача носителя информации лицу, не имеющему права доступа к имеющейся на нем информации.Высокая.

ВысокаяСредняя.

НизкаяВысокая.