Разработка политики информационной безопасности системы
Регулярный контроль со стороны работников, ответственных за обеспечение безопасности конфиденциальной информации при их обработке в АС, прав доступа пользователей к АРМ и установленного на них ПО. Описание информационной системы Компания ООО «ЦИТ «Аспект» является коммерческой организацией, и является региональным представителем множества крупнейших организаций продающих ПО. Анализ технической… Читать ещё >
Разработка политики информационной безопасности системы (реферат, курсовая, диплом, контрольная)
Аннотация В данном курсовом проекте был проведен анализ технической оснащённости, схемы ЛВС и технического паспорта объекта. Во второй части курсовой работы необходимо провести анализ угроз информационной безопасности (УИБ). Степень опасности каждой угрозы оценивалась методом экспертных оценок способом неформального оценивания. В третьей части работы был произведен подбор технических и программных средств защиты информации, а также, разработана политику информационной безопасности. Для каждого подобранного средства указаны его стоимость и технические характеристики. В конце основной части курсовой работы был произведен приближенный анализ эффективности системы. В практической части проекта была реализована функция хеширования с помощью алгоритма AES.
1. Описание информационной системы
1.1 Анализ технической оснащенности ИС
1.2 Анализ информации, циркулирующий в компании
1.3 Информационная политика предприятия
2. Анализ угроз информационной безопасности
3. Разработка политики информационной безопасности ИС
3.1 Средства защиты информации в ИС
3.2 Разграничение доступа к информации
4. Анализ эффективности систем защиты информации
5. Практическая часть Список используемой литературы
1. Описание информационной системы Компания ООО «ЦИТ «Аспект» является коммерческой организацией, и является региональным представителем множества крупнейших организаций продающих ПО.
1.1 Анализ технической оснащенности ИС Локально-вычислительная сеть состоит из 7 АРМ (автоматизированное рабочее место), одного сервера, также имеется периферийное оборудование (принтеры).
Схема продемонстрирована на рис. 1.
Рис. 1. Схема ЛВС Таблица 1. Технический паспорт объекта
Наименование объекта | ЦИТ Аспкет | |
Офис (этажей в многоэтажном здании) | Офисный комплекс (2 этажа) | |
Наличие комнат с неконтролируемым доступом | ; | |
Порядок доступа в помещения | На внутреннем дворе имеется помещение охраны, которое контролирует въезд всех машин на территорию двора. | |
Наличие других предприятий | Да | |
Состав технических средств | ||
Количество и тех. характеристики серверов | Сервер баз данных Meijin Intel Xeon 4U 4x E7−4850 128G 1.8T SAS | |
Количество и характеристики АРМ | 1. ASUS K75D <90NB3C4−18W528−35813AC> A8 4500M / 4 / 1Tb / DVD-RW / HD7670M / WiFi / BT / Win8 / 17.3″ / 3.26 кг 2. DELL Inspiron 5520 <5520−5872> i5 3210M / 6 / 1Tb / DVD-RW / HD7670M / WiFi / BT / Win7HB / 15.6″ / 2.8 кг 3. ПЭВМ C5000MB (C533XLNi): Core i3−3220 / 4 Гб / 500 Гб / HD Graphics 2500 / DVDRW / Win7 Pro (5 штук) | |
Количество коммутаторов ЛВС | 1. D-Link DES-1210−28P/ 2 x Ethernet 100 Мбит/сек/ 28 | |
Характеристика ПО | ||
Наименование | «1С: Бухгалтерия», Kaspersky CRYSTAL, Kaspersky Internet Security | |
Дополнительное ПО | ||
Наименование | Гарант, Гектор, Консультант +, и другое продаваемое ПО | |
Выход в Internet | ||
Тип подключения | VPN-подключение скорость передачи — 5 мб/сек провайдерБКС | |
Коммуникационное оборудование | Realtek pci-e gbe family controller | |
Дополнительное оборудование | ||
Факсы | Факс Brother FAX-2845 | |
Факс-модемы (не используемые для Internet) | Нет | |
Внутренняя АТС | Нет | |
Телефоны | 1. Телефон teXet TX-212 (3 штуки) 2. Телефон Panasonic KX-TS 2365RUW (3 штуки) | |
1.2 Анализ информации, циркулирующий в компании Таблица 2. Анализ информации в ИС
№ элемента информации | Элемент информации | Местонахождение источника информации | |
Финансовые документы | Кабинет директора, кабинет бухгалтера | ||
Отчеты об уровне доходов | Кабинет директора, кабинет бухгалтера | ||
Приказы | Кабинет директора | ||
Организационные документы | Все кабинеты | ||
Бухгалтерские документы | Кабинет бухгалтера | ||
Данные о партнёрах и ценах | Отдел по работе с клиентами | ||
Продаваемое ПО и цена его закупки | Отдел по работе с клиентами | ||
1.3 Информационная политика предприятия В учреждении применяется ролевая модель безопасности. Для всех клиентов, во-первых, всегда доступен сайт, который постоянно обновляется и содержит самую последнюю информацию. Во-вторых, работает телефон тех поддержки.
2. Анализ угроз информационной безопасности Таблица 3. Анализ угроз информационной безопасности
№ ИР | Угроза информационной безопасности | Степень опасности | Уровень потерь | |
Перехват управления загрузкой операционной системы (ОС) АС, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к конфиденциальной информации | средняя | ~ 20 000 | ||
Вызов штатных программ ОС АС или запуск специально разработанных программ, реализующих НСД к АС | средняя | ~25 000 | ||
Внедрение в АС вредоносных программ | средняя | ~23 000 | ||
Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации | средняя | ~ 20 000 | ||
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа | высокая | ~300 000 | ||
Удаленный запуск приложения в АС | высокая | ~60 000 | ||
Внедрение по сети вредоносных программ | средняя | ~20 000 | ||
Хищение элементов АС, содержащих конфиденциальной информации | высокая | ~300 000 | ||
Вывод из строя элементов АС | средняя | ~45 000 | ||
Внедрение в АС аппаратных закладок | высокая | ~150 000 | ||
Утрата паролей доступа к АС | низкая | ~19 000 | ||
Искажение или уничтожение информации в результате ошибок пользователя | средняя | ~9 000 | ||
Выход из строя аппаратно-программных средств АС | средняя | ~45 000 | ||
Таблица 4. Методы защиты информации
№ п. п | № УИБ | Мероприятия по защите | |
Запрет загрузки АРМ с отчуждаемых носителей информации. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. | |||
Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | |||
Использование на серверах и АРМ, входящих в состав АС, антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов АС. Настройка антивирусного ПО на проверку подключаемых отчуждаемых носителей информации. | |||
Сегментирование ЛВС с помощью виртуальных локальных сетей. Запрет установки ПО, не связанного с исполнением служебных обязанностей. Регулярный контроль со стороны работников, ответственных за обеспечение безопасности конфиденциальной информации при их обработке в АС, прав доступа пользователей к АРМ и установленного на них ПО. Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | |||
Сегментирование ЛВС с помощью виртуальных локальных сетей. Использование систем обнаружения и предотвращения вторжений. Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | |||
Сегментирование ЛВС с помощью виртуальных локальных сетей. Выполнение регулярного обновления ПО с помощью ПО АС. Использование систем обнаружения и предотвращения вторжений. | |||
Использование на серверах и АРМ входящих в состав АС антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов АС. | |||
Организация пропускного режима. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. | |||
Организация пропускного режима. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. Размещение помещений, содержащих АС, в пределах контролируемой зоны. | |||
Организация пропускного режима. Контроль доступа в помещения, где ведется обработка конфиденциальной информации. Организация выполнения работ технического обслуживания, выполняемых работниками сторонних организаций, в присутствии работников организации. Включение требования по информационной безопасности в договоры и контракты на проведение работ и оказание услуг. Выбор в качестве исполнителей работ и поставщиков услуг организаций, прошедших сертификацию. Заключениесоглашений о конфиденциальности со сторонними организациями, выполняющими работы или оказывающими услуги. | |||
Вменение персоналу АС обязанности обеспечения сохранности паролей. Определение парольной политики | |||
Контроль вводимых данных. Предоставление персоналу АС привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей | |||
Резервирование аппаратных ресурсов АС. | |||
3. Разработка политики информационной безопасности ИС
3.1 Средства защиты информации в ИС СЗИ от НСД Страж NТ (для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах) Антивирусная защита (Kaspersky CRYSTAL, Kaspersky Internet Security).
Обязательная установка на все компьютеры. Полное сканирование один раз в месяц. Обновление антивирусных баз один раз в неделю.
Резервное копирование.
Копирование всей рабочей документации каждые 6 дней.
Проверка информационной системы один раз в год.
Таблица 5. Перечень информации подлежащей защите
№ элемента информации | Элемент информации | Гриф конфиденциальности информации | Местонахождение источника информации | |
Финансовые документы | Конфиденциально | Кабинет директора, кабинет бухгалтера | ||
Отчеты об уровне доходов | Конфиденциально | Кабинет директора, кабинет бухгалтера | ||
Приказы | Конфиденциально | Кабинет директора | ||
Организационные документы | Конфиденциально | Все кабинеты | ||
Бухгалтерские документы | Служебная информация | Кабинет бухгалтера | ||
Данные о партнёрах и ценах | Конфиденциально | Отдел по работе с клиентами | ||
Продаваемое ПО и цена его закупки | Служебная информация | Отдел по работе с клиентами | ||
3.2 Разграничение доступа к информации Дискреционное управление доступом (англ. Discretionary access control) — разграничение доступа между поименованными субъектами и поименованными объектами.
Табл. 6 Модель доступа
№ п/п | Фамилия, имя, отчество пользователя | Уровень полномочий, функции | Информационные ресурсы, к которым имеет доступ пользователь и права доступа | ||
Список ресурсов, к которым разрешен доступ | Список ресурсов, к которым запрещен доступ | ||||
Щербаков Дмитрий Александрович | Администратор безопасности информации | Полные права на доступ | |||
Терешенок Александр Сергеевич | Заместитель администратора | Полные права на доступ | |||
Володина Лариса Юрьевна | Пользователь / Работа с БД ПД и документами | 1.Средства ОС, необходимые для запуска и работы ПЭВМ. 2.Средства разработки документов. 3.Антивирусные средства. | 1.Средства настройки и управления СЗИ от НСД. 2. Каталоги других пользователей 3.Основные конфигурационные файлы ОС и драйверы СЗИ от НСД. | ||
Вербицкий Сергей Викторович | |||||
Мигик Иван Александрович | |||||
4. Анализ эффективности системы защиты информации Табл. 7
Примерный уровень потерь
№ ИР | Угроза информационной безопасности | Степень опасности | Уровень потерь | |
Перехват управления загрузкой операционной системы (ОС) АС, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к конфиденциальной информации | средняя | ~ 20 000 | ||
Вызов штатных программ ОС АС или запуск специально разработанных программ, реализующих НСД к АС | средняя | ~25 000 | ||
Внедрение в АС вредоносных программ | средняя | ~23 000 | ||
Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации | средняя | ~ 20 000 | ||
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа | высокая | ~300 000 | ||
Удаленный запуск приложения в АС | высокая | ~60 000 | ||
Внедрение по сети вредоносных программ | средняя | ~20 000 | ||
Хищение элементов АС, содержащих конфиденциальной информации | высокая | ~300 000 | ||
Вывод из строя элементов АС | средняя | ~45 000 | ||
Внедрение в АС аппаратных закладок | высокая | ~150 000 | ||
Утрата паролей доступа к АС | низкая | ~19 000 | ||
Искажение или уничтожение информации в результате ошибок пользователя | средняя | ~9 000 | ||
Выход из строя аппаратно-программных средств АС | средняя | ~45 000 | ||
Цена за Страж NT 3.0 7500р, использованием которого уменьшаем вероятность реализации угроз, общий уровень потерь от которых может составлять примерно 345 000 руб Цена за пакет Kaspersky CRYSTAL (2 машины) составит 1990 руб в год, Kaspersky Internet Security (5 машин) составляет 4 800руб в год, с помощью которых уменьшается вероятность реализации угроз.
5. Практическая часть
41 Вариант AES Ex (Y) xor X
#!/usr/bin/env python
from Crypto. Cipher import AES
from itertools import cycle, izip
import string
import base64
import time
PADDING = '{'
BLOCK_SIZE = 32
pad = lambda s: s + (BLOCK_SIZE — len (s) % BLOCK_SIZE) * PADDING
EncodeAES = lambda c, s: base64. b64encode (c.encrypt (pad (s)))
loop=5
while loop==5:
letter=3
while letter==3:
secret = raw_input («vvedite klyuch shifrovaniya (klyuch dolzhen byt' 16 simvolov): «)
countTotal= (len (secret))
if countTotal==16:
cipher = AES. new (secret)
letter=0
else:
print «klyuch dolzhen byt' 16 simvolovn»
letter=3
data=raw_input («vvedite parol': «)
encoded = EncodeAES (cipher, data)
E = ''.join (chr (ord (c)^ord (k)) for c, k in izip (encoded, cycle (secret)))
print 'Encrypted string:', E
options=raw_input («shifrovat' snova? Y/Nn»)
if options=='y':
loop=5
if options=='n':
loop=0
if loop==0:
time.sleep (2)
exit
В начале инициализируются переменные и импортируется необходимый нам алгоритм шифрования AES. Далее запрос у пользователя ввести ключ шифрования, который должен быть 16 символов, в случае если введенное поле не удовлетворяет по длине, запрос будет повторен. Также пользователю необходимо ввести пароль, который будет подвергаться хэшированию, далее он шифруется с помощью AES. Затем выполняется функция XOR в соответствии с заданием Ex (Y) xor X, и результат выводится на экран.
информационная безопасность доступ потеря
Список литературы
ГОСТ Р ИСО/МЭК 13 335−2006 Информационные технологии. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий Юркова Т. И., Юрков С. В. Экономика предприятия: Конспект лекций; ГАЦМиЗ. — Красноярск, 2001. — 109 с.
В.А. Герасименко, А. А. Малюк Основы защиты информации М: ООО «Инкомбук», 1995 — 537 с.
ГОСТ Р 51 275−99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию ГОСТ Р ИСО/МЭК 17 799−2005 Практические правила управления информационной безопасностью