МОДЕРНИЗАЦИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ФГУП «РОСТЕХИНВЕНТАРИЗАЦИЯ – ФЕДЕРАЛЬНОЕ БТИ» ДИПЛОМНИК: ХОРОШИХ Г.П. РУКОВОДИТЕЛЬ: АРАЛБАЕВ Т.З. 1

Цель. Повышение уровня защищенности системы информационной безопасности в ФГУП «Ростехинвентаризация – Федеральное БТИ» Задачи. Постановка задачи 1.Определение требуемого класса защищенности автоматизированной системы обработки данных (АСОД) в ФГУП «Ростехинвентаризация – Федеральное БТИ». 2.Определение требуемого класса защищенности средств вычислительной техники (СВТ) АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ». 3.Определение требований по защите информации от несанкционированного доступа (НСД) для АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ». 4.Классификация современных средств защиты информации (СЗИ), используемых в системе ФГУП «Ростехинвентаризация – Федеральное БТИ». 5.Определение подхода к выбору методов и средств защиты АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ». 6.Разработка алгоритма и программного средства для назначения прав доступа пользователям и группам, состоящих в Active Directory. 7.Разработка инструкций пользователя и программиста для программного средства разграничения доступа. 8.Расчет основных экономических показателей системы. 2

Задача 1. Определение требуемого класса защищенности АСОД в ФГУП «Ростехинвентаризация – Федеральное БТИ» Информационные ресурсы участвующие в процессе документооборота 3 Классификация видов ресурсов Структурная схема производственного документооборота Информационные ресурсы находящиеся на файловом сервере ограничены в доступе и имеют статус конфиденциальные Структурная схема АСОД ФГУП Бухгалтерия Бухгалтерские отчетности Проектно- технический отдел Техническая документация объектов Экономический отделСтоимость объектов АрхивВся документация

Задача 1. Определение требуемого класса защищенности АСОД в ФГУП «Ростехинвентаризация – Федеральное БТИ» (в соответствии с Руководящем Документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации) Для информации, являющейся собственностью государства и отнесенной к категории секретной, показатели защищенности от несанкционированного доступа, по классам защищенности АС не ниже (по группам): 3А, 2А, 1А, 1Б, 1В. Для рассматриваемой АСОД характерен 2А класс защищенности. 4

Задача 1. Определение требуемого класса защищенности АСОД в ФГУП «Ростехинвентаризация – Федеральное БТИ» (в соответствии с Руководящем Документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации) 5

Задача 2. Определение требуемого класса защищенности СВТ в АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ» (в соответствии с Руководящем Документом «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» ) Для класс защищенности АС 2А характерна 2-я группа классов защищенности СВТ, и класс 5 или 6 в зависимости от секретности используемой информации. Для ФГУП характерен 5 класс 6

Задача 3. Определение требований по защите информации от НСД для АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ» (в соответствии с Руководящем Документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации) 7 Подсистемы и требования Классы 2Б2А 1. Идентификация, проверка подлинности и контроль доступа субъектов: 1.1 В систему К терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ К программам К томам, каталогам, файлам, записям, полям записей-+ 2. Управление потоками информации-+ Требования к подсистеме управления доступом Для класса защищенности АС 2А, в подсистеме управления доступом должны выполняться все требования к данной подсистеме.

Задача 3. Определение требований по защите информации от НСД для АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ» (в соответствии с Руководящем Документом «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» ) 8 Наименование Класс защищенности показателя Дискреционный принцип контроля доступа+++=+= Мандатный принцип контроля доступа--+=== Очистка памяти-+++== Изоляция модулей--+=+= Маркировка документов--+=== Сопоставление пользователя с устройством--+=== Идентификация и аутентификация+=+=== Гарантии проектирования Регистрация-+++== Взаимодействие пользователя с КСЗ---+== Надежное восстановление---+== Целостность КСЗ-+++== Тестирование+++++= Руководство пользователя+===== Руководство по КСЗ++=++= Тестовая документация+++++= Конструкторская (проектная) документация Для 5 класс защищенности СВТ предусмотрен Дискреционный принцип контроля доступа

Группа СЗИСЗИ Технические (аппаратные) Сигнализация проникновения на предприятие Отдельная серверная комната Электронные ключи Программные Развернута служба каталогов Active Directory Установлена антивирусная системы защиты на ПЭВМ Брандмауэр Средства ОС Архивирование Установлена технология VPN Смешанные(программно-ппаратные)VLAN Организационные Физическая охрана помещений Пропускной режим Заключен договор об охране помещения и территории (действует пропускной режим) Описание технологического процесса обработки конфиденциальной информации Разработаны должностные инструкции служащих, разграничивающие их права и обязанности Положение о конфиденциальном документообороте Отдельная серверная комната под замком Задача 4. Классификация современных СЗИ, используемых в системе ФГУП«Ростехинвентаризация – Федеральное БТИ» 9

ТребованияСЗИКомпетентность 1 Идентификация, проверка подлинности и контроль доступа субъектов АD, Firewаll, Брандмауэр, Электронные ключи Присутствуют недостатки В системуАD Удовлетворяет в полной мере К терминалам, ЭВМ, каналам связи, внешним устройствам ЭВМ АD, Firewаll, Брандмауэр Удовлетворяет в полной мере К программамАD, Электронные ключи Удовлетворяет в полной мере К томам, каталогам, файлам, записям, полям записей АD Проблемы с наследованием прав доступа 2 Управление потоками информации VPN, VLАN, Firewаll, Брандмауэр Удовлетворяет в полной мере Необходимо решение проблемы с наследованием прав доступа в контроле доступа к томам, каталогам, файлам, записям, полям записи. Подсистема управления доступом Задача 5. Определение подхода к выбору методов и средств защиты АСОД ФГУП «Ростехинвентаризация – Федеральное БТИ» 10

Задача 6. Разработка алгоритма и программного средства для назначения прав доступа пользователям и группам, состоящим в Active Directory 11 Для разработки алгоритма необходимо в первую очередь построить модель разграничения доступа, на основе которой будет работать алгоритм. В качестве правил, по которым будет работать модель, используется структура организации, отраженная в структуре каталогов на файловом сервере. Структура каталогов на файловом сервере

Задача 6. Разработка алгоритма и программного средства для назначения прав доступа пользователям и группам, состоящим в Active Directory 12 Модель открытой системы ОД Модель разграничения доступа для ФГУП П- пользователи К - каталоги

Задача 6. Разработка алгоритма и программного средства для назначения прав доступа пользователям и группам, состоящим в Active Directory 13 Существующий вид матрицы доступа Объекты доступа К1К1 К2К2 …К i-1 КiКi …КmКm Субъекты доступа Гр 1 П1П1 wn… n n…n П2П2 ww… n n…n ……….…n …… П i-1 wnwnn Гр 2 ПiПi wr… n w…n ……….… …… ПmПm wn… r n…w Объекты доступа К1К1 К2К2 …К i-1 КiКi …КmКm Субъекты доступа Гр 1 П1П1 wn…nn…n П2П2 nw…nn…n ……….…n …… П i-1 nnwnn Гр 2 ПiПi rr…nw…n ……….… …… ПmПm nn…rn…w Требуемый вид матрицы доступа Права доступа, определенные моделью, будут записываться в матрицы доступа, представленные ниже. Обозначения. Гр – группа пользователей. П – пользователи. К – каталоги. n – отказ в доступе. r – доступ на чтение. w - доступ на запись. На пересечение субъектов (пользователей) и объектов (каталогов) доступа находятся права доступа.

Задача 6. Разработка алгоритма и программного средства для назначения прав доступа пользователям и группам, состоящим в Active Directory Модель дискреционного доступа Представляется совокупностью пяти наборов (множеств): U - множества пользователей; R - множества ресурсов; S - множества состояний; A - множества установленных полномочий; E - множества операций. Область безопасности представляется декартовым произведением: A × U × E × R × S (1) 14 Алгоритм программного средства

Схема связи модулей и рабочих файлов Ошибка подключения к домену Удаление задания Установка прав доступа Задача 7. Разработка инструкций пользователя и программиста для программного средства разграничения доступа 17

Наименование показателяЗначениеЕд. изм. Вспомогательные материалы950руб. Основная зарплата55640руб. Дополнительная зарплата5564руб. Взносы на социальное страхование и обеспечение21421,4руб. Затраты на электроэнергию616,32руб. Накладные расходы6120,4руб. Полная себестоимость90312,12руб. Затраты при использовании ручного труда78291,67руб. Затраты при использовании программы18060,07руб. Экономический эффект25009,87руб. Срок окупаемости1,5года Задача 8. Расчет основных экономических показателей системы Показатели экономической эффективности свидетельствуют о том, что программное средство окупаемо в приемлемые сроки. Положительный эффект от применения программного продукта особенно заметен при сравнении с трудозатратами при использовании ручного труда. 18