Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Владимирский государственный университет кафедра Информатики.

Презентация:

Advertisements

Похожие презентации

Владимирский государственный университет кафедра Информатики и защиты информации доцент Курысев К.Н. Боровицкий Д.В. КЗИ-204 Разработка комплексной системы.

Advertisements

Комплексная система защиты информации на предприятии «ОВО при ОВД по Суздальскому району» Владимирский государственный университет кафедра Информатики.

Комплексная система защиты информации подразделения ОАО «ЦентрТелеком» Владимирский государственный университет кафедра Информатики и защиты информации.

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

ЛЕКЦИЯ 7 Обеспечение безопасности корпоративных информационных систем.

Презентация на тему: «Угрозы безопасности в информационной сфере. Правовая защита от угроз воздействия информации на личность, общество, государство».

Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.

1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.

Организационное обеспечение информационной безопасности Ю. А. Смолий.

КОММЕРЧЕСКАЯ ТАЙНА Формирование перечня сведений и обеспечение режима конфиденциальности.

Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.

Защита персональных данных в информационных системах 24 ноября 2010 года.

1 Реализация требований закона 152-ФЗ при развертывании системы защиты персональных данных в отдельно взятом муниципальном образовании.

Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.

«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)

Аудит информационной безопасности. Этапы построения комплексной системы информационной безопасности. Начальник технического отдела ООО « СКБ » Михеев Игорь.

Информационная безопасность вуза. Организация работ по защите информации при построении единого информационного пространства кандидат технических наук,

Удостоверяющий центр ООО «ПНК» Лукашина Елена Юрьевна Заместитель генерального директора по проектам в сфере информационной безопасности ООО "ПНК"

ЛАБОРАТОРНАЯ РАБОТА 3 РАЗРАБОТКА ДОЛЖНОСТНОЙ ИНСТРУКЦИИ АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Студент группы 4731 Смуров Александр Владимирович.

Транксрипт:

Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Владимирский государственный университет кафедра Информатики и защиты информации д.т.н. проф. Монахов М.Ю Иванов В.В. КЗИ-204

Цели и задачи - Провести анализ ОИ – определить структуру угроз, множество уязвимостей и информационных ресурсов, выделить средства обработки информации и имеющихся в наличии средства защиты и мероприятия. - В соответствии со спецификой предприятия предложить и обосновать диапазон удовлетворяющих значений общего показателя защищенности - Рассчитать информационные риски при текущем уровне обеспечения ИБ - Разработать комплекс средств и мероприятий направленных на совершенствование КСЗИ в рамках выделяемого предприятием финансирования. - На основе расчетов новых значений информационных рисков (с учетом дополнительных мер) определить соответствие нового показателя защищенности установленному диапазону удовлетворительных значений. Слайд 2

Предприятие Анализ объекта исследования

Объект информатизации 1 - Административное здание 2 - Административно – хозяйственное здание 3 - Склад ОРСА 4 - Дом священника (бывшее Административное здание) 5 - Церковь (бывший Материально технический склад) 6 - Административно – хозяйственное здание 7 - КПП 8 - Административное здание 9 - Столовая 10 - Гараж на 2 автомобиля 11 - Котельная 12 - ГРП 13 - ТП 1х400 кВА 16- Спортивная площадка. Слайд 4 Анализ объекта исследования

Информационная система ИС СП-18 Информационные ресурсыИнформационные процессы Секретные Конфиденциальные Создание/регистрация Хранение Изменение Передача Уничтожение К секретной информации на предприятие относят информацию в соответствие с Перечнем информации «Перечень сведений подлежащих засекречиванию, Министерства промышленности и энергетики Российской Федерации» утвержден приказом Минпроэнерго РФ от 27 августа 2007г. 10С. Перечень сведений, которые в рамках предприятия имеют конфиденциальный характер, представлен в соответствующем документе утвержден генерального директора. Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 5 Анализ объекта исследования

Информационные база Информационная база ПоступающаяХранимаяВыдаваемая Формализованные документы В памяти ЭВМНа устройства печати На машинных носителяхВ архиве на магнитных носителях На устройства регистрации графической информации По каналам связи На каналы связи С рабочих мест должностных лиц В виде документов На устройства отображения индивидуального пользователя На накопители информации Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 6 Обозначения: Красным – угрозы Синим - уязвимости 1,2,5,16,171,2,6,7,11 1,2,5,16,17,18,19 1,2,5,6,17,18,19 4,8 3,4,9,10,14,16 6,7,8 8, 5,6,12,15 4,5,6,8 6,18,19 1,3,5,10 3,4,14,15 1,11,12 3,4,14,15 1,2,3,6,10,12 4,6,12 1,2,3,6 6,7,8,9,11 1,2,5 3,6,8,11,12 4,5,7,8 1,2,6,7,11 6,7,8,9,11 Анализ объекта исследования

Охрана периметра Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 7 Анализ объекта исследования

КПП и церковь Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 8 Внешний вид КПП Церковь находящаяся в охраняемом периметре Анализ объекта исследования

Анализ объекта показал В ИС СП-18 циркулирует информация конфиденциального характера в соответствии с принятыми на предприятие документами к такой информации относятся: Персональные данные Результаты интеллектуальной деятельности ОНИИР Сведения планово – экономического характера Организация и фактическое состояние Гос. тайны Сведения по организации, содержании, планирование или проведение мероприятий в области ПДИТР и ТЗИ Речевая информация Разработка и оформление служебной документации Секретная переписка На объекте существуют определенные меры, способы и механизмы ЗИ к ним можно отнести: Административно - правовые Организационные технические меры Аппаратно- программные средства Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 9 Анализ объекта исследования

Административно - правовые К административно – правовым мерам защиты информации можно отнести: Положения о защите конфиденциальной информации ФГУП ГосНИИЛЦ РФ «Радуга» Положение об отряде ведомственной охраны ФГУП ГосНИИЛЦ РФ Радуга. Перечень сооружений и помещений, находящихся под охраной караулов. Список лиц, имеющих право сдавать под охрану караулов вскрывать режимные помещения. Табель постам караула отряда ведомственной охраны ФГУП ГосНИИЛЦ РФ Радуга по охране предприятия. Инструкция по обеспечению режима секретности РФ 3-1. Инструкция по обеспечению режима секретности при обработке информации на средствах ВТ. Инструкция о пропускном и внутри объектовом режиме ФГУП ГосНИИЛЦ Радуга. Слайд 10 Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Анализ объекта исследования

Мероприятия существующие на предприятие Организационные технические меры: состояние зданий объекта организация охраны СП-18 тактика охраны организация ОТС. проведение мер, исключающих использование конкурентами технических средств перехвата или съема информации с ее носителей. Аппаратно- программные средства: Межсетевой экран для выхода в сеть Интернет (сертификат ФСТЭК). Программное средство криптографической защиты (СКЗИ) для организации VPN-подключения АРМ КПП СП-13 к кадровой базе данных сети 1С (сертификат ФАПСИ). Остальное оборудование сертификации по требованиям БИ не подлежит. Слайд 11 Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Анализ объекта исследования

Множество уязвимостей информационной безопасности Программные Возможные дефекты, сбои, отказы, аварии ТС и систем ОИ. Возможные сбои и отказы программного обеспечения СОД. Организационные Возможность разглашение защищаемой информации лицами, имеющими к ней право доступа. Возможность разглашение информации лицам, не имеющим права доступа к защищаемой информации. Передача информации по открытым линиям связи. Обработка информации на незащищенных ТС обработки информации. Копирование информации на незарегистрированный носитель информации. Передача носителя информации лицу, не имеющему права доступа к ней. Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации. Ошибки обслуживающего персонала ОИ. Ошибки при эксплуатации ТС. Ошибки при эксплуатации программных средств. Ошибки при эксплуатации средств и систем защиты информации. Несоблюдение требований по защите информации. Неправильная организация контроля эффективности защиты информации. Технические каналы Возможность подключения к техническим средствам и системам ОИ. Передача сигналов по проводным линиям связи. Электромагнитные излучения и поля. Излучения в радиодиапазоне. Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 12 Анализ угроз и уязвимостей информационной системы

Множество угроз информационной безопасности Ознакомление с конфиденциальной информацией Модификация конфиденциальной информации Разглашение конфиденциальной информации персоналом Вывод из строя средств обработки информации, приводящий к модификации, уничтожению или ограничению доступа к конфиденциальной информации Несанкционированный доступ к ресурсам операционной системы неограниченного круга лиц Доступ злоумышленника к данным на носителях информации Получение данных при использовании программ- троянцев, недокументированных возможностей программных комплексов; Потеря данных вследствие сбоев в работе средств обработки информации; Ограничение доступа или потеря данных вследствие заражения вирусами Возможность физического проникновения злоумышленника в КЗ. Угроза потери данных в случае НСД. Вынос информации за пределы территории на твердых носителях. Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 13 Анализ угроз и уязвимостей информационной системы

Коэффициент защищенности информационной системы Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 14 Анализ информационных рисков с имеющейся системой безопасности

Наиболее критичные угрозы Разглашение конфиденциальной информации персоналом Возможность несанкционированного доступа к ресурсам операционной - системы неограниченного круга лиц Ограничение доступа или потеря данных вследствие заражения вирусами Вынос информации за пределы территории на твердых носителях Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 15 Анализ информационных рисков с имеющейся системой безопасности

Меры по повышению ИБ Разработка пакета документов по обеспечению ИБ Разработка инструкций для пользователей СОИ Повышение функциональности охраны периметра. Выделение помещений для работы с КТ. Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 16 Реализация мер по повышению информационной безопасности Повышение функциональности охраны периметра Оснащение зданий полноростовыми турникетами Ростов-Дон ПР1Л/3 Суммарные затраты рублей Оборудование периметра средствами ТСО Суммарные затраты рублей

Изменение периметра Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 17 Существующий периметр состоит из 10 линейных участков Необходимо изменение периметра для исключения охраняемого периметра Церкви Для изменения периметра предлагается построение двух линейных участков Ограждения длиной 61 и 95 Метров периметр будет Представлен 8 линейными участками Реализация мер по повышению информационной безопасности

Выделенное помещение 1 – Окна 2 – Батареи 3 – Кресла 4 – Столы 6 – Двери 7 - Выключатели света 8 – Вентиляции 9 - Трибуна Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 18 Реализация мер по повышению информационной безопасности

Коэффициент защищенности информационной системы Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 19 Расчет экономических рисков в случае применения мер по повышению информационной безопасности

Показатели новой системы Коэффициент изменения защищенности Экономический эффект после внедрения новой СЗИ Разработка комплекса мероприятий по повышению защищенности информации ФГУП ГосНИИЛЦ РФ «Радуга» Слайд 20 Расчет экономических рисков в случае применения мер по повышению информационной безопасности

Выводы Вопрос защиты информации на данном предприятии имеет первостепенное значение для сохранения престижа и экономического благополучия предприятия. Детали и характер производства, научно-исследовательская база носят конфиденциальный характер – поэтому периметр и основные ключевые объекты информатизации предприятия подлежат защите в обязательном порядке. Несанкционированное проникновение на объект может привести к раскрытию информации: о производимых изделиях (назначение, вид деталей), разглашение которой не несёт опасности. Сама по себе такая информация ценности не представляет. о территории объекта и состоянии технической укреплённости. Применение злоумышленником этой информации в корыстных целях может повлечь за собой раскрытие другой ценной информации. связанной с функционированием информационных систем и сетей, обрабатывающих конфиденциальную информацию: сведений о размещении баз данных, банков информации, обеспечении их средствами безопасности и порядке доступа к ним, сведения о разграничении доступа пользователей к конфиденциальной информации и их полномочиях, сведения о технических решениях по защите информации. содержащихся на объекте документов – научно-исследовательской базы. Эта информация может стать основной целью злоумышленника, представляя информационную ценность и её раскрытие может нанести серьёзный экономический ущерб предприятию. В ходе расчетов информационных рисков предприятия получены следующие результаты. Коэффициент защищенности получился не высокий – 0,51. Вероятности возникновения и устранения угроз довольно велики. Поэтому целесообразно внести в имеющуюся систему защиты информации изменения, с целью повышения защищенности и минимизации рисков. Предложенный комплекс направлен на повышение информационной безопасности в целом, он направлен как на сотрудников предприятия так и на посторонних злоумышленников. Коэффициент изменения защищенности после принятия мер по повышению информационной безопасности получился высоким – 0,75 (т.е. защищенность объекта при внедрении новой системы защиты повысилась на 75%). Имеется существенный прирост экономической эффективности, это значит, что повышение защищенности объекта экономически обоснованно – риск от потери ресурсов значительно превосходит стоимость системы защиты. На основе полученных данных можно рекомендовать внедрение на предприятие предложенных мер. Слайд 21