Разработка рекомендаций по обеспечению защиты информации в Отделе записей актов гражданского состояния (ЗАГС) по Центральному району

Реферат

На тему: «Разработка рекомендаций по обеспечению защиты информации в отделе записей актов гражданского состояния (ЗАГС) по Центральному району»

Определения и сокращения

канал утечки информации	-методы и пути утечки информации из информационной системы
система	-совокупность функционально связанных элементов
АРМ	- автоматизированное рабочее место
ВТСС	-вспомогательные технические средства и системы
ЗИ	- защита информации
КИ	- конфиденциальная информация
КУИ	- каналы утечки информации
ПДн	- персональные данные
ПЭМИН	-побочные электромагнитные излучения и наводки
СЗИ	- средства защиты информации
ТКУИ	- технические каналы утечки информации
ТСОИ	-технических системах обработки информации
ЭВМ	- электронная вычислительная машина

Содержание

Определения и сокращения

Введение

1. Архитектурный анализ

1.1 Защитные свойства конструкционных материалов

1.2 Наличие оконных и дверных проёмов

.3 Конструкционные особенности объекта

.4 Ближайшие потенциально опасные объекты

2. Анализ информации, обрабатываемой на объекте

. Анализ программно-аппаратных средств обработки информации

. Анализ трудовых ресурсов

. Анализ системы контроля управления доступом

5.1 Инженерная защита оконных/дверных проёмов

.2 Организационные методы контроля доступа

.3 Программно-аппаратные и технические устройства датчикового контроля, видеонаблюдения и сигнализации

6. Анализ возможных угроз

. Модель нарушителя

. Рекомендации по обеспечению защиты информации

.1 Защита информации от утечки по техническим каналам

8.2    Защита информации от утечки по визуальному каналу

8.3 Защита информации от утечки с бытовыми отходами

8.4 Защита информации от специальных программ-вирусов

.5 Защита информации от несанкционированного доступа

Заключение

Список использованных источников

Приложение

Введение

Информационная безопасность организации - целенаправленная деятельность её органов и должностных лиц с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.

Обеспечение комплексной защиты организации от несанкционированного доступа к информации, обрабатываемой на объекте, и несанкционированного вмешательства в функционирование автоматизированных систем - цель данной работы. В реферате будет рассмотрена система обеспечения информационной безопасности ЗАГСа.

Полноценная информационная безопасность организации подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.

Отдел записей актов гражданского состояния (ЗАГС) - орган исполнительной власти в России и ряде иных государств, регистрирующий факты рождения, смерти, усыновления (удочерения), перемены имени, заключения и расторжения брака.

ЗАГС по Центральному району расположен по адресу г. Тула, пр. Ленина, 91 на первом этаже 4-х этажного здания. Здание построено в 1956 году. Первый этаж строения отведён под коммерческие и некоммерческие организации, остальные этажи являются жилыми.

1.     
Архитектурный анализ

 

1.1    Защитные свойства конструкционных материалов

Здание построено из керамического кирпича, конструкция фундамента - свайная. Толщина несущих стен составляет 50 - 60 см. Высота потолка в здании - около 3 м. При строительстве использовали цементную заливочную массу ПАНБЕКС Г5 - PENETRATING.

В соответствии с классификацией строительных конструкций по устойчивости к взлому (Р 78.36.003-99) постройку относится к группе 3 (степень защиты от взлома высокая).

1.2    Наличие оконных и дверных проёмов

На территории организации используются два типа дверей: металлическая стальная (входная дверь и дверь в архивное помещение) и деревянная (все остальные). Металлические стальные двери соответствуют 3 группе защиты, деревянные - 2 в соответствии с классификацией дверных конструкций по устойчивости к взлому Р 78.36.003-99.

Окна организации (размер 1950 мм на 1150 мм) выполнены из обычного стекла - недостаточная степень защиты от взлома. Четыре из них защищены глухими металлическими решётками из свариваемой стали (по ГОСТ 380-94 РФ) - средняя степень защиты от взлома (классификация оконных проемов по устойчивости к взлому Р 78.36.003-99).

1.3    Конструкционные особенности объекта

ЗАГС расположен на 1 этаже здания.

План помещения организации размещён в Приложении А.

1.4   
Ближайшие потенциально опасные объекты

Адрес: г. Тула, пр. Ленина, 91

ресторан «Библиотека» (цокольный этаж)

жилые этажи здания (со 2 по 4)

Адрес: г. Тула, пр. Ленина, 92

Тульский Государственный Университет

2.     
Анализ информации, обрабатываемой на объекте

Функции отдела ЗАГС по Центральному району:

регистрация заключения брака;

регистрация расторжения брака;

регистрация установления отцовства;

регистрация усыновления (удочерения);

регистрация перемены имени для жителей Центрального района;

дела по исправлению и изменению для жителей Центрального района;

выдача повторных свидетельств 1988 г. (по пос. Скуратовскому и Менделеевскому с 1990 г.);

выдача архивных справок с 1988 г. (по пос. Скуратовскому и Менделеевскому с 1990 г.).

В архиве отдела ЗАГС по Центральному району на хранении находятся книги актовых записей:

- по Скуратово-Менделеевскому филиалу с 1990 г. по настоящее время (рождение, заключение брака, расторжение брака, установление отцовства);

по Центральному району г. Тулы с 1988 г. по настоящее время (все виды актовых записей, кроме смерти).

В экономическом отделе обрабатываются персональные данные сотрудников.

Данная информация относится к конфиденциальной согласно Указу Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». В соответствии с Постановлением Правительства "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 01.11.2012г. №1119 подпунктом «в» пункта 11 уровень защищенности организации - 3, так как параметры обрабатываемой информации:

3-й тип актуальных угроз. Угрозы этого типа не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.

категория ПДн - специальные. Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

персональные данные не общедоступны;

число субъектов, ПДн которых обрабатываются, меньше 100 000;

обрабатываются персональные данные сотрудников.

Информация, обрабатываемая на объекте, может быть интересна мошенникам.

3.     
Анализ программно-аппаратных средств обработки информации

Расположение средств обработки информации приведено в Приложение Б.

На балансе организации числятся:

9 персональных ЭВМ

5 принтеров

1 шредер

2 сканера

На всех рабочих станциях установлено следующее программное обеспечение:

Операционная система «Microsoft Windows 7»

Офисный пакет приложений «Microsoft Office»

Сотрудники организации имеют доступ в Интернет (Wi-fi и проводной Интернет).

4.     
Анализ трудовых ресурсов

Таблица 1. Трудовые ресурсы организации

Штатным расписанием определены должности:	Доступ к КИ (не включая обработку ПДн сотрудников)
- начальник отдела ЗАГС	+
- начальник экономического отдела
- 3 сотрудника экономического отдела
- регистратор заключения брака	+
- регистратор расторжения брака	+
- сотрудник, регистрирующий факт рождения	+
- регистратор «Перемены имени»	+
- смотритель зала
- уборщик

5.     
Анализ системы контроля управления доступом

 

5.1    Инженерная защита оконных/дверных проёмов

В помещениях «Экономический отдел» и санитарная комната установлены металлические решетки из свариваемой стали (ГОСТ 380-94 РФ) на окна.

5.2    Организационные методы контроля доступа

При входе в помещение «Архив» на двери располагается табличка с надписью «Архив. Посторонним вход воспрещён».

5.3    Программно-аппаратные и технические устройства датчикового контроля, видеонаблюдения и сигнализации

Охранная сигнализация. На входной двери организации установлен магнито-контактный датчик, на каждом окне расположен датчик разбития стекла. Сигнал о незаконном проникновении поступает на пульт отделения полиции через автоматический дозваниватель (используется проводная телефонная линия). Охранная сигнализация является комбинированной: при незаконном проникновении на территорию организации передаётся информация в отделение полиции и включается звуковая сирена.

Пожарная сигнализация. Датчики, установленные в организации, являются двухрежимными (подают два сигнала: «Пожар» и «Нет пожара»), проводными (передают сигнал по кабелю), комбинированными (извещатели отслеживают абсолютное пороговое значение параметра и его динамику), одноточечными (детекторы дыма). Пожарная сигнализация круглосуточно передает информацию с датчиков на пульт дежурного пожарной части.

По всему внутреннему периметру территории ЗАГСа расположены видеокамеры KPC-S190SB1-40 (8), которые передают сигнал на АРМ оператора, расположенный в кабинете начальника. Видеокамера в помещении «Архив» находится в рабочем режиме, когда кто-либо находится в кладовой. Система видеонаблюдения соответствует 3 классу систем охранного телевидения согласно Р 78.36.008-99 «Проектирование и монтаж систем охранного телевидения и домофонов. Рекомендации».

Расположение датчиков охранной и пожарной сигнализация находится в Приложении В, видеокамер в Приложении Б.

6.     
Анализ возможных угроз

По способам реализации угроз выделяют угрозы, связанные с несанкционированным доступом к ПДн (в том числе угрозы внедрения вредоносных программ) и угрозы утечки ПДн по ТКУИ.

Возможно возникновение следующих каналов утечки информации:

акустический/виброакустический

Конфиденциальная информация не передаётся акустически. Пдн обрабатываются только на ТСОИ. Данный КУИ невозможен.

визуальный

Канал утечки информации возможен через окна здания.

ПЭМИН

Побочные электромагнитные излучения возникают при следующих режимах обработки информации средствами вычислительной техники:

вывод информации на экран монитора;

ввод данных с клавиатуры;

запись информации на накопители;

чтение информации с накопителей;

передача данных в каналы связи;

вывод данных на периферийные печатные устройства - принтеры;

запись данных от сканера на магнитный носитель и т.д.

Наводки информативных сигналов могут возникнуть

в линиях электропитания ТСОИ;

в линиях электропитания и соединительных линиях ВТСС;

в посторонних проводниках (металлических трубах систем отопления, водоснабжения, металлоконструкциях и т.д.).

К ВТСС относят технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, электрификации, радиофикации, часофикации, электробытовые приборы и т.д.

твёрдые бытовые отходы

Предприятие работает с бумажными носителями. Защита информации осуществляется организационными методами.

- специальные программы-вирусы

Пути проникновения вирусов в средства вычислительной техники:

проникновение вирусов на рабочие станции при использовании на рабочей станции инфицированных файлов с переносимых источников (флоппи-диски, компакт-диски и т.п.);

заражение вирусами с помощью инфицированного программного обеспечения, полученного из Интернет и проинсталлированного на локальной рабочей станции;

распространение электронной почты, содержащей в приложениях файлы Excel и Word, инфицированные макровирусами.

7.     
Модель нарушителя

Нарушитель ИБ - это лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам организации.

Исходя из перечня персональных данных, существуют следующие способы нарушения характеристик безопасности:

− хищение персональных данных сотрудниками предприятия для использования в корыстных целях;

− передача информации о субъекте персональных данных третьим лицам;

− несанкционированное публичное разглашение персональных данных, ставших известными сотрудникам предприятия;

− несанкционированное получение персональных данных третьими лицами;

− уничтожение информации о субъекте ПДн;

− модификация информации о субъекте ПДн;

− ввод некорректной информации о субъекте ПДн;

− передача некорректной информации о субъекте ПДн;

− искажение архивной информации по субъекту ПДн

В соответствии с моделью, все нарушители по признаку принадлежности делятся на внешних и внутренних.

Внутренний нарушитель.

Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:

− обслуживающий персонал (системные администраторы, отвечающие за эксплуатацию и сопровождение технических и программных средств);

− технический персонал (рабочие подсобных помещений, уборщицы и т. п.);

− сотрудники организации, которым предоставлен доступ в помещения, где расположено компьютерное оборудование.

Любой внутренний нарушитель может иметь физический доступ к линиям связи, системам электропитания и заземления. Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основными являются режимные мероприятия и организационно-технические меры, направленные на:

− предотвращение и пресечение несанкционированных действий;

− подбор и расстановку кадров;

− допуск физических лиц в контролируемую зону и к средствам вычислительной техники;

− контроль за порядком проведения работ.

Внешний нарушитель.

В качестве внешнего нарушителя могут выступать:

− бывшие сотрудники предприятий отрасли;

− посторонние лица, пытающиеся получить доступ к ПДн в инициативном порядке;

− представители преступных организаций.

Внешний нарушитель может осуществлять:

− перехват обрабатываемых техническими средствами ПДн за счет их утечки по ТКУИ;

− деструктивные воздействия через элементы информационной инфраструктуры, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами КЗ;

− НСД к информации с использованием специальных программных воздействий посредством программы вирусов, вредоносных программ, алгоритмических или программных закладок;

− перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от НСД к информации организационно-техническими мерами;

− атаки путем реализации угроз удаленного доступа.

8.     
Рекомендации по обеспечению защиты информации

Требования по защищенности для 3 уровня (в соответствии с Постановлением Правительства "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 01.11.2012 г. №1119):

организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

обеспечение сохранности носителей персональных данных;

утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

8.1    Защита информации от утечки по техническим каналам

Устройство "Соната-Р2" - техническое средство защиты информации от утечки информации за счет ПЭМИН, соответствует требованиям «Норм защиты информации, обрабатываемой средствами вычислительной техники и в автоматизированных системах, от утечки за счет побочных электромагнитных излучений и наводок» и техническому условию ЮДИН.665820.003 ТУ, подтверждено сертификатом ФСТЭК России № 1129. (Приложение Г)

Стоимость «Соната-Р2» - от 14 000 рублей.

8.2    Защита информации от утечки по визуальному каналу

Установить металлические (алюминиевые) горизонтальные жалюзи в соответствии ГОСТ Р 52502 - 2012 на окна организации (см. Приложение Г).

8.3    Защита информации от утечки по материально - вещественному каналу

ЗИ осуществляется организационными методами:

вся информация, подлежащая уничтожению за ненадобностью, уничтожается только с помощью шредера;

не допускается оставлять документы, содержащие КИ, без присмотра на рабочем месте;

вся документально оформленная конфиденциальная информация должна хранится только в архиве.

защита информация контроль доступ

8.4    Защита информации от специальных программ-вирусов

Система антивирусной защиты должна включать в себя:

антивирусную защиту рабочих станций;

возможность автоматического обновления антивирусных баз и версий.

При обнаружении программных вирусов пользователь обязан прекратить все работы на ПЭВМ, поставить в известность подразделение, осуществляющее эксплуатацию объектов информатизации, и совместно с его специалистами принять меры к локализации и удалению вирусов с помощью имеющихся антивирусных средств защиты.

При функционировании ПЭВМ в качестве рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.

Система антивирусной защиты, подтверждённая сертификатом ФСТЭК № 2446 - Антивирус Dr.Web Enterprise Security Suite версии 6.0.

Продукт Dr.Web соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» по 2-му уровню контроля и техническим условиям при выполнении указаний по эксплуатации.

Стоимость лицензии на 5 ПК составляет 5000 рублей.

Организационные методы защиты от вирусов

Правила обработки информации:

- Проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием.

Проверять на наличие вирусов файлы, загружаемые из Интернет.

Работая в Интернет, не соглашаться на внезапные предложения загрузить файл или установить программу.

Правила использования программ:

- Использовать только те программы и файлы, которые прошли сертификацию или являются лицензионными.

Устанавливать исправления операционной системы, часто используемых программ только в присутствии инженера по безопасности или при наличии письменного указания лица, ответственного за безопасность.

Не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений.

8.5    Защита информации от несанкционированного доступа

СЗИ Secret Net 7.0 - это система защиты конфиденциальной информации на серверах и рабочих станциях от несанкционированного доступа. Функционирует под управлением ОС семейств Windows, Linux. Net 7.0 обеспечивает

защиту конфиденциальной информации от НСД стационарных и портативных компьютеров, автономных или в составе локальной вычислительной сети, через локальный, сетевой и терминальный входы;

дискреционный принцип разграничения доступа к информационным ресурсам в соответствии со списками пользователей и их правами доступа (матрица доступа);

аудит действий пользователей - санкционированных и без соответствующих прав, ведение журналов регистрации событий;

контроль целостности файловой системы и программно-аппаратной среды.

Стоимость данного средства - от 6000 рублей.

Мониторинг сетевой безопасности обеспечит Xspider 7.8. Сертификат Федеральной Службы по техническому и экспортному контролю России № 2530 от 26.12.11 г. Ключевые возможности Xspider 7:

сканер сетевой безопасности XSpider 7;

глубокий интеллектуальный анализатор программного кода web-приложений для обнаружения уязвимости сайтов;

полная идентификация сервисов на случайных портах;

тестирование парольной защиты;

анализатор контента интернет-страниц и структуры HTTP-серверов;

отслеживание нестандартных DoS-атак;

механизмы, уменьшающие вероятность ложных срабатываний.

Стоимость лицензии XSpider 7.8 на 16 хостов на 1 год составляет 21 500 рублей.

Рекомендации по обеспечению защиты информации:

Таблица 2. Стоимость компонентов системы по обеспечению ЗИ

Наименование средства	Описание	Стоимость, руб.
Соната-Р2	Средство ЗИ от утечки информации за счет ПЭМИН	84 000
Secret Net 7.0	СЗИ от НСД	30 000
Dr.Web Enterprise Security Suite версии 6.0	Система антивирусной защиты	10 000  (в год)
Xspider 7.8	Средство обнаружения вторжений	21 500  (в год)
Жалюзи	Средство защиты утечки информации по визуальному каналу	1323 (1 шт.)
Итого:	- общая стоимость - 158 730 рублей  - стоимость поддержания системы в рабочем состоянии (ежегодная) - 31 500 рублей

Заключение

В реферате проанализирована система обеспечения информационной безопасности в отделе записей актов гражданского состояния (ЗАГС) по Центральному району. На основе результатов даны рекомендации по информационной защите организации.

Комплекс мер по защите информации на предприятии включает в себя следующие мероприятия:

- Назначение ролей и распределение ответственности за использование информационных ресурсов сети.

Разработка, реализация, внедрение и контроль исполнения планов мероприятий, политик безопасности и других документов по обеспечению информационной безопасности.

Подготовка пользователей и технических специалистов к решению проблем, связанных с обеспечением информационной безопасности.

Аудит состояния информационной безопасности предприятия.

В Приложении Г приведен план расположения средств обработки информации и средств защиты информации.

Список использованных источников

.       «ГОСТы (стандарты), Руководящие документы РД-21-02-2006 «Типовая инструкция о защите информации в автоматизированных средствах центрального аппарата, территориальных органов и организаций федеральной службы по экологическому, технологическому и атомному надзору» - 2014 [Электронный ресурс]. URL: #"784669.files/image001.gif">

Рисунок 1 - План помещения организации

Условные обозначения
1	- Металлическая стальная дверь
2	- Деревянная дверь
	- Металлическая решётка

Приложение Б

Рисунок 2 - Расположение ТСОИ и системы видеонаблюдения

Условные обозначения
1	- АРМ
2	- Телефонный аппарат
3	- Сканер
4	- Принтер
5	- Уничтожитель документов
6	- Видеокамера	- АРМ оператора

Приложение В

Рисунок 3 - Системы пожарной сигнализации и охраны

Условные обозначения
	- Сигнализация охранная (входная дверь) (1)
	- Сигнализация охранная (датчики разбития стекла) (2)
	- Пожарная сигнализация (3)

Приложение Г

Рисунок 4 - План расположения ТСОИ и СЗИ

Условные обозначения
1	- АРМ
2	- Телефонный аппарат
3	- Сканер
4	- Принтер
5	- Уничтожитель документов
6	- Видеокамера
7	- АРМ оператора
8	- Соната - Р2