Разработка комплексной системы защиты объекта критической информационной инфраструктуры
Введение
Законы и иные акты в области информационной безопасности за последние годы постепенно изменяются – дополняются и уточняются.
Вступил в силу новый приказ ФСТЭК № 77 ?Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну? от 29 апреля 2021 г., который определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну. В документе описан порядок организации работ по аттестации объектов информатизации.
Вступил в силу новый приказ ФСТЭК России № 35 от 20 февраля 2020 ?О внесении изменений в требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации, утвержденные приказом федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 23
Оглавление
Нормативные ссылки 5
Список сокращений 6
Введение 7
1 Разработка проекта подсистемы защиты информации от несанкционированного доступа 9
1.1 Исходные данные индивидуального задания 9
1.2 Определение перечня защищаемых ресурсов и их критичности 9
1.3 Определение информационных потребностей должностных лиц подразделений 14
1.4 Определение особенностей программно-аппаратной организации информационной системы 15
1.5 Категорирование объекта КИИ учреждения 16
2 Анализ угроз безопасности, возможных действий нарушителя критической информационной инфраструктуры транспортной инфраструктуры. Сценарий угроз 21
2.2 Модель угроз безопасности данных при их обработке в АС «ИАС «Маршрут» 26
2.3 Сценарий угроз 34
3 Выбор механизмов и средств защиты информации 43
3.1 Обоснование и описание СЗИ. Критерии Сэвиджа и Ходжа-Лемана 43
3.2 Оценка остаточного риска 54
3.3 Технико-экономическое обоснование проекта 55
Заключение 56
Список использованных источников 57
Приложение А 59
Список использованных источников
Руководящий документ ?Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации?. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.;
РД Гостехкомиссии ?Средства вычислительной техники. Защита от НСД. Показатели защищенности от несанкционированного доступа к информации?;
Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке вИСПДн;
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.;
Блог Алексея Лукацкого URL: http://lukatsky.blogspot.ru/ (дата обращения: 15.03.2017г.);
Сайт компании LETA URL: http://www.leta.ru (дата обращения: 15.03.2017г.);
Учебно?методическое пособие по подготовке выпускных квалификационных работ для студентов всех форм обучения по специальностям: 090103 – Организация и технология защиты информации, 090104 – Комплексная защита объектов информации, 090105 – Комплексное обеспечение информационной безопасности автоматизированных систем / Кубан. гос. технол. ун?т.; Разр.: В. С. Симанков, В. А. Кучер, В. Н. Хализев, Т. Т. Зангиев, Ю. А. Яблоновский, С.Ю. Фёдоров ? Краснодар: Изд?во КубГТУ, 2010. ? 156 с.
Постановление Правительства РФ от 8 февраля 2018 г. № 127 “Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений”;
Приказ Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов крити
До момента подключения АС «ИС Маршрут» к сетям общего пользования угрозы сетевого характера были неактуальны. Необходимость подключения вызвана требованиями в сфере образования, а именно необходимостью передавать данные из АС «ИАС “Маршрут» подсеть. На фоне изменения программно-аппаратной конфигурации АС «ИС Маршрут», существуют объективные предпосылки для реализации данных угроз, но меры обеспечения безопасности данных не приняты или недостаточны.
В АС «ИС Маршрут», до подключения к сетям общего пользования, не были реализованы меры по защите информации с применением средств межсетевого экранирования – на момент подключения системы к сети Интернет, вероятность угроз межсетевого экранирования высокая.
Часть угроз, осуществляемых через локальные сети и сеть Интернет, будут иметь малую степень вероятности реализации, ввиду наличия на всех АРМ сертифицированных средств антивирусной защиты информации. Регулярное обучение персонала работе с защищаемой информацией также позволяет сделать ряд угроз маловероятными.
Ввиду организации сетевого взаимодействия между информационными системами, в АС «ИС Маршрут» и подсети необходимо применять средства криптографической защиты информации для организации защищенного канала связи. На момент анализа, меры обеспечения безопасности от данного типа угроз не приняты. Вероятность реализации угроз – высокая.