Разработка рекомендаций по защите данных единого регионального картографического сервиса
ВВЕДЕНИЕ
В настоящее время тема защиты данных единого регионального картографического сервиса актуальна в современном мире, где наблюдается взрывной рост объема и значимости геопространственных данных. В этих данных содержится ценная информация о территориях, объектах и населении, что делает их привлекательными для различных заинтересованных сторон. Одновременно с этим возрастают и угрозы безопасности, связанные с утечкой, несанкционированным доступом и злоупотреблением такими данными. Поэтому обеспечение защиты данных в едином региональном картографическом сервисе становится неотъемлемой частью его функционирования, позволяющей гарантировать конфиденциальность, целостность и доступность картографической информации для соответствующих пользователей и организаций.
Объект исследования: единая региональная цифровая платформа
Предмет исследования: единый региональный картографический сервис
Цель работы: повысить уровень информационной безопасности ЦПУПД «Плато».
Задачи исследова
СОДЕРЖАНИЕ
ВВЕДЕНИЕ 6
СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ 7
1 АРХИТЕКТУРА РЕГИОНАЛЬНОЙ ЦИФРОВОЙ ПЛАТФОРМЫ 8
1.1 Общая характеристика сервиса 8
1.2 Анализ основных функций и возможностей сервиса 9
1.3 Анализ используемых технологий и архитектуры 10
1.4 Обзор литературы по теме исследования 17
1.5 Выводы по разделу 23
2 АНАЛИЗ ТРЕБОВАНИЙ К ЗАЩИТЕ ДАННЫХ ЕДИНОГО РЕГИОНАЛЬНОГО КАРТОГРАФИЧЕСКОГО СЕРВИСА 25
2.1 Определение класса защищенности информационной системы 25
2.1 Определение объектов воздействия угроз безопасности в ЕРКС 28
2.2 Определение источников угроз информационной безопасности предприятия 32
2.3 Определение актуальных угроз информационной безопасности в ООО «Кибер-Софт» 35
2.3 Выводы по разделу 42
3 РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ЗАЩИТЕ ДАННЫХ ЕРКС 43
3.1 Анализ цифровой платформы управления пространственными данным «Плато» 43
3.1.1 Анализ архитектуры ЦПУПД 43
3.1.2 Анализ СУБД ЦПУПД 45
3.1.3 Варианты размещения СУБД 48
3.1.4 Определение наилучшего размещения СУБД 51
3.2 Определение средств защиты информации 52
3.3 Построение системы защиты информации 54
3.4 Оценка эффективности разработанной системы защиты информации 59
3.4.1 Оценка эффективности СЗИ в ИС по критерию оценки риски информационной безопасности ИС 59
3.4.2 Определение вероятностей реализации актуальных угроз 61
3.4.3 Определение степени использования организационных мер защиты информации в ИС 66
3.4.4 Определение степени использования технических мер защиты информации в ИС 67
3.4.5 Экономическая оценка внедрения СЗИ 69
ЗАКЛЮЧЕНИЕ 70
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 72
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Банк данных угроз безопасности информации [Электронный ресурс] – Режим доступа: https://bdu.fstec.ru/
2 Астахов А. М. Аудит безопасности информационных систем. Конфидент. –М.: СК Пресс, 2018.
3 ФСТЭК [Электронный ресурс] – Режим доступа: https://fstec.ru/
4 Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
5 Ликбез по уязвимостям в веб-приложениях, а также самые частые ошибки разработчиков [Электронный ресурс]. – URL: https://habr.com/ru/post/125727/
6 Костров Д. Системы обнаружения атак // BYTE Россия. – М.: Флинта, 2018.
7 С.Л. Зефиров, А.Ю. Щербакова. Оценка инцидентов информационной безопасности // Доклады томского государственного университета систем управления и радиоэлектроники. – 2014. – С. 77-81.
8 С.В. Лапшин. Методы повышения показатель качестве фильтрации DLP-систем на основе предметно-ориентированной морфологической модели естественного языка // Автореферат диссертации на соискание ученой степени кандидата технических наук. 2014. – 19 с.
9 А.Ю. Гречанная, А.Д. Тастенов. DLP системы и их роль в защите от утечек конфиденциальной информации // Наука и техника Казахстана. – 2015. – С. 23-27.
10 ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009. Национальный стандарт Российской Федерации. Сети коммуникационные промышленные. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Терминология, концептуальные положения и модели. – Введ.01.01.2016. – М.: Стандартинформ, 2020.
11 Е.А. Мартьянов. Исследование и разработка методик оценки защищённости информационных объектов от потенциальных нарушителей // Автореферат диссертации на соискание ученой степени кандидата технических наук. – 2019. – 19 с.
12 ФСТЭК. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 2008. – 10 с.
13 ГОСТ Р 51275-99. Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения. – Введ.01.01.2000. – М.: Изд.стандартов, 2002.
14 ГОСТ Р 50739-95. Средства Вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. – Введ.01.01.96. – М.: Изд.стандартов, 2002.
15 Федеральный закон «О персональных данных» от 27.07.2006 N 152. URL: http://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обраще-ния 14.05.2023).
16 Банк угроз ФСТЭК. – URL
Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
Класс защищенности ИС определяется в соответствии с таблицей 1:
Таблица 1 – Определение класса защищённости ИС в соответствии с приказом ФСТЭК N 21
Уровень значимости информации Масштаб информационной системы
Федеральн