Разработка комплекса рекомендаций по технической защите конфиденциальной информации на автоматизированных рабочих местах (на примере хозяйствующего субъекта)

Если отличия политики, применяемой к подразделению, незначительны, за основу можно взять доменную политику и с помощью редактора политик внести в нее требуемые изменения;

— применения созданных политик к соответствующим подразделениям. Инструмент Gpupdate. Инструмент командной строки Gpupdate используется для принудительного обновления групповых политик для компьютера или пользователя. Эта команда может использоваться для принудительного завершения сеанса пользователя или для перезапуска компьютера после обновления групповой политики, что полезно при обновлении групповых политик, которые применяются только при входе пользователя в систему или при перезапуске компьютера. Каждый защитный механизм имеет свой набор параметров. Все параметры, используемые в SecretNet, в зависимости от места их хранения в системе и способа доступа к ним можно разделить на четыре группы (рис. 3.2).Рис. 3.2 — Управление рабочими станциями

Параметры объектов групповой политики (П1). Как и стандартные параметры безопасности ОС, они хранятся на контроллере домена (для политик, применяемых к доменам и организационным подразделениям) или в локальных базах данных компьютеров (для локальных политик безопасности). Соответственно доступ к этим параметрам осуществляется средствами централизованного или локального управления. Действие параметров распространяется на компьютеры.

Параметры загружаются при запуске компьютера с установленной системой SecretNet вместе с другими параметрами групповой политики. Параметры, относящиеся к свойствам пользователей (П2). В зависимости от типа пользователя (доменный или локальный), они хранятся в ActiveDirectory или в локальных базах данных защищаемых компьютеров. Действие параметров распространяется на пользователей. Параметры загружаются в компьютер после выполнения процедуры идентификации и аутентификации пользователя. Параметры, относящиеся к атрибутам ресурсов (ПЗ) (файлов и каталогов). Используются в механизме полномочного разграничения доступа для управления категориями конфиденциальности ресурсов. Хранятся вместе со стандартными атрибутами ресурсов. Используются также в механизме шифрования для управления шифрованием каталогов и файлов. Значения этих параметров хранятся в специальных служебных файлах.

Управление всеми этими параметрами осуществляется с помощью расширения программы «Проводник». Настройку параметров выполняют только те пользователи, которым администратор безопасности установил соответствующие привилегии. Параметры механизмов контроля целостности и замкнутой программной среды (П4). Отдельная группа параметров, хранящаяся централизовано в ActiveDirectory и на каждом защищаемом компьютере в специальной базе данных SecretNet. Доступ к этим параметрам и их настройка осуществляются централизовано и локально. Настройку параметров защитных механизмов SecretNet, а также настройку параметров безопасности ОС Windowsнеобходимо выполнять только в рамках неконфиденциальной сессии. Исключение составляет изменение категорий конфиденциальности ресурсовпри включенном режиме контроля потоков конфиденциальной информации изменять категории конфиденциальности ресурсов можно только в конфиденциальных и строго конфиденциальных сессиях. Средства управления — это инструменты, с помощью которых главный администратор безопасности и локальный администратор управляют работой защитных механизмов и контролируют действия пользователей. В SecretNet имеется несколько таких инструментов, каждый из которых применяется в зависимости от того, какие параметры необходимо настроить и каким способом должна быть выполнена настройкацентрализованно или локально. Основными инструментами, с помощью которых осуществляется настройка параметров SecretNet, являются;(С1) Оснастка «Групповая политика» (в централизованном управлении) и оснастка «Локальная политика безопасности» (в локальном управлении) — предназначены для настройки группы параметров безопасности SecretNet, относящихся к конфигурации компьютера и входящих в параметры объектов групповой политики.(С2) Оснастка ActiveDirectory — пользователи и компьютеры" (в централизованном управлении) и оснастка «Управление компьютером» (в локальном управлении) -предназначены для настройки параметров работы соответственно доменных и локальных пользователей.(СЗ) Программа «Проводник» — используется для настройки параметров, относящихся к атрибутам файлов и каталогов, в механизмах полномочного разграничения доступа и шифрования.(С4) Программа «Контроль программ и данных» — предназначена для управления механизмами контроля целостности и замкнутой программной среды.(С5) Средства экспорта и импорта параметров — используются для тиражирования эталонных настроек системы защиты. С помощью средств экспорта и импорта упрощается локальная настройка нескольких компьютеров с одинаковыми параметрами защитных механизмов.

Параметры с эталонного компьютера переносятся на другой компьютер (или группу компьютеров) без необходимости повторять весь процесс настройки на каждом из них. В системе SecretNet предусмотрено делегирование полномочий администратора безопасности. Это означает, что некоторые функции по настройке и управлению работой защитных механизмов могут быть возложены на пользователей, не являющихся членами группы доменных администраторов. При этом настройка и управление могут осуществляться только в рамках определенных организационных подразделений, созданных внутри домена. К общим параметрам безопасности Windowsпосле модификации схемы АО добавляются параметры SecretNet, действие которых распространяется на компьютеры сети средствами групповых политик. Доступ к этим параметрам осуществляется в стандартном узле «Параметры безопасности» оснастки «Групповая политика» или «Редактор объектов групповой политики» (в зависимости от операционной системы).Оснастку можно вызывать как отдельный, самостоятельный инструмент или в качестве расширения таких оснасток как ActiveDirectory — пользователи и компьютеры" или «ActiveDirectoryActiveDirectory — сайты и службы». До начала установки системы SecretNet 6.5 следует выполнить ряд подготовительных мероприятий:

Назначить и подготовить сотрудников, которые будут устанавливать и эксплуатировать систему SecretNet 6.

5. Определить режимы работы SecretNet 6.5, для чего на тестовой группе компьютеров провести проверку совместимости используемых в организации приложений с расстановкой прав, выполняемой программой установки SecretNet 6.5, и работой механизмов защиты. Выполнить ревизию функционирования домена и устранить ошибки в его работе (при наличии таковых).Проверить соответствие компьютеров домена требованиям к аппаратному и программному обеспечению. Компоненты SecretNet 6.5 устанавливаются на компьютеры, работающие под управлением ОС Windows 2000/XP Professional/2003/Vista и оснащенные процессорами семейства INTEL X86 или совместимыми с ними. Все разделы жестких дисков компьютеров должны иметь файловую систему NTFS или NTFS5. Все компьютеры, на которых планируется использовать персо-нальныеидентификаторы, должны быть оборудованы разъемом для подключения (предъявления) персональных идентификаторов. На этих компьютерах необходимо установить соответствующее программное обеспечение (ПО) для работы с персональными идентификаторами (например, для работы с идентификаторами eToken устанавливается ПО eTokenRunTimeEnvironment).Установка системы осуществляется после выполнения подготовительных мероприятий в следующей последовательности:

Включить все контроллеры домена. Установить на контроллере домена инструментарий WindowsSupportTools из состава дистрибутива ОС. Выполнить модификацию AD и дождаться репликации схемы AD на все контроллеры домена. На компьютерах, которые будут использоваться в качестве серверов безопасности, установить:

• ПО сервера безопасности;

• ПО клиента. На рабочих местах администраторов SecretNet 6.5 установить:

• средство MicrosoftAdministrationToolsPack из состава дистри-бутива ОС Windows серверных платформ;

• ПО клиента;

• средства управления. Установить ПО клиента системы SecretNet 6.5 на серверы и контроллеры домена, затем на компьютеры сотрудников. При большом количестве компьютеров целесообразно применить автоматическую установку ПО клиента. Параметры пользователей используются механизмами защиты входа, шифрования и полномочного разграничения доступа. Параметры пользователя применяются при входе в систему после выполнения процедуры идентификации и аутентификации пользователя. Параметры доменных и локальных пользователей хранятся, соответственно, в ActiveDirectory или в локальных базах данных защищаемых компьютеров. При копировании объектов «Пользователь» параметры SecretNet 6.5 не копируются. Настройка параметров доменных и локальных пользователей осуществляется в соответствующих оснастках: доменные пользователи представлены в оснастке «ActiveDirectory — пользователи и компьютеры», локальные пользователи — вВызовите нужную оснастку: ActiveDirectory —пользователи и компьютеры

Активируйте команду «Пуск — Все программыАдминистрирование — ActiveDirectory — пользователи и компьютеры». Для управления параметрами доменных пользователей на компьютере, не являющемся контроллером домена, должны быть установлены средства централизованного управления ОС WindowsУправление компьютером

Активируйте команду «Пуск — Все ПрограммыSecretNet 6.5 — Управление компьютером» Найдите и выберите папку «Пользователи». В правой части появится список пользователей. Вызовите окно настройки свойств пользователя и перейдите к диалогу «SecretNet 6.5» .В левой части диалога расположена панель выбора режима работы. Переключение между режимами осуществляется выбором соответствующей пиктограммы на этой панели. Предусмотрены режимы рпедставленные в таблице 2.1:Таблица 2.1 Режимы работы «SecretNet 6.5Режим

НазначениеИдентификатор

Управление персональными идентификаторами пользователя

КриптоключУправление криптографическими ключами пользователя

ДоступУправление параметрами полномочного доступа

СервисПроверка принадлежности персональных идентификаторов

Персональный идентификатор — устройство, предназначенное для хранения информации, необходимой при идентификации и аутентификации пользователя. В идентификаторе могут храниться криптографические ключи пользователя. В SecretNet 6.5 используются персональные идентификаторы iButton и USB-ключи eToken.Пояснение. Для хранения криптографических ключей могут также использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители и т. п. В дальнейшем в данном руководстве термин «идентификатор» будет применяться и к сменным носителям. Персональный идентификатор выдается пользователю администратором. Пользователю можно присвоить неограниченное число идентификаторов. Один и тот же персональный идентификатор не может быть присвоен нескольким пользователям одновременно. Администратор безопасности может выполнять следующие операции с персональными идентификаторами: Инициализация идентификатора

Форматирование, обеспечивающее возможность использования идентификатора в системе SecretNet 6.

5. Инициализация требуется, когда в персональном идентификаторе по каким-либо причинам была нарушена или отсутствует структура данных. Форматированию подлежат также и сменные носители, предназначенные для хранения ключей

Присвоение идентификатора. Добавление в базу данных SecretNet 6.5 сведений о том, что пользователю принадлежит персональный идентификатор данного типа с уникальным серийным номером

Отмена присвоения идентификатора

Удаление из базы данных SecretNet 6.5 информации о принадлежности данного персонального идентификатора данному пользователю. Далее для простоты эту операцию будем называть «удаление идентификатора» Включение режима хранения пароля в идентификаторе

Добавление в базу данных SecretNet 6.5 сведений о включении для пользователя режима хранения пароля в идентификаторе. Одновременно с этой операцией выполняется запись пароля в идентификатор. После включения режима пароль пользователя при входе в систему не вводится с клавиатуры, а считывается из идентификатора

Отключение режима хранения пароля в идентификаторе

Операция, противоположная предыдущей. Одновременно с отключением режима хранения выполняется удаление пароля из памяти персонального идентификатора. Идентификатор остается закрепленным за пользователем. Запись и удаление криптографических ключей

Используется для хранения в идентификаторе (или на сменном носителе) криптографических ключей пользователя

Проверка принадлежности

С помощью этой операции администратор безопасности может проверить, кому из пользователей присвоен данный персональный идентификатор. При настройке абонентского пункта аппаратно-программный комплекс шифрования «Континент», необходимо учитывать о том, что внесены изменения в список протоколов и портов, используемых для связи между компонентами комплекса. Если на пути зашифрованного трафика находятся межсетевые экраны или другое оборудование, осуществляющее фильтрацию IP-пакетов, необходимо создать для них правила, разрешающие прохождение IP-пакетов по протоколу IP-250 в обоих направлениях. Кроме того, необходимо разрешить прохождение служебных пакетов комплекса «Континент» по протоколам и портам, указанным в приложении 2 таблице 2.

2.В пункте рассмотрены дополнительные настройки выбранных технических и программно-аппаратных средств, которые позволят эффективно использовать выбранный комплекс средств защиты информации.

3.3 Экономическое обоснование

Для внедрения этих технических средств необходимо:

определить круг лиц ответственных за выполнение;

провести изменения в структуре ИС;заключить договор с компанией имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации;

составить техническое задание на создание КСЗИ;

разработать пакет организационно-распорядительных документов для КСЗИ (положения, приказы, инструкции); внедрить систему обеспечения безопасности информации; аттестовать КСЗИ на соответствие требованиям по защите ПДн;8. получить лицензию на деятельность по технической защите КИ. Применение созданной КСЗИ заключается в следующем:

назначение специалиста по ЗИ, ответственного за функционирование системы защиты;

разработка списка сотрудников допущенных к работе с ПДн 1 категории;

выдача и хранение ключей доступа ответственным сотрудникам;

проведение сканирование защищаемых информационных ресурсов сканерами безопасности. В предыдущей главе были рассмотрены средства обеспечения защищенности МИС. Для рассматриваемой системы были выбраны следующие технические средства:

система защиты информации SecretNet 6.5;аппаратно-программный комплекс шифрования «Континент»; сервер контроля доступа TrustAccess;антивирус Security Studio Endpoint Protection .Для оценки эффективности предложенной комплексной системы защиты необходимо провести расчет стоимость внедрения КСЗИ до изменения структуры информационной системы и после. Общие затраты на комплексную систему защиты будут складываться из стоимости технических и программных средств, а так же оплаты труда специалисту., (2)где

СЗ — совокупные затраты, ТЗ — технические затраты, ПЗ — программные затраты, ОЗ — организационные затраты, ОТ — оплата труда. Таким образом, для внедрения КСЗИ в исходную ИС необходимо:

4 АПКШ «Континент», 6 Cisco 2601, 5 Cisco 2960, 43 СЗИ SecretNet 6.5, 43 Антивирус SecurityStudioEndpointProtection, пакет документов, 1 специалист по ЗИ. Стоимость одного комплекса АПКШ «Континент» составляет 90 тыс. руб. СЗИ Secret Net 6.5 — 6400 руб. Cisco 2601 — 35 040 руб. Cisco 2960 — 17 490 руб. Security Studio Endpoint Protection — 2700 руб.

сервер контроля доступа TrustAccess; - 3000 руб. Составление пакета документов стоит 100 тыс. руб. Оплата труда специалиста труда выбрана в размере 25 тыс. руб. Стоимость внедрения составит:

Таким образом, стоимость внедрения комплексной системы защиты в исходную ИС на один год составляет 1 421 990рублей.Общие затраты на КСЗИ после изменения структуры ИС примут вид: Стоимость КСЗИ после изменения структуры составляет тыс.

рублей.Выводы по разделу

В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты в ООО «Бриз». Для чего необходимо выполнение следующих мероприятий:

определить круг лиц ответственных за выполнение;

провести изменения в структуре ИС;заключить договор с компанией имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации;

составить техническое задание на создание КСЗИ;

разработать пакет организационно-распорядительных документов для КСЗИ (положения, приказы, инструкции); внедрить систему обеспечения безопасности информации; аттестовать КСЗИ на соответствие требованиям по защите ПДн;8. получить лицензию на деятельность по технической защите КИ. Так же были даны рекомендации по применению КСЗИ, проведено экономическое обоснование целесообразности проведения изменения структуры информационной системы. Проведен расчет стоимости внедрения системы защиты. Для выбранных решений стоимость внедрения в расчете на один год составляет1 421 990 рублей.

ЗАКЛЮЧЕНИЕ

В ходе выполнения дипломной работы были достигнуты все поставленные задачи: Анализ информационной системы и циркулирующей в ней информации. Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о клиентах, поставщиках товаров, отчетах о продажах и персональных данных сотрудников предприятия. Такие данные являются персональными, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных. Анализ требований российского законодательства в области защиты персональных данных в коммерческих учреждениях. Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных.

А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение информационной системы, рассматриваемой в дипломном проекте, в соответствие со всеми требованиями являетсяосновной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов компании ООО «Бриз». Соответствие требованиям особо актуально ввиду обработки данных касающегося персональных данных клиентов, поставщиков, и сотрудников. Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Для устранения списка угроз необходимо создание комплексной системы защиты, а именнорешения по обеспечению комплексной безопасности конфиденциальной информации при ее обращении в информационной системе ООО «Бриз». Разработка рекомендаций по изменению структуры информационной системы. На первом этапе было были выделены бизнес-процессы, организации, на основании которых сформированы информационные активы предприятия. Затем составлено все множество уязвимостей и угроз для информационных активов. После этого было проведено сужения круга информационных активов нуждающихся в защите.

Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе которой, с использованием руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети. Разработка системы защиты персональных данных. В первом разделе была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требованиям государственных нормативныхрегуляторов. Разработка рекомендаций по внедрению системы защиты персональных данных. В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты информационной системы персональных данных. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению комплексной системы защиты информации ООО «Бриз».

Оценена сумма совокупного владения системой. Для рассматриваемой системы были выбраны следующие технические средства:

система защиты информации S ecretNet 6.5;аппаратно-программный комплекс шифрования «Континент»; сервер контроля доступа TrustAccess; антивирус Security Studio Endpoint Protection .

СПИСОК ЛИТЕРАТУРЫ

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.)Бармен С., Разработка правил информационной безопасности. — М.: Издательский дом «Вильямс», 2002.

— 208 с. Бачило И. Л., Лопатин В. Н., Федотов М. А., Информационное право.- Спб.: Изд-во «Юридический центр Пресс», 2001. — 789 с. Белов Е. Б., Лось В. П., Основы информационной безопасности.

— М.: Горячая линя — Телеком, 2006. — 544 сБиячуев Т. А. Безопасность корпоративных сетей.

Учебное пособие / под ред. Осовецкого Л. Г. — СПб.: СПбГУ ИТМО, 2004. — 161 с. Блэк У. Интернет: протоколы безопасности.

Учебный курс. — СПб.: Питер, 2001. ;

288 с.: ил. Бождай А. С., Финогеев А. Г., Сетевые технологии. Часть 1: Учебное пособие. — Пенза: Изд-во ПГУ, 2005. — 107 с. Браун С., Виртуальные частные сети VPN. -

М.: Горячая линя — Телеком, 2004. — 346 сГайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург:: Издательство Урал, 2008. — 257 с. Галатенко В. А., Стандарты информационной безопасности.

— М.: «Интернет-университет информационных технологий — ИНТУИТ.ру», 2004. — 328 c.: ил

ГОСТ 34.003−90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения». ГОСТ 34.201−89 «Информационная технология. Комплекс стандартов на автоматизированные системы.

Виды, комплексность и обозначение документов при создании автоматизированных систем"; ГОСТ 34.601−90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»; ГОСТ Р 50 739−95 — Средства вычислительной техники.

Защита от несанкционированного доступа к информации. Общие технические требования. Домарев В. В., Безопасность информационных технологий. Системный подход. — К.: ООО ТИД Диа Софт, 2004.

— 992 с. Курило А. П., Зефиров С. А., Голованов В. Б., и др. Аудит информационной безопасности — М.: Издательская группа «БДЦ-пресс», 2006. -

304 с. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.)Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л. А., Писеев В.М.МИЭТМетоды и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В. И., Писеев В. М. МИЭТОфициальный сайт ЗАО «Лаборатория Касперского». [ Электронный документ]: (www.kaspersky.ru)Официальный сайт ЗАО «Рэйнвокс». [ Электронный документ]: (www.reignvox.ru) Официальный сайт ООО «Код Безопасности». [

Электронный документ]: (www.securitycode.ru)Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко, С. В. Симонов. — М.: Компания АйТи; ДМК Пресс, 2004.

— 384 с. Положение «О методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010 г № 58Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20/Постановление правительства № 781 от 17.

11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства Российской Федерации от 15.

08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации"Постановление Правительства РФ № 687 от 15.

09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Постановление Правительства РФ от 15.

09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.

04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»; Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»; Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»; РД 50−34.698−90 «Автоматизированные системы. Требования к содержанию документов»; Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»; Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; Сайт «Персональные данные по-русски. [Электронный документ]: (

http://www.tsarev.biz)Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»; Судоплатов А. П., Пекарев СВ. Безопасность предпринимательской деятельности: Практическое пособие. VI.: 2001

Федеральный закон № 85-ФЗ от 04.

07.1996 г. «Об участии в информационном обмене. Ст.

2″ Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации"Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных"Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон Российской Федерации от 27 июля 2006 г.

№ 152-ФЗ «О персональных данных»; Ярочкин В. Н. Безопасность информационных систем. М.: Ось-80, 1996

Приложение 1Модель угроз

Таблица 1Исходная степень защищенности информационной системы персональных данных: низкая

Показатель защищенности Y1=10 Наименование угрозы

Вероятность реализации угрозы (Y2)Возможность реализацииугрозы (Y)Опасность угрозы

Актуальностьугрозыугрозы утечки информации по техническим каналам101, очень высокаясредняя опасностьактуальнаяугрозы утечки акустической (речевой) информации00,5, средняянизкая опасностьнеактуальнаяугрозы утечки видовой информации101, очень высокаясредняя опасностьактуальнаяугрозы утечки информации по каналу ПЭМИН101, очень высокаясредняя опасностьактуальнаякража ПЭВМ50,75, высокаянизкая опасностьактуальнаякража носителей информации50,75, высокаясредняя опасностьактуальнаявывод из строя узлов ПЭВМ, каналов связи50,75, высокаявысокая опасностьактуальнаяугрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой50,75, высокаявысокая опасностьактуальная

Продолжение прилож.

1угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т. п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т. п.)101, очень высокаявысокая опасностьактуальнаяугрозы внедрения вредоносных программ101, очень высокаясредняя опасностьактуальнаяугрозы «Анализа сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации101, очень высокаясредняя опасностьактуальнаяугрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.101, очень высокаясредняя опасностьактуальнаяугрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях101, очень высокаявысокая опасностьактуальнаяугрозы подмены доверенного объекта101, очень высокаявысокая опасностьактуальнаяугрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях101, очень высокаявысокая опасностьактуальнаяугрозы выявления паролей50,75, высокаявысокая опасностьактуальнаяугрозы типа «Отказ в обслуживании"101, очень высокаясредняя опасностьактуальнаяугрозы удаленного запуска приложений101, очень высокаявысокая опасностьактуальнаяугрозы внедрения по сети вредоносных программ101, очень высокаясредняя опасностьактуальная

Приложение 2Настройка аппаратно-программного комплекса шифрования «Континент

Таблица 2.2Изменения в список протоколов и портов, используемых для связи между компонентами комплекса

Протокол/порт

НазначениеИсточник/получатель

ПримечанияIP-250Передача зашифрованного трафика

КШ / КШ, КШ / ЦУСIP-250Передача зашифрованного трафика

КШ / Абонентский пункт;

Абонентский пункт / КШАПКШ Континент 3.

01.18 и более ранние версииTCP/4439

Установка соединения между Абонентским пунктом и Сервером доступа

Абонентский пункт / Сервер доступа

АПКШ Континент 2.

00.77 и более поздние версииTCP/4440

Установка соединения между Абонентским пунктом и Сервером доступа

Абонентский пункт / Сервер доступа

АПКШ Континент 2.

00.67 и более ранние версииTCP/4431

Управление Сервером доступа

Программа управления Сервером доступа / Сервер доступа

АПКШ Континент 3.

02.21 и более поздние версииTCP/4441

Управление Сервером доступа

Программа управления Сервером доступа / Сервер доступа

АПКШ Континент версий 3.

1.18 и более раннихTCP/4443

Установка соединения между Абонентским пунктом и Сервером доступа

Абонентский пункт / Сервер доступа

АПКШ Континент 2.

00.67 и более ранние версииTCP/4444

Передача сообщений от Программы управления ЦУС к ЦУС и обмен сообщениями между ЦУС и Агентом ЦУСПрограмма управления ЦУС / ЦУС;Агент ЦУС / ЦУС;ЦУС / Агент ЦУСTCP/4445

Передача обновлений ПОот Программы управления ЦУС к ЦУС и обмен сообщениями между Программой управления ЦУС и Агентом ЦУСПрограмма управления ЦУС / ЦУС;Программа управления ЦУС / Агент ЦУС;Агент ЦУС / Программа управления ЦУСАПКШ Континент 3.

01.18 и более поздние версииTCP/5100

Передача сообщений от ЦУС к КШ и обмен сообщениями между КШ в кластере

ЦУС / КШ;Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 3.0X.XX и более поздние версииTCP/5101

Передача сообщений от КШ к ЦУСКШ / ЦУСАПКШ Континент 3.0X.XX и более поздние версииTCP/5102

Передача файлов от ЦУС к КШЦУС / КШАПКШ Континент 3.0X.XX и более поздние версииTCP/5555

Передача сообщений от ЦУС к КШ и обмен сообщениями между КШ в кластере

ЦУС / КШ;Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 2.

00.ХХTCP/5556

Передача сообщений от КШ к ЦУСКШ / ЦУСАПКШ Континент 2.

00.ХХTCP/5560

Передача файлов от ЦУС к КШЦУС / КШАПКШ Континент 2.

00.ХХUDP/4440

Обмен сообщениями между сервером доступа и абонентским пунктом

Сервер доступа / Абонентский пункт;

Абонентский пункт / Сервер доступа

АПКШ Континент 3.

01.18 и более ранние версииUDP/5101

Передача сообщений от КШ к ЦУСКШ (исходящий порт 5100) / ЦУСАПКШ Континент 3.0X.XX и более поздние версииUDP/5557

Передача сообщений об активности между КШ в кластере

Основной КШ / Резервный КШ;Резервный КШ / Основной КШАПКШ Континент 3.0X.XX и более поздние версииUDP/4433

Обмен сообщениями между сервером доступа и абонентским пунктом

Сервер доступа / Абонентский пункт

АПКШ Континент 3.

02.21 и более поздние версииUDP/7500

Обмен сообщениями между сервером доступа и абонентским пунктом

Абонентский пункт / Сервер доступа

АПКШ Континент 3.

02.21 и более поздние версии