🔍 Поиск готовых работ

🔍 Поиск работ

Подготовка к контролю защищённости информационной системы «Удостоверяющий центр» в государственном учреждении

Работа №202498

Тип работы

Бакалаврская работа

Предмет

информатика

Объем работы48
Год сдачи2018
Стоимость4640 руб.
ПУБЛИКУЕТСЯ ВПЕРВЫЕ
Просмотрено
14
Не подходит работа?

Узнай цену на написание


ВВЕДЕНИЕ 11
1. ОПИСАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ 12
1.1. Сведения об объекте 12
1.2. Сведения об информационной системе «Удостоверяющий центр» 12
1.3. Информационные потоки 15
1.4. Выводы по первому разделу 16
2. АТТЕСТАЦИЯ ОБЪЕКТА 17
2.1. Правовые основы проведения аттестации 17
2.2. Техническое задание 17
2.3. Анализ документации 18
2.3.1. Приказ «Об организации работ по обеспечению безопасности персональных данных при их обработке в АС» 18
2.3.2. Инструкции 18
2.3.3. Техническая документация 19
2.4. Требования по защите информации 19
2.4.1. Определение уровня защищённости ПДн 20
2.4.2. Определение класса защиты АС от НСД 21
2.5. Классификация угроз безопасности ПДн 21
2.5.1. Угрозы утечки акустической информации 22
2.5.2. Угрозы утечки видовой информации 22
2.5.3. Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок 23
2.5.4. Угрозы несанкционированного доступа к информации в информационной системе персональных данных 23
2.6. Уязвимости 24
2.7. Модель угроз безопасности персональных данных 25
2.8. Меры по обеспечению безопасности персональных данных 27
2.9. Выводы по второму разделу 28
3. КОНТРОЛЬ ЗАЩИЩЁННОСТИ 29
3.1. Цели и задачи контроля защищённости 29
3.2. Порядок проведения контроля защищённости 29
3.3. Составление технического паспорта 30
3.4. Анализ актуальных угроз 30
3.5. Анализ средств защиты информации 31
3.5.1. Межсетевой экран Cisco ASA 32
3.5.2. ПАК «Соболь» 33
3.5.3. СЗИ «SecretNet» 34
3.5.4. САВЗ «Kaspersky Security Center 10» 34
3.6. Контроль целостности ПО 35
3.7. Анализ уязвимости сети 35
3.8. Выводы по третьему разделу 37
ЗАКЛЮЧЕНИЕ 38
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 40
ПРИЛОЖЕНИЕ А 42
ПРИЛОЖЕНИЕ Б 43
ПРИЛОЖЕНИЕ В 47

В соответствии с приказом ФСТЭК России № 21 от 18.02.2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» каждая организация, эксплуатирующая информационные системы, должна периодически проводить контроль защищенности.
Согласно «Положению по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г. контроль защищённости - комплекс мероприятий, в результате которых посредством протокола защищённости подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК, ФСБ России или другими органами государственного управления в пределах их компетенции. [12]
Испытания контроля защищённости включают в себя:
1. Составление технического паспорта.
2. Анализ актуальных угроз безопасности.
3. Анализ средств защиты информации.
4. Контроль целостности программного обеспечения.
5. Анализ уязвимости сети.
6. Составление протокола контроля защищённости на основе полученных данных.
Объектом выпускной квалификационной работы является орган государственной власти Челябинской области.
Предметом выпускной квалификационной работы является информационная система «Удостоверяющий центр» данной организации.
Согласно «Регламенту удостоверяющего центра» от 15.05.2017 № 01/5-84 (далее - Регламент УЦ) удостоверяющий центр осуществляет функции по созданию и выдаче сертификатов ключей проверки электронных подписей. «Удостоверяющий центр» осуществляет свою деятельность в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи». [18]
Целью дипломной работы является проведение контроля защищённости силами организации.
В соответствии с поставленной целью необходимо решить следующие задачи:
1. Собрать актуальную информацию об объекте информатизации.
2. Провести контроль выполнения требований по защите информации на объекте.
3. Провести испытания контроля защищённости на объекте.

Возникли сложности?

Нужна помощь преподавателя?

Помощь в написании работ!
ДИПЛОМНЫЕ МАГИСТЕРСКИЕ ДИССЕРТАЦИИ
КУРСОВЫЕ СТАТЬИ ВКР

В данной работе освещено понятие контроля защищённости объектов информатизации, его место в системе обеспечения информационной безопасности автоматизированных систем, а также особенности проведения контроля защищённости в информационных системах.
Проведено обследование объекта информатизации ИС «Удостоверяющий центр». «Удостоверяющий центр» государственного учреждения занимается вы-дачей сертификатов ключей проверки электронных подписей. Данная информационная система аттестована как АС и ИСПДн. АС является локально вычисли-тельную сетью, состоящей из трех АРМов, ВТСС и серверной стойки. Контролируемая зона данной АС определяется помещениями кабинетов, в которых расположен орган государственной власти Челябинской области. ИС «Удостоверяющий центр» обрабатывает конфиденциальную информацию, такую как ключи ЭП, пароли и персональные данные пользователей.
Для исследуемой ИС определён уровень защищённости ПДн - 4-й и класс за-щиты от НСД - 2Б.
Посредством обзора угроз безопасности выявлено, что для АС «Удостоверяющий центр» не актуальны:
- угрозы утечки по акустическим каналам, поскольку ПДн в системе не передаются по акустическим каналам;
- угрозы утечки видовой информации, так как АРМ, ВТСС и документы на физических носителях размещены таким образом, чтобы исключить возможность наблюдения информации, недопущеным на КЗ лицам;
- угрозы утечки информации, обусловленные наводками, так как линии, расположенные в кабинете, где находится АС «Удостоверяющий центр» не выходят за пределы контролируемой зоны.
В данной работе мной проведён контроль защищённости информационной системы «Удостоверяющий центр».
Проанализированы актуальные угрозы безопасности, в частности подробно рассмотрены угрозы НСД, методы и способы их устранения.
На основе произведённого анализа актуальных угроз безопасности произведён подробный анализ применяемых в организации СЗИ с описанием каждого программного, аппаратного и программно-аппаратного средства, используемого для защиты информации в информационной системе «Удостоверяющий центр». Кроме того, все СЗИ проверку на соответствие уровню 4 защищённости ПДн и классу 2Б защиты системы от НСД.
В рамках контроля защищённости был составлен технический паспорт системы.
АС прошла процедуру проверки целостности ПО средствами ФИКС. Полученные в результате контроля целостности значения контрольных сумм полностью соответствуют эталонном.
Произведён анализ уязвимостей сети объекта информатизации средствами сетевого сканера XSPider. В результате мне удалось обнаружить уязвимости сети объекта информатизации.
Обнаруженные уязвимости были представлены к устранению.


1) «Об электронной подписи»: федеральный закон Российской Федерации от 06.04.2011 № 63-ФЗ.
2) «Об информации, информационных технологиях и о защите информации»: федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ.
3) «О персональных данных» : федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ : (в ред. 22.02.2017).
4) «Об утверждении доктрины информационной безопасности Российской Федерации» : указ Президента Российской Федерации от 05.12.2016 № 646.
5) «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»: постановление Правительства Российской Федерации от 01.11.2012 № 1119.
6) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных»: приказ ФСТЭК России от 18.02.2013 № 21 (ред. от 23.03.2017).
7) «Об утверждении Требований к защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»: приказ ФСТЭК России от 11.02.2013 г. № 17.
8) «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»: руководящий документ (Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114) .
9) «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации»: руководящий документ (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.).
10) «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»: руководящий документ (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.).
11) «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»: руководящий документ (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.).
12) «Положение по аттестации объектов информатизации по требованиям безопасности информации» от 25.11.1994 г.
13) «Специальные требования и рекомендации по технической защите конфиденциальной информации» от 02.03.2001 № 7.2 (Гостехкомиссия России).
14) «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15.02.2008 г.
15) «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14.02.2008 г.
16) ГОСТ Р 53622-2009 Информационные технологии (ИТ). Информационно-вычислительные системы. Стадии и этапы жизненного цикла, виды и комплектность документов.
17) ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
18) «Регламент Удостоверяющего Центра» (от 15 мая 2017 г. № 01/5-84).
АТТЕСТАЦИЯ ОБЪЕКТА
ОПИСАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
ОПИСАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Работу высылаем на протяжении 30 минут после оплаты.




©2025 Cервис помощи студентам в выполнении работ
.