Совершенствование информационной безопасности при обработке чувствительных данных в ФКУ «УФО МО РФ по Астраханской области»

1.

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО РЫБОЛОВСТВУ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«АСТРАХАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»
СИСТЕМА МЕНЕДЖМЕНТА КАЧЕСТВА В ОБЛАСТИ ОБРАЗОВАНИЯ, ВОСПИТАНИЯ, НАУКИ И ИННОВАЦИЙ
СЕРТИФИЦИРОВАНА
ООО «ДКС РУС» ПО МЕЖДУНАРОДНОМУ СТАНДАРТУ ISO 9001:2015
Институт Информационных технологий и коммуникаций
Кафедра
«Информационная безопасность»
ДИПЛОМНЫЙ ПРОЕКТ
НА ТЕМУ
СОВЕРШЕНСТВОВАНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ЧУВСТВИТЕЛЬНЫХ ДАННЫХ
В ФКУ «УФО МО РФ ПО АСТРАХАНСКОЙ ОБЛАСТИ»
РАБОТУ ВЫПОЛНИЛ СТУДЕНТ
ГРУППЫ ДИБСС - 51 : УРАЗГАЛИЕВ Р.Х..
ДИПЛОМНЫЙ РУКОВОДИТЕЛЬ: КУЧИН И.Ю.
АСТРАХАНЬ 2023

2.

2
АКТУАЛЬНОСТЬ
Государственный сектор — был приоритетной целью для
кибератак. В I квартале 2022 года количество атак,
направленных на госучреждения, увеличилось
практически в два раза по сравнению с последним
кварталом 2021 года, а затем продолжало расти в течение
всего года.. Количество кибератак на российские
государственные учреждения в 2022 году в сравнении с
2021 годом увеличилось на 25%, до 403
атак.Государственные учреждения столкнулись с
наибольшим количеством кибератак среди организаций:
их доля от общего числа атак составила 17% — это на 2 п.
п. больше, чем в 2021 году.
Статистика за 2021
Статистика за 2022

3.

3 ЦЕЛЬ
Повышение уровня информационной безопасности в Федеральное казенное учреждение управление финансового
обеспечения Министерства обороны Российской Федерации по Астраханской области
.
ЗАДАЧИ
1.Анализ уровня защищенности данных, обрабатываемых в отделе служебной тайны.
2. Разработка проекта модернизации подсистем ИБ
3. Выбор средств защиты информации в рамках проекта модернизации подсистем ИБ
4. Установка и настройка средств защиты информации в тестовой среде

4.

4
Название организации: Федеральное казенное учреждение
управление финансового обеспечения Министерства обороны
Российской Федерации по Астраханской области.
Месторасположение: город Астрахань, Кубанская ул., д.23 к.2
Основной вид деятельности : обеспечение финансового и
экономического функционирования военной организации в
Астраханской области.
Вход в ФКУ УФО МО
Месторасположение ФКУ УФО МО РФ

5.

5
ЗАЩИЩАЕМЫЕ СВЕДЕНИЯ ФКУ УФО МО РФ
В ФКУ УФО МО РФ обрабатывается следующая информация :
1. Бюджетная информация : данные о бюджетных поступлениях и расходах, планах бюджетирования и контроле
использования государственных средств.
2. Финансовая отчетность : отчеты о финансовых результатах, бухгалтерские отчеты, отчеты о прибылях и убытках,
денежные потоки и другие финансовые показатели.
3. Информация о расчетах и выплатах : данные о зарплате и выплатах сотрудникам, расчеты с подрядчиками,
поставщиками и другими контрагентами.
4. Контрактная информация: данные о государственных контрактах, договорах на закупку товаров и услуг,
исполнении контрактов и соглашений.
5. Персональные данные: информация о сотрудниках, включая персональные
регистрационные данные, банковские реквизиты и другую личную информацию.
6. Конфиденциальные документы и информация : это
информация, связанная с национальной безопасностью.
данные,
налоговые
конфиденциальные документы и любая другая
Все эти сведения выходят за рамки Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и
относятся к категории служебной тайны Федерального закона от 11.06.2021 № 172-ФЗ "Об Обороне". Так же
перечень этих сведений индефицируются в Приказе Министра обороны РФ от 17 января 2022 г. N 22.
Задача 1 - Анализ уровня защищенности обработки данных в отделе служебной тайны.​

6.

6 ОПРЕДЕЛЕНИЕ ЧУВСТВИТЕЛЬНЫХ ДАННЫХ
Чувствительные данные - это конфиденциальная информация, которая
содержит критически важные или особо защищаемые сведения, которые
могут представлять значительную ценность для организации, а также могут
быть использованы вредоносными лицами для нанесения ущерба.
К чувствительным данным, обрабатываемым в отделе служебной тайны ФКУ
«УФО МО РФ по Астраханской области» относятся:
1. Конфиденциальные контракты и правовая информация;
2. Финансовая отчетность
3. Данные, обрабатываемые в рамках Приказа Министра обороны РФ
от 17 января 2022 г. N 22
Задача 1 - Анализ уровня защищенности обработки данных в отделе служебной тайны.
Задача 1.

7.

7
ИЗ ПРИКАЗ МИНИСТРА ОБОРОНЫ РФ ОТ 17 ЯНВАРЯ 2022 Г. N 22
"ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ ВООРУЖЕННЫХ СИЛ РОССИЙСКОЙ ФЕДЕРАЦИИ,
ПОДЛЕЖАЩИХ ОТНЕСЕНИЮ К СЛУЖЕБНОЙ ТАЙНЕ В ОБЛАСТИ ОБОРОНЫ"
Сведения, раскрывающие данные о ходе и результатах закупок товаров, работ, услуг по
государственному оборонному заказу, осуществляемых в интересах Вооруженных Сил.
Сведения, раскрывающие перечень закупок товаров, работ, услуг по государственному
заказу, проводимых закрытыми способами определения поставщика (подрядчика,
исполнителя), в котором не отражены наименования закупок, объемы и места поставок
товаров, выполнения работ, оказания услуг, объемы финансирования.
Сведения, раскрывающие параметры финансирования заданий (мероприятий)
государственного оборонного заказа.
Сведения по вопросам информационного взаимодействия с учреждениями Банка
России и кредитными организациями, включая обмен электронными документами, по
вопросам финансового обеспечения деятельности Министерства обороны,
подведомственных учреждений.
ЗАДАЧА 1 - АНАЛИЗ УРОВНЯ ЗАЩИЩЕННОСТИ ОБРАБОТКИ ДАННЫХ В ОТДЕЛЕ СЛУЖЕБНОЙ ТАЙНЫ.

8.

8
Топология сети
Рисунок 2 - Топология сети ФКУ УФО МО РФ
Топология сети ФКУ УФО МО РФ - одноранговая звезда, в которой используется разграничение доступа VLAN и хаба для обеспечения безопасности
служебного отдела.
Разграничение доступа с помощью VLAN позволяет логически разделить сеть на отдельные виртуальные сегменты, которые имеют свои собственные
правила доступа и политики безопасности. Это позволяет ограничить коммуникацию между различными группами пользователей и ресурсами в сети,
обеспечивая необходимый уровень безопасности и конфиденциальности. Использование хаба в топологии сети оправдано простатой конфигурации и
подключением устройств в сеть.
Задача 1 - Анализ уровня защищенности обработки данных в отделе служебной тайны.

9.

9
Перечень системных и прикладных программных средств в отделе служебной тайны
Таблица1 -Перечень системных и
прикладных программных средств
№
п/п
1
Наименование
Microsoft Windows 7
2
MicrosoftOffice 2007
3 Kaspersky Endpoint Security v.11
4
Kaspersky Security Center v.11
5
Secret net v.8.5
Топология отдела служебной тайны
Задача 1 - Анализ уровня защищенности обработки данных в отделе служебной тайны.​

10.

10
СРЕДСТВА ЗАЩИТЫ В ОТДЕЛЕ СЛУЖЕБНЫХ ДАННЫХ
Криптотуннелирование при помощи “Континет АП”
Криптотуннелирование обеспечивает безопасность и
конфиденциальность данных, а также защиту от хакерских
атак и шпионажа.
Криптотуннелирование
В отделе служебных данных используется
криптотуннелирование при помощи “Континет АП”
установленного на отдельном стационарном компьютере не
подключенном ЛВС организации.
Доступ удаленных пользователей к ресурсам
защищенной сети
ЗАДАЧА 1 - АНАЛИЗ УРОВНЯ ЗАЩИЩЕННОСТИ ОБРАБОТКИ ДАННЫХ В ОТДЕЛЕ СЛУЖЕБНОЙ ТАЙНЫ.

11.

11
СРЕДСТВА ЗАЩИТЫ В ОТДЕЛЕ СЛУЖЕБНЫХ ДАННЫХ
Криптотуннелирование при помощи “Континет АП”
Аппаратно-программный комплекс шифрования "Континент"
предназначен для создания виртуальных частных сетей .
Технология VPN позволяет объединить локальные
вычислительные сети, их сегменты или отдельные
компьютеры предприятия в единую защищенную
виртуальную сеть на базе общих сетей передачи данных.
Однако криптотуннелирорвание довольно сложное и
дорогостоющие соединение, и не со всеми
организациями оно возможно и нужно ,так как передачи
информации у них раз в 2 недели или
месяц.Поэтому необходимо наладить связь с этими
организациями.
ЗАДАЧА 1 - АНАЛИЗ УРОВНЯ ЗАЩИЩЕННОСТИ ОБРАБОТКИ ДАННЫХ В ОТДЕЛЕ СЛУЖЕБНОЙ ТАЙНЫ.
Корпоративная сеть

12.

12
СРЕДСТВА ЗАЩИТЫ В ОТДЕЛЕ СЛУЖЕБНЫХ ДАННЫХ
Шифрование
данных
на
дисках
Это важная процедура, которая позволяет защитить
конфиденциальные данные от несанкционированного
доступа. В Федеральном казенном учреждении
"Управление финансового обеспечения Министерства
обороны Российской Федерации по Астраханской области"
используется шифрование данных дисков с помощью
Secret Net Studio 8.5
Однако
это
не
обезопасить
от
внутреннего
злоумышленника, который может уничтожить важные
сведения в службенном отделе. Необходима система
бекапа.
ЗАДАЧА 1 - АНАЛИЗ УРОВНЯ ЗАЩИЩЕННОСТИ ОБРАБОТКИ ДАННЫХ В ОТДЕЛЕ СЛУЖЕБНОЙ ТАЙНЫ.

13.

ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
13 Внедрение криптоконтейнеров
В качестве альтернативы критотуннелированния предлагается внедрить криптоконтейнеры,для передачи
информации с другими огранизацими с которыми нет возможности сделать криптотуннелирование.
Таблица 2. - Cравнения программ по созданию криптоконтейнеров
SECRET NET STUDIO
AXCRYPT
CRYPTOMATOR
Алгоритм
шифрования
AES,RSA, ГОСТ Р 34.10-2012, ГОСТ Р
34.11-2012 и ГОСТ 28147–89
AES, ГОСТ Р 34.10-2012, ГОСТ Р
34.11-2012
AES,RSA, ГОСТ Р 34.10-2012,
ГОСТ Р 34.11-2012 и ГОСТ
28147–89
Платформа
Windows,Linux
Удобство
использования
обладает простым и интуитивно
понятным пользовательским
интерфейсом
Windows, macOS,
Andoid
обладает простым и интуитивно
понятным пользовательским
интерфейсом
Windows, macOS
Andoid
обладает пользовательским
интерфейсом сложным для
новичков
Цена
0 рублей в месяц
4000 рублей в месяц
5500 рублей в месяц
Задача 2 -Разработка проекта модернизации подсистем ИБ.
Задача 3 - Выбор средств защиты информации в рамках проекта модернизации подсистем ИБ

14.

14
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
Внедрение криптоконтейнеров
Был выбран SNS,так как программа уже куплена ,но функция
криптоконтейнера не реализованав организации.
Криптоконтейнеры SNS могут быть переданы через интернет или
другими способами, обеспечивая конфиденциальность и
целостность передаваемых данных.
Кроме того, SNS использует асимметричное шифрование и
электронную подпись для установления и проверки
аутентичности и происхождения данных, что делает его более
надежным и безопасным для передачи конфиденциальной
информации.
Выдача ключей от криптоконтейнера
Задача 3 - Выбор средств защиты информации в рамках проекта модернизации
подсистем ИБ

15.

15
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
Процедура обмена ключами и создания криптоконтейнеров SNS следующая:
1. Генерация ключей. Компании создают пару ключей RSA: открытый-ключ и закрытый-ключ.
2. Обмен открытыми ключами. Каждая компания отправляет другой компании свой открытый ключ.
3. Создание криптоконтейнера. Компания-отправитель помещает конфиденциальную информацию в
криптоконтейнер и шифрует его, используя открытый ключ компании-получателя.
4. Отправка криптоконтейнера. Компания-отправитель отправляет зашифрованный криптоконтейнер
компании-получателю.
5. Расшифровка криптоконтейнера. Компания-получатель использует свой
расшифровки криптоконтейнера и получения конфиденциальной информации.
Задача 4 - Установка и настройка средств защиты информации в
тестовой среде
закрытый
ключ
для

16.

16
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
Для сохранение и восстановление данных ,от внутреннего злоумышленника предлагается установить
на сервер отечественной системы резервного копирования, во избежания санцкионных рисках
по Приказу Министерства цифрового развития, связи и массовых коммуникаций РФ от 18 января 2023 г.
№ 21 "Об утверждении Методических рекомендаций по переходу на использование российского
программного обеспечения, в том числе на значимых объектах критической информационной
инфраструктуры Российской Федерации, и о реализации мер, направленных на ускоренный переход
органов государственной власти и организаций на использование российского программного
обеспечения в Российской Федерации"
Задача 2 -Разработка проекта модернизации подсистем ИБ.

17.

17
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
Таблица 3. - Сравнение систем резервного копирования
Кибер Бекап
RUBackup
Handy Backup​
Поддержка Astra Linux​
+​
+​
-
Поддержка PostgreSQL
+​
+​
+​
Поддержка MS SQL​
+​
​+
+​
Удаленный сервер облака S3​
+​
+​
+​
Включен
в единый реестр российского ПО​
+​
+​
+​
128 925 руб
70000 руб
42500 руб
Стоимость
Задача 3 - Выбор средств защиты информации в рамках проекта
модернизации подсистем ИБ

18.

18
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
RuBackup — полностью российская разработка «с нуля», которая не
базируется на каких-либо open-source решениях.Это системное
клиент-серверное приложение для автоматизированного резервного
копирования и восстановления данных. Система RuBackup Входит в
«Единый реестр российских программ для электронных
вычислительных машин и баз данных» Минцифры России под
номером № 6808 и совместима с отечественными дистрибутивами
Linux, СУБД, средствами виртуализации.
АЭРОДИСК АИСТ — это российская система виртуализации,
которая позволяет легко мигрировать с VMware и Hyper-V и
позволяет компаниям использовать самые передовые разработки, не
думая о санкционных рисках и соответствуя трендам и требованиям
по импортозамещению.
Задача 3 - Выбор средств защиты информации в рамках проекта
модернизации подсистем ИБ.
Архитектура СРК RuBackup

19.

19
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
Функциональность СРК RuBackup можно смело причислять к Enterprise-уровню. Уже сейчас (версия 1.9) ПО поддерживает следующие функции:
Полное, инкрементальное и дифференциальное резервное копирование.
Поддержка безагентных бэкапов ВМ систем виртуализации Брест, АИСТ, Proxmox, OpenNebula, KVM.
Поддержка популярных ОС Linux (Astra Linux, Alt Linux, Rosa, RedOS, Oracle Linux, Ubuntu и др.).
Поддержка СУБД Oracle, MySQL, MariaDB, Redis, PostgreSQL 9.6, 10, 11, 12, Jatoba, PostgresPro.
Поддержка хранилищ на базе внешних СХД, ленточных библиотек и облачного хранилища S3.
Поддержка отказоустойчивости и удаленной непрерывной репликации.
Управление устройствами хранения резервных копий, возможность распределения резервных копий по разным устройствам хранения в
зависимости от политики резервного копирования.
Поточная глобальная дедупликация и сжатие резервных копий.
Автоматическая верификация сделанных резервных копий (размер файлов, md5 сумма, электронная подпись).
Стратегии резервного копирования, позволяющие выполнять автоматические групповые операции над клиентами СРК.
Консолидированная отчетность.
Ролевая модель доступа к СРК.
Автоматическая балансировка создаваемых задач между медиа-серверами.
Автоматическое перемещение резервных копий на другие носители и удаление устаревших копий.
Поддержка графического управления и управления из командной строки.
Задача 3 - Выбор средств защиты информации в
рамках проекта модернизации подсистем ИБ.

20.

20
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
Демонстрация Безагентное резервное копирование и восстановления данных
Задача 4 - Установка и настройка средств
защиты информации в тестовой среде

21.

21
ВНЕДРЕНИЕ НОВЫХ СРЕДСТВ ЗИЩИТЫ
Демонстрация Резервное копирование с агентом
Задача 4 - Установка и
настройка средств защиты
информации в тестовой среде

22.

22
ЗАКЛЮЧЕНИЕ
По результатам анализа уровня защищенности данных, обрабатываемых в отделе
служебной тайны были выявлены недостатки
отсутствия защищенной связи с
организациями, с которыми не было установлено крипто-туннелирования, и отсутствия
бекап
системы
служебных
данных.
Были внедрены такие средства защиты , как крипто-контейнер Secret Net Studio 8.5 и
отечественная
бекап
система
Rubackup.
С настройкой внедренных средств защиты обеспечивается более надежная защита и
сохранность информации в отделе служебной тайны Федеральное казенное учреждение
управление финансового обеспечения Министерства обороны Российской Федерации по
Астраханской области.
.