5.26M
Категория: ИнтернетИнтернет

Проект комплексной безопасности информационной системы персональных данных

1.

МИНЕСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«РОССИЙСКИЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ Г.В.ПЛЕХАНОВА»
Высшая школа кибертехнологий, математики и статистики
Кафедра прикладной информатики и информационной безопасности
Выпускная квалификационная работа
ТЕМА Проект комплексной безопасности информационной системы
персональных данных
Выполнила студентка
Тарасова Софья Павловна
Группа 15.11Д-ИБ08/19б
Научный руководитель
Микрюков Андрей Александрович
Кандидат технических наук, доцент
кафедры прикладной информатики
и информационной безопасности

2.

2
Предметная область исследования
Актуальность:
- повышенные требования к безопасности персональных данных;
- высокий уровень риска нарушений конфиденциальности ПДн;
- недостаточный уровень защищённости ИСПДн.
Цель: повышение защищенности информационной системы персональных
данных государственной организации. Формулирование решений проблемы
утечки данных и повышение уровня информационной безопасности.
Объект исследования: комплексная безопасность информационной системы
персональных данных государственной организации.
Предмет исследования: методы и средства повышения уровня защищённости
информационной системы государственной организации.

3.

3
Задачи
1.
Анализ объекта исследования, ИСПДн государственной организации.
2.
Анализ потенциальных угроз, уязвимостей и каналов утечки информации.
3.
Выявление методов противодействия угрозам информационной безопасности компании.
4.
Анализ рынка средств защиты информации.
5.
Разработка проектных решений комплексной системы защиты информации.
6.
Разработка и оценка общей стоимости проекта комплексной защиты информации.
7.
Оценка защищенности и экономической эффективности системы после внедрения мер и
средств защиты.

4.

4
Результаты анализа объекта защиты
Локализация объектов защиты
Фрагмент таблицы: исходный уровень защищенности ИСПДн
государственной организации
Уровень защищенности
Высокий
Средний Низкий
Объект защиты
1
1. Защищаемая обрабатываемая информация.
2
+
3
4
2. Программно-технические средства обработки информации
2.1 Общесистемное, прикладное и специальное программное
обеспечение, участвующее в обработке защищаемой информации
(операционные системы СУБД, клиент-серверные приложения и другие);
+
2.2 Резервные копии общесистемного и программного обеспечения;
+
2.3 Инструментальные средства и утилиты систем управления ИСПДн;
+
83% объектов
Уровень защищенности "не ниже средний"
Уровень защищенности "высокий"
17%
0%
20%
40%
60%
80%
100%
83% объектов защиты не удовлетворяют предъявленным
требования

5.

Результаты оценки уровня информационной
безопасности
5

Тип угрозы безопасности ПДн
Угроза разглашения, копирования, хищения персональных данных
2 Угроза несанкционированного хищения информации
3 Угроза НСД к конфиденциальной информации
4 Угроза несанкционированного удаления информации
5 Хищение носителей информации, содержащих персональные данные
6 Угроза несанкционированной установки ОС
7 Угроза несанкционированного доступа к АРМ сотрудников
8 Угроза доступа к аппаратному обеспечению и нарушение его работы
9 Угроза авторизации в локальной сети компании злоумышленниками
10 Угроза внедрения вредоносного ПО
11 Ddos-атака
12 Угроза форматирования носителей информации
Угроза установления автономной радиозакладки, в том числе с
13
дистанционным управлением ДУ
14 Угроза использования вносимых диктофонов
15 Угроза лазерного контроля оконных стекол
16 Угроза установки пассивных оптических закладок-отражателей
17 Угроза проводных (телефонных) закладок
18 Угроза копирования информации с магнитных носителей
1
Вероятность
реализации
угрозы, Y2
Коэффициент
реализации Возможность
реализации
угрозы,
угрозы
Y=(Y1+Y2)/20,
при Y1=5
Уровень
вероятности
реализации
угрозы
10
0,75
высокая
высокий
5
0,5
низкая
средний
10
0,75
высокая
высокий
10
0,75
высокая
высокий
2
0,35
низкая
низкий
10
0,75
низкая
высокий
10
0,75
высокая
высокий
2
0,35
низкая
низкий
2
0,35
низкая
низкий
10
0,75
высокая
высокий
5
0,5
низкая
средний
2
0,35
низкая
низкий
5
0,5
низкая
средний
2
0,35
высокая
низкий
10
0,75
высокий
высокий
2
0,35
средняя
низкий
5
0,5
низкая
средний
2
0,35
низкая
низкий

6.

Результаты оценки уровня информационной
безопасности
6
Тип угрозы безопасности ПДн

Коэффицие
нт
Возможнос
Уровень
Вероятность
реализации
ть
вероятности
реализации
угрозы,
реализаци реализации
угрозы, Y2
Y=(Y1+Y2)/20 и угрозы
угрозы
, при Y1=5
Уровень вероятности
реализации угроз
Высокий
Средний
Низкий
Маловероятный
1 Угроза разглашения, копирования, хищения персональных данных
10
0,75
высокая
высокий
2 Угроза несанкционированного хищения информации
5
0,5
низкая
средний
3 Угроза НСД к конфиденциальной информации
10
0,75
высокая
высокий
4 Угроза несанкционированного удаления информации
10
0,75
высокая
высокий
5 Хищение носителей информации, содержащих персональные данные
2
0,35
низкая
низкий
6 Угроза несанкционированной установки ОС
10
0,75
низкая
высокий
7 Угроза несанкционированного доступа к АРМ сотрудников
10
0,75
высокая
высокий
9
8 Угроза доступа к аппаратному обеспечению и нарушение его работы
2
0,35
низкая
низкий
8
9 Угроза авторизации в локальной сети компании злоумышленниками
2
0,35
низкая
низкий
10 Угроза внедрения вредоносного ПО
10
0,75
высокая
высокий
11 Ddos-атака
5
0,5
низкая
средний
12 Угроза форматирования носителей информации
2
0,35
низкая
низкий
5
0,5
низкая
средний
13
Угроза установления автономной радиозакладки, в том числе с дистанционным
управлением ДУ
7
6
5
4
3
2
1
14 Угроза использования вносимых диктофонов
2
0,35
высокая
низкий
15 Угроза лазерного контроля оконных стекол
10
0,75
высокий
высокий
16 Угроза установки пассивных оптических закладок-отражателей
2
0,35
средняя
низкий
17 Угроза проводных (телефонных) закладок
5
0,5
низкая
средний
18 Угроза копирования информации с магнитных носителей
2
0,35
низкая
низкий
19 Кража носителей информации
5
0,5
средняя
средний
20 Несанкционированное отключение среды защиты
2
0,35
низкая
низкий
0
7
5
8
0

7.

7
Выявленные недостатки системы защиты ИСПДн
Отсутствие защиты
информации от
несанкционированного
доступа
Отсутствие обеспечения
целостности
Недостаточность
межсетевого экранирования
Отсутствие системы
обнаружения вторжений
Неполноценность
антивирусной защиты
Отсутствие защиты от
утечек информации по
оптическим каналам связи
Отсутствие мероприятий по
обучению и проверке
квалификации персонала
Отсутствие режима
обеспечения безопасности
помещений, в которых
размещена ИСПДн
Недостаточность режима
сохранности носителей
информации, используемых
в государственной службе
Недостаточная степень
организации учета лиц,
допущенных к работе с
защищаемой информацией
ИСПДн

8.

Обоснование проектных решений по обеспечению
безопасности от несанкционированного доступа
класс защищенности;
уровень контроля НДВ;
Dallas Lock 8.0 – K
ViPNet SafePoint
6
5
5
4
4
16.05.2025
25.09.2026
6700
7500


4
4
5
4
20.04.2024
7790

4
наличие сертификата ФСТЭК (дата
окончания);
стоимость (руб.);
класс автоматизированных систем;
уровень доверия.
7
Уровень доверия
Характеристики и критерии альтернатив:
Secret Net Studio
5
Класс
автоматизирован
ных систем
ПАСЗИ ViPNet SafePoint
4
Стоимость (руб.)
ПАСЗИ Dallas Lock 8.0 – K
3
Наличие
сертификата
ФСТЭК (дата
окончания)
ПАСЗИ Secret Net Studio
2
Уровень контроля
НДВ
Альтернативы:
1
Программноаппаратные СЗИ
Класс
защищенности
8
Secret Net Studio 0,43
Глобальный критерий
Dallas Lock 8.0 0,27
ViPNet SafePoint 0,30
1,00000

9.

9
Обоснование выбранных средств защиты
Тип угрозы ИБ
Угроза НСД к конфиденциальной информации
Комплексные меры защиты
информации
Защита информации от НСД
Угроза несанкционированного доступа к АРМ сотрудников
Угроза несанкционированного хищения информации
Угроза форматирования носителей информации
Защита целостности информации
Несанкционированное отключение среды защиты
Угроза разглашения, копирования, хищения персональных
Защита корпоративной сети
данных
Угроза доступа к аппаратному обеспечению и нарушение его
Защита от вторжений
работы
Угроза внедрения вредоносного ПО
Угроза несанкционированной установки ОС
Угроза лазерного контроля оконных стекол
Кража носителей информации
Угроза несанкционированного удаления информации
Хищение носителей информации, содержащих
персональные данные
Антивирусная защита
Защита от утечек по оптическим
каналам связи
Защита серверного оборудования
Защита от проникновений в
помещения, где расположенна
ИСПДн
Подсистема защиты информации от несанкционированного доступа СЗИ
Secret Net Studio
Подсистема обеспечения целостности Secret Net Studio;
подсистема резервного копирования;
Подсистема межсетевого экранирования ПАК «Secret Net Studio»
Подсистема обнаружения вторжений ПАК «Secret Net Studio».
Kaspersky Security Center (централизованное управление САЗ);
Kaspersky Endpoint Security 10 (АРМ пользователей и физические
серверы);
Kaspersky для сред виртуализации (защита среды виртуализации с
использованием «Легкого агента»);
Kaspersky для систем хранения данных.
Подсистема от утечек информации по оптическим каналам связи
методом установки жалюзи из плотного материала на окна
Мероприятия по обучению и проверке квалификации персонала
Организация режима обеспечения безопасности помещений, в которых
размещена ИСПДн
Защита носителей ПДн
Организация режима сохранности носителей информации,
используемых в государственной службе
Защита от распространения ПДн
Организация учета лиц, допущенных к работе с защищаемой
информацией ИСПНн
Угроза несанкционированного доступа к АРМ сотрудников
Угроза авторизации в локальной сети компании
злоумышленниками
Средство защиты

10.

10
Результаты оценки эффективности разработанных
предложений

11.

11
Оценка затрат на совершенствование информационной
безопасности государственной организации
Комплексные меры защиты
Колличество Цена за штуку (руб.) Сумма (руб.)
Программно-технические меры защиты информации
Подсистема межсетевого экранирования ПАК «Secret Net 8»
15
Установка и настройка средства защиты от НСД «Secret Net 8»
2
Разработка подсистемы резервного копирования
1
Подсистема защиты информации от несанкционированного доступа СЗИ
1
«Secret Net 8»
Kaspersky Security Center (централизованное управление САЗ)
1
1
Kaspersky Endpoint Security 10 (АРМ пользователей и физические серверы)
Kaspersky для сред виртуализации (защита среды виртуализации с
1
использованием «Легкого агента»)
Kaspersky для систем хранения данных.
1
Разработка подсистемы от утечек информации по оптическим каналам связи
1
методом установки жалюзи из плотного материала на окна
Организационные меры защиты информации
Организация режима обеспечения безопасности помещений, в которых
1
размещена ИСПДн
Организация режима сохранности носителей информации, используемых в
1
государственной службе
Мероприятия по обучению и проверке квалификации персонала
1
3500
2800
23000
4900
52500
5600
23000
4900
7000
5500
7000
5500
3000
3000
5000
18000
5000
18000
9000
9000
5000
5000
4000
Величина ущерба в случае потери информации: 1 млн. руб.
4000
Итог: 142 500,00 ₽

12.

12
Заключение
В процессе выполнения работы ее поставленные задачи были решены, а цели
достигнуты.
Полученные в ходе выпускной квалификационной работы результаты:
Проведен анализ функционирования информационной системы государственной
организации;
Выявлены угрозы, уязвимости и каналы утечки информации;
Выявлены методы противодействия угрозам информационной безопасности
компании;
Проведен анализ рынка средств защиты информации;
Разработаны проектные решения комплексной системы защиты информационной
системы персональных данных;
Произведен анализ информационной безопасности после внедрения средств
защиты информации;
Оценена целевая и экономическая эффективность проекта;

13.

13
Спасибо за внимание!

14.

14
МИНЕСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«РОССИЙСКИЙ ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ Г.В.ПЛЕХАНОВА»
Высшая школа кибертехнологий, математики и статистики
Кафедра прикладной информатики и информационной безопасности
Выпускная квалификационная работа
ТЕМА Проект комплексной безопасности информационной
системы персональных данных
Выполнила студентка
Тарасова Софья Павловна
Группа 15.11Д-ИБ08/19б
Научный руководитель
Микрюков Андрей Александрович
Кандидат технических наук, доцент
кафедры прикладной информатики
и информационной безопасности
English     Русский Правила