Обеспечение информационной безопасности на макаронных предприятиях

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САРАТОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
ИМЕНИ ГАГАРИНА Ю.А.»


Институт прикладных информационных технологий и коммуникаций

Кафедра «Информационная безопасность автоматизированных систем»

Специальность 10.05.03  «Информационная безопасность автоматизированных систем»


ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА


Обеспечение информационной безопасности на макаронных предприятиях 




Студентка Петрова Татьяна Петровна  
курс 5 группа с-ИБС51

Руководитель
доцент каф. ИБС, к.т.н., доцент	_________________________		И.И. Иванов 
       (должность, уч. степень, уч. звание)       		подпись, дата				


Допущен к защите
Протокол № _____ от «05» июня  2018 года 	


Зав. кафедрой «Информационная безопасность автоматизированных систем» 

профессор каф. ИБС, д.ф.-м.н., профессор  __________________	В.Б. Байбурин
								подпись, дата	




Саратов 2018 г


ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ
ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САРАТОВСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
ИМЕНИ ГАГАРИНА Ю.А.»

														
Институт прикладных информационных технологий и коммуникаций

Кафедра «Информационная безопасность автоматизированных систем»

Специальность 10.05.03 «Информационная безопасность автоматизированных систем»




ЗАДАНИЕ
на выпускную квалификационную работу

Студент(у)(ке)  Петровой Татьяне Петровне 

Тема ВКР: Обеспечение информационной безопасности на макаронных предприятиях 



утверждена на заседании кафедры, протокол №  15 от «05» декабря 2017 г. 










Дата защиты «_____» _________________ 2018 г.

Оценка защиты ______________________ 

Секретарь ГЭК  Мантурова И.А._______________________
                                           			 подпись







Саратов 2018 г

Целевая установка и исходные данные
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________


№
перечень чертежей, подлежащих разработке
формат, кол-во


ppt, 1

































































Руководитель
доцент каф. ИБС, к.т.н., доцент	_________________________		И.И. Иванов 
(должность, ученая степень, уч. звание)		           	подпись, дата 				
Содержание расчетно-пояснительной записки
____________________________________________________________________________________
                                         (перечень вопросов, подлежащих разработке)
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
___________________________________________________________________________________
____________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
___________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


Основная рекомендуемая литература
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________
_____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________




Руководитель
доцент каф. ИБС, к.т.н., доцент	_________________________		И.И. Иванов 
(должность, ученая степень, уч. звание)		           	подпись, дата 				

Задание принял к исполнению:		____________________________    	Т.П. Петрова
					   		подпись, дата

УТВЕРЖДАЮ:
Руководитель ВКР ___________Иванов И.И.

«05» марта 2018 г.


КАЛЕНДАРНЫЙ ГРАФИК
работы над ВКР

№
разделы, темы, их содержание
по плану
фактически
Отметка о выполнении


дата
%
дата
%

1.
Введение
10.03
5%
не заполнять
не заполнять




























































































16.
Оформление пояснительной записки
30.05
7%
не заполнять
не заполнять












































Студент  _________________________		Т.П. Петрова
	        подпись, дата









































РЕФЕРАТ

     В данной дипломной работе рассмотрены вопросы, связанные с разработкой системы защиты информации на предприятии ООО «Промышленная безопасность». В ходе выполнения работы был проведен анализ информационной имеющихся средств защиты информации, в результате которого выявлены состав источников и носителей информации, проведено категорирование информации, выявлены возможные каналы утечки информации. В рамках аудита информационной безопасности была проанализирована текущая деятельность предприятия по вопросам защиты информации, проведена оценка информационной системы организации, в которой циркулирует конфиденциальная информация; были выявлены недостатки системы защиты, способы, устранения которых представлены в работе.

     В результате выполнения дипломной работы была разработана комплексная система защиты информации, был произведен подбор технических и программно-аппаратных средств.

     В экономической части работы рассчитаны затраты на проектирование системы защиты.

2

ИСПОЛЬЗУЕМЫЕ ОБОЗНАЧЕНИЯ

ИБ – информационная безопасность

НСД – несанкционированный доступ

СЗКИ – средства защиты конфиденциальной информации

АС – автоматизированная система

КИ – кредитная история

БКИ – Бюро кредитных историй

КИ – кредитная история

СЗИ – система защиты информации

ЛВС – локально-вычислительная сеть

АРМ – автоматизированное рабочее место

ТЗ – техническое задание

ПРД – правила разграничения доступа

ЦП – цифровая подпись

ПО – программное обеспечение

ПЭП – простая электронная подпись

НЭП – неквалифицированная электронная подпись

3

СОДЕРЖАНИЕ



ВВЕДЕНИЕ	5

1.	ОСНОВНЫЕ	ПОНЯТИЯ	ЗАЩИТЫ	ИНФОРМАЦИИ	И

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ	8

1.1. Сертификация средств защиты конфиденциальной информации	10

1.2. Лицензирование в области защиты информации	11

1.3 Методы и средства защиты информации	12

1.4 Выводы	14

2. РАЗРАБОТКА   СИСТЕМЫ   ЗАЩИТЫ   ИНФОРМАЦИИ ООО 

«ПРОМЫШЛЕННАЯ БЕЗОПАСНОСТЬ»	16

2.1. Организационная структура ООО «ПРОМЫШЛЕННАЯ БЕЗОПАСНОСТЬ»	16

2.2. Анализ должностных обязанностей сотрудников ООО «ПРОМЫШЛЕННАЯ БЕЗОПАСНОСТЬ»	19

2.3. Анализ модели угроз информационного характера	24

2.4.	Анализ	организационных	мер	по	обеспечению	безопасности

информации	26

2.5. Анализ используемых средств защиты конфиденциальной информации……………………………………………………………………..28

2.6. ТЕХНИЧЕСКОЕ ЗАДАНИЕ	31

2.7 Выводы	34

3. РЕАЛИЗАЦИЯ	СИСТЕМЫ	ЗАЩИТЫ	ИНФОРМАЦИИ	НА

ПРЕДПРИЯТИИ ООО «ПРОМЫШЛЕННАЯ БЕЗОПАСНОСТЬ»	35

3.1. Организация электронного документооборота, ЦП и шифрования баз

данных	35

3.2  Внедрение  индивидуального  электронного  ключа  сотрудников  ООО

«ПРОМЫШЛЕННАЯ БЕЗОПАСНОСТЬ», имеющих доступ к АС БКИ	41

3.3  Внедрение  технических  средств  защиты  информации  от  утечки  по

каналам связи	43

3.3.1 Защита телефонных сетей	43

4

3.3.2 Защита ЛВС	47

3.4 Порядок работ по внедрению	48

3.5 Порядок внесение изменений в руководящие документы	52

3.4 Расчет экономической части проекта	53
4. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ НА

ПРЕДПРИЯТИИ ООО «ПРОМЫШЛЕННАЯ БЕЗОПАСНОСТЬ»	54
ЗАКЛЮЧЕНИЕ	54

Акт	реализации	технического	задания	на	разработку	системы	защиты

информации на предприятии ЗАО «БКИ»	56

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ	57

ПРИЛОЖЕНИЕ	59

5





ВВЕДЕНИЕ

     В современном мире сложно представить организацию работы человека, предприятия без внедрения автоматизированных систем и процессов. При этом каждый разработчик старается сделать свою систему более простой и удобной в использовании, так как конкуренция на этом рынке достаточно велика. С каждым годом сфера информационных технологий развивается все быстрее. Все больше и больше подвергаются автоматизации различные производственные процессы. Так же неуклонно растет и количество пользователей сети Интернет. И, конечно же, в настоящее время редкая система, даже самая простая, функционирует без использования ресурсов сети Интернет.

     Помимо внешних воздействий на безопасность (ограбление, взлом) организации существует угроза утечки информации по информационным каналам связи. Становится недостаточным лишь внешнее обеспечение безопасности. Появляется все больше различных фирм, производящих одинаковые услуги, растет и конкуренция. В таких условиях, каждый руководитель заинтересован в обеспечении целостности, доступности и конфиденциальности информации, касающейся деятельности организации.

     Для решения таких задач появилось целое направление, связанное с разработкой комплексного подхода к обеспечению безопасности информационных ресурсов на разных уровнях. Комплексное обеспечение защиты информации позволяет предотвратить максимальное количество угроз.

     Особое место в списке автоматизированных систем занимают те, которые обрабатывают конфиденциальную информацию. В настоящее время АС разделены на три группы, для каждой из которых соответствуют свои классы защищенности [1].
     
6

     1. Первая группа включает АС, подразумевающие множество пользователей. В таких АС одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Доступ пользователей к информационным ресурсам ограничен. Группа содержит пять классов: 1Д, 1Г, 1В, 1Б, 1А.

     2. Вторая группа включает автоматизированные системы, в которых пользователи имеют одни и те же права доступа ко всей информационной базе автоматизированной системы. Информация обрабатывается и/или хранится на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б, 2А.

     3. Третья группа включает автоматизированные системы, в которых работает один пользователь. Пользователь имеет доступ ко всей информационной базе системы. Информация размещена на носителях одного уровня конфиденциальности. Группа содержит два класса: 3Б, 3А.

     Для качественного и корректного обеспечения безопасности необходим детальный анализ работы АС, включающий в себя разбор всех процессов, уязвимостей, возможных угроз при НСД.

     Поэтому, для данной работы главной целью является разработка системы защиты информации для закрытого акционерного общества «Бюро кредитных историй».

     Для решения поставленной задачи требуется проведение следующих работ [2]:

1. Анализ имеющейся системы защиты информации ООО «Промышленная безопасность».

1.1.  Аудит имеющейся системы защиты информации ООО «Промышленная безопасность».

     1.2. Описание существующих информационных ресурсов ООО «Промышленная безопасность».

     1.3. анализ угроз и уязвимостей системы защиты информации ООО «Промышленная безопасность».

1.4. Анализ рисков системы защиты информации ООО «Промышленная безопасность».

7

2. Проектирование.
     2.1. Разработка концепции системы защиты информации (политики и процедуры системы).

2.2. Разработка модели системы безопасности.

2.3. Техническое проектирование, разработка документации.

3. Внедрение.

     Реализовав все вышеперечисленные действия, удастся построить комплексную систему защиты информации. Система будет включать в себя технические и программные компоненты, что позволит предупредить максимальное количество угроз.

     Необходимо проводить своевременное обновление всех средств, входящих в состав системы, следить за корректной работой всех компонентов, предотвращать возможные сбои в работе.

     Таким образом, система защиты информации представляет собой комплекс программных и технических средств, организационных мер и правовых норм, направленных на противодействие различного вида угрозам защищаемой информации, информационным системам и пользователям.

     В настоящей работе будет рассмотрена организация ООО «Промышленная безопасность», которая основана на реальном предприятии. В целях сохранения коммерческой тайны, название данного предприятия разглашаться не может.
     
8





1. ОСНОВНЫЕ ПОНЯТИЯ ЗАЩИТЫ ИНФОРМАЦИИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

     Современные методы обработки, передачи и хранения информации способствуют появлению угроз, связанных с возможностью потери, искажения и раскрытия конфиденциальной информации. Поэтому обеспечение защиты информации компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.

     Ниже представлены основные определения защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922-2006 «Защита информации. Основные термины и понятия».

     Защита информации — организационные меры, направленные на предотвращение утечки конфиденциальной информации и нежелательных воздействий на защищаемую информацию.

Защита информации от утечки — организационные и технические

меры,	направленные	на	предотвращение	неконтролируемого

распространения/копирования конфиденциальной информации в результате ее разглашения и НСД к ней.

Защита	информации	от	разглашения	—	организационные	и

технические меры, направленные на предотвращение несанкционированного доступа к конфиденциальной информации и разглашения ее субъектам, не имеющим права доступа к этой информации.

     Защита информации от НСД — организационные и технические меры, направленные на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
     
9

     Система защиты информации — совокупность субъектов и объектов конфиденциальной информации, технических и программных средств защиты информации. Такая система создается и функционирует в соответствии с правилами и нормами, которые устанавливаются соответствующими руководящими актами в области защиты информации в РФ.

     Современная автоматизированная система обработки конфиденциальной информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы [3]:

1. Аппаратные средства —  компьютеры и  их  составные  части

(процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.).

2. Программное обеспечение — различные программы, утилиты и

т. д.

3. Данные —  различная информация, хранящаяся на дисках,

дискетах, в журналах и т.д.

     4. Персонал — пользователи системы и обслуживающие сотрудники.


     Для обеспечения безопасности всех компонентов АС необходим комплексный подход к разработке системы защиты конфиденциальной информации. Так же не стоит забывать и об используемых в процессе построения системы средствах защиты. Все СЗКИ должны быть сертифицированы [4].
     
10




1.1. Сертификация средств защиты конфиденциальной информации

     Средства защиты конфиденциальной информации, которые используются при организации системы защиты информации, обязательно должны быть сертифицированы в соответствии с государственными стандартами.

     Сертификация – процесс сопоставления средств защиты с государственными стандартами, и дальнейшая выдача подтверждения при успешном тестировании [5].

     Сертификация средств защиты информации по требованиям безопасности и защиты информации — организационные меры по подтверждению свойств технических и программных средств защиты информации в соответствии с требованиями государственных стандартов. Согласно требованиям действующего законодательства, обязательной сертификации подлежат средства защиты следующей информации [6]:

1. Сведения, составляющие государственную тайну.

     Государственная тайна – сведения, которые находятся под защитой государства, в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной областях. Распространение таких данных может нанести ущерб безопасности РФ.

2. Государственные информационные ресурсы.

     Государственные информационные ресурсы — находящиеся в собственности государства ресурсы.

3. Персональные данные.

     Персональные данные — любая информация, прямо или косвенно относящаяся к субъекту конфиденциальной информации.
     
11




1.2. Лицензирование в области защиты информации

     Лицензированием в области защиты информации называется деятельность, которая заключается в передаче/получении прав на проведение различных работ в области защиты информации. Государственная политика РФ в области лицензирования определенных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности».

     Лицензия – разрешение на право проведения работ в области безопасности и защиты информации. Лицензия выдается на определенные виды деятельности и действительна в течение 3 лет, по истечении которых осуществляется ее проверка в порядке, который установлен для выдачи лицензии.

     Лицензия выдается в том случае, когда предприятие/организация/компания, которое подало заявку на получение лицензии, имеет все необходимые условия для проведения лицензирования. В частности, необходимо иметь производственную и экспериментальную база, нормативную и методическую документацию, располагать научными и инженерно-техническими сотрудниками [7].

     Деятельность по лицензированию в области защиты информации выполняют ФСБ и ФСТЭК России.

     Виды деятельности, которые требуют наличия лицензии ФСБ России:

     1. Разработка и/или производство средств защиты конфиденциальной информации.

     2. Разработка, производство, внедрение и приобретение для продажи специализированных программных и технических средств,
     
12

которые предназначены для конфиденциального использования конфиденциальной информации индивидуальными предпринимателями и юридическими лицами, которые осуществляют предпринимательскую деятельность.

     3. Действия, направленные на выявление радиоэлектронных устройств, которые предназначены для негласного получения конфиденциальной информации в помещениях и технических средствах.

4. Деятельность по распространению криптографических средств.

     5. Деятельность, заключающаяся в обслуживании криптографических средств.

     6. Предоставление определенных видов услуг в области шифрования конфиденциальной информации.

Виды деятельности, лицензируемые ФСТЭК России:

     1. Деятельность по технической защите конфиденциальной информации.

     2. Разработка и/или производство средств защиты конфиденциальной информации.

     Таким образом, для соблюдения всех правовых аспектов необходимо использовать только сертифицированные СКЗИ для организации системы защиты информации. Так же необходимо получить лицензию для работы с конфиденциальной информацией.

1.3 Методы и средства защиты информации

Можно выделить основные принципы создания СЗИ [8]:

1. Системный подход к построению системы защиты информации,

такой подход включает в себя оптимальное сочетание программных, аппаратных, физических и других средств защиты.

     2. Принцип постоянного развития системы. Этот принцип является одним из основных в организации системы защиты информации. Способы взлома конфиденциальной информации постоянно развиваются, поэтому
     
13

обеспечение защищенности информационной системы не может быть статическим. Это динамический процесс, который заключается в анализе и реализации наиболее рациональных методов, способов и путей преобразования системы защиты.

     3. Разделение и сведение полномочий по доступу к защищаемой информации к минимуму.

4. Полный контроль и регистрация попыток НСД. Необходимость

идентификация и аутентификация каждого пользователя и контролирование его действий с последующим отмечанием фактов совершения различных действий в специализированных журналах. Также ограничение по совершению какого-либо действия в информационной системе без его предварительной регистрации.

     5. Обеспечение надежности системы защиты, то есть невозможность снижения уровня надежности при возникновении в системе

сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей.

6. Контроль за корректной работой системы.

     7. Обеспечение экономического обоснования использования системы. Это выражается в том, что возможный ущерб от несанкционированного доступа к конфиденциальной информации в ходе реализации угроз значительно превышает над стоимостью разработки и эксплуатации СЗИ [9].

     Подводя итог, можно сказать, что построение СЗИ достаточно долгий и трудоемкий процесс. Необходимо учитывать множество аспектов при разработке и реализации системы. Это и правовые нормы, обусловленные законодательством РФ, и экономические аспекты непосредственно предприятия, для которого разрабатывается система.

     Так же не стоит забывать и об используемых средствах защиты конфиденциальной информации. Они должны быть обязательно
     
14

сертифицированы и разработаны только органами, имеющими лицензию на данный вид деятельности.









































Рис. 1.1 Схема организации СЗИ

     На рис.1 представлена схема взаимодействия компонентов СЗИ. Можно сделать вывод, что такая система всегда находится в динамическом состоянии.

1.4 Выводы

     Подводя итог, можно сказать, что для построения качественной СЗИ, которая бы удовлетворяла всем законодательным актам РФ, необходимо использование только сертифицированных средств защиты информации. Так же необходим детальный анализ объекта информационной
     
15

безопасности для выявления всех уязвимых мест компании или организации.





























































2. РАЗРАБОТКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ООО

«Промышленная безопасность»

2.1. Организационная структура ООО «Промышленная безопасность»

     ООО «Промышленная безопасность» — юридическое лицо, которое регистрируется в соответствии с законодательством Российской Федерации, являющееся коммерческой организацией и оказывающее в соответствии с Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях» услуги по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчётов и сопутствующих услуг.

     Таким образом, одной из главных задач БКИ является прием, обработка и хранение информации, которую предоставляют кредитные организации. При этом необходимо обеспечить передачу информации по защищенным каналам. Так же необходимо обеспечить безопасное хранение КИ в БКИ.

     Объектами защиты в соответствии с политикой безопасности ЗАО «ВЕБКИ» являются:

     1. Конфиденциальная информация, в том числе информация, содержащая сведения, составляющие коммерческую тайну и персональные данные.

     2. Состав сведений конфиденциального характера, содержание которых определено в документе «Перечень сведений конфиденциального характера, обрабатываемых в организации», утверждаемым Генеральным директором ЗАО «БКИ».

     3. Информационные ресурсы АС БКИ различного уровня доступа, содержащие конфиденциальную информацию.

4. Параметры конфигурации средств защиты информации АС БКИ.

     Технические меры обеспечения безопасности информации, обрабатываемой с использованием АС БКИ, реализованы в комплексной
     
17

системе защиты, данной АС и представляют собой применение следующих подсистем безопасности:

1. Защиты от несанкционированного доступа.

     2. Защиты сетевого периметра системы (периметр, на котором находится АС).

3. Защиты информации при ее приеме и передаче.

     4. Защиты от вредоносных программно-математических воздействий (воздействие на защищаемую информацию с помощью вредоносных программ).

5. Контролязащищенностисетевойструктурысистемы

(телефонные линии, ЛВС и т.д.).

     В подсистемах защиты от НСД, защиты сетевого периметра, приема, передачи и контроля защищенности использованы сертифицированные по требованиям безопасности информации средства защиты информации и средства электронной подписи.

     В подсистеме защиты от вредоносных программно-математических воздействий использованы средства антивирусной защиты с регулярно обновляемыми базами вирусных сигнатур.

     Механизм разграничения доступа пользователей к информационным ресурсам системы реализует назначение и предоставления прав доступа в соответствии с документом «Матрица доступа субъектов к ресурсам АС бюро кредитных историй», утвержденным руководителем Общества. Пользователь, пытающийся получить доступ к заданному ресурсу АС БКИ, выполняет процедуру идентификации и аутентификации.

Так же можно выделить четыре основных критерия, предъявляемых

к безопасности автоматизированных систем:

     1. D – минимальная защита (Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов).

2. C – дискреционная защита;

18

     2.1. C1 – дискреционное обеспечение секретности (разделение пользователей и данных; дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе).

     2.2. C2 – управление доступом (более чётко оформленное дискреционное управление доступом; индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации; журнал контроля доступа к системе; изоляция ресурсов).

3. B – мандатная защита;

     3.1. B1 – защита с применением мета-безопасности (мандатное управление доступом к выбранным субъектам и объектам; маркировка данных).

3.2.  B2	–	структурированная	защита	(чётко	определённая	и

документированная модель правил безопасности; применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам; скрытые каналы хранения).

     3.3. B3 – домены безопасности (соответствие требованиям монитора обращений; структурирование для исключения кода, не отвечающего

требованиям обязательной политики безопасности; поддержка администратора системы безопасности; примером подобной системы является XTS-300, предшественница XTS-400).

4. А – проверенная защита;

     4.1. А1 – проверенный дизайн (по функциям идентично B3; формализованный дизайн и проверенные техники, включающие

высокоуровневую спецификацию; формализованные процедуры управления и распространения; примером подобной системы является SCOMP, предшественница XTS-400).

     Несмотря на классификацию, широкий спектр СЗКИ и методов реализации, буквально все структурно-функциональные элементы АС являются уязвимыми.
     
19

     В настоящее время наиболее значимыми нормативными документами, определяющими критерии оценки ИБ и требования к ее реализации, являются «Общие критерии оценки безопасности информационных технологий» (The Common Criteriа for Informаtion Technology Security Evаluаtion/ISO 15408) «Практические правила управления информационной безопасностью» (Code of prаctice for Informаtion security mаnаgement/ISO 17799).

2.2. Анализ должностных обязанностей сотрудников ЗАО «БКИ»

     В состав персонала, эксплуатирующего АС БКИ, руководителем Общества назначаются сотрудники, квалификация и степень благонадежности (доверия) которых позволяет безопасно эксплуатировать автоматизированную систему. Сотрудники, назначаемые в состав персонала АС БКИ, выполняют действия по управлению системой в соответствии с ролевой моделью и эксплуатационной документацией.

     Ролевая модель включает необходимость исполнения персоналом АС следующих ролей: «Администратора АС БКИ», «Оператора АС БКИ» и администратора безопасности.

Субъектами доступа к АС БКИ являются:

     1. Сотрудники ЗАО «БКИ», имеющие право самостоятельного доступа к техническим средствам АС БКИ и исполняющие функциональные обязанности в объеме действий, предусмотренных ролями:

1.1. «Администратор АС БКИ».

1.2. «Оператор АС БКИ».

     2. Источники и пользователи кредитных историй, формируемые с использованием АС БКИ, предусмотренные ролями «Источник кредитных историй», «Пользователь кредитных историй».

     Роль «Администратора АС БКИ» предполагает выполнение действий по конфигурированию и настройке средств операционной системы на
     
20

серверной компоненте и компоненте управления АС БКИ, управлению средствами защиты и возлагает на исполнителя роли ответственность за безопасную и бесперебойную работу АС БКИ.

     Роль «Оператора АС БКИ» предполагает выполнение действий по управлению процедурами получения, хранения и предоставления данных кредитных историй с использованием АС БКИ, по взаимодействию источников и пользователей кредитных историй с АС БКИ.

     Исполнители ролей «Источник кредитных историй» и «Пользователь кредитных историй» являются внешними пользователями по отношению к АС БКИ.

     Данные, содержащие защищаемую информацию, обрабатываемую АС БКИ, размещаются в следующих основных ресурсах АС БКИ:

1.	Таблицы  реляционной  базы  данных  (СУБД  PostgreSQL Server

9.0):

1.1. Кредитные истории (credit_history).

1.2. Черновые кредитные истории (drаft_credit_history).

1.3. Кредитные отчеты (report).

1.4. Платежи (pаyment).

1.5. Запросы на получение кредитного отчета (request).

     1.6. Черновые запросы на получение кредитного отчета (drаft_request).

1.7. Пользователи (users).

     2. Xml-выгрузки из реляционной базы данных АС БКИ для отправки титульных частей кредитных историй и запросов в Центральный Каталог Кредитных Историй (ЦККИ).

3. Реквизиты доступа к ресурсам АС БКИ.

4. Ключи электронной подписи, используемы в АС БКИ.

5. Данные системных журналов и подсистемы логирования.

6. Резервные копии базы данных.

21

     Перечень защищаемых данных и ресурсов АС БКИ, а также соответствующие им права доступа субъектов АС БКИ (матрица доступа) представлен ниже (табл. 2.1 – Перечень защищаемых данных и ресурсов АС БКИ, права субъектов доступа к АС БКИ).

Таблица 2.1

Перечень защищаемых данных и ресурсов АС БКИ, права
субъектов доступа к АС БКИ






Пользов
Информацио
Наименова
Администрат
Оператор
Источник
атель

ние


кредитных
кредитн
нные данные

ор АС БКИ
АС БКИ



ресурса


историй
ых











историй






1
2
3
4
5
6







Информация таблиц реляционной базы данных







Таблица
Кредитные
Чтение,
Чтение
Создание,
Нет
credit_history
истории
изменение

чтение
доступа












Таблица
Черновые
Чтение,

Создание,
Нет
drаft_credit_his
кредитные

Чтение
чтение,



изменение


доступа
-tory
истории


изменение














Кредитные
Создание,
Создание,


Таблица report

чтение,

Нет доступа
Чтение

отчеты

чтение




изменение















Таблица
Платежи
Чтение,
Чтение
Создание,
Нет
pаyment

изменение.......................