Создание проекта по внедрению средств защиты персональных данных в информационной системе обработки данных

Введение

 

Обеспечение информационной безопасности в наши дни является одной из приоритетных задач, поставленных перед руководителями и специалистами информационной безопасности различных предприятий. От целостности и неприкосновенности сведений, содержащих различного рода тайну, зависит не только благополучие той или иной организации, но и сам факт её существования с учётом быстрого темпа развития промышленного шпионажа.

Современный этап развития общества характеризуется возрастающей ролью  информационной сферы, представляющей собой совокупность информации, информационной структуры, субъектов, осуществляющих сбор, формирование, распространение и использования информации, а также системы регулирования возникающих при этом общественных отношений. Поэтому важную роль играет защита информации и объектов информатизации.

На сегодняшний день инженерно-техническая  защита информации переживает бурный рост, и эта тенденция будет  сохраняться в дальнейшем.

Целью данного курсового проекта  является создание проекта по внедрению средств защиты персональных данных в информационной системе обработки данных.

Для реализации поставленной цели, необходимо решить следующие задачи: произвести моделирование объекта защиты информации и выявить возможные каналы утечки защищаемой информации; произвести проектирование комплекса мероприятий по защите информации от утечки по техническим каналам.

 

 Сейчас появляются все новые и новые информационные технологии, которые улучшают и облегчают работу человека. Информация приобретает  наибольшую ценность. Доступ к необходимой информации открывает неограниченные возможности. Но в настоящее время доступ к информации, представляющей ценность и являющейся собственностью ограничен нормативными и правовыми документами, устанавливающими права доступа к информации. Тем не менее всегда существует информационная угроза в лице конкурентов, недоброжелателей, иностранных разведок. Существование таких злоумышленников объясняет необходимость защиты информации.

Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации, проблема защиты информации относится к числу сложных слабо формализуемых задач.

С позиции системного подхода совокупность взаимосвязанных элементов, функционирующих  с целью обеспечения безопасности информации, образуют систему защиты информации. Такими элементами являются люди, т.е. руководители, сотрудники службы безопасности; объект защиты, представляющий собой здание, инженерные конструкции, средства вычислительной техники, технические средства защиты информации и контроля ее эффективности. Проектирование требуемой системы защиты информации начинается с системного анализа существующей системы защиты информации, который включает моделирование объекта защиты и моделирование угроз безопасности информации.

 

 

 

 

 

 

 

 

 

 

1 ТЕОРЕТИЧЕСКИЕ  АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

1.1 Сущность информационной безопасности, основные понятия защиты информации

 

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития ИТ.

          Рассмотрим основные понятия защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922—96:

  • Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
  • Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
  • Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
  • Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.
  • Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.
  • Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
  • Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.
  • Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Под информационной безопасностью  понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п.

Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы:

• аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);

• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

• данные — хранимые временно и  постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

• персонал — обслуживающий персонал и пользователи.

Одной из особенностей обеспечения  информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде:

• для представления информации — машинные носители информации в  виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и  каналов связи), оперативной памяти, файлов, записей и т. д.;

• объектам системы — пассивные  компоненты системы, хранящие, принимающие  или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;

• субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.

Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.

Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.

Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.

Достоверность информации — свойство информации, выражающееся в строгой  принадлежности субъекту, который является ее источником, либо тому субъекту, от которого эта информация принята.

Юридическая значимость информации означает, что документ, являющийся носителем  информации, обладает юридической силой.

Доступность данных. Работа пользователя с данными возможна только в том  случае, если он имеет к ним доступ.

Доступ к информации — получение  субъектом возможности ознакомления с информацией, в том числе  при помощи технических средств. Субъект доступа к информации — участник правоотношений в информационных процессах.

Оперативность доступа к информации — это способность информации или некоторого информационного ресурса быть доступными для конечного пользователя в соответствии с его оперативными потребностями.

Собственник информации — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.

Владелец информации — субъект, осуществляющий владение и пользование  информацией и реализующий полномочия распоряжения в пределах прав, установленных  законом и/или собственником информации.

Пользователь (потребитель) информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

Право доступа к информации —  совокупность правил доступа к информации, установленных правовыми документами или собственником либо владельцем информации.

Правило доступа к информации —  совокупность правил, регламентирующих порядок и условия доступа  субъекта к информации и ее носителям.

Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы. Несанкционированный доступ к информации — нарушение установленных правил разграничения доступа. Лицо или процесс, осуществляющие НСД к информации, являются нарушителями правил разграничения доступа. НСД является наиболее распространенным видом компьютерных нарушений.

Ответственным за защиту компьютерной системы от НСД к информации является администратор защиты.

Доступность информации подразумевает  также доступность компонента или  ресурса компьютерной системы, т. е. свойство компонента или ресурса быть доступным для законных субъектов системы. Примерный перечень ресурсов, которые могут быть доступны, включает: принтеры, серверы, рабочие станции, данные пользователей, любые критические данные, необходимые для работы.

Целостность ресурса или компонента системы — это свойство ресурса или компонента быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация. С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом. Идентификация субъекта — это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть). Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта.

Аутентификация субъекта — это  проверка подлинности субъекта с  данным идентификатором. Процедура  аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил. После идентификации и аутентификации субъекта выполняют процедуру авторизации. Авторизация субъекта — это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).

Под угрозой безопасности АС понимаются возможные действия, способные прямо  или косвенно нанести ущерб ее безопасности. Ущерб безопасности подразумевает  нарушение состояния защищенности информации, содержащейся и обрабатывающейся в системе (сети). С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы (сети). Уязвимость компьютерной системы — это присущее системе неудачное свойство, которое может привести к реализации угрозы. Атака на компьютерную систему — это поиск и/или использование злоумышленником той или иной уязвимости системы. Иными словами, атака — это реализация угрозы безопасности.

Противодействие угрозам безопасности является целью средств защиты компьютерных систем и сетей.

Защищенная система — это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Способ защиты информации — порядок  и правила применения определенных принципов и средств защиты информации.

Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации

Комплекс средств защиты (КСЗ) —  совокупность программных и технических  средств, создаваемых и поддерживаемых для обеспечения информационной безопасности системы (сети). КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Корпоративные сети относятся к  распределенным автоматизированным системам (АС), осуществляющим обработку информации. Обеспечение безопасности АС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования АС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, т. е. защиту всех компонентов АС — аппаратных средств, программного обеспечения (ПО), данных и персонала. Конкретный подход к проблеме обеспечения безопасности основан на разработанной для АС политике безопасности.

Политика безопасности — это  совокупность норм, правил и практических рекомендаций, регламентирующих работу средств зашиты компьютерной системы  от заданного множества угроз. Более подробные сведения о видах политики безопасности и процессе ее разработки будут приводиться в следующих статьях.

 

 

 

 

 

 

 

 

 

 

 

 

 

1.2 Методы и средства защиты информации

 

        Создание систем  информационной безопасности (СИБ)  в ИС и ИТ основывается на следующих принципах:

       Системный подход  к построению системы защиты, означающий оптимальное сочетание  взаимосвязанных организационных,  программных,. аппаратных, физических  и других свойств, подтвержденных  практикой создания отечественных  и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

            Принцип непрерывного развития  системы. Этот принцип, являющийся  одним из основополагающих для  компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа,

       Обеспечение надежности  системы защиты, т. е. невозможность  снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

        Обеспечение  контроля за функционированием  системы защиты, т.е. создание  средств и методов контроля работоспособности механизмов защиты. Обеспечение всевозможных средств борьбы с вредоносными программами.

       Обеспечение экономической  целесообразности использования  системы. защиты, что выражается  в превышении возможного ущерба  ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.

        В результате  решения проблем безопасности  информации современные ИС и  ИТ должны обладать следующими  основными признаками:

      • наличием информации  различной степени конфиденциальности;

      • обеспечением  криптографической защиты информации  различной степени конфиденциальности  при передаче данных; 

     • обязательным управлением  потоками информации, как в локальных  сетях, так и при передаче  по каналам связи на далекие  расстояния;

     • наличием механизма  регистрации и учета попыток  несанкционированного доступа, событий  в ИС и документов, выводимых  на печать;

     • обязательным обеспечением  целостности программного обеспечения  и информации в ИТ;

• наличием средств восстановления системы защиты информации; • обязательным учетом магнитных носителей;

• наличием физической охраны средств  вычислительной техники и магнитных  носителей;

• наличием специальной службы информационной безопасности системы.      

      Методы и средства  обеспечения безопасности информации:

     Препятствие — метод  физического преграждения пути  злоумышленнику к защищаемой  информации (к аппаратуре, носителям  информации и т.д.).

    Управление доступом  — методы защиты информации  регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала  и ресурсов системы (присвоение каждому  объекту персонального идентификатора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• разрешение и создание условий  работы в пределах установленного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в запросе  и т.п.) при попытках несанкционированных  действий.

         Механизмы  шифрования — криптографическое  закрытие информации. Эти методы  защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

       Противодействие  атакам вредоносных программ  предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ.

         Вся совокупность  технических средств подразделяется  на аппаратные и физические.

        Аппаратные  средства — устройства, встраиваемые  непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

       Физические средства  включают различные инженерные  устройства и сооружения, препятствующие  физическому проникновению злоумышленников  на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

        Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

        Из средств  ПО системы защиты необходимо  выделить еще программные средства, реализующие механизмы шифрования (криптографии), Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

        Организационные  средства осуществляют своим  комплексом регламентацию производственной  деятельности в ИС и взаимоотношений  исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

        Законодательные  средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

          Морально-этические  средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

 

 

 

 

 

 

 

 

 

 

 

 

2 ПРАКТИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

2.1 Организационная характеристика "Ок-сервис

 

Компьютерная компания ООО "Ок-сервис" работает на рынке IT услуг с 2007 года. Расположена по адресу: г. Оренбург, пр. Автоматики 17.

Организация занимается предоставлением услуг:

  • IT – аутсорсинг. Предполагает полную или частичную передачу компьютерного парка предприятия на обслуживание в организацию. Программный и технический ремонт информационной системы.

 

 

  • Сервисный центр по ремонту компьютерной техники

 

  • Антивирусная защита. Предполагает предоставление ПО и установка

 

  • Продажа и установка лицензионного ПО

 

  • Разработка сайтов, WEB-дизайн

 

Целью деятельности организации, как и любой другой коммерческой компании, является получение прибыли. Клиентами компании являются юридические (организации) и частные лица, за интересованные в аутсорсинговых услугах по размещению своих информационных ресурсов в управление ООО «ОКС». На предприятии работает 17 человек, включая работников сторонних организаций, участвующих в процессе работы по договорам найма. 

 

2.2 Исследование информационной безопасности ООО «ОКС»

 

Моделирование угроз безопасности информации предусматривает анализ способов ее хищения, изменения или  уничтожения с целью оценки наносимого этими действиями ущерба.

Моделирование угроз состоит в анализе возможных технических каналов утечки информации;

Для создания модели злоумышленника необходимо мысленно проиграть с  позиции злоумышленника варианты возможного получения доступа к источникам информации. Чем больше при этом будет учтено факторов, тем выше будет вероятность соответствия модели реальной практике. В условиях отсутствия информации о злоумышленнике лучше переоценить угрозу, хотя это может привести к увеличению затрат.

При выявлении технических каналов  утечки информации необходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование технических средств обработки информации, оконечные устройства, соединительные линии, распределительные и коммутационные устройства, системы электропитания, системы заземления и т.п. Наряду с основными техническими средствами, непосредственно связанными с обработкой и передачей конфиденциальной информации, необходимо учитывать и вспомогательные технические средства и системы, такие, как технические средства открытой телефонной, факсимильной, громкоговорящей связи, системы охранной и пожарной сигнализации, электрификации, радиофикации, электробытовые приборы и др. Каналы утечки могут быть реализованы через вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены основные и вспомогательные технические средства, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.

Рассмотрим возможные каналы утечки информации и несанкционированного доступа к ресурсам, которые могут быть использованы противником в данном случае, а также возможную защиту от них.