Реферат
На тему: «Разработка рекомендаций по обеспечению защиты
информации в отделе записей актов гражданского состояния (ЗАГС) по Центральному
району»
Определения и сокращения
|
канал утечки информации |
-методы и пути утечки информации из информационной системы |
|
система |
-совокупность функционально связанных элементов |
|
АРМ |
- автоматизированное рабочее место |
|
ВТСС |
-вспомогательные технические средства и системы |
|
ЗИ |
- защита информации |
|
КИ |
- конфиденциальная информация |
|
КУИ |
- каналы утечки информации |
|
ПДн |
- персональные данные |
|
ПЭМИН |
-побочные электромагнитные излучения и наводки |
|
СЗИ |
- средства защиты информации |
|
ТКУИ |
- технические каналы утечки информации |
|
ТСОИ |
-технических системах обработки информации |
|
ЭВМ |
- электронная вычислительная машина |
Содержание
Определения и сокращения
Введение
1.2 Наличие оконных и дверных проёмов
.3 Конструкционные особенности объекта
.4 Ближайшие потенциально опасные объекты
2. Анализ информации, обрабатываемой на объекте
. Анализ программно-аппаратных средств обработки информации
. Анализ трудовых ресурсов
. Анализ системы контроля управления доступом
5.1 Инженерная защита оконных/дверных проёмов
.2 Организационные методы контроля доступа
.3 Программно-аппаратные и технические устройства датчикового контроля, видеонаблюдения и сигнализации
6. Анализ возможных угроз
. Модель нарушителя
. Рекомендации по обеспечению защиты информации
.1 Защита информации от утечки по техническим каналам
8.2 Защита информации от утечки по визуальному каналу
8.4 Защита информации от специальных программ-вирусов
.5 Защита информации от несанкционированного доступа
Заключение
Список использованных источников
Приложение
Введение
Информационная безопасность организации - целенаправленная деятельность её органов и должностных лиц с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.
Обеспечение комплексной защиты организации от несанкционированного доступа к информации, обрабатываемой на объекте, и несанкционированного вмешательства в функционирование автоматизированных систем - цель данной работы. В реферате будет рассмотрена система обеспечения информационной безопасности ЗАГСа.
Полноценная информационная безопасность организации подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.
Отдел записей актов гражданского состояния (ЗАГС) - орган исполнительной власти в России и ряде иных государств, регистрирующий факты рождения, смерти, усыновления (удочерения), перемены имени, заключения и расторжения брака.
ЗАГС по Центральному району расположен по адресу г. Тула, пр.
Ленина, 91 на первом этаже 4-х этажного здания. Здание построено в 1956 году.
Первый этаж строения отведён под коммерческие и некоммерческие организации,
остальные этажи являются жилыми.
Здание построено из керамического кирпича, конструкция фундамента - свайная. Толщина несущих стен составляет 50 - 60 см. Высота потолка в здании - около 3 м. При строительстве использовали цементную заливочную массу ПАНБЕКС Г5 - PENETRATING.
В соответствии с классификацией строительных конструкций по
устойчивости к взлому (Р 78.36.003-99) постройку относится к группе 3 (степень
защиты от взлома высокая).
На территории организации используются два типа дверей: металлическая стальная (входная дверь и дверь в архивное помещение) и деревянная (все остальные). Металлические стальные двери соответствуют 3 группе защиты, деревянные - 2 в соответствии с классификацией дверных конструкций по устойчивости к взлому Р 78.36.003-99.
Окна организации (размер 1950 мм на 1150 мм) выполнены из
обычного стекла - недостаточная степень защиты от взлома. Четыре из них
защищены глухими металлическими решётками из свариваемой стали (по ГОСТ 380-94
РФ) - средняя степень защиты от взлома (классификация оконных проемов по
устойчивости к взлому Р 78.36.003-99).
ЗАГС расположен на 1 этаже здания.
План помещения организации размещён в Приложении А.
Адрес: г. Тула, пр. Ленина, 91
ресторан «Библиотека» (цокольный этаж)
жилые этажи здания (со 2 по 4)
Адрес: г. Тула, пр. Ленина, 92
Тульский Государственный Университет
Функции отдела ЗАГС по Центральному району:
регистрация заключения брака;
регистрация расторжения брака;
регистрация установления отцовства;
регистрация усыновления (удочерения);
регистрация перемены имени для жителей Центрального района;
дела по исправлению и изменению для жителей Центрального района;
выдача повторных свидетельств 1988 г. (по пос. Скуратовскому и Менделеевскому с 1990 г.);
выдача архивных справок с 1988 г. (по пос. Скуратовскому и Менделеевскому с 1990 г.).
В архиве отдела ЗАГС по Центральному району на хранении находятся книги актовых записей:
- по Скуратово-Менделеевскому филиалу с 1990 г. по настоящее время (рождение, заключение брака, расторжение брака, установление отцовства);
по Центральному району г. Тулы с 1988 г. по настоящее время (все виды актовых записей, кроме смерти).
В экономическом отделе обрабатываются персональные данные сотрудников.
Данная информация относится к конфиденциальной согласно Указу Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера». В соответствии с Постановлением Правительства "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" от 01.11.2012г. №1119 подпунктом «в» пункта 11 уровень защищенности организации - 3, так как параметры обрабатываемой информации:
3-й тип актуальных угроз. Угрозы этого типа не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.
категория ПДн - специальные. Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
персональные данные не общедоступны;
число субъектов, ПДн которых обрабатываются, меньше 100 000;
обрабатываются персональные данные сотрудников.
Информация, обрабатываемая на объекте, может быть интересна
мошенникам.
Расположение средств обработки информации приведено в Приложение Б.
На балансе организации числятся:
9 персональных ЭВМ
5 принтеров
1 шредер
2 сканера
На всех рабочих станциях установлено следующее программное обеспечение:
Операционная система «Microsoft Windows 7»
Офисный пакет приложений «Microsoft Office»
Сотрудники организации имеют доступ в Интернет (Wi-fi и
проводной Интернет).
Таблица 1. Трудовые ресурсы организации
|
Штатным расписанием определены должности: |
Доступ к КИ (не включая обработку ПДн сотрудников) |
|
- начальник отдела ЗАГС |
+ |
|
- начальник экономического отдела |
|
|
- 3 сотрудника экономического отдела |
|
|
- регистратор заключения брака |
+ |
|
- регистратор расторжения брака |
+ |
|
- сотрудник, регистрирующий факт рождения |
+ |
|
- регистратор «Перемены имени» |
+ |
|
- смотритель зала |
|
|
- уборщик |
|
В помещениях «Экономический отдел» и санитарная комната
установлены металлические решетки из свариваемой стали (ГОСТ 380-94 РФ) на
окна.
При входе в помещение «Архив» на двери располагается табличка
с надписью «Архив. Посторонним вход воспрещён».
Охранная сигнализация. На входной двери организации установлен магнито-контактный датчик, на каждом окне расположен датчик разбития стекла. Сигнал о незаконном проникновении поступает на пульт отделения полиции через автоматический дозваниватель (используется проводная телефонная линия). Охранная сигнализация является комбинированной: при незаконном проникновении на территорию организации передаётся информация в отделение полиции и включается звуковая сирена.
Пожарная сигнализация. Датчики, установленные в организации, являются двухрежимными (подают два сигнала: «Пожар» и «Нет пожара»), проводными (передают сигнал по кабелю), комбинированными (извещатели отслеживают абсолютное пороговое значение параметра и его динамику), одноточечными (детекторы дыма). Пожарная сигнализация круглосуточно передает информацию с датчиков на пульт дежурного пожарной части.
По всему внутреннему периметру территории ЗАГСа расположены видеокамеры KPC-S190SB1-40 (8), которые передают сигнал на АРМ оператора, расположенный в кабинете начальника. Видеокамера в помещении «Архив» находится в рабочем режиме, когда кто-либо находится в кладовой. Система видеонаблюдения соответствует 3 классу систем охранного телевидения согласно Р 78.36.008-99 «Проектирование и монтаж систем охранного телевидения и домофонов. Рекомендации».
Расположение датчиков охранной и пожарной сигнализация находится в Приложении В, видеокамер в Приложении Б.
По способам реализации угроз выделяют угрозы, связанные с несанкционированным доступом к ПДн (в том числе угрозы внедрения вредоносных программ) и угрозы утечки ПДн по ТКУИ.
Возможно возникновение следующих каналов утечки информации:
акустический/виброакустический
Конфиденциальная информация не передаётся акустически. Пдн обрабатываются только на ТСОИ. Данный КУИ невозможен.
визуальный
Канал утечки информации возможен через окна здания.
ПЭМИН
Побочные электромагнитные излучения возникают при следующих режимах обработки информации средствами вычислительной техники:
вывод информации на экран монитора;
ввод данных с клавиатуры;
запись информации на накопители;
чтение информации с накопителей;
передача данных в каналы связи;
вывод данных на периферийные печатные устройства - принтеры;
запись данных от сканера на магнитный носитель и т.д.
Наводки информативных сигналов могут возникнуть
в линиях электропитания ТСОИ;
в линиях электропитания и соединительных линиях ВТСС;
в посторонних проводниках (металлических трубах систем отопления, водоснабжения, металлоконструкциях и т.д.).
К ВТСС относят технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, электрификации, радиофикации, часофикации, электробытовые приборы и т.д.
твёрдые бытовые отходы
Предприятие работает с бумажными носителями. Защита информации осуществляется организационными методами.
Пути проникновения вирусов в средства вычислительной техники:
проникновение вирусов на рабочие станции при использовании на рабочей станции инфицированных файлов с переносимых источников (флоппи-диски, компакт-диски и т.п.);
заражение вирусами с помощью инфицированного программного обеспечения, полученного из Интернет и проинсталлированного на локальной рабочей станции;
распространение электронной почты, содержащей в приложениях
файлы Excel и Word, инфицированные макровирусами.
Нарушитель ИБ - это лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам организации.
Исходя из перечня персональных данных, существуют следующие способы нарушения характеристик безопасности:
− хищение персональных данных сотрудниками предприятия для использования в корыстных целях;
− передача информации о субъекте персональных данных третьим лицам;
− несанкционированное публичное разглашение персональных данных, ставших известными сотрудникам предприятия;
− несанкционированное получение персональных данных третьими лицами;
− уничтожение информации о субъекте ПДн;
− модификация информации о субъекте ПДн;
− ввод некорректной информации о субъекте ПДн;
− передача некорректной информации о субъекте ПДн;
− искажение архивной информации по субъекту ПДн
В соответствии с моделью, все нарушители по признаку принадлежности делятся на внешних и внутренних.
Внутренний нарушитель.
Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:
− обслуживающий персонал (системные администраторы, отвечающие за эксплуатацию и сопровождение технических и программных средств);
− технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
− сотрудники организации, которым предоставлен доступ в помещения, где расположено компьютерное оборудование.
Любой внутренний нарушитель может иметь физический доступ к линиям связи, системам электропитания и заземления. Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основными являются режимные мероприятия и организационно-технические меры, направленные на: