Материал: Выбор и настройка СЗИ для защиты от актуальных угроз и обеспечения заданного уровня безопасности

Ход выполнения

Определение класса АС и уровня защищенности ИСПДн

Определение класса защищенности информационной системы проводится в соответствии с пунктом 14.2 Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных6 информационных системах, утвержденных приказом ФСТЭК России от 11февраля 2013 г. № 17. Устанавливаются четыре класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)), определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый. Класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ),обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый). Класс защищенности (К) = [уровень значимости информации; масштаб системы].Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности, целостности или доступности информации: УЗ = [(конфиденциальность, степень ущерба) (целостность, степень ущерба)(доступность, степень ущерба)], где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть: высокой, если в результате нарушения одного из свойств безопасности информации(конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или)информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции; средней, если в результате нарушения одного из свойств безопасности информации(конфиденциальности, целостности, доступности) возможны умеренные6

негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или)информационная

6

система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций; низкой, если в результате нарушения одного из свойств безопасности информации(конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или)информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств. 7 Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности могут применяться национальные стандарты и (или) методические документы, разработанные и утверждённые ФСТЭК России в соответствии с подпунктом 4 пункта 8Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16августа 2004 г. № 1085. Масштаб информационной системы определяется назначением и распределенностью сегментов информационной системы. Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях. Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и7

не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях. При обработке персональных данных в информационной системе определение класса защищённости информационной системы осуществляется с учетом требуемого уровня защищенности

7

персональных данных, установленного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119. При этом в соответствии с пунктом 27 Требований, утверждённых приказом ФСТЭК России от 11 февраля 2013 г. № 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. № 17. Характеробъектов персональных данных религиозные убеждения. Несанкционированное разглашение данных о религиозных убеждениях может нанести незначительный социальный и политический ущерб, однако, это не помешает функционированию ИСПДн или ее операторов. Данные о религиозных убеждениях относятся к категории 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. В данном случае этот параметр принимает значение 3

– В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации. Руководствуясь этими фактами уровень значимости информации, хранимой в информационной системе высокий. В соответствии с вышеизложенной информацией и по исходным данным варианта задания имеются основания причислить ИСПДн к классу 1, так как в системе небольшое количество пользователей, а так же относительно низкое количество объектов персональных данных,

однако персональные данные подпадают подкатегорию 1. Так же в системе

8

используется локальная вычислительная сеть, что может свидетельствовать о ло-

кальности предприятия использующего информационную систему.

Настройка СЗИ Аура

Система защиты информации «Аура» была установлена на виртуальной ма-

шине Windows 7. На рис. 1 представлен процесс входа в систему администратором.

Рис. 1.

После входа в операционную систему администратору предоставляется пол-

ный доступ к СЗИ «Аура» через панель управления. В панели администратора были созданы 30 пользователей, согласно установленной задаче курсовой работы.

9

Рис. 2 – Конфигурация пользователей системы.

Каждому пользователю заданы права по шаблону «Пользователь» и установлен па-

роль. Была произведена проверка возможности авторизации через другую учетную запись. Авторизованный пользователь при открытии СЗИ «Аура» имеет ограничен-

ный функционал. На рис.3 представлен пользовательский интерфейс для учетной записи, не обладающей правами администратора.

10