Обеспечение целостности информации

Уровень значимости информации является высоким, если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба. (Приложение 1)

 

 

 

Классификация информационных систем персональных данных

Таблица 7. Выбор уровня защиты подсистемы

Категория персональных данных	Специальные (т.к. указывается национальность сотрудников)
Категория субъектов	Сотрудники
Количество субъектов	5 (менее 100 000)
Тип угроз	Угрозы 3 типа т.к. для ИС «Банк» актуальны угрозы, не связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном ПО, используемом в ИС.
Уровень защищённости	УЗ 3

 

 

Масштаб  ИС «Банк» является объектовым, так как она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.

Таблица 8.Классификация систем не обрабатывающих гостайну

Уровень значимости информации	Масштаб информационной системы
	Федеральный	Региональный	Объектовый
УЗ1	К1	К1	К1
УЗ2	К1	К2	К2
УЗ3	К2	К3	К3
УЗ4	К3	К3	К4

 

В целях упорядочивания нормативно-правовой базы в области персональных данных ФСТЭК России утверждены требования о защите информации, не составляющих гос. тайну, содержащихся в государственных информационных системах ГИС и состав и содержание организационных и технических мер по обеспечению безопасности персональных данных(Приказ ФСТЭК РФ от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению персональных данных при их обработке в информационных системах персональных данных») В соответствии с этим документом установлена классификация информационных систем, обрабатывающих информацию, не составляющую государственную тайну, - первый класс (К1), второй класс (К2), третий класс (К3) и четвёртый класс (К4).

В соответствии с таблицей 8, для АС «Банк» выбран класс защищённости персональных данных К2.

 

4. ПОСТАНОВКА ЗАДАЧИ

Система должна удовлетворять требованием класса защищенности 1Д. Необходимо реализовать функции подсистем:

1. Подсистема управления доступом
• Осуществляется идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянному. Вся информация о пользователях хранится в таблице кодов и паролей (ТКП).

Таблица 9. Таблица кодов и паролей

Номер	ФИО	Логин	Пароль	Должность
1	Ходакова Ю.А.	Admin	1537902	Администратор
2	Казаков А.Г.	Kazakov	5123156	Бухгалтер
3	Смирнов В.Ю.	Vannila142	8213041	Управляющий банком
4	Кузнецов Р.В.	Krooproot	21314164	Пользователь

Формирование паролей пользователей происходит 3 способами:

1. Пароль генерируется системой;
2. Пароль выдается администратором системы;
3. Пользователь сам придумывает пароль.
• Осуществляется контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа. Матрица доступа служит основанием для создания экранных форм.

Таблица 10. Матрица доступа

Занимаемая должность	Просмотр таблицы кодов паролей	Просмотр рабочих таблиц и документов	Просмотр ТРП	Журнал входа/выхода	Сведения о клиенте	Зар. плата	Сведения о переводах
Бухгалтер	X	R	X	X	Х	RW	R
Администратор	RW	X	RW	R	RW	R	R
Операционист\кассир	X	RW	X	X	RW	X	RW
Охранник	X	X	R	X	X	X	X

 

Полномочия:

R – просмотр;

W – изменение;

X – недоступность.

2. Подсистема регистрации и учета:
• Осуществляется регистрация входа/выхода в систему/из системы. При регистрации значения полей «логин» и «пароль» берутся из входной формы. При совпадении, в журнале регистрируется время входа/выхода и заносится признак. Время входа/выхода проставляется системой. Регистрация выхода из системы или остановки не производится в моменты аппаратного выключения АС.

Таблица 11. Журнал входа/выхода

Логин	Пароль	Время входа	Время выхода	Признак
Admin	1537902	20/04/2015 04:54:13 PM	20/04/2015 08:58:36PM	1
Krooproot	21314161	20/04/2015 08:30:25AM	/ /      :  :	2
Krooproot	11314164	20/04/2015 08:31:05AM	/ /      :  :	2
Krooproot	2131416	20/04/2015 08:31:55AM	/ /      :  :	3
Krooproot	2131416	20/04/2015 08:32:55AM	20/04/2015 08:32:55AM	4

 

Признаки:

1 – Успешный вход в  систему;

2 – НСД;

3 – Блокировка;

4 – Выход из системы.

3. Подсистема обеспечения целостности

Целостность информации можно разделить на 2 вида:

1. Физический
2. Логический(семантический)

Физический подразумевает неизменность  физического состояния носителя.  Для обеспечения целостности информации банк оборудован металлическими наружными  дверьми, камерами видеонаблюдения по всей территории банка, на окнах – решетки. Помещение устроено так, чтобы обычные посетители не имели доступ к системе безопасности, кабинетам бухгалтера и администратора, а так же к местам, содержащим конфиденциальную информацию.

Логический (семантический) подразумевает неизменность семантических связей между отдельными смысловыми информационными элементами.

Целостность информации проверяется путем подсчета контрольных сумм. Если же контрольная сумма не будет совпадать с эталонной, значит в одном из файлов произошло изменение и целостность информации считается нарушенной. При выходе из системы администратор записывает новую эталонную сумму.

Таблица 12. Проверка контрольной суммы

Файлы	Контрольная	Эталонная
Отчеты по клиентам	123456	123456
Отчеты по вкладам	754321	54321
Переводы	78901	78901

В данном случае мы видим, что  файл «Отчеты по вкладам» был изменен, следовательно, целостность была нарушена.

 

 

 

 

 

 

 

 

5.ПРОГРАММНО-АППАРАТНЫЕ СРЕДСТВА РЕАЛИЗАЦИИ СИСТЕМЫ

Методы и средства решения задач

1. Программные средства

Все программное обеспечение, установленное на компьютерах сотрудников, является собственностью предприятия и должно использоваться исключительно в рабочих целях.

Сотрудникам запрещается устанавливать на предоставленных в пользование компьютерах сторонне, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношение к их рабочей деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено руководителю.

Все компьютеры должны быть оснащены антивирусным программным обеспечением.

Сотрудники предприятия не должны:

1. Блокировать антивирусное программное обеспечение;
2. Устанавливать другое антивирусное программное обеспечение;
3. Изменять настройки и конфигурацию антивирусного программного обеспечения.
2. Аппаратные средства

Компьютерное оборудование, предоставленное сотрудникам для работы, является собственностью банка.

Все компьютеры должны защищаться паролем при загрузке системы. Должны быть резервные копии данных для случая возникновения халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверить, чтобы убедиться в отсутствии на них конфиденциальных данных.

Разновидности СУИБ

Лидерами на рынке средств управления безопасностью распределенных ИС являются такие компании, как Cisco, IBM, CheckPoint и др. Примеры таких систем:

• CiscoSecurityManager-  система централизованного управления всеми средствами защиты компании Cisco. Отличительными особенностями CSM являются поддержка большого числа устройств защиты, различные формы представления информации, механизмы обнаружения несоответствий в политике безопасности, автоматизация рутинных задач и т.д.
• Программно-аппаратный комплекс CiscoMARS – предназначен для управления противодействиям угрозам безопасности.
• CiscoIPSolutionCenter– платформа централизованного управления сетевой инфраструктурой крупных компаний и сервис-провайдеров. В том числе ISC управляет и решениями по информационной безопасности – механизмами построения VPN, межсетевыми экранами и т.д.
• IBMTivoli – выделяет в качестве приоритетных задач выработку политики доступа к ресурсам или данным и реализацию ее на всех уровнях корпоративной инфраструктуры и комплексную защиту от несанкционированного проникновения в сеть, вирусных атак и других угроз.
• IBM Internet Security System
• IBM Proventia Management SiteProtector
• SecretNet - сертифицированное средство защиты информации от несанкционированного доступа.

 

Возможности SecretNet:

• Разграничение доступа
• Доверенная информационная среда
• Контроль каналов распространения конфиденциальной информации
• Контроль устройств
• Централизованное управление, мониторинг и аудит
• Защита терминальных сессий
• Масштабируемая система защиты

Для АС «Банк» наиболее подходящей является SecretNet, так как она реализовывает все функции, удовлетворяющие классу 1Д.