Разработка проекта КСЗИ субъекта КИИ

Введение

Актуальность защиты информации в организации сегодня приобретает все большее значение, учитывая специфику возможностей злоумышленников в части кражи защищаемой информации. Особенно остро вопрос касается субъектов критической информационной инфраструктуры (КИИ). Ведь современные угрозы безопасности характеризуются высокой квалификацией нарушителя, внезапностью появления, стихийностью их протекания, а также высоким деструктивным действием по отношению к атакуемому объекту. В соответствии с данными характеристиками для нейтрализации описанных угроз применяются комплексные системы защиты информации (КСЗИ), направленные на нейтрализацию угроз в автоматизированных системах (АС), которые сегодня используются повсеместно. Цель настоящей работы заключается в разработке проекта КСЗИ субъекта КИИ. Субъектом КИИ является отделение банка. В качестве объекта КИИ выступает АС класса защищенности 1«В», обслуживающая клиентов данного банка и автоматизирующая ее деятельность. Задачи курсовой работы: анализ нормативно-правовой базы в области защиты субъекта КИИ; анализ субъекта и объекта КИИ; оценка возможностей потенциальных нарушителей и актуальные угрозы информационной безопасности; разработка проекта КСЗИ субъекта КИИ; оценка экономической эффективности мер. Практическая значимость работы заключается в возможности совершенствования КСЗИ отделения банка, с учетом требований ФСТЭК и законодательства РФ. Аспекты обеспечения безопасности информации Нормативная база в области защиты субъекта КИИ Информационной безопасностью называют меры по защите информации от НСД, разрушения, модификации, раскрытия и задержек в доступе. ИБ включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Защита информации – это деятельность по предотвращению утраты и утечки защищаемой информации. Целями организационно-правового обеспечения процесса защиты информации являются: достижение состояния, когда все правила ИБ являются обязательными для соблюдения лицами, имеющими непосредственное отношение к защищаемой информации; узаконивание мер ответственности за нарушение правил ИБ; придание юридической силы техническим решениям в сфере организационно-правового обеспечения ИБ; узаконивание процессуальных процедур разрешения ситуаций (инцидентов), складывающихся в процессе функционирования СЗИ. Методы защиты информации регулируются Руководящим Документом (РД) «Концепция защиты средств вычислительной техники и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации». Также в структуру законодательных и нормативно-правовых актов, ориентированных на правовое обеспечение в области ИБ входят четыре уровня. Первый уровень основывается на Конституции Российской Федерации. Одной из важнейших задач государственной политики по обеспечению ИБ граждан является реализация конституционных норм в сфере информации. В приказе ФСТЭК России от 11 Декабря 2013 г. № 17 предусматривается право каждого гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Каждый гражданин имеет право на неприкосновенность частной жизни, сохранность личной и семейной тайны. Таким образом, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Второй уровень структуры законодательных и нормативно-правовых актов включает в себя Федеральные законы РФ в области информационной безопасности, а также приказы ФСТЭК России. Третий уровень структуры законодательных и нормативно-правовых актов состоит из Указов Президента и постановлений Правительства РФ. Четвертый уровень структуры законодательных и нормативно-правовых актов включает в себя кодексы РФ. 1 января 2018 г. вступил в силу ФЗ № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Закон направлен на обеспечение устойчивого и бесперебойного функционирования критической информационной инфраструктуры, а также для правового регулирования в сфере обеспечения информационной безопасности. КИИ – совокупность объектов информационной инфраструктуры, а также сетей электросвязи, используемых для организации взаимодействия объектов КИИ между собой, т.е. критически важных для экономической деятельности и безопасности государства и граждан. Соответственно, безопасность КИИ – это комплексный процесс по обеспечению устойчивого и бесперебойного функционирования критичных бизнес процессов предприятия. Данный процесс включает в себя мероприятия по защите информации в информационных системах (ИС), автоматизированных системах управления технологическими процессами (АСУ ТП) и информационно-телекоммуникационных сетях, которые решают следующие задачи: оценка текущего состояния защищённости ИТ-инфраструктуры предприятия; категорирование объектов КИИ; разработка и внедрение КСЗИ для значимых объектов КИИ предприятия; сопровождение и эксплуатация программно-аппаратных средств защиты информации объектов КИИ; обеспечение безопасности значимого объекта КИИ при выводе его из эксплуатации. Создавая комплексную систему защиты информации значимых объектов КИИ, сводятся к минимуму риски остановки производства из-за компьютерных инцидентов, что может негативно повлиять на деятельность предприятия, а если нарушение работы привело к чрезвычайной ситуации, влияющей на безопасность сотрудников, то и от уголовной ответственности. За соблюдением требований следят надзорные структуры или регуляторы (ФСТЭК, ФСБ), которые за невыполнение данных требований нормативно-правовых актов по обеспечению безопасности объектов КИИ, могут применять санкции к организации. Требования необходимо выполнить субъектам КИИ, которыми согласно ФЗ №187 являются государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат ИС, информационно-телекоммуникационные сети, автоматизированные системы управления и функционирующие в определенных сферах экономической деятельности. На рисунке 1 представлены субъекты КИИ. Рассматриваемый в настоящей работе субъект относится к банковской сфере. Рисунок 1 – Субъекты КИИ Каждый субъект КИИ на праве собственности, аренды или на ином законном основании владеет объектами КИИ. Наиболее распространённым и опасным способом кражи информации объекта КИИ является несанкционированный доступ (НСД). Несанкционированный доступ к субъекту КИИ Основу большинства угроз ИБ различных систем, сетей и программного обеспечения (ПО) составляет несанкционированный доступ (НСД). НСД – это доступ к информации, системам, сетям или программам, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами (АС). По сути НСД заключается в несанкционированном получении пользователем доступа к объекту (субъекту), на который у него нет соответствующих прав. Чаще всего целью потенциального злоумышленника является нарушение конфиденциальности данных. Иногда под НСД подразумевают получение доступа к информационным ресурсам лицом, имеющим право на доступ к ним в объеме, превышающем необходимый для выполнения служебных обязанностей. Это активные действия по созданию возможности распоряжаться информацией без согласия собственника. Причинами НСД к информации могут быть и ошибки в конфигурации прав доступа, настройки файрволов, низкая защищенность средств авторизации, а также непреднамеренные действия пользователей или обслуживающего персонала сетей. Наиболее частыми путями НСД в сетях являются программные уязвимости (рисунок 2). Рисунок 2 – Несанкционированный доступ в ЛВС Самую опасную угрозу для программного обеспечения и компьютерных систем в целом представляют собой вредоносные программы, под которыми понимают такие программы, которые прямо или косвенно нарушают процесс обработки информации или способствуют искажению и утечке данных. Представленные выше пути НСД требуют особых технических знаний и наличия соответствующего аппаратного и ПО. Выводы Первая глава курсовой работы посвящена теоретическому анализу нормативно-правовых актов, действующих в сфере защиты информации. Также в данной главе было исследовано понятие несанкционированного доступа, проанализированы аспекты определения и защиты субъектов КИИ.