Выпускная квалификационная работа «Обеспечение защищенности автоматизированных рабочих мест в организации» 10.05.03
Цель и задачи
Актуальность
Нормативно-правовая база
Общая информация об объекте
Анализ объекта
Анализ объекта
Анализ объекта
Анализ объекта
Анализ объекта
Программно-технические средства защиты
Программно-технические средства защиты
Программно-технические средства защиты
Программно-технические средства защиты
Физические средства защиты информации
Перечень предлагаемых средств физической защиты
Организационные средства защиты
Примерная стоимость денежных затрат для достижения поставленной цели работы
Выводы
4.54M
Categories: informaticsinformatics softwaresoftware
Similar presentations:
Продуктовая линейка средств защиты информации ГК «Конфидент»
Продуктовая линейка средств защиты информации ГК «Конфидент»
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
Безопасная связь и мобильные рабочие места Samsung
Безопасная связь и мобильные рабочие места Samsung
Информация как предмет защиты. Категории защищаемой информации. Методы и средства защиты информации
Информация как предмет защиты. Категории защищаемой информации. Методы и средства защиты информации
Правила по обеспечению информационной безопасности на рабочем месте
Правила по обеспечению информационной безопасности на рабочем месте
КТ 3. Описание информационной системы (состав оборудования и ПО)
КТ 3. Описание информационной системы (состав оборудования и ПО)
Информационные технологии в профессиональной деятельности. Автоматизированные банковские системы и рабочие места
Информационные технологии в профессиональной деятельности. Автоматизированные банковские системы и рабочие места
Меры по обеспечению информационной безопасности в учреждении
Меры по обеспечению информационной безопасности в учреждении
Система обеспечения информационной безопасности
Система обеспечения информационной безопасности
Реализация мер обеспечения безопасности информации средствами «1С:Предприятие 8»
Реализация мер обеспечения безопасности информации средствами «1С:Предприятие 8»

Обеспечение защищенности автоматизированных рабочих мест в организации

1. Выпускная квалификационная работа «Обеспечение защищенности автоматизированных рабочих мест в организации» 10.05.03

ФЕДЕРАЛЬНОЕ АГЕНТСТВО МОРСКОГО И РЕЧНОГО ТРАНСПОРТА
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Государственный университет морского и речного флота имени адмирала С.О. Макарова»
Кафедра комплексного обеспечения информационной безопасности
Выпускная квалификационная работа
«Обеспечение защищенности автоматизированных
рабочих мест в организации»
10.05.03 «Информационная безопасность автоматизированных систем»
Научный руководитель:
доцент каф.коиб. Коротков В.В.
Работу выполнила: студентка группы ИБ-5X
XXXXXXX.X.X
Санкт-Петербург
2025

2. Цель и задачи

Цель:
Cовершенствование защиты
информации в клинике
«Здоровье»
Задачи:
Изучить теоретические основы
информационной безопасности;
Провести анализ объекта защиты;
Выявить источники угроз и уязвимости ИБ
на объекте защиты;
Проанализировать возможные каналы
утечки информации;
Разработать предложения по обеспечению
защищенности АРМ на объекте;
Оценить стоимость предложенных мер.
2

3. Актуальность

Рост зависимости
от цифровых систем
Увеличение числа
киберугроз
Нарушение
конфиденциальности
и утечка данных
3

4.

Классификация видов информации
4

5. Нормативно-правовая база

Федеральные законы
Указы президента
Приказы ФСТЭК и ФСБ
• Федеральный закон от
27.07.2006 № 152-ФЗ
«О персональных
данных»
• Федеральный закон от
27.07.2006 № 149-ФЗ
«Об информации,
информационных
технологиях и о
защите информации»
• Федеральный закон от
06.04.2011 № 63-ФЗ
«Об электронной
подписи»
• Указ Президента РФ от
06.03.1997 № 188 «Об
утверждении перечня
сведений
конфиденциального
характера»
• Указ Президента РФ от
22.05.2015 № 260 «О
некоторых вопросах
информационной
безопасности
Российской
Федерации»
• Указ Президента РФ от
05.12.2016 № 646 «Об
утверждении Доктрины
информационной
безопасности
Российской
Федерации»
• Приказ ФСТЭК РФ от
18.02.2013 № 21 «Об
утверждении состава и
содержания
организационных и
технических мер по
обеспечению
безопасности
персональных данных
при их обработке в
информационных
системах
персональных
данных»;
• Приказ ФСБ РФ и
ФСТЭК РФ от
31.08.2010 № 416/489
«Об утверждении
Требований о защите
информации,
содержащейся в
информационных
системах общего
пользования»;
Постановления
правительства
• Постановление
Правительства РФ от
01.11.2012 № 1119 «Об
утверждении
требований к защите
персональных данных
при их обработке в
информационных
системах
персональных
данных»;
• Постановление
Правительства РФ от
26.06.1995 № 608 «О
сертификации средств
защиты информации»
5

6. Общая информация об объекте

6

7. Анализ объекта

7

8. Анализ объекта

8

9.

Анализ объекта
Врачебная
тайна
ПДн клиентов и
работников
Коммерческая
тайна
Служебная
тайна
• Кабинеты врачей специалистов
• Кабинеты глав.врача и зам.директора по медицинской части
• Регистратура
• Регистратура
• Кабинеты врачей специалистов
• Отдел кадров
• Бухгалтерия
• Кабинеты ген.директора, зам.директора по медицинской части и зам.директора по
административно-хозяйственной части
• Бухгалтерия
• Кабинет ген.директора
• Кабинет зам.директора по медицинской части
• Кабинет зам.директора по административно-хозяйственной части
• Отдел охраны
• Кабинет директора по административно-хозяйственной части
• Отдел сетевого администрирования и отдел ИБ
• Кабинет генерального директора
• Кабинет заместителя директора по медицинской части
9

10. Анализ объекта

10

11. Анализ объекта

11

12. Анализ объекта

Потенциальные пути
нарушителя
• 9 потенциальных путей в северной части здания клиники через оконные конструкции
• Главный вход путем преодоления физических преград
Каналы утечки
информации
• Оптико-электронный
• Акустический
• Радиоэлектронный
• Материально-вещественный
Категории защищаемой
информации
• Врачебная тайна
• Коммерческая тайна
• ПДн клиентов и работников
• Служебная тайна
Структура помещений
• Кабинеты врачей, а также административные кабинеты клиники нуждаются в установке
дополнительных средств физической защиты
Программно-аппаратное • Отсутствие программных СЗИ
• Замена АРМ на АРМ в защищенном исполнении
обеспечение
Организационная
структура
• Отсутствие нормативно-правовых актов и документов, необходимых для обеспечения
информационной безопасности
12

13. Программно-технические средства защиты

13

14. Программно-технические средства защиты

Результаты обнаружения
атак
Результаты обнаружения
и защиты от угроз
14

15. Программно-технические средства защиты

15

16.

Критерий
Сертификация ФСТЭК
Соответствие
Dallas Lock 8.0-К
Secret Net Studio
5 класс СВТ от НСД, 4 уровень 4 класс СВТ от НСД, 4 уровень
НДВ, МЭ, СОВ, СКН
НДВ, МЭ, СОВ, СКН
ПАК «Соболь»
3 класс СВТ от НСД, 2 уровень НДВ
ИСПДн 1 уровня, ГИС 1
ИСПДн 1 уровня, ГИС 1 класса, ИСПДн 1 уровня, ограниченно для №17,
класса, приказы №17, №21,
приказы №17, №21, №239
№21
№239
Интеграция с KES
Подтверждена (АРМ, сервер) Подтверждена (АРМ, сервер)
Ограниченная
Функциональность
-Дискреционное
разграничение
-Дискреционное и мандатное
- СКН (теневое копирование)
разграничение
- Двухфакторная
- СКН, МЭ, СОВ
аутентификация
- Интеграция с AD
- Элементы DLP, SIEM
- Защита сервера
- Песочница
- Шифрование (опционально)
- Защита сервера
- Контроль целостности
- Доверенная загрузка
- Аппаратная аутентификация
- Контроль целостности
- Ограниченное разграничение
Поддержка ОС
Windows XP–11, Server 2003–
2022, Linux, виртуализация
Windows 7–11, Server 2008–
2022, Linux, виртуализация
Управление
Единый центр управления (на
Централизованная консоль,
сервере), удаленная
требует AD
установка
Windows, Linux (ограниченно), слабая
виртуализация
Ограниченное, через Secret Net
Инфраструктура
Не требует серверной
ОС/СУБД
Стоимость
~7500 ₽/АРМ, ~10–15 тыс.
₽/сервер, скидки для 17
устройств
~10–15 тыс. ₽/АРМ, ~20–30 тыс.
~10–15 тыс. ₽/устройство (включая платы)
₽/сервер
Простота внедрения
Высокая: минимальная
инфраструктура
Средняя: сложная серверная
настройка
Требует Windows Server + AD
Требует аппаратных плат
Низкая: установка плат
16

17. Программно-технические средства защиты

АРМ-Интернет. Защищённый
персональный компьютер
17

18. Физические средства защиты информации

1.
Внедрение системы видеонаблюдения
2.
Внедрение
элемента
СКУД
(врезного
электромеханического замка с контактным
устройством, считывателя бесконтактного для
карт формата EMM/HID и бесконтактных карт
доступа EMM)
18

19. Перечень предлагаемых средств физической защиты


Комплект контроля
доступа в
помещения PERCo
Комплект системы
видеонаблюдения
AHD Ps-Link KITA504HD
19

20. Организационные средства защиты

1.
Модель угроз безопасности информации (перечень актуальных угроз для АРМ и описание возможных
сценариев их реализации);
2.
Положение об обработке и защите персональных данных (описание процессов обработки ПДн, целей,
правовых оснований и мер защиты на АРМ);
3.
Технический паспорт автоматизированного рабочего места (сведения о составе АРМ: аппаратное и
программное обеспечение, средства защиты, класс защищенности);
4.
Приказ о назначении ответственных лиц (указание сотрудников, отвечающих за эксплуатацию АРМ,
обеспечение безопасности и контроль соблюдения требований);
5.
Журнал учета событий информационной безопасности
(шаблон для регистрации изменений доступа, инцидентов и действий пользователей на АРМ);
6.
Перечень средств защиты информации
(список используемых СЗИ (антивирусы, средства защиты от НСД и т.д.) с указанием их сертификации ФСТЭК,
ФСБ));
7.
Соглашение об ответственности сотрудников
(документ, подтверждающий ознакомление персонала с правилами работы и ответственностью за нарушения);
8.
Эксплуатационная документация на средства защиты
(руководства по установке, настройке и использованию СЗИ, применяемых на АРМ).
20

21. Примерная стоимость денежных затрат для достижения поставленной цели работы

21

22. Выводы


Изучены теоретические основы
информационной безопасности;
Проведен анализ объекта защиты;
Выявлены источники угроз и уязвимости
ИБ на объекте защиты;
Проанализированы возможные каналы
утечки информации;
Разработаны предложения по обеспечению
защищенности АРМ в клинике «Здоровье»;
Оценена стоимость предложенных мер.
Цель «Совершенствование
защиты информации в клинике
«Здоровье».» - достигнута!
Спасибо за внимание!
22
English     Русский Rules