1.71M
Category: lawlaw

ГОТОВО

1.

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МИРЭА
— РОССИЙСКИЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ»
ИНСТИТУТ КИБЕРБЕЗОПАСНОСТИ И ЦИФРОВЫХ ТЕХНОЛОГИЙ
КАФЕДРА КБ-1 «ЗАЩИТА ИНФОРМАЦИИ»
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
Разработка комплекса организационно-технических мер по защите информации в
автоматизированных системах газетной типографии
Выполнил:
студент группы БББО-09-22
Нестеров Владимир Андреевич
Руководитель:
к.т.н., доцент, Кочергин Сергей Валерьевич

2.

Актуальность, цель, задачи
Актуальность темы ВКР: Отсутствие комплекса организационно-технических мер
защиты информации создаёт угрозы утечки, несанкционированного доступа и нарушения
технологических процессов.
Цель ВКР:
обеспеченье
конфиденциальности, целостности и доступности
обрабатываемой информации
в АС типографии в соответствии с требованиями
законодательства РФ.
Задачи ВКР:
1) провести исследование объекта информатизации ;
2) провести анализ нормативно-правовой базы в области защиты информации в
АС типографии;
3) разработать модель угроз безопасности информации ;
4) разработать организационные меры защиты информации (политика ИБ,
регламенты, инструкции);
5) разработать технические меры защиты информации в АС типографии;
2

3.

Объект, предмет, практическая значимость
Объект исследования: автоматизированные системы газетной типографии,
используемые для управления редакционно-издательскими процессами, вёрстки,
допечатной подготовки, учёта заказов и хранения персональных данных сотрудников.
Предмет
исследования:
процесс
разработки
комплекса
организационно-
технических мер по защите информации, обрабатываемой в автоматизированных
системах газетной типографии.
Практическая
значимость:
разработанный
комплекс
мер
может
быть
использован для обеспечения защиты информации в АС газетных и иных
полиграфических типографий.
3

4.

1. Исследование объекта информатизации
Организационно-штатная структура газетной типографии
4

5.

1. Исследование объекта информатизации
Схема информационных потоков в газетной типографии
5

6.

Модель процесса “Выполнение заказа”
6

7.

2. Анализ нормативно-правовой базы в области защиты информации
Федеральные законы
► Федеральный закон от 27.07.2006 года № 149-ФЗ «Об
информации, информационных технологиях и о защите информации».
► Федеральный закон от 27.07.2006 года № 152-ФЗ «О защите
персональных данных».
► Федеральный закон от 29.07.2004 года № 98-ФЗ «О
коммерческой тайне».
► Федеральный закон от 06.04.2011 года № 63-ФЗ «Об
электронной подписи».
Постановления правительства
► Требования к защите персональных данных при их обработке в
информационных
системах
персональных
данных
(утв.
постановлением Правительства РФ от 1 ноября 2012 года №
1119).
7

8.

ГОСТы
► ГОСТ Р 59853-2021. Информационная технология. Комплекс
стандартов на автоматизированные системы. Автоматизированные
системы. Термины и определения. - М.: Российский институт
стандартизации, 2021. (Дата введения 01.01.2022 г.)
► ГОСТ Р 51583-2014. Защита информации. Порядок создания
автоматизированных систем в защищенном исполнении. Общие
сведения. М., 2014.
► ГОСТ 34.201-2020. Информационная технология. Комплекс
стандартов на автоматизированные системы. Виды, комплектность и
обозначение документов при создании автоматизированных систем. - М.:
Российский институт стандартизации, 2021. (Дата введения 01.01.2022 г.)
Приказы ФСТЭК и ФСБ
► Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава
и содержания организационных и технических мер по ОБ ПДн при их обработке
в ИСПДн».
► Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении
состава и содержания мер по применению СКЗИ для защиты ПДн»

9.

4. Разработка модели угроз безопасности информации
Модель нарушителя

10.

3. Разработка модели угроз безопасности информации
На основе анализа угроз базы данных был выявлен перечень актуальных
угроз:
№ УБИ
Описание
Класс
008
Угроза восстановления и/или повторного
использования аутентификационной
информации
Нарушение
конфиденциальности
074
Угроза несанкционированного доступа
к аутентификационной информации
Нарушение
конфиденциальности
088
Угроза несанкционированного
копирования защищаемой информации
Нарушение
конфиденциальности
116
Угроза перехвата данных, передаваемых по
вычислительной сети
Нарушение
конфиденциальности
179
Угроза несанкционированной модификации
защищаемой информации
Нарушение целостности
192
Угроза использования уязвимых
версий программного обеспечения
Нарушение целостности
128
Угроза подмены доверенного
пользователя
Нарушение
конфиденциальности
191
Угроза внедрения вредоносного кода в
дистрибутив программного обеспечения
Нарушение целостности
044
Угроза нарушения изоляции
пользовательских данных внутри
виртуальной машины
Нарушение
конфиденциальности
082
Угроза несанкционированного доступа к
сегментам вычислительного поля
Нарушение Целостности
10

11.

4. Разработка организацонных мер защиты информации

Мера
Закрываемые УБИ
1
Разработка и утверждение Политики информационной
безопасности типографии — регламентирует права доступа,
обработку ПДн, ответственность сотрудников
УБИ.088
УБИ.128
2
Назначение ответственного за обработку ПДн — сотрудник,
контролирующий соблюдение требований 152-ФЗ и Приказа
ФСТЭК №21
УБИ.074
УБИ.088
3
Проведение инструктажа персонала по ИБ не реже 1 раза в
год — включает антифишинг, правила работы с ПДн, порядок
сообщения об инцидентах
УБИ.128
4
Немедленная блокировка учётных записей при увольнении —
регламент предусматривает отзыв доступа в день
расторжения трудового договора
УБИ.008
УБИ.074
УБИ.128
5
Введение режима коммерческой тайны — подписание
соглашений NDA с сотрудниками, имеющими доступ к данным
клиентов и макетам
УБИ.088
УБИ.116
6
Организация физической защиты серверного помещения —
ограниченный доступ, журнал посещений, охрана; запрет
выноса носителей без разрешения
УБИ.088
УБИ.082
11

12.

5. Разработка технических мер защиты информации АС типографии

Мера
Закрываемые УБИ
1
Разграничение прав доступа (RBAC) — каждый сотрудник имеет
доступ только к данным своей роли; менеджер не видит чужие
заказы, оператор не имеет доступа к ПДн
УБИ.074
УБИ.088
2
Шифрование email-канала (TLS 1.2+, S/MIME) — вся
переписка с клиентами и внутри типографии
передаётся по защищённому протоколу
УБИ.116
3
Антивирусная защита на всех АРМ и почтовом сервере
— функции обнаружения, блокировки и карантина
вредоносного кода; обновление баз ежедневно
УБИ.192
4
Резервное копирование данных — ежедневный
автоматический бэкап БД заказов и ПДн на
изолированное хранилище; срок хранения — 30 дней
УБИ.044
5
Межсетевой экран (Firewall) — запрет внешних прямых
подключений к серверу БД; белый список
разрешённых сервисов и IP-адресов
УБИ.044
УБИ.116
6
Аудит и журналирование событий ИБ — фиксация всех
фактов входа/выхода, доступа к ПДн, изменения
данных с хранением журналов не менее 1 года
УБИ.082
УБИ.179
12

13.

Заключение
В результате выполнения выпускной квалификационной работы на основе первой и
второй глав были решены следующие задачи:
1)
проведено исследование АС газетной типографии, определён состав
обрабатываемой информации и выявлены угрозы ИБ;
2)
проведён анализ нормативно-правовой базы в области защиты информации в АС;
3)
разработана модель угроз безопасности информации ;
4)
разработаны организационные меры защиты: политика ИБ, регламенты,
инструкции для персонала;
5)
разработаны технические меры защиты: схема защиты периметра, разграничение
доступа, криптозащита;
13
English     Русский Rules