Создание проекта по внедрению средств защиты персональных данных в информационной системе обработки данных

Введение

 

Обеспечение информационной безопасности в наши дни является одной из приоритетных задач, поставленных перед руководителями и специалистами информационной безопасности различных предприятий. От целостности и неприкосновенности сведений, содержащих различного рода тайну, зависит не только благополучие той или иной организации, но и сам факт её существования с учётом быстрого темпа развития промышленного шпионажа.

Современный этап развития общества характеризуется возрастающей ролью  информационной сферы, представляющей собой совокупность информации, информационной структуры, субъектов, осуществляющих сбор, формирование, распространение и использования информации, а также системы регулирования возникающих при этом общественных отношений. Поэтому важную роль играет защита информации и объектов информатизации.

На сегодняшний день инженерно-техническая  защита информации переживает бурный рост, и эта тенденция будет  сохраняться в дальнейшем.

Целью данного курсового проекта  является создание проекта по внедрению средств защиты персональных данных в информационной системе обработки данных.

Для реализации поставленной цели, необходимо решить следующие задачи: произвести моделирование объекта защиты информации и выявить возможные каналы утечки защищаемой информации; произвести проектирование комплекса мероприятий по защите информации от утечки по техническим каналам.

 

 Сейчас появляются все новые и новые информационные технологии, которые улучшают и облегчают работу человека. Информация приобретает  наибольшую ценность. Доступ к необходимой информации открывает неограниченные возможности. Но в настоящее время доступ к информации, представляющей ценность и являющейся собственностью ограничен нормативными и правовыми документами, устанавливающими права доступа к информации. Тем не менее всегда существует информационная угроза в лице конкурентов, недоброжелателей, иностранных разведок. Существование таких злоумышленников объясняет необходимость защиты информации.

Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации, проблема защиты информации относится к числу сложных слабо формализуемых задач.

С позиции системного подхода совокупность взаимосвязанных элементов, функционирующих  с целью обеспечения безопасности информации, образуют систему защиты информации. Такими элементами являются люди, т.е. руководители, сотрудники службы безопасности; объект защиты, представляющий собой здание, инженерные конструкции, средства вычислительной техники, технические средства защиты информации и контроля ее эффективности. Проектирование требуемой системы защиты информации начинается с системного анализа существующей системы защиты информации, который включает моделирование объекта защиты и моделирование угроз безопасности информации.

 

 

 

 

 

 

 

 

 

 

1 ТЕОРЕТИЧЕСКИЕ  АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

1.1 Сущность информационной безопасности, основные понятия защиты информации

 

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития ИТ.

          Рассмотрим основные понятия защиты информации и информационной безопасности компьютерных систем и сетей с учетом определений ГОСТ Р 50922—96:

• Защита информации — это деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
• Объект защиты — информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
• Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
• Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели.
• Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками.
• Защита информации от разглашения — деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
• Защита информации от НСД — деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником либо владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать государство, юридическое лицо, группа физических лиц, в т. ч. общественная организация, отдельное физическое лицо.
• Система защиты информации — совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Под информационной безопасностью  понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п.

Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы:

• аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.);

• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.;

• данные — хранимые временно и  постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.;

• персонал — обслуживающий персонал и пользователи.

Одной из особенностей обеспечения  информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде:

• для представления информации — машинные носители информации в  виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и  каналов связи), оперативной памяти, файлов, записей и т. д.;

• объектам системы — пассивные  компоненты системы, хранящие, принимающие  или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации;

• субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы.

Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании.

Конфиденциальность данных — это статус, предоставленный данным и определяющий требуемую степень их защиты. К конфиденциальным данным можно отнести, например, следующие: личную информацию пользователей; учетные записи (имена и пароли); данные о кредитных картах; данные о разработках и различные внутренние документы; бухгалтерские сведения. Конфиденциальная информация должна быть известна только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Установление градаций важности защиты защищаемой информации (объекта защиты) называют категорированием защищаемой информации.

Под целостностью информации понимается свойство информации сохранять свою структуру и/или содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, т. е. если не произошло их случайного или преднамеренного искажения или разрушения. Обеспечение целостности данных является одной из сложных задач защиты информации.

Достоверность информации — свойство информации, выражающееся в строгой  принадлежности субъекту, который является ее источником, либо тому субъекту, от которого эта информация принята.

Юридическая значимость информации означает, что документ, являющийся носителем  информации, обладает юридической силой.

Доступность данных. Работа пользователя с данными возможна только в том  случае, если он имеет к ним доступ.

Доступ к информации — получение  субъектом возможности ознакомления с информацией, в том числе  при помощи технических средств. Субъект доступа к информации — участник правоотношений в информационных процессах.

Оперативность доступа к информации — это способность информации или некоторого информационного ресурса быть доступными для конечного пользователя в соответствии с его оперативными потребностями.

Собственник информации — субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.

Владелец информации — субъект, осуществляющий владение и пользование  информацией и реализующий полномочия распоряжения в пределах прав, установленных  законом и/или собственником информации.

Пользователь (потребитель) информации — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

Право доступа к информации —  совокупность правил доступа к информации, установленных правовыми документами или собственником либо владельцем информации.

Правило доступа к информации —  совокупность правил, регламентирующих порядок и условия доступа  субъекта к информации и ее носителям.

Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации — это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации права доступа к компонентам системы. Несанкционированный доступ к информации — нарушение установленных правил разграничения доступа. Лицо или процесс, осуществляющие НСД к информации, являются нарушителями правил разграничения доступа. НСД является наиболее распространенным видом компьютерных нарушений.

Ответственным за защиту компьютерной системы от НСД к информации является администратор защиты.

Доступность информации подразумевает  также доступность компонента или  ресурса компьютерной системы, т. е. свойство компонента или ресурса быть доступным для законных субъектов системы. Примерный перечень ресурсов, которые могут быть доступны, включает: принтеры, серверы, рабочие станции, данные пользователей, любые критические данные, необходимые для работы.

Целостность ресурса или компонента системы — это свойство ресурса или компонента быть неизменным в семантическом смысле при функционировании системы в условиях случайных или преднамеренных искажений или разрушающих воздействий.

С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация. С каждым субъектом системы (сети) связывают некоторую информацию (число, строку символов), идентифицирующую субъект. Эта информация является идентификатором субъекта системы (сети). Субъект, имеющий зарегистрированный идентификатор, является законным (легальным) субъектом. Идентификация субъекта — это процедура распознавания субъекта по его идентификатору. Идентификация выполняется при попытке субъекта войти в систему (сеть). Следующим шагом взаимодействия системы с субъектом является аутентификация субъекта.

Аутентификация субъекта — это  проверка подлинности субъекта с  данным идентификатором. Процедура  аутентификации устанавливает, является ли субъект именно тем, кем он себя объявил. После идентификации и аутентификации субъекта выполняют процедуру авторизации. Авторизация субъекта — это процедура предоставления законному субъекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы (сети).