Дипломная работа на тему «Организационное и информационное обеспечение подсистемы криптографической защиты в ТГТУ» выполнена студентом кафедры ИСиЗИ, группы СИБ-52, Кондратьевым Р. А. под руководством к.т.н., доцента Яковлева А. В. Работа представлена к защите в 2011 году.
Актуальность данной работы состоит в решении инженерной задачи реализации и сопровождения системы криптографической защиты информации в ГОУ ВПО ТГТУ. Необходимо при ее построении исходить из нормативных актов, регулирующих отношения в сфере защиты информации средствами криптографии. Законодательной базой для реализации системы криптографической защиты является «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная Приказом ФАПСИ РФ №152.
В работе строятся модели угроз безопасности информации и модель нарушителя. Этот шаг дает нам исходные данные для разработки подсистемы криптографической защиты информации в ТГТУ. Сравнение исходной конфигурации защищенного электронного документооборота и построенной модели показывает уменьшение числа актуальных угроз и снижение возможности их реализации.
Объем пояснительной записки, стр. . . . . . . . . . . . . . . . . . . . . . . . .
Количество разделов, шт. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Количество рисунков, шт. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Количество таблиц, шт. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Список используемых источников, шт. . . . . . . . . . . . . . . . . . . .
Количество приложений
Перечень условных обозначений…………………………………………… 8
Введение………………………………………………………………………. 9
1 Нормативная база подсистемы криптографической защиты информации в ТГТУ………………………………………………………………………… 11
1.1 Нормативная база в сфере электронного документооборота……. 11
1.2 Нормативная база в сфере организации работы с информацией, не содержащей сведений, составляющих государственную тайну, с использованием средств криптографической защиты……………………………. 13
2 Организация криптографической защиты информации в ТГТУ……….. 20
2.1 Субъекты защищенного электронного документооборота с ТГТУ.. 20
2.2 Построение моделей нарушителя и угроз безопасности………… 30
2.2.1 Методология формирования модели угроз верхнего уровня 30
2.2.2 Построение моделей угроз верхнего уровня………………… 33
2.2.3 Методология формирования детализированной модели угроз 36
2.2.4 Построение детализированной модели угроз ……………… 38
2.2.5 Модель нарушителя….………………………………………… 41
2.3 Организация подсистемы криптографической защиты информации в ГОУ ВПО ТГТУ……………………………………………………………… 54
2.3.1 Исходная конфигурация защищенного ЭДО в ГОУ ВПО ТГТУ…………………………………………………………………………… 54
2.3.2 Этапы построения подсистемы криптографической защиты в ГОУ ВПО ТГТУ……………………………………………………………….. 58
3 Актуальность угроз безопасности информации………………………….. 71
3.1 Рекомендации по определению актульных угроз………………….. 71
3.2 Исходная защищенность подсистемы криптографической защиты информации в ТГТУ ………..……………………………………………6
3.3 Угрозы безопасности информации в соответствии с детализированной моделью угроз………………………………………………………. 77
3.3.1 Угрозы, вызванные ошибочными действиями и (или) нарушениями тех или иных требований лицами, санкционировано взаимодействующими с ними………………………………………………………………….. 77
3.3.2 Угрозы, не связанные с деятельностью человека, угрозы техногенного характера…………………………………………………………. 81
3.3.3 Угрозы, являющиеся атаками……………………………….. 82
4 Охрана труда………………………………………………………………. 90
4.1 Анализ условий труда на рабочем месте…………………………. 90
4.2 Пожарная безопасность……………………………………………… 91
4.3 Опасность поражения электрическим током……………………… 94
4.4 Правила работы за компьютером…………………………………. 95
4.5 Расчёт искусственного освещения…………………………………. 99
4.6 Расчет общеобменной вентиляции………………………………… 101
4.7 Расчет защитного заземления………………………………………. 104
4.8 Мероприятия по обеспечению условий труда……………………. 106
5 Технико-экономическое обоснование подсистемы криптографической защиты информации в ТГТУ………………..………………………….……. 107
5.1 Общая характеристика подсистемы криптографической защиты информации в ТГТУ………………………………………………………….. 107
5.2 Затраты на построение подсистемы криптографической защиты в ТГТУ…………………………………………………………………………… 109
5.3 Обоснование затрат на построение подсистемы криптографической защиты (метод ожидаемых потерь) ………………………………………… 110
Заключение……………………………………………………………………. 114
Список используемых источников………………………………………….. 116
Приложение А. Положение об органе криптографической защиты информации……………………………………………………………………… 122
Приложение Б. Функциональные обязанности сотрудников органа криптографической защиты информации ТГТУ……………………………… 127
Приложение В. Инструкция администратора безопасности органа криптографической защиты информации ТГТУ………………………………….. 130
Приложение Г. Обязательства сотрудника органа криптографической защиты…………………………………………………………………………… 135
Приложение Д. Инструкция пользователя органа криптографической защиты информации…………………………………………………………… 136
Приложение Е. Обязательства пользователя средств криптографической защиты информации…………………………………………………………. 139
Приложение Ж. Методические рекомендации по применению Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным с доступом, не содержащей сведений, составляющих государственную тайну…………………………………….. 140
Приложение И. Инструкция по порядку охраны помещений, где установлены СКЗИ или хранятся ключевые документы к ним, и допуска в эти помещения сотрудников и посетителей……………………………………….. 144
Приложение К. Правила использования средств криптографической защиты информации и порядок обращения с ключевыми носителями………. 146
Приложение Л. Листинг веб-приложения………………………………….. 149
ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ
ЭДО – электронный документооборот.
ЭЦП – электронно-цифровая подпись.
ЭП – электронная подпись.
ФК – Федеральное Казначейство.
ПФР – Пенсионный Фонд России.
ФНС – Инспекция Федеральной Налоговой Службы.
ГОУ ВПО ТГТУ – Государственное Образовательное Учреждение Высшего Профессионального Образования «Тамбовский Государственный Технический Университет».
ФАПСИ – Федеральное Агенство Правительственной Связи и Информации.
РФ – Российская Федерация.
ФЗ – федеральный закон.
СЭД – система электронного документооборота.
СКЗИ – средство криптографической защиты информации.
ФСБ – Федеральная Служба Безопасности.
ФСС – Фонд Социального Страхования.
КЗИ – криптографическая защита информации.
ПАК – программно-аппаратный комплекс.
НСД – несанкционированный доступ.
ПК – программный комплекс.
АП – абонентский пункт.
ПО – программное обеспечение.
ПДн – персональные данные.
ИСПДн – информационная система персональных данных.
КЗ – контролируемая зона.
ИР – информационный ресурс.
ТС – техническое средство.
ВВЕДЕНИЕ
С развитием информационных технологий стали широко применяться так называемые электронные документы, использование которых дает массу преимуществ для пользователей:
– ускорение процессов документооборота;
– способность передавать документ по цифровым каналам связи;
– теоретическая возможность вечного хранения;
– неограниченность экземпляров, имеющих юридическую силу и т.д.
Для обеспечения юридической силы электронных документов используется средство криптографической защиты документа – электронная подпись.
Применение ЭДО ставит перед предприятиями проблему создания и администрирования системы криптографической защиты информации, передаваемой по каналам связи. Применительно ГОУ ВПО ТГТУ создание данной системы вызвано необходимостью ЭДО с рядом государственных структур (ФК, ПФР, ФНС и т.д.). В соответствии с требованиями ряда нормативных актов и инструкций требуется реорганизация подсистемы криптографической защиты информации в ГОУ ВПО ТГТУ.
Актуальность данной работы состоит в решении инженерной задачи реализации и сопровождения подсистемы криптографической защиты информации в ГОУ ВПО ТГТУ. Необходимо при ее построении исходить из нормативных актов, регулирующих отношения в сфере защиты информации средствами криптографии. Законодательной базой для реализации системы криптографической защиты является «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная Приказом ФАПСИ РФ №152.
Цель работы – совершенствование информационного и организационного обеспечния подсистемы криптографической защиты информации в ТГТУ, отвечающей требованиям законодательных актов, инструкций и рекомендаций, действующих на территории Российской Федерации.
Объектом исследования в данной работе является организация защищенного ЭДО ГОУ ВПО ТГТУ с внешними организациями. Как составляющую объекта исследования можно выделить предмет исследования – организацию работы с атрибутами защищенного ЭДО в ГОУ ВПО ТГТУ – ключевые документы (ЭЦП, ключи шифрования), учетные формы (журналы), дистрибутивы СКЗИ. Для обоснования принимаемых мер защиты необходима разработка моделей угроз (верхнего уровня и частной) и модели нарушителя.
В ходе построения модели криптографической защиты ГОУ ВПО ТГТУ необходимо решить следующие задачи:
– анализ законодательных актов и нормативных документов;
– анализ исходной конфигурации защищенного ЭДО в ТГТУ;
– разработка моделей угроз безопасности информации и модели нарушителя;
– разработка модели подсистемы криптографической защиты информации в ТГТУ
– разработка внутренней документации для сопровождения подсистемы.
Методика исследования заключается в том, чтобы:
– описать круг субъектов, участвующих в защищенном ЭДО с ГОУ ВПО ТГТУ и процедур получения и использования ключевой информации;
– на основе нормативных документов сформировать требования к подсистеме криптографической защиты информации;
– сформировать перечни угроз безопасности информации и модель нарушителя.
Практическая значимость в решении данной инженерной задачи заключается в построении конкретной реализации подсистемы криптографической защиты информации, отвечающей нормативным требованиям.