МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА” ЗВІТ ДО ПРАКТИЧНОЇ РОБОТИ № 1 З КУРСУ: “Аудит кібербезпеки” НА ТЕМУ: “Виконання досліджень по оцінці захисту інформації в комп'ютерних системах від несанкціонованого доступу та організація служби захисту інформації в автоматизованій системі на об’єкті.” Львів 2020 р. МЕТА РОБОТИ – навчитись проводити оцінку захисту інформації в комп'ютерних системах об’єкту та спроектувати підрозділ, відповідальний за здійснення цього інформаційного захисту. Завдання: Розробити тезовий проект щодо захисту інформації в комп'ютерних системах об’єкту, заданого у варіанті, та організації відповідної службу захисту інформації і коротко описати у звіті. Варіант: Міні АТС комерційного банку Опис та аналіз об’єкта захисту. Об’єкт захисту – міні автоматична телефонна станція комерційного банку. Міні-АТС - це спеціалізований комп'ютер, в який заводяться зовнішні лінії зв'язку (міські, IP, SIP, GSM-шлюзи) і від якого відходять лінії внутрішнього зв'язку. Найголовніше призначення міні-АТС - економити і гроші і час завдяки тому, що велика кількість внутрішніх абонентів може безконфліктно користуватися невеликою кількістю зовнішніх ліній і одночасно з цим: дозволяє власникові зробити свою систему телефонного зв'язку найсучаснішою і використовувати її максимально ефективно; надає всім своїм абонентам сучасний сервіс, не вимагаючи при цьому яких-небудь спеціальних телефонних апаратів; підвищує імідж компанії. Завдання, з якими легко справляється міні-АТС, можна розділити на дві групи: Забезпечення внутрішнього зв'язку в установі; Раціональне використання наявних зовнішніх телефонних ліній, що дозволяє оптимально організувати роботу як окремо взятого співробітника, так і організації в цілому. Широкі можливості телефонних станцій: оптимальний розподіл вхідних і вихідних дзвінків між відділами та співробітниками компанії; ефективне управління дзвінками за допомогою переадресації, режимів очікування і утримання виклику; внутрішній телефонний зв'язок з можливістю проведення конференцій для великого числа учасників; оперативний зв'язок співробітників на робочих місцях; контроль за використанням міжміського зв'язку, тарифікація, обмеження доступу за часом; режими очікування і утримання виклику, режим конференції; "гучний зв'язок" - як зовнішній (по офісу), так і через системний телефон; можливість підключення факсу, бази радіотелефону, домофону і інших аналогових пристроїв; можливість підключення комп'ютера, пристрої голосової пошти. У зв’язку з цим, ми повинні створити таку систему захисту, яка б одночасно була і безпечною, і зберегла усі відповідні функції. Нехай комерційний банк займає один поверх(перший) і станція АТС знаходиться в окремому технічному приміщенні(серверній). Окрім того, АТС має кабельне з’єднання із пристроями банку(селекторами, факсами і т.д.) а також один зовнішній вивід у телефонну мережу міста. Контрольована зона – приміщення серверної. Небезпечна зона 1 – усі інші приміщення банку, де можливий доступ сторонніх осіб, зона навколо банку відстанню 2 м, а також поверх вище. Небезпечна зона 2 – інші поверхи, будинки сусідні та навпроти і повністю телефонна лінія(від банку до загальної). Нехай в ІС, яку утворює АТС циркулює робоча інформація банку: наради, розпорядження, робочі переговори(інформація ДСК), але також через ці АТС може прослуховуватись і конфіденційна інформація, яка обробляється в кабінетах, і банківська таємниця, і навіть таємна інформація. Тому захист АТС є критично важливим. Припустимо, що АТС в цьому банку тільки встановлюється, тому жодного захисту на ній немає. 2. Виявлення потенційних каналів витоку інформації. Оскільки ми досліджуємо лише АТС, комерційного банку, приділимо більше уваги витоку мовної інформації: Телефонні апарати(навіть при покладеній трубці) можуть бути використані для перехоплення акустичної мовної інформації з приміщень, у яких вони встановлені, тобто для підслуховування розмов в приміщеннях(так зване «...