МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА”
ЗВІТ
ДО ПРАКТИЧНОЇ РОБОТИ № 1
З КУРСУ: “Аудит кібербезпеки”
НА ТЕМУ: “Виконання досліджень по оцінці захисту інформації в комп'ютерних системах від несанкціонованого доступу та організація служби захисту інформації в автоматизованій системі на об’єкті.”
Львів 2020 р.
МЕТА РОБОТИ – навчитись проводити оцінку захисту інформації в комп'ютерних системах об’єкту та спроектувати підрозділ, відповідальний за здійснення цього інформаційного захисту.
Завдання:
Розробити тезовий проект щодо захисту інформації в комп'ютерних системах об’єкту, заданого у варіанті, та організації відповідної службу захисту інформації і коротко описати у звіті.
Варіант: Міні АТС комерційного банку
Опис та аналіз об’єкта захисту.
Об’єкт захисту – міні автоматична телефонна станція комерційного банку.
Міні-АТС - це спеціалізований комп'ютер, в який заводяться зовнішні лінії зв'язку (міські, IP, SIP, GSM-шлюзи) і від якого відходять лінії внутрішнього зв'язку. Найголовніше призначення міні-АТС - економити і гроші і час завдяки тому, що велика кількість внутрішніх абонентів може безконфліктно користуватися невеликою кількістю зовнішніх ліній і одночасно з цим:
дозволяє власникові зробити свою систему телефонного зв'язку найсучаснішою і використовувати її максимально ефективно;
надає всім своїм абонентам сучасний сервіс, не вимагаючи при цьому яких-небудь спеціальних телефонних апаратів;
підвищує імідж компанії.
Завдання, з якими легко справляється міні-АТС, можна розділити на дві групи:
Забезпечення внутрішнього зв'язку в установі;
Раціональне використання наявних зовнішніх телефонних ліній, що дозволяє оптимально організувати роботу як окремо взятого співробітника, так і організації в цілому.
Широкі можливості телефонних станцій:
оптимальний розподіл вхідних і вихідних дзвінків між відділами та співробітниками компанії;
ефективне управління дзвінками за допомогою переадресації, режимів очікування і утримання виклику;
внутрішній телефонний зв'язок з можливістю проведення конференцій для великого числа учасників;
оперативний зв'язок співробітників на робочих місцях;
контроль за використанням міжміського зв'язку, тарифікація, обмеження доступу за часом;
режими очікування і утримання виклику, режим конференції;
"гучний зв'язок" - як зовнішній (по офісу), так і через системний телефон;
можливість підключення факсу, бази радіотелефону, домофону і інших аналогових пристроїв;
можливість підключення комп'ютера, пристрої голосової пошти.
У зв’язку з цим, ми повинні створити таку систему захисту, яка б одночасно була і безпечною, і зберегла усі відповідні функції.
Нехай комерційний банк займає один поверх(перший) і станція АТС знаходиться в окремому технічному приміщенні(серверній). Окрім того, АТС має кабельне з’єднання із пристроями банку(селекторами, факсами і т.д.) а також один зовнішній вивід у телефонну мережу міста.
Контрольована зона – приміщення серверної. Небезпечна зона 1 – усі інші приміщення банку, де можливий доступ сторонніх осіб, зона навколо банку відстанню 2 м, а також поверх вище. Небезпечна зона 2 – інші поверхи, будинки сусідні та навпроти і повністю телефонна лінія(від банку до загальної).
Нехай в ІС, яку утворює АТС циркулює робоча інформація банку: наради, розпорядження, робочі переговори(інформація ДСК), але також через ці АТС може прослуховуватись і конфіденційна інформація, яка обробляється в кабінетах, і банківська таємниця, і навіть таємна інформація. Тому захист АТС є критично важливим.
Припустимо, що АТС в цьому банку тільки встановлюється, тому жодного захисту на ній немає.
2. Виявлення потенційних каналів витоку інформації.
Оскільки ми досліджуємо лише АТС, комерційного банку, приділимо більше уваги витоку мовної інформації:
Телефонні апарати(навіть при покладеній трубці) можуть бути використані для перехоплення акустичної мовної інформації з приміщень, у яких вони встановлені, тобто для підслуховування розмов в приміщеннях(так зване «...