Виконання досліджень по оцінці захисту інформації в комп'ютерних системах від несанкціонованого доступу та організація служби захисту інформації в автоматизованій системі на об’єкті.

Інформація про навчальний заклад

ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
ЗІ
Кафедра:
Кафедра захисту інформації

Інформація про роботу

Рік:
2020
Тип роботи:
Практична робота (завдання)
Предмет:
Аудит кібербезпеки

Частина тексту файла

МІНІСТЕРСТВО
ОСВІТИ
І
НАУКИ
УКРАЇНИ НАЦІОНАЛЬНИЙ
УНІВЕРСИТЕТ
“ЛЬВІВСЬКА
ПОЛІТЕХНІКА”
ЗВІТ
ДО ПРАКТИЧНОЇ
РОБОТИ
1 З
КУРСУ:
“Аудит кібербезпеки” НА ТЕМУ: “Виконання досліджень по оцінці захисту інформації в комп'ютерних системах від несанкціонованого доступу та організація служби захисту інформації в автоматизованій системі на об’єкті.”
Львів 2020 р.
МЕТА РОБОТИ – навчитись проводити оцінку захисту інформації в комп'ютерних системах об’єкту та спроектувати підрозділ, відповідальний за здійснення цього інформаційного захисту. Завдання: Розробити тезовий проект щодо захисту інформації в комп'ютерних системах об’єкту, заданого у варіанті, та організації відповідної службу захисту інформації і коротко описати у звіті. Варіант: Міні АТС комерційного банку Опис та аналіз об’єкта захисту.
Об’єкт захисту – міні автоматична телефонна станція комерційного банку.
Міні-АТС - це спеціалізований комп'ютер, в який заводяться зовнішні лінії зв'язку (міські, IP, SIP, GSM-шлюзи) і від якого відходять лінії внутрішнього зв'язку. Найголовніше призначення міні-АТС - економити і гроші і час завдяки тому, що велика кількість внутрішніх абонентів може безконфліктно користуватися невеликою кількістю зовнішніх ліній і одночасно з цим: дозволяє власникові зробити свою систему телефонного зв'язку найсучаснішою і використовувати її максимально ефективно; надає всім своїм абонентам сучасний сервіс, не вимагаючи при цьому яких-небудь спеціальних телефонних апаратів; підвищує імідж компанії. Завдання, з якими легко справляється міні-АТС, можна розділити на дві групи: Забезпечення внутрішнього зв'язку в установі; Раціональне використання наявних зовнішніх телефонних ліній, що дозволяє оптимально організувати роботу як окремо взятого співробітника, так і організації в цілому. Широкі можливості телефонних станцій: оптимальний розподіл вхідних і вихідних дзвінків між відділами та співробітниками компанії; ефективне управління дзвінками за допомогою переадресації, режимів очікування і утримання виклику; внутрішній телефонний зв'язок з можливістю проведення конференцій для великого числа учасників; оперативний зв'язок співробітників на робочих місцях; контроль за використанням міжміського зв'язку, тарифікація, обмеження доступу за часом; режими очікування і утримання виклику, режим конференції; "гучний зв'язок" - як зовнішній (по офісу), так і через системний телефон; можливість підключення факсу, бази радіотелефону, домофону і інших аналогових пристроїв; можливість підключення комп'ютера, пристрої голосової пошти. У зв’язку з цим, ми повинні створити таку систему захисту, яка б одночасно була і безпечною, і зберегла усі відповідні функції. Нехай комерційний банк займає один поверх(перший) і станція АТС знаходиться в окремому технічному приміщенні(серверній). Окрім того, АТС має кабельне з’єднання із пристроями банку(селекторами, факсами і т.д.) а також один зовнішній вивід у телефонну мережу міста. Контрольована зона – приміщення серверної. Небезпечна зона 1 – усі інші приміщення банку, де можливий доступ сторонніх осіб, зона навколо банку відстанню 2 м, а також поверх вище. Небезпечна зона 2 – інші поверхи, будинки сусідні та навпроти і повністю телефонна лінія(від банку до загальної). Нехай в ІС, яку утворює АТС циркулює робоча інформація банку: наради, розпорядження, робочі переговори(інформація ДСК), але також через ці АТС може прослуховуватись і конфіденційна інформація, яка обробляється в кабінетах, і банківська таємниця, і навіть таємна інформація. Тому захист АТС є критично важливим. Припустимо, що АТС в цьому банку тільки встановлюється, тому жодного захисту на ній немає. 2. Виявлення потенційних каналів витоку інформації. Оскільки ми досліджуємо лише АТС, комерційного банку, приділимо більше уваги витоку мовної інформації: Телефонні апарати(навіть при покладеній трубці) можуть бути використані для перехоплення акустичної мовної інформації з приміщень, у яких вони встановлені, тобто для підслуховування розмов в приміщеннях(так зване «телефонне вухо») Телефонні лінії, що проходять через приміщення, можуть використовуватися як джерела живлення акустичних закладок, встановлених у цих приміщеннях, а також для передачі перехопленої інформації. Звичайно, можливе перехоплення (підслуховування) телефонних розмов шляхом гальванічного чи індукційного датчика підключення до телефонної лінії закладок (телефонних ретрансляторів), диктофонів і інших засобів несанкціонованого знімання інформації. Телефонний апарат має кілька елементів, що мають здатність перетворювати акустичні коливання в електричні, тобто володіють «мікрофонним ефектом». До них відносяться: коло дзвінка, телефонна, і, звичайно, мікрофонна капсули. За рахунок електроакустичних перетворень у цих елементах виникають інформаційні (небезпечні) сигнали. При використанні для знімання інформації методу «високочастотного нав’язування», незважаючи на гальванічне відключення мікрофона від телефонної лінії, сигнал нав’язування завдяки високій частоті проходить у мікрофонне коло і модулюється по амплітуді інформаційним сигналом. Варто сказати, що окрім цього телефон (селектор) та телефонні лінії можуть використовуватись як випадкові антени для зняття електромагнітного інформаційного сигналу із технічних засобів обробки та передачі інформації, тому додамо ще один пункт: Електромагнітний канал витоку інформації – це перехоплення побічного випромінювання технічних пристроїв(комп’ютерів, телефонів, усієї наявної техніки) засобами радіотехнічної розвідки, розташованими за межею контрольованої зони. Реалізація загроз для інформації на АТС через канали спеціальних впливів можлива через : - кількісну недостатність компонентів АТС; - якісну недостатність компонентів і (або) всієї АТС у цілому; - навмисну або ненавмисну діяльність осіб, які, в свою чергу, впливають на елементи АТС з використанням програмних і (або) технічних засобів; - несправність апаратних елементів АТС; - виходи за межі припустимих значень параметрів зовнішнього середовища функціонування АТС (у тому числі, пов'язаними зі стихійними лихами, катастрофами й іншими надзвичайними подіями); - помилки і некоректні дії суб'єктів доступу до ресурсів АТС на стадії її промислової експлуатації. 3. Постановка задач з програмно-апаратного захисту інформації на об’єкті.
1. У процесі розробки технічного завдання на систему ТЗІ на АТС: - аналізуються інформаційні потоки через АТС, характер і зміст розв'язуваних її абонентами задач, рівень цінності (у т.ч., ступінь конфіденційності) інформації абонентів; - оцінюються характеристики технологічного середовища експлуатації АТС, що підлягає захисту; - створюються моделі порушників; - виявляються дестабілізуючі чинники і загрози для інформаційних ресурсів; - прогнозуються імовірності прояву загроз, потенційно можливі і припустимі втрати власників і абонентів АТС, що пов'язані з такими проявами; - будується модель загроз; - задаються вимоги до необхідного рівня захищеності інформаційних ресурсів на АТС. 2. Відповідно до принципу мінімальної достатності (див. НД ТЗІ 1.1-001-99) система захисту повинна бути спроектована таким чином, щоб здійснювалася протидія тільки тим загрозам, що мають суттєве значення для Замовника системи ТЗІ, і тільки в тій мірі, у котрій необхідно нейтралізувати (послабити, зменшити) наслідки прояву таких суттєвих загроз, для того щоб втрати від їхніх можливих реалізацій не перевищили гранично припустимих рівнів. Тому необхідний рівень захищеності інформації в технічному завданні визначається в термінах моделі загроз. 3. У процесі аналізу інформаційних потоків через АТС, характеру і змісту розв'язуваних її абонентами задач, як правило, керуються матеріалами, що викладені в підрозділах ТЗ на АС "Вимоги до функцій (задач), що виконуються системою" і "Вимоги до видів забезпечення", звертаючи особливу увагу на вимоги до інформаційного забезпечення. Рівень цінності (у т.ч., ступінь конфіденційності) інформації, що циркулює на АТС, визначається Розроблювачем ТЗ і Замовником спільно. 4. Оцінка характеристик АТС і технологічного середовища її експлуатації, виявлення дестабілізуючих чинників і загроз для інформаційних ресурсів, оцінка імовірностей їхньої прояви і втрат, що пов'язані із можливими реалізаціями загроз, виконуються Розроблювачем на основі теоретичних і спеціальних експериментальних досліджень як самої АТС, так і середовища її функціонування. 5. Оцінка припустимих втрат і розробка вимог до необхідного рівня захищеності інформаційних ресурсів на АТС виконується Замовником ТЗ на основі наданих Розроблювачем ТЗ матеріалів, що містять аналіз задач абонентів АТС із позицій ТЗІ, аналіз загроз для інформаційних ресурсів і потенційних втрат, пов'язаних із їхніми можливими реалізаціями. Ці матеріали оформляються у вигляді ТЗ на розробку (створення) системи ТЗІ для АТС або, в окремих випадках, на розробку моделі захисту.
6. У процесі реалізації технічно-робочого проекту: - проводяться випробування створеного КЗМЗ на відповідність нормативним специфікаціям згідно з НД ТЗІ 2.5-001-99 і проектній документації; - оцінюються, у тому числі й експериментальним шляхом, реальні характеристики середовища функціонування АТС після проведення заходів захисту; - у необхідних випадках проводиться тестування захищеної АТС "на проникнення" (із метою пошуку нерозкритих "слабких місць" або "виломів" у захисті); - оцінюється ефективність нейтралізації відомих "слабких місць" у захисті; - оцінюється рівень довіри до коректності реалізованої системи ТЗІ. 4. Розробка Положення про підрозділ захисту інформації на об’єкті. 1. Положення є нормативним документом організації (АС) і визначає завдання, функції, штатну структуру СЗІ, повноваження та відповідальність співробітників служби, взаємодію з іншими підрозділами організації та зовнішніми організаціями. 2.СЗІ є структурною одиницею ( підрозділу ТЗІ, служби безпеки, ) організації. 3. Метою створення СЗІ є організаційне забезпечення завдань керування
комплексною системою захисту інформації (КСЗІ) в АС та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АС.
4. Правову основу для створення і діяльності СЗІ становлять Закон України “Про захист інформації в автоматизованих системах”,
Положення про технічний захист інформації в Україні,
Положення
про
забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. 5. СЗІ у своїй діяльності керується Конституцією України, законами України, нормативно-правовими актами Президента України і Кабінету Міністрів України, іншими нормативно-правовими актами з питань захисту інформації, державними і галузевими стандартами, розпорядчими та іншими документами організації, а також цим Положенням. СЗІ здійснює діяльність відповідно до “Плану захисту інформації в автоматизованій системі”, календарних, перспективних та інших планів робіт, затверджених керівником (заступником керівника) організації.
6. Для проведення окремих заходів з захисту інформації в АС, які пов’язані з напрямком діяльності інших підрозділів організації, керівник організації своїм наказом визначає перелік, строки виконання та підрозділи для виконання цих робіт.
7. У своїй роботі СЗІ взаємодіє з підрозділами організації (РСО, службою безпеки, підрозділом ТЗІ та ін.), а також з державними органами, установами та організаціями, що
займаються
питаннями захисту інформації.
У разі потреби, до виконання робіт можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері захисту інформації.
Завдання служби захисту інформації
Завданнями СЗІ є: - захист законних прав щодо безпеки інформації організації, окремих її структурних підрозділів, персоналу в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями; - дослідження технології обробки інформації в АС з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію; - організація та координація робіт, пов’язаних з захистом інформації в АС, необхідність захисту якої визначається її власником або чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій; - розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими повинен забезпечуватися захист інформації в АС; - організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу АС; - участь в
організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів АС з питань захисту інформації; - формування у персоналу і користувачів розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації; - організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації в АС та проведення контрольних перевірок їх виконання.
Функції служби захисту інформації
Функції
під час експлуатації комплексної системи захисту інформації:
- організація процесу керування КСЗІ; - розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій; - вжиття заходів у разі виявлення спроб НСД до ресурсів АС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів; - забезпечення контролю цілісності засобів захисту інформації
та швидке реагування на їх вихід з ладу або порушення режимів функціонування; - організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.); - супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо); - спостереження (реєстрація і аудит подій в АС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів; - підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ; - організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС
або КСЗІ; - участь в роботах з модернізації АС - узгодженні пропозицій з введення до складу АС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо; - забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування; - проведення аналітичної оцінки поточного стану безпеки інформації в АС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності
її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.); - інформування власників інформації про технічні можливості захисту інформації в АС і типові правила, встановлені для персоналу і користувачів АС; - негайне втручання в процес роботи АС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника; - регулярне подання звітів керівництву організації-власника
(розпорядника) АС про виконання користувачами АС вимог з захисту інформації; - аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обгрунтування пропозицій щодо придбання засобів для організації; - контроль за виконанням персоналом і користувачами АС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності у разі обробки в АС інформації, що становить державну таємницю; - контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту; - розробка і реалізація спільно з РСО (підрозділом ТЗІ, службою безпеки) організації комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів та ін.,
здійснення їхнього технічного та інформаційного забезпечення.
Функції з організації навчання персоналу з питань забезпечення захисту інформації:
- розроблення планів навчання і підвищення кваліфікації спеціалістів СЗІ та персоналу АС; - розроблення спеціальних програм навчання, які б враховували особливості технології обробки інформації в організації (АС), необхідний рівень її захищеності та ін.; - участь в організації і проведенні навчання користувачів і персоналу АС правилам роботи з КСЗІ, захищеними технологіями, захищеними ресурсами; - взаємодія з державними органами, учбовими закладами, іншими організаціями з питань навчання та підвищення кваліфікації; - участь в організації забезпечення навчального процесу необхідною матеріальною базою, навчальними посібниками, нормативно-правовими актами, нормативними документами, методичною літературою
та ін.
Повноваження та відповідальність служби захисту інформації
1. Права
ЗІ має право:
- здійснювати контроль за діяльністю будь-якого структурного підрозділу організації (АС) щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації; - подавати керівництву організації пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо у випадку виявлення порушень політики
безпеки або у випадку виникнення реальної загрози порушення безпеки; - складати і подавати керівництву організації акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення; - проводити службові розслідування у випадках виявлення порушень;
- отримувати доступ до робіт та документів структурних підрозділів організації (АС), необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій
щодо їхнього подальшого удосконалення; - готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності; - готувати пропозиції щодо забезпечення АС (КСЗІ) необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації; - виходити до керівництва організації з пропозиціями щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації; - узгоджувати умови включення до складу АС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів АС; - надавати висновки з питань, що належать до компетенції СЗІ, які необхідні для здійснення виробничої діяльності організації, особливо технологій, доступ до яких обмежено, інших проектів, що потребують технічної підтримки з боку співробітників СЗІ; - виходити до керівництва організації з пропозиціями щодо узгодження планів і регламенту відвідування АС сторонніми особами; - інші права, які надані СЗІ у відповідності з специфікою та особливостями діяльності організації (АС).
2. Обов’язки
СЗІ зобов’язана: - організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в АС; - вчасно і в повному обсязі доводити до користувачів і персоналу АС інформацію про зміни в галузі захисту інформації, які їх стосуються; - перевіряти відповідність прийнятих в АС (організації) правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог; - здійснювати контрольні перевірки стану захищеності інформації в АС; - забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС (організації); - сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими органами перевірок стану захищеності інформації в АС; - сприяти (технічними та організаційними заходами) створенню і дотриманню умов збереження інформації, отриманої організацією на договірних, контрактних або інших підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб; - періодично, не рідше одного разу на місяць (інший термін), подавати керівництву організації звіт про стан захищеності інформації в АС і дотримання користувачами та персоналом АС встановленого порядку і правил захисту інформації; - негайно повідомляти керівництво АС (організації) про виявлені атаки та викритих порушників; - Інші обов’язки, покладені на керівника та співробітників СЗІ у відповідності з специфікою та особливостями діяльності АС (організації).
3. Відповідальність
Керівництво та співробітники СЗІ за невиконання або неналежне виконання службових обов’язків, допущені ними
порушення встановленого порядку захисту інформації в АС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України. Персональна відповідальність керівника та співробітників СЗІ визначається посадовими (функціональними) інструкціями. Відповідальність за діяльність СЗІ покладається на її керівника. - Керівник СЗІ
відповідає за: - організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів; - своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”; - якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівником організації; - координацію планів діяльності підрозділів та служб АС (організації) з питань захисту інформації; - створення системи навчання співробітників, користувачів, персоналу АС з питань захисту інформації; - виконання особисто та співробітниками СЗІ розпоряджень керівника
організації, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.
Співробітники СЗІ відповідають за: - додержання вимог нормативних документів, що визначають порядок організації робіт з захисту інформації, інформаційних ресурсів та технологій; - повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в АС, точність та достовірність отриманих результатів і висновків з питань, що належать до компетенції СЗІ; - дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації в АС, які включені до плану робіт СЗІ; - якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ, документального оформлення результатів перевірок; - інші питання персональної відповідальності, які покладені на керівника та співробітників СЗІ у відповідності з специфікою та особливостями діяльності АС (організації).
Взаємодія служби захисту інформації з іншими підрозділами організації та зовнішніми організаціями
1. СЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації. 2. Заходи з захисту інформації в АС повинні бути узгоджені СЗІ з заходами охоронної та режимно-секретної діяльності інших підрозділів організації. СЗІ взаємодіє, узгоджує свою діяльність та встановлює зв’язки з:
- РСО організації; - підрозділом ТЗІ організації; - адміністрацією АС та іншими підрозділами організації, виробнича діяльність яких пов’язана з захистом інформації або її автоматизованою обробкою; - службою безпеки організації; - зовнішніми організаціями, які є партнерами, користувачами, постачальниками, виконавцями робіт; - підрозділами служб безпеки іноземних фірм (що є для організації партнерами, користувачами, постачальниками, виконавцями робіт), їхніми представництвами (на договірних або інших засадах); - іншими суб’єктами діяльності у сфері захисту інформації. 3. СЗІ координує свою діяльність з аудиторською службою під час проведення аудиторських перевірок. 4. Взаємодію з іншими підрозділами організації з питань, що безпосередньо не пов’язані з захистом інформації, СЗІ здійснює у відповідності з наказами та (або) розпорядженнями керівника організації.
Штатний розклад та структура служби захисту інформації
1. СЗІ є структурною (штатною) одиницею підрозділу ТЗІ (служби безпеки) організації.
2. Структура СЗІ, її склад і чисельність визначається фактичними потребами АС для виконання вимог політики безпеки інформації та затверджується керівництвом організації. Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань з захисту інформації в АС. 3. З метою ефективного функціонування і керування захистом інформації в АС СЗІ має штатний розклад, який включає перелік функціональних обов’язків усіх співробітників, необхідних вимог до рівня їхніх знань та навичок. 4. Безпосереднє керівництво роботою СЗІ здійснює керівник підрозділу ТЗІ (служби безпеки організації).
5. Штат СЗІ комплектується спеціалістами, які мають спеціальну технічну освіту (вищу, середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо) та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також реалізації організаційних, технічних та інших заходів з захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації. 6. Функціональні обов’язки співробітників визначаються переліком і характером завдань, які покладаються на СЗІ керівництвом АС (організації). 7. До складу СЗІ повинні входити спеціалісти фаху: - спеціалісти з питань захисту інформації від витоку технічними каналами; - спеціалісти з питань захисту каналів зв’язку і комутаційного обладнання, налагодження і керування активним мережевим обладнанням; - спеціалісти з питань адміністрування засобів захисту, керування базами даних захисту; - спеціалісти з питань захищених технологій обробки інформації. 8. За посадами співробітники СЗІ поділяються на такі категорії (за рівнем ієрархії): - керівник СЗІ; - адміністратори захисту АРМ (безпеки баз даних, безпеки системи тощо); - спеціалісти служби захисту.
Організація робіт служби захисту інформації
1. Трудові відносини в СЗІ будуються на основі законодавства України з урахуванням
положень статуту організації, правил внутрішнього трудового розпорядку та встановлених в організації норм техніки безпеки праці, гігієни і санітарії, інших розпорядчих документів організації. 2. СЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів з створення і забезпечення функціонування КСЗІ у відповідності з планами робіт. Підставою для розроблення планів робіт є “План захисту інформації в АС”.
Плани робіт складаються керівником СЗІ після обговорення на виробничій нараді СЗІ організаційно-технічних питань, що належать до її компетенції, і затверджуються керівником організації або керівником підрозділу, до складу якого входить СЗІ.
3. З метою забезпечення конфіденційності робіт, які виконуються співробітниками СЗІ, при прийомі на роботу (звільненні з роботи)
вони дають письмові зобов’язання щодо нерозголошення відомостей, що становлять службову, комерційну або іншу таємницю, і які стали їм відомими в період роботи в організації. 4. Матеріально-технічну базу для забезпечення діяльності СЗІ складають належні їй на правах власності засоби захисту інформації, ПЗ, технічне і інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби і обладнання, які необхідні для виконання СЗІ покладених на неї завдань.
Співробітники СЗІ відповідають за збереження майна, що є власністю або знаходиться у розпорядженні служби.
Засоби захисту інформації та захищені засоби, що використовуються співробітниками СЗІ при виконанні своїх службових обов’язків, повинні мати, одержаний у встановленому порядку документ, що засвідчує їхню відповідність вимогам нормативних документів.
Матеріально–технічне та інше спеціальне забезпечення СЗІ здійснюється відповідними підрозділами організації у встановленому порядку.
Фінансування служби захисту інформації
СЗІ фінансується за рахунок: - коштів, що виділяються в організації на утримання органів управління; - прибутку організації (АС) та інших коштів за рішенням керівництва. 5. Створення підрозділу ЗІ
Підрозділ ЗІ створюється згідно до Положення, описаного в п.4. Підрозділ повинен включати: - керівник підрозділу; - адміністратори захисту АРМ (безпеки баз даних, безпеки системи); - спеціалісти служби захисту, такі як: спеціалісти з питань захисту інформації від витоку технічними каналами; спеціалісти з питань захисту каналів зв’язку і комутаційного обладнання, налагодження і керування активним мережевим обладнанням; спеціалісти з питань адміністрування засобів захисту, керування базами даних захисту; спеціалісти з питань захищених технологій обробки інформації. 6. Завдання для вдосконалення системи інформаційного захисту на об’єкті. До завдань для вдосконалення системи інформаційного захисту міні АТС комерційного банку відносимо: Обмеження інформативного сигналу
Виключають проходження сигналу малої амплітуди в телефонній лінії і практично не впливає на проходження інформативного сигналу. Діоди обмежувачі включаються послідовно в коло дзвінка або безпосередньо в кожну з телефонних ліній. Фільтрацію інформативного сигналу Використовується для захисту від «високочастотного нав’язування». Для захисту телефонних апаратів переважно використовують пристрої, що поєднують фільтр і обмежувач, наприклад «Екран», «Граніт-8» і ін.. Відключення джерел інформативного сигналу Відключення телефонних апаратів при проведенні конфіденційних розмов – найкращий захист. Зручним в експлуатації є спеціальний пристрій, що автоматично вимикає пристрій при покладеній слухавці, наприклад «Бар’єр-М1». Лінійне зашумлення телефонних ліній Шумовий сигнал подається в лінію, коли апарат не використовується. При знятті слухавки подача в лінію шумового сигналу припиняється(пристрій для прикладу «МП-1Ц»). «Випалювання» закладних пристроїв, що знаходяться на телефонній лінії. Здійснюється шляхом подачі в лінію високовольтних імпульсів. Під час розмови в лінію може подаватись маскуючий сигнал, який людське вухо не вловлює, але вловлюють пристрої перехоплення інформації. Сигнал може бути високочастотним, низькочастотним, ультразвуковим. Також під час здійснення зв’язку в лінію можу подаватись напруга: висока, або така, що компенсує постійну складову телефонного сигналу(обнулює). Використання кодованого зв’язку Пристрій для прикладу – «Орех-2». Принцип дії – перетворення акустичного сигналу в електричний, з електричного в цифровий, шифрування 128-бітним ключем, а на виході виконання зворотніх операцій.
Таким чином, поєднуючи усі ці методи, можна добитись конфіденційного зв’язку всередині мережі, неможливості прослуховування ні через телефонний апарат, ні через лінії передачі, при чому усі функції АТС залишаються незмінними. Висновок Отже, у цій практичній роботі ми навчились проводити оцінку захисту інформації в комп'ютерних системах об’єкту на прикладі міні АТС комерційного банку, створили положення про службі захисту інформації, яке відповідає нормативно-правовим нормам та спроектували підрозділ захисту інформації, відповідальний за здійснення цього інформаційного захисту. При виконанні практичної роботи ми також ознайомились із можливими каналами витоку інформації, що існують в АТС, дослідили та розробили рекомендації щодо захисту АТС від НСД будь-яким чином. Було приділено увагу не лише захисту самих апаратів, але і телефонних ліній, тому, навіть при наявності спеціальних технічних пристроїв різного виду, зловмисник не зможе проникнути в середовище циркулювання інформації. Також було враховано можливість не лише підслуховування телефонних розмов, а і наявності так званого «телефонного вуха», коли телефон використовується для підслуховування розмов, що відбуваються у приміщенні.
Антиботан аватар за замовчуванням

01.01.1970 03:01

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, увійдіть або зареєструйтесь.

Оголошення від адміністратора

Антиботан аватар за замовчуванням

пропонує роботу

Admin

26.02.2019 12:38

Привіт усім учасникам нашого порталу! Хороші новини - з‘явилась можливість кожному заробити на своїх знаннях та вміннях. Тепер Ви можете продавати свої роботи на сайті заробляючи кошти, рейтинг і довіру користувачів. Потрібно завантажити роботу, вказати ціну і додати один інформативний скріншот з деякими частинами виконаних завдань. Навіть одна якісна і всім необхідна робота може продатися сотні разів. «Головою заробляти» продуктивніше ніж руками! :-)

Завантаження файлу

Якщо Ви маєте на своєму комп'ютері файли, пов'язані з навчанням( розрахункові, лабораторні, практичні, контрольні роботи та інше...), і Вам не шкода ними поділитись - то скористайтесь формою для завантаження файлу, попередньо заархівувавши все в архів .rar або .zip розміром до 100мб, і до нього невдовзі отримають доступ студенти всієї України! Ви отримаєте грошову винагороду в кінці місяця, якщо станете одним з трьох переможців!
Стань активним учасником руху antibotan!
Поділись актуальною інформацією,
і отримай привілеї у користуванні архівом! Детальніше

Новини