МІНІСТЕРМТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
АНАЛІЗ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНОЇ СИСТЕМИ
ІНСТРУКЦІЯ
до виконання лабораторної роботи з курсу «Комплексні системи санкціонованого доступу» для студентів стаціонарної та заочної форм навчання за спеціальностями 7.160103, 7.160104, 7.160105
Затверджено
на засіданні кафедри
захисту інформації.
Протокол № 21 від 14.06.2007 р.
Львів – 2007
Аналіз захищеності інформації інформаційної системи: Інструкція до виконання лабораторної роботи з курсу «Комплексні системи санкціонованого доступу» для студентів стаціонарної та заочної форм навчання за спеціальностями 7.160103, 7.160104, 7.160105 /Укл.: В.О. Ромака, О.І. Гарасимчук, Б.Д. Буз. – Львів: видано згідно з розпорядженням № 39 від 12.10.1999 р. кафедрою захисту інформації Національного університету «Львівська політехніка», 2007. – 10 с.
Укладачі Ромака В.О., канд. фіз..-мат. наук, доц.,
Гарасимчук О.І., асист.,
Будз Б.Д., асист.
Відповідальний за випуск Ромака В.О., канд. фіз.-мат. наук, доц.
Рецензенти Стрілецький З.М., канд. техн. наук, доц.,
Лагун А.Е., канд. техн. наук, доц.
I. Тема роботи
«Аналіз захищеності інформації інформаційної системи»
Завдання
Виконання лабораторної роботи «Аналіз захищеності інформації інформаційної системи» допоможе студентам засвоїти розділ «Побудова захищених інформаційних систем» лекційного курсу «Комплексні системи санкціонованого доступу». Студент повинен навчитися робити аналіз захищеності інформації в СЗІ та оцінити майбутні витрати на захист. Об’єкт захисту, перелік основних та допоміжних технічних засобів, що знаходяться на об’єкті видаються студенту викладачем.
II. Теоретичні відомості та деякі рекомендації
для виконання роботи
2.1. Аналіз захищеності інформації в СЗІ
Рішення про необхідність захисту інформації від несанкціонованого доступу приймається на основі оцінок за двома напрямками:
наявність конфіденційної інформації і небезпека її витоку;
економічна необхідність (доцільність) захисту конфіденційної інформації.
Розглянемо метод, призначений для проведення загальної і часткової оцінок, що дозволяють керівникові організації (фірми) прийняти обґрунтоване рішення про необхідність захисту конфіденційної інформації, що циркулює усередині організації (фірми), від конкурентів з оцінкою майбутніх витрат на захист.
Для реалізації даного методу розроблено перелік анкетних питань для засновника фірми, що охоплює всі сторони діяльності фірми, пов'язані з циркулюючої на ній інформацією.
Питання анкети сформульовано таким чином, що вони не вимагають великих відповідей, а зводяться до односкладових відповідей «так», «ні». Заповнення анкети не вимагає спеціальної підготовки у сфері ЗІ і не викликає труднощів та великих часових витрат. Спеціальні знання щодо ЗІ враховані при розробці анкетних питань і при наступній обробці результатів опитування за участю фахівців із ЗІ.
Кількісна оцінка про стан і необхідність додаткового захисту отримується шляхом математичної обробки відповідей на анкетні питання. З цією метою кожному питанню анкети поставлена у відповідність вагова величина, що чисельно виражає частковий внесок змісту питання в загальну систему захисту конфіденційної інформації. Значення вагових коефіцієнтів отримані експертним методом заздалегідь.
При обробці результатів анкетного опитування можна одержати як загальну оцінку стану захисту на фірмі, так і ряд часткових оцінок за напрямками захисту. Сукупність усіх оцінок допомагає керівнику в кінцевому рахунку прийняти рішення про необхідність організації захисту шляхом проведення режимних, організаційних і технічних заходів.
На основі аналізу оцінок кожної складової захисту виявляються ті її ланки, де ЗІ не забезпечений й імовірність її перехоплення конкурентом (витік) неприпустимо висока.
Як приклад розглянемо анкету, що використовувалася для вирішення питання необхідності захисту інформації у вищих навчальних закладах.
Порядок проведення оцінок першої частини методики є таким. На першому етапі зацікавлена в ЗІ сторона в особі засновника (керівника) фірми заповнює анкету, відповідаючи на її питання, наведені в табл. 1. Відповіді на питання анкети у формі «так» чи «ні» заносяться у графу 3 проти відповідних питань.
Таблиця 1
№
Питання анкети
Часткові коефіцієнти
Відповіді
«так» або «ні»
Часткові суми
коефіцієнтів
Загальна сума коефіцієнтів
для загальних оцінок
для часткових оцінок
1
2
3
4
5
6
7
Рівень конкуренції
1
1) чи конкурентоспроможне Ваше навчання на внутрішньому ринку?
3,5
35
2) чи конкурентоспроможне Ваше навчання на зовнішньому ринку?
5,0
50
3) чи є монопольним Ваше навчання на внутрішньому ринку?
1,5
15
Ступінь конфіденційності інформації, яка циркулює в закладі
2
1) чи є інформація, призначена тільки особам верхньої ланки управління?
11,0
55
2) чи є інформація, призначена обмеженому колу осіб, які виконують конкретні операції та завдання?
5,0
25
3) чи є інформація обмеженої доступності тільки працівникам закладу?
4,0
20
4) чи є інформація, призначена тільки замовникам та студентам?
2,0
10
Час "старіння" конфіденційної інформації
3
1) чи має конфіденційність довготривалий характер (рік та більше)?
5,0
50
2) чи має конфіденційність короткотривалий характер (місяць та більше)?
4,0
40
3) чи має конфіденційність оперативний характер (до місяця)?
1,0
10
Режимні та організаційні заходи
4
1) чи враховуються інтереси збереження таємниці закладу при кадровому відборі верхньої ланки управління?
5,8
15
2) те саме при підборі осіб, допущених до конфіденційної інформації?
4,7
20
3) те саме при кадровому відборі штатного персоналу закладу в цілому?
3,5
15
4) чи налагоджений контроль за зберіганням працівниками закладу комерційної таємниці?
3,8
15
5) чи забезпечена охорона закладу і конфіденційної документації, яка містить комерційну таємницю?
4,2
15
6) чи є можливим доступ «недопу-щених» осіб до засобів розмноження та обробки інформації?
4,3
10
7) чи виділене спеціальне приміщення для нарад та переговорів з діловими партнерами?
4,2
10
Устаткування службових приміщень технічними засобами
5
1) телефонними апаратами?
2,5
8,5
2) переговорними пристроями?
1,5
5
3) датчиками пожежної та охоронної сигналізації?
0,6
3
4) електричними та електронними годинниками?
0,8
2,5
5) абонентськими гучномовцями?
0,9
3
6) телефонними апаратами з авто-набором і концентраторами, які використовуються в системах зв'язку?
1.5
5
7) установками прямого телефонного зв'язку?
1,3
4,5
8) радіоприймачами?
1,5
5
9) телевізорами?
1,5
5
10) магнітофонами?
0,5
1,5
11) диктофонами?
0,5
1,5
12) установкою оперативного зв'язку?
1,5
5
13) телефаксами?
2,2
7,5
14) персональними ЕОМ?
3,0
10
15) відеомагнітофонами?
0,9
3
16) автоматичною телефонною станцією?
3,0
10
17) радіотелефоном?
1,5
5
18) чи організовано технічний захист у закладі?
4,5
15
На другому етапі із залученням консультанта проводиться аналіз результатів опитування. Якщо відповідь на питання відповідає збільшенню небезпеки витоку інформації, то в графі 4 табл. 1 проставляється знак «+», в іншому разі проставляється знак «-».
На третьому етапі проводиться підсумовування часткових коефіцієнтів графи 5, що відповідають знаку «+», із усіх питань анкети. Результат підсумовування є загальною оцінкою (G) для ухвалення рішення про необхідність захисту конфіденційної інформації на фірмі в цілому. При цьому, якщо загальна оцінка G дорівнює чи більша 50 (G > 50), то захист необхідно проводити в усіх напрямках.
Якщо загальна оцінка G більша 20, але менша 50 (50 > G > 20), то ймовірність витоку інформації досить велика, необхідно провести часткові оцінки, захист необхідний за окремими напрямками. Якщо загальна оцінка менша 20 (G < 20), то ймовірність витоку інформації мала і додатковий захист інформації можна не проводити. На четвертому етапі проводиться аналіз за допомогою часткових оцінок по всіх 5 пунктах опитувальної анкети. Для одержання часткових оцінок проводять підсумовування часткових коефіцієнтів графи 6 табл.1, позначених знаком «+», для кожного пункту окремо. При цьому вийде п'ять часткових оцінок:
по пункту 1 - оцінка конкурентоспроможності продукції (послуг)- G,;
по пункту 2 - оцінка ступеня конфіденційності інформації - G2;
по пункту 3 - оцінка тимчасових характеристик конфіденційності інформації - G3;
по пункту 4 - оцінка ЗІ режимними й організаційними методами - G4;
по пункту 5 - оцінка можливості витоку інформації через технічні засоби- Gs.
Якщо часткова оцінка по кожному з пунктів 1-3 дорівнює чи більша 20 (G1,G2,G3 > 20), то це підтверджує необхідність ЗІ.
Якщо часткова оцінка по кожному з пунктів 4,5 дорівнює чи більша 20 (G4 , G5 > 20), то це вказує на необхідність проведення ЗІ режимними й організаційними методами або за допомогою технічних засобів захисту відповідно. У тому випадку, якщо часткова оцінка по одному з пунктів 1-3 менша 20 ( G1, G2, G3 < 20), то ЗІ можна не проводити.
Таким чином, на основі проведених оцінок, керівник фірми приймає рішення про необхідність робіт з організації ЗІ.
Цілком природно, що перед керівником фірми постає інше дуже важливе питання про майбутні витрати на організацію ЗІ. Це питання вирішується за допомогою другої частини методу.
Друга частина методу призначається для визначення орієнтовної оцінки очікуваних витрат, пов'язаних із захистом конфіденційної інформації. У загальному випадку витрати на ЗІ складаються з витрат на проведення організаційно-режимних і технічних заходів. У свою чергу, витрати на технічний захист складаються з витрат на проведення захисту мовної інформації і на захист інших видів інформації, зокрема, дискретної, оброблюваної на ЕОМ, телеграфного, факсимільного й інших видів, використовуваних у діяльності фірми.
Витрати на режимні й організаційні заходи ЗІ визначаються головним чином заробітною платою працівників режимних підрозділів (груп), що забезпечують організацію і контроль режимних заходів, які підвищують безпеку інформації. Розрахунок цих витрат цілком перебуває у віданні керівника фірми й труднощів не викликає. Витрати на технічну ЗІ складаються з витрат на проведення досліджень, що дають змогу виявити канали витоку інформації, визначити способи її захисту, і з очікуваних витрат на реалізацію технічних рішень захисту.
Розрахунок вартості захисних заходів кожного з видів інформації є другою складовою загальної методики оцінки, розроблена і представлена нижче. З огляду на те, що методика призначена для проведення експрес-оцінки вартості ЗІ, що дає змогу керівнику фірми грубо оцінити майбутні витрати, вона максимально спрощена і передбачає проведення елементарних розрахунків. З цією метою все технічне устаткування, що може бути встановлене на об'єкті (фірмі) і через яке можливий витік інформації, умовно розділено на три групи. Критерієм такого розподілу обрана частка (відсоток) витрат на захист устаткування від вартості самого устаткування (техніки). Часткові коефіцієнти (К1, К2, К3), визначені експертним шляхом, та перелік технічного устаткування по групах із зазначенням значень часткових коефіцієнтів витрат на захисні заходи наведено в табл. 2.
У таблиці позначено: С1, С2, С3 - сумарна вартість технічного устаткування відповідної групи, встановленого на об'єкті (фірмі). Значення вартості зразків техніки, які знаходяться в приміщеннях фірми, визначаються за каталогами діючих цін виробника даної
Таблиця 2
Група
Перелік обладнання
Частка (відсоток)
витрат на ЗІ від
витоку інформації
Частка (відсоток) витрат на профілактичний контроль ефективності ЗІ
1
Телефонні апарати;
переговорні пристрої;
датчики пожежної та охоронної
сигналізації;
електричні та електронні годинники;
абонентські гучномовці
К1=0,7С1
2
Автонабори і концентратори, які
використовуються в системах зв'язку;
установки прямого телефонного
зв'язку;
радіоприймачі;
телевізори;
магнітофони;
диктофони
К2=0,ЗС2
Кпроф =(0,03-0,1) від (С1+С2+С3)
3
Пульти оперативного зв'язку до 100
номерів;
персональна комп'ютерна техніка;
відеомагнітофони;
АТС на 100- 1000 номерів
К3 =0,13С3
техніки. Вартість технічного захисту всього устаткування (Стз), що складається з техніки різних груп, визначається за формулою:
Стз = С1К1 + С2К2 + С3К3.
Зазначимо, що у табл. 2 подано вартість захисту устаткування, не призначеного для передачі, обробки і збереження конфіденційної інформації. Вартість захисту устаткування, призначеного для обробки конфіденційної інформації, визначається індивідуально і може істотно перевищувати зазначену в табл. 2.
Вартість щорічного профілактичного контролю визначається за формулою:
С проф =Кпроф Стз
де С проф =(0,03-0,1) - коефіцієнт витрат на щорічний профілактичний контроль ефективності ЗІ, визначений дослідним шляхом.
Таким чином, знаючи перелік і кількість встановленого на фірмі технічного устаткування і його вартість, можна легко розрахувати очікувані витрати на ЗІ технічними засобами. Додавши витрати на режимні й організаційні заходи ( Сроз) і на профілактичний контроль
у перший рік функціонування, одержимо загальні витрати на ЗІ ( Сзаг ): Сзаг =Стз +С роз +Спроф.
Отже, на основі отриманої величини, а також маючи на увазі прибуткові можливості організації, керівництво приймає рішення щодо певних заходів із захисту інформації в організації.
III. Хід виконання роботи
Розробити перелік анкетних питань для опитування керівника (засновника) фірми, що охоплює всі сторони діяльності фірми, пов’язані з циркулюючою в ній інформацією.
Здійснити анкетне опитування керівника (засновника) інформаційної системи.
Обробка результатів анкетного опитування.
Прийняття рекомендаційного рішення про необхідність організації захисту.
Аналіз результатів анкетного опитування.
Розрахунок вартості захисних заходів кожного з видів інформації.
IV. Оформлення результатів лабораторної роботи
НАВЧАЛЬНЕ ВИДАННЯ
АНАЛІЗ ЗАХИЩЕНОСТІ ІНФОРМАЦІЙНОЇ СИСТЕМИ
ІНСТРУКЦІЯ
до виконання лабораторної роботи з курсу «Комплексні системи санкціонованого доступу» для студентів стаціонарної та заочної форм навчання за спеціальностями 7.160103, 7.160104, 7.160105
Укладачі Ромака Володимир Опанасович
Гарасимчук Олег Ігорович
Будз Богдан Дмитрович
Комп’ютерне верстання Будз Богдан Дмитрович
Видано кафедрою захисту інформації Національного університету
«Львівська політехніка» згідно з розпорядженням № 39 від 12.10.1999 р., протокол засідання кафедри № 21 від 14.06.2007 р.
Реєстраційний № 1315 від 19.06.2007 р.
Наклад 15 примірників.