Міністерство освіти і науки України
Національний Університет "Львівська політехніка"
К У Р С О В И Й П Р О Е К Т
з дисципліни “Системи комплексної безпеки об’єктів”
на тему: ”РОЗРОБЛЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ БЕЗПЕКИ ПІДПРИЄМСТВА”
Варіант №6
ЗМІСТ:
1. ВСТУП………………………………………………………………………………………3
2. МЕТА РОБОТИ……………………………………………………………………………..3
3. ЗАВДАННЯ…………………………………………………………………………………3
4. ВИЗНАЧЕННЯ ПЕРЕЛІКУ ОБ’ЄКТІВ, ЯКІ ПІДЛЯГАЮТЬ ЗАХИСТУ.ПОБУДОВА МОДЕЛЕЙ О’БЄКТІВ ……………………………………………………………………..5
5. ВИЗНАЧЕННЯ ТА АНАЛІЗ ПОВНОЇ МНОЖИНИ ДЕСТАБІЛІЗУЮЧИХ
ФАКТОРІВ.ПОБУДОВА МАТРИЦІ ЗАГРОЗ.ПОБУДОВА МОДЕЛІ ПОРУШНИКА .6
6. РОЗРОБЛЕННЯ СИСТЕМИ ЗАХИСТУ ОБ’ЄКТІВ……………………………………..21
7. РЕАЛІЗАЦІЯ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ………………………………………..23
8. КОНТРОЛЬ ФУНКЦІОНУВАННЯ І КЕРУВАННЯ СИСТЕМОЮ ТЗІ…………….….35
9. ВИСНОВОК…………………………………………………………………………………26
10. АКТ ПРИЙМАННЯ РОБІТ………………………………………………………………...27
11. АКТ категоріювання………………………………………………………………………..28
12. ПАСПОРТ на приміщення………………………………………………………………....29
НАКАЗ………………………………………………………………………………………31
ДЛЯ СЛУЖБОВОГО КОРИСТУВАННЯ…………………………………………………32
ДОДАТКИ……………………………………………………………………………………36
ВСТУП
Інформаційна сфера відіграє важливу роль у забезпеченні безпеки всіх сфер життєдіяльності суспільства. Через цю сферу реалізується значна частина загроз національній безпеці держави.
Одними з основних джерел загроз інформаційної безпеки є діяльність іноземних розвідувальних і спеціальних служб, злочинних співтовариств, організацій, груп, формувань, і протизаконна дфяльність окремих осіб, спрямована на збір чи розкрадання ціннлї інформації, закритої для доступу сторонніх осіб. Причому в останні роки пріоритет у даній сфері діяльності зміщається в економічну область.
В останні роки для збору розвідувальної інформації використовуються портативні технічні засоби розвідки, тому захисту інформації від витоку по технічним каналам приділяється все більша увага.
Основними напрямками захисту інформації від витоку по технічних каналах є:
- запобігання витоку оброблюваної інформації за рахунок побічних електромагнітних випромінювань і наведень, створюваних функціонуючими технічними засобами, а також за рахунок електроакустичних перетворень;
- виявлення впроваджених на об’єкті й у технічні засоби електронних пристроїв перехоплення інформації (заставних пристроїв);
– запобігання перехоплення інформації за допомогою технічних засобів мовної інформації з приміщень і об’єктів.
МЕТА РОБОТИ
Метою роботи є розроблення проекту комплексної системи безпеки одного із виділених приміщень, в якому циркулює ІзОД.
ЗАВДАННЯ
Розробити проект комплексної системи безпеки одного із виділених приміщень, в якому циркулює ІзОД. Приміщення, специфіка у використанні цього приміщення персоналом, перелік основних та допоміжних технічних засобів обробки, передавання та приймання інформації.
ВИЗНАЧЕННЯ ПЕРЕЛІКУ ОБ’ЄКТІВ, ЯКІ ПІДЛЯГАЮТЬ ЗАХИСТУ. ПОБУДОВА МОДЕЛЕЙ О’БЄКТІВ.
Модель об'єкта захисту містить усебічні характеристики об'єкта захисту, що дозволяє органічно запровадити заходи безпеки в процес його функціонування на місці, в часі і відповідно до завдань, які вирішуються на об’єкті.
Основні технічні засоби, які знаходяться в приміщенні
Технічні засоби пересилання інформації(ТЗПІ), які не є основними
Допоміжні технічні засоби(ДТЗ)
Характеристика приміщення:
Приміщення призначене для діяльності, пов’язаної з комерційною та державною таємницею. Приміщення знаходиться на шостому поверсі адміністративного будинку по вулиці Ст.Бандери, м.Львів. Стіни залізобетонні. Рами вікон виготовлені з металопластику. Вхід в корпус через охороняючі двері. Приміщення складається з чотирьох кімнат:коридор, роздягальня, комп’ютерний відділ, відділ досліджень. Телефонний зв’язок побудований на базі міської АТС та внутрішньої цифрової АТС, які мають вихід за межі контрольованої зони. Система каналізації має вихід за межі контрольованої території. Система оповіщення ЦО виведена на пульт диспетчера і не виходить за межі контрольованої зони. Стояк системи опалення та труби зворотнього витоку теплообміну проходять по капітальній стіні під підвіконниками і має вихід за межі контрольованої території. Система пожежної та охороної сигналізації виведена на пульт контролю і не має виходу за межі контрольованої території. Система заземлення існує.
Персонал
У центрі досліджень є наявним такий персонал: керівники лабораторії, системний адміністратор, користувачі, технічні працівники (наладчики програмного забезпечення), СБ. На основі яких розділимо права доступу та повноваження до технічних засобів, виготовленої продукції і документації, яка стосується досліджень.
Керівник лабораторії – особа, що керує процесом досліджень, відає усією документацією, в тому числі в електронниому варіанті, має права доступу в межах лабораторії і підзвітна іншим особам і органам по ієрархії. Протягом робочого часу може знаходитись в комп’ютерному або відділі досліджень.
Системний адміністратор - вповноважена керівником підприємства, згідно якого здійснюється ТЗІ, особа, що несе головну відповідальність за функціонування системи безпеки. На протязі робочого часу знаходиться у комп’ютерному відділі, з якого за допомогою спеціальних технічних засобів здійснює контроль функціонування системи захисту. Слід зазначити, що дана особа лише контролює стан цієї системи, доступ ж її до інформації, що охороняється визначається згідно встановлених правил. В можливі дії адміністратора входять відключення чи зміна функціонування системи безпеки, що може призвести до утворення каналів витоку ІзОД.
Користувачі – люди які допомагають здійсненню досліджень у технічних і документальних формах, мають певні навики по роботі з обладнанням і частковий доступ до даних.
Служба безпеки – особи, що відповідають за фізичну охорону приміщення і доступ до нього, а також контролює доступ тих чи інших осіб і засобів(автомобілів) на її територію згідно встановлених правил. Може здійснювати візуальний нагляд периметру території за допомогою систем відеоспостереження.
Технічний персонал – особи, що займаються наладкою програмного забезпечення, встановленням певних пакетів та програм.
Так як в приміщенні циркулює інформація, що відноситься до державної і комерційної таємниці, то доступ сторонніх осіб в межі приміщення і контрольваної зони заборонений в встановленому порядку.
ВИЗНАЧЕННЯ ТА АНАЛІЗ ПОВНОЇ МНОЖИНИ ДЕСТАБІЛІЗУЮЧИХ ФАКТОРІВ. ПОБУДОВА МАТРИЦІ ЗАГРОЗ. ПОБУДОВА МОДЕЛІ ПОРУШНТКА.
Загроза – будь-які обставини або події, що можуть бути причиною порушення безпеки об’єкта та нанесення збитків.
Модель загроз об'єкту захисту – містить аналіз можливого переліку загроз безпечному стану об'єкта захисту та їх джерел, а також аналіз ризиків з боку цих загроз відповідно до умов функціонування підприємства;
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Дестабілізуючі фактори – це такі явища чи події, що можуть з’явитися на будь-якому етапі життєвого циклу АС і наслідком яких можуть бути загрози інформації. На основі аналізу архітектури, технології та умов функціонування АС та всіх можливих в принципі ДФ вводиться поняття типу дестабілізуючого фактора, що дає можливість класифікувати ДФ за способами їх реалізації. Така класифікація ДФ є вичерпною. Виділяють такі типи ДФ:
кількісна недостатність – фізична недостача компонентів АС для забезпечення необхідного рівня захищеності оброблювальної інформації;
якісна недостатність – недосконалість конструкції чи організації компонентів АС, внаслідок чого не забезпечується необхідний рівень захищеності оброблювальної інформації;
відмова елементів АС – порушення працездатності елементів, що призводить до неможливості виконання ними своїх функцій;
збій елементів АС – тимчасове порушення працездатності елементів, що призводить до неправильного виконання ними в цей момент своїх функцій;
помилки елементів АС – неправильне (одноразове чи систематичне) виконання елементами своїх функцій внаслідок специфічного (постійного і/або тимчасового) їхнього стану;
стихійні лиха – випадкові неконтрольовані явища, що призводять до фізичних руйнувань;
злочинні дії – дії людей, що спеціально спрямовані на порушення захищеної інформації;
побічні явища – явища, що супроводжують виконання елементом АС своїх функцій.
Звідси видно, що ДФ можуть мати об’єктивну природу (наприклад, відмови, збої і т.п.) чи суб’єктивну (наприклад, дії ЗЛ). В останньому випадку ДФ можуть бути випадковими чи навмисними.
Подальший аналіз ДФ показує, що важливо класифікувати ДФ за джерелами їх виникнення. Очевидно, що джерелами ДФ можуть бути як компоненти АС, так і зовнішнє середовище. Виділяються наступні джерела ДФ:
1) персонал – люди, що мають яке-небудь відношення до функціонування АС;
2) технічні засоби;
3) моделі, алгоритми, програми;
4) технологія функціонування – сукупність засобів, прийомів, правил, заходів і угод, що використовуються в процесі обробки інформації;
5) зовнішнє середовище – сукупність елементів, що не входять до складу АС, але здатні впливати на захищеність інформації в АС.
Дане приміщення не знаходиться на відстані меншій 200 м. від представництв іноземних держав тому цей фактор дозволяє не використовувати особливих умов для проектування системи безпеки.
Об’єктом захисту є інформація, проте матеріальні ресурси і персонал відіграють не менш
важливу роль, тому сформулюємо модель загроз для кожної із них.
Опис загроз і схематичне подання шляхів їх здійснення складають окрему модель загроз.
Перелічимо загрози відповідно до типу, для зручності будемо використовувати порядковий номер
Загрози у таблиці при побудові матриці загроз.
Для інформації, загрози можуть здійснюватися:
- технічними каналами, що включають канали побічних електромагнітних випромінювань і наводів, акустичні, оптичні, радіотехнічні, хімічні та інші канали;
- каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
- несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.
- внаслідок різноманітних впливів природного походження (природні катастрофи, кліматичні умови).
- випадкових чи навмисних впливів техногенного походження.
Побудова матриці загроз.
Побудова моделі порушника
Порушник – це особа, яка може отримати доступ до роботи з включеними до складу АС засобами. Вона може помилково, внаслідок необізнаності, цілеспрямовано, свідомо чи несвідомо, використовуючи різні можливості, методи та засоби, здійснити спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника – це абстрактний формалізований або неформалізований опис порушника. Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Під час розробки моделі порушника визначаються:
припущення щодо категорії осіб, до яких може належати порушник;
припущення щодо мотивів дій порушника (цілей, які він переслідує);
припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності
(щодо методів та засобів, які використовуються при здійсненні порушень);
обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
В приміщенні центру дослідження полімерних сполук „Соцес”, періодично циркулює інформація важливих досліджень, частина якої є для службового користування в ході яких обговорюється інформація з рівнем „Конфіденційно” , „Комерційна таємниця” та „Державна таємниця”. Крім того в ЛОМ постійно циркулює інформація конфідеційного характеру. Визначимо категорію осіб, до яких може належати порушник, що має намір отримати інформацію (вкрасти, підслухати та ін.), зіпсувати чи підробити дані .
Для побудови даної моделі використаємо усі можливі категорії, ознаки та характеристики порушників для більш точного їх аналізу, причому рівень загрози кожної з них вказується в дужках і оцінюється за 4-бальною шкалою.
Категорії порушників, визначених у моделі.
Специфікація моделі порушника за мотивами здійснення порушень.
Специфікація моделі порушника за рівнем кваліфікації та обізнаності щодо АС .
Специфікація моделі порушника за показником можливостей використання засобів та методів подолання системи захисту.
Специфікація моделі порушника за часом дії
Специфікація моделі порушника за місцем дії.
Як видно з даної моделі можливих комбінацій порушників щодо АС є дуже багато, крім того, можлива змова порушників і виникнення змішаної моделі, прогнозування якої є більш складнішим, тому зупинимося лише на найнебезпечніших. Виділимо кілька можливих типів порушників, на які повинна бути орієнтована система захисту, що проектується. З внутрішніх по відношенню до АС порушників найбільшу загрозу, як не дивно, несуть співробітники служби захисту інформації та керівники різних рівнів посадової ієрархії. Саме ці особи мають найбільший рівень доступу до елементів АС, і відповідно до інформації, що в ній знаходиться. Тому однією з основних вимог в побудові системи захисту в майбутньому є обмеження цих повноважень і затвердження відповідальності за іх порушення в офіційній документації.
З зовнішніх по відношенню до АС порушників особливу увагу слід звернути на хакерів і співробітників закордонних спецслужб. Оскільки дане підприємство займається дослідженням полімерних сполук, його діяльність може викликати значний інтерес з боку інших держав. Потрібно налагодити особливий відбір осіб у персонал АС. Значну увагу також слід приділити системі захисту ЛОМ від НСД.
Формулювання політики безпеки
Під поняттям політики безпеки інформації розуміється організована
сукупність документованих керівних рішень, спрямованих на захист інформації та асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів з захисту інформації.
Формуючи окрему ПБ, виділяють такі її компоненти: формулювання проблеми, визначення позиції організації, визначення сфери поширення, ролей і відповідальності, а також призначення осіб для контактів у даному питанні.
Серед ПБ найбільш відомі дискреційна , мандатна та рольова.
У РПБ класичне поняття суб’кт заміщується поняттям користувач і роль. Користувач – це людина, яка працює з системою і виконує певні службові обов’язки. Роль – це активна діюча в системі абстрактна сутність, з якою пов’язаний обмежений, логічно зв’язаний набір повноважень, необхідних для здійснення певної діяльності.
При використанні РПБ керування доступом здійснюється в дві стадії:
для кожної ролі вказується набір повноважень, що являють собою набір прав до об’єктів;
кожному користувачеві призначається список доступних йому ролей.
Зокрема, ієрархічна організація ролей являє собою найпоширеніший тип рольової моделі, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Ролі в ієрархії упорядковуються за рівнем наданих повноважень. Чим вища роль в ієрархії, тим більше з нею пов”язано повноважень, оскільки вважається, що коли користувачу надана деяка роль, то йому автоматично призначаються і всі підпорядковані їй за ієрархією ролі
РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюються ДПБ або МПБ, що дає змогу будувати схеми контролю доступу.
У центрі досліджень є наявним такий персонал: керівники лабораторії, системний адміністратор, користувачі, технічні працівники (наладчики програмного забезпечення), СБ. На основі яких розділимо права доступу та повноваження і призначимо певні ролі до технічних засобів, виготовленої продукції і документації, яка стосується досліджень.
З переліченого персоналу видно, що його можна зообразити у вигляді певної ієрархії. Це дає змогу зробити певні висновки і дозволяє з переліченго списку вибрати РПБ, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Тому для даного персоналу використаємо модель двох ролей, а саме вищу і нищу.
Керівникам лабораторії, системному адміністратору і тех.персоналу призначимо вищу роль, яку в свою чергу умовно поділимо ще на дві: голону і побічну, а СБ і користувачам нищу роль. Керівнику лабораторії і тех.персоналу присуджується головна роль з усіма правами доступу до технічних засобів і повної інформації, що циркулює в системі лабораторії центру, адміністратору ЛОМ який має усі права доступу до інформації у електронному вигляді, проте обмежений доступом до документації, що не входить до його компетенції. Користувачі отримують частковий доступ до ЛОМ, так як реалізація їхніх обов’язків без цього є неможливою, а також мають права доступу до комплексу дослідженя полімерів, проте мають обмеження стосовно комунікаційних пристроїв. Працівникам служби безпеки відводиться менш значна роль, діяльність якої контролюється особами з вищих щаблів ієрархії.
РОЗРОБЛЕННЯ СИСТЕМИ ЗАХИСТУ ОБ’ЄКТІВ.
Система безпеки, побудована на вибраних засобах захисту повинна відповідати певним вимогам, бути:
безперервною, плановою, централізованою, цілеспрямованою, конкретизованою, активною, надійною, універсальною, комплексною.
Для випадку, коли об’єктом захисту виступає інформація, основою функціонування системи заходів є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз (на об’єкті, щодо якого здійснюється ТЗІ може бути складена загальна модель) визначаються головні та часткові (біжучі) задачі захисту інформації, розробляються організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.
З метою впорядкування нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні бути розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх використання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ.
Основою функціонування системи заходів захисту інформації є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз визначаються головні та часткові задачі захисту інформації, розробляється організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.
Оскільки чотири персональних комп’ютрів зєднані в локальну мережу і мають вихід в Інтернет, то необхідно забезпечити захист інформації з боку потрапляння з нього різноманітних вірусів та інших програм, які б порушували цілісність інформації. Одним з варіантів запобігання потрапляння з Інтеренету непотрібної інформації є встановлення на компютерах антивірусні програми, а також FireWall.
З метою впорядкування нормативно-документальної бази органу, щодо якого здійснюється ТЗІ повинні бути розроблені переліки наявних розпорядчих, організаційно-методичних, нормативних документів щодо ТЗІ та вказівок щодо їх використання. Одночасно розробляються та затверджуються керівництвом інструкції, які встановлюють обов’язки, права та відповідальність особового складу органу, щодо якого здійснюється ТЗІ. В даному випадку будуть діяти Закони України „Про інформацію”, “Про власність”,“Про державну таємницю”.
Розроблення даної системи розпочнемо з аналізу розташування об’єктів АС на території підохоронного підприємства та побудови відповідних зон безпеки до яких будуть віднесені певні об’єкти.
Зона 1: Дорога(в межах об’єкта), стоянка автомобілів працівників, навколишні об’єкти і будови (в радіусі до 200м)
Зона 2: Огорожа, КПП
Зона 3: Система водопостачання, система опалення, система каналізації, система вентиляції, система заземлення
Зона 4: Основна будівля (стіни, перекриття), вікна, головний вхід
Зона 5: Коридори, входи в приміщення
Зона 6: ОТЗ, неосновні ТЗПІ, ДТЗС
Зона 1:
Дорога(в межах об’єкта) повинна добре оглядатись з фасадної сторони об’єкта. Потрібно провести роботи, які виключать виникнення аварійних ситуацій в районі об’єкта, унеможливити знаходження на даній ділянці транспортних засобів, чи інших об’єктів, за допомогою знаків дорожнього руху (встановлення знаків зупинка і стоянка заборонена). Дозволяється стоянка виключно тільки автомобілів працівників у відповідному місці, про що також має свідчити відповідний знак.
Стоянка автомобілів працівників має знаходитись на спеціальній добре оглядовій платформі. За нею повинен здійснюватися нагляд за допомогою камер відеоспотереження. Камери встановлюються безпосередньо на огорожі з відповідним маскуванням. Монтуються лінії зв’язку, що передають сигнал відео-спостереження на монітори, які розміщуються в КПП. За даним об’єктом веде нагляд охоронець, крім того здійснюється автоматичний постійний запис відеоспостереження на магнітний носій.
Навколишні об’єкти і будови повинні бути перевірені на тип діяльності, що в них здійснюється, особливу увагу слід звернути на розташування серед них об’єктів іноземних представництв.
Зона 2:
Огорожа встановлюється з сталевих суцільних плоских секцій висотою 2м. Поверху і
понизу огорожі розтягується колючий дріт. У прямих кутах з внутрішньої сторони огорожі встановлюються камери відеоспотереження. Монтуються лінії зв’язку, що передають відеосигнал на монітори, які розміщуються в КПП. За даним об’єктом веде нагляд охоронець, крім того здійснюється автоматичний постійний запис відеоспостереження на магнітний носій. Через визначений термін інформація переглядається працівниками СБ і у разі відсутності будь-яких підозр видаляється з складанням відповідного протоколу. Дана процедура здійснюється з метою незагромадження інформаційних носіїв.
КПП включає в себе ворота, шлагбаум, турнікет, спеціальне приміщення. Ворота виготовляються з того самого матеріалу що й огорожа. Ворота зачиняються на внутрішній затвор і замок . Шлагбаум служить бар’єром для проникнення автомобілів на територію АС і особливих вимог до нього не встановлено. Турнікет служить бар’єром для проникнення на об’єкт працівників та відвідувачів без автомобілів. Пропускна дія шлагбауму і турнікету контролюється охоронцем, який повинен здійснювати перевірку посвідчення з наклеїними фотографіями, причому відвідувачам також повинні видаватися спеціальні тимчасові документи для їх доступу. Після проникнення на територію АС особа під наглядом охоронця повинна розписатися у журналі реєстрацій з зазначенням прізвища та ім’я, часу доступу на об’єкт, та номеру перепускного посвідчення. Здійснюється фізичний обшук особи на наявність сторонніх чи заборонених предметів. У разі виявлення таких предметів здійснюється їх вилучення з відповідними відмітками в журналі реєстрацій. Дана процедура повинна таємно записуватися на камеру відеоспостереження. Відомостями про наявність цієї камери і відзняті нею матеріали володіють виключно працівники СБ, і охоронцю не повідомляються. Спеціальне приміщення являє собою робоче місце охоронця, в якому знаходяться дисплеї відеонагляду за встановленими об’єктами і необхідні для здійснення своїх обов’язків засоби та апаратура.
Зона 3:
Системи водопостачання, опалення, каналізації, вентиляції і заземлення може бути джерелом паразитних наведень з боку зовнішньої апаратури. Тому застосовуємо засоби відбиття загроз: встановлюємо спеціальні шумові пристрої на трубах водопостачання та каналізації, що створюють електро- магнітне поле перешкод (Ш1 і Ш2). Крім того повинні бути проведені роботи по капітальному ремонту цих систем, заміна усіх труб на металопластикові. Відповідальність за проведені роботи покладається на представників організацій, що взаємодіють з питань технічного забезпечення водо- теплопостачання про що має бути складений відповідний акт. Зовні люки повинні бути захищені гратами, лози яких розташовуються хрестом або ромбом. Для запирання грат використовуються замки з протяжними скобами, крім того в місці розташування замка приварюється металевий лист.
Зона 4:
Основна будівля (стіни, перекриття) обладнується сейсмічними сенсорами на п’єзо-
електричному ефекті. Даним способом здійснюється захист від механічного проникнення в будівлю і попередження впливів навколишнього середовища(землетруси, шквали і інші стихійні лиха природи).
Вікна оснащуються контактними сенсорами і засобами відбиття загроз: екрануванням.
Головний вхід представляє собою стальні двері оброблені декоративним покриттям. Для замикання таких дверей використовується багаторігельний врізний замок з електронним кодовим доступом. Код доступу для кожної особи різний і періодично змінюється СБ. Відомостями про кодові комбінації володіє СБ, вона ж здійснює видачу їх персоналу з відповідним розписом особи про нерозголошення. Доступ відвідувачів через головний вхід здійснюється виключно під наглядом охоронця. Також забезпечується камера відео- спостереження яка здійснює нагляд за головним входом.
Зона 5:
Коридори повинні бути оснащені камерами таємного спостереження, відомостями про
знаходження яких повинні володіти виключно працівники СБ. Працівниками СБ періодично повинна проводитись перевірка коридорів на наявність сторонніх предметів. Камери відео- спостереження встановлюються в відповідних місцях. Також повинна бути проведена система пожежної сигналізації з властивістю нейтралізації місця пожежі. Подібні системи встановлюються в усіх приміщеннях об’єкту.
Входи в приміщення захищаються дверима з баготорігельними замками з електронним кодовим доступом. Кожна особа персоналу має доступ в визначені приміщення, що призначаються СБ.
Зона 6:
ОТЗ, неосновні ТЗПІ, ДТЗС повинні встановлюватися перевіреними особами, про що має бути складений відповідний акт. Програмне забезпечення має бути ліцензійним, так само як і база антивірусних і захисних програм. Приміщення в яких знаходяться дані елементи АС повинні бути оснащенні камерами відеоспостереження. Корпуса приладів, комплексів і засобів повинні бути профольговані
РЕАЛІЗАЦІЯ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ.
Проаналізувавши можливі загрози для об’єктів, які знаходяться в приміщенні, можна
впровадити наступні засоби захисту інформації:
Для основних технічних засобів:
Для комп’ютерної техніки від збоїв в електромережі використовуємо:
Блок безперебійного живлення (UPS-1215) ТУ У 22891034.001-2000 з парам.:
Діапазон напруги живлення ~220 В, при якому не споживається струм від акумулятора (176-253 В)
Номінальний струм навантаження (1,5 А)
Вихідна номінальна напруга (9,5-13,8 В)
Струм спрацьовування від перевантажень (1,5 А)
Час роботи джерела при відсутності напруги змінного струму (4,7 год.)
Діапазон робочих температур (+1-+35 °С)
Для захисту інформації від витоку по мережі Інтернет використовуватимемо
програмний комплекс Agnitum Outpost 2.5 Firewall та пакет антивірусного захисту
Kasperskuy Antivirus Personal
Телефонні апарати:
Системний телефон, телефони, що підключені до міні-АТС:
Для того, щоб уникнути вищезгаданих загроз для цих пристроїв, необхідно використовувати різноманітні генератори шуму, які б перешкоджали перехопленню інформації (напр. генератор шуму DNG-314). Також варто було б використовувати сертифіковані пристрої, в яких є захист від перехоплення інформації (напр. Підставка для телефону SCR-400, яка виконує роль скремблювання звукового сигналу з метою його захисту від прослуховування за межами контрольованої території методом гальванічного підключення або безконтактного знімання інформації за рахунок випромінювання самого кабеля)
Принтер,сканер, вимірювальні прилади:
Необхідно заборонити вхід у приміщення сторонніх осіб, а також застосувати зашумлюючі засоби під час роботи з апаратом. Для цього можна використати генератор шуму DNG-314. Крім того на принтер необхідно встановити лічильник копій, і вести відповідний журнал використання.
Для того, щоб уникнути витоку інформації через допоміжні технічні засоби (сигнальних ліній мережі Ethernet, кабелів телефонного зв’язку, ліній мережі електроживлення, системи пожежної сигналізації), необхідно використовувати екрановані кабелі. В якості кабелів, по яких передається найбільш важлива інформація, доцільно використовувати коаксіальний кабель з суцільною опліткою.
Для захисту периметру приміщення використаємо пасивний оптико-електронний сповіщувач типу DS305E з параметрами:
Дальність дії (13/11/21 м) – для кожного типу лінзи, дзеркала
Кут огляду (90/-/- град.) – для кожного типу лінзи, дзеркала
Коридор (21 м)
Кількість змінних лінз, дзеркал (5)
Висота установки (2-3 м)
Струм живлення при напрузі 12 В (20 мА)
Діапазон робочих температур (-40-+50 °С)
Діапазон напруги живлення (9-15 В)
Макс. струм/макс. напруга (0,125 А/28 В)
Даний пристрій містить дзеркальну оптику, мікропроцесор, і виконує функцію „контролю приміщення”
В якості системи передачі сповіщень використаємо систему „КРОНОС-СК” з параметрами:
Тип зв’язку (односторонній – OFF-Line)
Діапазон робочих частот (146-174 МГц)
В якості акустичного сповіщувача розбиття скла використано Breakglass 2000 ТУ У 14357131.001-99 з параметрами:
Радіус дії (10/15 м)
Струм живлення при напрузі 12 В (13 мА)
Діапазон робочих температур (-10-+55 °С)
Діапазон напруги живлення (8-16 В)
Макс.струм/макс.напруга (0,5 А/16 В)
Система контролю за доступом – „RUS PLUS BAS220AT”. До її складу входять:
Модуль контролю за доступом „INTACC-4-AT”
Модуль живлення „APS 12V1A-S”
Корпус з трансформатором „54862346”
Акумулятор”49681468”
Тампер корпусу”35266661”
Клавіатура рідиннокристалічна „LCD PLUS AVR-RU”
В якості акустичного сповіщувача розбиття скла використано Breakglass 2000 ТУ У 14357131.001-99 з параметрами:
Радіус дії (10/15 м)
Струм живлення при напрузі 12 В (13 мА)
Діапазон робочих температур (-10-+55 °С)
Діапазон напруги живлення (8-16 В)
Макс.струм/макс.напруга (0,5 А/16 В)
Для взяття/зняття об’єкту з охорони використаємо шифропристрій цифровий DLK640 ТУ У 14357131.009-98з параметрами:
Діапазон напруги живлення (10,5-14,5 В)
Максимальний струм споживання від 12 В (110 мА)
Діапазон робочих температур (+10-+35 °С)
Кількість релейних виходів (2 од.)
Струм, що комутується контактами реле (1 А)
Напруга, що комутується контактами реле (24 В)
Кількість електронних виходів (1)
Зн-ня постійного струму, що комутується електронним виходом (60 мА)
Кількість цифр в коді доступу (3-10 шт.)
Кількість кодів споживачів (30 шт.)
Для захисту від прослуховування розмов у приміщенні за допомогою лазерного мікрофону необхідно у центрі кожного скла внутрішніх рам наклеїти п’єзокерамічні випромінювачі і приєднати до генератора шуму.
КОНТРОЛЬ ФУНКЦІОНУВАННЯ І КЕРУВАННЯ СИСТЕМОЮ ТЗІ
Для організації контролю функціонування і керування системою ТЗІ необхідно реалізувати перспективне та поточне керування системою захисту ІзОД органу, щодо якого здійснюється ТЗІ, яке включає в себе постійний плановий контроль за актуальністю реалізуємих заходів та адаптацію системи ТЗІ до поточних задач захисту інформації, які виникають у певний час.
За результатами складається акт приймання робіт із захисту органу, щодо якого здійснюється ТЗІ від можливого витоку інформації, який наведенмй в додатку 1.
Для того, щоб обмежити доступ буде створено контрольно-пропускний пункт. Двері будуть ставитись на контроль відкривання за допомогою магніто контактних сенсорів (на робочий час з такого контролю будуть зніматись, де не циркулює ІзОД). У кімнату де циркулює ІзОД будуть ставитись на контроль доступу за допомогою карток (технологія TIRIS фірми TEXAS Instruments), код з яких дистанційно зчитується. Всі вікна будуть постійно контролюватись на збереження цілісності за допомогою акустичних датчиків розбиття скла.
Встановити на двері накладний замок з циліндрованим механізмом підвищеної секретності (організувати здачу ключів від кабінету після закінчення робочого дня).
ВИСНОВОК
В ході виконання даної розрахункової роботи був розроблений проект комплексної системи безпеки приміщення центру дослідження полімерних сполук ”Соцес”. Було проведено аналіз об’єктів, які підлягають захисту, перераховано можливі загрози і побудовано модель загроз і модель порушника. В результаті була отримана комплексна система захисту об’єктів і варіант реалізації плану захисту інформації.
ЗАТВЕРДЖУЮ
Кусий Д.Б.
АКТ ПРИЙМАННЯ РОБІТ
із захисту органу, щодо якого здійснюється ТЗІ від можливого витоку інформації
1. Приміщення центру дослідження полімерних сполук знаходиться на 6 поверсі 5 навчального корпусу по вул.Степана Бандери 54, поблизу будівлі знаходяться житлові будинки, магазини, комп’ютерний клуб, установ та організацій, а також посольств, іноземних представництв поблизу немає.
2. Наявні на підприємстві роботи мають IIІ ступінь конфіденційності, в проекті задіяні 8 осіб.
3. Межа контрольованої зони становить 20м. від будинку в якому знаходиться приміщення, план-схема додається.
4. Приміщення центру знаходиться в кім. 605 і складається з 4 кімнат.
5. Перелік організаційних дій для захисту інформації у виділених приміщеннях: установка в колах електроживлення ТЗПІ, установка спеціальних діелектричних вставок в труби систем опалення, водопостачання і каналізації.
6. В приміщенні знаходяться такі основні технічні засоби: локальна обчислювальна мережа з чотирьох комп’ютерів, один з яких є сервером (з виходом в Інтернет), телефонний комутатор, модем, комплекс для дослідження полімерних сполук, принтер, виділена телефонна лінія між центральним офісом та філіями, сигнальні лінії мережі Ethernet, принтер.
7. В приміщенні знаходяться такі допоміжні технічні засоби: кабелі телефонного зв’язку, лінії мережі електроживлення, пристрій для знищення паперу, сторонні не задіяні дроти.
8. У робочих приміщеннях прокладені оптоволоконні кабелі обчислювальної мережі. Стояк системи опалення та труби зворотного витоку теплообміну проходять по стіні під підвіконниками і мають вихід за межі контрольованої території. Системи пожежної та охоронної сигналізації виведені на пульт контролю не мають вихід за межі контрольованої території.
9. Основні технічні засоби та допоміжні технічні засоби забезпечуються електроживленням з трансформаторної підстанції, що знаходиться в межах контрольованої території. Система заземлення існує.
10. Перелік кінцевих пристроїв основних та допоміжних технічних засобів, розміщених у виділених приміщеннях приводиться вище.
11. Можливі канали витоку інформації: візуально-оптичний та оптико-електронний (наявність за межами контрольованої території будівель і споруд, з яких можливе проведення розвідувальних заходів); радіо та радіо-технічний; акустичний; акусто-електричний; ПЕМВ та наводки; несанкціоноване знімання ІзОД.
Вказані пристрої і елементи допоміжних технічних засобів можуть призводити до виникнення каналів витоку, якщо ланцюги від них виходять за межі контрольованих зон або мають сумісний пробіг у загальному кабелі з ланцюгами, що ідуть за межі контрольованих зон.
Крім того, витік можливий при впливі електричних, магнітних і звукових полів на пристрої, що містять автогенератори.
Пристрої та елементи допоміжних технічних технічних засобів, які приводять до каналів витоку інформації: лінії телефонного зв’язку, які виходять за межі контрольованої зони; мережа електроживлення; паралельний пробіг кабелів; сполучні лінії (сукупність проводів і кабелів, що прокладаються між окремими ТЗПІ і їхніми елементами); розподільні і комутаційні пристрої; радіоподовжувачі.
12. Реалізовані захисні заходи щодо блокування можливих каналів витоку конфіденційної інформації: унеможливлення використання програмно-апаратних засобів без перевірки; встановлені засоби виявлення та індикації загроз і перевірка їх працездатності; програмні засоби:
- ідентифікація та автентифікація користувачів;
- розмежування доступу користувачів;
- реєстрація та облік дій користувачів;
- маскування обробленої інформації;
- реагування на спроби несанкціонованого доступу.
ЗАТВЕРДЖУЮ
Кусий Д.Б.
АКТ
категоріювання ТзОВ ”Соцес”
Вищий гриф секретності інформації, що циркулює на об’єкті - таємно
Об’єм інформації, що циркулює на об’єкті, з вищим грифом секретності (звичайний, значний) – звичайний.
Відомості щодо можливості застосування стаціонарних засобів розвідки поблизу об’єктів:
Найменування інопредставництва поблизу немає
Відстань до об’єкту - > 200 м.
Підстава для категоріювання (первинна, планова, у зв’язку із змінами - первинна
Раніше встановлена категорія – встановлено небуло
Встановлена категорія - таємно
Голова комісії - Шнайдер Сергій Ігорович
Члени комісії - Ярич Іван Іванович
Цюх Василь Михайлович
Кшик Володимир Олегович
“__3__”___травня____2006 р.
ЗАТВЕРДЖУЮ
Кусий Д.Б.
ПАСПОРТ
на приміщення № 605
Кімната № 605 корпус 5 визначена як виділене приміщення 3 категорії наказом по підприємству № 235.
Характеристика робіт з ІзОД: ступінь конфіденційності, тимчасовий характер робіт.
Загальна характеристика приміщення:
Розташування (адміністративна будівля, 6 поверх) площа – 75 м2, висота стін – 3 м, характеристика стін – цегла та гіпсокартон, характеристика вхідних дверей -щитові, як закриваються – кодовий замок, характеристика вікон – пластикові склопакети. Охоронна та пожежна сигналізація: „КРОНОС-СК”
Відомості про розпорядчі документи (акти прийому системи захисту, акти перевірок, тощо, а також інструкції про порядок виконання робіт, проведення нарад та ін.):
Схема розташування приміщення на плані контрольованої зони: додається
Перелік технічних засобів, встановлених у приміщенні:
План розміщення технічних засобів і трас прокладки комунікацій: додається
Організаційні заходи, вжиті для захисту інформації:
Включення будь-яких телефонних апаратів при веденні секретних переговорів забороняється.
Телефонні апарати міської та внутрішньої АТС розташовувати не ближче 0,5 м від апарата спецзв’язку.
Відповідальний за приміщення: Хомин В. Б.
З мірами захисту інформації, реалізованими в даному приміщенні, ознайомлений:
Відомості про атестаційні перевірки: порушень не виявлено
Відомості про зміни в паспорті:
Паспорт складений:
03.05.2006 Шнайдер Сергій Ігорович
З метою забезпечення належного режиму при проведені на підприємстві робіт і усунення можливих каналів витоку інформації з обмеженим доступом за рахунок технічних засобів
НАКАЗУЮ:
1. Обов’язки щодо організації робіт з технічного захисту інформації з обмеженим доступом органу, щодо якого здійснюється ТЗІ покласти на Хомина В. Б.. Обов’язки щодо контролю повноти та якості реалізованих заходів покласти на комісію підрозділу.
2. Затвердити перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ, додаток № 15 до наказу.
3. Затвердити перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом, додаток № 13 до наказу.
4. Начальнику підрозділу ТЗІ в термін до 08.06.2006 представити мені для затвердження список осіб, відповідальних за забезпечення режиму у виділених приміщеннях, на об’єктах.
5. Встановити в органі, щодо якого здійснюється ТЗІ контрольовану зону (зони) відповідно до затвердженої мною планом-схемою, додаток № 16 до наказу.
6. Підрозділу ТЗІ вжити заходів, що виключають несанкціоноване ...