Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Розроблення комплексної системи безпеки підприємства.
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2008
Тип роботи:
Курсова робота
Предмет:
Організаційно-технічні засоби систем захисту інформації
Група:
ІБ-34
Частина тексту файла (без зображень, графіків і формул):
Міністерство науки та освіти України
Національний університет „Львівська політехніка”
Розрахунково-графічна робота
на тему “Розроблення комплексної системи безпеки підприємства”.
з дисципліни:
”Організаційно-технічні засоби систем захисту інформації”
на тему :
Виконав:
студент групи ІБ-34
Прийняв:
Ромака В. О.
Львів – 2008
Завдання та мета розрахункової роботи
Завдання.
Завданням даної розрахункової роботи є розроблення комплексної системи безпеки з урахуванням усіх можливих каналів витоку інформації. Для цього необхідно охарактеризувати модель порушника, вказуючи його наміри, мотивацію, рівень знань, характер. Захищуваний об’єкт має містити детальний опис, схему розміщення обладнання, охоронної системи, склад персоналу, технічні засоби обробки та ЗІ.
Мета роботи.
Розробити програму комплексного захисту підприємства після впровадження якої, здійснюється усунення можливих каналів витоку інформації з обмеженим доступом, що циркулює на об’єкті.
Варіант №3
План №4
№ п/п
Назва об’єкту (виділеного приміщення)
Перелік ОТЗ, які знаходяться в приміщенні
Перелік ТЗПІ, які не є основними
Перелік ДТЗС
Інформація, яка підлягає захисту
3
Лабораторія приладів для високоточних вимірювань
Чотири персональні комп’ютери з’єднані в локальну мережу (з виходом в Інтернет), спеціальні вимірювальні прилади, комплекс випробування приладів, принтер, сигнальні лінії локальної мережі Ethernet, переговорний пристрій
Проводовий телефон та радіотелефон, вимірювальні прилади, сканер, відеомагнітофон,
кабелі телефонного зв’язку, лінії мережі електроживленя, пристрій для знищення паперу, мікрохвильова піч, кондиціонер, лінії пожежної сигналізації
Інформація стосовно досліджень, які проводяться в лабораторії, частина з якої є інформацією для службового користування та державною таємницею
І. Визначення переліку об’єктів, які підлягають захисту.
Технічні засоби обробки та захисту інформації:
У таблиці приведені об’єкти, що підлягають захисту на об’єкті «Лабораторія для високоточних вимірювань»:
№п/п
Найменування
Тип,модель
Кількість
Основні технічні засоби, які знаходяться на об’єкті
ПЕОМ
1
Персональний комп’ютер
Duron, 1,8 HGz,512 RAM DDR HDD WD 120 GB, інтегроване відео
4
Спеціальні вимірювальні прилади
2
Скануючий приймач
AR8200
1
3
Осцилограф
C1-96
2
4
Частотомір
Ч3-58
2
5
Селективний вольтметр
ВС-40
2
Комплекс випробування приладів
6
Електронний мікроскоп
Canon BM-1500
1
7
Генератор гармонік
Г5-80
2
8
Термооптичний аналізатор
TOS-482A
2
Технічні засоби пересилання інформації(ТЗПІ), які не є основними
9
Переговорний пристрій
Psamsung SD3-12
1
10
Проводовий телефон
LG_Electronics GS-460 FRUGG
3
11
Радіотелефон
Panasonic HX-TС 1019
1
12
Сканер
HP_ScanJet 3970c
1
13
Принтер
HP_LaserJet 1000W
1
14
Відеомагнітофон
Sharp sr-65
1
Допоміжні технічні засоби(ДТЗ)
15
Сигнальні лінії мережі Ethernet
16
Кабелі телефонного зв'язку
Плоский 4-х жильний
17
Лінії мережі електроживлення
ПВ-230
18
Кондиціонер
DeLonghi
1
19
Датчики пожежної сигналізації
ИП-109
6
Персонал:
Лаборанти : 6 чол. (2 спеціалісти-знавці з комп’ютерних систем, які одночасно виконують розрахунки та обробку отриманої інформації, слідкують за створенням резервної копії інформації, 1 інженер, що слідкує за станом і роботою комплекса випробувань приладів, вміє ремонтувати структуровану кабельну систему ,1 лаборант, що працює на складі спеціальних вимірювальних приладів, 2 лаборанти, що працюють з вимірювальними приладами і комплексом випорбування приладів і в разі необхідності зможуть відлагодити їх).
Директор : 1 чол. (керує даним підприємством та здійснює контроль за діяльністю даної лабораторії).
Технічний персонал : (обслуговує будови та приміщення (електрики, сантехніки, прибиральники тощо) приходять у визначений час або при потребі).
Інформація стосовно досліджень, які проводяться в центрі, частина з якої є інформацією для службового користування та державною таємницею:
Дані, отримані з коплексу випробувань приладів зберігаються в комп’ютерній мережі;
Результати проведених лабораторних робіт;
Службова інформація;
Зовнішні об’єкти
Вікна;
Двері;
Каналізаційний Люк;
Люк Водопостачання;
Трансформаторний Підсилювач;
Автостоянки;
Огорожа;
ІІ. Опис об’єкту захисту.
ІІ.І. Опис прилеглої території.
Назва об’єкта – «Лабораторія приладів для високоточних вимірюван». Територія об’єкта огороджена, в’їзд здійснюється черз КПП. На території знаходиться автостоянка працівників, колодязь водопостачання, каналізаційний колодязь і трансформаторна підстанція.
ІІ.ІІ. Опис приміщення. Опис ОТЗ, ТЗПІ та ДТЗС
Кімната №1
Призначена для випробування приладів. Ця кімната є просторою і великою тому у цій кімнаті я розташував комплекс для випробування приладів який займає досить велику площу. Ще у кімнаті знаходиться компю’ютер за допомогою якого керують комплексом, ще через компю’ютер передаються данні по випробуванням у кімнату №3. У кімнаті №1 знаходиться телефон призначений для зв’язку з кімнатою №2 і №3
Кімната №2
Кабінет директора. Ця кімната розташована на великій відстані від вхідних дверей, що забезпечує безпеку кімнати відносно постороніх осіб. Кімната має одне вікно, що теж забезпечує безпеку кімнати. У цій кімнаті знаходиться компю’ютер за допомогою якого можна слідкувати за роботою в лабораторії, ще цей компю’ютер має вихід в Інтернет. У кімнаті знаходиться радіотелефон і проводовий телефон для зв’язку з кімнатою №1 і №3. Ще у кімнаті знаходиться відеомагнітофон.
Кімната №3
Призначена для аналізу вимірювань, сканування і виводу інформації. У цій кімнаті проводиться аналіз вимірювань. Інформація надходить з кімнати №1 по локальній мережі. У кімнаті знаходиться принтер, сканер і знищувач паперу. Ще у кімнаті знаходиться телефон для зв’язку з кімнатами №1 і №2. Ця кімната підходить тим що вона є просторою для роботи.
Кімната №4
Кімната призначена для відпочинку працівників. У кімнаті знаходиться мікрохвильова піч. У кімнаті можна перепочити і пообідати, та як у кімнаті знаходиться мікрохвильова піч і до кімнати проведено водопостачання і каналізацію.
Кімната №5
Туалет. У кімнату проведено водопостачання і каналізацію. Не потребує ретельного захисту.
Кімната №6
Склад. У кімнаті розміщено кондиціонер для підтримання постійної температури і вентиляції приміщення. Ще у кімнаті знаходиться комп’ютер для ведення обліку приладів на складі.
1. Комплекс випробування приладів. (Вхід – за ідентифікаційною карткою)
2. Кабінет директора. (Вхід – за спец перепусткою)
3. Кімната аналізу вимірювань , сканування вивід інформації. (Вхід – за ідентифікаційною карткою)
4. Кімната відпочинку персоналу лабораторії. ( Вхід – вільний )
5. Туалет.( Вхід- вільний)
6. Склад спеціальних вимірювальних приладів.(Вхід – за ідентифікаційною карткою)
Умовні позначення:
ІІІ. Визначення та аналіз загроз об’єктам захисту та безпосередньо інформації. Побудова моделі загроз. Побудова моделі порушника
Загроза – будь-які обставини або події, що можуть бути причиною порушення безпеки об’єкта та нанесення збитків.
Модель загроз об'єкту захисту – містить аналіз можливого переліку загроз безпечному стану об'єкта захисту та їх джерел, а також аналіз ризиків з боку цих загроз відповідно до умов функціонування підприємства;
В залежності від виду об’єкту та специфіки його функціонування, по різному можуть проявляти себе і загрози, характерні для цього об’єкта.
Коли об’єктом захисту є інформація:
Загpози можуть здійснюватися технічними каналами витоку ІзОД і каналами спеціального впливу на носії ІзОД або засоби забезпечення ТЗІ.
Hосіями ІзОД можуть бути електpомагнітні та акустичні поля, електpичні сигнали і хімічні pечовини.
ІзОД може бути отримана за допомогою засобів космічної, повітpяної, моpської та наземної pозвідок з викоpистанням пpиладів оптичної, оптико-електpонної, pадіотехнічної, електpонної, лазеpної та іншої дії такими технічними каналами:
- вібро-, акустичним, лазеpно-акустичним (випpомінювання звукового та ультpазвукового діапазонів частот);
- pадіо-, pадіотехнічним (елекpомагнітні випpомінювання в діапазоні pадіочастот);
- побічних електpомагнітних випpомінювань і наводок (електpомагнітні випpомінювання, що утвоpюються під час pоботи засобів забезпечення інфоpмаційної діяльності під впливом електpичних і магнітних полів на випадкові антени у пpоцесі акусто-електpичних пеpетвоpень, під час виникнення паpазитної високочастотної генеpації та паpазитної модуляції, шляхом взаємного впливу кіл технічних засобів, пpизначених і не пpизначених для обpоблення ІзОД, і кіл електpоживлення, електpоосвітлення, заземлення, сигналізації та упpавління, під час хибних комутацій і несанкціонованих дій коpистувачів);
- оптичним (електpомагнітні випpомінювання інфpачеpвоного, видимого та ультpафіолетового діапазонів частот);
- хімічним (хімічні pечовини pізної пpиpоди, що викоpистовуються як сиpовина, утвоpюються в нових технологічних пpоцесах, під час pозpоблення нових матеpіалів, пpоведення випpобувань спеціальної техніки та виpобів і містяться у навколишньому сеpедовищі);
- іншими (pадіаційним, магнітометpичним тощо).
- несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту для використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.
- внаслідок різноманітних впливів природного походження (природні катастрофи, кліматичні умови).
Визначення та походження загроз :
Позначення загроз
Тип та визначення загроз
Джерело загроз
Наслідки
Конф.
Ціл.
Дост.
Спост.
Загрози природного походження
1
Катастрофа
Пожежа, повінь, землетрус, шквал, вибух
Середовище
+
+
2
Умови
Вологість, запиленість, зміни температури
Середовище
+
+
Випадкові загрози техногенного походження
3
Вібрація
Вібрація
Апаратура
+
+
4
Перешкоди
Небажаний вплив процесів один на одного
Апаратура
+
+
5
ЕМС
Зовнішні електромагнітні випромінювання (електромагнітна сумісність)
Апаратура
+
+
6
Аварія
Аварія систем життезабезпечення.
Середовище
+
+
7
Відмова-Л
Відмови (повний вихід з ладу, систематичне неправильне виконання своїх функцій) людей.
Люди
+
+
+
8
Відмова-А
Відмови основної апаратури, систем передавання даних, носіїв інформації
Апаратура
+
+
+
9
Відмова-П
Відмови програм.
Програми
+
+
+
10
Відмова-З
Відмови систем живлення, систем забезпечення нормальних умов роботи апаратури та персоналу (електроживлення, охолодження та вентиляції, ліній зв’язку тощо).
Середовище, апаратура
+
+
11
Збій-А
Збої основної апаратури систем передавання даних
Апаратура
+
+
+
+
12
Збій-З
Збої систем живлення, систем забезпечення нормальних умов роботи апаратури та персоналу
Середовище, апаратура
+
+
13
Помилка-Л
Випадкові помилки користувачів, обслуговуючого персоналу, помилкове конфігурування та адміністрування системи
Люди
+
+
+
+
14
Помилка-П
Помилки програм
Програми
+
+
+
+
15
Недбалість
Недбале зберігання та облік документів, носіїв інформації
Люди
+
+
+
+
16
Поломка-А
Поломка апаратури.
Люди
+
+
+
17
Поломка-Н
Пошкодження носіїв інформації.
Люди, апаратура
+
+
18
Вірус
Ураження програмного забезпечення комп’ютерними вірусами.
Люди, програми
+
+
+
+
Навмисні загрози техногенного походження дистанційної дії
19
Підключення
Підключення до каналів зв’язку через штатні або спеціально розроблені апаратні засоби (в тому числі підключення через установлені модемні, факс-модемні плати).
Люди, аппаратура, програми
+
+
20
ПЕМВ
Одержання інформації по каналу побічного електромагнітного випромінювання основних технічних засобів (пристроїв наочного відображення, системних блоків, периферійної апаратури, апаратури зв’язку, ліній зв’язку, кабелів).
Апаратура
+
21
Е-Наводи
Одержання інформації по каналу паразитних наведень у системах каналізації, у мережах теплопостачання, у системах вентиляції, в шинах заземлення, в мережах живлення, в колах телефонізації.
Апаратура
+
22
Вібро-акустика
Одержання інформації по вібро-акустичному каналу з використанням лазерних пристроїв зняття інформації
Апаратура
+
23
Спецвплив
Одержання інформації по каналам спеціального впливу (електромагнітне та високочастотне опромінювання об’єкту захисту)
Апаратура
+
24
Е-імпульс
Використання електромагнітних імпульсів з метою зруйнування інформації, засобів її обробки та збереження
Апаратура
+
+
25
Підслуховування-Т
Прослуховування телефонних розмов.
Апаратура Люди
+
26
Оптика
Використання оптичних засобів, дистанційне фотографування.
Апаратура
+
27
НСД-ЛОМ
Несанкціонований дистанційний доступ до ЛОМ
Апаратура, програми, люди
+
+
+
+
28
Переадресація
Переадресація (зміна маршруту) передачі даних.
Люди, програми
+
+
+
29
Нав’язування
Нав’язування хибної інформації під ім’ям авторизованого користувача
Люди, програми
+
+
Навмисні загрози техногенного походження контактної дії
30
Прослуховування
Прослуховування мережі за допомогою програмних або програмно-апаратних аналізаторів.
Апаратура, програми
+
+
31
Читання-С
Читання “сміття” (залишкової інформації з запам’ятовуючих пристроїв).
Апаратура, програми Люди
+
32
Читання-Е
Оглядання даних, що виводяться на екран.
Люди, апаратура
+
33
Читання-Д
Оглядання даних, що роздруковуються, читання залишених без догляду віддрукованих на принтері документів.
Люди, апаратура
+
34
Відключення-З
Відключення або вивід з ладу підсистем забезпечення функціонування обчислювальних систем (електроживлення, охолодження та вентиляції, ліній зв’язку тощо).
Люди, апаратура, програми
+
+
35
Пошкодження
Фізичне зруйнування системи (внаслідок вибуху, підпалення и т.ін.), пошкодження всіх або окремих найбільш важливих компонентів АС (пристроїв, носіїв важливої системної інформації, осіб з числа персоналу і т.ін.), систем електроживлення тощо.
Люди
+
+
36
Закладка
Використання закладних та дистанційних підслуховуючих пристроїв.
Люди, апаратура
+
37
Випитування
Провокування до розмов осіб, що мають відношення до АС.
Люди
+
+
38
Копіювання
Копіювання вихідних документів, магнітних та інших носіїв інформації (у тому числі при проведенні ремонтних та регламентних робіт з ГМД)
Апаратура, програми, люди
+
39
Розкрадання
Розкрадання магнітних носіїв та документів (оригінали і копії інформаційних матеріалів, ГМД, стриммерних стрічок), виробничих відходів (відбитків, записів, носіїв інформації т.ін.), отримання необлікованих копій.
Люди
+
40
Імітація
Незаконне одержання паролів та інших реквізитів розмежування доступу (агентурним шляхом, внаслідок недбалості користувачів, підбором, імітацією інтерфейсу системи тощо) з наступним маскуванням під зареєстрованого користувача ("маскарад").
Люди, програми
+
+
+
41
НСД-РС
Несанкціоноване використання робочих станції та терміналів ЛОМ.
Люди програма,
+
+
+
+
42
НСД-П
Несанкціоноване використання технічних пристроїв (модем, апаратний блок кодування, перефірійні пристрої).
Люди програма,
+
+
+
43
Взлом
Обхід механізмів захисту з метою забезпечити в подальшому псевдосанкціонований доступ порушника.
Люди програма,
+
+
+
44
Перехоплення
Перехоплення паролів програмою-імітатором, перехоплення повідомлень.
Люди, програми
+
+
+
+
45
Закладка-П
Включення в програми програмних закладок типу “троянський кінь”, “бомба” тощо.
Люди Програми
+
+
+
+
46
Вади
Використання вад мов програмування, операційних систем (у тому числі параметрів системи захисту, встановлених “за умовчанням”).
Люди, програми
+
+
+
+
47
Підміна
Несанкціоновані зміни, підміна елементів програм, елементів баз даних, апаратури, магнітних носіїв.
Люди, програми
+
+
+
+
48
Дезорганізація
Дії щодо дезорганізації функціонування системи (зміна режимів роботи пристроїв та програм, страйк, саботаж персоналу, постановка потужних активних завад на частотах роботи пристроїв системи й т.ін.)
Люди, програми
+
+
49
Вербування
Вербування персоналу або окремих користувачів, які мають певні повноваження
Люди
+
+
Перелік каналів витоку інформації :
Засоби, які використовуються в приміщенні, можуть мати різні канали витоку інформації. Детальний аналіз можливих каналів витоку інформації для пристоїв (з врахуванням можливих каналів витоку інформації через вікна, двері, стіни та перекриття), що знаходяться на об’єкті Лабораторія приладів для високоточних вимірювань, наведений нижче:
Індекс
Можливий виток інформації за рахунок:
Кабелі, проводи та ланцюги, які мають вихід за межі контрольованої зони
Д
безпосереднього гальванічного підключення
Н
безконтактного знімання інформації (тобто випромінювання електромагнітних сигналів самими кабелем, проводом)
Н
наведення на проводи та кабелі, що мають спільну трасу проходження, на інші ланцюги того ж самого кабелю
Телефонні апарати
А
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація)
Д
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація) за умов цілеспрямованого стороннього впливу
Н
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч
В
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами
А
випромінювання акустичних сигналів
Комп’ютерна техніка
В
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами
О
перегляду сторонніми особами зображення на моніторі
О
спостереження сторонніми особами за роботою з клавіатурою
Д
несанкціонованого доступу до оперативної пам’яті чи накопичувачів комп’ютера
Спеціальні вимірювальні прилади, Комплекс для дослідження матеріалів
А , В, Н, О
Властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація)
А , В, Н, О
Властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація) за умов цілеспрямованого стороннього впливу
Відеомагнітофон
А
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітному радіодіапазону (паразитна модуляція)
В, Н
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч
В, Н
випромінювання електромагнітних сигналів, які потім могуть перехоплюватись випадковими антенами
О
перегляду сторонніми особами зображення на екрані
Пристрої радіотрансляції, оповіщення, електричні часи
А
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація)
А, Д
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація) за умов цілеспрямованого стороннього впливу
Системи централізованого кондиціонування, опалення, каналізації
А
розповсюдження акустичних сигналів вздовж коробів, труб
В
розповсюдження електромагнітних сигналів вздовж коробів, труб
Системи охоронної та пожежної сигналізації
А
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим передаванням колами електроживлення або керування
В, Н
стороннього впливу на елементи конструкції пристроїв, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч
А
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні радіодіапазону (автогенерація).
Мережа електроживлення
Наявність ТЗ
Нерівномірності споживання току пристроями, які приймають участь в обробці інформації
Проводи заземлення
Наявність ТЗ
Нерівномірність токів, що протікають проводами та шинами
Вікна
А
відбиваючих властивостей поверхні скла (підданість лазерному прослуховуванню)
О
перегляду приміщення сторонніми особами
Стіни, двері, перекриття
А
розповсюдження акустичних хвиль в твердому матеріалі
Д
несанкціонованого доступу в приміщення сторонніх осіб
Пояснення:
А – ІзОД присутня в вигляді акустичного випромінювання;
В – ІзОД присутня в вигляді високочастотного випромінювання (радіодіапазон);
Н – ІзОД присутня в вигляді низькочастотного випромінювання (мовний діапазон);
О – ІзОД присутня в вигляді випромінювання оптичного діапазону;
Д – несанкціонований доступ, піддається загрозі цілість та конфіденційність ІзОД.
Побудова моделі порушника:
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
Під час розробки моделі порушника визначаються:
припущення щодо категорії осіб, до яких може належати порушник;
припущення щодо мотивів дій порушника (цілей, які він переслідує);
припущення щодо рівня кваліфікації та обізнаності порушника та його технічної оснащеності (щодо методів та засобів, які використовуються при здійсненні порушень);
обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
В даній лабораторії проводяться високоточні вимірювання. Визначимо категорію осіб, до яких може належати порушник, що має намір вкрасти, зіпсувати чи приховати дані та результати вимірювань
Рівень збитків характеризується наступними категоріями:
Позначення
Визначення категорії
Рівень загрози
Внутрішні по відношенню до АС
ПВ1
Технічний персонал, який обслуговує будови та приміщення (електрики, сантехніки, прибиральники тощо), в яких розташовані компоненти АС
2
ПВ2
Персонал, який обслуговує технічні засоби (інженери, техніки)
2
ПВ3
Користувачі (оператори) АС
2
ПВ4
Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення
3
ПВ5
Адміністратори ЛОМ
3
ПВ6
Співробітники служби захисту інформації
4
ПВ7
Керівники різних рівнів посадової ієрархії
4
Зовнішні по відношенню до АС
ПЗ1
Будь-яки особи, що знаходяться за межами контрольованої зони.
1
ПЗ2
Відвідувачі (запрошені з деякого приводу)
1
ПЗ3
Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше)
2
ПЗ4
Хакери
3
ПЗ5
Співробітники закордонних спецслужб або особи, які діють за їх завданням
4
Мотив порушення
М1
Безвідповідальність
1
М2
Самоствердження
1
М3
Корисливий інтерес
3
М4
Професійний обов’язок
4
Основні кваліфікаційні ознаки порушника
К1
Знає функціональні особливості системи, основні закономірності формування масивів даних та потоків запитів до них, має навички щодо користування штатними засобами системи
2
К2
Володіє високим рівнем знань та практичними навичками роботи з технічними засобами системи та їх обслуговування
2
К3
Володіє високим рівнем знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих інформаційних систем
3
К4
Знає структуру, функції й механізми дії засобів захисту, їх недоліки
3
К5
Знає недоліки та “вади” механізмів захисту, які вбудовані у системне програмне забезпечення та його недокументовані можливості
4
К6
Є розробником програмних та програмно-апаратних засобів захисту або системного програмного забезпечення
4
Характеристика можливостей порушника
З1
Використовує лише агентурні методи одержання відомостей
1
З2
Використовує пасивні засоби (технічні засоби переймання без модифікації компонентів системи)
2
З3
Використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути приховано пронесено крізь охорону
3
З4
Застосовує методи та засоби дистанційного (з використанням штатних каналів та протоколів зв’язку) упровадження програмних закладок та спеціальних резидентних програм збору, пересилання або блокування даних, дезорганізації систем обробки інформації.
3
З5
Застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передачі даних).
4
Характеристика можливостей порушника
Ч1
До впровадження АС або її окремих компонентів
1
Ч2
Під час бездіяльності компонентів системи (в неробочій час, під час планових перерв у роботі, перерв для обслуговування і ремонту і т.д.)
2
Ч3
Під час функціонування АС (або компонентів системи)
3
Ч4
Як у процесі функціонування АС, так і під час призупинки компонентів системи
4
Характеристика місця дії порушника
Д1
Без доступу на контрольовану територію організації
1
Д2
З контрольованої території без доступу у будинки та споруди
2
Д3
Усередині приміщень, але без доступу до технічних засобів АС
2
Д4
З робочих місць користувачів (операторів) АС
3
Д5
З доступом у зони даних (баз даних, архівів й т.ін.)
3
Д6
З доступом у зону керування засобами забезпечення безпеки АС
4
На основі наведених вище різноманітних моделей порушника побудуємо матрицю, яка одночасно дасть змогу визначати різноманітні моделі порушника і міститиме усі дані побудованих вже моделей:
Визначення категорії
Мотив порушення
Рівень кваліфікації та обізнаності щодо АС .
Можливості використання засобів та методів подолання системи захисту.
Специфікація моделі порушника за часом дії
Специфікація моделі порушника за місцем дії
Сумарний рівень загрози
Внутрішні по відношенню до АС
Технічний персонал, який обслуговує будови та приміщення в яких розташовані компоненти АС (1)
М1-3 (3)
К1-5
(3)
З1-5
(4)
Ч2
(2)
Д3
(2)
15
Персонал, який обслуговує технічні засоби (інженери, техніки) (2)
М1-3 (3)
К1-5
(3)
З1-5
(4)
Ч1-4
(4)
Д4
(2)
18
Працівники АС (2)
М1-3 (3)
К1-5
(3)
З1-5
(4)
Ч2-4
(4)
Д4-5
(3)
19
Співробітники підрозділів (підприємств) розробки та супроводження програмного забезпечення (3)
М1-3 (3)
К1-6
(4)
З1-4
(3)
Ч1-4
(4)
Д1-6
(4)
21
Адміністратори ЛОМ (3)
М1-3 (3)
К1-6
(4)
З1-4
(3)
Ч-4
(4)
Д3-5
(3)
20
Співробітники служби захисту інформації (4)
М1-3 (3)
К1-6
(4)
З1-5
(4)
Ч-4
(4)
Д4-6
(4)
23
Керівники різних рівнів посадової ієрархії (4)
М1-3 (3)
К1-6
(4)
З1-5
(4)
Ч-4
(4)
Д4-6
(4)
23
Зовнішні по відношенню до АС
Будь-які особи, що знаходяться за межами контрольованої зони.(1)
М2-4
(4)
К1-5
(3)
З1-4
(3)
Ч-4
(4)
Д1
(1)
16
Відвідувачі (2)
М2-4
(4)
К1-5
(3)
З1-4
(3)
Ч-3
(3)
Д2-3
(2)
17
Представники організацій, що взаємодіють з питань фінансового забезпечення (2)
М1-3
(3)
К1-5
(3)
З1-4
(3)
Ч-2
(2)
Д2-3
(2)
15
Хакери (3)
М2-4
(4)
К1-5
(3)
З4
(3)
Ч-4
(4)
Д1
(1)
18
Співробітники закордонних спецслужб або особи, які діють за їх завданням (4)
М4
(4)
К1-5
(3)
З1-5
(4)
Ч1-4
(4)
Д1-3
(2)
21
ІV. Політика безпеки
Під ПБ інформації слід розуміти набір законів, правил, обмежень і рекомендацій, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Положення ПБ може бути описане для всієї організації, АС, ОС, послуги що реалізуються системою (набору функцій), і т. ін. Чим дрібніший об'єкт, до якого описуються положення ПБ, тим конкретнішими і формальнішими стають правила. Політика безпеки висвітлює лише загальні та обов’язкові положення безпеки організації. Всі деталі повинні вирішуватись персоналом організації згідно з їх обов’язками, посадовими інструкціями та практичними навичками і досвідом. (напр. видача прав доступу працівникам, генерування паролів, застосуваня шифрування, використання програмного забезпечення, охоронних сигналізацій і т.д.).
Для ефективної розробки і функціонування система безпеки буде опиратися на чинні законодавчі акти, укази, постанови (розпорядження) Уряду України, а також враховувати результати законотворчої діяльності в країні в галузі інформатизації і захисту інформації.
Закони України:
“Про інформацію” ;
“Про внесення змін до Кодексу України про адміністративні правопорушення щодо встановлення відповідальності за порушення законодавства про державну таємницю”;
“Про захист інформації в автоматизованих системах”;
“Про власність”;
Загальні положення:
Відповідальним за безпеку інформації завжди є керівник організації.
Керівник може призначати конкретних працівників відповідальними за безпеку окремих елементів інформаційної системи.
Всі працівники повинні бути ознайомлені з положеннями ПБ та дотримуватись всіх обов’язків та вимог зазначених в цих положеннях.
Положення ПБ щодо працівників :
При прийомі працівників на роботу необхідно ретельно перевіряти достовірність інформації, вказаної в заявах та анкетах.
Працівники, що мають доступ до конфіденційної інформації повинні підписати документи про нерозголошення таємниць.
Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП.
При встановленні нових систем безпеки чи впровадженні нових правил слід ознайомити з ними всіх працівників.
При прийомі на роботу працівників, їх права на доступ в приміщення організації повинні бути чітко визначені, затверджені і задокументовані.
Працівникам необхідно видати персональні ідентифікаційні картки, картки та коди доступу в відповідні приміщення.
Вимоги до працівників:
Знати і дотримуватися законів, правил, політик безпек, процедур безпек.
Використовувати доступні захисні механізми для забезпечення конфіденційності і цілісності своєї інформації.
Працівники повинні завжди носити на видному місці особисті ідентифікаційні картки.
Допомагати іншим користувачам дотримувати заходіви безпеки. Указувати їм на виявлені недогляди.
Інформувати чи адміністраторів керівництво про порушення безпеки й інших підозрілих ситуацій.
Не робити неавторизованої роботи з даними, не створювати перешкод іншим користувачам.
Не намагатися працювати від імені інших користувачів.
Знати і дотримувати процедури для попередження проникнення злобливого коду, для його виявлення і знищення.
Знати і дотримуватися правила поведінки в екстрених ситуаціях, послідовність дій при ліквідації наслідків аварій.
Пройти інструктаж з техніки безпеки;
Працівникам категорично забороняється приносити будь які сторонні предмети на територію організації.
При виникненні проблем при роботі з КС слід повідомити про це адміністратора.
При поміченні в приміщенні посторонніх осіб чи осіб, що не мають прав доступу до приміщення необхідно негайно повідомити про це службу охорони з допомогою кнопки тривоги чи в усній формі.
Працівникам категорично забороняється виносити будь-яке майно організації за її межі.
Положення ПБ, щодо організаційних питань захисту:
Регулярно проводити наради, де варто розглядати питання пов’язані з діями на покращення захисту інформації, визначення основних загроз для інформації та ін.
Всі прийняті рішення стосовно інформаіцйної безпеки організації повинні узгоджуватись керівником організації.
Таємна інформація повина шифруватись.
Необхідно регулярно загальні засади захисту інформації, аналізувати та давати точну оцінку стану системі безпеки організації.
Необхідно регулярно перевіряти стан систем контролю доступу до приміщень.
При одержанні нових даних інформаційної системи необхідно призначити йому гриф таємності.
Періодично проводити перевірку приміщень та території на наявність закладних пристроїв.
Положення ПБ, що відносяться до загального функціонування системи:
Регулярно (раз в тиждень) проводити перевірку приміщень та території на наявність закладних пристроїв;
Не рідше ніж один раз в півроку слід оглядати всю апаратуру;
Необхідно регулярно перевіряти стан електромережі та дотримання всіх правил користування електроапаратурою;
При поміченні слабких місць або інцидентів в системі безпеки необхідно негайно повідомити про це службу безпеки;
Вся апаратура повинна бути заземлена.
Контрольно-пропускний пункт (КПП).
ПБ, яка буде використана для даного об’єкта - дискреційна.
Положення політики безпеки:
Всі відвідувачі повинні проходити процедуру ідентифікації. Дата та час приходу повинен реєструватись в системному журналі на КПП;
Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП;
В обов’язки вартового має входити огляд автомобіля, щоб унеможливити ввезення в зону безпеки вибухових речовин;
Треба обладнати КПП засобами для відслідковування сторонніх випромінювань, з метою унеможливлення проносу на територію об’єкту різного роду підслуховуючих пристроїв;
Забезпечити працівника хорошою заробітною платою ;
Ретельно вибирати працівника (це повинна бути надійна особа);
Періодично перевіряти та контролювати роботу працівників.
Комп'ютерна система (КС) та обчислювальна мережа.
Вибираємо рольову ПБ з деякими елементами мандатної ПБ.
А. Положення ПБ, щодо користування:
Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників;
Працівники повинні зберігати в таємниці свій код доступу;
При введенні КС в експлуатацію слід ретельно перевірити її роботоспроможність, виникнення помилок та безпеку;
При втраті чи розголошенні персонального коду доступу слід негайно повідомити про це адміністратора;
Конфігурування системи та мережі повинно здійснюватись при відсутності в приміщенні будь-якого персоналу (крім працівників СБ);
Користувачі не повинні мати доступ до робочих програм конфігурування роботи системи та мережі;
Працівникам забороняється особисто вирішувати проблеми, які виникли при роботі системи;
При виникненні проблем при роботі з КС слід повідомити про це адміністратора;
Встановленням, конфігуруванням, перевіркою та оновленням програмного забезпечення займається тільки адміністратор;
Всі дії в КС повинні автоматично реєструватись в системному журналі;
При адмініструванні КС та КМ слід строго дотримуватись функцій, зазначених в документації продуктів та не виходити за їх рамки;
В разі виникнення технічних проблем слід звертатись до служби технічної підтримки виробника продукту;
Регулярно (раз в тиждень) проводити ретельну перевірку роботоспроможності системи для виявлення помилок та несправностей;
Для захисту від комп’ютерних вірусів та програм «троянський кінь» слід використовувати антивірусні програми;
Антивірусне програмне забезпечення та вірусні бази повинні регулярно (раз в два-три дні) оновлятись;
Щодня проводити повну перевірку системи на наявність вірусів та програм «троянський кінь»;
Магнітні носії інформації, нове програмне забезпечення, вхідна електронна пошта повинні ретельно превірятись на зараження вірусами та наявність програм «троянський кінь» перед запуском в КС;
Для захисту від зовнішніх атак по мережі слід використовувати відповідне програмне забезпечення - файєрволи, детектори атак, які пройшли всі повірки і сертифікацію. Періодично обновлювати їх;
Системні журнали повинні ретельно переглядатись для виявлення помилок роботи системи та можливих порушень чи атак;
В разі виникнення нештатних ситуацій та ремонтних робіт необхідно зняти всі носії інформації з АС та перенести їх у недоступне сховище;
Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок;
Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок.
Б. Положення ПБ, щодо фізичного захисту:
При покиданні приміщення чи роботі в приміщенні з таємною інформацією слід закривати вікна та двері та ретельно перевіряти безпеку системи;
Всі комп’ютери, магнітні та паперові носії інформації, на яких міститься ІзОД повинні бути розміщенні в приміщеннях з обмеженим доступом;
Коли ком’ютери не використовуються слід їх виключати або блокувати паролем систему;
Магнітні носії інформації та паперову документацію, коли вони не використовуються, слід зберігати в спеціальних захищених шафах;
Технічне обслуговування повинен здійснювати технічний персонал служби підтримки апаратури під наглядом СБ;
Забороняється зберігати вогненебезпечні та легкозаймисті предмети близько біля життєвоважливих ресурсів системи (комп’ютерів, сигналізацій, систем контролю доступу і т.і.);
В разі виявлення таємної інформації на МНІ слід її видалити;
В разі виявлення пошкоджень МНІ або нероботоспроможність МНІ утилізувати.
Всі мережеві кабелі повинні розміщуватись в коробах та проходити тільки по захищених приміщеннях;
Ретельно перевіряти магнітні носії, що не використовуються, на явність записаної на них таємної інформації, на явність пошкоджень і їх роботоспроможність.
В. Положення ПБ, щодо доступу:
Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників;
Коди доступу (паролі) повинні видаватись автоматично згідно певних правил (довжина паролю, вміст паролю і т.д.);
Періодично паролі повинні змінюватись;
Паролі повинні шифруватись;
Вхід користувача в систему та вихід з неї повинен реєструватись в системному журналі.
V. Побудова системи захисту
Основою функціонування системи заходів захисту інформації є комплексний план ТЗІ. На підставі аналізу матеріалів обстеження та окремих моделей загроз визначаються головні та часткові задачі захисту інформації, розробляється організаційні, первинні та основні технічні заходи щодо ТЗІ та вказівки про порядок їх реалізації.
Реалізація організаційних заходів захисту
1 Організаційні заходи захисту інформації - комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціювання засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ.
2 У процесі розроблення і реалізації організаційних заходів потрібно:
- визначити окремі задачі захисту ІзОД;
- обгрунтувати структуру і технологію функціювання системи захисту інформації;
- розробити і впровадити правила реалізації заходів ТЗІ;
- визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД;
- придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство;
- установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;
- установити порядок контролю функціювання системи захисту інформації та її якісних характеристик;
- визначити зони безпеки інформації;
- установити порядок проведення атестації системи захисту інформаціїі, її елементів і розробити програми атестаційн...
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора