Розроблення комплексної системи безпеки підприємства.. Розрахунково

Розроблення комплексної системи безпеки підприємства.

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Інститут комп’ютерних технологій, автоматики та метрології

Факультет:

Не вказано

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2006

Тип роботи:

Розрахунково - графічна робота

Предмет:

Інші

Група:

ІБ-33

Завантажити

Частина тексту файла (без зображень, графіків і формул):

Міністерство науки та освіти України Національний університет „Львівська політехніка” Інститут комп’ютерної техніки, автоматики та метрології кафедра „Захисту інформації” Розрахунково-графічна робота на тему “Розроблення комплексної системи безпеки підприємства”. Виконав: ст. групи ІБ-33 Прийняв: Ромака В.О. Львів – 2006 Завдання 1.Розробити проект комплексної системи безпеки центру дослыдження полымерних сполук в якому циркулює ІзОД. Специфіка у використанні цього приміщення персоналом, перелік основних та допоміжних технічних засобів обробки, передавання та приймання інформації наведені у таблиці(варіант №6 План №2). № п/п Назва об’єкту (виділеного приміщення) Перелік ОТЗ, які знаходяться в приміщенні Перелік ТЗПІ, які не є основними Перелік ДТЗС Інформація, яка підлягає захисту 6 Центр дослідження полімерних сполук Локальна обчислювальна мережа з чотирьох комп’ютерів, один з яких є сервером (з виходом в Інтернет), телефонний комутатор, модем, комплекс для дослідження полімерних сполук, принтер, виділена телефонна лінія між центральним офісом та філіями, сигнальні лінії мережі Ethernet, принтер Внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС, телефакс, вимірювальні прилади, сканер кабелі телефонного зв’язку, лінії мережі електроживлення, пристрій для знищення паперу, сторонні не задіяні дроти Інформація стосовно досліджень, які проводяться в центрі, частина з якої є інформацією для службового користування та державною таємницею Мета роботи: ознайомитися з основними методами та засобами побудови комплексної системи безпеки об’єкту, навчитися проектувати дану систему згідно встановлених вимог. План розташування апаратури в середині офісу 2.Визначення та перелік об’єктів які підлягають захисту. А)основні технічні засоби прийому, обробки, збереження та передачі інформації: Чотири Персональних комп’ютера; Локальна мережа з виходом в Інтернет; Модем; Телефонний комутатор; Комплекс для дослыдження полымерних сполук; Виділена телефонна лінія між центральний офісом та філіями; Сигнальні Лінії мережі Ethernet; Б) Технічні засоби і системи, що не відносяться до засобів і систем інформетизації: Внутрішня міні АТС; Системний телефон ; Два телефони підключені до міні АТС; Сканер; Вимірювальні пристрої; В) Допоміжні технічні засоби і системи: Кабелі телефонного зв’язку; Лінії мереж та електроживлення; Пристрій для знищення паперу; Сторонні незадіяні дроти; Г)Зовнішні Об’єкти: Вікна; Двері; Каналізаційний Люк; Люк Водопостачання; Трансформаторний Підсилювач; Автостоянки; Огорожа; Д)Персонал; Електрик; Сантехнік; Служба Безпеки; Адміністратори; Керівник; Модель порушника Таким чином, розглянуті нами потенційні цілеспрямовані (навмисні) та випадкові загрози є двома основних класами прояву можливих загроз НСД до інформації ІС ОВС. Оскільки час та місце факту умисної загрози НСД передбачити неможливо, доцільно прогнозувати узагальнену інформаційно-аналітичну модель поведінки потенційного порушника ТЗІ в найбільш загрозливих ситуаціях, а саме: 1) порушник може з’явитися в будь-який час та в будь-якому місці периметру безпеки ІС; 2) кваліфікація та освіченість порушника ТЗІ можуть бути на рівні розробника даної системи; 3) інформація щодо принципів роботи системи, у тому числі і таємна, порушнику ТЗІ відома; 4) для досягнення своєї мети порушник ТЗІ вибиратиме найбільш слабкішу ланку в захисті; 5) порушником ТЗІ може бути не тільки стороння особа, але і санкціонований користувач системи; 6) порушник діє один. Для кращого розуміння того як поведе себе порушник, формалізуємо типову модель стратегії поведінки порушника ТЗІ в інформаційній мережі: 1) одержати несанкціонований доступ до захищуваної інформації; 2) видати себе за іншого користувача, щоб зняти з себе відповідальність або ж використати його повноваження з метою формування хибної інформації, зміни санкціонованої інформації, застосування хибного посвідчення особи, санкціонування хибних обмінів інформацією або їх підтвердження ; 3) відмовитись від факту формування переданої інформації; 4) стверджувати, що інформація одержана від деякого санкціонованого користувача, хоча вона сформована самим же порушником ТЗІ; 5) стверджувати, що одержувачу в визначений термін часу була надіслана інформація, яка насправді не відсилалася (або відсилалась в інший термін часу); 6) відмовитись від факту одержання інформації, яка насправді була одержана або стверджувати щодо іншого терміну її одержання; 7) несанкціоновано змінити повноваження інших санкціонованих користувачів (розширити або обмежити, вивести або ввести інших осіб і т. ін.); 8) несанкціоновано розширити свої повноваження по доступу до захищуваної інформації та її обробці; 9) приховати факт наявності деякої інформації в іншій інформації (потайна передача однієї в змісті іншої інформації); 10) підключитись до ліній зв’язку між іншими користувачами в ролі активного ретранслятора; 11) вивчити- хто, коли і до якої інформації отримує доступ (навіть якщо сама захищувана інформація залишається недоступною); 12) заявити щодо сумнівності протоколу забезпечення інформацією із-за розкриття деякої інформації, яка згідно умовам протоколу обміну повинна залишатися обмеженою; 13) модифікувати програмне забезпечення шляхом вилучення або надання нових функцій; 14) умисно змінити протокол обміну інформацією з метою його порушення або підриву довіри до нього; 15) заважати обміну повідомленнями між іншими санкціонованими користувачами шляхом введення перешкод з метою порушення автентифікації повідомлень. Подані вище формалізовані моделі стратегії поведінки порушника ТЗІ в обчислювальних мережах вказують на те, наскільки важливо знати , кого рахувати порушником ТЗІ. При цьому в ролі потенційного порушника ТЗІ може бути не тільки стороння особа, але і санкціонований користувач ІС, наприклад, навіть адміністратор системи з наступним блокуванням реєстрації своїх дій в ІС 5.Нормативно-правове забезпечення На сьогоднішній день інформація відіграє ключову роль в функціонуванні суспільних і державних інститутів, а також в житті кожної людини. Ефект, який досягається за рахунок впровадження інформаційних технологій, зростає при збільшенні масштабів обробки інформації, включаючи обчислювальні мережі та автоматизовані системи управління Дослідження українського законодавства в сфері інформаційних правовідносин, тобто суспільних відносин щодо володіння, користування і розпорядження інформацією, констатує, що нормативне забезпечення цієї галузі має невисокий загальний рівень розробленості. Як позитивне, слід насамперед зазначити визнання державою права власності на інформацію. Тому, відповідно до ст.41 Конституції, інформація є предметом державної охорони, яка забезпечується Законом “Про інформацію” від 2 жовтня 1992 року, Законом “Про захист інформації в автоматизованих системах” та ст. 198-1 кримінального кодексу. Крім цих документів до нормативно-правової бази, яка регулює інформаційні правовідносини треба віднести наступні: Положення про Державний комітет України з питань державних секретів та технічного захисту інформації. Затверджено Указом Президента України від 05.11.96р. №1047\96. Положенням визначено основні завдання Держкомсекретів України, його обов’язки та права щодо реалізації державної політики у сфері забезпечення охорони державної таємниці та технічного захисту інформації у межах, встановлених законами України, а також щодо координації режимно-секретної діяльності та функціонування інфраструктури системи технічного захисту інформації центральних та місцевих органів виконавчої влади, підприємств, установ і організації усіх форм власності, дипломатичних представництв та інших об’єктів України за кордоном. Положення про технічний захист в Україні. Затверджено постановою КМУ від 09.09.94р. №632. Положення визначає об’єкт захисту та мету ТЗІ, структуру та основні завдання складових частин системи ТЗІ, порядок та організацію комплексного технічного захисту інформації з обмеженим доступом на об’єктах різного призначення і організацію контролю за ефективністю ТЗІ. Постанова КМУ від 13.01.95р. №24. “Про заходи щодо виконання постанови Верховної Ради України від 05.07.94р. №80”. “Про введення в дію Закону України “Про захист інформації в автоматизованих системах” та статті 34 Закону України “Про державну таємницю”. Цією Постановою також схвалена “Програма робіт з організації стандартизації та сертифікації в галузі технічного захисту інформації на 1995-1998 роки”. Положення про порядок видачі суб’єктам підприємницької діяльності спеціальних дозволів (ліцензій) на здійснення окремих видів діяльності. Затверджено Постановою КМУ від 17.05.94р. №316. Положення визначає види діяльності, на які передбачена законодавчими актами України видача спеціальних дозволів (ліцензій), в тому числі виробництво та сервісне обслуговування систем і засобів виконання робіт, надання послуг, що забезпечують технічний захист інформації. Положення також визначає умови і правила одержання ліцензій. Інструкція щодо умов і правил здійснення діяльності у галузі технічного захисту інформації та контролю за її дотриманням. Затверджено наказом ДСТЗІ від 26.05.94р. №46, зареєстровано в Мінюсті України 01.06.94р. №120\329. Інструкція визначає умови і правила здійснення діяльності у галузі ТЗІ по виробництву та сервісному обслуговуванню систем і засобів, виконання робіт, наданню послуг, що забезпечують технічний захист інформації. Положення про порядок опрацювання, прийняття, перегляду та скасування міжвідомчих нормативних документів системи технічного перегляду та скасування міжвідомчих нормативних документів системи технічного захисту інформації. Розроблено згідно з Постановою КМУ від 26.06.96р. №667. Затверджено наказом ДСТЗІ від 01.07.96р. №44, зареєстрованого в Мінюсті України 18.07.96р. №366\1391. Положення визначає порядок розроблення, погодження, затвердження, реєстрацію та виконання нових, перегляду та скасування чинних міжвідомчих нормативних документів технічного характеру (норми, методики, положення, інструкції тощо) системи технічного захисту інформації, що не належать до нормативних документів із стандартизації, але з обов’язковим для виконання всіма центральними і місцевими органами виконавчої влади, Урядом Автономної Республіки Крим, органами місцевого самоврядування, військовими частинами всіх військових формувань, створених відповідно до законодавства, підприємствами, установами й організаціями незалежно від форм власності, діяльність яких пов’язана з технічним захистом інформації. ДСТУ 3396 0-96. Захист інформації. Технічний захист інформації. Основні положення. Затверджено наказом Держстандарту України від 11.10.96р. №423 введено в дію 01.0197р. Стандарт визначає об’єкт захисту та мету ТЗІ, чотири основні етапи побудови системи ТЗІ та склад основних нормативних документів, що забезпечують функціонування системи ТЗІ. Вимоги вказаного стандарту обов’язкові для підприємств, організацій та установ всіх форм власності, які володіють, користуються або розпоряджаються інформацією, що підлягає технічному захисту. ДСТУ 1.3-93. Порядок розроблення, побудови, оформлення, узгодження, затвердження, позначення та реєстрації технічних умов. Затверджено та введено в дію наказом Держстандарту України від 29.07.93 р. №116. Стандарт встановлює порядок розроблення, побудови, викладу, оформлення, узгодження, затвердження, позначання та державної реєстрації технічних умов на продукцію (послуги), що виготовляються у всіх галузях народного господарства України, крім розроблюваної та виготовленої на замовлення Міністерства оброни, а також змін до них. Вимоги цього стандарту є обов’язковими для підприємств, установ і організацій, що діють на території України, а також для громадян-суб’єктів підприємницької діяльності незалежно від форм власності і видів діяльності. ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до організації проектування та документації для будівництва. Наказом Держкоммістобудування України від 02.09.96 р. №156 введено в дію 01.01.97р. Стандарт встановлює норми та вимоги до організації проектування, проектної документації для нового будівництва, розширення, реконструкції підприємств та капітального ремонту будівель та споруд об’єктів, де є необхідність проведення робіт з ТЗІ. Заходи з ТЗІ можуть виконуватися організаціями, які мають відповідні ліцензії Держкоммістбудування України або іншими організаціями, які мають ліцензії Держкомсекретів України відповідно до Завдання замовника. Положення норм обов’язкові для застосування суб’єктами інвестиційної діяльності України та представництвами України за кордоном при виконанні проектних та будівельних робіт з урахуванням вимог технічного захисту інформації, які містять відомості, що становлять державну або іншу передбачену законодавством України таємницю, а також конфіденційну інформацію, що є державною власністю. Норми можуть бути використані суб’єктами, пофесійна діяльність яких пов’язана з захистом конфіденційної інформації, що не є власністю держави. КНД 50-009-93. Типова побудова технічних умов. Методичні вказівки. Затверджено та введено в дію наказом Держстандарту України від 29.07.93р. №116. Керівний нормативний документ з стандартизації поширюється на методи та зміст робіт з розроблення технічних умов, правила викладу їхніх розділів. Положення цього керівного нормативного документу можуть використовуватись підприємствами, установами і організаціями, що діють на території України, а також громадянами-суб’єктами підприємницької діяльності незалежно від форм власності і видів діяльності. Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ЕОТ-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25. Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок. (ТР ТЗІ-ПЕМВН-95). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 09.06.95р. №25. Тимчасові рекомендації щодо розроблення розділу із захисту інформації в технічному завданні на створення автоматизованої системи. (ТРАС-96). Нормативний документ системи ТЗІ, затверджено наказом ДСТЗІ від 03.07.96р. №47. Правила побудови, викладення, оформлення та позначення нормативних документів системи ТЗІ.НД ТЗІ 1.6-001-96. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 26.07.966р. №51. Інструкція про порядок надання дозволу на використання імпортних засобів ТЗІ, а також продукції, яка містить їх у своєму складі. Нормативний документ системи ТЗІ затверджено наказом ДСТЗІ від 31.05.95р. №13 і зареєстровано в Мінюсті України 12.07.95р. №215\751. На цей час більшу частину нормативно-технічних документів (НТД) ТЗІ в Україні складають НТД Держтехкомісії (ДТК) колишнього СРСР, які рекомендовані до використання керівним листом ДСТЗІ від 01.03.94р. на основі Постанови Верховної Ради України №1545-12 від 12.09.91р. “Про порядок тимчасової дії на території України окремих актів законодавства Союзу РСР”. До загальнодержавних нормативним актам з питань захистуінформації треба додати відомчі накази та інструкції МВС України. Наказ №07 від 06.03.97р. Наказ про оголошення “Розгорнутого переліку відомостей, що становлять державну таємницю в системі МВС України”. Відповідно до ст.10 Закону України від 21 січня 1994р. “Про державну таємницю”, визначає розгорнутий перелік відомостей, що становлять державну таємницю у системі МВС України: - відомості про охорону військових, особливо важливих, режимних об’єктів, технічний захист інформації, забезпечення пожежної охорони, зв’язку; - відомості оперативно-службового характеру. Наказ №08 від 06.03.97р. Наказ “Про заходи щодо забезпечення режиму секретності у системі МВС України та затвердження Тимчасової інструкції”. Наказ вимагає забезпечення режиму секретності у системі МВС України відповідно до законів України, постанов Уряду та інших чинних нормативних документів з питань захисту секретів та Тимчасової інструкції. Ця інструкція розроблена відповідно до вимог законів України “Про державну таємницю”, “Про інформацію”, “Про порядок виїзду з України і в’їзду в Україну громадян України”, “Про захист інформації в автоматизованих системах”, затверджених Кабінетом Міністрів України положень “Про державного експерта з питань таємниць”, “Про порядок і умови надання органам державної виконавчої влади, підприємствам, установам і організаціям дозволу (ліцензії) на здійснення діяльності, пов’язаної з державною таємницею, та про особливий режим цієї діяльності”, “Про технічний захист інформації в Україні”, “Про режимно-секретні органи в міністерствах, відомствах, Уряді Автономної Республіки Крим, місцевих органах виконавчої влади, виконкомах Рад, на підприємствах, в установах і організаціях”, “Про Держкомітет України з питань державних секретів та технічного захисту інформації”, інших чинних нормативних актів з питань захисту державних секретів. Вона визначає режим секретності, є основним керівним документом, обов’язковим для виконання в МВС України, головних управліннях МВС України в Криму, в місті Києві та Севастополі, управліннях МВС України в областях і на транспорті, міських, районних та лінійних управліннях, міськрайлінорганах, установах виконання покарань, навчальних закладах, науково-дослідних установах, інших підрозділах системи МВС України, діяльність яких пов’язана з державною таємницею. Наказ №059 від 14.07.98р. Цей наказ вводить “Положення про встановлення, обслуговування технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених приміщеннях центрального апарату МВС України”. Це Положення визначає єдиний порядок виконання робіт з обстеження, планування, монтажу, регламентованого технічного обслуговування та ремонту технічних засобів зв’язку, слабкострумового обладнання та засобів технічного захисту інформації з обмеженим доступом у виділених атестованих приміщеннях центрального апарату МВС України. Саме цими усіма нормами забезпечується легітимність введення статті 198( кримінального кодексу (далі – КК), якою здійснюється кримінально-правова охорона зазначеного кола суспільних відносин. Стаття 198( КК передбачає відповідальність за дві самостійні форми злочинних дій: 1) умисне втручання у роботу автоматизованих систем, що призвело до перекручення чи знищення інформації або носіїв інформації; 2) розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи то носіїв інформації. Предметом цих злочинів є: 1) автоматизовані системи (АС) — системи, що здійснюють автоматизовану обробку даних і до складу яких входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення (ст. І Закону від 5 липня 1994 р. "Про захист інформації в автоматизованих системах"); 2) носії інформації — фізичні об'єкти, поля і сигнали, хімічні середовища, накопичувачі даних в інформаційних системах (ст. 24 Положення про технічний захист інформації в Україні, затвердженого постановою Кабінету Міністрів України від 9 вересня 1994 р. ); 3) інформація, яка використовується в АС, — сукупність усіх даних і програм, які використовуються в АС незалежно від способу їх фізичного та логічного представлення (ст. 1 Закону від 5 липня 1994 р.); 4) програмні і технічні засоби, призначені для незаконного проникнення в автоматизовані системи. Об'єктивна сторона злочинів характеризується двома видами дій: 1) втручанням в роботу АС; 2) розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації. Втручання у роботу автоматизованих систем є матеріальним складом злочину, оскільки, крім різноманітних дій у вигляді різного впливу на роботу автоматизованої системи, обов'язковими ознаками його об'єктивної сторони є також наслідки у вигляді перекручення чи знищення інформації, тобто порушення її цілісності (руйнування, спотворення, модифікація і знищення) (абз. 2 п. 2 Положення про технічний захист інформації в Україні); і причинний зв'язок між вчиненими діями і наслідками. Відсутність наслідків у вигляді перекручення або знищення інформації чи носіїв інформації при втручанні у роботу АС, залежно від мети такого втручання, може кваліфікуватися: 1) як замах на вчинення злочину, передбаченого ст. 198(, якщо метою втручання було спотворити або знищити інформацію, її носії; 2) за статтями 56, 57, 148 КК (при наявності ознак цих злочинів), якщо метою втручання в роботу АС було незаконне ознайомлення з інформацією, яка в ній обробляється чи зберігається; 3) за іншими статтями КК, які передбачають відповідальність за злочини, спосіб вчинення яких може виражатись в незаконному втручанні в роботу АС, наприклад, як розкрадання майна, виготовлення з метою збуту чи використання підроблених недержавних цінних паперів (ч. З чи ч. 4 ст. 148 КК). Розповсюдження програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи носіїв інформації, відноситься до формальних складів злочинів, оскільки об'єктивна сторона цього злочину виражається в самих діях, незалежно від того, спричинили вони чи ні наслідки у вигляді перекручення або знищення інформації чи носіїв інформації. Під втручанням у роботу АС законодавець пропонує розуміти будь-які дії винного, що впливають на обробку АС інформації, яка в ній зберігається, або яка вводиться чи передається для обробки в АС, тобто дії, що впливають на всю сукупність операцій (зберігання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних. При втручанні в роботу АС здійснюється порушення її роботи, яке спричиняє спотворення процесу обробки інформації, внаслідок чого перекручується або знищується сама інформація чи її носії. Знищення інформації — це її втрата, коли інформація в АС перестає існувати для фізичних і юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі. Як знищення, втрату інформації треба розглядати і її блокування, тобто припинення доступу до інформації користувачам АС. Втручання в роботу АС може бути і в формі впливу на канали передачі інформації як між технічними засобами їх обробки і зберігання всередині АС, так і між окремими АС, внаслідок чого інформація, що передається для обробки, знищується чи перекручується. Такі дії можуть виражатись, наприклад, в електромагнітному, лазерному і іншому впливі на носії інформації, в яких вона матеріалізується, або по яких вона передається; в формуванні сигналів полів засобів і блоків програм, вплив яких на інформацію, її носії і засоби технічного захисту викликає порушення цілісності інформації, її знищення чи спотворення; у включенні до бібліотек програм спеціальних програмних блоків, зміни програмного забезпечення і інших подібних діях, що призводять до порушення цілісності інформації. Перекручення інформації — це зміна її змісту, порушення її цілісності, в тому числі і часткове знищення. Під розповсюдженням програмних і технічних засобів, призначених для незаконного проникнення в АС і здатних спричинити перекручення або знищення інформації чи носіїв інформації треба розуміти: 1) їх передачу будь-яким способом і на будь-яких підставах (продаж, дарування, обмін, надання можливості скопіювати тощо) з метою їх використання для несанкціонованого доступу до інформації особами, які згідно з правилами розмежування доступу до інформації, встановленими власником інформації чи уповноваженою ним особою, не мають права доступу до такої інформації; 2) їх "закладку" в АС на стадії її виготовлення, ремонту, реалізації, користування з метою використання в майбутньому для здійснення несанкціонованого доступу до інформації; 3) ознайомлення інших осіб із змістом програмних засобів чи технічними характеристиками або технологією виготовлення та використання технічних засобів для незаконного проникнення в АС. Програмні засоби, призначені для незаконного проникнення в АС, — це спеціальні комп'ютерні програми (програмні блоки, програмне забезпечення), з допомогою яких можна здійснити несанкціонований доступ до інформації, яка зберігається чи обробляється в АС, і які здатні спотворити або знищити інформацію (її носії) шляхом спотворення процесу обробки інформації. Технічні засоби, призначені для незаконного проникнення в АС, — це різного роду прилади, обладнання, устаткування тощо, з допомогою яких можливе або безпосереднє під"єднання до АС чи каналів передачі даних, або які здатні шляхом формування сигналів, полів, середовищ створити умови для несанкціонованого доступу до інформації з метою ознайомлення з такою інформацією особами, які не мають права доступу до неї, або з метою впливу на процес обробки інформації в АС, порушення роботи АС, перекручення або знищення інформації чи її носіїв. Обов'язковою ознакою (властивістю) програмних і технічних засобів, призначених для незаконного проникнення в АС, для визнання їх предметом коментованого злочину, є їх здатність впливати на процес обробки інформації, його спотворення, в результаті чого інформація (її носії) може бути знищена чи перекручена. Якщо ж такі засоби за своїми технічними характеристиками не мають такої властивості, їх розповсюдження складу злочину, передбаченого ст. 198( не утворює. Використання таких програмних і технічних засобів, наприклад, для незаконного ознайомлення з інформацією, яка обробляється чи зберігається в АС, може кваліфікуватися за статтями 56, 57 чи 148. Суб'єктом злочину може бути будь-яка фізична осудна особа, що досягла 16-річного віку. Ним можуть бути і особи з персоналу АС — фізичні особи, яких власник АС чи уповноважена ним особа чи розпорядник АС визначили для здійснення функцій управління та обслуговування АС, і сторонні особи. Суб'єктивна сторона злочинів, передбачених ч. І ст. 198(, характеризується умислом щодо вчинюваних винним дій, а психічне відношення винного до наслідків у вигляді перекручення чи знищення інформації або її носіїв може характеризуватись як прямим чи непрямим умислом, так і необережністю в обох видах. При розповсюдженні програмних і технічних засобів, призначених для незаконного проникнення в автоматизовані системи, умисел лише прямий, оскільки суб'єктивну сторону цього злочину визначає психічне відношення винного до вчинюваних ним дій. Мотиви і мета вчинення злочинів можуть бути різними і свідчити про те, що робота автоматизованої системи порушена, наприклад, з метою вчинення інших злочинів. В ч. 2 ст. 198( передбачена відповідальність за два кваліфікованих склади злочинів: 2) вчинення злочину повторно; 3) вчинення злочину за попереднім зговором групою осіб. Проведений аналіз стану чинного українського законодавства з питань правового регулювання відносин, пов’язаних з використанням ЕОТ, взагалі та засобів кримінально-правової охорони зокрема з усією наочністю викриває його недосконалість та невисокий рівень розробленості. Вражає, насамперед, надзвичайно вузьке коло діянь, що визначаються суспільно небезпечними, отже є кримінально карними, недостатньо точне та повне визначення термінів, використаних при формулюванні диспозиції. Також, незрозумілою лишається ідея законодавця об’єднати однією статтею такі різні за рівнем суспільної небезпечності дії, як “умисне втручання в роботу автоматизованих систем” та “розповсюдження програмних і технічних засобів, призначених для незаконного проникнення до автоматизованих систем”, а також, встановлення для такого специфічного виду злочинних дій ортодоксальних кваліфікуючих ознак. Все це переконливо вказує на термінову необхідність реформування даного розділу кримінального законодавства. 6.Політика безпеки Аналіз стану справ в галузі інформаційної безпеки показує, що в провідних країнах склалися цілком сформовані концепції та інфраструктура систем захисту інформації, основу якої складають: - розвинутий арсенал технічних засобів захисту, створюваних на промисловій основі; - значне число установ, що спеціалізуються на вирішенні питань захисту інформації; - достатньо чітко окреслена система концептуальних поглядів на проблему інформаційної безпеки; - наявність значного практичного досвіду. І, тим не менше, як свідчить реальність, зловмисні дії над інформацією не тільки не зменшуються, а мають достатньо стійку тенденцію до зростання. Досвід показує, що для боротьби з цією тенденцією необхідна струнка і цілеспрямована організація забезпечення безпеки інформаційної системи. Причому в цьому повинні активно брати участь професійні фахівці, адміністрація, співробітники і користувачі інформаційних систем (ІС), все це визначає підвищену значимість організаційної сторони питання. Сучасний досвід також показує, що: - забезпечення безпеки інформаційних систем (ІС) це безперервний процес, що полягає в обгрунтуванні і реалізації найбільш раціональних засобів і шляхів вдосконалення та розвитку системи інформаційної безпеки, безперервному контролі, виявленні потенційно можливих каналів витоку інформації та НСД; - безпека інформації може бути забезпечена лише при комплексному використанні всього арсеналу наявних засобів захисту в усіх структурних елементах виробництва і на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли всі засоби, що використовуються об'єднуються в єдиний, цілісний механізм - систему інформаційної безпеки (СІБ). При цьому функціонування механізмів захисту повинно контролюватися, оновлюватися і доповнюватися в залежності від зміни з урахуванням можливих внутрішніх умов, внутрішніх і зовнішніх загроз; - жодна СІБ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними всіх встановлених правил збереження конфіденційності. З врахуванням накопиченого досвіду можна визначити СІБ як сукупність спеціальних засобів, методів і заходів, що забезпечують захист інформації від розголошення, витоку і несанкціонованого доступу до неї. З позиції системного підходу до захисту інформації необхідно дотримуватись певних вимог. Захист інформації повинен бути: 1. Безперервним. Ця вимога виходить з того, що зловмисники тільки і шукають можливість, щоб обминути захист інформації, яка цікавить їх. 2. Плановим. Планування здійснюється шляхом розробки кожною службою, відділом, напрямом детальних планів захисту інформації в сфері їх компетенції з урахуванням загальної мети органів, служб, підрозділів. 3. Централізованим. В рамках певної структури повинен забезпечуватися організаційно-функціональною самостійністю процесу забезпечення безпеки. 4. Конкретним. Захисту підлягають конкретні дані, які об'єктивно потребують охорони і які можуть завдати певних проблем в тому випадку, коли ними заволодіють зловмисники. 5. Активним. Захищати інформацію необхідно з достатнім ступенем наполегливості і цілеспрямованості. 6. Надійним. Методи і засоби захисту повинні надійно перекривати можливі канали витоку інформації і протидіяти засобам несанкціонованого доступу незалежно від форми подання інформації, мови її вираження і вигляду носія, на якому вона закріплена. 7. Цілеспрямованим. Захищається те, що повинно захищатися в інтересах конкретної мети, а не все підряд. 8. Універсальним. Вважається, що в залежності від вигляду каналу витоку або НСД, його необхідно перекрити, де б він не виявився, розумними і достатніми засобами, незалежно від характеру, форми і вигляду інформації. 9. Комплексним. Для захисту інформації у всій різноманітності структурних елементів ІС і каналів витоку інформації повинні застосовуватися всі види і форми забезпечення безпеки в повному обсязі. Неприпустимо застосовувати окремі форми або технічні засоби. Комплексний характер захисту виходить з того, що специфічне явище являє собою складну систему нерозривно взаємопов’язаних процесів, кожен з яких, в свою чергу, обумовлюється один одним. Для забезпечення виконання таких багатогранних вимог безпеки СІБ повинна задовольняти такими умовам: - охоплювати технологічний комплекс інформаційної діяльності підприємства; - бути різноманітною за засобами, які використовуються, багаторівневою та з ієрархічною послідовністю доступу до інформації; - бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації; - бути нестандартною, різноманітної, при виборі засобів не можна розраховувати на необізнаність зловмисників відносно їх можливостей; Засоби системи СІБ повинні бути прості для технічного обслуговування і зручні для експлуатації користувачів. СІБ повинна відповідати таким вимогам: - чіткість визначення повноважень і прав користувачів на доступ до певних видів інформації; - надання користувачу мінімальних повноважень, необхідних для виконання дорученої роботи; - зведення до мінімуму числа загальних для декількох користувачів засобів захисту; - врахування випадків і спроб несанкціонованого доступу до конфіденційної інформації; - забезпечення оцінки ступеню конфіденційності інформації; - забезпечення контролю цілісності засобів захисту і негайне реагування на їхній вихід з ладу. Система інформаційної безпеки (СІБ), як і будь-яка система, повинна мати певні види власного забезпечення, спираючись на те, що вона буде здатна виконати свою цільову функцію. З урахуванням цього СІБ повинна мати: Правове забезпечення. Сюди входять правові документи, нормативні акти, положення, інструкції, керівництва, вимоги, що є обов'язковими в рамках їхньої сфери дій. Організаційне забезпечення. Реалізація інформаційної безпеки здійснюється спеціальними структурними одиницями, такими, наприклад, як служба технічного захисту інформації, а також режимними підрозділами, охорони та ін. Інформаційне забезпечення. Воно включає в себе відомості, дані, показники, параметри, що лежать в основі вирішення завдань, які забезпечують функціонування СІБ. Сюди можуть входити як показники доступу, врахування, зберігання, так і інформаційне забезпечення розрахункових задач різноманітного характеру, пов’язаних з діяльністю служби безпеки. Апаратне забезпечення. Передбачається широке використання технічних засобів як для захисту інформації, так і для забезпечення діяльності СІБ. Програмне забезпечення. Мають на увазі різноманітні інформаційні, статистичні та розрахункові програми, які забезпечують оцінку можливої загрози по каналам витоку інформації. Це математичні методи, які використовуються для різних розрахунків, пов’язаних з оцінкою ймовірності несанкціонованого доступу до інформації. Математичне забезпечення – це математичні засоби, що використовуються для різноманітних розрахунків, пов’язаних з оцінкою небезпеки технічних засобів розвідки з боку зловмисників, зон і норм необхідного захисту. Лінгвістичне забезпечення. Сукупність спеціальних мовних засобів спілкування фахівців і користувачів в сфері забезпечення інформаційної безпеки. Нормативно-методичне забезпечення. Сюди входять норми і регламенти діяльності органів, служб, засобів, що реалізують функції захисту інформації; різноманітного роду методики, які забезпечують діяльність користувачів при виконанні своєї роботи в умовах жорстких вимог дотримання конфіденційності. Безпека інформаційної системи — це заходи, які охороняють її від несанкціонованого доступу, випадкового або навмисного втручання в нормальні дії або спроб руйнування її компонентів. Мета і завдання системи безпеки. Основною метою системи безпеки є запобігання збиткам інформаційній системі і інтересам органів, служб, підрозділів ОВС за рахунок знищення засобів, майна і цінностей, втрати, витоку, викривлення і знищення інформації, порушення роботи технічних засобів забезпечення службової діяльності, включаючи допоміжні засоби, а також збиткам персоналу. Метою системи безпеки є: - захист прав підприємства (установи), його структурних підрозділів і співробітників; - збереження і ефективне використання інформаційних, матеріальних і фінансових ресурсів; - підвищення іміджу системи за рахунок забезпечення якості послуг по інформаційній безпеці. Завданнями системи безпеки є: - своєчасне виявлення загроз безпеці персоналу і ресурсам; причин і умов, що сприяють нанесенню фінансових, матеріальних і моральних збитків його інтересам, порушенню його нормального функціонування і розвитку; - віднесення інформації яка підлягає захисту до категорії секретної і обмеженого доступу на основі різноманітної вразливості; - створення механізму і умов оперативного реагування на загрози безпеці і виявленню негативних тенденцій в функціонуванні підприємства; - ефективне припинення посягань на ресурси, а також загроз персоналу на основі правових, організаційних і інженерно-технічних заходів і засобів забезпечення безпеки; - створення умов для максимально можливого відшкодування і локалізації збитків, завданих неправомірними діями фізичних і юридичних осіб, послаблення негативного впливу наслідків порушення безпеки на досягнення мети організації. Об'єктами, що підлягають захисту від потенційних внутрішніх і зовнішніх загроз і протиправних посягань, є: - персонал (керівні робітники, виробничий персонал, обізнаний з відомостями, що складають державну і внутрішньовідомчу таємницю, та інший “вразливий персонал”); - матеріальні і фінансові ресурси (будинки, споруди, сховища, технічне обладнання, транспорт та інші засоби); - інформаційні ресурси з обмеженим доступом, що складають службову таємницю, а також інша інформація на паперовій, магнітній основі, інформаційні масиви і бази даних, програмне забезпечення, інформаційні фізичні поля різноманітного характеру; - засоби і системи інформатизації і охорони матеріальних і інформаційних ресурсів. Основними завданнями забезпечення безпеки персоналу є охорона особистості від будь-яких протиправних посягань на її життя, матеріальні цінності і особисту інформацію. Особлива увага приділяється організації особистої безпеки керівного складу і певної категорії фахівців. Основними завданнями збереження фізичного захисту об'єктів є: - встановлення режиму охорони і безпеки об'єктів життєдіяльності; - здійснення допускного і пропускного режимів; - забезпечення захищеного зберігання документів, носіїв інформації, оснащення об'єктів сучасними інженерно-технічними засобами охорони будинків і приміщень; - організація фізичного захисту інформаційних систем в процесі їхнього функціонування і зберігання; - забезпечення взаємодії всіх структур, що беруть участь в забезпеченні безпеки ІС. Основними завданнями забезпечення безпеки інформаційних ресурсів є: - організація і здійснення дозвільної системи допуску виконавців до роботи з документами і відомостями обмеженого доступу; - організація обліку, зберігання і користування конфіденційними документами і носіями інформації; - здійснення закритого листування і шифрованого зв'язку; - організація і координація робіт по захисту інформації, яка обробляється і передається засобами інформаційної системи; - забезпечення безпеки в процесі проведення конфіденційних нарад, переговорів, ділових зустрічей; - здійснення контролю за цілісністю конфіденційних документів (носіїв), по забезпеченню захисту інформації, яка обробляється засобами інформаційної системи; Напрямок безпеки ІС. Безпека інформаційних систем досягається проведенням єдиної політики в області захисних заходів, системою заходів правового, організаційного і інженерно-технічного характеру, адекватним загрозам життєво важливим інтересам підприємства (установи). Для створення і підтримання необхідного рівня захищеності об'єктів інформаційних систем розробляється система правових норм, які регулюють відношення співробітників до сфери безпеки, визначаються основні напрямки діяльності в даній області, формуються органи забезпечення безпеки і механізми контролю за їх діяльністю. Основними принципами забезпечення безпеки є законність, достатність, дотримання балансу інтересів особистості і підприємства, взаємна відповідальність персоналу і керівництва, взаємодія з іншими правоохоронними органами. Основними напрямками забезпечення безпеки інформаційних систем, як нормативно-правовими категоріями, які визначають комплексні заходи безпеки, виступає правове, організаційне і інженерно-технічне забезпечення. На основі аналізу моделі порушника формалізуємо політику безпеки: Необхідно створити навколо об’єкта захисту постійно діючий замкнений контур або оболонку захисту у вигляді деякої низки перешкод ТЗІ. Властивості перешкоди ТЗІ, що являє собою механізм або засіб захисту, повинен по мо жливості бути відповідним очікуваній кваліфікації та освіченості порушника ТЗІ; Для входу в ІС санкціонованого користувача необхідна мінлива таємна інформація, яка відома тільки йому. Підсумкова стійкість захисного контуру (оболонки) ТЗІ визначається їх найслабкішою ланкою. При наявності декількох санкціонованих користувачів доцільно забезпечити розмежування їх доступу до інформації в відповідності з повноваженнями та виконуваними функціями, тим самим забезпечується реалізація основного концептуального принципу найменшої освіченості користувача ІС з метою скорочення втрати, якщо матиме місце безвідповідальність (халатна помилка) одного з них. Звідси також слідує, що розрахунок стійкості захисту повинен здійснюватись для двох можливих вихідних позицій порушника ТЗІ: за межами контрольованої території та в її межах. Як вихідною передумовою також вважаємо, що порушник ТЗІ один, оскільки захист від групи порушників – завдання окремого етапу досліджень. Але це не виключає можливості захисту пропонованими методами та засобами і від такого роду ситуацій, хоча подібна задача значно складніша. При цьому під групою порушників ТЗІ слід розуміти групу фахівців, які виконують одну задачу ТЗІ під загальним керівництвом. Але для різних по призначенню і принципам роботи ІС, видів і обмеженості оброблюваної в них інформації найбільш “загрозлива” модель поведінки потенційного порушника ТЗІ також може бути різною. 6.Організаційно-правове забезпечення системи захисту та вибір технічних засобів необхідних для захисту об’єктів. Для реалізації комплексної безпеки об’єкта використаємо базову модель захищеної від загроз НСД ІС являє собою деяку типову триконтурну (трирівневу) систему захисту інформації наступного складу: першим фізичним контуром захисту є межі контрольованої зони на території ІС з системою контрольно-пропускних пунктів; другим фізичним контуром захисту є система контролю доступу в приміщення ІС; третім віртуальним контуром захисту є сукупність заходів, спрямованих на захист апаратного, програмного та телекомунікаційного забезпечення ІС від усіх можливих потенційних каналів НСД шляхом їх своєчасного виявлення та блокування, а саме: НСД до зовнішніх каналів зв'язку; НСД до внутрішніх каналів зв'язку; НСД до трактів передачі даних по схемі "користувач 1 - ЕІС (елемент ІС) -(СПД (система передачі даних) - ЕІС - користувач 2"; НСД до носіїв програмного забезпечення; НСД до носіїв захищуваної інформації ІС; НСД до корзини сміття та відходів апаратного, програмного забезпечення і носіїв інформації; НСД до побічних електромагнітних випромінювань і наводок захищуваної інформації, до її наводок по ланцюгам електроживлення та заземлення апаратури, до наводок по ланцюгам допоміжних та сторонніх комунікацій в виділених приміщеннях і територіях ІС; НСД до монтажу апаратури ІС; НСД до технологічних пультів, терміналів і органів управління ІС; НСД до засобів відбиття інформації ІС; НСД до засобів документування інформації; НСД до засобів завантаження програмного забезпечення; НСД до інформації з боку робочих місць і терміналів (модулів) ІС; НСД до інформації при виведенні апаратури на ремонт; НСД до системи виводу апаратури з робочого контуру обміну інформацією ІС; НСД через межі контрольованої зони на території об'єкта захисту; НСД через КПП контрольованої зони ІС; НСД через систему контролю доступу в приміщення ІС; НСД через систему контролю розкриття апаратури; НСД через систему розпізнання та розподілу доступу; НСД до шифрування даних; НСД до засобів реєстрації і обліку документів; НСД до засобів верифікації програмного забезпечення ІС; Інші можливі канали НСД. Серед усіх ПКНСД найбільш пріорітетними є штатні засоби вводу, виводу, зберігання і передачі захищуваної інформації ІС, до яких доцільно віднести наступні засоби: робочі станції і термінали користувачів ІС; засоби відбиття і документування інформації ІС; засоби завантаження програмного забезпечення ІС; усі носії захищуваної інформації ІС (від серверів, робочих станцій, банків і баз даних до ОЗУ, BIOS, магнітних, віртуальних, лазерних, паперових носіїв тощо); зовнішні та внутрішні канали зв'язку ІС. Аналіз базової триконтурної моделі захищеної від загроз НСД ІС дозволяє її розглядати як об'єкт, в якому є деяка множина потенційних каналів несанкціонованого доступу (ПКНСД), з одного боку, та апаратне і програмне забезпечення (ядро безпеки) захищуваної ІС, з другого боку. (у центрі моделі мал. 1.7). Для створення захисту цієї інформації на кожному ПКНСД, а якщо можливо, то одночасно на декількох із них, необхідно встановити відповідну перешкоду ТЗІ. Чим більша кількість потенційних каналів НСД перекрита засобами захисту та вища імовірність їх неподолання потенційним порушником ТЗІ, тим вищий рівень безпеки інформації, що обробляється в даній системі. Очевидно, що в реальній ІС ОВС систему захисту найбільш доцільно створювати багатоланковою та багатоконтурною. Кількість перекритих при цьому ПКНСД буде залежати від кваліфікації порушника ТЗІ. Згідно запропонованої класифікації рівнів стійкості захисту від загроз НСД щодо класу порушників ТЗІ доцільно також встановити наступний розподіл ПКНСД по відповідним класам рівня стійкості захисту інформації і класам порушників ТЗІ, що можуть здійснити несанкціонований доступ до них: 1- й клас - усі ПКНСД, можливі в даній ІС на поточний момент часу; 2-й клас - усі ПКНСД, крім ПЕМВН і машинних носіїв з залишками інформації, які підлягають захисту спеціальними криптографічними методами; 3-й клас - тільки наступні ПКНСД: термінали користувачів; апаратура реєстрування, документування і відбиття інформації; машинні та паперові носії інформації; засоби завантаження програмного забезпечення; технологічні пульти та органи управління; внутрішній монтаж апаратури; лінії зв'язку між апаратними засобами. 4-й клас - тільки наступні ПКНСД: термінали користувачів; машинні та паперові документи; засоби завантаження програмного забезпечення. Всі потенційні канали НСД до інформації ІС розподіляються на контрольовані і неконтрольовані. До неконтрольованих ПКНСД в ІС доцільно віднести: машинні носії програмного забезпечення та інформації, що виносяться за межі ІС; довгострокові запам'ятовуючі пристрої з залишками інформації, що виносяться за межі ІС; зовнішні канали зв'язку; корзина сміття; засоби захисту, що перекривають ці перераховані ПКНСД, створюють неконтрольований віртуальний захисний контур ІС. До контрольованих ПКНСД в ІС доцільно віднести: 1) робочі місця і термінали користувачів; 2) засоби відбиття і документування інформації; 3) засоби завантаження ПЗ; 4) технологічні пульти і органи управління; 5) внутрішній монтаж апаратури; 6) канали витоку по ПЕМВН, при цьому побічне випромінювання і наводки інформації відносяться до цього виду ПКНСД тільки в тому разі, якщо рівень "загрозливого" сигналу, що несе захищувану інформацію, не виходить за межі контрольованої зони об'єкту розташування ІС і рівень цього сигналу періодично вимірюється в межах і за межами цієї зони! Згідно базової триконтурної моделі засоби захисту ІС, що перекривають ці ПКНСД, створюють так званий контрольований віртуальний захисний контур. Окрім цього, враховуючи багатокористувачевий режим роботи, потребується створення втіленої системи контролю та розподілу доступу користувачів до інформації ІС згідно з їх функціональними обов'язками і повноваженнями, які потрібно систематично змінювати при експлуатації. Для того щоб забезпечити замкнення контуру захисту із декількох різних перешкод ТЗІ недостатньо тільки перекриття всіх ПКНСД. Необхідно ще забезпечити їх взаємодію між собою, тобто з'єднати їх в єдиний постійно діючий механізм. Цю задачу повинні виконувати централізовані засоби адміністрування, моніторингу та управління. На контрольованих ПКНСД усі ланцюги і тракти контролю апаратно, програмно та організаційно повинні сходитись на одному робочому місці керівника служби безпеки або адміністратора системи. Останній варіант є доцільним для менш відповідальних систем при захисті інформації від порушника 3-го і 4-го класів. На неконтрольованих ПКНСД централізоване управління повинно забезпечуватись аналогічно з тих же робочих місць, але у вигляді окремої функціональної задачі. При створенні і реалізації концептуальних основ стратегії ТЗІ від загроз НСД доцільно враховувати наступні вихідні дані та параметри: 1) захищувана інформація ІС - це, насамперед, об'єкт права власності, який має відомчу вагомість та обмеженість, які з часом змінюються; 2) термін життєвого циклу захищуваної інформації ІС суттєво визначає поведінку порушника ТЗІ; 3) обов’язкова наявність даних щодо джерел, місця і часу здійснення (атаки) цілеспрямованої або випадкової загрози НСД; 4) наявність моделі захисту інформації системи від можливих спроб НСД з урахуванням грифу захищуваної інформації; 5) аналіз ступіню охоплення ІС функціональним контролем та засобами підвищення вірогідності інформації, які визначають імовірність появи випадкових НСД; 6) визначення усіх потенційних каналів НСД до інформації і ресурсів ІС; 7) оцінка ступіню замкнення перешкоди навколо об'єкту захисту, що визначатиме та впливатиме на імовірність її обходу порушником ТЗІ; 8) розподіл ПКНСД на контрольовані і неконтрольовані канали; 9) стійкість перешкоди ТЗІ, що не володіє здатністю контролю загроз НСД, залежить від с

Розрахунково - графічна робота Інші

01.01.1970 03:01-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись