Варіант завдання:
№ п/п
Назва об’єкту (виділеного приміщення)
Перелік ОТЗ, які знаходяться в приміщенні
Перелік ТЗПІ, які не є основними
Перелік ДТЗС
Інформація, яка підлягає захисту
88
Хімічна лабораторія
Устаткування для аналізу та синтезу хімічних сполук, три персональні комп’ютери з’єднаних в локальну мережу з комп’ютером виділеним під сервер (є вихід в Інтернет через Dial-Up)
Внутрішня МініАТС, системний телефон та два телефони підключені до МініАТС, радіоприймач, ксерокс, телевізор, відеоплеєр
кабелі телефонного зв’язку, лінії мережі електроживлення, пристрій для знищення паперу, сторонні не задіяні дроти, дві лампи денного світла, кондиціонер, дві настільні лампи
Державна таємниця. Носієм інформації з обмеженим доступом є також синтезовані хімічні сполуки
Детальний опис підприємства,
всього персоналу
та функціональні обов’язки персоналу
Дане підприємство займається аналізом та синтезом хімічних речовин та сполук. В лабораторії зберігається та використовується державна таємниця. Також носієм інформації з обмеженим доступом є синтезовані хімічні сполуки, тобто вихідний продукт лабораторії. На територію підприємства не допускаються відвідувачі та посторонні особи, це зменшує ймовірність витоку будь якої інформації з лабораторії.
Також на території підприємства знаходяться: будівля (12 кімнат), КПП, автостоянка працівників, трансформаторна підстанція, огорожа, каналізаційний люк та люк водопостачання.
У приміщенні знаходиться 12 кімнат, які призначені для персоналу підприємства.
Кімната №1 призначена для керівника хімічної лабораторії. В його функціональні обов’язки входить: укладення договорів з іншими лабораторіями, прийом замовлень зі сторони держави чи замовника продукції(хімічних речовин чи сполук), також організація роботи всього персоналу, надання вказівок персоналу про їхні функціональні обов’язки.
Кімната №2 призначена для діловода та адміністратора. Діловод організовує всі ділові зустрічі керівника лабораторії. Також узгоджує певні питання з керівником лабораторії. Адміністратор слідкує за правильною роботою локальної мережі і забезпечує безпечний вихід в інтернет через Dial-Up персонального комп’ютера керівника лабораторії.
У кімнаті №3 буде працювати науковий керівник та старший лаборант. Науковий керівник досліджує хімічні властивості сполук та речовин, які синтезує устаткування для аналізу та синтезу хімічних сполук та речовин. Аналізує їхню придатність для використання в тих чи інших цілях. Старший лаборант допомагає науковому керівнику та звітує про виконання тих чи інших робіт керівнику лабораторії.
Хімічні елементи та сполуки (первинні), буде отримувати лаборант, який працює у кімнаті №6, на складі хімічних речовин та сполук, у іншого лаборанта (кімнати №№ 9,10).
Сантехнік слідкує за правильною роботою ліній водопостачання та каналізації. Прибиральник буде прибирати коридори та туалет зранку, а кабінети всіх приміщень в кінці робочого дня, коли ще всі знаходяться на своїх робочих місцях (приблизно за 20-30 хвилин до закінчення робочого дня). Електрик буде слідкувати за лініями електроживлення будівлі та території лабораторії. Допуск у кімнати №№1,2,3,5,8 буде супроводжуватись з працівником служби охорони.
Служба охорони розбита на 2-і частини. Перша частина сидить на КПП, а інша в кімнаті №8. На КПП служба охорони забезпечує пропуск працівників лабораторії на територію. А служба охорони, яка знаходиться в кімнаті №8, слідкує за територією лабораторії за допомогою камер, які розміщенні на в 4-х кутах нашої території.
Опис об’єкту захисту
Опис прилеглої території
На території підприємства знаходиться КПП, огорожа, каналізаційний люк, люк водопостачання, автостоянка працівників лабораторії.
КПП здійснює пропуск осіб, які працюють у лабораторії. Відвідувачів лабораторія не має, а це спрощує роботу працівників КПП.
Огорожа навколо контрольованої зони заввишки 2 м, виготовлена із залізобетону.
Автостоянка працівників лабораторії освітлюється 8 лампами, які підключені до трансформаторної підстанції.
Також на території підприємства розміщено 5 камер відео спостереження (4 – в кутах території, а одна при вході на КПП)та 4 прожектори в кінцях території.
Опис будівлі
Будівля лабораторії складається з 12 кімнат та коридору(загальна площа – 1350м2). Будинок умовно розділений на 2 частини. Перша частина (ліва) призначена для основного персоналу лабораторії, а друга частина (права) призначена для загальних цілей.
Кімнати: кабінет керівника лабораторії, кабінет діловода та адміністратора, кабінет наукового співробітника та старшого лаборанта, кабінет сантехніка, прибиральника та електрика, туалет, конференц-зал, лабораторія(займає 2-і кімнати), склад хімічних речовин та сполук, кабінет бухгалтера та кімната служби безпеки. Сама будівля – одноповерховий будинок із запасним виходом. Також в будівлі є вхід та запасний вихід.
Опис ОТЗ, ТЗПІ і ДТЗС
Телефон призначений для проведення розмов, для передавання акустичної інформації по каналу зв’язку.
Ксерокс призначений для розмноження документів чи іншої інформації, яка знаходиться на папері. Ксерокс має здатність запам’ятовувати копію останньої сторінки.
Радіоприймач призначений для отримання акустичної інформації різноманітного характеру (розважальної, музичної, новини)
Пристрій для знищення паперу призначений для різання паперу на довгі та вузькі стружки, тобто знищує папір та інформацію яка знаходиться на ньому. При великій необхідності цю інформацію (весь папір) можна відновити.
Комп’ютер в сучасних умовах може використовуватись для різноманітних цілей. А саме від найпростіших і примітивних ігор до проектування та конструктуювання найскладніших моделей певних об’єктів, деталей, процесів і т.д. Також можна обробляти, зберігати, копіювати, передавати акустичну, відео, текстову та також іншого роду інформацію.
Модем призначений для під'єднання комп'ютера до телефонної лінії з метою виходу у всесвітню мережу Internet.
Телевізор призначений для перегляду графічної та прослуховування акустичної інформацій. Перегляду відео зображення, перегляду новин та різних телевізійних передач.
Відеомагнітофон призначений для відтворення інформації з магнітних носіїв на екран телевізора. Також можлива функція запису відео зображення з телевізора чи відеокамер на магнітні носії.
Опис розташування ОТЗ, ДТЗС і ТЗПІ в даному об’єкті захисту
У приміщенні хімічної лабораторії знаходяться 12 кімнат, ОТЗ, ТЗПІ та ДТЗС:
Кімнати:
№1
Кімната №1 призначена для керівника хімічної лабораторії. В даній кімнаті є такі ДТСЗ та ОТЗ:
РС(сервер);
Телефон(системний);
Кабелі телефонного зв’язку;
Лінія мережі електроживлення;
Так, як у кімнаті буде працювати керівник хімічної лабораторії, то йому необхідні такі ДТЗС та ОТЗ: РС(сервер) з виходом в інтернет через Dial-Up та системний телефон, також через його кімнату будуть проходити лінії електроживлення та лінії телефонного зв’язку.
№2
Ця кімната призначена для діловода та адміністратора. Розміщення цієї кімнати можна обґрунтувати тим, що вона знаходиться поруч із кабінетом керівника хімічної лабораторії, так як діловод часто буде обговорювати організаційні питання з начальником. Так, як в цій кімнаті працює діловод, якому необхідно мати телефон і частково РС, та адміністратор якому також потрібен РС. Отже, в у даній кімнаті, я розмістив 1 РС та 1 телефон, кабелі телефонного зв’язку, лінії мережі електроживлення
Між кімнатами 1-2-3 необхідно провести LAN згідно плану-схеми.
№3
У цій кімнаті буде працювати науковий керівник та старший лаборант. В цьому приміщенні необхідно поставити РС згідно плану-схеми. Також у цьому приміщенні будуть проходити лінії мережі електроживлення
№4
У даній кімнаті буде розміщений конференц-зал. Тому в цю кімнату проведена тільки лінія електроживлення.
№5
Лабораторія. У даній кімнаті будуть проводити аналіз та синтез хімічних сполук. Отже, у цій кімнаті буде устаткування для аналізу та синтезу хімічних речовин та сполук та лінія електроживлення.
№6
У кімнаті №6 буде працювати лаборант, який буде допомагати науковому керівнику та старшому лаборанту проводити дослідження та аналіз хімічних сполук. В кімнаті не будуть розміщення ДТЗС та ОТЗ, крім мережі електроживлення.
№7
У цьому приміщення буде робоче місце бухгалтера, який додатково до своєї основної роботи, відповідає за допуск у кімнату №8 та контролює роботу таких пристроїв, як ксерокс та пристрій знищення паперу.
№8
Кімната, в якій будуть знаходитись телевізор та відеоплеєр. На цих ТЗПІ, які не є основними, будуть проводити нагляд за територією працівники служби безпеки (на моніторі телевізора). Також у цій кімнаті проведені лінії мережі електроживлення
№9-10
Ці два приміщення виділені для складу хімічних речовин та сполук(первинних), які використовує хімічна лабораторія. В приміщенні №9 працює лаборант, який відповідає за видачу та прийом на склад хімічних речовин та сполук. Оскільки за хімічними сполуками та речовинами лаборант із кімнати№6 буде звертатись так часто, то у цій кімнаті розміщений радіоприймач. Також у кімнаті №10 буде розміщена лампа денного світла та кондиціонер, який буде забезпечувати стабільну температуру хімічних елементів та сполук. Також у цій кімнаті проведені лінії мережі електроживлення
№11
У цьому приміщенні буде кабінет сантехніка, прибиральника та електрика. Тут буде розміщена настільна лампа, а інша на КПП. Це приміщення якнайкраще підходить для прибиральника, сантехніка та електрика, оскільки поруч знаходиться туалет та не далеко від цього приміщення знаходиться щиток електроживлення. Також в цій кімнаті крім мережі електроживлення немає ніяких ДТЗС та ОТЗ.
Отже в даній кімнаті можна розмістити настінну лампу, оскільки працівники, які знаходяться в цьому приміщення не володіють цінною інформацією та в цій кімнаті немає цінної інформації.
№12
Туалет. Тут розміщена мережа електроживлення та одна лампа денного світла.
Отже, в даній кімнаті можна розмістити лампу денного світла, тому, що в цій кімнаті немає ні таємної інформації, ні будь якої іншої, яка б була корисною для зловмисника. Те саме стосується мережі електроживлення.
Аналіз загроз об’єкту захисту
На плані мого об’єкта захисту знаходяться: будівля (хімічна лабораторія), автостоянка для працівників, автостоянка для відвідувачів, трансформаторна підстанція, лінії електроживлення, люк водопостачання, каналізаційний люк, КПП, огорожа, шосе.
Аналіз загроз об’єкту захисту:
Вікна:
Візуальний канал витоку інформації;
Вібро-акустичний канал витоку інформації;
Фізичне проникнення;
Двері:
Фізичне проникнення;
Візуальний канал витоку інформації;
Вібро-акустичний канал витоку інформації;
Стіни, стеля, підлога:
Фізичне проникнення;
Вібро-акустичний канал витоку інформації;
Канал ПЕМВ (електро-комунікації);
Паразитні електромагнітні наводи;
Системи вентиляції:
Пошкодження;
Вібро-акустичний канал витоку інформації;
Фізичне проникнення;
5. Каналізаційний люк:
- Вібро-акустичний канал витоку інформації;
- Перехоплення інформації (визначення хімічного складу речовин);
- Пошкодження
6. Люк водопостачання:
- Вібро-акустичний канал витоку інформації;
- Паразитні електромагнітні наводи;
- Відключення;
- Пошкодження ( спровокування аварії);
7. Трансформаторна підстанція:
- Канал ПЕМВ;
- Пошкодження;
- Відключення;
- Підключення;
8. КПП:
- Вербування працівників (підкуп, розпитування та ін.);
- Фізичне проникнення;
9. Огорожа:
- Фізичне проникнення;
- Електромагнітний імпульс (знищення інформації);
- Спец вплив;
- Пошкодження або знищення об’єкту захисту;
10. Автостоянка працівників:
- Спец вплив;
- Пошкодження об’єкту захисту;
- Акустично-оптичний канал витоку інформації;
11. Автостоянка відвідувачів:
- Акустично-оптичний канал витоку інформації;
- Спец вплив;
- Електромагнітний імпульс (знищення інформації);
- Пошкодження об’єкту захисту;
12. Дорога:
- Візуальний канал витоку інформації;
- Пошкодження об’єкту захисту;
- Вібро-акустичний канал витоку інформації;
- Електромагнітний імпульс (знищення інформації);
Витік інформації з приміщення може здійснюватися з ОТЗ прийому, обробки, збереження і передачі інформації, також технічних засобів прийому, обробки, збереження і передачі інформації і з ДТЗС.
Визначення та систематизація переліку загроз, які виникають у відповідності до кожної окремої сукупності об'єктів захисту, здійснюється виходячи із усіх можливих джерел виникнення загроз. При наступному уточненні можливих загроз, головну увагу потрібно концентрувати на інформаційних сигналах та полях, середовищі їх поширення та засобах їх обробки. Тому перелік можливих загроз інформаційним ресурсам та засобам їх обробки визначається виходячи із можливих шляхів утворення каналів витоку інформації та можливих випадкових та навмисних впливів на інформаційні системи.
Телефон :
властивості апаратів перетворювати акустичні сигнали в електромагнітні як мовного (мікрофонний ефект), так і радіодіапазону (автогенерація) за умов цілеспрямованого стороннього впливу;
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
випромінювання акустичних сигналів;
акустичний вплив на елементи, які мають мікрофонний ефект (тобто здійснюють перетворення акустичних сигналів в електромагнітні);
несанкціоноване прослуховування сторонніми особами або їх перехват технічними засобами;
радіоприймач:
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітні радіодіапазону (паразитна модуляція);
властивості пристроїв перетворювати акустичні сигнали в електромагнітні як мовного(мікрофонний ефект), так і радіодіапазону (автогенерація) за умов цілеспрямованого стороннього впливу;
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч
ксерокс:
спостереження сторонніми особами за роботою з апаратом;
прочитання цінної інформації;
телевізор:
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітному радіодіапазону (паразитна модуляція);
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись випадковими антенами;
перегляду сторонніми особами зображення на екрані;
відеоплеєр:
властивості елементів конструкції апаратів перетворювати акустичні сигнали в електромагнітному радіодіапазону (паразитна модуляція);
стороннього впливу на елементи конструкції апаратів, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись випадковими антенами;
перегляду сторонніми особами зображення на екрані
кабелі телефонного зв'язку:
наведення на технічні засоби, інші проводи та кабелі, які розміщені на відстанях, менш критичних;
безпосереднього гальванічного підключення;
безконтактного знімання інформації (тобто випромінювання електромагнітних сигналів самими кабелем, проводом);
наведення на проводи та кабелі, що мають спільну трасу проходження, на інші ланцюги того ж самого кабелю;
передача небезпечних інформаційних сигналів лініями зв'язку, які мають вихід за межі контрольованої зони;
лінії мережі електроживлення:
нерівномірності споживання току пристроями, які приймають участь в обробці інформації;
передача небезпечних інформаційних сигналів лініями електроживлення, які мають вихід за межі контрольованої зони;
пристрій для знищення паперу:
знищення цінної інформації;
сторонні не задіяні дроти:
антена, за допомогою якої можна зняти електромагнітні випромінювання;
лампи денного світла:
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим передаванням колами електроживлення;
стороннього впливу на елементи конструкції пристроїв, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
кондиціонер:
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим передаванням колами електроживлення;
стороннього впливу на елементи конструкції пристроїв, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
розповсюдження акустичних, електромагнітних сигналів вздовж коробів, труб;
настільні лампи:
властивості елементів конструкції пристроїв перетворювати акустичні сигнали в електромагнітні з подальшим передаванням колами електроживлення;
стороннього впливу на елементи конструкції пристроїв, чутливі до електричних чи магнітних полів, з боку інших технічних засобів, проводів та кабелів, що знаходяться поруч;
комп'ютер:
випромінювання електромагнітних сигналів, які потім можуть перехоплюватись випадковими антенами ;
перегляду сторонніми особами зображення на моніторі ;
спостереження сторонніми особами за роботою з клавіатурою;
несанкціонованого доступу до оперативної пам'яті чи накопичувачів комп'ютера;
Побудова моделі порушника
Порушники бувають як внутрішніми по відношенню до АС, так і зовнішніми по відношенню до АС.
Щоб побудувати моделі порушника використовуються усі можливі категорії, ознаки та характеристики порушників.
Рівень загроз кожної з них вказується в дужках і оцінюється за 4 – бальною шкалою.
Бувають такі специфіки моделі порушника:
за мотивами здійснення порушень (М1, М2, М3, М4);
за рівнем кваліфікації та обізнаності щодо АС (К1, К2, К3, К4, К5, К6, К7);
за показником можливостей використання засобів та методів подання системи захисту (З1, З2, З3, З4, З5);
за часом дії (Ч1, Ч2, Ч3, Ч4);
за місцем дії (Д1, Д2, Д3, Д4, Д5, Д6).
Тепер побудуємо модель порушника щодо хімічної лабораторії
Визначення категорії
Мотив порушення
Рівень кваліфікації і обізнаності щодо АС
Можливості використання засобів та методів подолання системи захисту
Специфікація моделі порушника за часом
Специфікація моделі порушника за місцем дії
Сумарний рівень загрози
Внутрішні по відношенню до АС
Технічний персонал, який обслуговує приміщення, в яких розташовані компоненти АС (1)
М
1-3
(3)
К 1-5
(3)
З 1- 5
(4)
Ч2
(2)
Д3
(2)
15
Персонал, який обслуговує технічні засоби (телефоністи, інженери, техніки) (2)
М
1-3
(3)
К 1-5
(3)
З 1- 5
(4)
Ч 1-4
(4)
Д4
(2)
18
Працівники АС (лаборанти, наукові керівники, ст.лаборанти) (2)
М
1-3
(3)
К 1-5
(3)
З 1- 5
(4)
Ч 2-4
(4)
Д 4-5
(3)
19
Адміністратор ЛОМ (3)
М
1-3
(3)
К 1-6
(4)
З 1- 4
(3)
Ч4
(4)
Д 3-5
(3)
20
Співробітники служби захисту інформації (4)
М
1-3
(3)
К 1-6
(4)
З 1- 5
(4)
Ч4
(4)
Д 4-6
(4)
23
Керівники різних рівнів посадової ієрархії (керівник лабораторії, бухгалтер) (4)
М
1-3
(3)
К 1-6
(4)
З 1- 5
(4)
Ч4
(4)
Д4-6
(4)
23
Зовнішні по відношенню до АС
Будь-які особи, що знаходяться за межами контрольованої зони (1)
М
2-4
(4)
К 1-5
(3)
З 1- 4
(3)
Ч4
(4)
Д1
(1)
16
Відвідувачі (запрошені з деякого приводу) (2)
М
2-4
(4)
К 1-5
(3)
З 1- 4
(3)
Ч3
(3)
Д2-3
(2)
17
Представники організацій, що взаємодіють з питань технічного забезпечення (енерго-, водо-, теплопостачання і таке інше) (2)
М
1-3
(3)
К 1-5
(3)
З 1- 4
(3)
Ч-2
(2)
Д2-3
(2)
15
Хакери
(3)
М
2-4
(4)
К 1-5
(3)
З4
(3)
Ч-4
(4)
Д1
(1)
18
Співробітники закордонних спецслужб або особи, які діють за їх завданням
(4)
М4
(4)
К 1-5
(3)
З1- 5
(3)
Ч1-4
(4)
Д1-3
(2)
21
Обґрунтування вибору політики безпеки
У хімічній лабораторії об’єктом захисту можна вважати не всю територію будинку, оскільки тільки у половині кімнат циркулює таємна інформація (1,2,3,5) (кабінет керівника лабораторії, кабінет діловода та адміністратора, кабінет наукового керівника та старшого лаборанта та у лабораторії), тому знаходження в цих приміщеннях сторонніх осіб є забороненим.
Отже цілями захисту на об’єкті будуть:
Приміщення, де аналізуються та синтезуються хімічні сполуки та речовини
Приміщення, де зберігаються всі дані про синтезовані речовини
Приміщення, де знаходяться комп’ютери (кабінет керівника лабораторії, кабінет діловода та адміністратора та кабінет наукового керівника та старшого лаборанта)
Отже для забезпечення захисту цих об’єктів потрібно розробити таку політику:
Контроль за проходження людей на територію хімічної лабораторії буде здійснюватись за допомогою рольової політики безпеки.
Доступ на територію будуть отримувати тільки працівники центру, при проходженні на КПП процедури автентифікації (перепустки і т.п).
Доступ сторонніх осіб буде здійснюється тільки з дозволу директора чи працівників служби безпеки.
Право доступу в приміщення, де буде знаходитися інформація чи самі синтезовані речовини буде здійснюватися з допомогою ідентифікаторів
Всі працівники мають доступ в кабінет бухгалтера, директора та лаборанта(приміщення №№7,1,6 відповідно), але при умові, якщо відповідні особи знаходяться в цих приміщеннях, та доступ до туалету.
Директор і працівники служби безпеки мають доступ у всі приміщення.
Адміністратор ЛОМ має доступ у всі приміщення, де знаходяться комп’ютери, немає доступу в лабораторію та кімнату служби безпеки
Діловод та бухгалтер – не має доступу в кімнати лабораторії та кабінету наукового керівника та старшого лаборанта.
Захист локальної мережі буде здійснюватись за допомогою рольової політики безпеки - тобто кожен користувач отримує свою роль:
Адміністратор - повноваження, що дають йому змогу керувати мережею;
Керівник лабораторії та науковий керівник – можливість керувати системою управління базами даних (кожен відповідно до своєї ролі).
Кожен користувач мережі отримає свій пароль, що дасть змогу захистити інформацію, яка зберігається на комп’ютерах.
При додержанні цієї політики ми отримуємо можливість контролювати знаходження людей на територію об’єкту, при цьому поява на території об’єкта сторонніх осіб, законним шляхом, неможлива. Рольова політика допомагає розмежувати знаходження людей на об’єкті - кожен працівник має доступ тільки в ті приміщення, які необхідні йому для виконання своїх обов’язків. Ця політика не потребує створення списку суб’єктів, які мають доступ на об’єкт, а дозволяє розділити користувачів по ролях, що спрощує процес змін у кадрах.
V. Політика безпеки (ПБ).
Під ПБ інформації слід розуміти набір законів, правил, обмежень і рекомендацій, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Положення ПБ може бути описане для всієї організації, АС, ОС, послуги що реалізуються системою (набору функцій), і т. ін. Чим дрібніший об'єкт, до якого описуються положення ПБ, тим конкретнішими і формальнішими стають правила. Політика безпеки висвітлює лише загальні та обов’язкові положення безпеки організації. Всі деталі повинні вирішуватись персоналом організації згідно з їх обов’язками, посадовими інструкціями та практичними навичками і досвідом. (напр. видача прав доступу працівникам, генерування паролів, застосуваня шифрування, використання програмного забезпечення, охоронних сигналізацій і т.д.).
Для ефективної розробки і функціонування система безпеки буде опиратися на чинні законодавчі акти, укази, постанови (розпорядження) Уряду України, а також враховувати результати законотворчої діяльності в країні в галузі інформатизації і захисту інформації.
Закони України:
“Про інформацію” (комерційна таємниця);
“Про внесення змін до Кодексу України про адміністративні правопорушення щодо встановлення відповідальності за порушення законодавства про державну таємницю”;
“Про захист інформації в автоматизованих системах”;
“Про власність”;
Загальні положення:
Відповідальним за безпеку інформації завжди є керівник організації.
Керівник може призначати конкретних працівників відповідальними за безпеку окремих елементів інформаційної системи.
Всі працівники повинні бути ознайомлені з положеннями ПБ та дотримуватись всіх обов’язків та вимог зазначених в цих положеннях.
У разі виявлення слабких місць або недоліків в положеннях ПБ слід негайно їх проаналізувати, зробити висновки і внести зміни в ці положення.
Положення ПБ щодо працівників наукового центру:
При прийомі працівників на роботу необхідно ретельно перевіряти достовірність інформації, вказаної в заявах та анкетах.
Працівники, що мають доступ до конфіденційної інформації повинні підписати документи про нерозголошення таємниць.
При встановленні нових систем безпеки чи впровадженні нових правил слід ознайомити з ними всіх працівників.
При прийомі на роботу працівників, їх права на доступ в приміщення організації повинні бути чітко визначені, затверджені і задокументовані.
Працівникам необхідно видати персональні ідентифікаційні картки, картки та коди доступу в відповідні приміщення.
Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП.
Вимоги до працівників:
Знати і дотримуватися законів, правил, політик безпек, процедур безпек.
Використовувати доступні захисні механізми для забезпечення конфіденційності і цілісності своєї інформації.
Вибирати гарні паролі, регулярно змінювати їх. Не записувати паролі на папері, не повідомляти їх іншим особам.
Працівники повинні строго дотримуватись режиму дня.
Працівники повинні завжди носити на видному місці особисті ідентифікаційні картки.
Допомагати іншим користувачам дотримувати заходіви безпеки. Указувати їм на виявлені недогляди.
Інформувати чи адміністраторів керівництво про порушення безпеки й інших підозрілих ситуацій.
Не робити неавторизованої роботи з даними, не створювати перешкод іншим користувачам.
Не намагатися працювати від імені інших користувачів.
Знати і дотримувати процедури для попередження проникнення злобливого коду, для його виявлення і знищення.
Знати і дотримуватися правила поведінки в екстрених ситуаціях, послідовність дій при ліквідації наслідків аварій.
Пройти інструктаж з техніки безпеки;
Працівникам категорично забороняється приносити будь які сторонні предмети на територію організації.
При виникненні проблем при роботі з КС слід повідомити про це адміністратора.
При поміченні в приміщенні посторонніх осіб чи осіб, що не мають прав доступу до приміщення необхідно негайно повідомити про це службу охорони з допомогою кнопки тривоги чи в усній формі.
Працівникам категорично забороняється виносити будь-яке майно організації за її межі.
Положення ПБ, щодо організаційних питань захисту:
Регулярно проводити наради, де варто розглядати питання пов’язані з діями на покращення захисту інформації, визначення основних загроз для інформації та ін.
Всі прийняті рішення стосовно інформаіцйної безпеки організації повинні узгоджуватись керівником організації.
Таємна інформація повина шифруватись.
Необхідно регулярно загальні засади захисту інформації, аналізувати та давати точну оцінку стану системі безпеки організації.
Необхідно регулярно перевіряти стан систем контролю доступу до приміщень.
При одержанні нових даних інформаційної системи необхідно призначити йому гриф таємності.
Періодично проводити перевірку приміщень та території на наявність закладних пристроїв.
Положення ПБ, що відносяться до загального функціонування системи:
Регулярно (раз в тиждень) проводити перевірку приміщень та території на наявність закладних пристроїв;
Не рідше ніж один раз в півроку слід оглядати всю апаратуру;
Необхідно регулярно перевіряти стан електромережі та дотримання всіх правил користування електроапаратурою;
При поміченні слабких місць або інцидентів в системі безпеки необхідно негайно повідомити про це службу безпеки;
Вся апаратура повинна бути заземлена.
Контрольно-пропускний пункт (КПП).
ПБ, яка буде використана для даного об’єкта - дискреційна.
Положення політики безпеки:
Всі відвідувачі повинні проходити процедуру ідентифікації. Дата та час приходу
повинен реєструватись в системному журналі на КПП;
Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП;
В обов’язки вартового має входити огляд автомобіля, щоб унеможливити ввезення в зону безпеки вибухових речовин;
Треба обладнати КПП засобами для відслідковування сторонніх випромінювань, з метою унеможливлення проносу на територію об’єкту різного роду підслуховуючих пристроїв;
Забезпечити працівника хорошою заробітною платою ;
Ретельно вибирати працівника (це повинна бути надійна особа);
Періодично перевіряти та контролювати роботу працівників.
Комп'ютерна система (КС) та обчислювальна мережа.
Вибираємо рольову ПБ з деякими елементами мандатної ПБ.
А. Положення ПБ, щодо користування:
Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників;
Працівники повинні зберігати в таємниці свій код доступу;
При введенні КС в експлуатацію слід ретельно перевірити її роботоспроможність, виникнення помилок та безпеку;
При втраті чи розголошенні персонального коду доступу слід негайно повідомити про це адміністратора;
Конфігурування системи та мережі повинно здійснюватись при відсутності в приміщенні будь-якого персоналу (крім працівників СБ);
Користувачі не повинні мати доступ до робочих програм конфігурування роботи системи та мережі;
Працівникам забороняється особисто вирішувати проблеми, які виникли при роботі системи;
При виникненні проблем при роботі з КС слід повідомити про це адміністратора;
Встановленням, конфігуруванням, перевіркою та оновленням програмного забезпечення займається тільки адміністратор;
Всі дії в КС повинні автоматично реєструватись в системному журналі;
При адмініструванні КС та КМ слід строго дотримуватись функцій, зазначених в документації продуктів та не виходити за їх рамки;
В разі виникнення технічних проблем слід звертатись до служби технічної підтримки виробника продукту;
Регулярно (раз в тиждень) проводити ретельну перевірку роботоспроможності системи для виявлення помилок та несправностей;
Для захисту від комп’ютерних вірусів та програм «троянський кінь» слід використовувати антивірусні програми;
Антивірусне програмне забезпечення та вірусні бази повинні регулярно (раз в два-три дні) оновлятись;
Щодня проводити повну перевірку системи на наявність вірусів та програм «троянський кінь»;
Магнітні носії інформації, нове програмне забезпечення, вхідна електронна пошта повинні ретельно превірятись на зараження вірусами та наявність програм «троянський кінь» перед запуском в КС;
Для захисту від зовнішніх атак по мережі слід використовувати відповідне програмне забезпечення - файєрволи, детектори атак, які пройшли всі повірки і сертифікацію. Періодично обновлювати їх;
Системні журнали повинні ретельно переглядатись для виявлення помилок роботи системи та можливих порушень чи атак;
В разі виникнення нештатних ситуацій та ремонтних робіт необхідно зняти всі носії інформації з АС та перенести їх у недоступне сховище;
Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок;
Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок.
Б. Положення ПБ, щодо фізичного захисту:
При покиданні приміщення чи роботі в приміщенні з таємною інформацією слід закривати вікна та двері та ретельно перевіряти безпеку системи;
Всі комп’ютери, магнітні та паперові носії інформації, на яких міститься ІзОД повинні бути розміщенні в приміщеннях з обмеженим доступом;
Коли ком’ютери не використовуються слід їх виключати або блокувати паролем систему;
Магнітні носії інформації та паперову документацію, коли вони не використовуються, слід зберігати в спеціальних захищених шафах;
Технічне обслуговування повинен здійснювати технічний персонал служби підтримки апаратури під наглядом СБ;
Забороняється зберігати вогненебезпечні та легкозаймисті предмети близько біля життєвоважливих ресурсів системи (комп’ютерів, сигналізацій, систем контролю доступу і т.і.);
В разі виявлення таємної інформації на МНІ слід її видалити;
В разі виявлення пошкоджень МНІ або нероботоспроможність МНІ утилізувати.
Всі мережеві кабелі повинні розміщуватись в коробах та проходити тільки по захищених приміщеннях;
Ретельно перевіряти магнітні носії, що не використовуються, на явність записаної на них таємної інформації, на явність пошкоджень і їх роботоспроможність.
В. Положення ПБ, щодо доступу:
Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників;
Коди доступу (паролі) повинні видаватись автоматично згідно певних правил (довжина паролю, вміст паролю і т.д.);
Періодично паролі повинні змінюватись;
Паролі повинні шифруватись;
Вхід користувача в систему та вихід з неї повинен реєструватись в системному журналі.
VI. Побудова моделі захисту комплексної системи об’єкту.
А. Розділення контрольованої зони на зони безпеки.
Розроблення даної системи розпочнемо з аналізу розташування об’єктів АС на території підохоронного підприємства та побудови відповідних зон безпеки.
Зона А:
Навколишні об’єкти і будови (у радіусі до 200м).
Зона Б:
Система водопостачання;
Система каналізації;
Стоянка автомобілів.
Зона В:
вікна;
основне приміщення (стіни, перекриття);
головний вхід.
Зона Г:
вхід в службове приміщення;
кімнати приміщення;
Зона Д (основні елементи АС):
ОТЗ;
Неосновні ТЗПІ;
ДТЗС.
Б. Захист зон безпеки.
Забезпечуємо захист кожної зони з метою створення послідовних рубежів на шляху можливих дій порушника. Складність системи захисту повинна відповідати зоні і її наближеності до ІзОД.
Зона А:
Навколишні об’єкти і будови повинні бути перевірені на тип діяльності, що в них здійснюється, особливу увагу слід звернути на розташування серед них об’єктів банківської діяльності. Оскільки в завданні розрахункової роботи ця можливість виключається (Примітка 2), інші дії щодо цих об’єктів не здійснюються.
Зона Б:
Система водопостачання та каналізації може бути джерелом паразитних наведень збоку зовнішньої апаратури. Тому застосовуємо засоби відбиття загроз: установлюємо спеціальні шумові пристрої на трубах водопостачання та каналізації, що створюють електромагнітне поле перешкод . Крім того повинні бути проведені роботи по капітальному ремонту цих систем, заміна усіх труб на метало пластикові. Відповідальність за проведені роботи покладається на представників організацій, що взаємодіють з питань технічного забезпечення водо- теплопостачання про що має бути складений відповідний акт. Зовні люк (Л) повинен бути захищений ґратами, лози яких розташовуються хрестом або ромбом. Для запирання ґрат використовуються замки з протяжними скобами, крім того, в місці розташування замка приварюється металевий лист.
Зона В:
Вікна оснащуються контактними сенсорами і засобами відбиття загроз: екрануванням. Крім того, вікна між 2-ма віконними рамами обладнуються ґратами, що замикаються на замки з протяжними скобами.
Основне приміщення (стіни, перекриття) обладнується сейсмічними сенсорами на п’єзоелектричному ефекті. Даним способом здійснюється захист від механічного проникнення в будівлю і попередження впливів навколишнього середовища (землетруси, шквали й інші стихійні лиха природи).
Головний вхід представляє собою стальні двері оброблені декоративним покриттям. Для замикання таких дверей використовується багаторігельний врізний замок з електронним кодовим доступом. Код доступу для кожної особи різний і періодично змінюється СБ. Відомостями про кодові комбінації володіє СБ, вона ж здійснює видачу їх персоналу з відповідним розписом особи про нерозголошення. Доступ відвідувачів через головний вхід здійснюється через турнікет. Також забезпечується камера відео-спостереження яка здійснює нагляд за головним входом і розташована на огорожі.
Зона Г:
«Коридор», «Серверна» повинні бути оснащені камерами таємного спостереження, відомостями про знаходження яких повинні володіти виключно працівники СБ, та відкритою камерою спостереження навпроти входу. Працівниками СБ періодично повинна проводитись перевірка вестибюлю на наявність сторонніх предметів.
Входи в приміщення захищаються дверима з багато рігельними замками з електронним кодовим доступом. Кожна особа персоналу має доступ у визначені приміщення, що призначаються СБ. Доступ відвідувачів у приміщення допускається тільки при присутності осіб з СБ персоналу.
Зона Д:
ОТЗ, неосновні ТЗПІ, ДТЗС повинні встановлюватися перевіреними особами, про що має бути складений відповідний акт. Програмне забезпечення має бути ліцензійним, так само як і база антивірусних і захисних програм. Приміщення в яких знаходяться дані елементи АС повинні бути оснащенні камерами відеоспостереження. Корпуса приладів, комплексів і засобів повинні бути профольговані.
Комп’ютерна техніка:
Основним джерелом випромінювання високочастотних електромагнітних хвиль є монітор, зображення з нього можна отримувати на відстані кілька сотень метрів.Тому потрібно використати рідкокристалічні монітори.
Застосування блоків безперебійного живлення.
Дотримання основних сервісів безпеки при користуванні мережами(як локальною, так і глобальною):
- Ідентифікація та аутентифікація.
- Управління доступом.
- Аудит.
- Криптографія.
- Екранування.
Встановлення:
антивірусного пакету Касперського.
міжмережевих екранів (Firewall) - для блокування атак з зовнішнього середовища (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway та Alteon Switched Firewall від компанії Nortel Networks). Вони керують проходженням мережевого трафіку відповідно до правил (policies) захисту. Як правило, міжмережеві екрани встановлюються на вході мережі і розділяють внутрішні (приватні) та зовнішні (загального доступу) мережі;
систем виявлення вторгнень (IDS – Intrusion Detection System) - для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу "відмова в обслуговуванні" (Cisco Secure IDS, Intruder Alert та NetProwler від компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень здатні попереджувати шкідливі дії, що дозволяє значно знизити час простою внаслідок атаки і витрати на підтримку працездатності мережі;
СОВА-PC - Комплексна система аудиту мережевих комп'ютерних робочих місць. Забезпечує таку функцію захисту як моніторинг обчислювальної системи, що дозволяє контролювати дії користувачів комп'ютерних мереж підприємства для протидії комерційному шпигунству.
Сигнальні ліній мережі Ethernet, кабелі телефонного зв’язку лінії мережі електроживлення:
необхідно використовувати екрановані кабелі. В якості кабелів, по яких передається найбільш важлива інформація, доцільно використовувати коаксіальний кабель з суцільною опліткою.
Виходи ліній мережі електроживлення з кімнати: «Операційна» і «Лабораторія» обладнати мережевими фільтрами;
Засоби зв’язку, радіотелефон:
Використання приладу, який подавляє роботу всіх підслуховуючих пристроїв.
Копіювальні пристрої(ксерокс, сканер, принтер):
Використання функції лічильника копій.
Застосувати зашумлюючі засоби під час роботи зі сканером чи принтером;
Заборонити вхід сторонніх осіб в кімнату «Лабораторія».
Висновок: В ході виконання даної розрахункової роботи був розроблений проект комплексної системи безпеки об’єкту, на території якого знаходиться науковий центр по дослідженню напівпровідникових матеріалів. Було проведено аналіз об’єктів, які підлягають захисту, перераховано можливі загрози, побудовано модель порушника, вибрано політику безпеки. В результаті була отримана комплексна система захисту об’єктів і варіант реалізації плану захисту інформації.